Skip to content

LG Aachen: Auslesen des Passwortes nach Dekompilierung des Objektcodes ist Überwindung einer besonderen Zugangssicherung nach § 202 a StGB

LG Aachen
Urteil vom 27.07.2023
60 Qs 16/23


Das LG Aachen hat entschieden, dass das Auslesen des Passwortes nach Dekompilierung des Objektcodes die Überwindung einer besonderen Zugangssicherung nach § 202 a StGB darstellt.

Aus den Entscheidungsgründen:
Der Beschluss des Amtsgerichts Jülich ist aufzuheben, da das Amtsgericht zu Unrecht den Antrag auf Erlass eines Strafbefehls abgelehnt hat. Entgegen der Auffassung des Amtsgerichts besteht ein hinreichender Tatverdacht für eine Strafbarkeit des Angeschuldigten wegen Ausspähens von Daten gemäß § 202 a StGB.

Nach § 202 a Abs. 1 StGB macht sich strafbar, wer sich oder einem anderen Zugang zu Daten verschafft, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung.

Indem der Angeschuldigte dem Quellcode der Software, den er mittels Dekompilierung erlangte, dort hinterlegte Passwörter entnahm und die Daten auf seinen Rechner übertrug, hat er nicht nur das schon tatbeständsmäßige Verschaffen des bloßen Zugangs zu Daten verwirklicht, sondern zusätzlich sich die Daten selbst verschafft, was durch die Einträge in seiner Datenbank belegt wird.

a) Dass die Daten nicht für den Angeschuldigten bestimmt waren, folgt aus der Tatsache der Zugangsbeschränkung in Form eines Passwortes. Denn nach dem Willen der Verfügungsberechtigten - der V. – sollte der Angeschuldigte keinen Zugang zu diesen haben und die Daten sollten nicht in seinen Herrschaftsbereich gelangen (vgl. Bär in Wabnitz/Janovsky/Schmitt, Handbuch Wirtschafts- und Steuerstrafrecht, 5. Aufl. 2020, 15. Kapitel Rn. 77; Lackner/Kühl/Heger StGB, 30. Aufl. 2023, § 202 a Rn. 3). Soweit es um den dekompilierten Quellcode der Software als solcher geht, ist auch dieser nicht für den Angeschuldigten bestimmt gewesen. Denn insoweit gelten die für Daten entwickelten Grundsätze entsprechend auch für Computerprogramme. Soweit eine Dekompilierung des Objektcodes in den Quellcode urheberrechtlich nach den § 69 e i.V.m. § 69 c Nr. 1 UrhG unzulässig ist – etwa wenn sich der Täter nicht an die durch den Lizenzvertrag und den Programmschutz gezogenen Grenzen hält - fehlt es an einer Datenbestimmung für den Täter mit der Folge, dass eine Strafbarkeit nach§ 202 a StGB– vorbehaltlich des Vorliegens der weiteren Tatbestandsvoraussetzungen – eröffnet ist (vgl. Bär a.a.O. Rn. 78; MüKoStGB/Graf StGB 4. Aufl. 2021 § 202a Rn. 34).

b) Die Daten waren auch gegen unberechtigten Zugang besonders gesichert. Dies ist der Fall, wenn Vorkehrungen getroffen sind, den Zugriff auf Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Das Erfordernis der besonderen Sicherung gegen unberechtigten Zugang zeigt die Schranke an, deren Überwindung kriminelles Unrecht begründet .Sie rechtfertigt sich, weil der Verfügungsberechtigte mit der Sicherung sein Interesse an der „Geheimhaltung“ - ähnlich wie in § 202 Abs. 2, § 243 Abs. 1 Satz 2 Nr. 2 - dokumentiert und - das ist in normativer Hinsicht ausschlaggebend - durch diese Wahrnehmung eines ohne Weiteres zumutbaren Selbstschutzes auch des zusätzlichen Strafrechtsschutzes würdig und bedürftig wird (vgl. BGH, Beschl. v. 13.05.2020 – 5 StR 614/19 – NStZ-RR 2020, 279 (280); Hilgendorf in: LK- StGB, 13. Aufl. 2023, § 202 a Rn. 18).

Im vorliegenden Fall war der Zugang durch Passwörter gesichert, deren Abrufen zudem nur nach einer Dekompilierung möglich war. Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus (BGH, Beschl. v. 13.05.2020 – 5 StR 614/19 –, a.a.O.).

Bei einem Passwort handelt es sich um eine typische Software- Sicherung, die das Interesse an einer Zugangssicherung eindeutig dokumentiert. Maßgeblich ist, ob die Sicherung geeignet erscheint, einen wirksamen, wenn auch nicht absoluten Schutz zu erreichen. Erforderlich ist - nach der Gesetzesbegründung - dass die Überwindung dieser Sicherung einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordert (vgl. BT- Drs. 16/3656). Dies wäre jedenfalls dann zu verneinen, wenn die Aufhebung des Schutzes ohne weiteres möglich ist und durch jeden interessierten Laien leicht überwunden werden könnte. Vom Schutzbereich ausgenommen sind insbesondere auch Fälle, in denen das Opfer selbst nachlässig mit den eigenen Daten umgeht und eine sehr leicht ausschaltbare Sicherung wählt. Keine technischen Vorkehrungen wären folglich standardisierte Logins und Passwörter (zB Ziffernfolge 0000 bei allen Geräten), da hier zur Dokumentation der Geheimhaltung zunächst eine Änderung notwendig wäre (vgl. Eisele in: Schönke/Schröder, StGB 30. Aufl. 2019 § 202a Rn. 14; Kargl in: Kindhäuser/Neumann/Paeffgen/Saliger, StGB, 6. Auflage 2023, § 202a Rn. 42).

Entgegen der Auffassung des Amtsgerichts stellt das Auslesen des Passwortes nach Dekompilierung des Objektcodes in den Quellcode eine Überwindung einer besonderen Zugangssicherung im Sinne des § 202 a StGB auch dann dar, wenn sie mit für jedermann zugänglichen Tools erfolgt ist.

Soweit in den Gesetzesmaterialien von einer „Überwindung mit einem nicht unerheblichen zeitlichen oder technischen Aufwand“ die Rede ist, ist dies dahingehend zu verstehen, dass die Überwindung der Zugangssicherung typischerweise – also unabhängig von spezifischen Möglichkeiten oder Kenntnissen des konkreten Täters – einen nicht unerheblichen Aufwand erfordern muss. Auch wenn eine Zugangssicherung auf Grund besonderer Kenntnisse, Fähigkeiten oder Möglichkeiten schnell und ohne besonderen Aufwand überwunden wird, ist der Tatbestand erfüllt (BGH, Beschl. v. 13.05.2020 – 5 StR 614/19, a.a.O.).

Mit der Änderung des § 202a StGB durch das 41. StrÄndG im Jahre 2007 hat der Gesetzgeber unter Umsetzung des Übereinkommens des Europarates über Computerkriminalität aus dem Jahre 2001 und des entsprechenden Rahmenbeschlusses, u.a. das „Hacking“ unter Strafe gestellt. Maßgeblich ist seitdem bereits das Verschaffen von Zugang, nicht erst das Abrufen der Daten. Der Tatbestand soll damit den persönlichen- und Geheimbereich des Verfügungsberechtigten der Daten sichern, als auch seine wirtschaftlichen Interessen auf seine Daten vor unbefugtem Zugriff schützen (vgl. Fischer, StGB, 70. Aufl. 2023, § 202a Rn. 2; Vassilaki in: CR 2008, 131). Der Umstand, dass bereits der Zugang - unabhängig von der Motivation mit der sich der Betreffende den Zugang verschafft - unter Strafe gestellt ist, zeigt, dass die Norm zudem auch dem Schutz der Integrität der Informationssysteme als solchen und nicht nur dem Datenschutz des Einzelnen dient. Dieser Schutzzweck wäre nicht gewährleistet, wenn die Strafbarkeit alleine an die Verwendung bestimmter Programme geknüpft wäre. Schließlich wäre eine Abgrenzung zwischen leicht und schwer zugänglichen Hilfsprogrammen zu unkonkret, um dem im Strafrecht gebotenen Bestimmtheitsgrundsatz gerecht zu werden.

Die Anforderungen an den notwendigen „nicht unerheblichen zeitlichen oder technischen Aufwand“ zur Überwindung der Sicherung (so BT-Drs. 16/3656 S. 10) dürfen daher zum Schutz technischer Laien und vor dem Hintergrund des Bestimmtheitsgrundsatzes nicht zu hoch angesetzt werden. Der Zugangsschutz muss nicht vollständig sein. Es ist ein „weites Verständnis“ des Überwindens einer Zugangssicherung zugrunde zu legen, bei dem eine Orientierung am technischen Laien angezeigt ist. Denn auch dem technischen Laien muss die grundrechtlich garantierte Möglichkeit eingeräumt werden, geschützte formale Geheimbereiche zu schaffen. Auch dass der Gesetzgeber mit § 202 a StGB nur einen eingeschränkten Täterkreis erfassen wollte, ergibt sich weder aus dem Wortlaut der Norm noch aus den Motiven. § 202 a StGB ist kein auf professionelle Angreifer beschränktes Sonderdelikt (vgl. Kargl in: Kindhäuser/Neumann/Paeffgen/Saliger StGB a.a.O. Rn. 42; Schumann, NStZ 2007, 677).

Es ist auf die allgemeine Sicherung der Daten gegenüber dem Zugriff Unbefugter abzustellen, nicht darauf, ob Eingeweihte oder Experten leicht auf die Daten zugreifen können. Für das geschützte Rechtsgut ist es unerheblich, ob die Sicherung von Daten vor unberechtigtem Zugang schnell oder langsam, mit viel oder wenig Aufwand überwunden wird. Der Gesetzgeber wollte aus dem Tatbestand neben Bagatelltaten lediglich solche Fälle ausschließen, in denen die Durchbrechung des Schutzes für jedermann ohne weiteres möglich ist, nicht aber solche, in denen die Zugangssicherung auf Grund spezieller Kenntnisse oder Möglichkeiten im Einzelfall leicht überwunden wird. Nur eine solche abstrakt-generelle Betrachtungsweise lässt sich mit dem Schutzzweck der Norm vereinbaren (vgl. BGH, Beschl. v. 13.05.2020, a.a.O).

Ausgehend hiervon hat der Angeschuldigte eine Zugangssicherung überwunden, durch die der Verfügungsberechtigte erkennbar den Zugang zu den Daten verhindern wollte und dadurch die strafwürdige kriminelle Energie manifestiert. Dass dies für ihn einfach – und gegebenenfalls mit wenigen „Maus- Clicks“ möglich war - hindert eine Strafbarkeit nicht (vgl. BGH, Beschl. v. 13.05.2020 a.a.O). Auch wenn er für die Dekompilierung frei zugängliche Programme verwendet hat, so setzt eine solche Vorgehensweise sowohl ein tieferes Verständnis über Programmiersprachen und Softwareentwicklung als auch ausgeprägte Kenntnisse im Bereich der Anwendungsentwicklung und die Fähigkeit zum sogenannten Reverse Engeneering der Softwareschnittstelle voraus. Die in Rede stehenden Daten waren – eine abstrakt generelle Betrachtungsweise zugrunde gelegt - für den Angeschuldigten aufgrund seiner Kenntnisse leicht abgreifbar, indes „typischerweise“ nicht für Jedermann ohne weiteres möglich.

c) Dazu war er nicht befugt im Sinne des § 202 a StGB, da die ausgespähten Daten nicht zu seiner Kenntnisnahme bestimmt waren (vgl. Fischer, StGB, a.a.O. Rn. 12).

2.Die Kammer hat die Sache zur erneuten Entscheidung über den Strafbefehlsantrag der Staatsanwaltschaft Köln vom 13.02.2023 an das Amtsgericht Jülich zurückverwiesen. Eine an sich gemäß § 309 Abs. 2 StPO gebotene Entscheidung in der Sache kann die Kammer nicht treffen, da für den Erlass des von der Staatsanwaltschaft beantragten Strafbefehls im Hinblick auf §§ 407 Abs. 1 Satz 1, 408 Abs. 1 StPO allein der Strafrichter zuständig ist (vgl. hierzu Löwe-Rosenberg/Gössel, StPO, 26. Aufl. 2009, § 408 Rn. 24 m.w.Nachw.). Auch eine Aufhebung des Beschlusses mit der Anweisung an den Strafrichter, den Strafbefehl antragsgemäß zu erlassen oder über den Antrag der Staatsanwaltschaft unter Beachtung der Rechtsauffassung des Beschwerdegerichts erneut zu entscheiden, ist nicht möglich, da damit in unzulässiger Weise in die Entschließungsfreiheit des Strafrichters eingegriffen würde (zutreffend Löwe-Rosenberg/Gössel, StPO, a.a.O. Rn. 24, 25; KK-StPO/Maur, 8. Aufl. 2019, § 408 Rn. 13; ohne nähere Begründung a.A. LG Landshut, Beschl. v. 20.10.2009 – 4 Qs 237/09, NStZ-RR 2010, 78 f.). Aus diesem Grund kann die Kammer – wie geschehen – den angegriffenen Beschluss lediglich aufheben und die Sache zur neuen Entscheidung an das Amtsgericht zurückverweisen (vgl. LG Aachen, Beschl. v. 05.10.2020 – 60 Qs 43/20; LG Saarbrücken, Beschl. v. 17.10.2017 – 8 Qs 112/17, juris Rn. 6; Löwe-Rosenberg/Gössel, StPO, 26. Aufl. 2009, § 408 Rn. 25; KK-StPO/Maur, 8. Aufl. 2019, § 408 Rn. 13).


Den Volltext der Entscheidung finden Sie hier:

Bundesnetzagentur hat im Jahr 2021 den Vertrieb von knapp 23 Millionen unerlaubten Produkten verhindert

Die Bundesnetzagentur hat im im Jahr 2021 den Vertrieb von knapp 23 Millionen unzulässiger Produkte verhindert.

Die Pressemitteilung des Bundesnetzagentur:

Bundesnetzagentur stellt auch 2021 eine Vielzahl unerlaubter Produkte fest

Die Bundesnetzagentur hat 2021 eine Stückzahl von fast 23 Mio. verbotener Produkte gesperrt. Die Produkte können Funkstörungen verursachen oder wiesen erhebliche formale Mängel auf.

"Die Bundesnetzagentur geht konsequent gegen nicht konforme Produkte vor und verhindert, dass sie am deutschen Markt weiter angeboten werden", sagt Jochen Homann, Präsident der Bundesnetzagentur. "Dadurch leistet die Bundesnetzagentur einen wichtigen Beitrag zum Verbraucherschutz. Wir informieren Verbraucherinnen und Verbraucher, worauf sie speziell bei Online-Bestellungen von elektronischen Produkten achten sollten."

Verbotene Produkte identifiziert die Bundesnetzagentur im Online- und im Einzelhandel, in Zusammenarbeit mit dem Zoll und bei Testkäufen.

2020 betrafen die Sperrungen der Bundesnetzagentur eine Stückzahl von über 21 Mio. Produkten.

Marktüberwachung im Onlinehandel

Die Online-Marktüberwachung hat 1.936 nicht konforme Produktangebote ermittelt, die Plattformbetreiber gelöscht haben. Hinter den Angeboten steckten insgesamt 21,4 Mio. Produkte.

Mit einer angebotenen Stückzahl von über 7,7 Mio. erreichten Funkkopfhörer den ersten Platz der auffälligen Gerätearten. Diese Funkkopfhörer arbeiteten auf Funkfrequenzen, die nur für sicherheitsrelevante Dienste wie beispielsweise Polizei oder Feuerwehr bestimmt sind. Das ist verboten. Zahlreiche Funkkopfhörer wiesen zudem erhebliche formale Mängel auf, wie z. B. fehlende deutsche Bedienungsanleitungen oder fehlende bzw. fehlerhafte technische Unterlagen.

Den zweiten Platz belegten extrem billig angebotene Messgeräte aus Drittstaaten mit einer Stückzahl von rund 3,7 Mio. gefolgt von rund 3,3 Mio. ferngesteuerten Flugdrohnen. Bei beiden Gerätearten wurden vermehrt formale Mängel wie z. B. fehlende CE-Kennzeichnungen, Identifizierungsmerkmale oder fehlende Kontaktdaten des verantwortlichen Wirtschaftsakteurs festgestellt.

Marktüberwachung im deutschen Einzelhandel
Die COVID19 Pandemie begleitete die Marktüberwachung der Bundesnetzagentur auch im Jahr 2021.Unter Einhaltung umfassender Hygiene- und Abstandsregelungen waren Außendiensteinsätze zeitweise wieder möglich.
Die von der Bundesnetzagentur geprüfte Anzahl von Gerätetypen im deutschen Einzelhandel belief sich im Jahr 2021 auf 3.554. Die Agentur hat insgesamt 23 Vertriebsverbote erlassen und 1.059 Aufforderungen zur Mängelbehebung für nicht konforme Produkte ausgesprochen. Das betraf über eine Million Produkte.

Häufig auffällig waren hier beispielsweise LED-Beleuchtungsmittel und Netzteile, welche Störungen verursachen können und ein teils hohes Risiko bergen.

Zusammenarbeit mit dem Zoll
Die Bundesnetzagentur arbeitet intensiv mit dem Zoll zusammen, um nicht konforme Produkte bereits an der europäischen Außengrenze zu stoppen.

Der Zoll hat 2021 nahezu 6.500 verdächtige Warensendungen an die Bundesnetzagentur gemeldet. In rund 91 Prozent der Fälle hat die Bundesnetzagentur die Produkte für den deutschen Markt nicht freigegeben, weil sie eindeutige Mängel identifizierte. Insgesamt waren rund 320.000 Produkte betroffen.

Unterstützung der Marktüberwachung durch Testkäufe
Insgesamt 61 Testkäufe im Jahr 2021 verfolgten das Ziel, einen Überblick über die Konformität von im Internet angebotenen Geräten zu gewinnen. Bei Produkten, die die Bundesnetzagentur einkaufte und diese als nicht konform identifizierte, erfolgten markteinschränkende Maßnahmen.

Auswirkungen des neuen Marktüberwachungsgesetzes
Seit dem 16. Juli 2021 gilt in Deutschland das Marktüberwachungsgesetz zeitgleich in Verbindung mit der neuen europäischen Marktüberwachungsverordnung. Demnach müssen bei elektrischen Geräten und Funkanlagen die Kontaktdaten eines in der Europäischen Union ansässigen Wirtschaftsakteurs angegeben werden. Bei Produktmängeln können sich Verbraucherinnen und Verbraucher an diesen Kontakt wenden. Sind keine entsprechenden Kontaktdaten angegeben, darf man die Produkte nicht verkaufen und nicht nach Deutschland einführen.

Tipps für Verbraucherinnen und Verbraucher bei Online-Bestellungen:
Bestellen Sie online bei seriösen und bekannten Quellen. Informieren Sie sich vorher über den Anbieter, beispielsweise bei der Verbraucherzentrale.

Prüfen Sie, ob eine Adresse in der EU angegeben ist, unter der Sie den Anbieter oder seinen Partner erreichen können. Diese Adresse muss auf dem Produkt oder seiner Verpackung, dem Paket oder in einem Begleitdokument stehen.
Vergewissern Sie sich, dass Angaben zu allgemeinen Geschäftsbedingungen (AGB) sowie Widerrufs- und Rückgabebelehrungen vorhanden sind.

Prüfen Sie die Beschreibung des Produkts sorgfältig, achten Sie insbesondere darauf, dass Hinweise auf eine deutschsprachige Bedienungsanleitung vorliegen.

Der Preis sollte im Vergleich zu Mitbewerbern plausibel sein.

Wenn Sie unsicher sind, stellen Sie dem Verkäufer Fragen zum Produkt. Seriöse Verkäufer beantworten Fragen zügig und verständlich.

Bei Technikprodukten sollten Sie darauf achten, dass der Steckertyp auch in Deutschland verwendbar ist.

IT-Sicherheitsgesetz 2.0 im Bundesgesetzblatt veröffentlicht und am 28.05.2021 in Kraft getreten - Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-SiG 2.0

Das IT-Sicherheitsgesetz 2.0 wurde im Bundesgesetzblatt veröffentlicht und ist am 28.05.2021 in Kraft getreten:

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0)


Volltext BGH liegt vor: Rechtsanwälte haben keinen Anspruch auf Ende-zu-Ende-Verschlüsselung des beA - derzeitige Verschlüsselung sicher genug

BGH
Urteil vom 22.03.2021
AnwZ (Brfg) 2/20
BRAO § 31a Abs. 1 und 6; RAVPV §§ 19, 20


Wir hatten bereits in dem Beitrag BGH: Rechtsanwälte haben keinen Anspruch auf Ende-zu-Ende-Verschlüsselung des beA - derzeitige Verschlüsselung sicher genug über die Entscheidung berichtet.

Leitsätze des BGH:
a) Der Bundesrechtsanwaltskammer steht ein Spielraum bei der technischen Ausgestaltung der Nachrichtenübermittlung mittels des besonderen elektronischen Anwaltspostfachs zu, sofern das gewählte System eine im Rechtssinne sichere Kommunikation gewährleistet.

b) Ein Anspruch von Rechtsanwälten gegen die Bundesrechtsanwaltskammer darauf, dass diese das besondere elektronische Anwaltspostfach mit einer Ende-zu-Ende-Verschlüsselung im Sinne der Europäischen Patentschrift EP 0 877 507 B1 versieht und betreibt, besteht nicht. Weder die gesetzlichen Vorgaben für die Errichtung und den Betrieb des besonderen elektronischen Anwaltspostfachs noch die Verfassung gebieten eine derartige Verschlüsselung.

c) Zur Sicherheit der Verschlüsselungstechnik des besonderen elektronischen Anwaltspostfachs.

BGH, Urteil vom 22. März 2021 - AnwZ (Brfg) 2/20 - Anwaltsgerichtshof Berlin

Den Volltext der Entscheidung finden Sie hier:


BGH: Rechtsanwälte haben keinen Anspruch auf Ende-zu-Ende-Verschlüsselung des beA - derzeitige Verschlüsselung sicher genug

BGH
Urteil vom 22.03.2021
AnwZ (Brfg) 2/20


Der BGH hat entschieden, dass Rechtsanwälte keinen Anspruch auf Ende-zu-Ende-Verschlüsselung des beA haben. Die derzeitige Verschlüsselung ist nach Ansicht des BGH sicher genug.

Die Pressemitteilung des BGH:

Besonderes elektronisches Anwaltspostfach – kein Anspruch auf Verwendung einer anderen
Verschlüsselungstechnik

Der Senat für Anwaltssachen des Bundesgerichtshofs hat heute entschieden, dass ein Anspruch von Rechtsanwälten auf Verwendung einer bestimmten Verschlüsselungstechnik bei der Übermittlung von Nachrichten mittels des besonderen elektronischen Anwaltspostfachs nicht besteht.

Sachverhalt:

Die Kläger sind zugelassene Rechtsanwälte. Die beklagte Bundesrechtsanwaltskammer richtete auf Grundlage von § 31a Abs. 1 BRAO für sie ein besonderes elektronisches Anwaltspostfach ein. Nach § 31a Abs. 6 BRAO sind die Kläger verpflichtet, die für dessen Nutzung erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und den Zugang von Mitteilungen über dieses Postfach zur Kenntnis zu nehmen.

Die Kläger wenden sich gegen die technische Ausgestaltung des besonderen elektronischen Anwaltspostfachs durch die Beklagte, weil dieses nicht über eine Ende-zu-Ende-Verschlüsselung verfüge, bei der sich die privaten Schlüssel ausschließlich in der Verfügungsgewalt der Postfachinhaber befänden. Sie verlangen mit ihrer Klage, dass die Bundesrechtsanwaltskammer das besondere elektronische Anwaltspostfach für sie mit einer derartigen Verschlüsselung betreibt und das derzeitige Verschlüsselungssystem nicht weiter verwendet.

Bisheriger Prozessverlauf:

Die Klage hat in der Vorinstanz keinen Erfolg gehabt.

Nach Auffassung des Anwaltsgerichtshofs besteht kein Anspruch darauf, dass das besondere elektronische Anwaltspostfach ausschließlich mit einer Ende-zu-Ende-Verschlüsselung in dem von den Klägern geforderten Sinne betrieben wird. Ein derartiger Anspruch ergebe sich weder aus den einfachen Gesetzen noch aus der Verfassung. Die gewählte Architektur des besonderen elektronischen Anwaltspostfachs sei sicher im Rechtssinne.

Entscheidung des Bundesgerichtshofs

Der Senat für Anwaltssachen hat die Berufung der Kläger zurückgewiesen.

Den Klägern steht kein Anspruch darauf zu, dass bei der Übermittlung von Nachrichten mit Hilfe des besonderen elektronischen Anwaltspostfachs das derzeit verwendete Verschlüsselungsverfahren durch das von ihnen bevorzugte Verschlüsselungssystem ersetzt wird.

Die über das besondere elektronische Anwaltspostfach übermittelten Nachrichten sind während der Übertragung durchgehend mit demselben – seinerseits verschlüsselten – Nachrichtenschlüssel verschlüsselt und liegen grundsätzlich nur bei dem Absender und dem berechtigten Empfänger unverschlüsselt vor. Die Voraussetzungen einer Ende-zu-Ende-Verschlüsselung im Sinne der europäischen Patentschrift EP 0 877 507 B1 erfüllt das Verschlüsselungssystem indes deshalb nicht, weil die die Nachricht verschlüsselnden Nachrichtenschlüssel nicht direkt an den Empfänger übermittelt und nur dort entschlüsselt werden. Sie werden vielmehr in einem sogenannten Hardware Security Module auf die Schlüssel der berechtigten Leser der Nachricht umgeschlüsselt.

Den Klägern steht jedoch kein Anspruch darauf zu, dass die von der Beklagten gewählte Verschlüsselungstechnik unterlassen und eine Ende-zu-Ende-Verschlüsselung im Sinne der europäischen Patentschrift verwendet wird. Die einfachgesetzlichen Vorgaben, insbesondere § 19 Abs. 1 und § 20 Abs. 1 RAVPV, lassen nicht ausschließlich eine Übermittlung mittels der von den Klägern geforderten Verschlüsselungstechnik zu. Vielmehr steht der Bundesrechtsanwaltskammer hinsichtlich der technischen Umsetzung ein gewisser Spielraum zu, sofern eine im Rechtssinne sichere Kommunikation gewährleistet ist. Ein Anspruch der Kläger auf die von ihnen geforderte Verschlüsselungstechnik könnte deshalb nur bestehen, wenn eine derartige Sicherheit allein durch das von ihnen geforderte Verschlüsselungssystem bewirkt werden könnte. Dies hat das Verfahren jedoch nicht ergeben. Vielmehr ist davon auszugehen, dass auch die gewählte Methode grundsätzlich eine hinreichende Sicherheit der Kommunikation gewährleisten kann. Nicht behebbare Sicherheitsrisiken hat das Verfahren nicht aufgezeigt. Etwaige behebbare Sicherheitsrisiken stünden dabei der grundsätzlichen Eignung des gewählten Verschlüsselungsverfahrens nicht entgegen und begründeten keinen Anspruch der Kläger auf Verwendung der von ihnen bevorzugten Verschlüsselungsmethode.

Die Verwendung der von den Klägern geforderten Verschlüsselungstechnik ist auch nicht aus verfassungsrechtlichen Gründen geboten. Es verstößt nicht gegen die Grundrechte der Kläger, insbesondere nicht gegen die Berufsausübungsfreiheit nach Art. 12 Abs. 1 GG, dass die Beklagte bei dem Betrieb des besonderen elektronischen Anwaltspostfachs nicht eine Ende-zu-Ende-Verschlüsselung in dem von den Klägern geforderten Sinne verwendet. Die Wahl der Verschlüsselungsmethode beeinträchtigt weder die Vertraulichkeit der Kommunikation noch das anwaltliche Vertrauensverhältnis zum Mandanten, wenn die gewählte Methode als sicher im Rechtssinne anzusehen ist. Ein auf die Verfassung gestützter Anspruch der Kläger auf Verwendung der von ihnen geforderten Verschlüsselungsmethode scheidet somit ebenfalls deshalb aus, weil das Verfahren nicht ergeben hat, dass diese Sicherheit nur hierdurch gewährleistet werden könnte.

Vorinstanz

Anwaltsgerichtshof Berlin – Urteil vom 14. November 2019 – I AGH 6/18

Die maßgeblichen Vorschriften lauten:

§ 31a BRAO Besonderes elektronisches Anwaltspostfach

(1) Die Bundesrechtsanwaltskammer richtet für jedes im Gesamtverzeichnis eingetragene Mitglied einer Rechtsanwaltskammer ein besonderes elektronisches Anwaltspostfach empfangsbereit ein. Nach Einrichtung eines besonderen elektronischen Anwaltspostfachs übermittelt die Bundesrechtsanwaltskammer dessen Bezeichnung an die zuständige Rechtsanwaltskammer zur Speicherung in deren Verzeichnis.

[…]

(3) Die Bundesrechtsanwaltskammer hat sicherzustellen, dass der Zugang zu dem besonderen elektronischen Anwaltspostfach nur durch ein sicheres Verfahren mit zwei voneinander unabhängigen Sicherungsmitteln möglich ist. Sie hat auch Vertretern, Abwicklern und Zustellungsbevollmächtigten die Nutzung des besonderen elektronischen Anwaltspostfachs zu ermöglichen; Absatz 2 gilt sinngemäß. Die Bundesrechtsanwaltskammer kann unterschiedlich ausgestaltete Zugangsberechtigungen für Kammermitglieder und andere Personen vorsehen. Sie ist berechtigt, die in dem besonderen elektronischen Anwaltspostfach gespeicherten Nachrichten nach angemessener Zeit zu löschen. Das besondere elektronische Anwaltspostfach soll barrierefrei ausgestaltet sein.

[…]

(6) Der Inhaber des besonderen elektronischen Anwaltspostfachs ist verpflichtet, die für dessen Nutzung erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und den Zugang von Mitteilungen über das besondere elektronische Anwaltspostfach zur Kenntnis zu nehmen.

[…]

§ 19 RAVPV Besonderes elektronisches Anwaltspostfach

(1) Das besondere elektronische Anwaltspostfach dient der elektronischen Kommunikation der in das Gesamtverzeichnis eingetragenen Mitglieder der Rechtsanwaltskammern, der Rechtsanwaltskammern und der Bundesrechtsanwaltskammer mit den Gerichten auf einem sicheren Übermittlungsweg. Ebenso dient es der elektronischen Kommunikation der Mitglieder der Rechtsanwaltskammern, der Rechtsanwaltskammern und der Bundesrechtsanwaltskammer untereinander.

(2) Das besondere elektronische Anwaltspostfach kann auch der elektronischen Kommunikation mit anderen Personen oder Stellen dienen.

[…]

§ 20 RAVPV Führung der besonderen elektronischen Postfächer

(1) Die Bundesrechtsanwaltskammer hat die besonderen elektronischen Anwaltspostfächer auf der Grundlage des Protokollstandards "Online Services Computer Interface – OSCI" oder einem künftig nach dem Stand der Technik an dessen Stelle tretenden Standard zu betreiben. Die Bundesrechtsanwaltskammer hat fortlaufend zu gewährleisten, dass die in § 19 Absatz 1 genannten Personen und Stellen miteinander sicher elektronisch kommunizieren können.

(2) Der Zugang zum besonderen elektronischen Anwaltspostfach soll barrierefrei im Sinne der Barrierefreie-Informationstechnik-Verordnung sein.

(3) Die Bundesrechtsanwaltskammer hat zu gewährleisten, dass bei einem Versand nicht-qualifiziert signierter elektronischer Dokumente durch einen Rechtsanwalt auf einem sicheren Übermittlungsweg für den Empfänger feststellbar ist, dass die Nachricht von dem Rechtsanwalt selbst versandt wurde.

BMI: Stand 19.11.2020 - Neuer Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0

Es liegt eine neue Version - Stand 19.11.2020 - des Referentenentwurfes eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0 vor.

Sie finden den Entwurf hier:
Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) - Stand 19.11.2020


OVG Lüneburg: Behörde muss bei Übermittlung personenbezogener Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung Sicherungsvorkehrungen treffen

OVG Lüneburg
Beschluss vom 22.07.2020
11 LA 104/19


Das OVG Lüneburg hat entschieden, dass eine Behörde bei Übermittlung personenbezogener Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen muss.

Leitsätze des Gerichts:

1. Ob die Übermittlung eines Bescheides, der personenbezogene Daten enthält, durch die Behörde per Fax rechtswidrig war, kann im Wege einer Feststellungsklage bei Vorliegen eines Feststellungsinteresses zur Überprüfung gestellt werden.

2. Bei der Übermittlung von personenbezogenen Daten per Fax muss die Behörde zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand.

Den Volltext der Entscheidung hier:

LfDI Baden-Württemberg: Bußgeld in Höhe von 1.240.000,00 EURO gegen AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO

Das LfDI Baden-Württemberg hat ein Bußgeld in Höhe von 1.240.000,00 EURO gegen die AOK Baden-Württemberg wegen Verstößen gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) verhängt.

Die Pressemitteilung des LfDI:

LfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg – Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung

Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.


BMI: Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0

Es liegt der Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0 vor.

Sie finden den Entwurf hier:
Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0


AGH Berlin: Rechtsanwälte haben keinen Anspruch auf beA mit Ende-zu-Ende-Verschlüsselung

AGH Berlin
Urteil vom 14.11.2019
AGH 6/18


Der Anwaltsgerichtshof Berlin hat entschieden, dass Rechtsanwälte keinen Anspruch darauf haben, dass das besondere elektronische Anwaltspostfach (beA) mit einer Ende-zu-Ende-Verschlüsselung ausgestattet wird. Nach Ansicht des AGH Berlin ist die derzeitige Ausgestaltung des beA ausreichend sicher.

Den Volltext der Entscheidung finden Sie hier:


BSI: Entwurf des neuen Risikomanagement-Standards 200-3 - Modernisierungsprozess des IT-Grundschutzes

Das BSI hat den Entwurf des neuen Risikomanagement-Standards 200-3 - Modernisierungsprozess des IT-Grundschutzes veröffentlicht.

BSI veröffentlicht Entwurf des neuen Risikomanagement-Standards

Im Rahmen des 3. IT-Grundschutz-Tags 2016 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der IT-Sicherheitsmesse it-sa in Nürnberg den ersten neuen BSI-Standard vorgestellt, der aus dem Modernisierungsprozess des IT-Grundschutzes hervorgegangen ist.

In dem neuen Risikomanagement-Standard 200-3 sind erstmals alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt in einem Dokument dargestellt. Anwender können dadurch mit einem deutlich reduzierten Aufwand das angestrebte Sicherheitsniveau erreichen. Die Risikoanalyse aus dem bisherigen BSI-Standard 100-3 wurde in ein vereinfachtes Gefährdungsmodell überführt.

Der neue Standard wird zunächst als Community Draft veröffentlicht, damit auch Anwender ihre Anregungen und Hinweise in die Weiterentwicklung des IT-Grundschutzes einbringen können. Er bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten.

Hierzu erklärt Arne Schönbohm, Präsident des BSI: "Infolge der Digitalisierung nimmt die Komplexität der IT und damit auch die Abhängigkeit von Staat, Wirtschaft und Gesellschaft von IT stetig zu. Cyber-Sicherheit und ein umfassendes Risikomanagement sind entscheidende Kriterien für eine erfolgreiche Digitalisierung, insbesondere in Verwaltung und Wirtschaft. Der IT-Grundschutz und der neue BSI-Standard zum Risikomanagement sind eine wichtige Grundlage, um Gefährdungspotentiale zu untersuchen, realistisch zu bewerten und mögliche Risiken angemessen zu behandeln. Dazu gehört, einen soliden Prozess zur Risikoentscheidung aufzusetzen."



BGH: Zu den Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking - Anscheinsbeweis bei PIN und smsTAN möglich

BGH
Urteil vom 26.01.2016
XI ZR 91/14


Der BGH hat sich in dieser Entscheidung mit den Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking befasst und entschieden, dass trotzt bestehender Sicherheitsbedenken beim Verwendung von PIN und smsTan ein Anscheinsbeweis zu Gunsten der Bank / Sparkasse bestehen kann. Voraussetzung ist - so der BGH - jedoch, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Der BGH hat die Sache an die Vorinstanz zurückverwiesen.

Die Pressemitteilung des BGH:

Bundesgerichtshof entscheidet zu Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking

Der für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass § 675w Satz 3 BGB* die Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking bei Erteilung eines Zahlungsauftrags unter Einsatz der zutreffenden PIN und TAN nicht verbietet. Es muss aber geklärt sein, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Bei einer missbräuchlichen Nutzung des Online-Bankings spricht kein Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Kontoinhabers.

Die beklagte GmbH unterhielt bei der klagenden Sparkasse u.a. ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er u.a. auf das Geschäftsgirokonto zugreifen konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren (Übermittlung der Transaktionsnummer durch SMS) über eine Mobilfunknummer des Geschäftsführers der Beklagten vereinbart. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden am 15. Juli 2011 aus nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 EUR und 191.576,25 EUR gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Am Freitag, dem 15. Juli 2011, um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten.

Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst Zinsen. Sie hatte in beiden Tatsacheninstanzen Erfolg.

Der XI. Zivilsenat hat auf die Revision der Beklagten das Berufungsurteil aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Dabei waren im Wesentlichen folgende Überlegungen maßgeblich:

Ist die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang strittig, hat das ausführende Kreditinstitut (Zahlungsdienstleister) bei Verwendung eines Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach § 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat die klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt. Dies genügt aber nach § 675w Satz 3 BGB "nicht notwendigerweise", um den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des Zahlungsvorganges durch den Zahlungsdienstnutzer (hier: Kontoinhaberin) zu führen. Das schließt nicht aus, dass sich der Zahlungsdienstleister auf einen Anscheinsbeweis berufen kann. Dem Wortlaut des § 675w Satz 3 BGB ist nämlich genügt, da die Grundsätze des Anscheinsbeweises weder eine zwingende Beweisregel noch eine Beweisvermutung begründen.

Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises auf die Autorisierung eines Zahlungsvorgangs bei Verwendung eines Zahlungsauthentifizierungsinstruments ist aber die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.

Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorliegen.

Diese Voraussetzungen hat das Berufungsgericht verkannt und die notwendigen Feststellungen zur praktischen Unüberwindbarkeit des konkret eingesetzten Sicherungssystems sowie zu den zur Erschütterung eines eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht getroffen, weshalb das Berufungsurteil aufzuheben war.

Das Urteil des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als zutreffend dar.

Die Grundsätze der Anscheinsvollmacht finden zulasten der Beklagten keine Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und Häufigkeit des Handelns des Scheinvertreters.

Auch ein Anscheinsbeweis für eine grob fahrlässige Verletzung einer Pflicht aus § 675l BGB** durch die Beklagte und damit ein Anspruch der Klägerin aus § 675v Abs. 2 BGB** scheiden auf Grundlage der bisherigen Feststellungen aus. Im Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.

Vorinstanzen:

Landgericht Lübeck - Urteil vom 7. Juni 2013 - 3 O 418/12

Schleswig-Holsteinisches Oberlandesgericht in Schleswig - Beschluss vom 22. Januar 2014 - 5 U 87/13

Karlsruhe, den 26. Januar 2016

§ 675w BGB

Nachweis der Authentifizierung

Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Wurde der Zahlungsvorgang mittels eines Zahlungsauthentifizierungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler

1. den Zahlungsvorgang autorisiert,

2. in betrügerischer Absicht gehandelt,

3. eine oder mehrere Pflichten gemäß § 675l verletzt oder

4. vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verstoßen hat.

** § 675l BGB

Pflichten des Zahlers in Bezug auf Zahlungsauthentifizierungsinstrumente

Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat.

*** § 675v BGB

Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments

(…)

(2) Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung

1. einer oder mehrerer Pflichten gemäß § 675l oder

2. einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt hat.

(...)

LG Oldenburg: Bank muss Kunden Schadensersatz für Phishing-Attacke beim Online-Banking ersetzen - Kein Anscheinsbeweis bei mTan-Verfahren

LG Oldenburg
Urteil vom 15.01.2016
8 O 1454/15


Das LG Oldenburg hat eine Bank dazu verurteilt, ihrem Kunden den durch eine Phishing-Attacke beim Online-Banking entstandenen Schaden zu ersetzen. Das Gericht weist dabei darauf hin, dass die Bank beweisen muss, dass der Kunde eine Zahlung autorisiert hat. Es gibt - so das Gericht zutreffend - mangels ausreichender Sicherheit keinen Anscheinsbeweis beim mTan-Verfahren.

Landgericht Oldenburg verurteilt Bank zum Ausgleich des Schadens aufgrund einer Phishing-Attacke beim Online-Banking

Mit Urteil vom 15.01.2016 hat die 8. Zivilkammer des Landgerichts Oldenburg eine Bank aus Lohne zum Ausgleich des Schadens verurteilt, den der Nutzer des Online-Banking-Verfahrens aufgrund einer Phishing-Attacke erlitten hat.

Der Kläger nutzte seit 15 Jahren das von der beklagten Bank angebotene Online Banking System und zwar zuletzt in Form des mTan-Verfahrens. Dort erhält der Kunde von der Bank zur Freigabe seines Bankauftrags eine SMS an sein Mobiltelefon, mittels derer er sich am PC als Berechtigter legitimieren kann.

In der Zeit vom 09.03.2015 bis 13.03.2015 sei es zu 44 unberechtigten Überweisungen von den Konten des Klägers gekommen mit einem Gesamtschaden von 11.244,62 €. Der Kläger verlangte von der Beklagten - vereinfacht dargestellt - Schadensersatz in dieser Höhe. Die Beklagte weigerte sich mit der Begründung, der Kläger habe grob fahrlässig gehandelt, insbesondere habe er App´s auf sein Mobiltelefon heruntergeladen, die nicht aus sicheren Quellen herrührten.

Nach durchgeführter Beweisaufnahme hat das Landgericht der Klage stattgegeben. Die Beklagte hat nachzuweisen, dass es sich bei den streitgegenständlichen Zahlungsvorgängen um solche gehandelt hat, die der Kläger autorisiert hat. Nicht der Kläger hat zu beweisen, dass er Opfer einer Phishing-Attacke wurde und somit die Zahlungsvorgänge durch unberechtigte Dritte erfolgten. Dafür ist es nicht ausreichend, dass die Bank die Zahlungsvorgänge elektronisch aufzeichnet. Auch spricht kein Anscheinsbeweis für eine autorisierte Zahlung, wenn die Legitimation unter Verwendung der dem Kläger zur Verfügung gestellten Benutzernamen, PIN und TAN erfolgt.

Das Urteil ist noch nicht rechtskräftig. Az.: 8 O 1454/15


OLG Bremen: Kein Anscheinsbeweis, dass über ein eBay-Konto abgegebenes Gebot tatsächlich vom Inhaber des eBay-Kontos stammt

OLG Bremen
Beschluss vom 21.06.2012
3 U 1/12


Das OLG Bremen hat entschieden, dass kein Anscheinsbeweis dafür besteht, dass ein über ein eBay-Konto abgegebenes Gebot tatsächlich vom Inhaber des eBay-Kontos stammt. Insofern rügt das Gericht die nicht ausreichenden Sicherheitsstandards im Internet. Verkäufern bei eBay dürfte es im Streitfall sehr schwer fallen, nachzuweisen, dass das Gebot tatsächlich vom Kontoinhaber getätigt wurde.


Aus den Entscheidungsgründen:

"Der Kläger hat den Beweis dafür, dass der Beklagte das streitgegenständliche Höchstgebot abgegeben hat, nicht geführt. Einen Beweis dafür, dass der Beklagte das Angebot selbst abgegeben hat, hat der Kläger nicht angeboten. Zutreffend hat das Landgericht ausgeführt, dass die Beweislast für den Vertragsschluss beim Kläger liegt, da er Ansprüche aus diesem Vertrag ableiten will.
[...]
Zutreffend ist das Landgericht auch zu dem Ergebnis gekommen, dass für die Tatsache, dass eine über ein bestimmtes Mitgliedskonto abgegebene Willenserklärung von dem jeweiligen Kontoinhaber abgegeben worden ist, kein Anscheinsbeweis spricht, da es an einem für die Annahme eines Anscheinsbeweises erforderlichen typischen Geschehensablauf fehlt. Der Sicherheitsstandard im Internet ist derzeit nicht ausreichend, um aus der Verwendung eines geheimen Passworts auf denjenigen als Verwender zu schließen, dem dieses Passwort ursprünglich zugeteilt worden ist (BGH NJW 2011, 2421 ff, 2422 m.w.N.; Hamm, NJW 2007, 611; vgl. auch Klein, MMR 2011, 447 ff., 450)."


Den Volltext der Entscheidung finden Sie hier: