Skip to content

EuGH-Generalanwalt: Bei einem Datenleck oder Hackerangriff kann ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO für Befürchtung eines künftigen Missbrauchs der Daten bestehen

EuGH-Generalanwalt
Schlussanträge vom 27.04.2023
C-340/21 | Natsionalna agentsia za prihodite


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass bei einem Datenleck oder Hackerangriff ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO gegen die verarbeitende Stelle für die Befürchtung eines künftigen Missbrauchs der Daten bestehen kann.

Die Pressemitteilung des EuGH:
Bei einem unbefugten Zugang zu personenbezogenen Daten durch Dritte haftet der Verantwortliche für mutmaßliches Verschulden und es kommt eventuell ein Ersatz des immateriellen Schadens in Betracht

Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist. Die Befürchtung eines künftigen Missbrauchs personenbezogener Daten kann nur dann einen immateriellen Schaden darstellen, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handelt.

Am 15. Juli 2019 verbreiteten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der bulgarischen Nationalen Agentur für Einnahmen (NAP) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht worden seien. Mehrere Personen, darunter V.B., verklagten die NAP auf Ersatz des immateriellen Schadens, der sich in Sorgen und Befürchtungen des künftigen Missbrauchs ihrer personenbezogenen Daten äußere. Nach Ansicht von V.B. hatte die NAP gegen nationale Vorschriften und ihre Verpflichtung verstoßen, geeignete Maßnahmen zu ergreifen, um als Verantwortliche bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsstandards zu gewährleisten. Das erstinstanzliche Gericht wies die Klage mit der Begründung ab, dass die Veröffentlichung der Daten nicht der NAP zuzurechnen sei, dass die Beweislast für die Geeignetheit der Maßnahmen bei V.B. liege und dass kein immaterieller Schaden geltend gemacht werden könne. Das mit der Kassationsbeschwerde befasste Oberste Verwaltungsgericht hat dem Gerichtshof einige Fragen zur Auslegung der DatenschutzGrundverordnung1 zur Vorabentscheidung vorgelegt, um zu klären, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In den heutigen Schlussanträgen weist Generalanwalt Giovanni Pitruzzella zunächst darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen müsse, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der Verordnung erfolge. Die Geeignetheit dieser Maßnahmen werde unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen auf der Grundlage einer Einzelfallprüfung bestimmt.

Der Generalanwalt führt erstens aus, dass das Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“ an sich nicht ausreiche, um anzunehmen, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet" gewesen seien, um den Schutz der Daten zu gewährleisten. Bei der Auswahl der Maßnahmen müsse der Verantwortliche eine Reihe von Faktoren berücksichtigen, darunter den „Stand der Technik“, der eine Begrenzung des technologischen Niveaus der Maßnahmen auf das, was zum Zeitpunkt des Ergreifens der Maßnahmen vernünftigerweise möglich sei, zulasse, wobei auch die Implementierungskosten zu berücksichtigen seien. Die Entscheidung des Verantwortlichen unterliege einer möglichen gerichtlichen Prüfung der Vereinbarkeit mit der Verordnung. Die Beurteilung der Geeignetheit der Maßnahmen müsse auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen unter Wahrung des allgemeinen Verhältnismäßigkeitsgrundsatzes beruhen.

Zweitens müsse das nationale Gericht bei der Prüfung der Frage, ob die Maßnahmen geeignet gewesen seien, eine Überprüfung vornehmen, die sich auf eine konkrete Analyse sowohl des Inhalts der Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen erstrecke. Bei der gerichtlichen Überprüfung müssten daher alle Faktoren berücksichtigt werden, die in der Verordnung enthalten seien. Unter diesen Faktoren könne die Einführung von Verhaltensregeln oder Zertifizierungssystemen ein nützliches Element der Bewertung zum Zweck der Erfüllung der Beweispflicht sein, wobei der Verantwortliche nachweisen müsse, dass er die in den Verhaltensregeln vorgesehenen Maßnahmen tatsächlich ergriffen habe, während die Zertifizierung als solche den Beweis für die Übereinstimmung der durchgeführten Verarbeitungen mit der Verordnung darstelle. Da diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden müssten, habe das Gericht auch diesen Umstand zu würdigen.

Drittens obliege dem Verantwortlichen der Nachweis, dass die Maßnahmen geeignet seien. Gemäß dem Grundsatz der Verfahrensautonomie sei es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die zulässigen Beweismittel und deren Beweiskraft, einschließlich der Ermittlungsmaßnahmen, zu bestimmen.

Viertens stelle der Umstand, dass der Verstoß gegen die Verordnung von einem Dritten begangen worden sei, für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung müsse der Verantwortliche mit hohem Beweisniveau nachweisen, dass er für den Umstand, durch den der Schaden eingetreten sei, in keinerlei Hinsicht verantwortlich sei. Bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handele es sich nämlich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche habe daher die Möglichkeit, einen Entlastungsbeweis vorzulegen.

Schließlich ist der Generalanwalt der Ansicht, dass der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten bestehe und dessen Vorhandensein die betroffene Person nachgewiesen habe, einen immateriellen Schaden darstellen könne, der einen Schadensersatzanspruch begründe. Dies gelte aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handele.


Die vollständigen Schlussanträge finden Sie hier:

AG München: Kein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO gegen Anbieter von Treuepunktesystem für Punkteverlust mangels Substantiierung der Kausalität

AG München
Urteil vom 03.08.2022
211 C 578/22

Das AG München hat in diesem Fall einen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO gegen den Anbieter eines Treuepunktesystems für Punkteverlust mangels Substantiierung der Kausalität einer behaupteten unzureichenden Zugangssicherung abgelehnt.

Aus den Entscheidungsgründen:
2. Der Kläger hat gegen die Beklagte keinen Anspruch auf Zahlung von immateriellem Schadensersatz in Höhe von 4.500,00 € aus Art. 82 Abs. 1 DSGVO in Verbindung mit Art. 32 Abs. 1 DSGVO.

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.

Zwischen den Parteien ist strittig, ob die Beklagte gegen die Datenschutzgrundverordnung verstoßen hat. Der Kläger trägt nach den allgemeinen zivilprozessualen Grundsätzen die Darlegungsund Beweislast für die haftungsbegründenden Voraussetzungen (mwN Paulus in: BeckOK, Datenschutzrecht, 37. Ed., Art. 82 DSGVO, Rn. 51; LG München I, Urt. v. 9.12.2021 – 31 O 16606/20; zu weitgehend LAG Baden-Württemberg, Urt. v. 25.02.2021 - 17 Sa 37/20, Rz. 99, die dort angeführte Rechenschaftspflicht bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde). Aus Art. 82 Abs. 3 DSGVO ergibt sich lediglich hinsichtlich des Verschuldens eine Beweislastumkehr. Damit trägt der Kläger die Darlegungs- und Beweislast hinsichtlich eines Verstoßes der Beklagten gegen die Datenschutzgrundverordnung und eines daraus kausal entstandenen Schadens.

b) Der Kläger behauptet, dass die Beklagte die gemäß § 32 Abs. 1 DSGVO erforderlichen Maßnahmen hinsichtlich des Zugangs des Klägers zu dem Kundenkonto nicht getroffen habe.

Der Kläger macht geltend, dass eine Zwei-Faktor-Authentifizierung Stand der Technik gewesen sei. Er bezieht sich in der Klageschrift zunächst darauf, dass es sich bei dem Kundenkonto um E-Geld handeln würde. Das vom Kläger vorgelegte Privatgutachten (Anlage K13 zum Schriftsatz vom 08.06.2022) stellt hinsichtlich der Zwei-Faktor-Authentifizierung ebenfalls auf das Vorliegen eines E-Geld-Kontos ab. Die Beklagte ist jedoch kein Zahlungsdienstleister. Der Kläger hat nicht ausreichend dargelegt, dass die Zwei-Faktor-Authentifizierung auch bei bloßen Kundenbindungsprogrammen Stand der Technik ist und die vorliegende Authentifizierung beim Programm der Beklagten diesen nicht erfüllt. Danach sind zwar die einzelnen zum Kunden-Login erforderlichen Informationen teilweise nicht geheim, sondern gegenüber einzelnen Vertragspartnern anzugeben oder im näheren Umfeld des Kunden bekannt. Für die Kombination der verschiedenen Merkmale beim Login wurde dies aber nicht vorgetragen. Auch hat die Beklagte ein dokumentiertes Informationssicherheits- Managementsystem im Unternehmen umgesetzt und unterliegt einer regelmäßigen Auditierung durch unabhängige Dritte. Dies erfolgt am ISO-Standard 27001 und den Sicherheitslinien des Bundesamtes für Sicherheit in der Informationstechnik. Zudem hat die Beklagte ein sogenanntes Security Information and Event Management zur Überwachung implementiert. Ein Verstoß hiergegen wurde seitens des Klägers nicht vorgetragen. Darüber hinaus ist der Stand der Technik nur ein Gesichtspunkt in der von § 32 Abs. 1 und Abs. 2 DSGVO vorgeschrieben Abwägung. Danach sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Umstände für die Gesamtabwägung aller genannten Faktoren, die danach gegen ein angemessenes Schutzniveau sprechen, werden von dem Kläger nicht vorgetragen. Ein Verstoß gegen Art. 32 DSGVO liegt danach nicht vor. Aus Art. 32 DSGVO folgt kein Anspruch auf eine Zwei-Faktor-Authentifizierung im vorliegenden Fall.

c) Der Kläger macht insbesondere geltend, dass die von der Beklagten vorgegebenen Regelungen zum Passwort unzureichend seien und nicht dem Stand der Technik entsprechen würden. Die Einlog-Modalitäten sehen vor, dass Kunden sich mit der Eingabe der Kartennummer in Verbindung mit der Angabe des Geburtsdatums und der Postleitzahl in das Kundenkonto einloggen können oder mit der Eingabe der Kartennummer und einer vierstelligen PIN, die aus einer vierstelligen Zahlenkombination besteht. Der Kläger führt aus, dass als Stand der Technik eine Mindestlänge von 10 Zeichen anzusehen sei und eine Einschränkung der verwendbaren Zeichen nicht zum Stand der Technik gehöre. Insoweit übersieht die Argumentation, dass darüber hinaus auch die Kartennummer als zusätzliche Anforderung erforderlich ist.

Ein etwaiger Verstoß der Beklagten gegen Art. 32 DSGVO – wie hier nicht – wäre jedenfalls auch nicht kausal für den behaupteten Punkteklau. Nach Vortrag der Beklagten in der Klageerwiderung (S. 9 f.) ist es technisch zwingend notwendig für die Einlösung der [...] Punkte in einen Warengutschein für [...] die [...] App zu nutzen und diese mit dem [...] Konto zu verbinden. Eine Möglichkeit [...] Gutscheine im Prämienshop der Beklagten mit Punkten zu erwerben besteht nicht (Anlage B6 zum Schriftsatz vom 23.06.2022). Auf diese [...] App hat die Beklagte keinen Einfluss. Inwieweit durch die Verknüpfung des Programms der Beklagten mit der App ein Verstoß gegen Art. 32 DSGVO vorliegen soll, hat der darlegungs- und beweisbelastete Kläger nicht substantiiert vorgetragen. Es liegt damit kein Verstoß der Beklagten gegen Art. 32 DSGVO vor.


Den Volltext der Entscheidung finden Sie hier:


LG Bonn: Bußgeld gegen 1&1 wegen Verstoßes gegen Art. 32 DSGVO wird von 9,55 Mio EURO auf 900.000 EURO reduziert

LG Bonn
Urteil vom 12.11.2020
29 OWi 1/20 LG


Das LG Bonn hat entschieden, dass das Bußgeld gegen 1&1 (Siehe dazu: BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline) wegen Verstoßes gegen Art. 32 DSGVO wird von 9,55 Mio EURO auf 900.000 EURO reduziert wird.

Die Pressemitteilung des Gerichts:

Urteil im Bußgeldverfahren gegen einen Telekommunikationsdienstleister

Die 9. Kammer für Bußgeldsachen des Landgerichts Bonn hat heute entschieden, dass das Bußgeld, welches der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) gegen einen Telekommunikationsdienstleister aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt hat, dem Grunde nach berechtigt, aber unangemessen hoch sei. Die Kammer hat das Bußgeld von ursprünglich 9,55 Millionen Euro daher auf 900.000 Euro herabgesetzt.

Anlass für das Bußgeldverfahren war eine Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Dessen ehemalige Lebensgefährtin hatte über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners erfragt, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Die neue Telefonnummer hatte sie dann zu belästigenden Kontaktaufnahmen genutzt.

Der BfDI verhängte deshalb im November 2019 gegen den Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen grob fahrlässigen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Zur Begründung führte der BfDI aus, dass die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern keinen ausreichenden Schutz für die Daten im Callcenter gewährleiste.

Gegen diesen Bescheid hat der Telekommunikationsdienstleister Einspruch eingelegt, weshalb die Sache an fünf Hauptverhandlungstagen vor der 9. Kammer für Bußgeldsachen verhandelt wurde.

Die Kammer hat entschieden, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde. Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf.

In der Sache liege ein Datenschutzverstoß vor, da der Telekommunikationsdienstleister die Daten seiner Kunden im Rahmen der Kommunikation über die sog. Callcenter nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt habe. Auf diese Weise sei es nicht berechtigten Anrufern durch ein geschicktes Nachfragen und unter Vorgabe einer Berechtigung möglich gewesen, nur mithilfe des vollständigen Namens und des Geburtsdatums an weitere Kundendaten, wie z.B. die aktuelle Telefonnummer, zu gelangen. Sensible Daten wie Einzelverbindungsnachweise, Verkehrsdaten oder Kontoverbindungen hätten auf diesem Wege indes nicht abgefragt werden können.

Die Betroffene habe sich hinsichtlich der Angemessenheit des Schutzniveaus in einem Rechtsirrtum befunden. Mangels verbindlicher Vorgaben an den Authentifizierungsprozess in Callcentern sei dieser Rechtsirrtum zwar verständlich, aber vermeidbar gewesen.

Die Höhe des Bußgeldes hat die Kammer in ihrer Entscheidung auf 900.000 Euro herabgesetzt. Das Verschulden des Telekommunikationsdienstleisters sei gering. Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt. Zudem sei zu berücksichtigten, dass es sich – auch nach der Ansicht des BfDI – nur um einen geringen Datenschutzverstoß handele. Diese habe nicht zur massenhaften Herausgabe von Daten an Nichtberechtigte führen können.




BfDI: Bußgeld von fast 10 Mio EURO gegen 1&1 - Verstoß gegen Art. 32 DSGVO bei telefonischer Kundenbetreuung - Kundenauthentifizierung bei der Hotline

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH ein Bußgeld von fast 10 Mio EURO verhängt. Inhaltlich geht es um einen Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) bei der telefonischen Kundenbetreuung und der Kundenauthentifizierung gegenüber der Hotline. 1&1 hat bereit rechtliche Schritte gegen den Bescheid angekündigt.

Die Pressemitteilung des BfDI:

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.



BVerfG: Zur Begrenzung gerichtlicher Kontrolle durch den Erkenntnisstand der Fachwissenschaft

BVerfG
Beschluss vom 23.10.2018
1 BvR 2523/13 und 1 BvR 595/14


Die Pressemitteilung des Bundesverfassungsgerichts:

Zur Begrenzung gerichtlicher Kontrolle durch den Erkenntnisstand der Fachwissenschaft

Stößt die gerichtliche Kontrolle nach weitestmöglicher Aufklärung an die Grenze des Erkenntnisstandes naturschutzfachlicher Wissenschaft und Praxis, zwingt Art. 19 Abs. 4 Satz 1 GG das Gericht nicht zu weiteren Ermittlungen, sondern erlaubt ihm, seiner Entscheidung insoweit die plausible Einschätzung der Behörde zu der fachlichen Frage zugrunde zu legen. Diese Einschränkung der Kontrolle folgt hier - anders als bei der Konkretisierung unbestimmter Rechtsbegriffe - nicht aus einer der Verwaltung eingeräumten Einschätzungsprärogative und bedarf nicht eigens gesetzlicher Ermächtigung. Auf dieser Grundlage hat der Erste Senat mit heute veröffentlichtem Beschluss zwei Verfassungsbeschwerden von Windkraftunternehmen als unzulässig verworfen. Dabei hat er aber auch klargestellt, dass der Gesetzgeber in grundrechtsrelevanten Bereichen Verwaltung und Gerichten nicht ohne weitere Maßgaben auf Dauer Entscheidungen in einem fachwissenschaftlichen „Erkenntnisvakuum“ übertragen darf. Vielmehr muss er jedenfalls auf längere Sicht für eine zumindest untergesetzliche Maßstabsbildung sorgen.

Sachverhalt:

Die Beschwerdeführerinnen begehrten die Erteilung einer immissionsschutzrechtlichen Genehmigung für Windenergieanlagen. Eine Genehmigung wurde in beiden Fällen wegen Unvereinbarkeit der Vorhaben mit § 44 Abs. 1 Nr. 1 Bundesnaturschutzgesetz (BNatSchG) versagt. Dieser verbietet, wild lebende Tiere besonders geschützter Arten zu töten. Das Tötungsverbot steht der Genehmigung entgegen, wenn sich durch das Vorhaben das Tötungsrisiko für die geschützten Tiere signifikant erhöht. Die Genehmigungsbehörden nahmen in beiden Fällen an, das Risiko der Kollision mit den geplanten Windenergieanlagen sei für Rotmilane signifikant erhöht. Die Klagen gegen die Versagung der Genehmigungen blieben bis in die Revisionsinstanz erfolglos. Die Verwaltungsgerichte gestanden der Genehmigungsbehörde dabei eine gerichtlich eingeschränkt überprüfbare „naturschutzfachliche Einschätzungsprärogative“ hinsichtlich der Erfassung des Bestandes und der Bewertung der von dem Vorhaben ausgehenden Risiken zu, weil die behördliche Beurteilung sich auf außerrechtliche Fragestellungen richte, für die allgemein anerkannte fachwissenschaftliche Maßstäbe und standardisierte Erfassungsmethoden zur Beurteilung des von Windenergieanlagen ausgehenden Risikos für Rotmilane fehlten. Mit der hiergegen gerichteten Verfassungsbeschwerde rügen die Beschwerdeführerinnen vor allem eine Verletzung ihres Rechts auf effektiven Rechtsschutz nach Art. 19 Abs. 4 Satz 1 GG durch die Einräumung einer behördlichen Einschätzungsprärogative.

Wesentliche Erwägungen des Senats:

Die Verfassungsbeschwerden entsprechen nicht dem Grundsatz der Subsidiarität. Die Beschwerdeführerinnen machen mit ihren Verfassungsbeschwerden geltend, dass für die aufgeworfenen außerrechtlichen Fragestellungen zum Tötungsrisiko für Rotmilane die nötigen naturschutzfachlichen Erkenntnisse bereits existieren. Dies hätten sie wegen der Subsidiarität der Verfassungsbeschwerde im fachgerichtlichen Verfahren rechtzeitig substantiiert vortragen müssen. Es ist nicht auszuschließen, dass sie damit die in ihren Augen verfassungswidrige Begrenzung der gerichtlichen Kontrolle hätten abwenden können, weil die Gerichte daraufhin, ihrem eigenen Ansatz folgend, möglicherweise die Voraussetzungen einer solchen Kontrollbegrenzung verneint hätten.

Der Kontrollansatz der Verwaltungsgerichte zu § 44 Abs. 1 Nr. 1 BNatSchG ist nicht von vornherein mit der Verfassung unvereinbar.

Grundsätzlich kann es zu einer mit Art. 19 Abs. 4 Satz 1 GG vereinbaren Begrenzung der gerichtlichen Kontrolle führen, wenn die Anwendung eines Gesetzes tatsächliche naturschutzfachliche Feststellungen verlangt, zu denen weder eine untergesetzliche Normierung erfolgt ist noch in Fachkreisen und Wissenschaft allgemein anerkannte Maßstäbe und Methoden existieren. Soweit es zur Beantwortung einer sich nach außerrechtlichen naturschutzfachlichen Kriterien richtenden Rechtsfrage an normativen Konkretisierungen fehlt und in Fachkreisen und Wissenschaft bislang keine allgemeine Meinung über die fachlichen Zusammenhänge und die im Einzelfall anzuwendenden Ermittlungsmethoden besteht, stößt die verwaltungsgerichtliche Kontrolle an Grenzen. Dem Verwaltungsgericht ist es dann objektiv unmöglich, den Sachverhalt vollständig aufzuklären und eine abschließende Überzeugung davon zu gewinnen, ob das Ergebnis der Entscheidung der Behörde richtig oder falsch ist. Die Grenzen der gerichtlichen Kontrolle betreffen insoweit nicht die Konkretisierung unbestimmter Rechtsbegriffe (dazu BVerfGE 129, 1 <21ff.>) und ergeben sich hier nicht daraus, dass der Verwaltung eine Einschätzungsprärogative eingeräumt wäre, sondern rühren schlicht daher, dass sich die naturschutzfachliche Richtigkeit des Ergebnisses der Verwaltungsentscheidung objektiv nicht abschließend beurteilen lässt. Wenn die gerichtliche Kontrolle nach weitestmöglicher Aufklärung an die Grenze des Erkenntnisstandes der ökologischen Wissenschaft und Praxis stößt, zwingt Art. 19 Abs. 4 Satz 1 GG das Gericht nicht zu weiteren Ermittlungen, sondern erlaubt dem Gericht, seiner Entscheidung insoweit die Einschätzung der Behörde zu der fachlichen Frage zugrunde zu legen, wenn die von der Behörde verwendeten fachlichen Maßstäbe und Methoden vertretbar sind und die Behörde insofern im Ergebnis zu einer plausiblen Einschätzung der fachlichen Tatbestandsmerkmale einer Norm gelangt ist. Nach allgemeinen Grundsätzen bleibt aber auch dann noch verwaltungsgerichtlicher Kontrolle unterworfen, ob der Behörde bei der Ermittlung und der Anwendung der von ihr aus dem Spektrum des Vertretbaren gewählten fachlichen Methode Verfahrensfehler unterlaufen sind, ob sie anzuwendendes Recht verkannt hat, von einem im Übrigen unrichtigen oder nicht hinreichend tiefgehend aufgeklärten Sachverhalt ausgegangen ist, allgemeingültige Bewertungsmaßstäbe verletzt hat oder sich von sachfremden Erwägungen hat leiten lassen.

Verfassungsrechtliche Grenzen ergeben sich für den Gesetzgeber - ohne dass es in den vorliegenden Verfahren darauf ankam - in diesem Zusammenhang auch mit Blick auf die materiellen Grundrechte und den aus Demokratie- und Rechtsstaatsprinzip abgeleiteten Wesentlichkeitsgrundsatz. Der Gesetzgeber darf in grundrechtsrelevanten Bereichen der Rechtsanwendung nicht ohne weitere Maßgaben auf Dauer Entscheidungen in einem fachwissenschaftlichen „Erkenntnisvakuum“ übertragen, das weder Verwaltung noch Gerichte selbst auszufüllen vermögen. Er würde sich so seiner inhaltlichen Entscheidungsverantwortung entziehen. Jedenfalls auf längere Sicht muss er daher zumindest für eine untergesetzliche Maßstabsbildung sorgen.



BGH: Keine wettbewerbswidrige Herkunftstäuschung bei Übernahme technischer Lösung nach dem Stand der Technik und zumutbarer Maßnahmen zur Abgrenzung

BGH
Urteil vom 14.09.2017
I ZR 2/16
Leuchtballon
UWG § 4 Nr. 3 Buchst. a


Der BGH hat entschieden, dass keine wettbewerbswidrige Herkunftstäuschung bei der Übernahme einer technischen Lösung nach dem Stand der Technik vorliegt, wenn der Nachahmer alle zumutbaren Maßnahmen zur Abgrenzung trifft, um der Herkunftstäuschung entgegenzuwirken.

Leitsatz des BGH:

Im Falle der nachschaffenden Übernahme unter Verwendung einer dem Stand der Technik entsprechenden angemessenen technischen Lösung kann eine verbleibende Herkunftstäuschung hinzunehmen sein, wenn der Nachahmer die ihm zumutbaren Maßnahmen trifft, um einer Herkunftstäuschung entgegenzuwirken.

BGH, Urteil vom 14. September 2017 - I ZR 2/16 - OLG Köln LG Köln

Den Volltext der Entscheidung finden Sie hier:

BGH: Zur Ermittlung des Stands der Technik im Prioritätszeitpunkt - Patentrecht - Gestricktes Schuhoberteil

BGH
Urteil vom 31.01.2017
X ZR 119/14
Gestricktes Schuhoberteil
EPÜ Art. 56

Leitsatz des BGH:


Dass für den Fachmann eine bestimmte Entgegenhaltung als möglicher Ausgangspunkt von Bemühungen um eine Fortentwicklung in Betracht kam, darf insbesondere bei im Prioritätszeitpunkt sehr altem Stand der Technik nicht allein aus der sachlichen Nähe zur erfindungsgemäßen Lösung gefolgert werden. Enthält jedoch eine seit vielen Jahren bekannte technische Lösung bereits alle wesentlichen Elemente der Erfindung, bedarf die Annahme, die ältere Lösung liege außerhalb desjenigen Bereichs, in dem sich am Prioritätstag aus fachmännischer Sicht mögliche Ansatzpunkte für die Lösung des technischen Problems finden ließen, einer besonders sorgfältigen Prüfung.

BGH, Urteil vom 31. Januar 2017 - X ZR 119/14 - Bundespatentgericht

Den Volltext der Entscheidung finden Sie hier:

OLG Hamm: Mangelhaftes Navigationsystem im Bentley - kein Sachverständigengutachten nach Weiterverkauf des Autos möglich

OLG Hamm
Urteil vom 22.03.2016
28 U 44/15


Das OLG Hamm hat sich in dieser Entscheidung mit der Frage befasst, ob das Navigationssystem, welches in einem Bentley verbaut war, fehlerhaft ist und somit ein Gewährleistungsfall vorliegt. Da der Käufer den Wagen aber inzwischen weiterveräußert hatte, konnte kein Sachverständigengutachten mehr eingeholt werden. Das Gericht hat die Klage abgewiesen, da der Käufer insofern beweisbelastet ist und der Nachweis nun nicht mehr erbracht werden konnte.

Die Pressemitteilung des OLG Hamm:

Bentley mit fehlerhafter Navigation? - nach Weiterverkauf nicht aufzuklären

Mängel eines in einem Bentley eingebauten Navigationssystems können mit Hilfe eines Sachverständigengutachtens nur dann zu klären sein, wenn der Sachverständige das beanstandete Navigationssystem untersuchen kann. Kann der Käufer des Fahrzeugs die Untersuchung nicht ermöglichen, weil er das Fahrzeug zwischenzeitlich veräußert hat, kann sein Schadensbegehren gegen den Verkäufer bereits aus diesem Grund erfolglos bleiben. Das hat der 28. Zivilsenat des Oberlandesgerichts Hamm am 22.03.2016 entschieden und damit das erstinstanzliche Urteil des Landgerichts Detmold im Ergebnis bestätigt.

Die klagende, auf dem Immobiliensektor tätige Firma aus Bad Salzuflen erwarb im September 2013 vom beklagten Autohaus in Hannover für ca. 200.000 Euro einen Bentley Continental GTC. Nach dem Kauf des Fahrzeugs rügte sie Mängel des Navigationssystems, das falsche bzw. nicht existente Wegführungen vorschlage. Im April 2014 teilte ihr die Beklagte mit, dass - nach Angaben des Herstellers - ein Fehler in der Grundprogrammierung der Software vorliege, der mit einer Aktualisierung
bis Ende des Jahres behoben werden solle. Dies wollte die Klägerin nicht abwarten und erklärte im Mai 2014 den Rücktritt vom
Kaufvertrag. In dem daraufhin von der Klägerin angestrengten Prozess hat sie die Rückzahlung des Kaufpreises verlangt und zur Begründung vorgetragen, dass das Navigationssystem wegen der Fehlfunktion so gut wie unbrauchbar sei. Die Beklagte hat demgegenüber behauptet, dass das Navigationssystem dem Stand der Technik entspreche. Fest eingebaute Navigationssysteme seien nie auf dem neuesten Stand und müssten deshalb regelmäßig aktualisiert werden. Im Übrigen sei
der gerügte Mangel nicht erheblich.

Gegen das der Rechtsposition der Beklagten folgende, klageabweisende erstinstanzliche Urteil des Landgerichts Detmold hat die Klägerin Berufung eingelegt. Nach zwischenzeitlicher Veräußerung des Fahrzeugs hat die Klägerin nunmehr 25.000 Euro Wertersatz verlangt. Das geänderte Klagebegehren ist in der Berufungsinstanz erfolglos geblieben. Der 28. Zivilsenat des Oberlandesgerichts Hamm hat davon Abstand genommen, ein Sachverständigengutachten einzuholen, weil die Klägerin das streitbefangene Fahrzeug nach dem Weiterverkauf nicht für eine Begutachtung durch einen Sachverständigen zur Verfü-
gung stellen konnte. In dem daraufhin verkündeten Urteil hat der Senat die Berufung der Klägerin zurückgewiesen. Der geltend gemachte Wertersatzanspruch stehe der Klägerin, so der Senat, nicht zu. Sie habe nicht nachgewiesen, dass das verkaufte Fahrzeug bei der Übergabe durch die Beklagte im September 2013 mangelhaft gewesen sei.

Als Käuferin habe sie zunächst ein Navigationsgerät mit der für ein Neufahrzeug des verkauften Modells seinerzeit aktuellen Hard- und Software erwarten können und auch erhalten. Dass das in dem Fahrzeug eingebaute Navigationssystem einen technischen Fehler aufgewiesen habe und deswegen vom Stand der Technik abgewichen sei, habe die insoweit beweisbelastete Klägerin nicht nachgewiesen. Ein derartiger Mangel lasse sich auch unter Berücksichtigung eines möglichen
Fehlers in der Grundprogrammierung im vorliegenden Fall nur mithilfe eines technischen Sachverständigengutachtens klären, wobei der Sachverständige das in dem verkauften Fahrzeug eingebaute Navigationssystem untersuchen müsse. Ein derartiges Gutachten könne nicht mehr eingeholt werden, weil die Klägerin das Fahrzeug veräußert habe und nicht mehr für eine Begutachtung zur Verfügung stellen könne.

Urteil des 28. Zivilsenats des Oberlandesgerichts Hamm vom 22.03.2016 (28 U 44/15), nicht rechtskräftig (BGH VIII ZR 87/16).

BGH: Zum Prüfungsumfang bei der als Patent angemeldeten spezifischen Anwendung eines Medikaments

BGH
Beschluss vom 25.02.2014
X ZB 6/13
Kollagenase II
PatG § 4

Leitsätze des BGH:


a) Die Anweisung, einen Körperteil unmittelbar nach der Injektion eines Medikaments für mehrere Stunden ruhigzustellen, um ein Ausbreiten in andere Körperteile zu verhindern, ist nicht schon deshalb durch den Stand der Technik nahegelegt, weil es am Prioritätstag bekannt war, dass Komplikationen, die einige Tage nach der Behandlung auftreten, durch Ruhigstellen behandelt werden können.

b) Bei der Prüfung, ob eine spezifische Anwendung eines Medikaments auf erfinderischer Tätigkeit beruht, sind auch Handlungsweisen zu berücksichtigen, die dem Fachmann deshalb nahegelegt waren, weil sie am Prioritätstag zum ärztlichen Standard-Repertoire gehörten.

BGH, Beschluss vom 25. Februar 2014 - X ZB 6/13 - Bundespatentgericht

Den Volltext der Entscheidung finden Sie hier: