BGH
Urteil vom 24.09.2024 XI ZR 111/23
BGB § 399 Fall 1, 675d Abs. 1 EGBGB Art. 248 § 4 Abs. 1 Nr. 3, § 5 ZKG §§ 5, 10
Der BGH hat entschieden, dass Auskunftsansprüche gegen den Zahlungsdienstleister auf Entgeltinformationen keinem Abtretungsverbot unterliegen und an Inkassounternehmen abgetreten werden können.
Leitsätze des BGH:
a) Die Ansprüche des Zahlungsdienstnutzers gegen den Zahlungsdienstleister auf Erteilung vorvertraglicher Entgeltinformationen aus § 675d Abs. 1 BGB i.V.m. Art. 248 § 4 Abs. 1 Nr. 3 EGBGB und des Verbrauchers aus § 5 ZKG erlöschen mit Abschluss des Zahlungsdiensterahmenvertrags durch Zeitablauf.
b) Der Anspruch des Verbrauchers gegen den Zahlungsdienstleister auf Zurverfügungstellung von Entgeltaufstellungen aus § 10 ZKG besteht nicht rückwirkend, sondern erst seit Inkrafttreten der Norm und damit seit dem 31. Oktober 2018.
c) Ein Anspruch des Zahlungsdienstnutzers aus § 675c Abs. 1 i.V.m. § 666 BGB auf Auskunftserteilung und Rechenschaftslegung bezüglich der an den Zahlungsdienstleister entrichteten Entgelte besteht insoweit, als das Auskunftsbegehren über die nach § 675d Abs. 1 BGB i.V.m. Art. 248 § 5 i.V.m. § 4 Abs. 1 Nr. 3 Buchst. a) EGBGB zu erteilenden Informationen im Einzelfall hinausgeht.
d) Die Abtretung von Ansprüchen gegen den Zahlungsdienstleister auf Entgeltinformationen aus § 675d Abs. 1 BGB i.V.m. Art. 248 § 5 i.V.m. § 4 Abs. 1 Nr. 3 Buchst. a) EGBGB, auf Zurverfügungstellung von Entgeltaufstellungen aus § 10 ZKG sowie auf Auskunftserteilung und Rechenschaftslegung aus § 675c Abs. 1 i.V.m. § 666 BGB ist nicht gemäß § 399 Fall 1 BGB ausgeschlossen.
e) Die Ansprüche gegen den Zahlungsdienstleister auf Entgeltinformationen aus § 675d Abs. 1 BGB i.V.m. Art. 248 § 5 i.V.m. § 4 Abs. 1 Nr. 3 Buchst. a) EGBGB, auf Zurverfügungstellung von Entgeltaufstellungen aus § 10 ZKG sowie auf Auskunftserteilung und Rechenschaftslegung aus § 675c Abs. 1 i.V.m. § 666 BGB sind grundsätzlich nicht isoliert, das heißt ohne den Hauptanspruch, dessen Vorbereitung und Berechnung sie in der Regel dienen, abtretbar (Anschluss an Senatsurteile vom 28. Februar 1989 - XI ZR 91/88, BGHZ 107, 104, 110 und vom 11. September 2018 - XI ZR 125/17, WM 2018, 2128 Rn. 28).
BGH, Urteil vom 24. September 2024 - XI ZR 111/23 - LG Bonn AG Bonn
Aus dem Entwurf: A. Problem und Ziel
Infolge der fortschreitenden Digitalisierung von Wirtschaft, Staat und Gesellschaft muss der Gesetzgeber darauf achten, dass das Computerstrafrecht an die geänderten technischen Verhältnisse angepasst wird, wenn dies notwendig ist, um den angestrebten Rechtsgüterschutz aufrechtzuerhalten oder auch zu verbessern. Es muss verhindert werden, dass das Strafrecht von Handlungen abschreckt, die im gesellschaftlichen Interesse erfolgen und daher wünschenswert sind. Genau dies droht im Falle des Computerstrafrechts.
Die IT-Sicherheit ist die Achillesferse der Informationsgesellschaft. Die Schließung von Sicherheitslücken hat daher allergrößte Bedeutung für die Abwehr von Cyberangriffen durch Kriminelle und durch fremde Mächte. Daher sind hinsichtlich der Informationstechnologie (IT) die vorhandenen Schwächen in der IT-Infrastruktur in den Blick zu nehmen, die durch die zunehmende Komplexität von IT-Systemen und die teilweise schwachen (Sicherheits- )Standardeinstellungen von IT-Produkten entstehen. Das Aufspüren von Sicherheitslücken in IT-Systemen gehört zu den typischen Tätigkeiten der IT-Sicherheitsforschung. Für ihre Tätigkeit ist nämlich regelmäßig ein Zugriff auf fremde Informationssysteme und Daten notwendig, die sich bereits im praktischen Einsatz befinden. Diese Ausgangslage birgt Strafbarkeitsrisiken, die sich kontraproduktiv auswirken können, weil sie nicht nur von verbotenem, sondern auch von gesellschaftlich erwünschtem Verhalten abschrecken: Die erforderlichen Zugriffshandlungen können jene Straftatbestände erfüllen, die dem Schutz des formellen Datengeheimnisses bzw. der Unversehrtheit von Daten und IT-Systemen dienen (§§ 202a ff., 303a f. des Strafgesetzbuches – StGB). Vor allem ist hier § 202a Absatz 1 StGB in den Blick zu nehmen, der das unbefugte (Sich-)Verschaffen des Zugangs zu Daten unter Strafe stellt, die nicht für den Täter bestimmt und gegen unberechtigten Zugang gesichert sind. Für den Zugang reicht die Möglichkeit der Kenntnisnahme aus, so dass schon ein bloßer Systemzugriff den Tatbestand erfüllen kann.
Eine weitere Kritik am geltenden Recht zielt darauf ab, dass die Strafrahmen die Gefährlichkeit und das hohe Schadenspotential von Computerdelikten teilweise nicht mehr adäquat abbildeten, dies gelte insbesondere bei Angriffen auf kritische Infrastrukturen. Jüngst hat sich die 221. Sitzung der Ständigen Konferenz der Innenminister und -senatoren der Länder vom 19. bis 21. Juni 2024 in Potsdam aus polizeilicher Sicht mit diesem Problem befasst und Reformbedarf auch im Bereich des Strafrechts konstatiert.
Ziel dieses Entwurfs ist die klare gesetzliche Abgrenzung von nicht zu missbilligendem Handeln der IT-Sicherheitsforschung von strafwürdigem Verhalten. Der Gesetzentwurf soll die bestehende Rechtsunsicherheit beseitigen und zudem bei schweren Begehungsformen, bei denen zum Beispiel kritische Infrastrukturen gefährdet oder beeinträchtigt werden, den Strafrahmen erhöhen.
Um bei § 202a StGB (Ausspähen von Daten) sowie § 202b StGB (Abfangen von Daten) alle strafwürdigen Angriffe angemessen ahnden zu können, sollen Regelbeispiele für besonders schwere Fälle eingeführt werden, um eine angemessene Sanktionierung zu ermöglichen.
B. Lösung
Die negative Legaldefinition des Merkmals „unbefugt“ in Artikel 1 StGB-E bewirkt, dass das Aufspüren von Sicherheitslücken in IT-Systemen dann nicht mehr strafbar ist, wenn es im Rahmen der IT-Sicherheitsforschung geschieht. Die Handlung muss dazu in der Absicht erfolgen, eine Sicherheitslücke festzustellen und den Betreiber der Datenverarbeitungsanlage, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik davon zu unterrichten. Die Handlung muss zudem erforderlich sein, um eine Lücke festzustellen. Die gleichen Kriterien gelten für die Tathandlungen nach § 202b und § 303a StGB, in denen zukünftig auf § 202a Absatz 3 StGB-E verwiesen werden soll. Die gewachsene Bedeutung der kritischen Infrastruktur und die Verletzlichkeit, die sich bei schädigenden Zugriffen in der Vergangenheit gezeigt hat, lassen es erforderlich erscheinen, die §§ 202a und 202b StGB so auszugestalten, dass bei Vorliegen eines besonders schweren Falls eine Freiheitsstrafe von drei Monaten bis zu fünf Jahren verwirkt wird.
Die Pressemitteilung des BMJ: Rechtssicherheit für die Erforschung von IT-Sicherheitslücken: Bundesjustizministerium veröffentlicht Gesetzentwurf zum Computerstrafrecht
Wer IT-Sicherheitslücken aufspüren und schließen möchte, soll nicht dem Risiko einer Strafbarkeit ausgesetzt sein. Damit dies sichergestellt ist, schlägt das Bundesministerium der Justiz eine Anpassung des Computerstrafrechts vor.
Im Gesetz soll klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforscherinnen und -forschern nicht nach dem Computerstrafrecht strafbar sind. Einen entsprechenden Gesetzentwurf hat das Ministerium heute veröffentlicht. Der Gesetzentwurf sieht außerdem eine Strafverschärfung vor: Besonders schwere Fälle des Ausspähens und Abfangens von Daten sollen künftig strenger bestraft werden als bislang.
Bundesjustizminister Dr. Marco Buschmann erklärt dazu:
„Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt. Denn Sicherheitslücken in IT-Systemen können in unserer vernetzten Welt dramatische Folgen haben. Cyberkriminelle und fremde Mächte können IT-Sicherheitslücken als Einfallstore nutzen. Krankenhäuser, Verkehrsunternehmen oder Kraftwerke können so lahmgelegt werden; persönliche Daten können ausspioniert, Unternehmen können ruiniert werden. Es ist deshalb im gesamtgesellschaftlichen Interesse, dass IT-Sicherheitslücken aufgedeckt und geschlossen werden. Mit dem Gesetzentwurf werden wir Strafbarkeitsrisiken für Personen ausschließen, die sich dieser wichtigen Aufgabe annehmen. Gleichzeitig werden wir die Strafen für besonders gefährliche Fälle des Ausspähens und Abfangens von Daten anheben.“
Der Gesetzentwurf eines Gesetzes zur Änderung des Strafgesetzbuches – Modernisierung des Computerstrafrechts sieht mehrere Anpassungen im Computerstrafrecht vor. Das Computerstrafrecht sanktioniert Straftaten, die im Zusammenhang mit Computern und der digitalen Welt stehen. Konkret sind folgende Änderungen vorgesehen:
Tatbestandsausschluss für das Aufspüren von Sicherheitslücken:
Es soll gesetzlich klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforschern, IT-Sicherheitsunternehmen sowie von sog. „Hackern“ nicht nach dem Computerstrafrecht bestraft werden können. Dabei geht es um Handlungen, die in der Absicht vorgenommen werden, eine Sicherheitslücke aufzuspüren und zu schließen. Damit solche Handlungen keinem Strafbarkeitsrisiko unterliegen, soll § 202a Strafgesetzbuch (StGB) ergänzt werden. Nach dieser Strafnorm macht sich strafbar, wer sich „unbefugt“ Zugang zu Daten verschafft. Ein neuer Absatz 3 soll klarstellen, unter welchen Umständen eine solche Handlung nicht „unbefugt“ und damit nicht strafbar ist. Der dadurch neu geregelte Strafbarkeitsausschluss soll auch für zwei weitere Straftatbestände gelten: das Abfangen von Daten (§ 202b StGB) und die Datenveränderung (§ 303a StGB).
Normierung weiterer besonders schwere Fälle des Ausspähens und Abfangens von Daten:
Das Strafrecht soll für bestimmte Fälle des Ausspähens und Abfangens von Daten verschärft werden. Die Strafvorschriften des Ausspähens von Daten (§ 202a StGB) und des Abfangens von Daten (§ 202b StGB) sollen dazu um Regelungen für besonders schwere Fälle ergänzt werden. Ein besonders schwerer Fall soll in der Regel vorliegen, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt oder aus Gewinnsucht, gewerbsmäßig oder als Mitglied einer Bande handelt. Außerdem sollen die Fälle erfasst werden, in denen – auch aus dem Ausland – durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt wird. Der Strafrahmen für diese Fälle soll auf Freiheitsstrafe von drei Monaten bis zu fünf Jahren lauten.
Der Entwurf wurde heute an Länder und Verbände verschickt und auf der Homepage des Bundesministeriums der Justiz veröffentlicht. Die interessierten Kreise haben nun Gelegenheit, bis zum 13. Dezember 2024 Stellung zu nehmen. Die Stellungnahmen der Verbände werden auf der Internetseite des Bundesjustizministeriums veröffentlicht werden.
Leitsatz des BGH:
Zur Bestimmung eines Leitentscheidungsverfahrens gemäß § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328).
BGH, Beschluss vom 31. Oktober 2024 - VI ZR 10/24 - OLG Köln - LG Bonn
Aus den Entscheidungsgründen: Die Revision wirft Rechtsfragen auf, die für eine Vielzahl anderer Verfahren von Bedeutung sind. Der Senat bestimmt das vorliegende Verfahren daher zum Leitentscheidungsverfahren im Sinne des § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328; im Folgenden: § 552b ZPO nF).
1. Die formalen Voraussetzungen zur Bestimmung des vorliegenden Verfahrens zum Leitentscheidungsverfahren liegen vor. Das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 ist nach seinem Art. 7 am Tag nach der Verkündung, mithin am 31. Oktober 2024 in Kraft getreten. Die Revisionsbegründung des Klägers wurde der Beklagten am 8. April 2024 zugestellt, die Revisionserwiderung der Beklagten ist am 15. Oktober 2024 eingegangen (§ 552b Satz 1 ZPO nF). Eine Anhörung der Parteien im Rahmen der Bestimmung des Verfahrens zum Leitentscheidungsverfahren ist nicht erforderlich (arg e contr. § 148 Abs. 4 ZPO nF; vgl. ferner Allgayer, Stellungnahme als Sachverständiger zum [Regierungs-]Entwurf eines Gesetzes zur Einführung eines Leitentscheidungsverfahrens bei Bundesgerichtshof, BTRechtsausschuss vom 13. Dezember 2023, S. 4); etwas anderes würde auch die Zielsetzung des Gesetzes unterlaufen, eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleiches zu ermöglichen (vgl. BT-Drs. 20/8762 S. 10).
2. Das Verfahren wirft die folgenden Rechtsfragen auf:
a) Liegt in der Implementierung der sog. Kontakt-Import-Funktion in Verbindung mit der Standardvoreinstellung "alle" ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO ?
b) Ist der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des Betroffenen verknüpften Daten geeignet, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen? Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen ?
c) Welche Anforderungen sind an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen ?
d) Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen?
e) Genügen die vom Kläger gestellten Anträge, dass die Beklagte es unterlasse,
- personenbezogene Daten der Klägerseite unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, und
- die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf 'privat' noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der FacebookMessenger App, hier ebenfalls explizit die Berechtigung verweigert wird,
dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO ?
3. Die Entscheidung dieser Rechtsfragen ist für eine Vielzahl anderer Verfahren von Bedeutung (§ 552b Satz 1 ZPO n.F.). Beim erkennenden Senat sind derzeit 25 weitere Revisionsverfahren zu dem Scraping-Vorfall bei der Beklagten anhängig. In den Tatsacheninstanzen sind bei unterschiedlichen Gerichten noch insgesamt mehrere tausend Verfahren anhängig (vgl. OLG Stuttgart, GRUR-RS 2023, 32883 Rn. 136: über 100 eigene und bundesweit mehr als 6.000 Parallelverfahren; OLG Hamm, GRUR-RS 2024, 16856 Rn. 23: Vielzahl eigener Parallelverfahren; OLG Köln, GRUR-RS 2023, 37347 Rn. 29: Vielzahl gleichgelagerter eigener Verfahren).
OLG Zweibrücken
Urteil vom 30.09.2024
1 ORs 1 SRs 8/24
Das OLG Zweibrücken hat entschieden, dass es für die Strafbarkeit der Beleidigung von Politikern in sozialen Medien nicht auf die Reichweite und die Anzahl der Follower ankommt.
Die Pressemitteilung des Gerichts: Gegen Personen des politischen Lebens gerichtete Beleidigung: Auf die Anzahl der „Follower“ kommt es nicht an
Der 1. Strafsenat des Oberlandesgericht Zweibrücken hat entschieden, dass es für die Strafbarkeit von Beleidigungen in sozialen Medien gegenüber im politischen Leben stehenden Personen lediglich auf den Inhalt der Äußerung ankommt. Nicht relevant sind dagegen die sonstigen Umstände, wie beispielsweise die gewählte Verbreitungsart und die Größe des Adressatenkreises.
Im September 2021 veröffentlichte ein Mann aus Kaiserslautern auf seinem öffentlichen Facebook-Profil folgenden Kommentar: „Merkel im Ahrtal…daß sich die dumme Schlampe nicht schämt…“. Der Text war dabei in weißer Schriftfarbe auf braunem Untergrund geschrieben, auf dem zudem insgesamt sieben sogenannte Emoticons in Form von lächelnden Kothaufen zu sehen waren.
Das Amtsgericht Kaiserslautern verurteilte den Angeklagten zu einer Geldstrafe. Auf die Berufung des Angeklagten stellte das Landgericht Kaiserslautern das Verfahren gegen ihn ein. Bei der sog. „Politikerbeleidigung“ (§ 188 Strafgesetzbuch: Gegen Personen des politischen Lebens gerichtete Beleidigung) seien neben der Äußerung selbst auch die Umstände des Einzelfalls in den Blick zu nehmen. Dies betreffe neben der Person des Betroffenen auch die Reichweite der jeweiligen Veröffentlichung. Der Post des Facebook-Nutzers auf seinem privaten Profil mit 417 „Freunden“ habe nicht die Reichweite, die eine Strafbarkeit seines Tuns rechtfertige. Einer Verurteilung wegen (einfacher) Beleidigung stand der fehlende Strafantrag der ehemaligen Bundeskanzlerin entgegen.
Der 1. Strafsenat des Pfälzischen Oberlandesgerichts Zweibrücken teilte diese Rechtsmeinung nicht, weshalb er das Urteil des Landgerichts in der Verhandlung am 30.09.2024 aufhob und die Sache zur erneuten Entscheidung an eine andere Kammer des Landgerichts Kaiserslautern zurückverwies. Für die Strafbarkeit komme es einzig auf den Inhalt der Äußerung an und nicht auf sonstige Umstände. Dies entspreche auch dem Willen des Gesetzgebers, der kurz vor der Tat den Anwendungsbereich des Straftatbestands durch eine Gesetzesänderung erheblich ausweitete, um Personen, die sich im politischen Leben engagieren, vor Hass und Hetze im Internet besser schützen zu können.
Da BAG hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO bei rechtswidriger heimlicher Überwachung eines Arbeitnehmers durch eine vom Arbeitsgeber beauftragte Detektei zur Bewertung des Gesundheitszustandes des Arbeitnehmers besteht.
Leitsatz des BAG:
Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung.
Die EU-Kommission hat gegen Temu u.a. wegen des Verkaufs illegaler Produkte, suchterzeugender Gestaltung und unzulässiger Produktempfehlungen ein förmliches Verfahren nach dem Digital Services Act (DSAeingeleitet.
Die Pressemitteilung der EU-Kommission: Kommission leitet förmliches Verfahren gegen Temu nach dem Gesetz über digitale Dienste ein
Die Kommission hat heute ein förmliches Verfahren eingeleitet, um zu prüfen, ob Temu möglicherweise gegen das Gesetz über digitale Dienste in Bereichen verstoßen hat, die mit dem Verkauf illegaler Produkte, der potenziell suchterzeugenden Gestaltung des Dienstes, den Systemen zur Empfehlung von Käufen für Nutzer sowie dem Datenzugang für Forscher zusammenhängen.
Der heutige Beschluss folgt auf eine vorläufige Analyse des von Temu Ende September 2024 vorgelegten Risikobewertungsberichts, der Antworten auf die förmlichen Auskunftsersuchen der Kommission vom 28. Juni 2024 und 11. Oktober 2024 sowie der von Dritten übermittelten Informationen. Die Kommission stützte sich auch auf Informationen, die im Rahmen des Kooperationsmechanismus mit den nationalen Behörden im Rahmen des Europäischen Gremiums der Koordinatoren für digitale Dienste ausgetauscht wurden, insbesondere mit dem irischen Koordinator für digitale Dienste.
Konkret wird sich die Untersuchung auf folgende Bereiche konzentrieren:
Die Systeme, über die Temu verfügt, um den Verkauf nicht konformer Produkte in der Europäischen Union einzuschränken. Es handelt sich unter anderem um Systeme zur Begrenzung des Wiederauftauchens von zuvor suspendierten Schurkenhändlern, von denen bekannt ist, dass sie in der Vergangenheit nicht konforme Produkte verkauft haben, sowie um Systeme zur Begrenzung des Wiederauftauchens nicht konformer Waren.
Die Risiken im Zusammenhang mit der suchterzeugenden Gestaltung des Dienstes, einschließlich spielähnlicher Belohnungsprogramme, und die Systeme, über die Temu verfügt, um die Risiken zu mindern, die sich aus einer solchen suchterzeugenden Gestaltung ergeben, die negative Folgen für das körperliche und geistige Wohlbefinden einer Person haben könnte.
Einhaltung der DSA-Verpflichtungen im Zusammenhang mit der Art und Weise, wie Temu den Nutzern Inhalte und Produkte empfiehlt. Dazu gehört die Anforderung, die wichtigsten Parameter, die in den Empfehlungssystemen von Temu verwendet werden, offenzulegen und den Nutzern mindestens eine leicht zugängliche Option zur Verfügung zu stellen, die nicht auf Profiling basiert.
Einhaltung der DSA-Verpflichtung, Forschern Zugang zu den öffentlich zugänglichen Daten von Temu zu gewähren.
Temu würde nach dem Gesetz über digitale Dienste haftbar gemacht, wenn sich der Verdacht der Kommission als richtig erweisen würde, da diese Mängel Verstöße gegen die Artikel 27, 34, 35, 38 und 40 des Gesetzes über digitale Dienste darstellen würden. Die Kommission wird nun vorrangig eine eingehende Untersuchung durchführen. Die Einleitung eines förmlichen Verfahrens greift dem Ergebnis nicht vor.
Nächste Schritte
Nach der förmlichen Einleitung des Verfahrens wird die Kommission weiterhin Beweise sammeln, indem sie beispielsweise zusätzliche Auskunftsersuchen an Temu oder Dritte richtet oder Überwachungsmaßnahmen oder Befragungen durchführt.
Die Einleitung eines förmlichen Verfahrens ermächtigt die Kommission, weitere Durchsetzungsmaßnahmen zu ergreifen, einschließlich des Erlasses eines Beschlusses über die Nichteinhaltung. Die Kommission ist ferner befugt, die von Temu eingegangenen Verpflichtungen zu akzeptieren, um Abhilfe in den von dem Verfahren betroffenen Bereichen zu schaffen.
Das Gesetz über digitale Dienste setzt keine rechtliche Frist für die Beendigung des förmlichen Verfahrens fest. Die Dauer einer eingehenden Untersuchung hängt von mehreren Faktoren ab, darunter der Komplexität des Falls, dem Umfang der Zusammenarbeit des betreffenden Unternehmens mit der Kommission und der Ausübung der Verteidigungsrechte.
Darüber hinaus greift die Einleitung eines förmlichen Verfahrens weder seinem Ausgang noch anderen Verfahren vor, die die Kommission nach anderen Artikeln des Gesetzes über digitale Dienste einleiten kann.
Ebenso wenig schließt sie künftige Durchsetzungsmaßnahmen aus, die von den nationalen Verbraucherschutzbehörden des Netzwerks für die Zusammenarbeit im Verbraucherschutz (CPC) in Bezug auf die Einhaltung der Verpflichtungen von Temu nach dem Verbraucherrecht der Union ergriffen werden können. Die Kommission wird ihre Bemühungen um die Zusammenarbeit mit den nationalen Behörden bei der Durchsetzung des Gesetzes über digitale Dienste fortsetzen, unter anderem durch die spezielle Arbeitsgruppe „Verbraucher und Online-Marktplätze“ des Europäischen Gremiums der Koordinatoren für digitale Dienste.
Auch die Eröffnung eines förmlichen Verfahrens steht Handlungen und Entscheidungen der Marktüberwachungsbehörden auf der Grundlage der Richtlinie über die allgemeine Produktsicherheit (Verordnung über die allgemeine Produktsicherheit vom 13.12.2024) nicht entgegen.
Hintergrund
Temu wurde am 31. Mai 2024 im Rahmen des EU-Gesetzes über digitale Dienste als sehr große Online-Plattform (VLOP) benannt, nachdem sie erklärt hatte, monatlich mehr als 45 Millionen aktive Nutzer in der EU zu haben. Vier Monate nach seiner Benennung musste Temu die strengsten Verpflichtungen für VLOP erfüllen, die im Gesetz über digitale Dienste festgelegt sind. Dazu gehört die Verpflichtung, alle systemischen Risiken, die sich aus seinem Dienst ergeben, ordnungsgemäß zu bewerten und zu mindern. Temu meldete zuletzt im September 2024 92 Millionen monatliche Nutzer.
BGH hat einen Rechtsstreit um möglichen Schadensersatz aus Art. 82 DSGVO in Facebook-Scraping-Fällen zum Leitentscheidungsverfahren nach § 552b ZPO bestimmt.
Die Pressemitteilung des BGH: Bundesgerichtshof bestimmt Leitentscheidungsverfahren in dem sog. Scraping-Komplex (Ansprüche im Zusammenhang mit einem Datenschutzvorfall beim sozialen Netzwerk Facebook)
Der u.a. für Rechtsstreitigkeiten über Ansprüche aus der Datenschutz-Grundverordnung zuständige VI. Zivilsenat hat in dem sog. Scraping-Komplex (Pressemitteilung 115/24) das Revisionsverfahren VI ZR 10/24 zum Leitentscheidungsverfahren bestimmt. Nach der durch das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328) neu geschaffenen Vorschrift des § 552b ZPO kann der Bundesgerichtshof ein bei ihm anhängiges Revisionsverfahren zum Leitentscheidungsverfahren bestimmen, wenn die Revision Rechtsfragen aufwirft, deren Entscheidung für eine Vielzahl von Verfahren von Bedeutung ist. Mit der Bestimmung zum Leitentscheidungsverfahren ist eine Entscheidung über die Rechtsfragen auch dann zu treffen, wenn eine inhaltliche Entscheidung über die Revision aus prozessualen Gründen nicht mehr ergehen kann. Damit soll eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleichs ermöglicht werden.
Das zum Leitentscheidungsverfahren bestimmte Revisionsverfahren VI ZR 10/24 wirft die Rechtsfragen auf,
ob in der von der Beklagten bei Implementierung der sog. Kontakt-Import-Funktion vorgenommenen Standardvoreinstellung auf "alle" ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO liegt,
ob der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des jeweiligen Betroffenen verknüpften Daten geeignet ist, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen,
wie in einem solchen Fall der Schaden zu bemessen wäre,
welche Anforderungen an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen sind,
ob die bloße Möglichkeit des Eintritts künftiger Schäden ausreicht, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen,
ob die vom Kläger gestellten Unterlassungsanträge dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO genügen.
Diese Rechtsfragen sind für eine Vielzahl beim Bundesgerichtshof und in den Tatsacheninstanzen anhängiger, in wesentlichen Teilen gleichgearteter Verfahren von Bedeutung. Diese Verfahren können nunmehr grundsätzlich bis zur Erledigung des Leitentscheidungsverfahrens ausgesetzt werden.
In zwei zunächst zur Verhandlung am 8. Oktober 2024 vorgesehenen Verfahren sind die Revisionen von den Klägern kurzfristig vor dem Termin zurückgenommen worden (Pressemitteilung 190/24). Für den 11. November 2024 ist Termin zur mündlichen Verhandlung in dem nunmehr zum Leitentscheidungsverfahren bestimmten Revisionsverfahren VI ZR 10/24 anberaumt (Pressemitteilung 195/24). In dem weiteren für den 11. November 2024 terminierten Verfahren VI ZR 186/24 ist die Revision zwischenzeitlich ebenfalls zurückgenommen worden.
OLG Köln - Urteil vom 7. Dezember 2023 - 15 U 67/23
Die maßgeblichen Vorschriften lauten:
§ 552b ZPO n.F.: Bestimmung zum Leitentscheidungsverfahren
Wirft die Revision Rechtsfragen auf, deren Entscheidung für eine Vielzahl anderer Verfahren von Bedeutung ist, so kann das Revisionsgericht nach Eingang einer Revisionserwiderung oder nach Ablauf eines Monats nach Zustellung der Revisionsbegründung das Revisionsverfahren durch Beschluss zum Leitentscheidungsverfahren bestimmen. Der Beschluss enthält eine Darstellung des Sachverhalts und der Rechtsfragen, deren Entscheidung für eine Vielzahl anderer Verfahren von Bedeutung ist.
(1) Endet die zum Leitentscheidungsverfahren bestimmte Revision, ohne dass ein mit inhaltlicher Begründung versehenes Urteil ergeht, so trifft das Revisionsgericht durch Beschluss eine Leitentscheidung. Der Beschluss ergeht ohne mündliche Verhandlung.
(2) In dem Beschluss wird
1. festgestellt, dass die Revision beendet ist, und
2. eine Leitentscheidung zu den im Beschluss nach § 552b benannten Rechtsfragen getroffen.
(3) Der Beschluss ist zu begründen. Die Begründung ist auf die Erwägungen zur Entscheidung der maßgeblichen Rechtsfragen zu beschränken.
(4) Das Gericht kann ferner, wenn die Entscheidung des Rechtsstreits von Rechtsfragen abhängt, die den Gegenstand eines bei dem Revisionsgericht anhängigen Leitentscheidungsverfahrens bilden, nach Anhörung der Parteien anordnen, dass die Verhandlung bis zur Erledigung des Leitentscheidungsverfahrens auszusetzen ist. Eine Aussetzung hat zu unterbleiben, wenn eine Partei der Aussetzung widerspricht und gewichtige Gründe hierfür glaubhaft macht. (…)
Leitsatz
Die in § 59 Abs. 1 Satz 1 UrhG geregelte Panoramafreiheit bezweckt die Freistellung der Nutzung von Werken, wenn und soweit sie Teil des von der Allgemeinheit wahrnehmbaren Straßen- oder Landschaftsbildes sind. Mit Hilfe einer Drohne angefertigte Luftaufnahmen unterfallen nicht der Panoramafreiheit.
BGH, Urteil vom 23. Oktober 2024 - I ZR 67/23 - OLG Hamm - LG Bochum
BGH
Urteil vom 23.10.2024 - I ZR 112/23
Manhattan Bridge
UrhG § 15 Abs. 1 Nr. 1, Abs. 2 Satz 1, Satz 2 Nr. 2, § 16, § 19a; Richtlinie 2001/29/EG Art. 3 Abs. 1
Der BGH hat entschieden, dass die Grundsätze der Haftung von Video-Sharing- und Sharehosting-Plattformen auch für die Haftung von Online-Marktplätzen gelten.
Leitsätze des BGH:
a) Die unionsrechtlichen Grundsätze der Haftung von Video-Sharing- und Sharehosting-Plattformen für eine öffentliche Wiedergabe urheberrechtlich geschützter Werke (vgl. EuGH, Urteil vom 22. Juni 2021 - C-682/18 und C-683/18, GRUR 2021, 1054 = WRP 2021, 1019 - YouTube und Cyando; BGH, Urteil vom 2. Juni 2022 - I ZR 53/17, BGHZ 233, 373 [juris Rn. 17 f.] - uploaded II; BGH, Urteil vom 2. Juni 2022 - I ZR 140/15, BGHZ 234, 56 [juris Rn. 70 f.] - Youtube II) sind auf die Haftung von Online-Marktplätzen übertragbar.
b) Der Betreiber eines Online-Marktplatzes ist - wie der einer Video-Sharing- und Sharehosting-Plattform - grundsätzlich verpflichtet, nach einem klaren Hinweis auf eine Rechtsverletzung die dort eingestellten Angebote im Rahmen des technisch und wirtschaftlich Zumutbaren auf gleichartige Verletzungen zu überprüfen und rechtsverletzende Inhalte zu sperren oder zu löschen. Bei Übertragung der für Video-Sharing- und Sharehosting-Plattformen geltenden Rechtsprechung muss den Besonderheiten von Online-Marktplätzen jedoch Rechnung getragen werden. Soweit nicht der angebotene Gegenstand selbst urheberrechtsverletzend ist, sondern das Angebot lediglich in einer urheberrechtsverletzenden Weise präsentiert wird, erstreckt sich die Prüfungspflicht des Plattformbetreibers im Regelfall allein auf gleichartig präsentierte Angebote, nicht aber auf jegliche Darstellungen des urheberrechtlich geschützten Werks.
c) Die Grundsätze der Haftung von Plattformen für eine öffentliche Wiedergabe urheberrechtlich geschützter Werke sind nicht auf eine Vervielfältigung eines urheberrechtlich geschützten Werks auf den Servern einer solchen Plattform übertragbar. Es verbleibt insoweit bei einer Haftung nach den strafrechtlichen Grundsätzen der Täterschaft und Teilnahme.
BGH, Urteil vom 23. Oktober 2024 - I ZR 112/23 - OLG Nürnberg LG Nürnberg-Fürth
Das OLG Dresden hat entschieden, dass die unzureichende Kontrolle des Auftragsverarbeiters einen Schadensersatzanspruch aus Art. 82 DSGVO des Betroffenen gegen den Verantwortlichen begründen kann.
Aus den Entscheidungsgründen: 1. Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet.
2. Die Beklagte ist der Klagepartei dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet. Der Verantwortliche und Auftragsverarbeiter haftet im Grundsatz nach Art. 82 DSGVO für das Handeln seiner Auftragsverarbeiter und deren Mitarbeiter jedenfalls dann, wenn dem Mitarbeiter erst durch die ihm vom Verantwortlichen oder Auftragsverarbeiter übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken. Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür (Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 82 EUV 2016/679, Rz. 30a). Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde. Ein Abschieben der Haftung auf den Auftragsverarbeiter widerspricht auch dem Grundgedanken der Auftragsverarbeitung, wonach der Verantwortliche zwar ohne Weiteres Dritte einschalten darf, aber gegenüber der betroffenen Person verantwortlich bleibt. Der Auftragsverarbeiter ist letztlich – mit einigen formalen und inhaltlichen Anforderungen, die aus der fehlenden arbeitsrechtlichen Weisungsbefugnis und tatsächlichen Kontrollmöglichkeit herrühren – wie ein sonstiger Mitarbeiter zu behandeln (vgl. Bergt, in: Kühling/Buchner, DSGVO, 4. Auflage, 2024, Art. 82 Rn. 55 mwN).
a) Die Beklagte hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DSGVO.
Art 28 Abs. 1 DSGVO regelt unmittelbar nur die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen. Dieser darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DSGVO durchgeführt werden. Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters - im Anschluss an dessen Auswahl - ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet [...] nur mit“). Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Zugleich enthält er eine Verpflichtung der Vertragsparteien, die Details zu den Prüfrechten auszugestalten und hierdurch eine effektive Kontrolle durch den Verantwortlichen sicherzustellen (Schaffland/Wiltfang, Datenschutz-Grundverordnung (DSGVO)/Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 28 EUV 2016/679, Rn. 61). De facto ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Durch diese vertragliche Ausgestaltung werden aber nicht nur die Pflichten des Auftragsdatenverarbeiters, sondern auch die korrespondierenden Prüfpflichten des Unternehmers konkretisiert. Ob dies auch dann gilt, wenn dem Auftragsdatenverarbeiter Pflichten auferlegt werden, die über das nach der DSGVO gebotenen Schutzniveau hinausgehen, bedarf hier entgegen der Auffassung der Beklagten im Schriftsatz vom 9.9.2024 keiner Entscheidung, weil die durch Ziff. 9 des Nachtrags geregelten Pflichten nicht über diese Mindestanforderungen hinausgehen. Wie die Beklagte im Schriftsatz vom 9.9.2024 insofern zu Recht geltend macht, ist der Auftragsverarbeiter nämlich nach Vertragsende – als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. (a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. (c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 (e) DSGVO) – verpflichtet, alle noch vorhandenen personenbezogenen Daten entweder zu löschen oder zurückzugeben (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 28 Rn. 22, 23, beck-online mit Verweisen auf Spoerr in BeckOK DatenschutzR DS-GVO Art. 28 Rn. 78). Dies entspricht Art. 9 des Nachtrags.
Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine - vollkommen praxisfremde - Vor-OrtKontrolle erforderlich wäre (Schaffland/Wiltfang aaO.). Gesteigerte Anforderungen ergeben sich indes, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen (Plath, a.a.O., Rz. 18). Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO. Ungeachtet der Frage, ob die von dem zwischen der Beklagten und dem Autragsdatenverarbeiter geschlossenen Vertrag erfassten Daten auch Daten über das Nutzerverhalten und hieraus zu erstellende Profile beinhalteten, betraf die Verarbeitung vorliegend jedenfalls nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt. Diese durch die DSGVO gesetzlich aufgestellten Anforderungen werden in Ziff. 9 der am 18.7.2019 geschlossenen Zusatzvereinbarung (Anlage B 2a) Datenschutznachtrag ("Nachtrag") als Teil des Dienstleistungsvertrags vom 01. Dezember 2016 wie folgt präzisiert:
„9. BEENDIGUNG DER VERARBEITUNG
9.1 Vorbehaltlich des Abschnitts 9.2, ist der Anbieter verpflichtet, nach Wahl des Unternehmens entweder (a) eine vollständige Kopie aller Personenbezogenen Daten des Unternehmens durch sichere Dateiübertragung in einem Format, das das Unternehmen dem Anbieter in angemessener Weise mitteilt, an das Unternehmen zurückzusenden und anschließend alle anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, innerhalb von einundzwanzig (21) Kalendertagen nach dem Datum der Beendigung der Dienstleistungen, die die Verarbeitung Personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), zu löschen und für die Löschung zu sorgen oder (b) die Daten innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum zu löschen und für die Löschung aller anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, zu sorgen.
9.2 Der Anbieter und jeder Unterauftragsverarbeiter dürfen Personenbezogene Daten des Unternehmens nur in dem Umfang und für den Zeitraum aufbewahren, wie es die anwendbaren EU-Gesetze vorschreiben, und immer nur unter der Voraussetzung, dass der Anbieter die Vertraulichkeit aller Personenbezogenen Daten des Unternehmens sicherstellt und gewährleistet, dass diese Personenbezogenen Daten des Unternehmens nur für Zwecke verarbeitet werden, die mit denen vereinbar sind, für die sie gemäß Artikel 5.1 (b) der DSGVO erhoben wurden, und wie es die anwendbaren EU-Gesetze vorschreiben, die ihre Speicherung vorschreiben.
9.3 Der Anbieter muss dem Unternehmen schriftlich bestätigen, dass er und jeder Unterauftragsverarbeiter diesen Abschnitt 9 innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum vollständig eingehalten haben.
In Ergänzung hierzu regelt Ziff. 10.1 des Nachtrags das Recht der Beklagten, von dem Auftragsdatenverarbeiter „alle erforderlichen Informationen“ verlangen zu dürfen, „soweit dies vernünftigerweise erforderlich ist“. Folgerichtig war die Beklagte zum einen verpflichtet, von ihrem Wahlrecht nach Ziff. 9.1. Gebrauch zu machen, d.h. entweder die Rückübertragung oder die Löschung der von dem Auftragsdatenverarbeiter gehosteten Daten innerhalb der dort genannten Fristen zu verlangen. Zum anderen war sie gehalten, die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen, bei deren Ausbleiben innerhalb der 21-Tage Frist die Vorlage unverzüglich anzumahnen und ggf. auch eine Vorort-Prüfung nach Art. 10 des Nachtrags vorzunehmen. Nichts davon ist hier geschehen. Dem Vortrag der Beklagten lässt sich bereits nicht entnehmen, dass diese gegenüber dem Auftragsdatenverarbeiter ihr Wahlrecht gem. Ziff. 9.1. des Nachtrags überhaupt ausgeübt hätte, ein entsprechendes Schreiben ist nicht vorgelegt worden.
Insbesondere hat sie aber dadurch gegen ihre Kontrollpflichten aus Art. 28 DSGVO verstoßen, dass sie nicht nach Ablauf der vertraglich geregelten 21-tägigen Frist von ihrer Auftragsverarbeiterin die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt. Die von dem Auftragsdatenverarbeiter unter dem Datum 9.12.2020 versandte Mail genügte dessen vertraglichen Verpflichtungen nicht, schon weil sie nicht dem Schriftformerfordernis in Ziff. 9.3. (“written certification“ in der englischen Originalfassung Anlage B 2b) entsprach (in diesem Sinne auch LG Lübeck, Beschluss vom 8. Mai 2024 – 15 O 224/23 –, Rn. 16, juris). Auch wenn, wozu die Parteien nichts vorgetragen haben, der Nachtrag dem französischen Zivilrecht unterfallen sollte, wäre die elektronische Form der Schriftform nur gleichgestellt, wenn die Identität der Person, die es erstellt hat, eindeutig nachgewiesen und die Integrität der E-Mail gewährleistet wäre (Art. 1366 cc:..“sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité“). Da aus der als Anlage B4 vorgelegten anonymisierten Kopie deren Absender nicht erkenntlich ist, liegen auch diese Voraussetzungen nicht vor. Art. 28 Abs. 9 DSGVO der nur für den „Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4“ gilt, ist auf die Löschungsbestätigung, für die die Parteien ausdrücklich die Schriftform gewählt haben, nicht anwendbar. Schwerer wiegt indes, dass die E-Mail des Auftragsdatenverarbeiters vom 9.12.2020 lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung enthielt. Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde - auch um das eigene Haftungsrisiko zu minimieren.
Die als Anlage B4 vorgelegte Löschungsankündigung des Auftragsdatenverarbeiters erfüllte aber auch unabhängig hiervon nicht die zum Zwecke und zur Sicherstellung der gesetzlichen Pflichten vertraglich festgelegten Anforderungen, weil sie sich lediglich auf „your site and all the data on the site“, d.h. die unmittelbar von der Beklagten zur Verfügung gestellte Website einschließlich der dort befindlichen Daten, nicht jedoch auf die „Löschung aller anderen Kopien der personenbezogenen Daten des Unternehmens, die vom Anbieter ... verarbeitet wurden“.
erstreckte, wie es Ziff. 9.1. vorsieht. Angesichts dessen hätte sich die Beklagte mit dieser weder formal noch inhaltlich hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen. Wäre diese auf Anforderung nicht unverzüglich vorgelegt worden, hätte sie ggf. eine nach Ziff. 10.1. des Nachtrags vorgesehene Vor-Ort Kontrolle durchführen müssen. Dies ist indes unstreitig nicht geschehen. Eine Nachfrage beim Auftragsdatenverarbeiter ist nach dem eigenen Vorbringen der Beklagten nicht vor dem Jahr 2023 erfolgt. Die als Anlage B5 vorgelegte, als „Declaration of Data Destruction“ bezeichnete E-Mail vom 22.3.2023 liegt aber weit außerhalb eines für diese nach Art. 28 DSGVO erforderliche Kontrolle vertretbaren Prüfzeitraums. Ob sie eine hinreichende Bescheinigung im Sinne von Ziff. 9 Abs. 1 des Nachtrags enthält, kann schon aus diesem Grund dahinstehen. Schließlich kann auch die Kausalität dieser Kontrollpflichtenverletzung für den streitgegenständlichen Hacking-Vorfall nicht verneint werden. Ausgehend vom Regelfall des redlichen Auftragsdatenverarbeiters muss vielmehr angenommen werden, dass die Mitarbeiter der Firma O...... spätestens auf eine Nachfrage der Beklagten reagiert und die bei ihnen noch vorhandenen Daten gelöscht hätten; jedenfalls die Ankündigung einer Vorort-Kontrolle hätte dazu geführt, dass entsprechende Aktivitäten in die Wege geleitet worden wären. Zu einem Abgreifen der Daten, das nach dem Vorbringen der Beklagten erst im Jahr 2022 erfolgt ist, wäre es dann nicht gekommen. Dass der Dienstleister unter dem Eindruck des erfolgten und ihm bekannten Datenlecks und angesichts der zu erwartenden Haftungsansprüche am 22.3.2023 nachträglich eine unrichtige Löschungsbescheinigung erteilt hat, lässt keinen Rückschluss darauf zu, dass er dies auch im Jahr 2020 getan hätte. Anders wäre dies lediglich dann, wenn der Auftragsdatenverarbeiter selbst unredlich gehandelt und die Daten deshalb nicht gelöscht hätte, um sie selbst später weiter zu veräußern oder für eigenen Zwecke zu verarbeiten. Anhaltspunkte für einen solchen Verdacht sind von der hierfür beweisbelasteten Beklagten indes nicht aufgezeigt worden. Nur in einem solchen Fall käme auch ein Auftragverarbeiterexzess gem. Art. 82 Abs. 3 DSGVO in Betracht, der die Verantwortlichkeit der Beklagten entfallen ließe (vgl. zu deren Voraussetzungen i.E. unter 2. d)). Das bloß versehentliche Nichtlöschen der Daten, das noch dazu durch eine unzureichende Kontrolle seitens der Beklagten maßgeblich erleichtert wurde, hält sich jedoch noch im Rahmen des Erwartbaren und erfüllt damit die Voraussetzungen des Art. 82 Abs. 3 DSGVO nicht.
b) Angesichts des Verstoßes der Beklagten gegen ihre Kontroll- und Überwachungspflichten kommt es nicht darauf an, ob sie ihrer Pflicht zur Einhaltung aller erforderlichen technischen und organisatorischen sowie personellen Sicherheitsstandards im eigenen Hause nachgekommen ist. Gleiches gilt im Ergebnis für die Einhaltung der technischen Sicherheitsstandards im Hause des Auftragsdatenverarbeiters „O......“. Den hierauf abzielenden Behauptungen der Klägerseite war auch deshalb nicht nachzugehen, weil sie ersichtlich „ins Blaue hinein“ erfolgen. Dies gilt insbesondere für die Behauptung, der Hacking-Vorfall habe sich bereits 2019 ereignet. Hierfür ist nach den von der Beklagten vorgelegten Ermittlungsergebnissen, insbesondere den zeitnah erfolgten Meldungen an die CNIL nichts ersichtlich. Angesichts des detaillierten Vortrags der Beklagtenseite zum Zustandekommen ihrer irrtümlichen Erstmeldung, des Verweises auf die Ermittlungsergebnisse und wegen der Tatsache der Erstveröffentlichung der Daten im Jahre 2022, die eine Erbeutung der Daten bereits im Jahre 2019 als äußerst unwahrscheinlich erscheinen lassen, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, diesen Beklagtenvortrag substantiiert zu bestreiten.
Gleiches gilt im Ergebnis für die Behauptung eines Datenschutzverstoßes im direkten Verantwortungsbereich der Beklagten oder bei der Übermittlung der Daten an den Auftragsdatenverarbeiter. Steht - wie hier - ein objektiver Verstoß gegen Datenschutzvorschriften fest bzw ist unstreitig, so obliegt die Beweislast für die Einhaltung der Grundsätze des Art. 32 DSGVO allerdings dem Verantwortlichen (EuGH, Urteil vom Urteil vom 14.12.2023 - C-340/21, Rz. 57). Vorliegend steht ein solcher Verstoß jedoch lediglich im Bereich der Kontrollpflichten fest; Verstöße im eigenen Bereich der Beklagten sind jedoch nicht ersichtlich und angesichts des Umstandes, dass die Daten unstreitig bei dem Auftragsdatenverarbeiter abhanden gekommen sind, auch nicht plausibel. Angesichts des Umstandes, dass die Beklagte umfangreich zu den von ihr ergriffenen Sicherheits- und Überprüfungsmaßnahmen vorgetragen und detailliert und dabei sowohl ihre IT-Infrastruktur, den von ihr benutzten Sicherheitssystemen beim IP-Transit, bei der Kommunikation als solcher, ihre Firewalls, ihre physische Zutrittskontrollen, insbesondere zu den Datenzentren dargelegt hat und auch zur Ausgestaltung ihrer Zugriffsrechte, insbesondere zu den Authentifizierungssystemen, zur Rückverfolgbarkeit, zur Isolierung der Anmeldedaten, zu Warnsystemen, und zur Bot-Analyse vorgetragen (S. 8 - 12 der Klageerwiderung) umfangreichen Sachvortrag gehalten hat, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, ihre Behauptungen zu einem vermeintlichen Datenschutzverstoß zu präzisieren.
c) Offenbleiben kann ebenfalls, ob die Beklagte ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 - juris). Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen spam e-mails können nur auf dem HackingVorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein.
Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rechtsprechung des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DSGVO voraus (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“.
d) Die Beklagte kann sich nicht nach Art. 82 Absatz 3 DSGVO entlasten.
Der Verantwortliche oder der Auftragsverarbeiter wird nach dem Wortlaut dieser Vorschrift von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Nicht verantwortlich“ bedeutet, dass den Verantwortlichen bzw. den Auftragsverarbeiter keinerlei Verschulden an dem Ereignis trifft, das den Schaden auslöste (Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 49; im Ergebnis auch Spindler, DB 2016, 937 ff. (947) Schaffland/Wiltfang, a.a.O, Rz. 28). „In keinerlei Hinsicht“ bedeutet, dass der Verantwortliche bzw. der Auftragsverarbeiter nachweist, er habe alle Sorgfaltspflichten erfüllt und damit ihm nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5). Hält er alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen ein und kommt es dennoch zu einem unbefugten Datenzugriff, kann ihm dies nicht angelastet werden (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5; Frenzel in Paal/Pauly, DSGVO/BDSG, 3. Aufl., Art. 82 Rdn. 15; Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 54; Schaffland/Wiltfang, a.a.O, Rz. 29). Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters erstreckt sich grundsätzlich nicht auf die Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 –, juris Rz. 85).
Vorliegend hat der Auftragsdatenverarbeiter zwar sowohl gegen allgemeine Regeln der DSGVO als auch gegen seine vertraglichen Pflichten verstoßen. Ungeachtet vertraglicher Verpflichtungen ist der Auftragsverarbeiter bereits nach der DSGVO im Rahmen der Auftragsverarbeitung grundsätzlich nicht berechtigt, die im Auftrag verarbeiteten Daten für eigene Zwecke bzw. für die Zwecke Dritter zu verarbeiten. Darüber hinaus hat der Auftragsverarbeiter die Rückgabe- und Löschpflichten nach Beendigung des Auftrags zu beachten (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Vorliegend ist unstreitig, dass Datensätze der Beklagten bei der Firma O...... zum einen unzulässigerweise von der Produktiv- in eine Testumgebung überführt wurden, deren Sphäre verlassen haben und anschließend im Darknet zum Verkauf angeboten wurden, nachdem Mitarbeiter dieser Firma entgegen ihrer Zusicherung aus dem Jahre 2023 nicht alle Datensätze der Beklagten wie vertraglich vereinbart unverzüglich nach Vertragsende gelöscht hatten, sondern zumindest einer der Datensätze schließlich entweder von Hackern erbeutet, oder von Mitarbeitern unbefugt weitergegeben wurden.
Wie oben ausgeführt, käme die Beklagte allerdings nur dann in den Genuss der Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO, wenn ihr selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies ist vorliegend angesichts des eigenen Pflichtenverstoßes der Beklagten nicht der Fall. Dem kann auch nicht das fehlende Zugriffsrecht der Beklagten nach Ablauf des Auftragsverarbeitungsverhältnisses entgegen gehalten werden; wie aufgezeigt standen hier nämlich der Beklagten die in Ziff. 9, 10 des Nachtrags geregelten nachwirkenden Kontrollmöglichkeiten offen.
Das VG Frankfurt hat entschieden, dass die Anordnung einer DNS-Sperre durch die BaFin nach § 37 KWG unzulässig ist, wenn nicht zunächst der Host-Provider als milderes Mittel herangezogen wird
Die Pressemitteilung des Gerichts: Rechtswidrige DNS-Sperre
Die Weisung der BaFin an einen Internetdienstanbieter zur Einrichtung einer DNS-Sperre für eine Internetadresse ist rechtswidrig.
Die für das Finanzdienstleistungsaufsichtsrecht zuständige 7. Kammer des Verwaltungsgerichts Frankfurt am Main hat aufgrund der mündlichen Verhandlung vom heutigen Tage der Klage eines Internetdienstanbieters gegen die Weisung der BaFin stattgegeben.
Im April 2021 veröffentlichte die beklagte Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf ihrer Homepage eine Mitteilung, dass sie der dem Verfahren beigeladenen Gesellschaft das unerlaubt betriebene Depotgeschäft sowie die unerlaubt erbrachte Anlagevermittlung und Anlageberatung untersagt habe.
Sodann erteilte die BaFin der Klägerin, die zu den größten Internetdienstanbietern (Internet- oder Access-Provider) gehört, eine Weisung, für die Internetadresse der beigeladenen Gesellschaft eine DNS-Sperre einzurichten und ihre Kunden darüber zu informieren, dass die Webseite auf Weisung gesperrt worden und eine Untersagungsverfügung gegenüber der beigeladenen Gesellschaft erlassen worden sei.
Mit ihrer Klage wendet sich die Klägerin gegen diese Weisung. Sie ist der Auffassung, § 37 Abs. 1 Satz 1 Nr. 1 KWG sei keine verfassungskonforme Ermächtigungsgrundlage für die Anordnung einer DNS-Sperre und die Auferlegung der Informationspflichten. Die BaFin habe auch nicht alle ihr möglichen und zumutbaren Maßnahmen zur Heranziehung der Beigeladenen ausgeschöpft, bevor sie die Weisung erteilt habe.
Die Kammer hat der Klage stattgegeben. In der mündlichen Urteilsbegründung hat die Kammer ausgeführt, dass sie an der Verfassungsmäßigkeit der Rechtsgrundlage des § 37 KWG keine Zweifel habe. Die Beigeladene habe zwar erlaubniswidrig gehandelt: die BaFin habe aber nicht ohne Vorermittlungen die Klägerin als Access-Provider einbeziehen dürfen. Insoweit hätte sie als milderes Mittel zunächst die Hinzuziehung des Host-Providers in Erwägung ziehen müssen.
Die Berufung wurde zugelassen.
Bei der Abfassung der Pressemitteilung lag eine schriftliche Urteilsbegründung noch nicht vor.
Das Urteil ist noch nicht rechtskräftig. Es besteht die Möglichkeit, gegen diese Entscheidung Rechtsmittel an den Hessischen Verwaltungsgerichtshof in Kassel einzulegen.
Kreditwesengesetz - KWG
§ 37 Einschreiten gegen unerlaubte oder verbotene Geschäfte
(1) 1Die Bundesanstalt kann die sofortige Einstellung des Geschäftsbetriebs und die unverzügliche Abwicklung dieser Geschäfte gegenüber dem Unternehmen und den Mitgliedern seiner Organe anordnen, wenn
1. ohne die nach § 32 oder die nach § 15 des Wertpapierinstitutsgesetzes erforderliche Erlaubnis Bankgeschäfte betrieben oder Finanzdienstleistungen erbracht werden,
Das LG Hamburg hat entschieden, dass der gemeinnütze Verein LAION Fotos für die Erstellung von KI-Traingsdaten nach § 60d UrhG herunterladen und verwenden darf.
Aus den Entscheidungsgründen: I. Die zulässige Klage hat in der Sache keinen Erfolg. Der Beklagte hat durch die Vervielfältigung der streitgegenständlichen Fotografie zwar in die Verwertungsrechte des Klägers eingegriffen. Dieser Eingriff ist aber durch die Schrankenregelung des § 60d UrhG gedeckt. Ob sich der Beklagte ergänzend auf die Schrankenregelung des § 44b UrhG berufen kann, bedarf vor diesem Hintergrund keiner abschließenden Beurteilung.
Die streitgegenständliche Fotografie ist jedenfalls als Lichtbild nach § 72 Abs. 1 UrhG geschützt. Das Gericht hat nach Inaugenscheinnahme der auf dem Laptop des Klägers befindlichen Rohdaten auch keinen Zweifel an der Lichtbildnereigenschaft des Klägers, § 72 Abs. 2 UrhG. Der Kläger ist auch zur Geltendmachung von Verletzungsansprüchen nach § 97 UrhG aktiv legitimiert, so auch für den Unterlassungsanspruch nach Abs. 1 der Vorschrift; dass der Kläger der Bildagentur ... weitergehende als (unterlizenzierbare) einfache Nutzungsrechte eingeräumt hat, hat der Beklagte nicht dargelegt. Die Bildagentur ... hat das Foto mit einem Wasserzeichen versehen; das war eine unfreie Umgestaltung im Sinne des § 23 Abs. 1 S. 1 UrhG, so dass auch zu deren Verwertung grundsätzlich die Zustimmung des Klägers als des Urhebers erforderlich war. Im Rahmen des durchgeführten Downloads hat der Beklagte diese Fassung vervielfältigt i.S.d. § 16 Abs. 1 UrhG, ohne dafür eine Zustimmung des Klägers eingeholt zu haben.
Allerdings war der Beklagte hierzu aufgrund gesetzlicher Erlaubnis berechtigt. Die Vervielfältigung war zwar nicht durch die Schrankenregelung des § 44a UrhG gedeckt (im Folgenden 1.), und ob sich der Beklagte auf die Schrankenregelung des § 44b UrhG berufen kann, erscheint als zweifelhaft (im Folgenden 2.). Letzteres bedarf aber vorliegend keiner abschließenden Entscheidung, da die Vervielfältigungshandlung jedenfalls durch die Schrankenregelung des § 60d UrhG gedeckt war (im Folgenden 3.).
1. Die erfolgte Vervielfältigung ist nicht durch die Schrankenregelung des § 44a UrhG gedeckt.
Danach sind vorübergehende Vervielfältigungshandlungen zulässig, die flüchtig oder begleitend sind und einen integralen und wesentlichen Teil eines technischen Verfahrens darstellen und deren alleiniger Zweck es ist, eine Übertragung in einem Netz zwischen Dritten durch einen Vermittler oder eine rechtmäßige Nutzung eines Werkes oder sonstigen Schutzgegenstands zu ermöglichen, und die keine eigenständige wirtschaftliche Bedeutung haben.
Die vorliegend erfolgte Vervielfältigung war bereits weder flüchtig noch begleitend.
a) Flüchtig i.S.d. § 44a UrhG ist eine Vervielfältigung dann, wenn ihre Lebensdauer auf das für das ordnungsgemäße Funktionieren des betreffenden technischen Verfahrens Erforderliche beschränkt ist, wobei dieses Verfahren derart automatisiert sein muss, dass es diese Handlung automatisch, d.h. ohne Beteiligung einer natürlichen Person löscht, sobald ihre Funktion, die Durchführung eines solchen Verfahrens zu ermöglichen, erfüllt ist (EuGH, Urt. v. 16.07.2009, Az. C-5/08 – Infopaq/Danske Dagblades Forening, Rn. 64 (juris) zu Art. 5 Abs. 1 DSM-RL).
Soweit sich der Beklagte insoweit darauf beruft, dass im Rahmen des von ihm durchgeführten Analyseverfahrens die Dateien "automatisch" gelöscht worden seien, vermag dies eine Flüchtigkeit der Vervielfältigung im vorgenannten Sinne nicht zu begründen. Abgesehen davon, dass der Beklagte nichts zu der konkreten Dauer der Speicherung vorgetragen hat, erfolgte die Löschung gerade nicht "nutzerunabhängig", sondern aufgrund einer entsprechenden bewussten Programmierung des Analyseprozesses durch den Beklagten.
b) Begleitend i.S.d. § 44a UrhG ist eine Vervielfältigung dann, wenn sie gegenüber dem technischen Verfahren, dessen Teil sie ist, weder eigenständig ist noch einem eigenständigen Zweck dient (EuGH, Urt. v. 05.06.2014, Az. C-360/13, Rn. 43 (juris)).
Im vorliegenden Fall erfolgte ein gezieltes Herunterladen der Bilddateien, um sie mittels einer spezifischen Software zu analysieren. Damit ist das Herunterladen kein bloß begleitender Prozess zu der durchgeführten Analyse, sondern ein der Analyse vorgelagerter bewusster und aktiv gesteuerter Beschaffungsprozess.
2. Ob sich der Beklagte auf die Schrankenregelung des § 44b UrhG berufen kann, erscheint im vorliegenden Fall durchaus als zweifelhaft. Zwar unterfällt der von dem Beklagten vorgenommene Download grundsätzlich der Schrankenregelung des § 44b Abs. 2 UrhG, insbesondere erfolgte er zum Zwecke des Text und Data Mining im Sinne des § 44b Abs. 1 UrhG (im Folgenden lit. a). Allerdings spricht ‒ ohne dass dies vorliegend einer abschließenden Entscheidung bedürfte ‒ Einiges dafür, dass aufgrund eines wirksam erklärten Nutzungsvorbehalts im Sinne des § 44b Abs. 3 die Vervielfältigungshandlung nicht bereits nach § 44b Abs. 2 UrhG zulässig war (im Folgenden lit. b).
a) Die streitgegenständliche Vervielfältigungshandlung unterfällt grundsätzlich der Schrankenregelung des § 44b Abs. 2 UrhG.
(1) Der streitgegenständliche Download erfolgte zum Zwecke des Text und Data Mining im Sinne des § 44b Abs. 1 UrhG. Danach ist Text und Data Mining die automatisierte Analyse von einzelnen oder mehreren digitalen oder digitalisierten Werken, um daraus Informationen insbesondere über Muster, Trends und Korrelationen zu gewinnen. Jedenfalls für die vorliegend streitgegenständliche Vervielfältigungshandlung ist dies zu bejahen (nachfolgend (a)); eine teleologische Reduktion des Schrankentatbestands kommt insofern nicht in Betracht (unten (b)).
Vorliegend keiner Entscheidung bedarf daher die weitere, im Schrifttum eingehend diskutierte Frage, ob das Training von Künstlicher Intelligenz in seiner Gesamtheit der Schrankenregelung des § 44b UrhG unterfällt oder nicht (eingehend zum Meinungsstand BeckOK UrhR/Bomhard, 42. Ed. 15.2.2024, UrhG § 44b Rn. 11a-11b m.w.N.; dazu auch eingehend die als Anlage K11 vorgelegte, im Auftrag der Initiative Urheberrecht erstellte Studie "Urheberrecht & Training generativer KI-technologische und rechtliche Grundlagen").
(a) Der Beklagte hat die Vervielfältigungshandlung zum Zwecke der Gewinnung von Informationen über "Korrelationen" im Wortsinn des § 44b Abs. 1 UrhG vorgenommen. Der Beklagte hat das streitgegenständliche Lichtbild von seinem ursprünglichen Speicherort heruntergeladen, um mittels einer bereits verfügbaren Software ‒ offenbar der Anwendung ... von ... ‒ den Bildinhalt mit der zu dem Text bereits hinterlegten Bildbeschreibung abzugleichen. Diese Analyse der Bilddatei zum Abgleich mit einer vorbestehenden Bildbeschreibung stellt ohne Weiteres eine Analyse zum Zwecke der Gewinnung von Informationen über "Korrelationen" (nämlich der Frage der Nicht-/Übereinstimmung von Bildern und Bildbeschreibungen) dar. Dass der Beklagte die in den Datensatz ... aufgenommenen Bilder auf diese Art und Weise analysiert hat, wurde klägerseits als solches nicht bestritten.
Die Anwendbarkeit von § 44b Abs. 1 UrhG ist ‒ entgegen der Auffassung des Klägers (Replik S. 13 f., Bl. 47 f. d.A.) ‒ auch nicht deshalb ausgeschlossen, weil der Beklagte den von ihm erstellten Datensatz ... ausweislich eines zu diesem Datensatz ausgesprochenen "Disclaimers" nicht "kuratiert" habe. Der klägerseits wiedergegebene Disclaimer bezieht sich allein auf eine Warnung, dass der Datensatz nicht nach "verstörenden Inhalten" o.Ä. durchsucht worden sei. Eine solche ‒ zusätzliche ‒ Filterung des zu erstellenden Datensatzes ist aber nicht Anwendungsvoraussetzung für § 44b Abs. 1 UrhG und steht nicht der Annahme entgegen, dass die heruntergeladenen Bilder ‒ wie ausgeführt ‒ auf ihre Korrelation zwischen Bildinhalt und Bildbeschreibung hin analysiert wurden.
(b) Die streitgegenständliche Vervielfältigungshandlung ist auch nicht im Wege der teleologischen Reduktion der Schrankenregelung des § 44b UrhG aus dieser auszuschließen.
Soweit eine Herausnahme der Vervielfältigung von Daten zum Zwecke des KI-Trainings im Wege der teleologischen Reduktion im Schrifttum vereinzelt mit der Begründung befürwortet wird, dass § 44b UrhG nur die Erschließung "in den Daten verborgener Informationen", nicht aber die Nutzung "des Inhalts der geistigen Schöpfung" erfasse (Schack, NJW 2024, 113; in diese Richtung auch Dormis/Stober, Urheberrecht und Training generativer KI-Modelle, Anlage K11, S. 67 ff. mit einer Differenzierung zwischen Semantik und Syntax), bestehen Zweifel, ob dies zu überzeugen vermag; denn dabei wird nicht ausreichend deutlich, worin bei digitalisierten Werken der Unterschied zwischen "in den Daten verborgenen Informationen" und "dem Inhalt der geistigen Schöpfung" liegen soll.
Soweit ergänzend angeführt wird, dass es beim "KI-Webscraping" um den geistigen Inhalt der zu Trainingszwecken genutzten Werke und "letztlich" um die Schaffung inhaltsgleicher oder ähnlicher Konkurrenzerzeugnisse gehe (Schack, a.a.O.), unterscheidet diese Argumentation nach Auffassung der Kammer nicht streng genug zwischen
- zum einen der (hier allein streitgegenständlichen) Erstellung eines ‒ auch ‒ für KI-Training nutzbaren Datensatzes,
- zum anderem dem nachfolgenden Training des künstlichen neuronalen Netzes mit diesem Datensatz und
- zum dritten der nachfolgenden Nutzung der trainierten KI zum Zwecke der Erstellung neuer Bildinhalte.
Diese letztere Funktionalität mag zwar bereits bei der Erstellung des Trainingsdatensatzes angestrebt sein. Jedoch ist im Zeitpunkt der Zusammenstellung des Trainingsdatensatzes weder absehbar, in welcher Weise der zweite Schritt (das Training) erfolgreich sein wird, noch, welche konkreten Inhalte im dritten Schritt (bei der KI-Anwendung) durch die trainierte KI werden generiert werden können. Die konkreten Anwendungsmöglichkeiten bei einer sich rasant entwickelnden Technologie wie der KI sind zum Zeitpunkt der Erstellung des Trainingsdatensatzes daher nicht abschließend absehbar und mithin nicht rechtssicher feststellbar. Wegen dieser Rechtsunsicherheit ist die bei der Erstellung des Trainingsdatensatzes zunächst allein bestehende nur allgemeine Absicht, zukünftige KI-generierte Inhalte erlangen zu wollen, kein taugliches Kriterium für die Beurteilung der rechtlichen Zulässigkeit der Erstellung des Trainingsdatensatzes als solchen.
Soweit für eine teleologische Reduktion der Schrankenregelung des § 44b UrhG schließlich angeführt wird, dass der europäische Gesetzgeber 2019 bei Schaffung der zugrundeliegenden Richtlinienbestimmung (Art. 4 DSM-RL) "das KI-Problem" "schlicht noch nicht auf dem Schirm" gehabt habe (Schack, a.a.O.; ebenso für das Training von KI-Modellen Dormis/Stober, a.a.O., S. 71 ff., 87 ff.), genügt allein dieser Befund für eine teleologische Reduktion ersichtlich nicht. Dabei ist insbesondere zu berücksichtigen, dass die technische Fortentwicklung im Bereich der sog. Künstlichen Intelligenz seit 2019 weniger Art und Umfang des (streitgegenständlichen) Data Mining zur Beschaffung von Trainingsdaten betrifft, sondern die Leistungsfähigkeit der mit den Daten trainierten künstlichen neuronalen Netze (dementsprechend gehen Dormis/Stober, a.a.O., S. 95 gleichfalls davon aus, dass die reine Erstellung von Trainingsdatensätzen "im Vorfeld des eigentlichen Trainings" durchaus der TDM-Schranke unterfallen dürfte). Zu beachten wäre außerdem, dass die beklagtenseits abgerufene Datenbank der Common Crawl Foundation bereits seit dem Jahr 2008 (!) erstellt wird, vgl. https://commoncrawl.org/overview.
Davon abgesehen hat jedenfalls der aktuelle europäische Gesetzgeber der KI-Verordnung (Verordnung (EU) 2024/1689 vom 13.06.2024, ABl. L v. 12.07.2024 S. 1) unzweifelhaft zum Ausdruck gebracht, dass auch die Erstellung von zum Training von künstlichen neuronalen Netzen bestimmten Datensätzen der Schrankenregelung des Art. 4 DSM-RL unterfällt. Denn nach Art. 53 Abs. 1 lit. c KI-Verordnung sind Anbieter von KI-Modellen mit allgemeinem Verwendungszweck verpflichtet, eine Strategie insbesondere zur Ermittlung und Einhaltung eines gemäß Art. 4 Abs. 3 DSM-RL geltend gemachten Rechtsvorbehalts vorzusehen.
Dass auch die Erstellung von zum Training von künstlichen neuronalen Netzen bestimmten Datensätzen der Schrankenregelung des Art. 4 DSM-RL unterfalle, entspricht im Übrigen auch der Einschätzung des deutschen Gesetzgebers im Rahmen der Umsetzung der vorgenannten Schrankenbestimmung im Jahr 2021 (Begr. RegE BT-Drs. 19/27426, S. 60).
(c) Auch der in Art. 5 Abs. 5 InfoSoc-RL (i.V.m. Art. 7 Abs. 2 S. 1 DSM-RL) verankerte sog. 3-Stufen-Test rechtfertigt letztlich keine andere Beurteilung. Danach dürfen die normierten Ausnahmen nur in bestimmten Sonderfällen angewandt werden, in denen die normale Verwertung des Werks oder des sonstigen Schutzgegenstands nicht beeinträchtigt wird und die berechtigten Interessen des Rechtsinhabers nicht ungebührlich verletzt werden. Diese Anforderungen sind im vorliegenden Fall erfüllt.
Die vorliegend urheberrechtlich relevante Vervielfältigung ist auf den Zweck der Analyse der Bilddateien auf ihre Übereinstimmung mit einer vorbestehenden Bildbeschreibung nebst anschließender Einstellung in einen Datensatz beschränkt. Dass durch diese Nutzung die Verwertungsmöglichkeiten der jeweils betroffenen Werke beeinträchtigt werden würden, ist nicht ersichtlich und wird auch klägerseits nicht behauptet.
Zwar mag der auf diese Weise erstellte Datensatz nachfolgend zum Trainieren künstlicher neuronaler Netze genutzt werden können und die dabei entstehenden KI-generierten Inhalte mögen in Konkurrenz zu den Werken (menschlicher) Urheber treten können. Das allein rechtfertigt es jedoch noch nicht, bereits in der Erstellung der Trainingsdatensätze eine Beeinträchtigung auch der Verwertungsrechte an Werken i.S.v. Art. 5 Abs.5 InfoSoc-RL zu erblicken. Dies hat schon allein deshalb zu gelten, weil die Berücksichtigung bloß zukünftiger, derzeit noch gar nicht im Einzelnen absehbarer technischer Entwicklungen keine rechtssichere Abgrenzung zulässiger von unzulässigen Nutzungen erlaubt (vgl. ähnlich oben (b)).
Da eine Verwendung von im Wege des Text und Data Mining gewonnenen Erkenntnissen zum Trainieren künstlicher neuronaler Netze, die dann in Konkurrenz zu Urhebern treten können, auf Grundlage der aktuellen technologischen Entwicklung im Zweifel nie ausgeschlossen werden kann, würde die Gegenauffassung in letzter Konsequenz sogar dazu nötigen, das Text und Data Mining i.S.d. § 44b UrhG letztlich in seiner Gänze zu untersagen; eine solche vollständige Außerkraftsetzung der Schrankenregelung liefe aber der gesetzgeberischen Intention offenkundig zuwider und kann daher kein tragbares Auslegungsergebnis darstellen.
(2) Die von dem Beklagten heruntergeladene Bilddatei war auch ‒ was der Kläger im Übrigen auch nicht in Abrede stellt ‒ rechtmäßig zugänglich i.S.d. § 44b Abs. 2 S. 1 UrhG.
"Rechtmäßig zugänglich" in diesem Sinne ist ein Werk insbesondere dann, wenn es frei im Internet zugänglich ist (Begr. RegE BT-Drucks. 19/27426, S. 88).
Hiervon ist für das von dem Beklagten heruntergeladene Bild auszugehen. Anders als klägerseits zunächst vorgetragen, hat der Beklagte nicht das in dem in der Klageschrift zunächst formulierten Unterlassungsantrag wiedergegebene "Originalbild" ‒ das von der Bildagentur ... nur bei Erwerb einer Lizenz zur Verfügung gestellt worden wäre ‒, sondern eine mit einem Wasserzeichen der Bildagentur versehene Fassung des Bildes heruntergeladen. Hierbei handelte es sich ersichtlich um das auf der Agenturseite quasi zu Werbezwecken eingestellte Vorschaubild. Dieses mit dem Wasserzeichen versehene Vorschaubild wurde von der Agentur aber gerade frei zugänglich ins Internet gestellt.
b) Allerdings spricht einiges dafür, dass vorliegend die Schrankenregelung des § 44b Abs. 2 UrhG ‒ ohne dass dies einer abschließenden Entscheidung bedürfte ‒ nicht eingreift, da ein wirksam erklärter Nutzungsvorbehalts im Sinne von Abs. 3 der Vorschrift vorlag; insbesondere dürfte der auf der Webseite ...com unstreitig erklärte Nutzungsvorbehalt wohl den Anforderungen an eine Maschinenlesbarkeit i.S.d. § 44b Abs. 3 S. 2 UrhG genügen.
(1) Es spricht manches dafür, dass der auf der Webseite der Agentur ausgesprochene Nutzungsvorbehalt durch eine hierzu berechtigte Person ausgesprochen wurde und der Kläger sich hierauf auch zum Schutz seiner eigenen Rechte berufen kann.
Nach dem Wortlaut des § 44b Abs. 3 UrhG kann "der Rechtsinhaber" den Nutzungsvorbehalt aussprechen. Zu beachten sind also nicht allein Vorbehaltserklärungen des Urhebers selbst, sondern auch nachfolgender Rechteinhaber, seien sie Rechtsnachfolger oder Inhaber von vom Urheber abgeleiteten Rechten. Nach dem ohne Weiteres schlüssigen Vortrag des Klägers (Protokoll v. 11.07.2024 S. 3, Bl. 122 d.A.) hatte er der Bildagentur ... weiterlizenzierbare einfache Nutzungsrechte an dem Originalbild eingeräumt. Die Bildagentur war danach selbst Rechteinhaberin an den auf ihrer Seite eingestellten Bildern und konnte daher ohne Weiteres einen Nutzungsvorbehalt nach § 44b Abs. 3 UrhG aussprechen; dass insofern dinglich wirkende Vereinbarungen im Vertragsverhältnis zwischen dem Kläger und der Bildagentur entgegengestanden hätten, ist weder ersichtlich noch geltend gemacht worden.
Der Kläger ist wohl auch berechtigt, sich auf diese Vorbehaltserklärung seiner Lizenznehmerin zu berufen. Wirtschaftlich betrachtet fand hier die Auswertung des streitgegenständlichen Originalfotos über die Agentur statt. Damit lag in der Praxis die konkrete Entscheidung, welcher Dritte die Berechtigung zu welcher Nutzung erhalten sollte, bei der Agentur; Abschlusszwang bestand für diese nicht. In einer solchen Situation spricht aus Sicht der Kammer vieles dafür, dass sich der Urheber bei der Geltendmachung bei ihm verbliebener Verbietungsrechte auf einen von seinem Lizenznehmer erklärten Vorbehalt nach § 44b Abs. 3 UrhG berufen darf.
(2) Auch der Einwand des Beklagten, dass das in den AGB der Agentur gegenüber deren Kunden ausgesprochene Nutzungsverbot für Webcrawler schon in zeitlicher Hinsicht nicht "in Bezug auf § 44b Abs. 3 UrhG" formuliert sein könne, ist unerheblich. Für die Rechtswirkungen der Erklärung ist es keine Voraussetzung, dass sie bewusst mit Blick auf eine bestimmte Gesetzesfassung erklärt wird.
(3) Der Vorbehalt ist auch hinreichend klar formuliert. Art. 4 Abs. 3 DSM-RL verlangt eine ausdrückliche Erklärung des Nutzungsvorbehalts. Dieses Ausdrücklichkeitserfordernis ist mithin bei richtlinienkonformer Auslegung des § 44b Abs. 3 UrhG mitzuberücksichtigen (so auch Begr. RegE BT-Drs. 19/27426, 89). Der erklärte Vorbehalt muss damit sowohl expressis verbis (nicht konkludent) als auch so zielgenau (konkret-individuell) erklärt werden, dass er zweifelsfrei einen bestimmten Inhalt und eine bestimmte Nutzung erfasst (Hamann, ZGE 16 (2024), S. 134). Diesen Anforderungen genügt der auf der Webseite der Bildagentur ... formulierte Nutzungsvorbehalt ohne Weiteres.
Soweit darüber hinaus argumentiert wird, dass ein für sämtliche auf einer Webseite eingestellte Werke erklärter Nutzungsvorbehalt dem Ausdrücklichkeitserfordernis des § 44b Abs. 3 UrhG widerspreche (so in Erweiterung der eigenen abstrakten Herleitung Hamann, a.a.O., S. 148), vermag dies nicht zu überzeugen. Denn auch der explizit für sämtliche auf einer Webseite eingestellte Werke erklärte Vorbehalt ist in seiner Reichweite und seinem Inhalt nach zweifelsfrei bestimmbar und damit ausdrücklich erklärt.
(4) Schließlich dürfte auch Einiges dafür sprechen, dass der Nutzungsvorbehalt den Anforderungen an eine Maschinenlesbarkeit i.S.d. § 40b Abs. 3 S. 2 UrhG genügt.
Dabei wird man zwar den Begriff der Maschinenlesbarkeit im Hinblick auf den ihm zugrunde liegenden gesetzgeberischen Willen, eine automatisierte Abfrage durch Webcrawler zu ermöglichen (vgl. Begr. RegE BT-Drucks. 19/27426, S. 89), durchaus im Sinne einer "Maschinenverständlichkeit" auszulegen haben (eingehend zum Meinungsstand Hamann, a.a.O., S. 113, 128 ff.).
Die Kammer neigt allerdings dazu, als "maschinenverständlich" auch einen allein in "natürlicher Sprache" verfassten Nutzungsvorbehalt anzusehen (anders als die wohl überwiegende Auffassung im Schrifttum, s. Hamann, a.a.O., S. 131 ff., 146 ff. m.w.N. zum Meinungsstand, wobei dort auf einen Beitrag der hiesigen Beklagtenvertreter, nämlich auf Akinci/Heidrich, IPRB 2023, 270, 272 verwiesen wird, die offenbar ebenfalls die Auffassung der Kammer vertreten; der Beitrag war der Kammer allerdings bis zur Urteilsabfassung nicht unmittelbar zugänglich). Allerdings wird man die Frage, ob und unter welchen konkreten Voraussetzungen ein in "natürlicher Sprache" erklärter Vorbehalt auch als "maschinenverständlich" angesehen werden kann, stets in Abhängigkeit von der zum jeweils relevanten Werknutzungszeitpunkt bestehenden technischen Entwicklung beantworten müssen.
Dementsprechend hat auch der europäische Gesetzgeber im Rahmen der KI-Verordnung festgelegt, dass Anbieter von KI-Modellen eine Strategie insbesondere zur Ermittlung und Einhaltung eines gemäß Art. 4 Abs. 3 DSM-RL geltend gemachten Rechtsvorbehalts "auch durch modernste Technologien" vorzuhalten haben (Art. 53 Abs. 1 lit. c KI-Verordnung). Zu diesen "modernsten Technologien" gehören aber unzweideutig gerade auch KI-Anwendungen, die in der Lage sind, in natürlicher Sprache geschriebenen Text inhaltlich zu erfassen (so offenbar insbesondere auch die hiesigen Beklagtenvertreter Akinci/Heidrich in dem der Kammer nicht unmittelbar zugänglichen Beitrag IPRB 2023, 270, 272, hier zit. nach Hamann, a.a.O. S. 148, dieser im Übrigen diese Möglichkeit in technischer Hinsicht grds. bejahend, a.a.O.). Es spricht insoweit alles dafür, dass der Gesetzgeber der KI-Verordnung mit seinem Hinweis auf "modernsten Technologien" gerade solche KI-Anwendungen im Blick hatte.
Gegen eine solche Sichtweise wird teilweise eingewandt, sie führe zu einem Zirkelschluss: Wenn gefordert werde, der Betreiber des Text und Data Mining müsse mittels KI-Anwendungen überprüfen, ob ein Nutzungsvorbehalt erklärt worden sei, dann erfordere doch diese KI-gestützte Suche ihrerseits eine Musteranalyse, die bereits den Tatbestand des Text und Data Mining i.S.d. § 44b Abs. 1 UrhG erfülle; mit anderen Worten: Erst die Anwendung der Schranke entscheide über die Zulässigkeit ihrer Anwendung (so Hamann, a.a.O., S. 148). Die Kammer teilt diese Bewertung nicht: Die urheberrechtlich relevante, rechtfertigungsbedürftige Nutzungshandlung ist entgegen vorgenannter Ansicht nicht die Durchführung einer "Musteranalyse" als solche, sondern die Vervielfältigung des urheberrechtlich geschützten Werks i.S.d. § 16 UrhG. Dass das vorausgehende Auffinden solcher Werke im Netz und deren Überprüfung, ob Vorbehalte i.S.d. § 44b Abs. 3 S. 2 UrhG erklärt sind, zwingend ein quasi vorgeschaltetes weiteres Text und Data Mining i.S.v. § 44b Abs. 1 UrhG erfordere, erscheint nicht als zwingend, denn zu denken ist insbesondere an Prozessierungen des Webseiteninhalts durch den Einsatz von Webcrawlern, bei denen lediglich flüchtige und beiläufige Vervielfältigungen entstehen, die ihrerseits bereits unter § 44a UrhG gerechtfertigt sind.
Ferner wird gegen das von der Kammer erwogene, weitere Verständnis des Begriffes der "Maschinenlesbarkeit" auch eingewandt, dieser Begriff werde vom europäischen Gesetzgeber in anderem Zusammenhang enger verstanden. Verwiesen wird in diesem Zusammenhang auf den Erwägungsgrund 35 der PSI-Richtlinie (RL (EU) 2019/1024), der für eine "Maschinenlesbarkeit" im Sinne dieser Richtlinie u.a. eine "einfache" Erkennbarkeit verlange (so BeckOK UrhR/Bomhard, 42. Ed. 15.2.2024, UrhG § 44b Rn. 31 m.w.N.); dies könne für einen nur in natürlicher Sprache formulierten Vorbehalt nicht angenommen werden. Eine solche Argumentation setzt allerdings voraus, dass die Begrifflichkeiten beider Richtlinien in gleicher Weise verstanden werden müssen. Die Kammer hat Zweifel, ob eine solche Gleichsetzung der Begrifflichkeiten überzeugen kann, denn die Richtlinien haben unterschiedliche Zielrichtungen: Während die PSI-Richtlinie den rein einseitigen Zugang der Öffentlichkeit zu Informationen bzw. die rein einseitige Verpflichtung der öffentlichen Hand zur Veröffentlichung bestimmter Informationen zum Gegenstand hat, geht es im Rahmen von Art. 4 Abs. 3 DSM-RL um einen Ausgleich zwischen den Interessen der Nutzer des Text und Data Mining (dieses möglichst einfach und möglichst rechtssicher betreiben zu können) und den Interessen der Rechteinhaber (ihre Rechte möglichst einfach und möglichst effektiv zu sichern). Dieser Interessenausgleich kann nach Auffassung der Kammer nicht einseitig zugunsten der Nutzer des Text und Data Mining gelöst werden, indem allein die für diese denkbar einfachste technische Lösung als ausreichend für die Wirksamkeit eines ausgesprochenen Nutzungsvorbehalts erachtet wird. Gegen ein solches Verständnis spräche auch die Wertung des Gesetzgebers der DSM-RL, der im Erwägungsgrund 18 gerade nicht die Erklärung eines Vorbehalts "in möglichst einfach auszulesender Weise" fordert, sondern lediglich "in angemessener Weise". Und auch der deutsche Umsetzungsgesetzgeber verlangt lediglich eine Erklärung in einer Weise, die "den automatisierten Abläufen beim Text und Data Mining angemessen" ist (Begr. RegE BT-Drucks. 19/27426, S. 89).
Es wäre zudem aus Sicht der Kammer ein gewisser Wertungswiderspruch, den Anbietern von KI-Modellen einerseits über die Schranke in § 44b Abs. 2 UrhG die Entwicklung immer leistungsfähigerer textverstehender und -kreierender KI-Modelle zu ermöglichen, ihnen aber andererseits im Rahmen der Schranken-Schranke von § 44b Abs. 3 S. 2 UrhG die Anwendung bereits bestehender KI-Modelle nicht abzuverlangen.
Ob und in welchem Maße zum Zeitpunkt der streitgegenständlichen Vervielfältigungshandlung im Jahr 2021 eine ausreichende Technologie zur automatisierten inhaltlichen Erfassung des streitgegenständlichen Nutzungsvorbehalts bereits zur Verfügung stand, ist zwar klägerseits bislang nicht dargetan; der Kläger hat insoweit nur auf im Jahr 2023 verfügbare Dienste verwiesen (Replik S. 14 ff., Bl. 48 ff. d.A.). Allerdings bestehen Anzeichen dafür, dass der Beklagte bereits über geeignete Technologie verfügte. Denn nach eigenem Vortrag des Beklagten erforderte die im Rahmen der Erstellung des Datensatzes ... durchgeführte Analyse in Form eines Abgleichs von Bildinhalten mit vorbestehenden Bildbeschreibungen ersichtlich auch und gerade eine inhaltliche Erfassung dieser Bildbeschreibungen durch die eingesetzte Software. Vor diesem Hintergrund spricht einiges dafür, dass – insbesondere auch dem Beklagten – bereits im Jahr 2021 Systeme zur Verfügung standen, die in der Lage waren, einen in natürlicher Sprache formulierten Nutzungsvorbehalt in automatisierter Weise zu erfassen.
3. Der Beklagte kann sich hinsichtlich der streitgegenständlichen Vervielfältigung jedoch auf die Schrankenregelung des § 60d UrhG berufen.
Danach sind Vervielfältigungen für Text und Data Mining für Zwecke der wissenschaftlichen Forschung durch Forschungsorganisationen zulässig.
a) Die Vervielfältigung erfolgte – wie dargelegt – für den Zweck des Text und Data Mining i.S.d. § 44b Abs. 1 UrhG. Sie erfolgte darüber hinaus auch zu Zwecken der wissenschaftlichen Forschung i.S.d. § 60d Abs. 1 UrhG.
Wissenschaftliche Forschung bezeichnet allgemein das methodisch-systematische Streben nach neuen Erkenntnissen (Spindler/Schuster/Anton, 4. Aufl. 2019, UrhG § 60c Rn. 3; BeckOK UrhR/Grübler, 42. Ed. 1.5.2024, UrhG § 60c Rn. 5; Dreier/Schulze/Dreier, 7. Aufl. 2022, UrhG § 60c Rn. 1). Der Begriff der wissenschaftlichen Forschung ist, indem er bereits das methodisch-systematische "Streben" nach neuen Erkenntnissen ausreichen lässt, nicht so eng zu verstehen, dass er nur die unmittelbar mit der Gewinnung von Erkenntnisgewinn verbundenen Arbeitsschritte erfassen würde; vielmehr genügt es, dass der in Rede stehende Arbeitsschritt auf einen (späteren) Erkenntnisgewinn gerichtet ist, wie es z.B. bei zahlreichen Datensammlungen der Fall ist, die zunächst durchgeführt werden müssen, um anschließend empirische Schlussfolgerungen zu ziehen. Insbesondere setzt der Begriff der wissenschaftlichen Forschung auch keinen späteren Forschungserfolg voraus.
Danach kann – entgegen der Auffassung des Klägers – auch bereits die Erstellung eines Datensatzes der streitgegenständlichen Art, der Grundlage für das Trainieren von KI-Systemen sein kann, durchaus als wissenschaftliche Forschung im vorstehenden Sinne anzusehen sein. Zwar mag die Erstellung des Datensatzes als solche noch nicht mit einem Erkenntnisgewinn verbunden sein; sie ist aber grundlegender Arbeitsschritt mit dem Ziel, den Datensatz zum Zwecke späteren Erkenntnisgewinns einzusetzen. Dass eine solche Zielsetzung auch im vorliegenden Fall bestand, kann bejaht werden. Dafür genügt es, dass der Datensatz – unstreitig – kostenfrei veröffentlicht und damit gerade (auch) auf dem Gebiet künstlicher neuronaler Netze Forschenden zur Verfügung gestellt wurde. Ob der Datensatz – wie es der Kläger hinsichtlich der Dienste ... und ... behauptet – daneben auch von kommerziellen Unternehmen zum Training bzw. zur Weiterentwicklung ihrer KI-Systeme genutzt wird, ist schon deshalb unerheblich, weil auch die Forschung kommerzieller Unternehmen noch Forschung – wenn auch nicht als solche nach §§ 60c f. UrhG privilegiert – ist.
Auf die zwischen den Parteien streitige Frage, ob der Beklagte über die Erstellung entsprechender Datensätze hinaus auch wissenschaftliche Forschung in Gestalt der Entwicklung eigener KI-Modelle tätigt, kommt es vor diesem Hintergrund nicht an.
b) Der Beklagte verfolgt auch nicht kommerzielle Zwecke i.S.d. § 60d Abs. 2 Nr. 1 UrhG.
Für die Frage, ob Forschung nicht kommerziell ist, kommt es allein auf die konkrete Art der wissenschaftlichen Tätigkeit an, während Organisation und Finanzierung der Einrichtung, in der die Forschung erfolgt, unbeachtlich sind (ErwGr 42 InfoSoc-Rl).
Die nicht-kommerzielle Zweckverfolgung des Beklagten in Bezug auf die streitgegenständliche Erstellung des Datensatzes ... ergibt sich dabei bereits daraus, dass der Beklagte diesen unstreitig kostenfrei öffentlich zur Verfügung stellt. Dass die Entwicklung des streitgegenständlichen Datensatzes darüber hinaus zumindest auch der Entwicklung eines eigenen kommerziellen Angebots des Beklagten dienen würde (vgl. zu diesem Kriterium BeckOK IT-Recht/Paul, 14. Ed. 1.4.2024, UrhG § 60d Rn. 10), ist weder klägerseits vorgetragen noch sonst ersichtlich. Dass der streitgegenständliche Datensatz auch von kommerziell tätigen Unternehmen zum Training bzw. zur Weiterentwicklung ihrer KI-Systeme genutzt werden mag, ist für die Einordnung der Tätigkeit des Beklagten hingegen ohne Relevanz. Allein der Umstand, dass einzelne Mitglieder des Beklagten neben ihrer Tätigkeit für den Verein auch bezahlten Tätigkeiten bei solchen Unternehmen nachgehen, genügt nicht, die Tätigkeit dieser Unternehmen dem Beklagten als eigene zuzurechnen.
c) Dem Beklagten ist eine Berufung auf die Schrankenregelung des § 60d UrhG auch nicht nach Abs. 2 S. 3 der Vorschrift verwehrt.
Danach können sich Forschungsorganisationen, die mit einem privaten Unternehmen zusammenarbeiten, das einen bestimmenden Einfluss auf die Forschungsorganisation und einen bevorzugten Zugang zu den Ergebnissen der wissenschaftlichen Forschung hat, nicht auf die Schrankenregelung des § 60d UrhG berufen. Die Darlegungs- und Beweislast für die tatsächlichen Voraussetzungen des Gegenausschlusses nach § 60d Abs. 2 S. 3 UrhG obliegt dabei nach dem Wortlaut der Norm dem Kläger.
(1) Soweit der Kläger mit der Replik zunächst darauf verwiesen hat, dass das Unternehmen ... über die Finanzierung des gegenständlichen Datasets und die Besetzung "relevanter Posten" beim Beklagten durch eigene Mitarbeiter unmittelbaren Einfluss auf den Beklagten habe (Replik S. 18, Bl. 52 d.A.), so entbehrt dieser Vortrag der Substanz.
Der Kläger verweist insoweit lediglich darauf, dass einer der Mitbegründer des Beklagten, Herr ..., bei ... als "Head of Machine Learning Operations" angestellt sei, ferner ein Mitglied des Beklagten, Herr ..., ebendort als "Research Scientist" (Replik S. 4 f., Bl. 38 f. d.A.). Allein diese Tätigkeit von zwei Vereinsmitgliedern für das Unternehmen ... belegt aber keinen bestimmenden Einfluss dieses Unternehmens auf die Forschungsarbeit des Beklagten.
Davon abgesehen hat der Kläger noch nicht einmal behauptet, dass der Beklagte dem Unternehmen ... auch bevorzugten Zugang zu den Ergebnissen seiner wissenschaftlichen Forschung, namentlich dem streitgegenständlichen Datensatz, gewährt habe. Vielmehr wird insoweit nur vorgetragen, dass ... seinen Dienst ... mithilfe des streitgegenständlichen Datensatzes trainiert habe (Replik S. 8 f., Bl. 42 f. d.A.).
(2) Soweit der Kläger mit Schriftsatz vom 03.07.2024 auf einen im Jahr 2021 erfolgten Chat auf der Plattform ... verweist, wonach sich der Mitbegründer des Beklagten, Herr ..., dazu bereit erklärt haben soll, dem Unternehmen ... aufgrund eines von diesem geleisteten Finanzierungsbeitrags von 5.000,- $ einen vorzeitigen Zugang zu dem (damaligen kleineren) Datensatz zu gewähren, erfüllt auch dieser Vortrag nicht den Ausnahmetatbestand in § 60d Abs. 2 S. 3 UrhG.
Dabei kann dahinstehen, ob dieser – von dem Beklagten als solcher nicht bestrittene (vgl. Schriftsatz vom 09.07.2024 S. 3, Bl. 112 d.A.) – Chatverlauf die vom Kläger gezogene Interpretation überhaupt trägt. Gleichfalls kann dahinstehen, ob die Erklärung einer solchen Bereitschaft zur Gewährung eines vorzeitigen Zugangs – ob dieser tatsächlich gewährt wurde, hat der Kläger nicht vorgetragen – für das Innehaben eines bevorzugten Zugangs zu den Forschungsergebnissen i.S.d. § 60d Abs. 2 S. 2 UrhG ausreichen kann.
Denn es ist jedenfalls weder klägerseits dargetan noch sonst ersichtlich, dass das Unternehmen ... einen bestimmenden Einfluss auf den Beklagten hätte. Soweit überhaupt personelle Verflechtungen zwischen dem Beklagten und Unternehmen der KI-Branche dargetan sind, handelt es sich um die Unternehmen ... und ... (Replik S. 4 ff., Bl. 38 ff. d.A.).
Die Irische Datenschutzbehörde hat ein Bußgeld in Höhe von 310 Millionen EURO gegen LinkedIn wegen DSGVO-Verstößen im Zusammenhang mit der Analyse des Nutzerverhaltens und zielgerichteter Werbung verhängt.
Die Pressemitteilung der Irischen Datenschutzbehörde: Irish Data Protection Commission fines LinkedIn Ireland €310 million
The Irish Data Protection Commission (DPC) has today announced its final decision following an inquiry into LinkedIn Ireland Unlimited Company (LinkedIn). This inquiry was launched by the DPC, in its role as the lead supervisory authority for LinkedIn, following a complaint initially made to the French Data Protection Authority.
The inquiry examined LinkedIn’s processing of personal data for the purposes of behavioural analysis[1] and targeted advertising[2] of users who have created LinkedIn profiles (members). The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Dale Sunderland, and notified to LinkedIn on 22 October 2024, concerns the lawfulness, fairness and transparency of this processing. The decision includes a reprimand, an order for LinkedIn to bring its processing into compliance, and administrative fines totalling €310 million.
The DPC submitted a draft decision to the GDPR cooperation mechanism in July 2024, as required under Article 60 of the GDPR[3]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
The DPC’s final decision records the following findings of infringement of the GDPR:
Article 6 GDPR and Article 5(1)(a) GDPR, insofar as it requires the processing of personal data to be lawful, as LinkedIn:
Did not validly rely on Article 6(1)(a) GDPR (consent) to process third party data of its members for the purpose of behavioural analysis and targeted advertising on the basis that the consent obtained by LinkedIn was not freely given, sufficiently informed or specific, or unambiguous.
Did not validly rely on Article 6(1)(f) GDPR (legitimate interests) for its processing of first party personal data of its members for behavioural analysis and targeted advertising, or third party data for analytics, as LinkedIn’s interests were overridden by the interests and fundamental rights and freedoms of data subjects.
Did not validly rely on Article 6(1)(b) GDPR (contractual necessity) to process first party data of its members for the purpose of behavioural analysis and targeted advertising.
Articles 13(1)(c) and 14(1)(c) GDPR, in respect of the information LinkedIn provided to data subjects regarding its reliance on Article 6(1)(a), Article 6(1)(b) and Article 6(1)(f) GDPR as lawful bases.
Article 5(1)(a) GDPR, the principle of fairness.
DPC Deputy Commissioner Graham Doyle commented:
“The lawfulness of processing is a fundamental aspect of data protection law and the processing of personal data without an appropriate legal basis is a clear and serious violation of a data subject's fundamental right to data protection.”
The DPC will publish the full decision and further related information in due course.
Summary of LinkedIn Decision Infographic
Further information
This decision relates to a complaint-based inquiry, which was commenced on 20 August 2018, following a complaint made by the French non-profit organisation, La Quadrature Du Net. The complaint was initially made to the French Data Protection Authority and thereafter provided to the DPC in its role as the lead supervisory authority for LinkedIn, which acts as the controller for the processing of personal data at issue.
This inquiry examined the lawfulness, fairness and transparency of the processing of the personal data of users of the LinkedIn platform for the purposes of behavioural analysis and targeted advertising. The personal data in question encompassed data provided directly to LinkedIn by its members (first-party data) and data obtained via its third-party partners relating to its members (third-party data).
The GDPR requires processing of personal data to be based on one of the legal bases outlined in Article 6(1) GDPR, such as consent, contractual necessity or legitimate interests. Depending on the lawful basis selected by controllers, certain conditions must to be met. For example, any consent obtained must meet the standard required by the GPDR of being a freely given, specific, informed, and an unambiguous indication of the data subject’s wishes.
The GDPR also requires that processing is carried out in a fair manner. Fairness is an overarching principle, which requires that personal data may not be processed in a way that is detrimental, discriminatory, unexpected or misleading to the data subject. An absence of fairness can result in a loss of autonomy of data subjects over their personal data, put them in a position where they may be unable to exercise other GDPR rights, and impact their fundamental rights to privacy and personal data protection.
Transparency is another crucial aspect of data protection, and gives data subjects control over the processing of their personal data. Compliance with transparency provisions by controllers ensures that data subjects are fully informed of the scope and consequences of the processing of their personal data in advance and in a positon to exercise their rights.
The DPC’s final decision exercised the following corrective powers:
a reprimand pursuant to Article 58(2)(b) GDPR;
three administrative fines totalling €310 million pursuant to Articles 58(2)(i) and 83 GDPR; and
an order to LinkedIn to bring its processing into compliance with the GDPR pursuant to Article 58(2)(d).
EuGH
Urteil vom 24.10.2024 C-227/23
Kwantum Nederland BV, Kwantum België BV gegen Vitra Collections AG
Der EuGH hat entschieden, dass die EU-Mitgliedstaaten Designklassikern, die als Werk der angewandten Kunst gelten, unabhängig von der Herkunft urhberrechtlichen Schutz gewähren müssen.
Die Pressemitteilung des EuGH: Geistiges Eigentum: Die Mitgliedstaaten sind verpflichtet, Kunstwerke im Gebiet der Union zu schützen – unabhängig vom Ursprungsland dieser Werke oder der Staatsangehörigkeit ihres Urhebers
Vitra, eine schweizerische Gesellschaft, die Designermöbel herstellt, ist Inhaberin von Rechten des geistigen Eigentums an Stühlen, die von den inzwischen verstorbenen Eheleuten Charles und Ray Eames, Staatsangehörigen der Vereinigten Staaten von Amerika, entworfen wurden. Unter diesen Möbeln befindet sich u. a. der Dining Sidechair Wood, der im Rahmen eines vom Museum of Modern Art in New York (Vereinigte Staaten) ausgeschriebenen Wettbewerbs für Möbeldesign geschaffen und ab dem Jahr 1950 in diesem Museum ausgestellt wurde.
Die Gesellschaft Kwantum, die in den Niederlanden und in Belgien eine Kette von Geschäften für Innenmobiliar betreibt, vermarktete einen Stuhl mit der Bezeichnung „Paris-Stuhl“ und missachtete dabei vorgeblich Urheberrechte von Vitra am Dining Sidechair Wood. Vitra rief die niederländischen Gerichte an, um u. a. die Unterlassung dieser Vermarktung zu erreichen. Vor diesem Hintergrund hat der Oberste Gerichtshof der Niederlande beschlossen, dem Gerichtshof Fragen zum Schutz nach der Richtlinie 2001/291 , Art. 17 Abs. 2 und Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen vorzulegen, der in der Union einem Werk der angewandten Kunst, das aus einem Drittstaat stammt und dessen Urheber nicht Staatsangehöriger eines Mitgliedstaats ist, zugutekommen kann.
Im Völkerrecht sieht die Berner Übereinkunft2 vor, dass Urheber, die Staatsangehörige der Unterzeichnerländer sind, in den anderen Unterzeichnerländern grundsätzlich die gleichen Rechte genießen wie inländische Urheber. Eine Ausnahme von diesem Grundsatz betrifft jedoch den Schutz von Werken der angewandten Kunst. Insoweit haben die Vertragsparteien eine Klausel der materiellen Gegenseitigkeit geschaffen, nach der Werke der angewandten Kunst mit Ursprung in Ländern, in denen solche Werke nur als Muster oder Modelle geschützt werden, in den anderen Unterzeichnerländern keinen Anspruch auf Kumulierung dieses Schutzes mit dem Urheberrechtsschutz haben.
Insofern möchte der Oberste Gerichtshof der Niederlande mit seiner dem Gerichtshof vorgelegten Frage wissen, ob es den Mitgliedstaaten noch freisteht, die in der Berner Übereinkunft enthaltene Klausel der materiellen Gegenseitigkeit auf Werke der angewandten Kunst mit Ursprung in Drittstaaten anzuwenden, die diese Werke lediglich aufgrund einer besonderen Regelung schützen, auch wenn der Unionsgesetzgeber eine solche Einschränkung nicht vorgesehen hat.
In seinem Urteil verneint der Gerichtshof dies: Im Anwendungsbereich der Richtlinie 2001/29 sind die Mitgliedstaaten nicht mehr für die Umsetzung der einschlägigen Vorschriften der Berner Übereinkunft zuständig.
Hierzu weist der Gerichtshof zunächst darauf hin, dass eine Situation, in der eine Gesellschaft urheberrechtlichen Schutz eines in einem Mitgliedstaat vermarkteten Gegenstands der angewandten Kunst beansprucht, in den ateriellen Anwendungsbereich des Unionsrechts fällt, sofern dieser Gegenstand als „Werk“ im Sinne der Richtlinie 2001/29 eingestuft werden kann.
Sodann stellt der Gerichtshof fest, dass der Unionsgesetzgeber beim Erlass dieser Richtlinie zwangsläufig sämtliche Werke berücksichtigt hat, deren Schutz im Gebiet der Union begehrt wird, und dass die Richtlinie im Übrigen kein Kriterium hinsichtlich des Ursprungslandes dieser Werke oder der Staatsangehörigkeit ihres Urhebers enthält. Der Gerichtshof führt weiter aus, dass die Anwendung der in der Berner Übereinkunft enthaltenen Klausel der materiellen Gegenseitigkeit das Ziel der Richtlinie 2001/29, das in der Harmonisierung des Urheberrechts im Binnenmarkt liegt, untergraben würde, da durch die Anwendung dieser Klausel Werke der angewandten Kunst mit Ursprung in Drittstaaten in verschiedenen Mitgliedstaaten unterschiedlich behandelt werden könnten.
Schließlich weist der Gerichtshof darauf hin, dass, da die in Rede stehenden Rechte des geistigen Eigentums durch Art. 17 Abs. 2 der Charta geschützt sind, jede Einschränkung dieser Rechte gemäß Art. 52 Abs. 1 der Charta gesetzlich vorgesehen sein muss. Es ist aber allein Sache des Unionsgesetzgebers, zu bestimmen, ob die Zuerkennung der in der Richtlinie 2001/29 vorgesehenen Rechte in der Union einzuschränken ist.
Unter diesen Umständen kann sich ein Mitgliedstaat nicht auf die Berner Übereinkunft berufen, um von den Verpflichtungen aus der Richtlinie freigestellt zu werden.
Ein Mitgliedstaat kann daher nicht abweichend von den Bestimmungen des Unionsrechts die in der Berner Übereinkunft enthaltene Klausel der materiellen Gegenseitigkeit auf ein Werk anwenden, dessen Ursprungsland die Vereinigten Staaten von Amerika sind.
Tenor der Entscheidung:
1.Eine Situation, in der eine Gesellschaft urheberrechtlichen Schutz eines in einem Mitgliedstaat vermarkteten Gegenstands der angewandten Kunst beansprucht, fällt in den materiellen Anwendungsbereich des Unionsrechts, sofern dieser Gegenstand als „Werk“ im Sinne der Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft eingestuft werden kann.
2. Art. 2 Buchst. a und Art. 4 Abs. 1 der Richtlinie 2001/29 in Verbindung mit Art. 17 Abs. 2 und Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union sind dahin auszulegen, dass sie es beim gegenwärtigen Stand des Unionsrechts den Mitgliedstaaten verwehren, das in Art. 2 Abs. 7 Satz 2 der am 9. September 1886 in Bern unterzeichneten Übereinkunft zum Schutz von Werken der Literatur und Kunst (Pariser Fassung vom 24. Juli 1971) in der Fassung der Änderung vom 28. September 1979 vorgesehene Kriterium der materiellen Gegenseitigkeit im nationalen Recht auf ein Werk der angewandten Kunst anzuwenden, dessen Ursprungsland ein Drittstaat und dessen Urheber ein Drittstaatsangehöriger ist. Es ist allein Sache des Unionsgesetzgebers, gemäß Art. 52 Abs. 1 der Charta der Grundrechte durch Rechtsvorschriften der Union vorzusehen, ob die Zuerkennung der in Art. 2 Buchst. a und Art. 4 Abs. 1 der Richtlinie 2001/29 vorgesehenen Rechte in der Union einzuschränken ist.
3. Art. 351 Abs. 1 AEUV ist dahin auszulegen, dass er es einem Mitgliedstaat nicht gestattet, abweichend von den Bestimmungen des Unionsrechts das in Art. 2 Abs. 7 Satz 2 der am 9. September 1886 in Bern unterzeichneten Übereinkunft zum Schutz von Werken der Literatur und Kunst (Pariser Fassung vom 24. Juli 1971) in der Fassung der Änderung vom 28. September 1979 enthaltene Kriterium der materiellen Gegenseitigkeit auf ein Werk anzuwenden, dessen Ursprungsland die Vereinigten Staaten von Amerika sind.
EuGH
Urteil vom 24.10.2024 C-240/22 P
EU-Kommission / Intel Corporation
Der EuGH hat entschieden, dass die Entscheidung der EU-Kommission über ein Bußgeld in Höhe von 1,06 Mrd. Euro gegen Intel teilweise nichtig ist.
Die Pressemitteilung des EuGH: Der Gerichtshof bestätigt die vom Gericht ausgesprochene Nichtigerklärung der Entscheidung der Kommission, mit der ein Missbrauch der beherrschenden Stellung durch Intel festgestellt und eine Geldbuße von 1,06 Mrd. Euro verhängt wurde
Im Mai 2009 verhängte die Kommission gegen den amerikanischen Mikroprozessorhersteller Intel eine Geldbuße in Höhe von 1,06 Mrd. Euro . Sie warf dem Unternehmen vor, seine beherrschende Stellung auf dem Markt für x86- Prozessoren u. a. dadurch missbraucht zu haben, dass es seinen Kunden und einem Computer-Einzelhändler Rabatte gewährte. 2014 wies das Gericht die Klage von Intel gegen die Entscheidung der Kommission insgesamt ab . Auf das von Intel eingelegte Rechtsmittel hob der Gerichtshof dieses Urteil auf und verwies die Sache an das Gericht zurück.
Das erneut befasste Gericht erklärte die Entscheidung der Kommission teilweise für nichtig und hob die Geldbuße von 1,06 Mrd. Euro in vollem Umfang auf. Gegen dieses Urteil4 legte die Kommission ein Rechtsmittel ein.
Der Gerichtshof weist das Rechtsmittel der Kommission zurück und bestätigt damit das Urteil des Gerichts.
Ihr Rechtsmittel hat die Kommission damit begründet, dass die Kontrolle, die das Gericht hinsichtlich der Feststellungen der Kommission zum As-Efficient-Competitor-Test (Kriterium des ebenso leistungsfähigen Wettbewerbers) vorgenommen habe, an Verfahrensfehlern, Rechtsfehlern und einer Verfälschung von Beweisen leide.
In seinem Urteil weist der Gerichtshof sämtliche Rechtsmittelgründe der Kommission zurück. In Bezug auf den AsEfficient-Competitor-Test bestätigt er, dass es dem Gericht obliegt, jedes Vorbringen zu prüfen, das die Beurteilungen der Kommission in Frage stellen soll und die Schlussfolgerungen, zu denen die Kommission bei ihrer Prüfung gelangt ist, entkräften kann. Dieses Vorbringen kann sich sowohl auf die Vereinbarkeit dieser Beurteilungen mit den dem As-Efficient-Competitor-Test zugrunde liegenden Grundsätzen beziehen als auch auf die Beweiskraft der Sachverhaltselemente, auf die sich die Kommission gestützt hat. Der Gerichtshof bestätigt außerdem, dass das Gericht nicht zu prüfen hat, ob sich der verfügende Teil der Entscheidung der Kommission mit Erwägungen, die frei von den von ihm festgestellten Fehlern sind, rechtfertigen lässt, wenn diese Erwägungen in der Entscheidung nicht kohärent formuliert sind.