Skip to content

VG Frankfurt: Anordnung einer DNS-Sperre durch BaFin unzulässig wenn nicht zunächst der Host-Provider herangezogen wird

VG Frankfurt
Urteil vom 23.10.2024
7 K 800/22.F


Das VG Frankfurt hat entschieden, dass die Anordnung einer DNS-Sperre durch die BaFin nach § 37 KWG unzulässig ist, wenn nicht zunächst der Host-Provider als milderes Mittel herangezogen wird

Die Pressemitteilung des Gerichts:
Rechtswidrige DNS-Sperre
Die Weisung der BaFin an einen Internetdienstanbieter zur Einrichtung einer DNS-Sperre für eine Internetadresse ist rechtswidrig.

Die für das Finanzdienstleistungsaufsichtsrecht zuständige 7. Kammer des Verwaltungsgerichts Frankfurt am Main hat aufgrund der mündlichen Verhandlung vom heutigen Tage der Klage eines Internetdienstanbieters gegen die Weisung der BaFin stattgegeben.

Im April 2021 veröffentlichte die beklagte Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf ihrer Homepage eine Mitteilung, dass sie der dem Verfahren beigeladenen Gesellschaft das unerlaubt betriebene Depotgeschäft sowie die unerlaubt erbrachte Anlagevermittlung und Anlageberatung untersagt habe.

Sodann erteilte die BaFin der Klägerin, die zu den größten Internetdienstanbietern (Internet- oder Access-Provider) gehört, eine Weisung, für die Internetadresse der beigeladenen Gesellschaft eine DNS-Sperre einzurichten und ihre Kunden darüber zu informieren, dass die Webseite auf Weisung gesperrt worden und eine Untersagungsverfügung gegenüber der beigeladenen Gesellschaft erlassen worden sei.

Mit ihrer Klage wendet sich die Klägerin gegen diese Weisung. Sie ist der Auffassung, § 37 Abs. 1 Satz 1 Nr. 1 KWG sei keine verfassungskonforme Ermächtigungsgrundlage für die Anordnung einer DNS-Sperre und die Auferlegung der Informationspflichten. Die BaFin habe auch nicht alle ihr möglichen und zumutbaren Maßnahmen zur Heranziehung der Beigeladenen ausgeschöpft, bevor sie die Weisung erteilt habe.

Die Kammer hat der Klage stattgegeben. In der mündlichen Urteilsbegründung hat die Kammer ausgeführt, dass sie an der Verfassungsmäßigkeit der Rechtsgrundlage des § 37 KWG keine Zweifel habe. Die Beigeladene habe zwar erlaubniswidrig gehandelt: die BaFin habe aber nicht ohne Vorermittlungen die Klägerin als Access-Provider einbeziehen dürfen. Insoweit hätte sie als milderes Mittel zunächst die Hinzuziehung des Host-Providers in Erwägung ziehen müssen.

Die Berufung wurde zugelassen.

Bei der Abfassung der Pressemitteilung lag eine schriftliche Urteilsbegründung noch nicht vor.

Das Urteil ist noch nicht rechtskräftig. Es besteht die Möglichkeit, gegen diese Entscheidung Rechtsmittel an den Hessischen Verwaltungsgerichtshof in Kassel einzulegen.

Aktenzeichen 7 K 800/22.F

Kreditwesengesetz - KWG
§ 37 Einschreiten gegen unerlaubte oder verbotene Geschäfte
(1) 1Die Bundesanstalt kann die sofortige Einstellung des Geschäftsbetriebs und die unverzügliche Abwicklung dieser Geschäfte gegenüber dem Unternehmen und den Mitgliedern seiner Organe anordnen, wenn

1. ohne die nach § 32 oder die nach § 15 des Wertpapierinstitutsgesetzes erforderliche Erlaubnis Bankgeschäfte betrieben oder Finanzdienstleistungen erbracht werden,



PSD 2: BaFin gewährt Unternehmen zeitlich befristet Erleichterungen bei der Kundenauthentifizierung

Die Pressemitteilung des BaFin

PSD 2: BaFin ermöglicht Erleichterungen bei Kundenauthentifizierung

Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird dies zunächst nicht beanstanden. Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) ermöglichen.

Ab dem 14. September 2019 ist bei Online-Zahlungen eine starke Kundenauthentifizierung notwendig. Diese soll das Einkaufen im Internet sicherer machen. Bei Kreditkartenzahlungen reicht es dann nicht mehr aus, lediglich die Kreditkartennummer und Prüfziffer einzugeben. Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen.

Nach Einschätzung der BaFin sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf. Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt. Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt erhalten. Zivilrechtliche Haftungsregelungen, etwa zwischen dem Kreditkarteninhaber und dem Zahlungsdienstleister, bleiben von der Maßnahme unberührt, so dass für Verbraucher und andere Zahler im Internet kein Nachteil entsteht.

Die Erleichterungen sind zeitlich befristet. Wann sie auslaufen, wird die BaFin festlegen, nachdem sie die Markteilnehmer konsultiert und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt hat. In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine Starke Kundenauthentifizierung ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten. Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet.

Hintergrund zur PSD2
Die PSD 2 verpflichtet Zahlungsdienstleister, ab dem 14. September 2019 eine Starke Kundenauthentifizierung durchzuführen, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Die Vorgaben gelten in der gesamten Europäischen Union.

Bei der Starken Kundenauthentifizierung werden zwei voneinander unabhängige Elemente verwendet. Diese müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Beispiele dafür sind ein Passwort (Wissen), ein Mobiltelefon (Besitz) oder ein persönlicher Fingerabdruck (Inhärenz).

Die Vorgaben zur Starken Kundenauthentifizierung gelten auch bei Kreditkartenzahlungen im Internet. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Vielmehr sind auch hier zusätzlich zwei Elemente aus den erwähnten Kategorien zu verwenden. Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen beispielsweise bestimmte Kleinbetragszahlungen.

(Weitere Informationen zur Starken Kundenauthentifizierung und den Ausnahmen davon finden sich auf der Webseite der BaFin unter https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2018/fa_bj_1806_Starke_Kundenauthentifizierung.html).


VGH Kassel: Speicherung personenbezogener Daten von Anlageberatern durch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zulässig

VGH Kassel
Urteil vom 25.07.2018
6 A 673/15


Der VGH Kassel hat entschieden, dass die Speicherung personenbezogener Daten von Anlageberatern der Sparkassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zulässig ist.

Die Pressemitteilung des VGH Kassel:

Speicherung personenbezogener Daten von Anlageberatern der Sparkassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) grundsätzlich zulässig

Der Hessische Verwaltungsgerichtshof hat mit heute verkündetem Urteil die Berufung von Anlageberatern bzw. Betriebsbeauftragten, die bei unterschiedlichen Sparkassen beschäftigt waren, gegen ein Urteil des Verwaltungsgerichts Frankfurt am Main zurückgewiesen.

Die Kläger wenden sich gegen die Speicherung personenbezogener Daten in einer bei der BaFin eingerichteten Datenbank.

Die als Anlageberater bzw. Betriebsbeauftragte bei unterschiedlichen Sparkassen beschäftigten Kläger baten bei der Beklagten um Auskunft über die zu ihrer Person gespeicherten Daten und beantragten deren Löschung. Die BaFin erteilte Auskunft über die gespeicherten Daten, die den Namen - einschließlich Vornamen -, das Geburtsdatum, den Geburtsort, den Beginn der Tätigkeit und die jeweilige Funktion im Sparkassenwesen sowie die Namen der zuständigen Anlageberater oder Vertriebsbeauftragten in der Datenbank der BaFin umfasste. Die beantragte Löschung der Daten lehnte die BaFin jedoch ab.

Die hiergegen erhobene Klage wurde durch das Verwaltungsgericht Frankfurt am Main mit Urteil vom 2. Juli 2014 abgewiesen.

Die Berufung der Kläger gegen diese erstinstanzliche Entscheidung hat der 6. Senat des Hessischen Verwaltungsgerichtshofs zurückgewiesen. Zur Begründung hat er ausgeführt, die Voraussetzungen eines Löschungsanspruches nach Maßgabe der datenschutzrechtlichen Bestimmungen seien nicht erfüllt. Auch aus einer etwaigen Verfassungswidrigkeit der Rechtsgrundlagen ergebe sich kein Löschungsanspruch.

Aus den gesetzlichen Regelungen ergebe sich hinreichend, welche Daten von der BaFin im Mitarbeiter- und Beschwerderegister zu speichern seien. Es sei erkennbar, dass der Gesetzgeber insoweit die Daten erfasst sehen wollte, die eine Identifikation der betreffenden Mitarbeiter ermögliche. Hierfür sei die Angabe von Vorname, Familien- und Geburtsname, Tag und Ort der Geburt erforderlich. Dies seien die Daten, die zu einer Identifikation der Person notwendig seien. Dass sich die Dauer der Speicherung nicht bereits aus dem Gesetz ergibt, ist verfassungsrechtlich unbedenklich.

Die Revision gegen das Urteil wurde nicht zugelassen. Gegen die Nichtzulassung der Revision haben die Kläger die Möglichkeit der Beschwerde, über die das Bundesverwaltungsgericht in Leipzig zu entscheiden hätte.

Aktenzeichen: 6 A 673/15