BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH
Urteil vom 13.02.2025
C-472/23
Lexitor

Der EuGH hat entschieden, dass eine Bank durch den Verstoß gegen Informationspflichten bei Verbraucherkreditverträgen ihren Anspruch auf Zinsen verlieren kann.

Die Pressemitteilung des EuGH:
Verbraucherkreditverträge: Eine Bank, die gegen ihre Informationspflicht verstößt, kann ihren Anspruch auf die Zinsen verlieren

Dies gilt auch dann, wenn die konkrete Schwere des Verstoßes und die Folgen für den Verbraucher je nach Fall unterschiedlich ausfallen können

Lexitor ist ein polnisches Inkassounternehmen, an das ein Verbraucher seine Rechte aus einem mit einer Bank geschlossenen Kreditvertrag abgetreten hat. Lexitor meint, dass die Bank gegen ihre Verpflichtung verstoßen habe, dem Verbraucher beim Abschluss des Vertrags bestimmte Informationen zu erteilen, und hat sie deshalb bei einem polnischen Gericht auf Erstattung der vom Verbraucher gezahlten Zinsen und Kosten verklagt

Lexitor macht geltend, dass die Bank einen zu hohen effektiven Jahreszins angegeben habe. Eine der Vertragsklauseln, die bei der Berechnung des effektiven Jahreszinses berücksichtigt worden sei, sei nämlich missbräuchlich und mithin für den Verbraucher unverbindlich. Außerdem sei in dem Vertrag nicht klar angegeben, aus welchen Gründen und auf welche Art und Weise die im Zusammenhang mit der Durchführung des Vertrags anfallenden Entgelte erhöht werden könnten. Wegen dieser Verstöße greife die im polnischen Recht vorgesehene Sanktion des Verlusts des Anspruchs auf die im Vertrag vereinbarten Zinsen und Kosten.

Das polnische Gericht hat sich an den Gerichtshof gewandt. Es möchte wissen, ob die Bank gegen die im Unionsrecht4 vorgesehene Informationspflicht verstoßen hat und ob der Verlust des Anspruchs auf die Zinsen und Kosten mit dem Unionsrecht vereinbar ist.

Der Gerichtshof stellt erstens fest, dass in Kreditverträgen der effektive Jahreszins, berechnet zum Zeitpunkt des Abschlusses des Kreditvertrages, in klarer, prägnanter Form anzugeben ist. Bei der Berechnung des effektiven Jahreszinses wird jedoch von der Annahme ausgegangen, dass der betreffende Kreditvertrag für den vereinbarten Zeitraum gültig bleibt. Deshalb wird nicht bereits dadurch gegen die Informationspflicht verstoßen, dass in einem Kreditvertrag ein effektiver Jahreszins angegeben ist, der sich als zu hoch erweist, weil in der Folge festgestellt wird, dass bestimmte Klauseln des Vertrags missbräuchlich sind.

Zweitens müssen in Kreditverträgen die Bedingungen einer Änderung der im Zusammenhang mit der Durchführung des Vertrags anfallenden Entgelte klar und verständlich beschrieben werden. Wird in dem Vertrag insoweit auf Indikatoren abgestellt, die der Verbraucher nur schwerlich überprüfen kann, kann dies gegen die Informationspflicht verstoßen, wenn ein Durchschnittsverbraucher nicht überprüfen kann, ob die Bedingungen einer solchen Änderung eintreten und wie sie sich auf die Entgelte auswirken, und somit nicht in der Lage ist, den Umfang seiner Verpflichtungen zu bestimmen. Das nationale Gericht wird zu prüfen haben, ob dies in dem bei ihm anhängigen Rechtsstreit der Fall ist.

Drittens kann die Bank bei einem Verstoß gegen die Informationspflicht, der die Möglichkeit des Verbrauchers beeinträchtigt, den Umfang seiner Verpflichtung einzuschätzen, ihren Anspruch auf die Zinsen und Kosten verlieren. Vorbehaltlich der Überprüfungen, die das nationale Gericht vorzunehmen haben wird, hält der Gerichtshof eine solche Sanktion – auch wenn die Schwere des Verstoßes und die Folgen, die sich daraus für den Verbraucher ergeben, im Einzelfall unterschiedlich ausfallen können – für verhältnismäßig.

Den Volltext der Entscheidung finden Sie hier:

OLG Schleswig-Holstein
Urteil vom 18.12.2024
12 U 9/24

Das OLG Schleswig-Holstein hat entschieden, dass Unternehmen E-Mail-Rechnungen mit Ende-zu-Ende-Verschlüsselung versenden müssen. Andernfalls kann bei einem Man-in-the-Middle-Angriff ein Schadensersatzanspruch aus Art. 82 DSGVO bestehen.

Das Gericht hat zum Glück die Revision zugelassen, so dass der BGH hoffentlich die Gelegenheit erhält, diese völlig praxisuntaugliche Entscheidung zu korrigieren.

Aus den Entscheidungsgründen:
2. Anders als das Landgericht meint, steht der Beklagten allerdings ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung des streitgegenständlichen Betrags zu, den die Beklagte der Klagforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten kann.

a) Ein solcher Anspruch resultiert vorliegend jedenfalls aus Art. 82 DSGVO.

Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z.B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Als Datenschutzverletzungen werden versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten definiert. Um solche Sicherheitsvorfälle zu vermeiden, werden Unternehmen dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. Nach Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (...) Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Art. 82 Abs. 1 DSGVO eröffnet einen direkten eigenen deliktischen Schadensersatzanspruch mit Verschuldensvermutung, wobei der Verantwortliche nach Abs. 3 den Entlastungsbeweis führen kann.

Dass die Beklagte sich nicht ausdrücklich auf Art. 82 Abs. 1 DSGVO berufen hat, hindert eine Anwendbarkeit nicht, denn die Subsumtion des unterbreiteten Sachverhalts obliegt allein dem Gericht. Insoweit hat die Beklagte alle erforderlichen Voraussetzungen für einen solchen Schadensersatzanspruch vorgetragen.

aa) Der Anwendungsbereich der DSGVO ist in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet.

Gemäß Art. 2 Abs. 1 DSGVO gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Personenbezogene Daten sind Daten, über die sich ein konkreter Personenbezug herstellen lässt. Demnach geht es um Daten, die konkreten Personen zuzuordnen sind. Die in der streitgegenständlichen Email als Anhang enthaltenen Angaben zur Beklagten (Name, Anschrift, Kunde der Klägerin, offene Rechnung über eine Werkleistung) sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Die Versendung der Rechnung mit den enthaltenen Daten per E-Mail an die Beklagte über den streitverkündeten Zeugen A. stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar ("Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung"). Daran ändert sich auch nichts dadurch, dass nicht die personenbezogenen Daten der Beklagten, sondern die Kontoverbindung der Klägerin durch einen Dritten unbefugt manipuliert wurde, denn ohne den gleichzeitigen unbefugten Zugriff auf die Daten der Beklagten wäre diese durch die abgewandelte, an die Email angehängte Rechnung nicht dazu veranlasst worden, auf ein falsches Bankkonto zu zahlen.

Das sog. Haushaltsprivileg des Art. 2 Abs. 2 lit. c DSGVO, wonach die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten findet, greift nicht, da die Verarbeitung vorliegend durch ein Unternehmen im Rahmen des geschäftlichen Betriebs stattgefunden hat.

Die Beklagte ist für den geltend gemachten Anspruch aktivlegitimiert. Denn anspruchsberechtigt ist nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist. Die Klägerin ist als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO passivlegitimiert im Sinne von Art. 82 Abs. 1 DSGVO.

bb) Im Übrigen hat Art. 82 Abs. 2 DSGVO - der die in Art. 82 Abs. 1 DSGVO grundsätzlich normierte Haftungsregelung präzisiert - drei Voraussetzungen für die Entstehung eines Schadensersatzanspruchs, nämlich

- erstens eine Verarbeitung personenbezogener Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 UnterAbs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 1 und 2 DSGVO unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO,

- zweitens einen der betroffenen Person entstandenen Schaden und

- drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden

(vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 58; EuGH, Urteil v. 04.05.2023 – C-300/21 -, juris Rn. 36).

(1) Vorliegend hat nach Ansicht des Senats die Klägerin - anders als das Landgericht meint – im Zuge der Verarbeitung der personenbezogenen Daten der Beklagen bei Versand der streitgegenständlichen Email mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.

(aa) Ein Verstoß gegen die Vorschriften der Datenschutzgrundverordnung kann in diesem Zusammenhang nicht schon allein deswegen angenommen werden, weil – was unstreitig ist – ein unbefugter Zugriff auf personenbezogene Daten durch Dritte im Sinne von Art. 4 Nr. 10 DSGVO stattgefunden hat. Denn dies allein reicht nach der Rechtsprechung des Europäischen Gerichtshofs nicht aus, um gleichzeitig davon auszugehen, dass die technischen und organisatorischen Maßnahmen des für die Verarbeitung Verantwortlichen nicht "geeignet" im Sinne von Art. 24 und 32 DSGVO waren, vgl. EuGH, Urteil v. 25.01.2024 - C-687/21 -, juris Rn. 45; EuGH, Urteil v. 14.12.2023 - C-340/21, juris Rn. 22ff., 31-39).

(bb) Umgekehrt ist nach der Rechtsprechung des Europäischen Gerichtshofs der Verantwortliche aber auch nicht gem. Art. 82 Abs. 3 DSGVO von seiner nach Art. 82 Abs. 1 und 2 DSGVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens allein deswegen befreit, weil dieser Schaden die Folge eines unbefugten Zugangs zu personenbezogenen Daten durch einen Dritten ist (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 65ff., 74).

(cc) Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen (vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 40Ff; ebenso EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 48ff., 57). Das ist der Klägerin vorliegend nicht gelungen, da der Senat die Transportverschlüsselung, die sie beim Versand der streitgegenständlichen Email – von der Beklagten bestritten – verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält. Es kann damit auch dahinstehen, ob eine solche Transportverschlüsselung tatsächlich erfolgt ist. Das von der Klägerin zum Beweis dafür und für die Frage, ob eine Transportverschlüsselung dem üblichen Sicherungsmaß entspricht oder sogar darüber hinausgeht, angebotene Sachverständigengutachten ist insoweit nicht einzuholen.

(aaa) Der Senat verkennt dabei nicht, dass es konkrete gesetzliche Anforderungen an eine Verschlüsselung von Emails nicht gibt.

Auch in der Datenschutzgrundverordnung ist eine Verschlüsselung nicht zwingend vorgeschrieben. Sie wird jedoch mehrfach im Text der Verordnung erwähnt, jedes Mal als Empfehlung. In Artikel 32 heißt es, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken und der Schwere der Folgen für die Rechte und Freiheiten natürlicher Personen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen müssen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wozu unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten gehören. Da die DSGVO die Verschlüsselung jedoch nicht zwingend vorschreibt, bietet sie keine Klarheit darüber, wann die Verschlüsselung verwendet werden sollte und welche Standards dabei angewendet werden müssen.

Nach der „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“, die von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder entwickelt wurde und die Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DSGVO zum Ziel hat, sind ausgehend vom Stand der Technik, den typischen Implementierungskosten und deren Verhältnis zu den Risiken einer Übermittlung personenbezogener Daten per E-Mail Anforderungen an die Maßnahmen, die Verantwortliche und Auftragsverarbeiter zur ausreichenden Minderung der Risiken zu treffen haben, zu bestimmen. Die Verantwortlichen und Auftragsverarbeiter sind verpflichtet, die Besonderheiten ihrer Verarbeitungen, darunter insbesondere den Umfang, die Umstände und die Zwecke der vorgesehenen Übermittlungsvorgänge zu berücksichtigen, die ggf. in abweichenden Anforderungen resultieren können (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf).

Danach muss es im Ausgangspunkt heute jedem Unternehmen, das Daten seiner privaten Kunden computertechnisch verarbeitet, bewusst sein, dass der Schutz dieser Daten hohe Priorität – auch beim Versenden von Emails - genießt. Es ist daher zur Überzeugung des Senats auch verpflichtet, diesen Schutz durch entsprechende Maßnahmen so weit wie möglich zu gewährleisten.

Der Europäische Gerichtshof hat die Anforderungen des Art. 32 DSGVO dahingehend ausgelegt, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen vor den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbunden Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 40ff., 47).

(bbb) Tastet man sich an die Frage einer „geeigneten“ Verschlüsselung „von unten“ heran, ist es nach Ansicht des Senats für einen Geschäftsbetrieb wie den der Klägerin ausgeschlossen, geschäftliche Emails mit personenbezogenen Daten völlig ohne jede Verschlüsselung zu versenden.

Nach einer Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu aktuell möglichen und gebräuchlichen Verschlüsselungsmethoden kommen für den Email-Versand die folgenden Verfahren in Betracht:

„Bei E-Mail-Verschlüsselung gibt es grundsätzlich zwei verschiedene Arten: die Punkt-zu-Punkt- beziehungsweise Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung.

Wo der entscheidende Unterschied liegt, wird im Folgenden erklärt:

Transportverschlüsselung

Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird inzwischen von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. E-Mails werden beim Versand allerdings über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.

Internetkriminelle könnten einen "Man-in-the-Middle-Angriff" durchführen, der auf diese Punkte ausgerichtet ist. Bei diesem Angriff platziert sich ein Angreifer "in der Mitte" der Kommunikation zwischen zwei Kommunikationspartnerinnen oder -partnern und kann ohne deren Wissen Daten (z.B. E-Mails) abfangen, kopieren oder verändern.

Ende-zu-Ende-Verschlüsselung

Zwar ist eine Transportverschlüsselung einer unverschlüsselten Kommunikation vorzuziehen, doch gerade bei sensiblen oder persönlichen Inhalten empfiehlt es sich, auf den Einsatz einer Ende-zu-Ende-Verschlüsselung Wert zu legen. Bisher gestaltete sich der Einsatz dieser Kryptografietechnik noch als mühsam. Anwenderinnen und Anwender müssen bei der Ende-zu-Ende-Verschlüsselung oft selbst aktiv werden und zusätzliche Plugins in den meisten E-Mail-Clients aktivieren, um die Technologie nutzen zu können. Eine weitere Hürde ist der Austausch der öffentlichen Schlüssel. Allerdings ist dies unter anderem mit einem vom Bundesamt für Sicherheit in der Informationstechnik entwickelten Protokoll richtungsweisend vereinfacht und so Anwenderinnen und Anwendern zugänglicher gemacht worden.“

(https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationenund-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschlu esselung/e-mail-verschluesselung_node.html)

In der bereits zitierten Orientierungshilfe der Datenschutzkonferenz (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf) heißt es weiter zu dem von einem Verarbeiter danach zu verlangenden Schutzniveau, dass sowohl End-to-End-Verschlüsselung als auch Transportverschlüsselung für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten mindern. Daher müssten Verantwortliche beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen. Der durchgreifendste Schutz der Vertraulichkeit der Inhaltsdaten werde durch End-to-End-Verschlüsselung erreicht. End-to-End-Verschlüsselung schütze nicht nur den Transportweg, sondern auch ruhende Daten; der Einsatz von Transportverschlüsselung biete einen Basis-Schutz und stelle eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Die Verantwortlichen müssten die Risiken sorgfältig einschätzen, die mit dem Bruch der Vertraulichkeit und Integrität von E-Mail-Nachrichten verbunden seien, die sie versendeten oder gezielt empfingen.

(ccc) Nach Ansicht des Senats ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.

Soweit in der Orientierungshilfe der Datenschutzkonferenz zur Einzelfallentscheidung darauf abgestellt wird, dass in Verarbeitungssituationen mit normalen Risiken bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht wird, zeigt der zu entscheidende Fall nach Ansicht des Senats deutlich, dass hier keine „Verarbeitungssituation mit normalen Risiken“ vorliegt. Er ist zwar anders gelagert als die üblicherweise für die Annahme eines hohen Risikos herangezogenen Emails z.B. mit Arztbriefen oder Rechtsanwaltsschreiben im Anhang, die vor allem wegen des hohen Umfangs und der Intensität der persönlichen Daten besonders schutzwürdig sein sollen. Bei der hier streitgegenständlichen Email mit der Rechnung der Klägerin im Anhang sind die persönlichen Daten der Beklagten als Privatkundin wie Name und Adresse und die Tatsache, dass die Beklagte einen Werkvertrag abgeschlossen hat, nicht in dem Maße tiefgreifend persönlich. Der Zugriff durch einen unbefugten Dritten darauf führte aber im konkreten Fall in Verbindung mit der ebenfalls „gehackten“ und unberechtigt veränderten Kontoverbindung der Klägerin dazu, dass die Beklagte auf ein falsches Konto gezahlt hat und ‒ wie die Ausführungen unter 1. zeigen ‒ den Werklohn nunmehr erneut zahlen soll, so dass ihr ein massiver finanzieller Schaden von über 15.000,-- € entstanden ist. Dass Kunden von Unternehmen bei einem Datenhacking solche Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per Email immanent ist, von der Klägerin bei ihrer Planung zur Emailsicherheit erkannt werden musste und bei ihren Überlegungen zu Schutzmaßnahmen beim Versand von Rechnungen per Email mit einzubeziehen war. Anders, als das Landgericht meint, kommt es darauf, dass bei der Klägerin bislang ein Hackerangriff noch nicht vorgekommen war, nicht an. Die stetig wachsende Gefahr von Hackerangriffen auf Unternehmen ist allgemein bekannt und die hohe Schadensträchtigkeit des Versands von Rechnungen per Email verlangt von einem Unternehmen wie der Klägerin eine entsprechende Voraussicht und ein entsprechendes proaktives Handeln.

Der Senat verkennt dabei nicht, dass die hier für einen Email-Versand mit angehängter Rechnung verlangte End-to-End-Verschlüsselung für ein Unternehmen wie die Klägerin einen gewissen technischen Aufwand erfordert, der sich möglicherweise nicht darauf beschränkt, in dem benutzten Standard-Email-Programm lediglich eine Aktivierung vorzunehmen. Vielmehr dürfte hier vielfach eine technische Beratung und der Einsatz von gesonderten Programmen erforderlich sein. Dies ändert aber nach Ansicht des Senats die an die Verschlüsselung von geschäftlichen Emails mit angehängten Rechnungen zu stellenden Anforderungen nicht. Angesichts der allgemein bekannten und vielfältig veröffentlichten Hackermöglichkeiten, des gerichtsbekannt rasanten Anstiegs von Hackerangriffen und den im Einzelfall weitreichenden finanziellen Folgen für den einzelnen Kunden, dessen Rechnung verfälscht wird und der selbst keinen Einfluss auf die Verarbeitung seiner Daten hat, ist daher auch von einem kleineren Unternehmen – wie der Klägerin als mittelständischem Handwerksbetrieb – zu erwarten, dass es sich zum Schutz der Daten seiner Kunden zu computertechnischen Sicherheitsanforderungen informiert und sich diesbezüglich beraten, fortbilden und mit der notwendigen Software ausstatten lässt. Die Klägerin kann sich nicht darauf berufen, dass es sich bei der End-to-End-Verschlüsselung im Geschäftsleben um eine unübliche Verschlüsselung handeln würde, die von ihr nicht verlangt werden könne. Vielmehr beschäftigen sich vielfache, allgemein zugängliche Empfehlungen und Informationen aktuell mit den entsprechenden Möglichkeiten, so auch die Information des BSI zur Praxis der Emailverschlüsselung unter Nennung verschiedener Email-Tools, die eine solche Verschlüsselung ermöglichen (s. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dass einer End-to-End-Verschlüsselung im konkreten Fall technische, organisatorische und/oder finanzielle Hindernisse im Weg gestanden hätten, hat die Klägerin nach entsprechendem Hinweis des Senats in der mündlichen Verhandlung, welche Schutzmaßnahmen er erwarte, nicht vorgetragen.

Soweit dieser zu erwartende hohe Standard zum Schutz der personenbezogenen Daten beim Versand von Emails mit angehängten Rechnungen nicht sichergestellt werden kann, bleibt für ein Unternehmen – ohne dass hierfür größerer technischer und/oder finanzieller Aufwand betrieben werden müsste – wie eh und je der Versand von Rechnungen per Post das Mittel der Wahl.

(dd) Die Klägerin trifft auch ein Verschulden.

Nach der Rechtsprechung des Europäischen Gerichtshofs ist einer kombinierten Analyse der verschiedenen Bestimmungen von Art. 82 DSGVO zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (EuGH, Urteil v. 21.12.2023 - C-667/21, juris Rn. 92 ff.).

Gemäß Art. 82 Abs. 3 DSGVO wird der Anspruchsverpflichtete von der Haftung – hier für unzureichende Schutzmaßnahmen in Bezug auf die Versendung personenbezogener Daten - befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist dabei das Verschulden im Sinne der deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung (LG Mainz, Urteil vom 12.11.2021 - 3 O 12/20, juris Rn. 73; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 50. Edition, Stand 01.08.2024, Art. 82 DSGVO Rn. 17 und 17.2; Geissler/Ströbel, in: NJW 2019, 3414 (3415)). Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Um die Feststellung treffen zu können, der Verantwortliche sei "in keinerlei Hinsicht" verantwortlich, hat dieser nachzuweisen, dass er alle Sorgfaltspflichten erfüllt hat und ihm damit nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, a.a.O., Art. 82 DSGVO Rn. 18). Diesen Nachweis hat die Klägerin nicht zu führen vermocht. Ihr ist insofern – wie oben dargestellt - der Vorwurf eines unzureichenden Schutzniveaus für den Versand von Emails mit personenbezogenen Daten – insbesondere mit der hier angehängten Rechnung - zu machen.

Die Klägerin kann sich auch nicht darauf berufen, dass sie sich ausreichend hätte beraten lassen und auch ihr IT-Berater, der Zeuge C., im Rahmen zu treffender Schutzmaßnahmen lediglich eine Transportverschlüsselung vorgeschlagen habe. Da es keine gesetzlich festgelegten Schutzmaßnahmen gibt, obliegt es letztlich allein der Klägerin zu entscheiden, wie sie ihren Email-Versand mit personenbezogenen Daten sichern will und muss. Ihr IT-Berater konnte insofern lediglich die Optionen nennen; die Entscheidung hatte sie zu treffen. Diesbezüglich hat sie zumindest fahrlässig nicht auf ein ausreichendes Schutzniveau geachtet.

(2) Der Beklagten ist unstreitig ein Schaden entstanden, der in dem – wie oben dargestellt – mangels Erfüllung erneut zu zahlenden Werklohn liegt.

(3) Dieser von der Beklagten geltend gemachte Schaden ist auch eine kausale Folge des Verstoßes gegen die Datenschutzgrundverordnung.

Da nach den obigen Darlegungen die Klägerin bei Versand ihrer Email mit der angehängten Rechnung kein ausreichendes Schutzniveau zur Sicherung der personenbezogenen Daten der Beklagten eingehalten hat, obliegt ihr der Beweis dafür, dass der der Beklagten entstandene Schaden nicht durch ihr Fehlverhalten entstanden ist (EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 72). Dies ist ihr vorliegend nicht gelungen.

Unstreitig ist bei der von der Klägerin (maximal) verwendeten Transportverschlüsselung ein Zugriff durch unbefugte Dritte auf ihrem Computer, ihrem Server oder auf weiteren Servern auf dem Weg zum streitverkündeten Zeugen A. ohne Weiteres möglich; die Email ist definitionsgemäß nur auf dem Transport verschlüsselt. Einen Beweis dafür, dass im konkreten Fall der Zugriff nicht im Bereich der Klägerin, sondern erst im Bereich der Beklagten bzw. des Zeugen A. erfolgt ist, hat die Klägerin, der – wie ausgeführt und auch in der mündlichen Verhandlung erörtert – die Darlegungs- und Beweislast dafür obliegt, nicht angeboten. Die Einholung eines Sachverständigengutachtens von Amts wegen scheidet aus, da es sich mangels Anknüpfungstatsachen um einen Ausforschungsbeweis handeln würde. Auch die bei dem Zeugen A. vorhandenen Schutzmaßnahmen sind aus diesem Grund nicht weiter aufzuklären.

Im Übrigen wäre der Klägerin – selbst wenn der unbefugte Zugriff im Bereich des Zeugen A. und nicht schon im Bereich der Klägerin erfolgt sein sollte – weiterhin anzulasten, dass sie einen solchen Zugriff durch den von ihr gewählten Versand der Daten per Email lediglich mit Transportverschlüsselung und damit mit unzureichender Sicherung erst ermöglicht hätte, denn auch bei einem von der Klägerin angesprochenen Datenhacking im Bereich des Zeugen A. wäre die streitgegenständliche Email samt Anhang aufgrund der End-to-End-Verschlüsseluung wegen des eigenen erforderlichen Schlüssels bei Einhaltung entsprechender Standards auch auf dem Server/Computer des Zeugen jedenfalls ganz weitgehend geschützt gewesen.

(4) Ein Mitverschulden an der Schadensentstehung gem. § 254 BGB trifft die Beklagte nicht.

Anders als das Landgericht meint, oblag der Beklagten bzw. dem Zeugen A., dessen Verschulden ihr möglicherweise gem. § 278 BGB zuzurechnen wäre, nach Ansicht des Senats keine genaue Überprüfung der letztlich auf dem Computer des Zeugen verfälscht, da hinsichtlich der Kontoverbindung manipuliert vorliegenden Rechnung. Die von der Klägerin aufgezeigten Unterschiede zu früheren (Abschlags-)Rechnungen betreffend die Farbe, Angaben zum Geschäftsführer, fehlenden QR-Code der Bankverbindung und fehlendes Siegel stellen geringfügige äußere Abweichungen dar, die weder der Beklagten noch dem Zeugen A. bei oberflächlicher Betrachtung auffallen mussten. Etwas anderes folgt auch nicht daraus, dass die Beklagte erkannt hat, dass die Kontoverbindung verändert war. Angesichts der Tatsache, dass im Geschäftsleben die Kontoverbindung eines Unternehmens aus diversen Gründen geändert wird, kann einer privaten Kundin wie der Beklagten nicht vorgeworfen werden, dass sie vor der Überweisung des offenen Werklohns keine Rücksprache mit der Klägerin genommen hat.

Den Volltext der Entscheidung finden Sie hier:

OLG Nürnberg
Hinweisbeschluss vom 18. November 2024
14 U 2275/22

Das OLG Nürnberg hat in einem Hinweisbeschluss ausgeführt, dass eine Bank nicht für den Vermögensschaden nach einer vom Geschädigten veranlasste Auszahlung infolges eines Enkeltrick-Betrugs haftet..

Die Pressemitteilung des Gerichts:
Bank haftet nicht für einen durch Enkeltrick-Betrug entstandenen Vermögenschaden
Eine gegen die auszahlende Bank gerichtete Schadensersatzklage eines 84-jährigen Mannes, der infolge eines Trickbetrugs 83.000 € an Unbekannte gezahlt hatte, blieb erfolglos. Warn- und Hinweispflichten der Geldinstitute bestehen nur bei einem massiven Verdacht auf eine Vermögensgefährdung des Kunden. Eine solche vorwerfbare Pflichtverletzung konnte das Landgericht Nürnberg-Fürth im konkreten Fall nicht feststellen.

Der Kläger hatte am Schalter in einer Bankfiliale in Nürnberg innerhalb von 1 ½ Stunden zweimal Bargeld von seinem Konto abgehoben, insgesamt 83.000 Euro. Er begründete seine Schadensersatzklage gegen die Bank damit, dass diese durch Auszahlung des Geldes trotz offenkundiger Anhaltspunkte für einen Enkeltrick-Betrug gegen ihre vertraglichen Schutz- und Warnpflichten verstoßen habe. Die Bank hatte im Zivilprozess vorgebracht, dass ihre Mitarbeiter bezüglich des sogenannten Enkeltricks geschult seien und den Kläger entsprechend angesprochen hätten, der ruhig gewirkt und plausible Erklärungen abgegeben habe.

Das Landgericht Nürnberg-Fürth hat in erster Instanz mit Urteil vom 22. Juli 2022 die Klage abgewiesen. Das Gericht führte aus, dass eine Aufklärungs- und Warnpflicht der Bank nur ausnahmsweise bei Vorliegen objektiver massiver Verdachtsmomente anzunehmen ist. Einen massiven Verdacht auf einen drohenden Schaden beim Kläger konnte die Kammer im vorliegenden Fall nicht feststellen. Die Kammer war nach Einvernahme der Bankangestellten als Zeugin davon überzeugt, dass der Kläger sachlich, ruhig und unauffällig in der Bank auftrat. Weder aus dem Alter des Klägers und der Höhe des Bargeldbetrages noch aus dem Umstand, dass erst eine Übertragung von dem Sparkonto auf das Girokonto erfolgte, drängte sich der Verdacht einer Straftat auf. Bei beiden Barabhebungen hatte die Bankangestellte beim Kläger mehrfach nachfragt, ob ihm der sogenannte Enkeltrick bekannt sei, was dieser bejahte und damit entkräftete, dass er direkt mit seiner Enkeltochter gesprochen habe. Eine weitere Nachfragepflicht war von den Mitarbeitern der Bank nicht zu verlangen, so das Landgericht in seiner Entscheidung.

Gegen das klageabweisende Urteil des Landgerichts hatte der Kläger Berufung zum Oberlandesgericht Nürnberg eingelegt. Auch das Oberlandesgericht verneinte eine Verletzung von Warn- und Hinweispflichten der Beklagten, gerade nachdem die Möglichkeit eines Enkeltricks von der Bankangestellten angesprochen worden war. Die Bank ist vertraglich zur Auszahlung des Kontoguthabens verpflichtet und der Kunde hat über die Verwendung der ihm zustehenden Beträge keine Rechenschaft abzulegen, führte das Berufungsgericht ergänzend aus.

Auf den Hinweis des Oberlandesgerichts zur Erfolgslosigkeit der Berufung hat der Kläger sein Rechtsmittel zurückgenommen. Das Urteil des Landgerichts Nürnberg-Fürth ist damit rechtskräftig.

Die Strafbarkeit der Trickbetrüger und etwaige zivilrechtliche Ansprüche gegen diese Personen waren nicht Gegenstand des Verfahrens.

(Urteil des Landgerichts Nürnberg-Fürth vom 22. Juli 2022, Az. 10 O 1384/22,
Hinweisbeschluss des Oberlandesgerichts Nürnberg vom 18. November 2024, Az. 14 U 2275/22)

BGH
Urteil vom 27.02.2024
XI ZR 258/22
BGB § 356b Abs. 2 Satz 1, § 357 Abs. 4 Satz 1, § 358 Abs. 4 Satz 1, § 492 Abs. 2 EGBGB Art. 247 § 3 Abs. 1 Nr. 2, § 3 Abs. 1 Nr. 11, § 6 Abs. 1 Satz 1, EGBGB Art. 247 § 3 Abs. 1 Nr. 2, § 3 Abs. 1 Nr. 11, § 6 Abs. 1 Satz 1 Nr. 1, § 6 Abs. 1 Satz 1 Nr. 5, § 6 Abs. 2 Satz 3, § 7 Abs. 1 Nr. 3, § 7 Abs. 1 Nr. 4

Wir hatten bereits in dem Beitrag BGH: Bank kann sich auf Gesetzlichkeitsfiktion gem. Art. 247 § 6 Abs. 2 Satz 3 EGBGB berufen wenn abweichende Widerrufsbelehrung den Verbraucher begünstigt über die Entscheidung berichtet.

Leitsätze des BGH:
a) Eine richtlinienkonforme Auslegung der in Art. 247 § 6 Abs. 2 Satz 3 EGBGB angeordneten Gesetzlichkeitsfiktion scheidet angesichts des eindeutigen Gesetzeswortlauts auch bei einem Allgemein-Verbraucherdarlehensvertrag im Anwendungsbereich der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates (ABl. 2008, L 133, S. 66, berichtigt in ABl. 2009, L 207, S. 14, ABl. 2010, L 199, S. 40 und ABl. 2011, L 234, S. 46; im Folgenden: Verbraucherkreditrichtlinie) aus (Bestätigung von Senatsbeschluss vom 31. März 2020 - XI ZR 198/19, WM 2020, 838 Rn. 11).

b) Bei einem Allgemein-Verbraucherdarlehensvertrag im Anwendungsbereich der Verbraucherkreditrichtlinie muss nach § 492 Abs. 2 BGB i.V.m. Art. 247 § 6 Abs. 1 Satz 1 Nr. 1 i.V.m. § 3 Abs. 1 Nr. 2 EGBGB gegebenenfalls klar und verständlich angegeben werden, dass es sich um einen verbundenen Darlehensvertrag handelt und dass dieser Vertrag als befristeter Vertrag geschlossen worden ist

c) Bei einem Allgemein-Verbraucherdarlehensvertrag im Anwendungsbereich der Verbraucherkreditrichtlinie beginnt die Widerrufsfrist im Falle einer unvollständigen oder fehlerhaften Information nach § 356b Abs. 2 Satz 1 i.V.m. § 492 Abs. 2 BGB nur zu laufen, wenn die Unvollständigkeit oder Fehlerhaftigkeit dieser Information nicht geeignet ist, sich auf die Befähigung des Verbrauchers, den Umfang seiner aus dem Darlehensvertrag herrührenden Rechte und Pflichten einzuschätzen, oder auf seine Entscheidung, den Vertrag zu schließen, auszuwirken und ihm gegebenenfalls die Möglichkeit zu nehmen, seine Rechte unter im Wesentlichen denselben Bedingungen wie denen auszuüben, die vorgelegen hätten, sofern die Information vollständig und zutreffend erteilt worden wäre.

d) Das Fehlen der Angaben des zum Zeitpunkt des Vertragsschlusses geltenden konkreten Verzugszinssatzes und der Art und Weise seiner Anpassung nach § 356b Abs. 2 Satz 1 i.V.m. § 492 Abs. 2 BGB i.V.m. Art. 247 § 3 Abs. 1 Nr. 11 EGBGB hindert das Anlaufen der Widerrufsfrist nicht (Aufgabe von Senatsurteil vom 12. April 2022 - XI ZR 179/21, WM 2022, 979 Rn. 10).

e) Bei einem Allgemein-Verbraucherdarlehensvertrag im Anwendungsbereich der Verbraucherkreditrichtlinie ist die nach Art. 247 § 7 Abs. 1 Nr. 3 EGBGB erforderliche Information über die Berechnungsmethode des Anspruchs auf Vorfälligkeitsentschädigung klar und verständlich, wenn der Darlehensnehmer die zu zahlende Vorfälligkeitsentschädigung oder zumindest deren Höchstbetrag leicht ermitteln kann. Falls eine solche Klausel einer Inhaltskontrolle nach nationalem Recht nicht standhält, hindert dies das Anlaufen der Widerrufsrist nach § 495 Abs. 1 BGB i.V.m. § 355 Abs. 2, § 356b BGB nicht (Bestätigung von Senatsurteil vom 28. Juli 2020 - XI ZR 288/19, BGHZ 226, 310 Rn. 24 ff.).

f) Zu den Angaben über das einzuhaltende Verfahren bei der Kündigung des Vertrags nach Art. 247 § 6 Abs. 1 Satz 1 Nr. 5 EGBGB gehört nicht die Information über das außerordentliche Kündigungsrecht des § 314 BGB, sondern nur - soweit einschlägig - die Information über das Kündigungsrecht gemäß § 500 Abs. 1 BGB (Bestätigung von Senatsurteil vom 5. November 2019 - XI ZR 650/18, BGHZ 224, 1 Rn. 29 ff.).

g) Bei Allgemein-Verbraucherdarlehensverträgen im Anwendungsbereich der Verbraucherkreditrichtlinie erfordert die Information über den Zugang des Verbrauchers zu einem außergerichtlichen Beschwerde- und Rechtsbehelfsverfahren nach Art. 247 § 7 Abs. 1 Nr. 4 EGBGB, dass der Verbraucher über alle ihm seitens des Darlehensgebers zur Verfügung stehenden außergerichtlichen Beschwerde- oder Rechtsbehelfsverfahren und gegebenenfalls die mit ihnen jeweils verbundenen Kosten informiert wird; ferner muss er im Kreditvertrag darüber belehrt werden, ob die Beschwerde oder der Rechtsbehelf auf Papier oder elektronisch einzureichen ist, des Weiteren über die physische oder elektronische Adresse, an die die Beschwerde oder der Rechtsbehelf zu senden ist, und schließlich über die sonstigen formalen Voraussetzungen, denen die Beschwerde oder der Rechtsbehelf unterliegt (Aufgabe von Senatsbeschluss vom 11. Februar 2020 - XI ZR 648/18, juris Rn. 37 ff.).

h) Bei einem mit einem im stationären Handel geschlossenen Fahrzeugkaufvertrag verbundenen und vom Darlehensnehmer widerrufenen Allgemein-Verbraucherdarlehensvertrag entfällt das Leistungsverweigerungsrecht des Darlehensgebers nach § 357 Abs. 4 Satz 1 BGB nicht dadurch, dass der Darlehensnehmer das Fahrzeug an einen - weder an dem Darlehensvertrag noch an dem damit verbundenen Kaufvertrag beteiligten - Dritten veräußert hat (Bestätigung von Senatsurteil vom 14. Februar 2023 - XI ZR 152/22, BGHZ 236, 148 Rn. 24 ff.).

BGH, Urteil vom 27. Februar 2024 - XI ZR 258/22 - OLG Saarbrücken LG Saarbrücken

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 27.02.2024
XI ZR 258/22

Der BGH hat entschieden, dass ein Bank sich auf die Gesetzlichkeitsfiktion gem. Art. 247 § 6 Abs. 2 Satz 3 EGBGB berufen wenn eine abweichende Widerrufsbelehrung den Verbraucher begünstigt.

Die Pressemitteilung des BGH:
Widerrufsinformationen in mit einem Kfz-Kaufvertrag verbundenem Verbraucherdarlehensvertrag
ordnungsgemäß

Der unter anderem für das Darlehensrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat heute unter Berücksichtigung der Maßgaben des Urteils des Gerichtshofs der Europäischen Union vom 21. Dezember 2023 (C-38/21, C-47/21 und C-232/21 - BMW Bank u.a.) entschieden, dass der Darlehensnehmer den zur Finanzierung eines Kfz-Erwerbs geschlossenen Darlehensvertrag nicht wirksam widerrufen hat, weil die beklagte Bank eine ordnungsgemäße Widerrufsinformation und die erforderlichen Pflichtangaben beanstandungsfrei erteilt hatte. Im Hinblick auf das Urteil des EuGH hat der Senat sein Vorabentscheidungsersuchen vom 31. Januar 2022 (XI ZR 113/21) zurückgenommen.

Sachverhalt und bisheriger Prozessverlauf:

Die Parteien streiten um die Wirksamkeit des Widerrufs der auf Abschluss eines Allgemein-Verbraucherdarlehensvertrags gerichteten Willenserklärung der Klägerin.

Die Klägerin erwarb im Februar 2017 ein Kraftfahrzeug der Marke Mercedes-Benz. Zugleich schloss sie zur Finanzierung des über die vereinbarte Anzahlung hinausgehenden Kaufpreisteils sowie einer Kaufpreisschutzprämie am 13. Februar 2017 mit der beklagten Bank einen Darlehensvertrag zu einem gebundenen Sollzinssatz und einer festen Laufzeit. Die Darlehensvertragsunterlagen enthielten eine Widerrufsinformation, in der u.a. der Kaufvertrag und der Vertrag über den Kaufpreisschutz als verbundene Verträge genannt sind. Seite 1 des Darlehensvertrags enthielt unter der Überschrift "Ausbleibende Zahlungen" folgende Angabe über die Verzugsfolgen:

"Für ausbleibende Zahlungen wird Ihnen der gesetzliche Zinssatz für Verzugszinsen berechnet. Der Verzugszinssatz beträgt für das Jahr fünf Prozentpunkte über dem Basiszinssatz."

Ferner enthielt der Darlehensvertrag auf Seite 1 unter der Überschrift "Vorzeitige Rückzahlung des Darlehens" folgende Angabe:

"Im Falle der vorzeitigen Darlehensrückzahlung kann der Darlehensgeber eine Vorfälligkeitsentschädigung verlangen. Die Vorfälligkeitsentschädigung beträgt 1 Prozent beziehungsweise, wenn der Zeitraum zwischen der vorzeitigen und der vereinbarten Rückzahlung geringer als ein Jahr ist, 0,5 Prozent des vorzeitig zurückgezahlten Betrags. Ist die so ermittelte Vorfälligkeitsentschädigung höher als die Summe der noch ausstehenden Zinsen, wird diese Summe als Vorfälligkeitsentschädigung berechnet."

Bestandteil des Darlehensvertrags waren ferner die auf Seite 10 des Darlehensvertrags abgedruckten Allgemeinen Darlehensbedingungen der Beklagten, die unter anderem folgende Klauseln enthielten:

"IX. Allgemeine Bestimmungen

5. Widerruft der Darlehensnehmer seine Vertragserklärung innerhalb der Widerrufsfrist, so hat er für den Zeitraum zwischen Auszahlung und Rückzahlung des Darlehens keine Sollzinsen zu entrichten.

X. Erfüllungsort und Gerichtsstand, Verbraucherschlichtung

3. Der Darlehensgeber nimmt am Streitbeilegungsverfahren der Verbraucherschlichtungsstelle "Ombudsmann der privaten Banken" (www.bankenombudsmann.de) teil. Dort hat der Verbraucher die Möglichkeit, zur Beilegung einer Streitigkeit mit dem Darlehensgeber den Ombudsmann der privaten Banken anzurufen. Näheres regelt die Verfahrensordnung für die Schlichtung von Kundenbeschwerden im deutschen Bankgewerbe, im Internet unter www.bankenverband.de abrufbar ist. Die Beschwerde ist in Textform (z.B. mittels Brief, Telefax oder E-Mail) an die Kundenbeschwerdestelle beim Bundesverband deutscher Banken e.V., Postfach 040307, 10062 Berlin, Fax (030) 1663-3169, E-Mail: ombudsmann@bdb.de, zu richten."

Nach Erbringung von Zins- und Tilgungsleistungen erklärte die Klägerin im August 2018 den Widerruf ihrer auf den Abschluss des Darlehensvertrags gerichteten Willenserklärung. Sie hält die Angaben in der Widerrufsinformation in Bezug auf den sogenannten Tageszins sowie die Pflichtangaben u.a. über die Art des Darlehens, über den Verzugszinssatz und die Art und Weise seiner etwaigen Anpassung, zur Berechnungsmethode des Anspruchs auf Vorfälligkeitsentschädigung und über den Zugang des Darlehensnehmers zu einem außergerichtlichen Beschwerde- und Rechtsbehelfsverfahren und gegebenenfalls die Voraussetzungen für diesen Zugang für fehlerhaft. Aufgrund des wirksamen Widerrufs des Darlehensvertrags sei sie auch an den Kaufvertrag über das Kraftfahrzeug und den Vertrag über den Kaufpreisschutz nicht mehr gebunden. Im Mai 2019 veräußerte die Klägerin das Fahrzeug an einen Dritten und löste das Darlehen vorzeitig ab.

Die unter Anrechnung des Verkaufserlöses auf Zahlung der erbrachten Zins- und Tilgungsleistungen gerichtete Klage hat das Landgericht abgewiesen. Auf die Berufung der Klägerin hat das Berufungsgericht der Klage in Höhe von 763,20 € stattgegeben. Mit der vom Berufungsgericht zugelassenen Revision begehrt die Beklagte die vollständige Abweisung der Klage.

Entscheidung des Bundesgerichtshofs:

Der XI. Zivilsenat des Bundesgerichtshofs hat entschieden, dass die Widerrufsinformation kraft Gesetzlichkeitsfiktion ordnungsgemäß ist und auch die erforderlichen Pflichtangaben in einer Weise erteilt worden sind, dass die zweiwöchige Widerrufsfrist mit Vertragsabschluss in Lauf gesetzt worden ist und die Klägerin ihr Widerrufsrecht nicht fristgerecht ausgeübt hat. Die Revision der Beklagten hatte deshalb Erfolg. Der XI. Zivilsenat hat das Berufungsurteil aufgehoben, soweit darin zum Nachteil der Beklagten erkannt worden war, und die Klage insgesamt abgewiesen. Zur Begründung hat der Senat im Wesentlichen ausgeführt:

Die beklagte Bank hat der Klägerin nach § 492 Abs. 2 BGB i.V.m. Art. 247 § 6 Abs. 2 EGBGB eine ordnungsgemäße Widerrufsinformation erteilt. Insoweit kann sie sich auf die in Art. 247 § 6 Abs. 2 Satz 3 EGBGB angeordnete Gesetzlichkeitsfiktion berufen. Der Anwendung der Gesetzlichkeitsfiktion steht das Urteil des EuGH vom 21. Dezember 2023 nicht entgegen. Eine richtlinienkonforme Auslegung der nationalen Vorschriften scheidet angesichts des eindeutigen Gesetzeswortlauts aus. Für den Erhalt der Gesetzlichkeitsfiktion ist es unschädlich, dass die Beklagte in Nummer IX. 5 der Darlehensbedingungen auf den nach der Widerrufsinformation pro Tag zu zahlenden Zinsbetrag verzichtet hat. Dies lässt nicht nur die Ordnungsgemäßheit der Widerrufsinformation, sondern auch die Gesetzlichkeitsfiktion nach Art. 247 § 6 Abs. 2 Satz 3 EGBGB unberührt, weil sie den Verbraucher lediglich begünstigt und das vom Gesetzgeber mit der Gesetzlichkeitsfiktion verfolgte Ziel der Schaffung von Rechtsklarheit und Rechtssicherheit bei den Anwendern nicht beeinträchtigt. Eine Irreführung des Verbrauchers ist damit nicht verbunden.

Die nach Art. 247 § 6 Abs. 1 Satz 1 Nr. 1 i.V.m. § 3 Abs. 1 Nr. 2 EGBGB erforderliche Information über die Art des Darlehens hat die Beklagte ordnungsgemäß erteilt. Bei einem Allgemein-Verbraucherdarlehensvertrag im Anwendungsbereich der Verbraucherkreditrichtlinie 2008/48/EG muss gegebenenfalls klar und verständlich angegeben werden, dass es sich um einen verbundenen Darlehensvertrag handelt und dass dieser Vertrag als befristeter Vertrag geschlossen worden ist. Diese Anforderungen hat die Beklagte erfüllt. Aus den Angaben auf Seite 1 des Darlehensvertrags ergibt sich für den normal informierten, angemessen aufmerksamen und verständigen Verbraucher, dass es sich bei dem streitgegenständlichen Darlehensvertrag um einen befristeten Vertrag handelt. Denn dort ist die Laufzeit des Vertrags ausdrücklich angegeben. Dass es sich bei dem streitgegenständlichen Darlehensvertrag um einen - mit dem Kaufvertrag und dem vereinbarten Kaufpreisschutz - verbundenen Darlehensvertrag handelt, folgt für den normal informierten, angemessen aufmerksamen und verständigen Verbraucher hinreichend klar und verständlich aus der Widerrufsinformation.

Die Information über den Verzugszinssatz und die Art und Weise seiner etwaigen Anpassung nach Art. 247 § 6 Abs. 1 Satz 1 Nr. 1 i.V.m. § 3 Abs. 1 Nr. 11 EGBGB ist zwar unvollständig, weil der Klägerin der zum Zeitpunkt des Vertragsschlusses geltende konkrete Prozentsatz des Verzugszinses nicht mitgeteilt worden ist. Dies hindert aber das Anlaufen der Widerrufsfrist nicht. Im Hinblick auf das Urteil des EuGH vom 21. Dezember beginnt die Widerrufsfrist im Falle einer unvollständigen oder fehlerhaften Information nach § 356b Abs. 2 Satz 1 i.V.m. § 492 Abs. 2 BGB nur zu laufen, wenn die Unvollständigkeit oder Fehlerhaftigkeit dieser Information nicht geeignet ist, sich auf die Befähigung des Verbrauchers, den Umfang seiner aus dem Darlehensvertrag herrührenden Rechte und Pflichten einzuschätzen, oder auf seine Entscheidung, den Vertrag zu schließen, auszuwirken und ihm gegebenenfalls die Möglichkeit zu nehmen, seine Rechte unter im Wesentlichen denselben Bedingungen wie denen auszuüben, die vorgelegen hätten, sofern die Information vollständig und zutreffend erteilt worden wäre. Dies hat der Senat hier bejaht, weil ein normal informierter, angemessen aufmerksamer und verständiger Verbraucher in der Lage der Klägerin den streitgegenständlichen Darlehensvertrag auch abgeschlossen hätte, wenn ihm bei Vertragsschluss über die im Vertrag enthaltenen Angaben hinaus auch der zu diesem Zeitpunkt geltende konkrete Verzugszinssatz und die Art und Weise seiner Anpassung mitgeteilt worden wären.

Die nach Art. 247 § 7 Abs. 1 Nr. 3 EGBGB erforderlichen Informationen zur Berechnungsmethode des Anspruchs auf Vorfälligkeitsentschädigung haben das Anlaufen der 14-tägigen Widerrufsfrist nach § 495 Abs. 1 BGB i.V.m. § 355 Abs. 2, § 356b BGB nicht gehindert. Die von der Beklagten verwendete Klausel verstößt zwar nach der Rechtsprechung des Senats gegen § 502 Abs. 1 BGB und ist damit gemäß § 134 BGB nichtig, weil sie entgegen § 511 BGB zum Nachteil des Verbrauchers von der Vorschrift des § 502 Abs. 1 BGB abweicht (vgl. Senatsurteil vom 28. Juli 2020 - XI ZR 288/19, BGHZ 226, 310 Rn. 24). Die fehlerhafte Angabe zur Berechnung der Vorfälligkeitsentschädigung führt aber nach dem Regelungskonzept des deutschen Gesetzgebers lediglich zum Ausschluss des Anspruchs auf eine Vorfälligkeitsentschädigung nach § 502 Abs. 2 Nr. 2 BGB, ohne das Anlaufen der 14-tägigen Widerrufsfrist nach § 495 Abs. 1 BGB i.V.m. § 355 Abs. 2, § 356b BGB zu berühren. Daran hat der Senat auch im Hinblick auf das Urteil des EuGH vom 21. Dezember 2023 festgehalten. Danach muss zwar in einem Kreditvertrag grundsätzlich für die Berechnung der bei vorzeitiger Rückzahlung des Kredits anfallenden Vorfälligkeitsentschädigung die Berechnungsweise dieser Entschädigung in konkreter und für einen normal informierten, angemessen aufmerksamen und verständigen Durchschnittsverbraucher leicht verständlicher Weise angegeben werden, damit er den Betrag der bei vorzeitiger Rückzahlung anfallenden Entschädigung auf der Grundlage der in diesem Vertrag enthaltenen Angaben ermitteln kann. Auch wenn konkrete und leicht verständliche Angaben zur Berechnungsweise fehlen, kann ein solcher Vertrag aber der in dieser Bestimmung aufgestellten Verpflichtung genügen, sofern er andere Elemente enthält, die es dem Verbraucher ermöglichen, die Höhe der betreffenden Entschädigung und insbesondere den Betrag, den er im Fall der vorzeitigen Rückzahlung des Kredits höchstens zu zahlen haben wird, leicht zu ermitteln. Die Angaben der Beklagten genügen diesen Anforderungen, weil ein normal informierter, angemessen aufmerksamer und verständiger Durchschnittsverbraucher die zu zahlende Vorfälligkeitsentschädigung leicht berechnen kann. Dass die Angabe der Beklagten aufgrund der Umsetzung in das nationale Recht einer Klauselkontrolle nicht standhält, ist unbeachtlich. Bei richtlinienkonformer Auslegung hindert dies das Anlaufen der 14-tägigen Widerrufsfrist nach § 495 Abs. 1 BGB i.V.m. § 355 Abs. 2, § 356b BGB nicht.

Schließlich sind auch die nach Art. 247 § 7 Abs. 1 Nr. 4 EGBGB erforderlichen Informationen über den Zugang des Verbrauchers zu einem außergerichtlichen Beschwerde- und Rechtsbehelfsverfahren und gegebenenfalls zu den Voraussetzungen für diesen Zugang ordnungsgemäß erteilt worden. Im Hinblick auf das Urteil des EuGH vom 21. Dezember 2023 erfordert dies, dass der Verbraucher über alle ihm seitens des Darlehensgebers zur Verfügung stehenden außergerichtlichen Beschwerde- oder Rechtsbehelfsverfahren und gegebenenfalls die mit ihnen jeweils verbundenen Kosten informiert wird; ferner muss er im Kreditvertrag darüber belehrt werden, ob die Beschwerde oder der Rechtsbehelf auf Papier oder elektronisch einzureichen ist, des Weiteren über die physische oder elektronische Adresse, an die die Beschwerde oder der Rechtsbehelf zu senden ist, und schließlich über die sonstigen formalen Voraussetzungen, denen die Beschwerde oder der Rechtsbehelf unterliegt. Diese Informationen hat die Beklagte der Klägerin erteilt. Sie hat in Nummer X. 3 der Darlehensbedingungen angegeben, dass die Beschwerde in Textform übermittelt werden kann und hierfür ihre Postadresse, ihre Telefaxnummer und ihre E-Mail-Adresse mitgeteilt. Einer Angabe von sonstigen formalen Voraussetzungen bedurfte es nicht. Darunter sind nur solche zu verstehen, die bei Nichtvorliegen ohne weiteres zur Zurückweisung des Schlichtungsantrags führen. Dies ist nach der Verfahrensordnung des Ombudsmanns der privaten Banken nicht der Fall. Eine Angabe zu den mit dem Schlichtungsverfahren verbundenen Kosten war entbehrlich, weil das Schlichtungsverfahren beim Ombudsmann der privaten Banken für den Verbraucher kostenfrei ist.

Vorinstanzen:

LG Saarbrücken - Urteil vom 2. Juli 2021 - 1 O 241/20

OLG Saarbrücken - Urteil vom 6. Oktober 2022 - 4 U 104/21

Die maßgeblichen Vorschriften lauten:

§ 355 BGB

(1) Wird einem Verbraucher durch Gesetz ein Widerrufsrecht nach dieser Vorschrift eingeräumt, so sind der Verbraucher und der Unternehmer an ihre auf den Abschluss des Vertrags gerichteten Willenserklärungen nicht mehr gebunden, wenn der Verbraucher seine Willenserklärung fristgerecht widerrufen hat. Der Widerruf erfolgt durch Erklärung gegenüber dem Unternehmer. Aus der Erklärung muss der Entschluss des Verbrauchers zum Widerruf des Vertrags eindeutig hervorgehen. Der Widerruf muss keine Begründung enthalten. Zur Fristwahrung genügt die rechtzeitige Absendung des Widerrufs.

(2) Die Widerrufsfrist beträgt 14 Tage. Sie beginnt mit Vertragsschluss, soweit nichts anderes bestimmt ist.

[...]

§ 358 Abs. 2 BGB

(2) Hat der Verbraucher seine auf den Abschluss eines Darlehensvertrags gerichtete Willenserklärung auf Grund des § 495 Absatz 1 oder des § 514 Absatz 2 Satz 1 wirksam widerrufen, so ist er auch nicht mehr an diejenige Willenserklärung gebunden, die auf den Abschluss eines mit diesem Darlehensvertrag verbundenen Vertrags über die Lieferung einer Ware oder die Erbringung einer anderen Leistung gerichtet ist.

§ 492 Abs. 2 BGB

(2) Der Vertrag muss die für den Verbraucherdarlehensvertrag vorgeschriebenen Angaben nach Artikel 247 §§ 6 bis 13 des Einführungsgesetzes zum Bürgerlichen Gesetzbuche enthalten.

§ 495 Abs. 1 BGB

(1) Dem Darlehensnehmer steht bei einem Verbraucherdarlehensvertrag ein Widerrufsrecht nach § 355 BGB zu.

Art. 247 § 3 Abs. 1 Nr. 2 und 11 EGBGB

(1) Die Unterrichtung vor Vertragsschluss muss folgende Informationen enthalten:

[…]

2.die Art des Darlehens,

[…]

11.den Verzugszinssatz und die Art und Weise seiner etwaigen Anpassung sowie gegebenenfalls anfallende Verzugskosten,

[…]

Art. 247 § 6 Abs. 1 und Abs. 2 EGBGB

(1) Der Verbraucherdarlehensvertrag muss klar und verständlich folgende Angaben enthalten:

1.die in § 3 Abs. 1 Nr. 1 bis 14 und Abs. 4 genannten Angaben,

[…]

(2) Besteht ein Widerrufsrecht nach § 495 des Bürgerlichen Gesetzbuchs, müssen im Vertrag Angaben zur Frist und zu anderen Umständen für die Erklärung des Widerrufs sowie ein Hinweis auf die Verpflichtung des Darlehensnehmers enthalten sein, ein bereits ausbezahltes Darlehen zurückzuzahlen und Zinsen zu vergüten. Der pro Tag zu zahlende Zinsbetrag ist anzugeben. Enthält der Verbraucherdarlehensvertrag eine Vertragsklausel in hervorgehobener und deutlich gestalteter Form, die bei Allgemein-Verbraucherdarlehensverträgen dem Muster in Anlage 7 … entspricht, genügt diese Vertragsklausel den Anforderungen der Sätze 1 und 2. […]

Art. 247 § 7 Abs. 1 Nr. 3 und 4 EGBGB

(1) Der Allgemein-Verbraucherdarlehensvertrag muss folgende klar und verständlich formulierte weitere Angaben enthalten, soweit sie für den Vertrag bedeutsam sind:

[…]

3.die Berechnungsmethode des Anspruchs auf Vorfälligkeitsentschädigung, soweit der Darlehensgeber beabsichtigt, diesen Anspruch geltend zu machen, falls der Darlehensnehmer das Darlehen vorzeitig zurückzahlt,

4.den Zugang des Darlehensnehmers zu einem außergerichtlichen Beschwerde- und Rechtsbehelfsverfahren und gegebenenfalls die Voraussetzungen für diesen Zugang,

EuGH
Urteil vom 21.12.2023
in den verbundenen Rechtssachen C-38/21, C-47/21 und C-232/21
BMW Bank, AUDI Bank, VOLKSWAGEN Bank

Der EuGH hat entschieden kein Widerrufsrecht des Verbrauchers bei einem Leasingvertrag über ein Kraftfahrzeug ohne Kaufverpflichtung besteht.

Die Pressemitteilung des EuGH:
Ein Verbraucher, der einen Leasingvertrag über ein Kraftfahrzeug ohne Kaufverpflichtung schließt, hat kein Widerrufsrecht

Dagegen kann ein Verbraucher, der einen Kreditvertrag im Hinblick auf den Kauf eines Fahrzeugs geschlossen hat, ohne dass er ordnungsgemäß über seine Rechte und Pflichten informiert wurde, jederzeit den Widerruf erklären, solange die Informationen nicht vollständig und zutreffend erteilt wurden, vorausgesetzt, der Widerruf erfolgt vor der vollständigen Erfüllung des Vertrags

Der Gerichtshof präzisiert die Rechte der Verbraucher im Bereich von Kraftfahrzeugleasing und -krediten. Im Fall eines Leasingvertrags über ein Kraftfahrzeug ohne Kaufverpflichtung ergibt sich aus dem Unionsrecht kein Widerrufsrecht für den Verbraucher. Dagegen kann er im Fall des Abschlusses eines Kreditvertrags im Hinblick auf den Kauf eines Fahrzeugs, ohne sich rechtsmissbräuchlich zu verhalten, jederzeit von seinem Widerrufsrecht Gebrauch machen, solange er keine vollständigen und zutreffenden Informationen über seine Rechte und Pflichten erhalten hat und der Vertrag noch nicht vollständig erfüllt wurde, d. h. in der Regel bis zur Fälligkeit der letzten Rückzahlungsrate.

Mehrere Verbraucher machen vor dem Landgericht Ravensburg (Deutschland) geltend, sie hätten Leasing- oder Kreditverträge mit Banken von Automobilherstellern (BMW Bank, Volkswagen Bank und Audi Bank) wirksam widerrufen. Diese Verträge betrafen das Leasing eines Fahrzeugs ohne Kaufverpflichtung oder die Finanzierung eines Gebrauchtwagens.

Im Fall des Leasingvertrags suchte der Verbraucher einen Automobilhändler auf, der befugt war, Auskünfte über den Vertrag zu geben. Dieser wurde sodann mittels eines Fernkommunikationsmittels unmittelbar zwischen dem Verbraucher und der Bank geschlossen. Bei den Kreditverträgen waren die Händler als Vermittler der Banken tätig.

Alle diese Verbraucher erklärten ihren Widerruf mehrere Monate oder mehrere Jahre nach dem Vertragsschluss. Einer von ihnen machte von seinem Widerrufsrecht Gebrauch, nachdem der Kredit vollständig zurückgezahlt worden war. Sie sind der Ansicht, die im Unionsrecht vorgesehene Widerrufsfrist von 14 Tagen habe nicht zu laufen begonnen, weil sie bei Vertragsschluss nicht hinreichend über ihre Rechte und Pflichten informiert worden seien. Die Banken machen geltend, ein Widerruf nach so langer Zeit sei jedenfalls als missbräuchlich zu qualifizieren.

Das Landgericht Ravensburg hat den Gerichtshof hierzu befragt.

Der Gerichtshof entscheidet, dass einem Verbraucher, der einen Leasingvertrag über ein nach seinen Vorgaben bestelltes Fahrzeug schließt, auf der Grundlage des Unionsrechts kein Widerrufsrecht zusteht, wenn er nach dem Vertrag nicht verpflichtet ist, das Fahrzeug am Ende der Leasingperiode zu kaufen. Dies gilt auch dann, wenn der Vertrag im Fernabsatz oder außerhalb von Geschäftsräumen geschlossen wurde.

In Bezug auf die Kreditverträge stellt der Gerichtshof fest, dass die in solchen Verträgen vorgesehene Widerrufsfrist von 14 Tagen nicht zu laufen beginnt, wenn die Informationen, die der Unternehmer bei Vertragsschluss erteilen muss, unvollständig oder fehlerhaft waren und wenn sich dies auf die Befähigung des Verbrauchers, den Umfang seiner Rechte und Pflichten einzuschätzen, und auf seine Entscheidung, den Vertrag zu schließen, ausgewirkt hat. In einem solchen Fall kann die Ausübung des Widerrufsrechts nach Ablauf der Frist von 14 Tagen keinesfalls als missbräuchlich angesehen werden, auch wenn dies lange nach Vertragsschluss geschieht. Sobald der Kreditvertrag vollständig erfüllt wurde, kann der Verbraucher hingegen nicht mehr von seinem Widerrufsrecht Gebrauch machen.


Tenor der Entscheidung:
1. Art. 2 Nr. 6 der Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates vom 25. Oktober 2011 über die Rechte der Verbraucher, zur Abänderung der Richtlinie 93/13/EWG des Rates und der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 85/577/EWG des Rates und der Richtlinie 97/7/EG des Europäischen Parlaments und des Rates ist in Verbindung mit Art. 3 Abs. 1 der Richtlinie 2011/83 dahin auszulegen, dass ein Leasingvertrag über ein Kraftfahrzeug, der dadurch gekennzeichnet ist, dass weder er noch ein gesonderter Vertrag vorsieht, dass der Verbraucher das Fahrzeug bei Vertragsende kaufen muss, als „Dienstleistungsvertrag“ im Sinne von Art. 2 Nr. 6 der Richtlinie 2011/83 in ihren Geltungsbereich fällt. Dagegen fällt ein solcher Vertrag weder in den Anwendungsbereich der Richtlinie 2002/65/EG des Europäischen Parlaments und des Rates vom 23. September 2002 über den Fernabsatz von Finanzdienstleistungen an Verbraucher und zur Änderung der Richtlinie 90/619/EWG des Rates und der Richtlinien 97/7/EG und 98/27/EG noch in den Geltungsbereich der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates.

2. Art. 2 Nr. 7 der Richtlinie 2011/83 ist dahin auszulegen, dass ein Dienstleistungsvertrag im Sinne ihres Art. 2 Nr. 6, der zwischen einem Verbraucher und einem Unternehmer unter Verwendung eines Fernkommunikationsmittels geschlossen wird, nicht als „Fernabsatzvertrag“ im Sinne von Art. 2 Nr. 7 eingestuft werden kann, wenn dem Vertragsschluss eine Verhandlungsphase vorausging, bei der neben dem Verbraucher ein im Namen oder Auftrag des Unternehmers handelnder Vermittler körperlich anwesend war und in deren Verlauf der Verbraucher von dem Vermittler für die Zwecke dieser Verhandlungen alle in Art. 6 der Richtlinie genannten Informationen erhielt und dem Vermittler Fragen zu dem ins Auge gefassten Vertrag oder dem gemachten Angebot stellen konnte, um jeden Zweifel an der Tragweite seiner etwaigen vertraglichen Bindung an den Unternehmer auszuräumen.

3. Art. 2 Nr. 8 Buchst. a der Richtlinie 2011/83 ist dahin auszulegen, dass ein Dienstleistungsvertrag im Sinne ihres Art. 2 Nr. 6, der zwischen einem Verbraucher und einem Unternehmer geschlossen wird, nicht als „außerhalb von Geschäftsräumen abgeschlossener Vertrag“ im Sinne von Art. 2 Nr. 8 Buchst. a eingestuft werden kann, wenn der Verbraucher in der Anbahnungsphase, bevor der Vertrag unter Verwendung eines Fernkommunikationsmittels abgeschlossen wurde, die Geschäftsräume eines Vermittlers aufsuchte, der im Namen oder Auftrag des Unternehmers zum Zweck der Aushandlung dieses Vertrags handelte, aber in einer anderen Branche als der Unternehmer tätig ist, vorausgesetzt, ein normal informierter, angemessen aufmerksamer und verständiger Durchschnittsverbraucher konnte, als er die Geschäftsräume des Vermittlers aufsuchte, damit rechnen, von ihm zu kommerziellen Zwecken der Aushandlung und des Abschlusses eines Dienstleistungsvertrags mit dem Unternehmer angesprochen zu werden, und konnte überdies leicht erkennen, dass der Vermittler im Namen oder Auftrag des Unternehmers handelte.

4. Art. 16 Buchst. l der Richtlinie 2011/83 ist dahin auszulegen, dass ein zwischen einem Unternehmer und einem Verbraucher geschlossener Leasingvertrag über ein Kraftfahrzeug, der als Fernabsatzvertrag oder als außerhalb von Geschäftsräumen abgeschlossener Vertrag im Sinne dieser Richtlinie einzustufen ist, von der in dieser Bestimmung vorgesehenen Ausnahme vom Widerrufsrecht bei Fernabsatzverträgen oder außerhalb von Geschäftsräumen abgeschlossenen Verträgen über Dienstleistungen im Bereich von Mietwagen, die in den Geltungsbereich der Richtlinie fallen, erfasst wird, wenn der Hauptgegenstand des Vertrags darin besteht, es dem Verbraucher zu gestatten, ein Fahrzeug während der spezifischen vertraglich vorgesehenen Laufzeit gegen regelmäßige Zahlung von Geldbeträgen zu nutzen.

5. Art. 10 Abs. 2 Buchst. p der Richtlinie 2008/48 ist dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die eine gesetzliche Vermutung aufstellt, wonach der Unternehmer seiner Pflicht, den Verbraucher über dessen Widerrufsrecht zu belehren, nachkommt, wenn er in einem Vertrag auf nationale Vorschriften verweist, die ihrerseits insoweit auf ein Regelungsmodell für die Informationen verweisen, wobei er darin enthaltene Klauseln verwendet, die nicht den Vorgaben dieser Bestimmung der Richtlinie entsprechen. Kann ein nationales Gericht, das mit einem Rechtsstreit befasst ist, in dem sich ausschließlich Privatpersonen gegenüberstehen, die in Rede stehende nationale Regelung nicht in einer mit der Richtlinie 2008/48 vereinbaren Weise auslegen, ist es nicht allein auf der Grundlage des Unionsrechts verpflichtet, eine solche Regelung unangewendet zu lassen, unbeschadet der Möglichkeit dieses Gerichts, ihre Anwendung auf der Grundlage seines innerstaatlichen Rechts auszuschließen, und, wenn dies nicht geschieht, des Rechts der durch die Unvereinbarkeit des nationalen Rechts mit dem Unionsrecht geschädigten Partei, Ersatz des ihr dadurch entstandenen Schadens zu verlangen.

6. Art. 10 Abs. 2 Buchst. p der Richtlinie 2008/48 ist in Verbindung mit Art. 14 Abs. 3 Buchst. b dieser Richtlinie dahin auszulegen, dass die in einem Kreditvertrag, der unter diese Bestimmung fällt, anzugebenden Zinsen, die der Verbraucher im Fall der Ausübung seines Widerrufsrechts pro Tag zu entrichten hat, keinesfalls höher sein dürfen als der Betrag, der sich rechnerisch aus dem im Kreditvertrag vereinbarten Sollzinssatz ergibt. Die im Vertrag enthaltenen Angaben zur Höhe der Zinsen pro Tag müssen klar und prägnant sein; insbesondere müssen sie in Verbindung mit anderen Angaben frei von Widersprüchen sein, die objektiv geeignet wären, einen normal informierten, angemessen aufmerksamen und verständigen Durchschnittsverbraucher hinsichtlich der Höhe der von ihm letztlich pro Tag zu zahlenden Zinsen irrezuführen. Fehlen Angaben mit diesen Merkmalen, werden keine Zinsen pro Tag geschuldet.

7. Art. 10 Abs. 2 Buchst. t der Richtlinie 2008/48 ist dahin auszulegen, dass in einem Kreditvertrag die wesentlichen Informationen über alle dem Verbraucher zur Verfügung stehenden außergerichtlichen Beschwerde- oder Rechtsbehelfsverfahren und gegebenenfalls die mit diesen Verfahren jeweils verbundenen Kosten, darüber, ob die Beschwerde oder der Rechtsbehelf per Post oder elektronisch einzureichen ist, über die physische oder elektronische Adresse, an die die Beschwerde oder der Rechtsbehelf zu senden ist, und über die sonstigen formalen Voraussetzungen, denen die Beschwerde oder der Rechtsbehelf unterliegt, anzugeben sind; ein bloßer Verweis im Kreditvertrag auf eine auf Wunsch zur Verfügung gestellte oder im Internet abrufbare Verfahrensordnung oder auf ein anderes Schriftstück oder Dokument, in dem die Modalitäten des Zugangs zu außergerichtlichen Beschwerde- und Rechtsbehelfsverfahren festgelegt sind, reicht nicht aus.

8. Art. 10 Abs. 2 Buchst. r der Richtlinie 2008/48 ist dahin auszulegen, dass in einem Kreditvertrag grundsätzlich für die Berechnung der bei vorzeitiger Rückzahlung des Kredits anfallenden Vorfälligkeitsentschädigung die Berechnungsweise dieser Entschädigung in konkreter und für einen normal informierten, angemessen aufmerksamen und verständigen Durchschnittsverbraucher leicht verständlicher Weise angegeben werden muss, damit er den Betrag der bei vorzeitiger Rückzahlung anfallenden Entschädigung auf der Grundlage der in diesem Vertrag enthaltenen Angaben ermitteln kann. Auch wenn konkrete und leicht verständliche Angaben zur Berechnungsweise fehlen, kann ein solcher Vertrag aber der in dieser Bestimmung aufgestellten Verpflichtung genügen, sofern er andere Elemente enthält, die es dem Verbraucher ermöglichen, die Höhe der betreffenden Entschädigung und insbesondere den Betrag, den er im Fall der vorzeitigen Rückzahlung des Kredits höchstens zu zahlen haben wird, leicht zu ermitteln.

9. Art. 14 Abs. 1 Unterabs. 2 Buchst. b der Richtlinie 2008/48 ist dahin auszulegen, dass die Widerrufsfrist, falls sich eine dem Verbraucher vom Kreditgeber gemäß Art. 10 Abs. 2 der Richtlinie erteilte Information als unvollständig oder fehlerhaft erweist, nur zu laufen beginnt, wenn die Unvollständigkeit oder Fehlerhaftigkeit dieser Information nicht geeignet ist, sich auf die Befähigung des Verbrauchers, den Umfang seiner Rechte und Pflichten aus der Richtlinie einzuschätzen, oder auf seine Entscheidung, den Vertrag zu schließen, auszuwirken und ihm gegebenenfalls die Möglichkeit zu nehmen, seine Rechte unter im Wesentlichen denselben Bedingungen wie denen auszuüben, die vorgelegen hätten, sofern die Information vollständig und zutreffend erteilt worden wäre.

10. Art. 10 Abs. 2 Buchst. l der Richtlinie 2008/48 ist dahin auszulegen, dass in einem Kreditvertrag der zum Zeitpunkt des Abschlusses dieses Vertrags geltende Satz der Verzugszinsen in Form eines konkreten Prozentsatzes anzugeben und der Mechanismus der Anpassung dieses Satzes konkret zu beschreiben ist. Wird dieser Zinssatz anhand eines Referenzzinssatzes, der im Lauf der Zeit variieren kann, ermittelt, muss im Kreditvertrag der zum Zeitpunkt des Vertragsschlusses geltende Referenzzinssatz angegeben werden, wobei die Methode zur Berechnung des Verzugszinssatzes anhand des Referenzzinssatzes im Vertrag in einer für einen Durchschnittsverbraucher, der nicht über Fachkenntnisse im Finanzbereich verfügt, leicht verständlichen Weise dargestellt werden muss, so dass er den Verzugszinssatz auf der Grundlage der in diesem Vertrag enthaltenen Angaben berechnen kann. Überdies muss im Kreditvertrag die Häufigkeit der Änderung des Referenzzinssatzes angegeben werden, auch wenn sie sich nach den nationalen Vorschriften richtet.

11. Art. 14 Abs. 1 der Richtlinie 2008/48 ist dahin auszulegen, dass die vollständige Erfüllung des Kreditvertrags zum Erlöschen des Widerrufsrechts führt. Außerdem kann sich der Kreditgeber nicht mit Erfolg darauf berufen, dass der Verbraucher aufgrund seines Verhaltens zwischen Vertragsschluss und Ausübung des Widerrufsrechts oder nach dessen Ausübung dieses Recht missbräuchlich ausgeübt habe, wenn wegen einer gegen Art. 10 Abs. 2 der Richtlinie 2008/48 verstoßenden unvollständigen oder fehlerhaften Information im Kreditvertrag die Widerrufsfrist nicht zu laufen begonnen hat, weil feststeht, dass sich diese Unvollständigkeit oder Fehlerhaftigkeit auf die Befähigung des Verbrauchers, den Umfang seiner Rechte und Pflichten aus der Richtlinie 2008/48 einzuschätzen, sowie auf seine Entscheidung, den Vertrag zu schließen, ausgewirkt hat.

12. Die Richtlinie 2008/48 ist dahin auszulegen, dass sie es dem Kreditgeber, wenn der Verbraucher sein Widerrufsrecht gemäß Art. 14 Abs. 1 dieser Richtlinie ausübt, verwehrt, sich nach den nationalen Rechtsvorschriften auf die Verwirkung dieses Rechts zu berufen, wenn mindestens eine der in Art. 10 Abs. 2 der Richtlinie aufgeführten Pflichtangaben im Kreditvertrag nicht oder unvollständig oder fehlerhaft enthalten war und auch nicht später ordnungsgemäß mitgeteilt wurde, so dass aus diesem Grund die in Art. 14 Abs. 1 vorgesehene Widerrufsfrist nicht zu laufen begann.

13. Art. 14 Abs. 1 der Richtlinie 2008/48 ist in Verbindung mit dem Effektivitätsgrundsatz dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die vorsieht, dass ein Verbraucher, wenn er einen verbundenen Kreditvertrag im Sinne von Art. 3 Buchst. n der Richtlinie widerruft, den mit dem Kredit finanzierten Gegenstand an den Kreditgeber herausgeben oder diesen in Annahmeverzug setzen muss, ohne dass der Kreditgeber verpflichtet ist, gleichzeitig die vom Verbraucher bereits geleisteten monatlichen Kreditraten zurückzuzahlen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 19.09.2023
XI ZR 343/22
BGB § 675u

Der BGH hat entschieden, dass ein Verstoß des Zahlungsdienstleisters gegen das Verbot der Mitwirkung an einer Zahlung bei unerlaubtem Glücksspiel nicht zur Unwirksamkeit der der Autorisierung des Zahlers führt.

Leitsatz des BGH:
Ein Verstoß des Zahlungsdienstleisters gegen das Verbot der Mitwirkung an einer Zahlung im Zusammenhang mit unerlaubtem Glücksspiel nach § 4 Abs. 1 Satz 2 Fall 2 des Glücksspielstaatsvertrags 2011 lässt die Wirksamkeit der Autorisierung des Zahlers unberührt.

BGH, Urteil vom 19. September 2023 - XI ZR 343/22 - LG Berlin - AG Charlottenburg

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 22.06.2023
C‑579/21

Der EuGH hat entschieden, dass der Auskunftsanspruch aus Art. 15 DSGVO auch Verarbeitungsvorgänge umfasst, die vor Inkrafttreten der DSGVO stattgefunden haben

Die Pressemitteilung des EuGH:
Jedermann hat ein Recht darauf, zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen seine personenbezogenen Daten abgefragt wurden

Dass der Verantwortliche im Bankgeschäft tätig ist, wirkt sich auf die Reichweite dieses Rechts nicht aus.

Im Jahr 2014 erlangte ein Arbeitnehmer, der zugleich Kunde der Bank Pankki S war, Kenntnis davon, dass seine personenbezogenen Daten von anderen Mitarbeitern der Bank im Zeitraum vom 1. November bis zum 31. Dezember 2013 mehrmals abgefragt worden waren. Da dieser Arbeitnehmer, dessen Beschäftigungsverhältnis bei Pankki S mittlerweile gekündigt worden war, Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er Pankki S am 29. Mai 2018 auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen.

In ihrer Antwort vom 30. August 2018 weigerte sich Pankki S, Auskünfte über die Identität der Arbeitnehmer zu erteilen, die die Abfragen vorgenommen hatten, und führte zur Begründung aus, dass es sich bei diesen Informationen um personenbezogene Daten dieser Arbeitnehmer handele. Pankki S machte hingegen nähere Angaben über die von ihrer internen Revision ausgeführten Abfragen, wobei sie erläuterte, ein Kunde der Bank, dessen Kundenberater der Auskunftssuchende gewesen sei, sei Gläubiger einer Person, die den gleichen Nachnamen wie der Auskunftssuchende trage. Die Bank habe daher klären wollen, ob Letzterer und der in Rede stehende Schuldner personenidentisch seien und ob möglicherweise ein ungehöriger Interessenkonflikt bestanden habe. Ergänzend erläuterte Pankki S, dass zur Klärung dieser Frage die Verarbeitung der in Rede stehenden Daten erforderlich gewesen sei, wobei sie klarstellte, dass jeder Mitarbeiter der Bank, der diese Daten verarbeitet habe, gegenüber der internen Revision eine Erklärung zu den Gründen dieser Datenverarbeitung abgegeben habe.

Außerdem gab die Bank an, dass diese Abfragen es ermöglicht hätten, den Verdacht eines Interessenkonflikts in Bezug auf den Auskunftssuchenden gänzlich auszuräumen.

Der Auskunftssuchende wandte sich an das Büro des Datenschutzbeauftragten von Finnland und beantragte, Pankki S anzuweisen, ihm die angeforderten Informationen zu erteilen. Nachdem dieser Antrag abgelehnt worden war, erhob der Auskunftssuchende Klage beim Verwaltungsgericht Ostfinnland, das den Gerichtshof um Auslegung von Art. 15 Datenschutzgrundverordnung (im Folgenden: DSGVO) ersucht.

In seinem heutigen Urteil stellt der Gerichtshof zunächst fest, dass die DSGVO, die seit dem 25. Mai 2018 gilt, auf ein nach diesem Datum vorgebrachtes Auskunftsersuchen anwendbar ist, wenn die dieses Ersuchen betreffenden Verarbeitungsvorgänge vor dem Anwendungsdatum der DSGVO ausgeführt wurden.

Sodann stellt der Gerichtshof fest, dass die DSGVO dahin auszulegen ist, dass es sich bei Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, um Informationen handelt, die diese Person von dem Verantwortlichen verlangen darf. Dagegen sieht die DSGVO kein solches Recht in Bezug auf Informationen über Arbeitnehmer vor, die diese Vorgänge im Einklang mit den Weisungen des Verantwortlichen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um es der betroffenen Person zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden. Falls nämlich die Wahrnehmung eines Rechts auf Auskunft, das die praktische Wirksamkeit der der betroffenen Person durch die DSGVO eingeräumten Rechte sicherstellt, zum einen und die Rechte und Freiheiten anderer Personen zum anderen miteinander kollidieren, sind die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten zu wählen, die diese Rechte und Freiheiten nicht verletzen.

Schließlich entscheidet der Gerichtshof, dass der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person gewährt wird.

Tenor der Entscheidung:
1. Art. 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Licht von Art. 99 Abs. 2 dieser Verordnung

ist dahin auszulegen, dass

er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.

2. Art. 15 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.

3. Art. 15 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.

Den Volltext der Entscheidung finden Sie hier:

LG Darmstadt
Urteil vom 04.07.2023
20 O 49/22

Das LG Darmstadt hat entschieden, dass eine wettbewerbswidrige Irreführung vorliegt, wenn ein Finanzvermittlerin die Geschäftsbezeichnung bzw. den Zusatz "Banka" verwendet. Es handelt sich bei "Banka" um den türkische Übersetzung für "Bank". Geklagt hatte die Wettbewerbszentrale.

OLG Karlsruhe
Urteil vom 27.07.2023
19 U 83/22

Das OLG Karlsruhe hat entschieden, dass unzureichende Sicherheitsvorkehrungen im Zusammenhang mit dem Versand geschäftlicher E-Mails Schadensersatzansprüche auslösen können.

Leitsätze des Gerichts:
1. Mangels gesetzlicher Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich Art und Umfang der erforderlichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit.

2. Verstößt der Gläubiger einer Geldforderung gegen von ihm geschuldete Sicherheitsvorkehrungen im Zusammenhang mit dem Versand einer geschäftlichen E-Mail und hat dieser Verstoß zur Folge, dass der Schuldner der Forderung den geschuldeten Geldbetrag auf das Konto eines deliktisch handelnden Dritten überweist, führt dies nicht zum Erlöschen der Forderung gem. § 362 BGB, sondern begründet allenfalls einen Schadensersatzanspruch des Schuldners, den dieser gem. § 242 BGB der Forderung entgegenhalten kann (dolo-agit-Einwendung).

Aus den Entscheidungsgründen:
Die Berufung der Klägerin ist begründet. Die Klägerin hat gegen die Beklagte gem. § 433 Abs. 2 BGB einen Anspruch auf Kaufpreiszahlung in Höhe von 13.500 EUR, gem. § 280 Abs. 2, § 286 BGB auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von 953,40 EUR und gem. §§ 286, 288 BGB auf Zahlung der zugesprochenen Verzugszinsen.

1. Zwischen den Parteien ist unstreitig, dass sie einen Kaufvertrag über einen gebrauchten Pkw zum Preis von 13.500 EUR abgeschlossen haben und dass eine Zahlung dieses Betrages auf das Konto eines Dritten erfolgt ist. Durch diese Zahlung ist indes der Anspruch der Klägerin auf Kaufpreiszahlung nicht gem. § 362 BGB erloschen.

a) Eine Leistung an die Klägerin gem. § 362 Abs. 1 BGB ist nicht erfolgt, da es sich bei dem Konto, auf das die Beklagte den Kaufpreis überwiesen hat, um das Konto eines Dritten und nicht der Klägerin handelt und daher der geschuldete Leistungserfolg nicht eingetreten ist. Die gegenteilige Auffassung des Landgerichts ist nicht frei von Rechtsfehlern. Die Voraussetzungen, unter denen eine Leistung an einen Dritten Erfüllungswirkung hat, sind in § 362 Abs. 2 BGB geregelt und liegen hier nicht vor (dazu nachstehend b]).

Eine Zurechnung „des unbefugten Zugriffs des Dritten in Bezug auf die unerlaubte Handlung“ an die Klägerin, wie vom Landgericht angenommen, erfolgt nicht. Soweit das Landgericht insoweit auf eine Entscheidung des I. Zivilsenats des Bundesgerichtshofs (Urteil vom 11. März 2009 - I ZR 114/06, BGHZ 180, 134 Rn. 16) Bezug nimmt, ging es dort um die Frage der deliktischen Haftung für eine Verletzung von Immaterialgüter- und Leistungsschutzrechten; eine bei der Verwahrung der Zugangsdaten für das ebay-Mitgliedskonto dort bejahte Pflichtverletzung wurde als zusätzlicher selbständiger Zurechnungsgrund neben die Grundsätze der Störerhaftung und die Verkehrspflichten im Bereich des Wettbewerbsrechts gestellt (BGH a.a.O.). Vorliegend steht aber nicht eine deliktische Verantwortlichkeit der Klägerin im Streit, sondern die vertragliche Frage der Erfüllungswirkung einer Zahlung an einen Dritten; die für den Bereich der deliktischen Haftung vom I. Zivilsenat entwickelten Grundsätze lassen sich nicht auf die Zurechnung von Erklärungen im Rahmen von vertraglichen Verhältnissen übertragen (vgl. BGH, Urteil vom 11. Mai 2011 - VIII ZR 289/09, BGHZ 189, 346 Rn. 19). Es ist daher ohne Bedeutung, dass im angefochtenen Urteil auch Feststellungen dazu fehlen, inwieweit die vom Landgericht bejahte Pflichtverletzung der Klägerin in Gestalt unterlassener Ende-zu-Ende-Verschlüsselung, Transportverschlüsselung und Verschlüsselung der als pdf-Datei versandten Rechnung für den Zugang der ge- oder verfälschten Rechnung bei der Beklagten kausal geworden sein soll.

Hätte ein etwaig schuldhaftes Verhalten der Klägerin dazu geführt, dass es dem Dritten ermöglicht wurde, die Rechnung mit veränderten Kontodaten der Beklagten wie geschehen zuzuleiten und die Beklagte so über die von der Klägerin verlangte Zahlung zu täuschen, könnte dies Schadensersatzansprüche der Beklagten wegen Verletzung einer vertraglichen Nebenpflicht gem. § 280 Abs. 1 BGB begründen (vgl. OLG München, Urteil vom 21. Dezember 2016 - 7 U 3206/16, juris Rn. 5, 7 ff.; so im Übrigen auch das von der Beklagten im Rechtsstreit in Bezug genommene Urteil des LG Lüneburg [n.v.] vom 16. Februar 2017 - 7 O 71/16, Seite 4 f.; zum Schadensersatzanspruch siehe nachstehend 2.), führte aber nicht dazu, dass eine nicht vorliegende Leistung an die Klägerin zu fingieren wäre.

b) Die Leistung an einen Dritten hat nur unter den Voraussetzungen des § 362 Abs. 2 BGB befreiende Wirkung, die im Streitfall nicht erfüllt sind.

Unter anderem hat die Leistung an einen Dritten dann befreiende Wirkung, wenn dieser vom Gläubiger rechtsgeschäftlich ermächtigt ist, die Leistung im eigenen Namen in Empfang zu nehmen. Statt einen Dritten zum Empfang der Leistung zu ermächtigen (§ 362 Abs. 2, § 185 BGB), kann der Gläubiger auch dem Schuldner nach § 362 Abs. 2, § 185 BGB die Ermächtigung erteilen, die Leistung an einen Dritten zu erbringen.Die Ermächtigung braucht nicht ausdrücklich erteilt zu werden; schlüssiges Verhalten kann selbst dann genügen, wenn der Ermächtigende kein Erklärungsbewusstsein hat, aber der redliche Empfänger hiervon ausgehen darf. Die Leistung an einen nichtberechtigten Dritten erlangt - von gesetzlich besonders geregelten Fällen (vgl. etwa §§ 169, 370, 407, 408 BGB) abgesehen - nur dann befreiende Wirkung, wenn der Gläubiger sie nachträglich genehmigt oder wenn einer der beiden anderen Fälle des § 185 Abs. 2 BGB eintritt. Dass der Schuldner den Nichtberechtigten gutgläubig für empfangsberechtigt hält, führt also - sofern keine gesetzlichen Sonderregelungen bestehen - allein nicht zum Freiwerden des Schuldners. Vielmehr tritt Erfüllungswirkung in einem solchen Fall erst dann ein, wenn der nicht empfangsbefugte Dritte die Leistung entsprechend den Weisungen des Schuldners an den Gläubiger weiterleitet oder der Gläubiger die Leistungserbringung an den Dritten ausdrücklich oder schlüssig genehmigt (BGH, Urteil vom 14. Februar 2023 - XI ZR 537/21, juris Rn. 29).

Diese Voraussetzungen liegen hier nicht vor. Zwischen den Parteien ist unstreitig, dass die um 11:46 Uhr von der Beklagten empfangene zweite E-Mail nebst Anlage tatsächlich nicht von der Klägerin stammt, so dass durch die Angabe des Namens P. D. nebst Bankverbindung bei der S-Bank in der angehängten Rechnung keine Ermächtigung im vorgenannten Sinne erfolgt ist. Eine nachträgliche Genehmigung durch die Klägerin ist ebensowenig erfolgt wie eine Weiterleitung der 13.500 EUR durch den Dritten an die Klägerin.

c) Schließlich ergibt sich auch nicht aus einer entsprechenden Anwendung des § 370 BGB, dass die tatsächlich nicht von der Klägerin stammende zweite E-Mail, in deren Anhang der Inhaber des dort genannten Kontos bei der S-Bank - möglicherweise - als zum Leistungsempfang ermächtigt bezeichnet wird, als tatsächlich ermächtigt gilt mit der Folge, dass die Leistung an diesen Dritten gem. § 362 Abs. 2 BGB zum Erlöschen der Kaufpreisforderung geführt hätte. Das Landgericht missversteht die von ihm nicht wortgetreu zitierte Kommentarstelle (Dennhardt in BeckOK BGB, 66. Edition, § 370 Rn. 1) dahin, dass die Regelung in entsprechender Anwendung eine allgemeine Haftung für die Enttäuschung berechtigten Vertrauens begründe. Tatsächlich ist an der angegebenen Stelle lediglich formuliert, die Vorschrift werde heute allgemein als Ausprägung des Vertrauensschutzes im Rechtsverkehr verstanden.

Bei der streitgegenständlichen Rechnung handelt es sich bereits nicht um eine Quittung im Sinne von § 368 BGB. Selbst wenn man mit dem Landgericht - was sonst, soweit ersichtlich, nirgends vertreten wird - eine entsprechende Anwendung des § 370 BGB auf Rechnungen bejahen wollte, lägen die übrigen Voraussetzungen der Vorschrift nicht vor. Hierzu gehört, dass eine echte Quittung - bzw. Rechnung - überbracht werden muss (vgl. BGH, Urteil vom 5. März 1968 - 1 StR 17/68, juris Rn. 3; BAG, Urteil vom 11. November 1960 - 4 AZR 361/58, juris Rn. 22). Dies war vorliegend nicht der Fall, nachdem die als Anhang zur zweiten E-Mail übersandte Rechnung unstreitig gerade nicht von der Klägerin, sondern von einem Dritten erstellt oder die von der Klägerin zuvor erstellte Rechnung von einem Dritten verfälscht worden war.

2. Die Beklagte hat gegen die Klägerin keinen Schadensersatzanspruch gem. § 280 Abs. 1, § 241 Abs. 2 BGB in einer der auf das Drittkonto getätigten Überweisung von 13.500 EUR entsprechenden Höhe, den sie der Klageforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten könnte (vgl. zu letzterem OLG München, Urteil vom 21. Dezember 2016 - 7 U 3206/16, juris Rn. 5).

a) Es liegt keine Nebenpflichtverletzung der Klägerin dergestalt vor, dass sie schuldhaft eine Ursache dafür gesetzt hätte, dass der Beklagten im Nachgang zur Übersendung der vorgenannten E-Mail um 10:46 Uhr die zweite E-Mail mit der angehängten ge- oder verfälschten Rechnung zuging, die neben der nach wie vor richtigen Angabe der Bankverbindung der Klägerin im Kopfbereich im Fußzeilenbereich auch die Bankverbindung des P. D. bei der S-Bank auswies. Für den dadurch verursachten Schaden, der darin besteht, dass die Beklagte durch Überweisung auf ein nicht der Klägerin zugeordnetes Konto die Forderung der Klägerin nicht zum Erlöschen bringen konnte (s.o. 1.), schuldet die Klägerin der Beklagten deshalb keinen Schadensersatz.

aa) Die Darlegungs- und ggf. Beweislast für das Vorliegen einer Pflichtverletzung im Sinne des § 280 Abs. 1 BGB sowie für die Kausalität dieser Pflichtverletzung für den eingetretenen Schaden liegt bei der Beklagten als derjenigen, die den Anspruch geltend macht.

bb) Das Vertragsverhältnis der Parteien kam ohne schriftliche Willenserklärung in einem Telefonat der beiden Geschäftsführer zustande. Dementsprechend wurde der Vertrag auch ohne ein Schreiben der Klägerin auf Geschäftspapier mit Angabe der Bankverbindung abgeschlossen. Die Parteien haben nachträglich vereinbart, dass die Zahlung durch Überweisung auf ein von der Klägerin mitzuteilendes Bankkonto erfolgen sollte (E-Mail der Beklagten vom 8. Oktober 2021, 10:15 Uhr, Anlage K 2, und der Klägerin vom 8. Oktober 2021, 10:44 Uhr, Anlage K 3). Die Klägerin traf dabei gem. § 241 Abs. 2 BGB die Nebenpflicht, sich bei der Abwicklung des Schuldverhältnisses so zu verhalten, dass Person, Eigentum und sonstige Rechtsgüter - auch das Vermögen - des anderen Teils nicht verletzt werden (vgl. BGH, Urteil vom 10. März 1983 - III ZR 169/81, juris Rn. 12).

cc) Die Beklagte behauptet, es sei zum Versand der zweiten E-Mail an sie durch einen Dritten dadurch gekommen, dass auf das E-Mail-Konto der Klägerin eine Hacking-Attacke ausgeführt worden sei, die das Ausspionieren der Geschäftsbeziehung der Parteien und der Rechnungs-E-Mail ermöglicht habe. Dies sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche; konkret nennt die Beklagte insoweit die nicht erfolgte Verwendung des „sender policy framework (SPF)“ bei der Kommunikation sowie eine unterlassene Verschlüsselung der pdf-Datei. Nach den Ausführungen im angefochtenen Urteil, die die Beklagte sich im Berufungsverfahren zu Eigen gemacht hat, sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Die Beklagte macht sinngemäß geltend, die Verwendung der genannten Verfahren sei im Geschäftsverkehr zwischen Unternehmen wie den Parteien des Rechtsstreits üblich und zu erwarten.

dd) Eine Pflichtverletzung der Klägerin liegt insoweit schon deshalb nicht vor, weil sie zur Verwendung dieser Verfahren und Maßnahmen nicht verpflichtet war.

Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht; insbesondere ist der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art. 4 Nr. 1 DS-GVO). Auch eine ausdrückliche Vereinbarung zwischen den Parteien ist insoweit nicht erfolgt; insbesondere hat die Beklagte, von der die Initiative dafür ausging, dass die Rechnung überhaupt per E-Mail verschickt wurde, anlässlich der Äußerung ihrer entsprechenden Bitte in der E-Mail ihres Geschäftsführers vom 8. Oktober 2021, 10:15 Uhr (Anlage K 2) keinerlei Sicherheitsvorkehrungen, die sie für erforderlich halte, ausdrücklich erwähnt. Welches Maß an Sicherheitsvorkehrungen von der Klägerin zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (vgl. Riem/Meier, MMR 2020, 571, 573).

Nicht maßgeblich für die berechtigten Sicherheitserwartungen des Verkehrs ist dabei die vom Landgericht herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“. Ausweislich deren Zielstellung dient sie zur Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DS-GVO. Letztere ist aber, wie soeben ausgeführt, im Verhältnis der Parteien zueinander überhaupt nicht anwendbar. Ohnehin wird hierin die Verwendung einer Ende-zu-Ende-Verschlüsselung anders als vom Landgericht dargestellt nicht als stets erforderlich angesehen, sondern sollte „in der Abwägung der notwendigen Maßnahmen berücksichtigt“ werden und wird nur für den Fall, dass „der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt“, als „Muss“ bezeichnet.

(1) Sender Policy Framework (SPF)

Die Beklagte hält die Klägerin für verpflichtet, das Verfahren Sender Policy Framework (SPF) anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll, hat die Beklagte dabei schon nicht gemacht.

Laut öffentlich zugänglichen Quellen - die Informationen des Bundesamts für Sicherheit in der Informationstechnik (im Folgenden: BSI), abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_server_studie_pdf.pdf?__blob=publicationFile&v=1 - handelt es sich beim Verfahren Sender Policy Framework um ein Verfahren, mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu verschicken. Endnutzer wie die Klägerin, die selbst keinen E-Mail-Server betreiben, haben mithin auf die Verwendung des Verfahrens überhaupt keinen Einfluss. Eine berechtigte Sicherheitserwartung des Verkehrs an ein Unternehmen wie die Klägerin, das seinen E-Mail-Verkehr über einen Diensteanbieter wie hier W. abwickelt, auf Anwendung des SPF-Verfahrens kann schon deshalb nicht bestehen.

(2) Verschlüsselung der pdf-Datei

Dass eine Verschlüsselung von pdf-Dateien im geschäftlichen Verkehr außerhalb des Austauschs besonders sensibler Dateien, die beispielsweise Betriebs- oder Geschäftsgeheimnisse enthalten, üblich wäre, behauptet die Beklagte schon selbst nicht. Auf dieser Grundlage kann nicht angenommen werden, dass insoweit eine berechtigte Sicherheitserwartung des Verkehrs besteht. Hinzu kommt, dass im Fall der Verschlüsselung der Datei Klägerin und Beklagte ein Passwort hierzu hätten austauschen müssen, was nicht geschehen ist. Die Beklagte hatte also bei Erhalt der ge- oder verfälschten Rechnung Kenntnis davon, dass die Datei nicht durch Verschlüsselung gesichert war. Bereits dieser Umstand, dass erkennbar eine derartige Sicherheitsmaßnahme nicht getroffen war, steht der Annahme einer insoweit vorliegenden Pflichtverletzung der Klägerin entgegen.

(3) Ende-zu-Ende-Verschlüsselung

Auch zu diesem Verfahren hat die Beklagte nicht vorgetragen, woraus folgen soll, dass es in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll. Das BSI empfiehlt zwar für E-Mails die Ende-zu-Ende-Verschlüsselung, äußert aber gleichzeitig die Einschätzung, dass diese bisher nur sehr selten eingesetzt werde (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dies steht einer entsprechenden allgemeinen Sicherheitserwartung des Verkehrs entgegen und bei den vorliegend versendeten Daten handelt es sich auch nicht um solche, bei deren Versand - wie etwa im Fall von Geschäfts- und Betriebsgeheimnissen - ohne gesonderte Absprache erhöhte Anforderungen zu stellen wären. Hinzu kommt, dass die Verwendung der Ende-zu-Ende-Verschlüsselung nicht vom Versender einer E-Mail allein durchgeführt werden kann. Die Beklagte hat schon nicht vorgetragen, dass ihr eigenes System die Voraussetzungen für den Empfang von Ende-zu-Ende-verschlüsselten Nachrichten erfüllt hätte.

(4) Transportverschlüsselung

Die Beklagte hält die Klägerin schließlich für verpflichtet, das Verfahren der Transportverschlüsselung anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll, hat die Beklagte allerdings auch insoweit nicht gemacht.

Ausweislich der öffentlich zugänglichen Informationen des BSI handelt es sich bei der Transportverschlüsselung um einen Prozess, bei dem der Inhalt der Übermittlung zwischen Absender und E-Mail-Anbieter, zwischen zwei E-Mail-Anbietern und zwischen E-Mail-Anbieter und Empfänger verschlüsselt wird, wobei dieser automatisiert abläuft und in der Regel keine Aktion des Absenders oder Empfängers erfordert (https://www.bsi.bund.de/SharedDocs/Glossareintraege/DE/T/Transportverschluesselung.html). Die Klägerin hat ihren im erstinstanzlichen Verfahren gehaltenen Vortrag, wonach W. alle Vorkehrungen zum Schutz seiner Kunden, einschließlich der Klägerin, trifft und getroffen hat, im Berufungsverfahren unter Angabe einer URL von W. dahin vertieft, dass bei der Übertragung der E-Mails das sogenannte SSL/TLS-Protokoll zum Einsatz komme. Dabei handele es sich um einen Verschlüsselungsstandard, der die E-Mails auf dem Transportweg sichere. Hierbei handelt es sich um Transportverschlüsselungen der vorstehend beschriebenen Art. Den Angaben von W. ist weiter zu entnehmen, dass die Transportverschlüsselung nur im Verbund der dort genannten Anbieter zur Anwendung kommt, also bei E-Mails, die zwischen E-Mail-Konten dieser Anbieter versendet werden. Die Beklagte, die soweit ersichtlich kein Konto bei einem dieser Anbieter unterhält, sondern einen eigenen Server betreiben lässt, hat weder vorgetragen noch ist sonst ersichtlich, dass eine Transportverschlüsselung an Umständen gescheitert wäre, die in der Sphäre der Klägerin liegen.

Der Berücksichtigung des Vortrags der Klägerin zum Vorhandensein einer Transportverschlüsselung beim Anbieter W. steht zwar zunächst die Tatbestandswirkung des angefochtenen Urteils entgegen (§ 314 ZPO), in dem festgestellt ist, die Klägerin habe keine Transportverschlüsselung verwendet. Der neue Vortrag der Klägerin im Berufungsverfahren ist aber gem. § 531 Abs. 2 Nr. 2 ZPO zuzulassen, weil er infolge eines Verfahrensmangels in Gestalt eines Gehörsverstoßes des Landgerichts im ersten Rechtszug nicht geltend gemacht wurde. Das Landgericht hätte die Parteien darauf hinweisen müssen, dass es beabsichtige, die „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“ zur Bestimmung der die Klägerin beim E-Mail-Versand treffenden Pflichten heranzuziehen und ihnen insoweit Gelegenheit zur Stellungnahme geben müssen. Indem es dies unterlassen hat, hat es den Anspruch der Klägerin auf rechtliches Gehör aus Art. 103 Abs. 1 GG verletzt.

Soweit die Beklagte meint, die Klägerin habe zur Verwendung einer Transportverschlüsselung schon nicht vorgetragen, und derartigen Vortrag „höchstfürsorglich“ mit Nichtwissen bestreitet, ist Folgendes zu berücksichtigen: Soweit eine Partei ihr günstige Tatsachen darzulegen und notfalls zu beweisen hat, nützt ihr das Bestreiten nichts, sondern sie hat die Tatsachen unabhängig davon vorzutragen, ob sie eigene Handlungen betreffen oder Gegenstand ihrer eigenen Wahrnehmung waren (BGH, Urteil vom 8. Juni 1988 - IVb ZR 51/87, juris Rn. 25). Hier trägt die Beklagte, wie ausgeführt, für das Vorliegen einer Pflichtverletzung der Klägerin die Beweislast und damit auch die Darlegungslast. Der zugrundeliegende Vortrag ist daher prozessuales Behaupten, für das § 138 Abs. 4 ZPO nicht gilt (BGH a.a.O.).

(5) Auch andere, von der Beklagten nicht ausdrücklich geltend gemachte Pflichtverletzungen der Klägerin sind nicht ersichtlich. Im unstreitigen Tatbestand des angefochtenen Urteils sind Feststellungen zur Art des von der Klägerin verwendeten Passwortes fürs E-Mail-Konto, dem Personenkreis, der davon Kenntnis hat und deren regelmäßiger Änderung sowie der Nutzung einer aktuellen Virensoftware und Firewall getroffen, die von der Klägerin im Berufungsverfahren - von der Beklagten unbestritten - vertieft wurden und die der Annahme einer Pflichtverletzung im Bereich des Passwortschutzes sowie des allgemeinen Schutzes der von der Klägerin verwendeten Computer entgegenstehen.

(6) Auf welcher Grundlage genau sich das Landgericht Lüneburg (Urteil vom 16. Februar 2017 - 7 O 71/16) - auf dessen unveröffentlichte Entscheidung sich die Beklagte beruft - die Überzeugung gebildet hat, dass die dortige Gläubigerin der Schuldnerin durch nicht hinreichende Sicherung ihrer EDV einen Schaden zugefügt hat, ist dem übersandten Urteilsumdruck nicht zu entnehmen. Der Senat vermag sich im vorliegenden Fall aus dem vorgetragenen Tatsachenmaterial bereits nicht die von vernünftigen Zweifeln freie Überzeugung davon zu verschaffen, dass der zugrunde liegende Angriff in der von der Klägerin beherrschbaren Sphäre geschehen ist. Soweit dem Urteil des Landgerichts Lüneburg im Übrigen der Rechtssatz entnommen werden könnte, dass der Verwender einer E-Mail-Adresse jeden Missbrauch durch Dritte vollständig ausschließen müsse, ist dies nach der Überzeugung des Senats schon wegen der zahlreichen und sich ständig weiter entwickelnden Angriffsmöglichkeiten zu weitgehend.

b) Selbst wenn man in einem der vorstehend behandelten Umstände eine Pflichtverletzung der Klägerin sehen wollte, fehlte es am Nachweis der Kausalität dieser Pflichtverletzung für den eingetretenen Schaden. Nach dem übereinstimmenden Vortrag der Parteien ist nicht geklärt, wie es tatsächlich dazu kam, dass die zweite E-Mail mit der ge- oder verfälschten Rechnung die Beklagte erreichte. Ein erfolgreicher Angriff auf die Sphäre der Klägerin liegt im Hinblick darauf zwar nahe, dass zwischen den Parteien unstreitig ist, dass auch andere Kunden der Klägerin entsprechend veränderte Rechnungen empfingen. Wodurch dieser Angriff ermöglicht worden sein könnte, ist aber im Hinblick auf die unbekannte Vorgehensweise des oder der unbekannten Dritten gänzlich unklar. Entgegen der Auffassung der Beklagten spricht für eine hierfür kausale Pflichtverletzung der Klägerin auch kein Beweis ersten Anscheins.

c) Schließlich wäre ein unterstellter Schadensersatzanspruch der Beklagten nach § 254 BGB zu kürzen, weil ein erhebliches Mitverschulden zu berücksichtigen wäre. Die zweite E-Mail vom 8. Oktober 2021 wie auch die als Anhang hierzu übersandte Rechnung selbst enthalten auffällige Unstimmigkeiten, die der Beklagten Anlass dazu geben mussten, bei der Klägerin nachzufragen, auf welches Bankkonto der Kaufpreis tatsächlich gezahlt werden sollte. In der E-Mail selbst wird die förmliche Anrede „Sie“ verwendet, obwohl die beiden Geschäftsführer sich duzen und dies auch in den kurz zuvor gewechselten E-Mails getan hatten. Hinzu kommen sprachliche Fehler („ausgestelltes“ Bankkonto), die sich bis zu einem inhaltlich vollkommen unverständlichen Satz hin steigern („Bitte senden Sie uns nach der Herstellung der Decke eine Kopie nach der Banküberweisung“). Soweit der Geschäftsführer der Beklagten im Rahmen seiner informatorischen Anhörung angegeben hat, die Nachricht nicht vollständig gelesen und diesen Satz nicht wahrgenommen zu haben, wäre ein unvollständiges Lesen einer Nachricht, in der es immerhin um die Änderung der Kontoverbindung geht, auf die ein fünfstellige Kaufpreis gezahlt werden soll, auch für sich betrachtet unsorgfältiges Handeln. Dazu kommen die widersprüchliche Gestaltung der mit der zweiten E-Mail übersandten Rechnung selbst, in der zwei Bankverbindungen angegeben sind, sowie der Umstand, dass bei der von der Beklagten hernach verwendeten Bankverbindung eine natürliche Person als Kontoinhaber angegeben war, die in keinerlei erkennbarem Zusammenhang mit dem Geschäftsbetrieb der Klägerin stand.

3. Die von der Beklagten gegen den Anspruch der Klägerin auf Kaufpreiszahlung hilfsweise erklärte Aufrechnung mit einem Zahlungsanspruch in Höhe von 13.500 EUR gegen den Inhaber des Bankkontos, auf das sie die 13.500 EUR überwiesen hat, geht schon deshalb ins Leere, weil es sich hierbei nicht um eine Forderung der Beklagten gegen die Klägerin handelt. Dies ist gem. § 387 BGB aber Voraussetzung für eine Aufrechnung.

4. Die von der Beklagten gegen den Anspruch der Klägerin auf Kaufpreiszahlung weiter hilfsweise erklärte Aufrechnung mit einem eigenen Schadensersatzanspruch in Höhe von 13.500 EUR wegen der Verletzung von IT-Sicherheitspflichten verhilft ihrer Rechtsverteidigung ebenfalls nicht zum Erfolg. Ein entsprechender Schadensersatzanspruch der Klägerin besteht nicht, auf die vorstehenden Ausführungen unter 2. wird zur Vermeidung von Wiederholungen Bezug genommen.

5. Die Klägerin hat gem. § 280 Abs. 2, § 286 BGB einen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von 953,40 EUR entsprechend einer 1,3-Gebühr gem. Nr. 2300 VV RVG aus einem Gegenstandswert von 13.500 EUR zuzüglich Auslagenpauschale. Sie hat - von der Beklagten unbestritten - vorgetragen, dass deren Geschäftsführer am 19. Oktober 2021 die Zahlung des Kaufpreises abgelehnt hat, so dass die Beklagte gem. § 286 Abs. 2 Nr. 3 BGB in Verzug geraten ist.

AG München
Urteil vom 02.06.2023
142 C 19233/19

Das AG München hat entschieden, dass ein Bankkunde seine EC-Karte und die ausreichend verschlüsselte Geheimzahl zusammen in seiner Geldbörse aufbewahren darf. Das Gericht hat einen Erstattungsanspruch gegen die Bank bei EC-Kartenmissbrauch nach einem Diebstahl bejaht.

Die Pressemitteilung des Gerichts:
Haftung bei EC-Kartenmissbrauch

Keine grobe Fahrlässigkeit bei gemeinsamer Aufbewahrung der EC-Karte mit hinreichend verschlüsselter Geheimzahl

In einem Streit um Erstattungsansprüche bei EC-Kartenmissbrauch gab das Amtsgericht München der Klage eines Bankkunden auf Zahlung von 1.011 EUR überwiegend statt und verurteilte die beklagte Bank zur Zahlung in Höhe von 861,00 EUR.

Der Münchner Kläger hat bei der Beklagten ein Girokonto, für welches ihm von dieser eine EC-Girokarte mit Maestro-Funktion zur Verfügung gestellt wurde. Unbekannte Trickdiebe entwendeten ihm im Oktober 2015 in Italien auf der Autobahnraststätte „Campogalliano Ovest“ den Geldbeutel samt EC-Karte und hoben bereits ca. 20 Minuten später an einem ca. 18 Fahrminuten von der Autobahnraststätte entfernten Ort unter im Einzelnen streitigen Umständen insgesamt 1.000 EUR von seinem Konto ab. Wenige Minuten später bemerkte der Kläger den Verlust der Karte und ließ diese sperren.

Die beklagte Bank belastete das Konto des Klägers daraufhin mit einem Betrag in Höhe von 1.000 EUR sowie Gebühren in Höhe von insgesamt 11,00 EUR für zwei Geldautomatenverfügungen im Ausland.

Der Kläger hatte die EC-Karte in seinem Geldbeutel gemeinsam mit einem kleinen, handgeschriebenen Zettel aufbewahrt, auf dem er diverse Telefonnummern sowie die für die Girokarte ausgegebene vierstellige Geheimzahl (PIN) in verschlüsselter Form notiert hatte. Der mathematisch versierte Kläger ging dabei so vor, dass er die PIN (4438) in zwei Schritten in Primzahlen zerlegte und so zu den Ziffern 2, 7 und 317 gelangte, die er zusammenhängend und ohne Bezug als „27317“ auf den Zettel übertrug.

Der Kläger machte mit seiner Klage die Erstattung des abgebuchten Betrages in Höhe von 1.011 EUR geltend. Er behauptete, seine PIN über die verschlüsselte Variante hinaus nicht in seinem Geldbeutel aufbewahrt und diese auch nicht auf der Karte vermerkt zu haben. Es dränge sich der Verdacht von Bandenkriminalität auf, die Täter müssten im Besitz einer Technik gewesen sein, mit der es gelänge, den Abhebevorgang auch ohne Kenntnis der PIN durchzuführen, die Verschlüsselung also auszuhebeln.

Das Amtsgericht München erachtete die Klage für überwiegend begründet und verurteilte die Beklagte zur Zahlung in Höhe von 861,00 EUR.

Das Gericht stellte in den Urteilsgründen zunächst fest, dass dem Kläger aufgrund der ohne seine Autorisierung erfolgten Abhebungen ein verschuldensunabhängiger Anspruch auf Erstattung des abgebuchten Betrages in voller Höhe zusteht, § 675u S. 2 Alt. 1 Bürgerliches Gesetzbuch (in der bis 12. Januar 2018 geltenden Fassung, im Folgenden: alte Fassung).

Hiervon ist jedoch nach den Ausführungen des Gerichts ein Betrag in Höhe von 150 EUR in Abzug zu bringen, da der beklagten Bank auf Grund der Verwendung eines dem Kläger gestohlenen Zahlungsauthentifizierungsinstruments in dieser Höhe ein verschuldensunabhängiger Schadensersatzanspruch zusteht, § 675v Abs. 1 S. 1 Bürgerliches Gesetzbuch alte Fas-sung.

Einen weitergehenden Anspruch der Bank auf Ersatz des gesamten Schadens verneinte das Gericht jedoch, da der Schaden weder durch eine vorsätzliche noch eine grob fahrlässige Pflichtverletzung durch den Kläger herbeigeführt worden sei, § 675v Abs. 2 Alt. 2 Nr. 1, 2 Bürgerliches Gesetzbuch alte Fassung.

Das Gericht begründete dies wie folgt:

„Entgegen der Ansicht der Beklagten greift der nach der Rechtsprechung des Bundesgerichtshofs mögliche Anscheinsbeweis, dass der Kläger die persönliche Geheimzahl (unverschlüsselt) auf seiner ec-Karte vermerkt oder sie zusammen mit dieser verwahrt hat (…) im vorliegenden Fall nicht ein. Die Annahme des Anscheinsbeweises setzt voraus, dass der Missbrauch unter Verwendung der Originalkarte und der zutreffenden Geheimzahl erfolgt ist (…).

Diese Umstände hat der Kläger bestritten, so dass die Beklagte hierfür den Beweis erbringen muss. Zwar kann nach den oben dargestellten Grundsätzen davon ausgegangen werden, dass die Originalkarte des Klägers zum Einsatz gekommen ist, der Beklagten ist jedoch der Nachweis nicht gelungen, dass die unbekannten Täter auch die korrekte Geheimzahl des Klägers in Erfahrung gebracht und zur Auszahlung verwendet haben. (…)

Die verschlüsselte Aufbewahrung der PIN des Klägers in dessen Portemonnaie gemeinsam mit der Zahlungskarte wertet das Gericht nicht als grob fahrlässige Verletzung der Pflichten des § 675l S. 1 BGB a.F.

Grob fahrlässig handelt nur, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und nahe liegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt. (…)

Als grob fahrlässig wird daher in der Regel gewertet, wenn der Zahler die persönliche Geheimzahl gemeinsam mit der Karte und nicht räumlich von dieser getrennt mit sich führt. Erlaubt ist es dem Zahler jedoch nach ganz h.M. [Anm.: herrschender Meinung], die PIN verschlüsselt auch gemeinsam mit der Karte vorzuhalten, soweit die Verschlüsselung ausreichend komplex ist, um eine Kenntniserlangung Dritter nach menschlichem Ermessen auszuschließen.

Nach diesen Maßstäben war die verschlüsselte Vorhaltung der PIN durch den Kläger hinreichend sicher und verstößt noch nicht einmal gegen einfache Sorgfaltspflichten. Der Kläger hat seine Vorgehensweise in seiner persönlichen Anhörung durch das Gericht nachvollziehbar geschildert. Er hat eine komplexe, individuelle Verschlüsselungsmethode entwickelt, die - jedenfalls in Unkenntnis der Methode - auch dem Gericht als ausreichend sicher erscheint. Auch dem Sachverständigen ist es eigenen Angaben zufolge (…), obwohl er Kenntnis von der Rechenweise des Klägers hatte, zunächst nicht gelungen, die Zahlenfolge 27317 zu dechiffrieren und hieraus die PIN rückzuerrechnen.

Der Kläger hatte die Zahlenfolge zudem zusammenhanglos auf einem Zettel mit Telefonnummern notiert ohne zugehörigen Hinweis, dass es sich um eine PIN handelt. Wie den Tätern innerhalb von nur wenigen Minuten eine Decodierung hätte gelingen können ist selbst unter Zugrundelegung des Vortrags des Klägers, es habe sich um organisierte Bandenkriminalität gehandelt, für das Gericht nicht nachzuvollziehen.“

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 300.000 EURO gegen eine Bank wegen mangelnder Transparenz bei der automatisierter Ablehnung eines Kreditantrags verhängt.

Die Pressemitteilung der BlnBDI:
300.000 Euro Bußgeld gegen Bank nach mangelnder Transparenz über automatisierte Ablehnung eines Kreditkartenantrags - Computer sagt Nein

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung verhängt. Die Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Das Unternehmen hat umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.

Eine automatisierte Entscheidung ist eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) spezielle Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.

In diesem Fall beherzigte die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht. Über ein Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand der abgefragten Informationen und zusätzlicher Daten aus externen Quellen lehnte der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung ab. Der Algorithmus basiert auf zuvor von der Bank definierten Kriterien und Regeln.

Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung. Die Bank machte auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren. Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist. Ohne diese Einzelfallbegründung war es ihm aber auch nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin beschwerte er sich bei der Datenschutzbeauftragten.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge. Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“

Die Datenschutzbeauftragte hat festgestellt, dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat. Bei der Bußgeldzumessung berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt hat.

LG Darmstadt
Versäumnisurteil vom 22.11.2022
20 0 49/22

Das LG Darmstadt hat entschieden, dass dass ein Finanzvermittler nicht die Bezeichnung bzw. den Zusatz "Banka" verwenden darf. Es liegt eine wettbewerbswidrige Irreführung vor. Es handelt sich bei "Banka" um den türkische Übersetzung für "Bank". Der Zusatz darf nur von erlaubnispflichtigen Kreditinstituten geführt werden. Geklagt hatte die Wettbewerbszentrale.

OLG Frankfurt
Urteil vom 14.12.2022,
17 U 132/21

Das OLG Frankfurt hat entschieden, dass eine Bank keine Vergütung für das Errechnen der Vorfälligkeitsentschädigung verlangen darf. Ein entsprechende Klausel in den AGB einer Bank ist nach § 307 BGB unwirksam

Unwirksame Klausel - Keine Bankgebühr allein für das Errechnen der Vorfälligkeitsentschädigung

Das Errechnen der Höhe einer Vorfälligkeitsentschädigung im Fall der vorzeitigen Rückführung eines Darlehens gehört - unabhängig von § 493 Abs. 5 BGB - zu den vertraglichen Nebenpflichten einer Bank gegenüber Verbrauchern. Die Bank darf dafür kein gesondertes Entgelt verlangen. Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute verkündeter Entscheidung die beklagte Bank verurteilt, die Verwendung einer Klausel, mit der 100 € für die Errechnung verlangt wurden, zu unterlassen.

Die Beklagte betreibt eine Bank und bewirbt u.a. Verbraucherkredite. Nach ihrem Preisverzeichnis verpflichten sich private Darlehenskunden, eine Pauschale von 100 € zu zahlen, wenn die Bank für sie die Höhe der Vorfälligkeitsentschädigung bei vorzeitiger Ablösung eines Darlehens (Allgemeindarlehen oder eines vor dem 21. März 2016 abgeschlossenen Immobiliardarlehen) errechnen soll. Die Pauschale wird unabhängig davon fällig, ob es nachfolgend zur vorzeitigen Rückführung des Darlehens kommt. Sie wird - mit Ausnahme grundpfandrechtlich besicherter Darlehen - nicht auf eine im Fall vorzeitiger Rückführung tatsächlich zu zahlende Vorfälligkeitsentschädigung angerechnet. Der Kläger hält die Klausel für unwirksam. Das Landgericht hatte den Unterlassungsantrag insoweit abgewiesen. Die hiergegen gerichtete Berufung hatte vor dem OLG Erfolg.

Die Klausel sei unwirksam, entschied das OLG. Bei der Aufwandsentschädigung handele es sich um eine voll überprüfbare sog. Preisnebenabrede. Die Klausel sei mit wesentlichen Grundgedanken der Rechtsordnung nicht vereinbar und benachteilige die Kunden unangemessen. Die Bank sei nebenvertraglich verpflichtet, den Darlehensnehmer über die Höhe einer Vorfälligkeitsentscheidung bei vorzeitiger Rückführung zu informieren. Dies gelte unabhängig von den gesetzlich normierten Informationspflichten nach § 493 Abs. 5 BGB (anwendbar ab dem 21. März 2016 in Umsetzung der Wohnimmobilien-Kreditrichtlinie (RL 2014/17/EU)). Diese bezögen sich allein auf Immobiliardarlehensverträge. Der Darlehensnehmer habe grundsätzlich ein Informationsbedürfnis. Die Berechnung der Vorfälligkeitsentschädigung sei komplex und beinhalte Rechenoperationen, die für den durchschnittlichen Verbraucher schwer nachzuvollziehen seien. Die Bank könne dagegen die Entschädigung mithilfe eines Computerprogramms ohne großen Aufwand errechnen. Die Berechnung stelle damit keine zusätzliche Sonderleistung dar, die einer gesonderten Vergütung unterliege. Dies gelte unabhängig davon, ob es tatsächlich zur vorzeitigen Rückführung komme oder nicht.

Die beanstandete Klausel weiche damit von dem Grundsatz ab, dass die Bank ohne gesondertes Entgelt ihre vertraglichen Verpflichtungen zur Unterrichtung des Darlehensnehmers erfüllen müsse. Diese Abweichung indiziere eine unangemessene Benachteiligung der Darlehensnehmer. „Dass die jeweilige Berechnung der Vorfälligkeitsentschädigung mit einem Verwaltungsaufwand ... einhergehen kann, hat diese nach der vertraglichen Abrede hinzunehmen“, ergänzt das OLG.

Oberlandesgericht Frankfurt am Main, Urteil vom 14.12.2022, Az.: 17 U 132/21

(vorausgehend Landgericht Frankfurt am Main, Urteil vom 12.11.2021, Az.: 2/25 O 190/20)

Erläuterungen:

§ 493 BGB Informationen während des Vertragsverhältnisses
(1) 1Ist in einem Verbraucherdarlehensvertrag der Sollzinssatz gebunden und endet die Sollzinsbindung vor der für die Rückzahlung bestimmten Zeit, unterrichtet der Darlehensgeber den Darlehensnehmer spätestens drei Monate vor Ende der Sollzinsbindung darüber, ob er zu einer neuen Sollzinsbindungsabrede bereit ist. 2Erklärt sich der Darlehensgeber hierzu bereit, muss die Unterrichtung den zum Zeitpunkt der Unterrichtung vom Darlehensgeber angebotenen Sollzinssatz enthalten.
...

(5) 1Wenn der Darlehensnehmer eines Immobiliar-Verbraucherdarlehensvertrags dem Darlehensgeber mitteilt, dass er eine vorzeitige Rückzahlung des Darlehens beabsichtigt, ist der Darlehensgeber verpflichtet, ihm unverzüglich die für die Prüfung dieser Möglichkeit erforderlichen Informationen auf einem dauerhaften Datenträger zu übermitteln. 2Diese Informationen müssen insbesondere folgende Angaben enthalten:

Auskunft über die Zulässigkeit der vorzeitigen Rückzahlung,
im Fall der Zulässigkeit die Höhe des zurückzuzahlenden Betrags und
gegebenenfalls die Höhe einer Vorfälligkeitsentschädigung.
3Soweit sich die Informationen auf Annahmen stützen, müssen diese nachvollziehbar und sachlich gerechtfertigt sein und als solche dem Darlehensnehmer gegenüber offengelegt werden.

§ 307 BGB
(1) 1Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. 2Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.

(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung

mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder
wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut wegen datenschutzwidriger Profilbildung zu Werbezwecken ein Bußgeld in Höhe von 900.000 EURO verhängt. Das Kreditinstitut kann sich nicht auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO berufen. Vielmehr wäre die Einholung einer Einwilligung erforderlich gewesen.

Die Pressemitteilung der Datenschutzbehörde:
900.000 Euro Bußgeld gegen Kreditinstitut wegen Profilbildung zu Werbezwecken

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut eine Geldbuße in Höhe von 900.000 Euro festgesetzt. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Das Unternehmen hatte Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Dazu analysierte es das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Hierzu bediente es sich eines Dienstleisters. Ergänzend wurden die Ergebnisse der Analyse mit einer Wirtschaftsauskunftei abgeglichen und von dort angereichert. Ziel war es, Kundinnen und Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Den meisten Kundinnen und Kunden wurden zwar vorab zusammen mit anderen Unterlagen Informationen zugeschickt. Diese ersetzten die notwendigen Einwilligungen allerdings nicht.

Dem Unternehmen wird vorgeworfen, dass die vorgenommene Auswertung nicht mit Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung (DS-GVO) vereinbar war. Danach kann ein Verantwortlicher personenbezogene Daten auf Grundlage einer Interessenabwägung verarbeiten. Die Interessen der betroffenen Person dürfen dabei nicht überwiegen. Bei der Festsetzung der Geldbuße wurde berücksichtigt, dass das Unternehmen die Ergebnisse seiner Auswertungen nicht weiterverwendet hatte. Zudem hat sich das Unternehmen im gesamten Verfahren kooperativ gezeigt.

Häufung ähnlicher Fälle

Der LfD Niedersachsen werden vermehrt Fälle bekannt, in denen Verantwortliche Daten von Kundinnen und Kunden, die zunächst rechtmäßig verarbeitet wurden, zur Profilbildung auswerten. Hierzu nutzen Sie teilweise externe Anbieter oder gleichen ihre Ergebnisse mit diesen ab.

„Die Verantwortlichen holen sich für solche Auswertungen häufig keine Einwilligung der Kundinnen und Kunden ein“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Stattdessen berufen sie sich auf eine Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DS-GVO. Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet.“

Zwar liegt die werbliche Ansprache (potenzieller) Kundinnen und Kunden im Interesse der Verantwortlichen. Der Gesetzgeber stuft dieses Interesse aber als weniger gewichtig ein, indem er für die betroffenen Personen eine erleichterte Widerspruchsmöglichkeit vorsieht. Der Widerspruch muss nicht begründet werden. Bei der Interessenabwägung überwiegen zudem die Interessen der betroffenen Kundinnen und Kunden.

Vernünftige Erwartung maßgeblich

Verantwortliche müssen bei der Interessenabwägung unter anderem die vernünftigen Erwartungen der Kundinnen und Kunden berücksichtigten. „Die Betroffenen erwarten es aber in der Regel nicht, dass Verantwortliche im großen Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren“, so Barbara Thiel. Verantwortliche können sich in diesen Fällen deshalb nicht auf eine Interessenabwägung berufen und müssen stattdessen Einwilligungen einholen.

Werden zudem externe Stellen einbezogen (z. B. Wirtschaftsauskunfteien), können Daten aus unterschiedlichen Lebensbereichen verkettet und so genauere Profile erstellt werden. Hiermit müssen Kundinnen und Kunden erst recht nicht rechnen, weshalb auch hierfür Einwilligungen eingeholt werden müssen.