BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OLG München
Urteil vom 16.06.2026
18 U 217/26

Das OLG München hat entschieden, dass dem ehemaligen BSI-Präsidenten Schönbohm ein Unterlassungsanspruch gegen das ZDF zusteht, weil die in der Böhmermann-Sendung "ZDF Magazin Royale" verbreitete Satire den unwahren Eindruck bewusster Kontakte zu russischen Geheimdiensten erweckte. Auch Satire muss sich - so das Gericht - in ihrem Tatsachenkern an den Grenzen der Meinungsfreiheit messen lassen. Einen Anspruch auf Geldentschädigung (beantragt waren mindestens 100.000 €) lehnte das Gericht hingegen ab.

Die Pressemitteilung des Gerichts:
ZDF Magazin Royale
Der für Pressesachen zuständige 18. Zivilsenat des OLG München hat heute im Berufungsverfahren des früheren Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik gegen das ZDF entschieden (Az.: 18 U 217/26). Dabei hat er das Urteil des Landgerichts München I insoweit bestätigt, als die Verbreitung und Behauptung konkreter Äußerungen untersagt wurde, die in der Sendung „ZDF Magazin Royale“ von Jan Böhmermann und später auf www.zdf.de getätigt wurden. Einen Anspruch des Klägers auf Geldentschädigung hat der Senat ebenso wie das Landgericht München I hingegen nicht gesehen.

Der Kläger forderte von der Beklagten unter anderem die Unterlassung der Verbreitung und Behauptung von Äußerungen, welche im Rahmen des erstmals am 07.10.2022 ausgestrahlten Beitrags des Formats „ZDF Magazin Royale“ getätigt wurden. Außerdem forderte er die Unterlassung von zwei später auf www.zdf.de veröffentlichten Äußerungen. Er begründete seine Forderungen damit, dass die angegriffenen Äußerungen unwahre Tatsachenbehauptungen darstellten, wodurch der unzutreffende Eindruck erweckt werde, er habe bewusst Kontakt zu russischen Nachrichtendiensten gehabt.

Der Kläger sei durch die angegriffenen Äußerungen besonders schwerwiegend in seinem allgemeinen Persönlichkeitsrecht verletzt. Insbesondere sei er in der Öffentlichkeit in erheblichem Umfang herabgewürdigt worden und habe sein Amt als Präsident des Bundesamtes für Sicherheit in der Informationstechnik verloren. Aufgrund der besonders schwerwiegenden Natur der Persönlichkeitsverletzung sei diese durch eine Geldentschädigung auszugleichen. Aus diesem Grund forderte er neben der Unterlassung die Zahlung einer Geldentschädigung in Höhe von mindestens 100.000 €.

Dem trat die Beklagte mit der Begründung entgegen, die Sendung habe in zulässiger Weise satirisch zugespitzte Kritik am Bundesamt für Sicherheit in der Informationstechnik und am Kläger als dessen damaligem Präsidenten geübt. Es sei typisches Stilmittel der Satire, dass mit Uneindeutigkeiten gespielt werde und dadurch z.B. Lücken in einer Argumentation oder einer Stellungnahme offengelegt würden.

Nach Überzeugung des Senats sind die im Rahmen der Sendung getätigten Äußerungen vom Publikum so zu verstehen, dass der Kläger bewusste Kontakte zu russischen Nachrichtendiensten gehabt habe. Dies stelle eine unwahre Äußerung dar, die ihn in seinem allgemeinen Persönlichkeitsrecht verletze, weshalb die entsprechenden Äußerungen zu unterlassen seien. Insbesondere sah der Senat keine andere Deutungsvariante als gegeben, nach welcher die angegriffenen Äußerungen das allgemeine Persönlichkeitsrecht des Klägers nicht verletzen würden.

Der Senat hat die Auffassung des Landgerichts bestätigt, dass auch eine satirische Äußerung sich an den Maßstäben der Meinungsfreiheit messen lassen muss, wenn es um den Tatsachenkern der Aussage geht.

Einen Anspruch auf Geldentschädigung hat der Senat verneint, da er die Zubilligung einer Geldentschädigung nach einer Gesamtwürdigung der Umstände trotz des schwerwiegenden Eingriffs in das Persönlichkeitsrecht des Klägers nicht als geboten ansah. Hier sah der Senat insbesondere den Umstand als relevant an, dass der Kläger seine Unterlassungsansprüche hätte frühzeitiger nach Ausstrahlung der Sendung geltend machen und damit möglicherweise seine Absetzung als Präsident des BSI verhindern können. Außerdem sah es der Senat als schädlich an, dass der Klägervertreter in einem Interview wahrheitswidrig erklären ließ, dass die Beklagte die von ihm geltend gemachten Unterlassungsansprüche in einem außergerichtlichen Schreiben auch mit dem Argument zurückgewiesen habe, dass es tatsächliche Anknüpfungstatsachen dafür gebe, dass der Kläger bewusst mit dem russischen Geheimdienst zusammengearbeitet habe. Damit hat der Kläger nach Ansicht des Senats von sich aus und ohne Not die gegen ihn im Raum stehenden Vorwürfe öffentlich aufrechterhalten, obwohl die Beklagte in ihrem Schreiben ausdrücklich darauf hingewiesen hat, dass der Sendebeitrag vom 07.10.2022 eine solche Aussage weder direkt noch indirekt enthalte.

Die Revision gegen das Urteil wurde nicht zugelassen.

Das BMI hat den Entwurf eines Gesetzes zur Stärkung der Cybersicherheit - Stand 21.05.2026 vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel
Cyberangriffe in Deutschland nehmen in Qualität und Quantität zu. Deutschland als führende Wirtschaftsnation in Europa ist verstärkt im Fokus auch hochprofessioneller Cyberangriffe mit großem Wirkpotential. Angesichts der geopolitischen Lage gewinnen auch hybride Bedrohungen zunehmend an Bedeutung.

Der Krieg in der Ukraine verdeutlicht, wie essentiell Cybersicherheit für einen modernen Staat wie Deutschland ist. Die Gewährleistung einer verlässlichen und sicheren Nutzung der Informationstechnologie und der zugrundeliegenden Kommunikationsinfrastruktur ist essentielle Voraussetzung für das Funktionieren des Gemeinwesens. Deutschlands wirtschaftlicher Erfolg und gesellschaftlicher Zusammenhalt sowie die nationale Sicherheit sind mit der Gewährleistung von Cybersicherheit untrennbar verbunden. Angriffe im Cyberraum überwinden mühelos Landes- oder Zuständigkeitsgrenzen und können sich dadurch auf sämtliche Lebensbereiche und Sektoren einschließlich der Kommunikationsinfrastruktur insgesamt auswirken. Gezielte Angriffe auf kritische Infrastrukturen und wichtige Unternehmen, Aktionen von Cyberkriminellen oder Angriffe auf bzw. Sabotage von staatlichen Strukturen sind geeignet, die Funktionsfähigkeit des Gemeinwesens, der Wirtschaft und des Staats- und Verwaltungswesens massiv und anhaltend zu beeinträchtigen.

Dieser sicherheitspolitischen Herausforderung kann nur begegnet werden, indem die Erkennung und Abwehr von Cyberangriffen ausgebaut wird und hierzu wirksame, angemessene und rechtsklare gesetzliche Grundlagen geschaffen werden. Die Aufklärung und die Detektion konkreter Angriffe und langfristig laufender Angriffskampagnen müssen verbessert und die Detektion konkreter Vorbereitungshandlungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgebaut werden. Insbesondere gegen groß angelegte Cyberangriffe mit großem Schadenspotential bieten präventive Maßnahmen in den eigenen IT-Systemen alleine allerdings keinen hinreichenden Schutz. Es müssen daher für die Polizeien des Bundes und das BSI ergänzend Möglichkeiten zur Unterbindung solcher Cyberangriffe geschaffen werden, um gravierende Folgeschäden abwenden oder minimieren zu können.

B. Lösung
Mit Anpassungen im BSI-Gesetz (BSIG) wird dem BSI ermöglicht, die Resilienz der Informationstechnik der Bundesverwaltung im Cyberraum zu erhöhen und die Erkenntnislage zu verbessern. Des Weiteren erhalten die Polizeien des Bundes im Bundeskriminalamtsgesetz (BKAG) und im Bundespolizeigesetz (BPolG) die notwendigen Befugnisse, um eine zukunftsfähige Cyberabwehr aufzubauen.

Die bestehenden Möglichkeiten des BSI, schädlichen Datenverkehr umzuleiten, werden an die geänderten Nutzungsbedingungen angepasst, indem die bestehenden Anordnungsbefugnisse auf weitere zentrale Diensteanbieter erweitert werden. Zugleich werden die Möglichkeiten verbessert, auf maliziöse Domains, die die Bundesverwaltung tangieren, zu reagieren. Zudem wird der Einsatz von Incident Response Teams zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme auch in Fällen des so genannten Prepositionings (d.h. das vorbereitende Platzieren von Hintertüren und Angriffsstrukturen in IT-Systemen) klar geregelt. Ferner wird eine Rechtsgrundlage dafür geschaffen, die für den Betrieb von Angriffserkennungssystemen und die Einschätzung der aktuellen Bedrohungslage erforderliche Datengrundlage durch entsprechende Auskunftsersuchen zu technischen Informationen zu verbessern. Komplementär hierzu soll die Ausbreitung maliziöser Infrastruktur eingedämmt werden, indem Endnutzern ein optionaler Schutz vor maliziösen Domains bereitgestellt wird und, wie bisher bereits Telekommunikationsanbieter, auch Anbieter digitaler Dienste verpflichtet werden, Informationen des BSI über konkrete Gefahren, die ihre Kunden betreffen, an diese weiterzugeben.

Für das Bundeskriminalamt (BKA) und die Bundespolizei werden klare Befugnisse geschaffen, um Cyberangriffe abzuwehren. Dazu gehören insbesondere Befugnisse zur Untersagung des Betriebs informationstechnischer Systeme, zur Umleitung, Einschränkung oder Unterbindung von Datenverkehr sowie zum Auslesen, Löschen und Verändern von gefahrgegenständlichen Daten in informationstechnischen Systemen. Diese neu geschaffenen Befugnisse werden es den Polizeien des Bundes ermöglichen, zusammen mit den bereits bestehenden polizeilichen Befugnissen wie z.B. der Sicherstellung von Servern, eine wirksame Gefahrenabwehr gegen Cyberangriffe umzusetzen.

Die neugeschaffenen Befugnisse erhält das BKA für bereits bestehende gefahrenabwehrrechtliche Aufgaben sowie für die neuen Aufgaben im Bereich der Abwehr von Gefahren durch Angriffe auf die Sicherheit in der Informationstechnik.

Die Bundespolizei erhält diese Befugnisse für alle ihre gefahrenabwehrrechtlichen Aufgaben, nicht für ihre Strafverfolgungsaufgaben.

VG Berlin
Beschluss vom 02.12.2025
1 L 3105/25

Das VG Berlin hat entschieden, dass keine Warnung im Sinne von § 7 Abs. 1 BSIG vorlieg, wenn das BSI eine sicherheitskritische Software in einer Veröffentlichung als "auffällig" und "nicht den üblichen Erwartungen entsprechend" bezeichnet.

Aus den Entscheidungsgründen:
Der nach § 123 Abs. 1 S. 1 Verwaltungsgerichtsordnung (VwGO) gestellte Hauptantrag der Antragstellerin,

dem Antragsgegner bei Vermeidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes (...), zu untersagen, die im Rahmen des Projekts „E.W.“ gewonnen Erkenntnisse über die von der Antragstellerin betriebenen Produkte unter den Bezeichnungen „G. U.“ und „A.“ zu veröffentlichen und/oder vor diesen Produkten zu warnen,

war bereits unzulässig, da es der Antragstellerin an dem erforderlichen Rechtsschutzbedürfnis fehlte.

Verwaltungsrechtsschutz ist grundsätzlich nachgängiger Rechtsschutz. Das folgt aus dem Grundsatz der Gewaltenteilung, der der Gerichtsbarkeit nur die Kontrolle der Verwaltungstätigkeit aufträgt, ihr aber grundsätzlich nicht gestattet, bereits im Vorhinein gebietend oder verbietend in den Bereich der Verwaltung einzugreifen. Die Verwaltungsgerichtsordnung stellt darum ein System nachgängigen - ggf. einstweiligen - Rechtsschutzes bereit und geht davon aus, dass dieses zur Gewährung effektiven Rechtsschutzes (Art. 19 Abs. 4 GG) grundsätzlich ausreicht.

BVerwG, Urteil vom 23. Juni 2016 – 2 C 18/15 –, Rn. 19; OVG Niedersachsen, Beschluss vom 9. April 2014 – 13 LA 17/13 – ,Rn. 9; Bayerischer VGH, Beschluss vom 4. Mai 2022 – 10 CE 22.557 –, Rn. 4, sämtlich juris.

Um den Grundsatz der Gewaltenteilung und das der Verwaltung zugewiesene Handlungsfeld nicht übermäßig und "anlasslos" zu beeinträchtigen, setzt die den Gerichten übertragene Kontrollfunktion gegen Maßnahmen der Behörden grundsätzlich erst nachgelagert ein. Die Inanspruchnahme gerichtlichen Rechtsschutzes erfordert daher regelmäßig den Erlass einer Maßnahme, der nachfolgend Gegenstand gerichtlicher Überprüfung ist. Vorbeugender Rechtsschutz gegen erwartete oder befürchtete Entscheidungen der Verwaltung ist daher grundsätzlich unzulässig,

vgl. BVerwG, Urteil vom 23. Juni 2016 – 2 C 18/15 –, juris Rn. 19 f.; Beschluss vom 29. April 2019 – 6 B 141/18 –, juris Rn. 14; OVG NRW, Beschlüsse vom 3. Mai 2023 – 8 B 394/23 – , juris Rn. 33 und vom 08. Juni 2017 – 4 B 307/17 –, juris Rn. 13.

Etwas Anderes gilt nur dann, wenn dem Betroffenen ein weiteres Zuwarten nicht zugemutet werden kann und ein schutzwürdiges Interesse an einer vorzeitigen gerichtlichen Klärung besteht. Danach ist – ebenso wie bei der in der Hauptsache statthaften allgemeinen Leistungsklage in Form der vorbeugenden Unterlassungsklage – ein qualifiziertes, gerade auf die Inanspruchnahme vorbeugenden Rechtsschutzes gerichtetes Rechtsschutzinteresse notwendig. Dieses Rechtsschutzinteresse ist grundsätzlich zu verneinen, solange der Antragsteller in zumutbarer Weise auf den von der VwGO im Regelfall als angemessen und ausreichend angesehenen nachträglichen (vorläufigen) Rechtsschutz verwiesen werden kann,

vgl. die stRspr. BVerwG, Urteile vom 25. September 2008 – 3 C 35/07 –Rn. 26 m.w.N.; vom 7. Mai 1987 – 3 C 53/85 –, Rn. 25; vom 8. September 1972 – IV C 17.71 –, Rn. 29 m.w.N.; und vom 12. Januar 1967 – III C 58.65 –, Rn. 18; Beschluss vom 13. April 1976 – IV B 12.76 –,Rn. 3, sämtlich juris; Schoch, in: Schoch/Schneider, Verwaltungsrecht – VwGO, 47. EL (Februar 2025), § 123 Rn. 45 f. m.w.N.

Als unzumutbar ist der Verweis auf den nachträglichen vorläufigen Rechtsschutz nur dann anzusehen, wenn beim Zuwarten auf die behördliche Maßnahme die Gefahr besteht, dass irreversible Fakten geschaffen werden und dadurch nicht wiedergutzumachende Nachteile entstehen (können).

BVerfG, Kammerbeschluss vom 24. Oktober 1990 – 1 BvR 1028/90 –, juris Rn. 27 (in Bezug auf § 44a VwGO); VG Ansbach, Beschluss vom 31. Januar 2020 – AN 10 E 20.00157 –, juris Rn. 15; Schoch, in: Schoch/Schneider, Verwaltungsrecht – VwGO, 47. EL (Februar 2025), § 123 Rn. 46.

Die Antragstellerin hat nicht glaubhaft gemacht, dass ihr wegen der Veröffentlichung der von der Antragsgegnerin gewonnenen Erkenntnisse über die von der Antragstellerin betriebenen Produkte irreversible Fakten geschaffen werden oder nicht wiedergutzumachende Nachteile entstehen und ihr daher nicht zugemutet werden kann, die Veröffentlichung des Berichts abzuwarten.

Nicht ersichtlich ist insoweit, dass es sich bei der beabsichtigten Veröffentlichung um eine Warnung i.S.d. § 7 Abs. 1 BSIG handelte, von der bei ihrer Veröffentlichung wegen der damit verbundenen Prangerwirkung irreversible Nachteile ausgegangen wären. Die Antragsgegnerin betitelte das dem Produkt der Antragstellerin zugrundeliegende [„Wort wurde entfernt“] Konzept in ihrem Abschlussbericht zwar als „auffällig“ und resümierte, dass das Produkt insgesamt nicht die üblichen Erwartungen an sicherheitskritische Software [„Wort wurde entfernt“] erfülle [„Textzeile wurde entfernt“].

Mit dieser Produktbewertung wird in erster Linie ein Diskussionsbeitrag erbracht. Diese Einschätzung war zwar dem Grunde nach geeignet, die Nutzungsentscheidung der Verbraucherinnen und Verbraucher in diesem besonders sensiblen Bereich der Datensicherheit zu beeinflussen. Sie enthielt aber keinerlei ausdrückliche Empfehlung, das Produkt der Antragstellerin nicht zu nutzen bzw. durch andere Produkte zu ersetzen. Die mit der Veröffentlichung potenziell verbundene Veränderung der Marktbedingungen stellt damit vielmehr einen Reflex einer abstrakten Verbraucherinformation dar; denn ein gezieltes Mittel, das Marktverhalten der Adressaten zu beeinflussen. Hinzu tritt, dass der Bericht nicht isoliert auf der Webseite der Beklagten prangern, sondern Teil eines Abschlussberichtes zum Projekt „E.W.“ sein sollte, der wiederum nicht auf der Startseite der Antragsgegnerin, sondern über mehrere Reiter als ein Bericht unter mehreren abrufbar sein sollte. Die mit der Veröffentlichung verbundene Prangerwirkung, die öffentlichen Informationen im Internet grundsätzlich zukommt, war damit insgesamt als gering anzusehen.

Vor allem aber hat die Antragstellerin nicht schlüssig dargelegt, dass etwaige, durch den Abschlussbericht entstandene Nachteile der Antragstellerin irreparabel gewesen wären. Soweit die Antragstellerin vorträgt, der Bericht wäre unmittelbar nach seiner Veröffentlichung richtigzustellen, was der Zielsetzung des Projekts der Antragsgegnerin sowie ihrem gesetzlichen Auftrag nach § 3 Abs. 1 Nr. 14a BSIG zuwiderlaufen würde, da die adressierten Verbraucher verunsichert würden, statt für den Einsatz von [„Wort wurde ersetzt durch: Produkten wie denen der Antragstellerin“] interessiert zu werden, vermag sie damit nicht durchzudringen. Anders etwa, als in Fällen lebensmittelrechtlicher Verstöße, in denen der durch einen einmal erschienenen Bericht nach § 40 Abs. 1a LFGB entstandene Eindruck wegen der damit bei der Bevölkerung hervorgerufenen gesundheitlichen Bedenken und des Ekelgefühls kaum wieder rückgängig zu machen ist, kann eine neue sicherheitstechnische Bewertung eine alte wieder revidieren. Verlorenes Vertrauen in das Produkt der Antragstellerin wäre insofern durch eine Gegendarstellung der Antragsgegnerin, etwa mittels Presseerklärung oder Veröffentlichung auf der Startseite ihrer Homepage wiederherzustellen. Auch wäre eine Richtigstellung in einer weiteren Podcastfolge denkbar gewesen, die schließlich dazu geführt hätte, dass einer positiven Gegendarstellung deutlich mehr Sichtbarkeit zugekommen wäre, als der ursprünglichen Veröffentlichung des Abschlussberichts.

Auch die von der Antragstellerin gestellten Hilfsanträge,

dem Antragsgegner aufzugeben, die Zusammenfassung der Erkenntnisse über die Produkte der Antragstellerin unter den Bezeichnungen „G. U.“ und „A.“ in der am 00.00.2025 vom Antragsgegner abgeänderten Fassung vom 00.00.2025 vor Veröffentlichung dahin gehend anzupassen, dass

a) konkret die Verbesserungen und Umsetzung der Empfehlungen des Ergebnisberichtes des FZI Forschungszentrum Informatik vom 00.00.2025, insbesondere die transparente Dokumentation, aufgenommen werden;

b) zur Produktbewertung im Abschlussbericht zu Ziffer 000 Tabelle 00 / Ziffer 000. Tabelle 00 zu „Einschätzung und Empfehlungen für Verbraucherinnen und Verbraucher“ festgestellt wird: [„Zitat wurde entfernt“].

b. zu „Herstellerkommunikation“ festgestellt wird: “C. erteilte die angeforderten Auskünfte.“

waren mangels besonderen Rechtsschutzbedürfnisses, welches vorliegend aufgrund des begehrten, ebenfalls vorbeugenden Rechtsschutzes, zwingend glaubhaft zu machen war, ebenfalls unzulässig.

Den Volltext der Entscheidung finden Sie hier:

Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung wurde am 05.12.2026 im Bundesgesetzblatt veröffentlicht und tritt am 06.12.2025 in Kraft.

BGH
Urteil vom 08.10.2025
IV ZR 161/24
BGB §§ 242, 270 Abs. 3

Der BGH hat entschieden, dass eine Forderung nicht erölischt, wenn bei einer "Man-in-the-Middle"-Attacke die Bankverbindung auf einer Rechnung manipuliert wird und der Schuldner auf das falsche Konto überweist.

Leitsatz des BGH:
Die Gefahr des Verlusts bei einer Geldüberweisung geht bei einem unwahrscheinlichen Kausalverlauf (hier: Fälschung einer Kontobezeichnung durch einen unbekannten Dritten) nicht nach dem Rechtsgedanken des § 270 Abs. 3 BGB i.V.m. § 242 BGB auf den Gläubiger über.

BGH, Urteil vom 8. Oktober 2025 - IV ZR 161/24 - OLG Köln - LG Köln

Den Volltext der Entcheidung finden Sie hier:

Nunmehr liegt der Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung - Stand 25.07.25 vor.

Aus dem Entwurf:
A. Problem und Ziel

Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastruktur, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor eine Vielzahl von Herausforderungen gestellt. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit gegenüber externen, vielfach nicht steuerbaren Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zur Entsorgung von Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung gerade der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund gestiegenen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen. 2024 bestätigte sich die Erfahrung der Vorjahre, dass geopolitische und zwischenstaatliche Konflikte oftmals mit einer ganzen Bandbreite an Phänomenen im Cyberraum einhergehen: Desinformation, Hacktivismus, Spionage und Sabotage waren sowohl im russischen Angriffskrieg gegen die Ukraine als auch in der Folge des Terrorangriffs der Hamas auf Israel zu beobachten. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-SabotageAngriffen im Rahmen des Krieges. Zudem haben Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch in Folge der Zeitenwende zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind Teil des unternehmerischen Alltags geworden. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland und den Binnenmarkt der Europäischen Union insgesamt robust und leistungs- und funktionsfähig zu halten.

Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.

Dieser Entwurf steht im Kontext der Bestrebungen der Europäischen Union und ihrer Mitgliedstaaten zur Erhöhung der Wirtschaftssicherheit und Verbesserung der Resilienz als Antwort auf neue geopolitische Rahmenbedingungen. Mit der am 20. Juni 2023 veröffentlichten Europäischen Strategie für wirtschaftliche Sicherheit identifiziert die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft.

Dieser Entwurf steht außerdem im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.

B. Lösung, Nutzen

Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz auf den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:

– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.

– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.

– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.

– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.

– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.

– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.

– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.

Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro, im Jahr 2023 bei 205,9 Milliarden Euro und im Jahr 2024 bei 266,6 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigte. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.

Den vollständigen Entwurf finden Sie hier:

LG Koblenz
Urteil vom 26.03.2025
8 O 271/22

Das LG Koblenz hat sich in diesem Verfahren mit einem etwaigen Mitverschulden eines Unternehmens bei einem Hackerangriff auf dessen E-Mail-Account und Manipulation der Bankverbindung in den von ihm versandten Rechnungen befasst.

Die Pressemitteilung des Gerichts:
Muss ein Werkunternehmer sich Zahlungen seines Kunden auf das Konto eines Betrügers anrechnen lassen, wenn dieser seinen E-Mail Account hackt und gegenüber dem Kunden manipuliert, so dass er Zahlungen auf ein Fremdkonto leistet? Diese Frage hatte das Landgericht Koblenz zu entscheiden.

Sachverhalt:

Die Parteien streiten über die Zahlung von Werklohn für Zaunbauarbeiten auf dem Grundstück des Beklagten in B., die durch die Firma des Klägers ausgeführt worden sind. Die Parteien vereinbarten die Ausführung von Zaunbauarbeiten zu einem Pauschalpreis in Höhe von 11.000,00 € einschließlich Umsatzsteuer. Der Kläger stellte dem Beklagten die Arbeiten unter dem 09.07.2022 in Rechnung. Die Rechnung weist die Kontoverbindung des Klägers aus. Die Parteien kommunizierten im Rahmen der Auftragsabwicklung sowohl per e-Mail als auch per WhatsApp. Am 15.07.2022 übersandte der Beklagte dem Kläger per WhatsApp einen Screenshot einer Überweisung über einen Betrag in Höhe von 6.000,00 €. Der Screenshot weist eine IBAN aus, die nicht diejenige des Klägers ist und den Namen des Begünstigten als Ronald Serge B. Am 17.07.2022 übersandte der Beklagte dem Kläger einen weiteren Screenshot einer Überweisung auf das gleiche Konto über einen Betrag von 5.000,00 €. Im Folgenden konnte der Kläger auf seinem Konto keinen Zahlungseingang feststellen und erkundigte sich dementsprechend bei dem Beklagten. Am 20.07.2022 teilte der Kläger dem Beklagten mit, dass es sich bei dem auf den Screenshots ausgewiesenen Konto nicht um sein Bankkonto handele. Er verfolgt mit seinem Klagebegehren weiterhin die Zahlung des Werklohns von 11.000 €.

Der Beklagte behauptet, unter dem 09.07.2022 von der e-Mail-Adresse des Klägers eine e-Mail mit der Rechnung wie Anlage K 1 im Anhang erhalten zu haben. Am 11.07.2022 habe er um 11:03 Uhr eine e-Mail von diesem Account erhalten, in der ihm sinngemäß mitgeteilt wurde, den Rechnungsbetrag noch nicht anzuweisen, da sich die Bankverbindung geändert habe. Man werde ihm die richtige Bankverbindung zusenden, sobald er den Erhalt der Nachricht bestätige. Unter dem 15.07.2022 um 9:28 Uhr habe der Beklagte sodann eine weitere e-Mail erhalten, in der ihm die auf den Screenshots ersichtliche Bankverbindung mitgeteilt worden sei und auf die er gezahlt habe. Hätte der Kläger die Screenshots sogleich überprüft, wäre es der Bank möglich gewesen, die veranlassten Zahlungen wieder rückgängig zu machen.

Die Entscheidung:

Die 8. Zivilkammer des Landgerichts Koblenz hat der Klage in einem Umfang 8.250 € (75 %) stattgegeben und im Übrigen (25%) abgewiesen.

Der Kläger habe nach wie vor einen Anspruch auf Zahlung aufgrund des zwischen den Parteien geschlossenen Werkvertrages, denn der Beklagte könne sich vorliegend nicht mit Erfolg darauf berufen, dass er seine Schuld bereits durch Zahlung erfüllt habe. Allein der Umstand, dass die entsprechende Mitteilung des Kontos vorliegend mutmaßlich von dem e-Mail-Account des Klägers versandt worden ist, genüge insofern nicht um eine Vermutung dahingehend aufzustellen, dass die e-Mail auch tatsächlich von dem Kläger stammt oder mit dessen Einverständnis verschickt wurde. Indes sei allgemein bekannt, dass e-Mail-Accounts immer wieder unbefugt von Dritten gehackt werden und sich diese im Anschluss der entsprechenden e-Mail-Adresse bemächtigten. Den Parteien, die sich darauf einigen, ihre Korrespondenz über e-Mail zu führen, sei daher bekannt, dass es sich dabei um einen unsicheren und damit fälschungsanfälligen Kommunikationsweg handele. Dieses Risiko nähmen die Parteien damit, zum Zwecke der Vereinfachung ihrer Geschäftsbeziehungen, bewusst in Kauf.

Der Beklagte könne indes erfolgreich mit einem eigenen gegen den Kläger bestehenden Schadensersatzanspruch teilweise aufrechnen. Ein solcher Anspruch folge aus Art. 82 DSGVO (Datenschutzgrundverordnung). Danach sei der Kläger als Unternehmer verpflichtet, sensible Daten gegen Datenschutzverletzungen zu sichern. Zu diesen Daten gehörten sowohl die in der Rechnung enthaltenen personenbezogenen Angaben des Beklagten, als auch seine e-Mail-Adresse. Eine solche Absicherung habe der Kläger nicht vorgenommen.

Der Beklagte müsse sich aber ein erhebliches Mitverschulden anrechnen lassen. Vor dem oben aufgezeigten Hintergrund wäre es auch an dem Beklagten gewesen, kritisch zu hinterfragen, ob die ihm per e-Mail übersandten Kontodaten tatsächlich von dem Kläger stammen, zumal eine Bankverbindung mit einem vollkommen fremden Zahlungsempfänger mitgeteilt wurde. Spätestens in diesem Moment hätte der Beklagte sich bei dem Kläger rückversichern müssen. Der Beklagte könne sich nicht mit Erfolg darauf berufen, dem Kläger per WhatsApp Screenshots der von ihm getätigten Überweisungen geschickt zu haben. Zwar hätte auch anhand dieser Screenshots der Kläger bei sorgfältigerer Durchsicht erkennen können, dass die Zahlung an einen falschen Empfänger getätigt worden ist, eine entsprechende Prüfungspflicht obliege ihm allerdings nicht, das Risiko der Zahlung liege vielmehr beim Beklagten. Erschwerend trete hinzu, dass der Beklagte die Screenshots lediglich per WhatsApp übersandt habe. Dabei handelt es sich indes in der Regel um kurze Nachrichten, die unmittelbar auf dem Mobilgerät eingehen und dafür konzipiert seien, dort auch direkt gelesen zu werden. Es sei daher damit zu rechnen, dass sie auch in einer Situation zur Kenntnis genommen werden können, in der der Fokus nicht primär auf dem Schriftverkehr liege und die eine sorgfältige Prüfung - etwa den Abgleich von Zahlen - gar nicht ermögliche.

Mit Blick auf die zuvor gemachten Ausführungen sei deshalb ein überwiegendes Mitverschulden beim Beklagten zu sehen, was eine Quotelung des Schadens 25 : 75 zu Lasten des Beklagten rechtfertige. Mit Blick auf sein überwiegendes Mitverschulden steht ihm daher lediglich ein Anspruch auf Ersatz von 25 % seines Schadens gegen den Kläger zu, so dass er lediglich in Höhe eines Betrages von 2.750,00 € mit Erfolg aufrechnen könne.

Auszug aus dem Bürgerlichen Gesetzbuch

§ 631 Vertragstypische Pflichten beim Werkvertrag
(1) Durch den Werkvertrag wird der Unternehmer zur Herstellung des versprochenen Werkes, der Besteller zur Entrichtung der vereinbarten Vergütung verpflichtet.
(2) Gegenstand des Werkvertrags kann sowohl die Herstellung oder Veränderung einer Sache als auch ein anderer durch Arbeit oder Dienstleistung herbeizuführender Erfolg sein.

§ 254 Mitverschulden
(1) Hat bei der Entstehung des Schadens ein Verschulden des Beschädigten mitgewirkt, so hängt die Verpflichtung zum Ersatz sowie der Umfang des zu leistenden Ersatzes von den Umständen, insbesondere davon ab, inwieweit der Schaden vorwiegend von dem einen oder dem anderen Teil verursacht worden ist.
……

§ 270 Zahlungsort
(1) Geld hat der Schuldner im Zweifel auf seine Gefahr und seine Kosten dem Gläubiger an dessen Wohnsitz zu übermitteln.

Das BMI hat einen aktualisierten Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung - Stand 26.05.2025 (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) - Stand 26.05.2025 vorgelegt.

OLG Schleswig-Holstein
Urteil vom 18.12.2024
12 U 9/24

Das OLG Schleswig-Holstein hat entschieden, dass Unternehmen E-Mail-Rechnungen mit Ende-zu-Ende-Verschlüsselung versenden müssen. Andernfalls kann bei einem Man-in-the-Middle-Angriff ein Schadensersatzanspruch aus Art. 82 DSGVO bestehen.

Das Gericht hat zum Glück die Revision zugelassen, so dass der BGH hoffentlich die Gelegenheit erhält, diese völlig praxisuntaugliche Entscheidung zu korrigieren.

Aus den Entscheidungsgründen:
2. Anders als das Landgericht meint, steht der Beklagten allerdings ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung des streitgegenständlichen Betrags zu, den die Beklagte der Klagforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten kann.

a) Ein solcher Anspruch resultiert vorliegend jedenfalls aus Art. 82 DSGVO.

Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z.B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Als Datenschutzverletzungen werden versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten definiert. Um solche Sicherheitsvorfälle zu vermeiden, werden Unternehmen dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. Nach Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (...) Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Art. 82 Abs. 1 DSGVO eröffnet einen direkten eigenen deliktischen Schadensersatzanspruch mit Verschuldensvermutung, wobei der Verantwortliche nach Abs. 3 den Entlastungsbeweis führen kann.

Dass die Beklagte sich nicht ausdrücklich auf Art. 82 Abs. 1 DSGVO berufen hat, hindert eine Anwendbarkeit nicht, denn die Subsumtion des unterbreiteten Sachverhalts obliegt allein dem Gericht. Insoweit hat die Beklagte alle erforderlichen Voraussetzungen für einen solchen Schadensersatzanspruch vorgetragen.

aa) Der Anwendungsbereich der DSGVO ist in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet.

Gemäß Art. 2 Abs. 1 DSGVO gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Personenbezogene Daten sind Daten, über die sich ein konkreter Personenbezug herstellen lässt. Demnach geht es um Daten, die konkreten Personen zuzuordnen sind. Die in der streitgegenständlichen Email als Anhang enthaltenen Angaben zur Beklagten (Name, Anschrift, Kunde der Klägerin, offene Rechnung über eine Werkleistung) sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Die Versendung der Rechnung mit den enthaltenen Daten per E-Mail an die Beklagte über den streitverkündeten Zeugen A. stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar ("Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung"). Daran ändert sich auch nichts dadurch, dass nicht die personenbezogenen Daten der Beklagten, sondern die Kontoverbindung der Klägerin durch einen Dritten unbefugt manipuliert wurde, denn ohne den gleichzeitigen unbefugten Zugriff auf die Daten der Beklagten wäre diese durch die abgewandelte, an die Email angehängte Rechnung nicht dazu veranlasst worden, auf ein falsches Bankkonto zu zahlen.

Das sog. Haushaltsprivileg des Art. 2 Abs. 2 lit. c DSGVO, wonach die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten findet, greift nicht, da die Verarbeitung vorliegend durch ein Unternehmen im Rahmen des geschäftlichen Betriebs stattgefunden hat.

Die Beklagte ist für den geltend gemachten Anspruch aktivlegitimiert. Denn anspruchsberechtigt ist nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist. Die Klägerin ist als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO passivlegitimiert im Sinne von Art. 82 Abs. 1 DSGVO.

bb) Im Übrigen hat Art. 82 Abs. 2 DSGVO - der die in Art. 82 Abs. 1 DSGVO grundsätzlich normierte Haftungsregelung präzisiert - drei Voraussetzungen für die Entstehung eines Schadensersatzanspruchs, nämlich

- erstens eine Verarbeitung personenbezogener Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 UnterAbs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 1 und 2 DSGVO unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO,

- zweitens einen der betroffenen Person entstandenen Schaden und

- drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden

(vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 58; EuGH, Urteil v. 04.05.2023 – C-300/21 -, juris Rn. 36).

(1) Vorliegend hat nach Ansicht des Senats die Klägerin - anders als das Landgericht meint – im Zuge der Verarbeitung der personenbezogenen Daten der Beklagen bei Versand der streitgegenständlichen Email mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.

(aa) Ein Verstoß gegen die Vorschriften der Datenschutzgrundverordnung kann in diesem Zusammenhang nicht schon allein deswegen angenommen werden, weil – was unstreitig ist – ein unbefugter Zugriff auf personenbezogene Daten durch Dritte im Sinne von Art. 4 Nr. 10 DSGVO stattgefunden hat. Denn dies allein reicht nach der Rechtsprechung des Europäischen Gerichtshofs nicht aus, um gleichzeitig davon auszugehen, dass die technischen und organisatorischen Maßnahmen des für die Verarbeitung Verantwortlichen nicht "geeignet" im Sinne von Art. 24 und 32 DSGVO waren, vgl. EuGH, Urteil v. 25.01.2024 - C-687/21 -, juris Rn. 45; EuGH, Urteil v. 14.12.2023 - C-340/21, juris Rn. 22ff., 31-39).

(bb) Umgekehrt ist nach der Rechtsprechung des Europäischen Gerichtshofs der Verantwortliche aber auch nicht gem. Art. 82 Abs. 3 DSGVO von seiner nach Art. 82 Abs. 1 und 2 DSGVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens allein deswegen befreit, weil dieser Schaden die Folge eines unbefugten Zugangs zu personenbezogenen Daten durch einen Dritten ist (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 65ff., 74).

(cc) Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen (vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 40Ff; ebenso EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 48ff., 57). Das ist der Klägerin vorliegend nicht gelungen, da der Senat die Transportverschlüsselung, die sie beim Versand der streitgegenständlichen Email – von der Beklagten bestritten – verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält. Es kann damit auch dahinstehen, ob eine solche Transportverschlüsselung tatsächlich erfolgt ist. Das von der Klägerin zum Beweis dafür und für die Frage, ob eine Transportverschlüsselung dem üblichen Sicherungsmaß entspricht oder sogar darüber hinausgeht, angebotene Sachverständigengutachten ist insoweit nicht einzuholen.

(aaa) Der Senat verkennt dabei nicht, dass es konkrete gesetzliche Anforderungen an eine Verschlüsselung von Emails nicht gibt.

Auch in der Datenschutzgrundverordnung ist eine Verschlüsselung nicht zwingend vorgeschrieben. Sie wird jedoch mehrfach im Text der Verordnung erwähnt, jedes Mal als Empfehlung. In Artikel 32 heißt es, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken und der Schwere der Folgen für die Rechte und Freiheiten natürlicher Personen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen müssen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wozu unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten gehören. Da die DSGVO die Verschlüsselung jedoch nicht zwingend vorschreibt, bietet sie keine Klarheit darüber, wann die Verschlüsselung verwendet werden sollte und welche Standards dabei angewendet werden müssen.

Nach der „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“, die von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder entwickelt wurde und die Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DSGVO zum Ziel hat, sind ausgehend vom Stand der Technik, den typischen Implementierungskosten und deren Verhältnis zu den Risiken einer Übermittlung personenbezogener Daten per E-Mail Anforderungen an die Maßnahmen, die Verantwortliche und Auftragsverarbeiter zur ausreichenden Minderung der Risiken zu treffen haben, zu bestimmen. Die Verantwortlichen und Auftragsverarbeiter sind verpflichtet, die Besonderheiten ihrer Verarbeitungen, darunter insbesondere den Umfang, die Umstände und die Zwecke der vorgesehenen Übermittlungsvorgänge zu berücksichtigen, die ggf. in abweichenden Anforderungen resultieren können (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf).

Danach muss es im Ausgangspunkt heute jedem Unternehmen, das Daten seiner privaten Kunden computertechnisch verarbeitet, bewusst sein, dass der Schutz dieser Daten hohe Priorität – auch beim Versenden von Emails - genießt. Es ist daher zur Überzeugung des Senats auch verpflichtet, diesen Schutz durch entsprechende Maßnahmen so weit wie möglich zu gewährleisten.

Der Europäische Gerichtshof hat die Anforderungen des Art. 32 DSGVO dahingehend ausgelegt, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen vor den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbunden Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 40ff., 47).

(bbb) Tastet man sich an die Frage einer „geeigneten“ Verschlüsselung „von unten“ heran, ist es nach Ansicht des Senats für einen Geschäftsbetrieb wie den der Klägerin ausgeschlossen, geschäftliche Emails mit personenbezogenen Daten völlig ohne jede Verschlüsselung zu versenden.

Nach einer Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu aktuell möglichen und gebräuchlichen Verschlüsselungsmethoden kommen für den Email-Versand die folgenden Verfahren in Betracht:

„Bei E-Mail-Verschlüsselung gibt es grundsätzlich zwei verschiedene Arten: die Punkt-zu-Punkt- beziehungsweise Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung.

Wo der entscheidende Unterschied liegt, wird im Folgenden erklärt:

Transportverschlüsselung

Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird inzwischen von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. E-Mails werden beim Versand allerdings über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.

Internetkriminelle könnten einen "Man-in-the-Middle-Angriff" durchführen, der auf diese Punkte ausgerichtet ist. Bei diesem Angriff platziert sich ein Angreifer "in der Mitte" der Kommunikation zwischen zwei Kommunikationspartnerinnen oder -partnern und kann ohne deren Wissen Daten (z.B. E-Mails) abfangen, kopieren oder verändern.

Ende-zu-Ende-Verschlüsselung

Zwar ist eine Transportverschlüsselung einer unverschlüsselten Kommunikation vorzuziehen, doch gerade bei sensiblen oder persönlichen Inhalten empfiehlt es sich, auf den Einsatz einer Ende-zu-Ende-Verschlüsselung Wert zu legen. Bisher gestaltete sich der Einsatz dieser Kryptografietechnik noch als mühsam. Anwenderinnen und Anwender müssen bei der Ende-zu-Ende-Verschlüsselung oft selbst aktiv werden und zusätzliche Plugins in den meisten E-Mail-Clients aktivieren, um die Technologie nutzen zu können. Eine weitere Hürde ist der Austausch der öffentlichen Schlüssel. Allerdings ist dies unter anderem mit einem vom Bundesamt für Sicherheit in der Informationstechnik entwickelten Protokoll richtungsweisend vereinfacht und so Anwenderinnen und Anwendern zugänglicher gemacht worden.“

(https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationenund-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschlu esselung/e-mail-verschluesselung_node.html)

In der bereits zitierten Orientierungshilfe der Datenschutzkonferenz (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf) heißt es weiter zu dem von einem Verarbeiter danach zu verlangenden Schutzniveau, dass sowohl End-to-End-Verschlüsselung als auch Transportverschlüsselung für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten mindern. Daher müssten Verantwortliche beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen. Der durchgreifendste Schutz der Vertraulichkeit der Inhaltsdaten werde durch End-to-End-Verschlüsselung erreicht. End-to-End-Verschlüsselung schütze nicht nur den Transportweg, sondern auch ruhende Daten; der Einsatz von Transportverschlüsselung biete einen Basis-Schutz und stelle eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Die Verantwortlichen müssten die Risiken sorgfältig einschätzen, die mit dem Bruch der Vertraulichkeit und Integrität von E-Mail-Nachrichten verbunden seien, die sie versendeten oder gezielt empfingen.

(ccc) Nach Ansicht des Senats ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.

Soweit in der Orientierungshilfe der Datenschutzkonferenz zur Einzelfallentscheidung darauf abgestellt wird, dass in Verarbeitungssituationen mit normalen Risiken bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht wird, zeigt der zu entscheidende Fall nach Ansicht des Senats deutlich, dass hier keine „Verarbeitungssituation mit normalen Risiken“ vorliegt. Er ist zwar anders gelagert als die üblicherweise für die Annahme eines hohen Risikos herangezogenen Emails z.B. mit Arztbriefen oder Rechtsanwaltsschreiben im Anhang, die vor allem wegen des hohen Umfangs und der Intensität der persönlichen Daten besonders schutzwürdig sein sollen. Bei der hier streitgegenständlichen Email mit der Rechnung der Klägerin im Anhang sind die persönlichen Daten der Beklagten als Privatkundin wie Name und Adresse und die Tatsache, dass die Beklagte einen Werkvertrag abgeschlossen hat, nicht in dem Maße tiefgreifend persönlich. Der Zugriff durch einen unbefugten Dritten darauf führte aber im konkreten Fall in Verbindung mit der ebenfalls „gehackten“ und unberechtigt veränderten Kontoverbindung der Klägerin dazu, dass die Beklagte auf ein falsches Konto gezahlt hat und ‒ wie die Ausführungen unter 1. zeigen ‒ den Werklohn nunmehr erneut zahlen soll, so dass ihr ein massiver finanzieller Schaden von über 15.000,-- € entstanden ist. Dass Kunden von Unternehmen bei einem Datenhacking solche Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per Email immanent ist, von der Klägerin bei ihrer Planung zur Emailsicherheit erkannt werden musste und bei ihren Überlegungen zu Schutzmaßnahmen beim Versand von Rechnungen per Email mit einzubeziehen war. Anders, als das Landgericht meint, kommt es darauf, dass bei der Klägerin bislang ein Hackerangriff noch nicht vorgekommen war, nicht an. Die stetig wachsende Gefahr von Hackerangriffen auf Unternehmen ist allgemein bekannt und die hohe Schadensträchtigkeit des Versands von Rechnungen per Email verlangt von einem Unternehmen wie der Klägerin eine entsprechende Voraussicht und ein entsprechendes proaktives Handeln.

Der Senat verkennt dabei nicht, dass die hier für einen Email-Versand mit angehängter Rechnung verlangte End-to-End-Verschlüsselung für ein Unternehmen wie die Klägerin einen gewissen technischen Aufwand erfordert, der sich möglicherweise nicht darauf beschränkt, in dem benutzten Standard-Email-Programm lediglich eine Aktivierung vorzunehmen. Vielmehr dürfte hier vielfach eine technische Beratung und der Einsatz von gesonderten Programmen erforderlich sein. Dies ändert aber nach Ansicht des Senats die an die Verschlüsselung von geschäftlichen Emails mit angehängten Rechnungen zu stellenden Anforderungen nicht. Angesichts der allgemein bekannten und vielfältig veröffentlichten Hackermöglichkeiten, des gerichtsbekannt rasanten Anstiegs von Hackerangriffen und den im Einzelfall weitreichenden finanziellen Folgen für den einzelnen Kunden, dessen Rechnung verfälscht wird und der selbst keinen Einfluss auf die Verarbeitung seiner Daten hat, ist daher auch von einem kleineren Unternehmen – wie der Klägerin als mittelständischem Handwerksbetrieb – zu erwarten, dass es sich zum Schutz der Daten seiner Kunden zu computertechnischen Sicherheitsanforderungen informiert und sich diesbezüglich beraten, fortbilden und mit der notwendigen Software ausstatten lässt. Die Klägerin kann sich nicht darauf berufen, dass es sich bei der End-to-End-Verschlüsselung im Geschäftsleben um eine unübliche Verschlüsselung handeln würde, die von ihr nicht verlangt werden könne. Vielmehr beschäftigen sich vielfache, allgemein zugängliche Empfehlungen und Informationen aktuell mit den entsprechenden Möglichkeiten, so auch die Information des BSI zur Praxis der Emailverschlüsselung unter Nennung verschiedener Email-Tools, die eine solche Verschlüsselung ermöglichen (s. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dass einer End-to-End-Verschlüsselung im konkreten Fall technische, organisatorische und/oder finanzielle Hindernisse im Weg gestanden hätten, hat die Klägerin nach entsprechendem Hinweis des Senats in der mündlichen Verhandlung, welche Schutzmaßnahmen er erwarte, nicht vorgetragen.

Soweit dieser zu erwartende hohe Standard zum Schutz der personenbezogenen Daten beim Versand von Emails mit angehängten Rechnungen nicht sichergestellt werden kann, bleibt für ein Unternehmen – ohne dass hierfür größerer technischer und/oder finanzieller Aufwand betrieben werden müsste – wie eh und je der Versand von Rechnungen per Post das Mittel der Wahl.

(dd) Die Klägerin trifft auch ein Verschulden.

Nach der Rechtsprechung des Europäischen Gerichtshofs ist einer kombinierten Analyse der verschiedenen Bestimmungen von Art. 82 DSGVO zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (EuGH, Urteil v. 21.12.2023 - C-667/21, juris Rn. 92 ff.).

Gemäß Art. 82 Abs. 3 DSGVO wird der Anspruchsverpflichtete von der Haftung – hier für unzureichende Schutzmaßnahmen in Bezug auf die Versendung personenbezogener Daten - befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist dabei das Verschulden im Sinne der deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung (LG Mainz, Urteil vom 12.11.2021 - 3 O 12/20, juris Rn. 73; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 50. Edition, Stand 01.08.2024, Art. 82 DSGVO Rn. 17 und 17.2; Geissler/Ströbel, in: NJW 2019, 3414 (3415)). Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Um die Feststellung treffen zu können, der Verantwortliche sei "in keinerlei Hinsicht" verantwortlich, hat dieser nachzuweisen, dass er alle Sorgfaltspflichten erfüllt hat und ihm damit nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, a.a.O., Art. 82 DSGVO Rn. 18). Diesen Nachweis hat die Klägerin nicht zu führen vermocht. Ihr ist insofern – wie oben dargestellt - der Vorwurf eines unzureichenden Schutzniveaus für den Versand von Emails mit personenbezogenen Daten – insbesondere mit der hier angehängten Rechnung - zu machen.

Die Klägerin kann sich auch nicht darauf berufen, dass sie sich ausreichend hätte beraten lassen und auch ihr IT-Berater, der Zeuge C., im Rahmen zu treffender Schutzmaßnahmen lediglich eine Transportverschlüsselung vorgeschlagen habe. Da es keine gesetzlich festgelegten Schutzmaßnahmen gibt, obliegt es letztlich allein der Klägerin zu entscheiden, wie sie ihren Email-Versand mit personenbezogenen Daten sichern will und muss. Ihr IT-Berater konnte insofern lediglich die Optionen nennen; die Entscheidung hatte sie zu treffen. Diesbezüglich hat sie zumindest fahrlässig nicht auf ein ausreichendes Schutzniveau geachtet.

(2) Der Beklagten ist unstreitig ein Schaden entstanden, der in dem – wie oben dargestellt – mangels Erfüllung erneut zu zahlenden Werklohn liegt.

(3) Dieser von der Beklagten geltend gemachte Schaden ist auch eine kausale Folge des Verstoßes gegen die Datenschutzgrundverordnung.

Da nach den obigen Darlegungen die Klägerin bei Versand ihrer Email mit der angehängten Rechnung kein ausreichendes Schutzniveau zur Sicherung der personenbezogenen Daten der Beklagten eingehalten hat, obliegt ihr der Beweis dafür, dass der der Beklagten entstandene Schaden nicht durch ihr Fehlverhalten entstanden ist (EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 72). Dies ist ihr vorliegend nicht gelungen.

Unstreitig ist bei der von der Klägerin (maximal) verwendeten Transportverschlüsselung ein Zugriff durch unbefugte Dritte auf ihrem Computer, ihrem Server oder auf weiteren Servern auf dem Weg zum streitverkündeten Zeugen A. ohne Weiteres möglich; die Email ist definitionsgemäß nur auf dem Transport verschlüsselt. Einen Beweis dafür, dass im konkreten Fall der Zugriff nicht im Bereich der Klägerin, sondern erst im Bereich der Beklagten bzw. des Zeugen A. erfolgt ist, hat die Klägerin, der – wie ausgeführt und auch in der mündlichen Verhandlung erörtert – die Darlegungs- und Beweislast dafür obliegt, nicht angeboten. Die Einholung eines Sachverständigengutachtens von Amts wegen scheidet aus, da es sich mangels Anknüpfungstatsachen um einen Ausforschungsbeweis handeln würde. Auch die bei dem Zeugen A. vorhandenen Schutzmaßnahmen sind aus diesem Grund nicht weiter aufzuklären.

Im Übrigen wäre der Klägerin – selbst wenn der unbefugte Zugriff im Bereich des Zeugen A. und nicht schon im Bereich der Klägerin erfolgt sein sollte – weiterhin anzulasten, dass sie einen solchen Zugriff durch den von ihr gewählten Versand der Daten per Email lediglich mit Transportverschlüsselung und damit mit unzureichender Sicherung erst ermöglicht hätte, denn auch bei einem von der Klägerin angesprochenen Datenhacking im Bereich des Zeugen A. wäre die streitgegenständliche Email samt Anhang aufgrund der End-to-End-Verschlüsseluung wegen des eigenen erforderlichen Schlüssels bei Einhaltung entsprechender Standards auch auf dem Server/Computer des Zeugen jedenfalls ganz weitgehend geschützt gewesen.

(4) Ein Mitverschulden an der Schadensentstehung gem. § 254 BGB trifft die Beklagte nicht.

Anders als das Landgericht meint, oblag der Beklagten bzw. dem Zeugen A., dessen Verschulden ihr möglicherweise gem. § 278 BGB zuzurechnen wäre, nach Ansicht des Senats keine genaue Überprüfung der letztlich auf dem Computer des Zeugen verfälscht, da hinsichtlich der Kontoverbindung manipuliert vorliegenden Rechnung. Die von der Klägerin aufgezeigten Unterschiede zu früheren (Abschlags-)Rechnungen betreffend die Farbe, Angaben zum Geschäftsführer, fehlenden QR-Code der Bankverbindung und fehlendes Siegel stellen geringfügige äußere Abweichungen dar, die weder der Beklagten noch dem Zeugen A. bei oberflächlicher Betrachtung auffallen mussten. Etwas anderes folgt auch nicht daraus, dass die Beklagte erkannt hat, dass die Kontoverbindung verändert war. Angesichts der Tatsache, dass im Geschäftsleben die Kontoverbindung eines Unternehmens aus diversen Gründen geändert wird, kann einer privaten Kundin wie der Beklagten nicht vorgeworfen werden, dass sie vor der Überweisung des offenen Werklohns keine Rücksprache mit der Klägerin genommen hat.

Den Volltext der Entscheidung finden Sie hier:

VG Köln
Urteil vom 23.01.2025
15 K 4797/23

Das VG Köln hat entschieden, dass der Ex-BSI-Präsident Schönbohm keinen Anspruch auf Schadensersatz wegen Mobbings bzw. Verletzung der Fürsorgepflicht gegen die Bundesrepublik Deutschland hat.

Die Pressemitteilung des Gerichts:
VG Köln: Ex-BSI-Präsident Schönbohm unterliegt mit Klage gegen Bundesinnenministerium wegen Mobbings

Dem früheren Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm steht kein Anspruch auf Schadensersatz wegen Mobbings oder einer sonstigen Verletzung der Fürsorgepflicht durch seinen Dienstherrn zu. Dies hat das Verwaltungsgericht Köln mit einem heute verkündeten Urteil entschieden und damit eine Klage Schönbohms gegen die Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat (BMI), abgewiesen.

Der Kläger war seit 2016 Präsident des BSI. In der Sendung ZDF Magazin Royale vom 07.10.2022 wurde der Eindruck erweckt, er habe Verbindungen zu russischen Geheimdienstkreisen. Die Sendung löste ein erhebliches mediales Echo im Hinblick auf die Stellung des Klägers als Leiter einer großen sicherheitsrelevanten Bundesbehörde aus. Mitte Oktober 2022 stellte der Kläger einen Antrag auf Einleitung eines Disziplinarverfahrens, um die aus seiner Sicht haltlosen Vorwürfe gegen seine Person aufklären zu lassen. Kurz darauf untersagte das BMI dem Kläger vorläufig die Führung seiner Dienstgeschäfte. Gegen diese Maßnahme beantragte er beim Verwaltungsgericht Köln die Gewährung von Eilrechtsschutz. Noch während des Gerichtsverfahrens versetzte das BMI den Kläger zum BMI und übertrug ihm zum 01.01.2023 die Funktion des Präsidenten der Bundesakademie für öffentliche Verwaltung (BAköV). Damit erledigte sich das Verbot der Führung der Dienstgeschäfte. Die disziplinarrechtlichen Vorermittlungen stellte das BMI Ende April 2023 ein. Ende August 2023 erhob der Kläger Klage, mit der er Schadensersatz in Höhe von 5.000 Euro forderte, wobei er sich die Geltendmachung eines weitergehenden Schadens vorbehielt. Zur Begründung trug er im Wesentlichen vor, die Beklagte habe die ihm gegenüber bestehende Fürsorgepflicht in mehrfacher Hinsicht verletzt, um zielgerichtet seine Absetzung als Präsident des BSI zu betreiben. Das Verhalten sei angesichts der gesamten Umstände sogar als Mobbing zu bezeichnen.

Dem ist das Gericht nicht gefolgt. In der mündlichen Urteilsbegründung hat es ausgeführt: Zwar spricht vieles dafür, dass die Beklagte ihrer Fürsorgepflicht nicht hinreichend nachgekommen ist, indem sie sich nicht stärker schützend vor den Kläger gestellt hat. Es lässt sich aber nicht feststellen, dass gerade daraus eine für den geltend gemachten Anspruch erforderliche schwerwiegende Verletzung der Persönlichkeitsrechte des Klägers resultierte. Dieser stand aufgrund der ZDF-Sendung im Fokus der öffentlichen Auseinandersetzung mit den damit verbundenen negativen Folgen für seine Person. Dafür, dass das vom Kläger beanstandete Verhalten den Tatbestand des Mobbings erfüllt, gibt es ebenfalls keine hinreichenden Anhaltspunkte. Unter Mobbing ist nach gefestigter Rechtsprechung ein systematisches Anfeinden, Schikanieren und Diskriminieren zu verstehen. Dass derlei gegenüber dem Kläger stattgefunden hätte, lässt sich bei einer zusammenfassenden Würdigung der Ereignisse nicht feststellen. Ob das Verbot der Führung der Dienstgeschäfte rechtmäßig war, muss insoweit nicht entschieden werden. Es war jedenfalls nicht fernliegend, in der damaligen Situation mit dieser Personalmaßnahme auf die öffentliche Debatte zu reagieren. Dass das Verbot gezielt eingesetzt worden wäre, um den Kläger dauerhaft von seiner Position als Präsident des BSI zu entbinden, ist nicht erkennbar. Dagegen spricht auch, dass der Kläger als Beamter ohnehin jederzeit aus dienstlichen Gründen versetzbar war. Ein Beamter hat kein Recht auf Beibehaltung seines bisherigen Aufgabenbereichs. Die Versetzung zur BAköV noch während des laufenden Eilverfahrens vor dem Verwaltungsgericht Köln spricht vor diesem Hintergrund ebenfalls nicht für ein systematisches Anfeinden des Klägers, zumal das Amt des Präsidenten der BAköV der Besoldungsgruppe B 8 der Bundesbesoldungsordnung und damit derselben Besoldungsgruppe zugeordnet ist, wie auch das Amt des Präsidenten des BSI. In der Besoldung kommt zugleich zum Ausdruck, dass das Amt des Präsidenten des BSI mit einer exponierten Stellung und einer hohen Verantwortung verbunden ist. In einer solchen Position muss ein Beamter umso eher damit rechnen, in eine auch politisch aufgeladene Auseinandersetzung zu geraten. Dass die Stelle des Präsidenten der BAköV erst kurz vor der Versetzung des Klägers und, wie dieser geltend macht, unter Missbrauch von Steuergeldern von B 6 nach B 8 angehoben worden ist, mag angreifbar sein, lässt für eine Schädigungsabsicht aber ebenfalls nichts Hinreichendes erkennen. Im Ergebnis nichts anderes ergibt sich aus dem Umstand, dass die disziplinarrechtlichen Vorermittlungen gegen den Kläger erst Ende April 2023 eingestellt worden sind, obwohl die Fachebene des BMI bereits im Februar für eine Einstellung votiert hatte.

Soweit der Kläger neben dem Ausgleich immaterieller Nachteile den Ersatz materieller Schäden begehrt, hat die Klage ebenfalls keinen Erfolg. Die Kosten für seine anwaltliche Vertretung in dem verwaltungsgerichtlichen Eilverfahren sind nur in der Höhe der gesetzlich bestimmten Gebühren erstattungsfähig. In dieser Höhe sind die Anwaltskosten des Klägers aber bereits erstattet worden. Im Hinblick auf Kosten für eine vorgerichtliche Beratung fehlte es zum damaligen Zeitpunkt an einer Fürsorgepflichtverletzung, die einen solchen Anspruch begründen könnte.

Gegen das Urteil kann der Kläger einen Antrag auf Zulassung der Berufung stellen, über den das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Münster entscheiden würde.

Aktenzeichen: 15 K 4797/23