Skip to content

EuG: EU-Kommission muss Nutzer der Website der Konferenz zur Zukunft Europas Schadensersatz für datenschutzwidrige Übermittlung personenbezogener Daten in USA zahlen

EuG
Urteil vom 08.01.2025
T-354/22
Bindl ./. EU-Kommission


Das EuG hat entschieden, dass die EU-Kommission einem Nutzer der Website der Konferenz zur Zukunft Europas Schadensersatz für die datenschutzwidrige Übermittlung personenbezogener Daten in die USA zahlen muss.

Die Pressemitteilung des Gerichts_
Das Gericht verurteilt die Kommission, einem Besucher der Website der Konferenz zur Zukunft Europas, die von der Kommission betrieben wird, den durch die Übermittlung personenbezogener Daten an die Vereinigten Staaten entstandenen Schaden zu ersetzen

Mit dem auf der Website von „EU Login“ angezeigten Hyperlink „Sign in with Facebook“ hat die Kommission die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Betroffenen an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt wurde.

Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der Konferenz zur Zukunft Europas1 besucht habe. Er hatte sich über diese Website zu der Veranstaltung „GoGreen“ angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte.

Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IPAdresse sowie Browser- und Geräteinformationen.

Ihn betreffende personenbezogene Daten seien zum einen an das amerikanische Unternehmen Amazon Web Services übermittelt worden, das das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website laufe, und zum anderen an das amerikanische Unternehmen Meta Platforms, Inc., nämlich bei seiner Anmeldung zu der Veranstaltung „GoGreen“ über sein Facebook-Konto.

Die Vereinigten Staaten hätten aber kein angemessenes Schutzniveau. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt. Die Kommission habe keine geeigneten Schutzmaßnahmen genannt, die die Datenübermittlungen zu rechtfertigen vermöchten.

Der Betroffene beantragt als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen entstanden sei, 400 Euro. Er beantragt ferner, die Übermittlungen der ihn betreffenden personenbezogenen Daten für nichtig zu erklären, festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu einem Antrag auf Auskunft Stellung zu nehmen, und die Kommission zu verurteilen, an ihn als Ersatz des immateriellen Schadens, der ihm durch die Verletzung seines Auskunftsrechts entstanden sei, 800 Euro zu zahlen.

Das Gericht weist den Antrag auf Nichtigerklärung als unzulässig ab und stellt fest, dass der Rechtsstreit, was den Antrag auf Feststellung der Untätigkeit angeht, in der Hauptsache erledigt ist. Es weist auch den auf die Verletzung des Auskunftsrechts gestützten Schadensersatzantrag zurück, weil der behauptete immaterielle Schaden nicht vorliegt.

Den auf die streitigen Datenübermittlungen gestützten Schadensersatzantrag weist das Gericht zurück, soweit es um die Datenübermittlungen über „Amazon CloudFront“ geht.

Das Gericht stellt insoweit fest, dass bei einer der streitigen Verbindungen die Daten nicht an die Vereinigten Staaten, sondern nach dem Prinzip der Proximität an einen Server4 in München übermittelt worden sind. Nach dem Vertrag, den die Kommission mit dem Betreiber von „Amazon CloudFront“, der luxemburgischen Gesellschaft Amazon Web Services EMEA SARL, geschlossen hat, musste Letztere gewährleisten, dass die Daten im Ruhezustand und bei der Übermittlung in Europa bleiben.

Bei einer anderen Verbindung ist die Weiterleitung an Server in den Vereinigten Staaten, die durch den RoutingMechanismus von „Amazon CloudFront“ erfolgte, auf das Verhalten des Betroffenen selbst zurückzuführen. Dieser gab sich nämlich mit Hilfe einer technischen Einstellung für jemanden aus, der sich in den Vereinigten Staaten befand.

Soweit es um Anmeldung des Betroffenen zu der Veranstaltung „GoGreen“ geht, stellt das Gericht hingegen fest, dass die Kommission mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Betroffenen an Facebook geschaffen hat. Die IPAdresse des Betroffenen gehört zu den personenbezogenen Daten. Sie wurde mit dem Hyperlink „Sign in with Facebook“ an die Meta Platforms, Inc., eine Gesellschaft mit Sitz in den Vereinigten Staaten, übermittelt. Diese Datenübermittlung ist der Kommission zuzurechnen.

Zum Zeitpunkt dieser Datenübermittlung (30. März 2022) gab es aber keinen Beschluss, mit dem festgestellt worden wäre, dass die Vereinigten Staaten für die personenbezogenen Daten der Unionsbürger ein angemessenes Schutzniveau geboten hätten. Die Kommission hat auch nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gegeben hätte, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel5 . Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ galten schlicht und einfach die Nutzungsbedingungen von Facebook.

Mithin hat die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ, eine Einrichtung oder eine Stelle der Union nicht beachtet.

Das Gericht stellt fest, dass die Kommission einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, begangen hat. Der Betroffene hat auch einen immateriellen Schaden erlitten. Er befindet sich nämlich in einer Lage, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Außerdem besteht zwischen dem von der Kommission begangenen Verstoß und dem immateriellen Schaden, der dem Betroffenen entstanden ist, ein hinreichend unmittelbarer Kausalzusammenhang.

Da die Voraussetzungen der außervertraglichen Haftung der Union erfüllt sind, verurteilt das Gericht die Kommission, an den Betroffenen, wie von ihm beantragt, 400 Euro zu zahlen.

Den Volltext der Entscheidung finden Sie hier:


Irische Datenschutzbehörde: Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck

Die Irische Datenschutzbehörde hate eine Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck verhängt.

Die Pressmeitteilung der Irischen Datenschutzbehörde:
Irish Data Protection Commission fines Meta €251 Million

The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018.

This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform. The breach was remedied by MPIL and its US parent company shortly after its discovery.

The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million.

The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.

The DPC’s final decisions record the following findings of infringement of the GDPR:

Decision 1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million.
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million.
Decision 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million.
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million.
DPC Deputy Commissioner Graham Doyle commented:

“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.”

The DPC will publish the full decision and further related information in due course.


LG Hagen: Cyberversicherung greift nicht bei Schäden durch betrügerische E-Mails da es an einer IT-Sicherheitsverletzung fehlt

LG Hagen
Urteil vom 15.10.2024
9 O 258/23

Das LG Hagen hat entschieden, dass eine Cyberversicherung nicht bei Schäden durch betrügerische E-Mails greift, da es in solchen Fällen an der dafür notwendigen IT-Sicherheitsverletzung fehlt.

Aus den Entscheidungsgründen:
Die Klägerin hat keinen Anspruch auf Zahlung in Höhe von 85.000,00 € gegen die Beklagte aus dem zwischen den Parteien bestehenden Versicherungsvertrag über eine Cyber-Versicherung in Verbindung mit § 1 VVG.

1. Es liegt kein Versicherungsfall vor, weil es an einer Informationssicherheitsverletzung im Sinne des Teil A Ziff. 4 der AVB fehlt. Weder liegt eine Verletzung datenschutzrechtlicher Bestimmungen (Teil A Ziffer 3.1 AVB) noch eine Vertraulichkeitsverletzung (Teil A Ziffer 3.2 AVB) noch eine Netzwerksicherheitsverletzung (Teil A Ziffer 3.3 AVB) vor.

a) Eine Verletzung datenschutzrechtlicher Bestimmungen liegt schon deshalb nicht vor, weil die Klägerin als Versicherungsnehmerin keinen Verstoß gegen datenschutzrechtliche Bestimmungen begangen hat.

Für eine Vertraulichkeitsverletzung im Sinne der AVB fehlt es an einer Verletzung der Vertraulichkeit Daten Dritter durch die Klägerin.

b) Auch eine Netzwerksicherheitsverletzung liegt nicht vor. Dies ergibt die Auslegung der zugrundeliegenden AVB, hier Teil A Ziffer 3.3. der AVB.

Allgemeine Versicherungsbedingungen sind so auszulegen, wie ein durchschnittlicher, um Verständnis bemühter Versicherungsnehmer sie bei verständiger Würdigung, aufmerksamer Durchsicht und unter Berücksichtigung des erkennbaren Sinnzusammenhangs versteht. Dabei kommt es auf die Verständnismöglichkeiten eines Versicherungsnehmers ohne versicherungsrechtliche Spezialkenntnisse und damit auch auf seine Interessen an. In erster Linie ist vom Bedingungswortlaut auszugehen. Der mit dem Bedingungswerk verfolgte Zweck und der Sinnzusammenhang der Klauseln sind zusätzlich zu berücksichtigen, soweit sie für den Versicherungsnehmer erkennbar sind (BGH r+s 2020, 163 Rn. 9, beck-online m.w.N.).

Ein solcher Versicherungsnehmer wird die entsprechende Klausel dahin verstehen, dass es zu einer Verletzung der Sicherheit des Netzwerkes der Klägerin gekommen sein muss und eine derartige Verletzung bei dem Empfang von E-Mails, die von einem anderen als dem in den E-Mails angegebenen Absender stammen, nicht gegeben ist. Allein der Umstand, dass aufgrund der unautorisierten Verwendung des E-Mail Exchange Servers des Lieferanten möglicherweise eine nicht zu erkennende Täuschung vorgelegen hat, stellt keinen direkten Angriff auf die Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme der Klägerin dar. Die informationstechnischen Systeme – auch das E-Mail System der Klägerin – und letztlich auch das Netzwerk der Klägerin funktionierten wie vorgesehen. Mails konnten auf normale Weise und unverändert empfangen und gesendet werden. Betroffen von dem Cyber-Angriff war lediglich ein Netzwerk eines Dritten.

Berücksichtigt werden müssen bei einer Auslegung der Versicherungsbedingungen weiterhin die – nicht abschließenden – Regelbeispiele aus Teil A Ziff. 3.3.1., in denen es auszugsweise heißt:

Keine Netzwerksicherheitsverletzung liegt vor, wenn

(3) Beeinträchtigungen der oben genannten Art in Netzwerken Dritter stattfinden, die Auswirkungen jedoch auch beim Versicherungsnehmer auftreten (z. B. man-in-the-middle Angriff bei Zulieferer);

(4) kein Eingriff in das Netzwerk des Versicherungsnehmers stattgefunden hat (z. B. fake president Angriffe mittels nachgebildeter E-Mail-Adresse).

Aus diesen Regelbeispielen kann ein durchschnittlicher und verständiger Versicherungsnehmer erkennen, dass der vorliegende Fall, der zu den eben genannten Regelbeispielen Ähnlichkeiten aufweist, nicht zu den versicherten Risiken zählt. Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die nicht vorliegt. Beeinträchtigungen bei Dritten sind keine Netzwerksicherheitsverletzung bei der Klägerin. In Abgrenzung zu einem Cyber-Angriff handelt es sich im vorliegenden Fall einer dem „normalen“ Betrug nahen Tat.

Auch im Übrigen ist dieses Verständnis der AVB sachgerecht. Denn im vorliegenden Fall ist die Klägerin auf eine betrügerische E-Mail hereingefallen. Dieses Risiko ist heute allgegenwärtig und nichts, was notwendigerweise durch eine Cyber-Versicherung abzusichern wäre. Andernfalls wäre jedweder E-Mail-Verkehr mit Spam- oder Phishing-Mails eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer. Das versicherte Risiko würde sich auf den weltweiten E-Mail-Verkehr ausweiten.

c) Auch liegt kein Versicherungsfall nach der Vertrauensschadenversicherung nach Teil D. Ziff. 1 AVB vor. Der Versicherungsfall ist ergänzend in der Vertrauensschadenversicherung zunächst unter Teil D. Ziff.1 wie folgt definiert:

Versicherungsschutz besteht für den Versicherungsnehmer wegen eines Versicherungsfalles im Sinne von Teil A Ziffer 4, wenn die Informationssicherheitsverletzung vorsätzlich und rechtswidrig erfolgte und nach den gesetzlichen Bestimmungen über unerlaubte Handlungen zum Schadenersatz verpflichtet und der Versicherungsnehmer unmittelbar dadurch einen Vermögensschaden erleidet. Es ist dabei unerheblich, ob die Informationssicherheitsverletzung von Mitarbeitern des Versicherungsnehmers oder von Dritten erfolgte.

Weiterhin besteht Versicherungsschutz auch für einen eingetretenen „Täuschungsschaden“ (Teil D. Ziff. 1.2.):

Versicherungsschutz besteht für den mittelbar entstandenen Vermögensschaden, wenn ein Mitarbeiter des Versicherungsnehmers auf Grund einer Informationssicherheitsverletzung gemäß Teil A Ziffer 3, welche einen Straftatbestand im Sinne des Strafgesetzbuches erfüllt, dazu verleitet wurde, Zahlungen / Überweisungen zu veranlassen.

Zwar umfasst der Versicherungsschutz des Teil D der AVB dem Wortlaut und auch dem Sinn und Zweck nach betrügerische Handlungen die das Vertrauen des Versicherungsnehmers ausnutzen. Die Vertrauensschadenversicherung bietet – je nach Ausgestaltung – gerade auch Versicherungsschutz für vorsätzliche Eingriffe in informationsverarbeitende Systeme des Versicherungsnehmers, durch eine Vertrauensperson oder Dritte, und dadurch unmittelbar verursachte Schäden (Schilbach, r+s 2024, 581 Rn. 49, beck-online).

Da allerdings immer auch eine Informationssicherheitsverletzung erforderlich ist, ist der Anwendungsbereich der Vertrauensschadenversicherung nicht eröffnet.

2. Entgegen der Auffassung der Klägerin sind die streitgegenständlichen AVB in den relevanten Auszügen nicht gem. § 307 BGB unwirksam.

a) Zum einen stellen sowohl Teil A. Ziff. 4 AVB, als auch Teil D Ziff. 1.2 Leistungsbeschreibungen des versicherten Risikos dar und unterliegen gem. § 307 Abs. 3 S. 1 BGB nicht der Inhaltskontrolle im Hinblick auf das Kriterium der unangemessenen Benachteiligung. Die Formulierungen in Teil A Ziff. 3 und Teil D Ziff. 1 AVB stellen keine Einschränkungen des zuvor festgelegten Versicherungsumfangs dar, sondern legen erst die vom Versicherer geschuldete Leistung fest (vgl. auch BGH NJW 2023, 208).

b) Die Leistungsbeschreibungen verstoßen auch nicht gegen das – sich gem. § 307 Abs. 3 S. 2 BGB auch auf das Hauptleistungsversprechen erstreckende (vgl. BGH VersR 2014, 625) – Transparenzgebot des § 307 Abs. 1 S. 2 BGB.

aa) Nach dem Transparenzgebot ist der Verwender allgemeiner Geschäftsbedingungen gehalten, Rechte und Pflichten seines Vertragspartners möglichst klar und durchschaubar darzustellen. Dabei kommt es nicht nur darauf an, dass die Klausel in ihrer Formulierung für den durchschnittlichen Versicherungsnehmer verständlich ist. Vielmehr gebieten Treu und Glauben, dass die Klausel die wirtschaftlichen Nachteile und Belastungen soweit erkennen lässt, wie dies nach den Umständen gefordert werden kann. Dem Versicherungsnehmer soll bereits im Zeitpunkt des Vertragsschlusses vor Augen geführt werden, in welchem Umfang er Versicherungsschutz erlangt und welche Umstände seinen Versicherungsschutz gefährden. Nur dann kann er die Entscheidung treffen, ob er den angebotenen Versicherungsschutz nimmt oder nicht (vgl. BGH NJW 2023, 208). Maßgebend sind die Verständnismöglichkeiten des typischerweise bei Verträgen der geregelten Art zu erwartenden Durchschnittskunden. Insoweit gilt kein anderer Maßstab als derjenige, der auch bei der Auslegung von Versicherungsbedingungen zu beachten ist (BGH aaO.).

bb) Nach diesen Grundsätzen sind die Leistungsbeschreibungen der AVB nicht intransparent. Denn für eine Cyber-Versicherung ist typisch und für den Durchschnittskunden erkennbar, dass nur das Risiko der eigenen IT-Systeme geschützt werden soll und nicht weltweite Hacker-Angriffe, die in mittelbarer Weise Auswirkungen gegenüber dem Versicherungsnehmer haben können. Andernfalls wäre bereits die Teilnahme am E-Mail-Verkehr an sich ein großes Risiko, da niemand vor – auch gut gefälschten – Phishing Mails geschützt ist. Die Versicherungsbedingungen sind insoweit klar und verständlich formuliert, dass im Rahmen der Netzwerksicherheitsverletzung gerade eine Beeinträchtigung der eigenen Netzwerke vorliegen muss.


Den Volltext der Entscheidung finden Sie hier:

OLG Celle: Massenverfahren gegen Musikstreamingdienst wegen DSGVO-Verstößen - Jeweils Streitwert von 300 EURO für Unterlassungsanspruch, Feststellungsanspruch und Auskunftsanspruch

OLG Celle
Beschluss vom 10.06.2024
5 W 46/24

Das OLG Celle hat entschieden, dass in Massenverfahren gegen einen Musikstreamingdienst wegen DSGVO-Verstößen aufgrund eines Datenlecks für den Unterlassungsanspruch, Feststellungsanspruch und Auskunftsanspruch ein Streitwert in Höhe von jeweils 300 EURO angemessen ist.

Aus den Entscheidungsgründen:
Die Prozessbevollmächtigte des Klägers wendet sich mit ihrer Beschwerde gegen die Streitwertfestsetzung des Landgerichts in erster Instanz, die sie als zu niedrig erachtet.

In dem dem vorliegenden Beschwerdeverfahren zugrunde liegenden Hauptsacheverfahren hat der Kläger gegen die Beklagte Ansprüche aus der DSGVO geltend gemacht. Die Beklagte - die D. - betreibt einen internationalen Musikstreaming-Dienst gleichen Namens, der in über 180 Ländern verfügbar und unter der Internetadresse www.D..com erreichbar ist. Das wesentliche Angebot besteht aus einem Streaming-Angebot, zusammengesetzt aus Musik, Hörbüchern, Hörspielen und Podcasts. Die Parteien haben über einen sogenannten Cyber- / Hackerangriff auf Kundendaten der Beklagten gestritten, wobei dessen zeitliche Abfolge, die Reaktion der Beklagten sowie das Ausmaß des Angriffs zwischen den Parteien streitig gewesen sind.

Der Kläger hat mit seiner Klage als Ausgleich für behauptete Datenschutzverstöße die Zahlung eines immateriellen Schadensersatzes in Höhe von 1.000 Euro, einen Feststellungsantrag betreffend die Ersatzpflicht der Beklagten hinsichtlich zukünftiger materieller Schäden, einen Unterlassungsantrag sowie einen Auskunftsantrag geltend gemacht. Das Landgericht hat der Klage (nur) zum Teil stattgegeben. Dagegen hat der Kläger Berufung eingelegt. Unter Ziffer IV. der Entscheidungsgründe des angefochtenen Urteils hat das Landgericht den Streitwert für das erstinstanzliche Verfahren auf 3.500 Euro festgesetzt. Den Zahlungsantrag hat es dabei mit 1.000 Euro bemessen, den Antrag auf Unterlassung mit 2.000 Euro, sowie die Auskunfts- und Feststellungsanträge jeweils mit 250 Euro. Dagegen richtet sich die Streitwertbeschwerde der Prozessbevollmächtigten des Klägers, mit der diese eine Heraufsetzung des Streitwerts auf "mindestens 6.000 Euro" begehrt, wobei sie den Schadensersatzanspruch mit 1.000 Euro bemisst, den Unterlassungsanspruch mit 4.000 Euro, den Feststellungsanspruch mit 500 Euro, und den Auskunftsanspruch mit 500 Euro.

II.

Die Beschwerde der Prozessbevollmächtigten des Klägers ist nach §§ 68 Abs. 1 GKG, 32 Abs. 2 Satz 1 RVG statthaft und auch im Übrigen zulässig. Im Ergebnis hat die Beschwerde keinen Erfolg. Im Gegenteil war der Streitwert für den Rechtsstreit in erster Instanz von Amts wegen herabzusetzen.

1. Der Senat ist nicht daran gehindert, den vom Landgericht festgesetzten Streitwert entgegen dem Ziel der Beschwerde, diesen heraufzusetzen, von Amts wegen herabzusetzen. Der im Zivilprozessrecht sonst fast ausnahmslos geltende Grundsatz des Verbots der "reformatio in peius" gilt im Streitwertrecht grundsätzlich nicht (einhellige Auffassung, vgl. z. B. Senat, Beschluss vom 29. April 2024 - 5 W 19/24, juris Rn. 7; OLG Stuttgart, Beschluss vom 9. Oktober 2019 - 6 W 47/19, juris Rn. 26; OLG Karlsruhe, Beschluss vom 4. Januar 2018 - 12 W 37/17, juris Rn. 17; OLG Düsseldorf, Beschluss vom 16. August 2010 - 24 W 9/10, juris Rn. 10).

2. Der Senat setzt den Streitwert für das erstinstanzliche Verfahren auf 1.900 Euro fest. Dabei entfällt auf den Zahlungsantrag ein Wert von 1.000 Euro sowie auf die restlichen drei Unterlassungs-, Feststellungs- und Auskunftsanträge jeweils ein Wert von 300 Euro.

a) Der Senat hat unter dem 4. April 2024 in den Verfahren 5 U 31/23 und 5 U 77/23 (jeweils bei juris) Urteile in Verfahren erlassen, die beide zum Gegenstand hatten, dass die jeweiligen Klageparteien Ansprüche aus der DSGVO auf Schadensersatz, Unterlassung, Feststellung und Auskunft aus Anlass eines sogenannten "Datenscraping-Vorfalls" bei der dortigen Beklagten, die Betreiberin eines weltweit agierenden sozialen Netzwerks ist, geltend machten. Die Prozessbevollmächtigten der dortigen Klageparteien - die identisch sind mit der hiesigen Beschwerdeführerin - haben bundesweit eine höhere vierstellige Anzahl von Verfahren dieser Art gegen die dortige Beklagte bei deutschen Gerichten anhängig gemacht. Zu dem Streitwert in diesen Verfahren hat der Senat beispielsweise in dem Verfahren 5 U 31/23 folgende Ausführungen gemacht (a.a.O., juris Rn. 113 ff.):

"Den Streitwert sowohl für das Berufungs- wie für das erstinstanzliche Verfahren setzt der Senat - jeweils unter Abänderung des Senatsbeschlusses vom 23. Januar 2024 - auf 2.100,00 € fest. Davon entfallen auf die einzelnen Klageanträge folgende Werte:

- Klageantrag zu Ziffer 1. (Zahlung): 1.000,00 € EUR

- Klageantrag zu 2. (Feststellung): 300,00 €

- Klageantrag zu Ziffer 3. (Unterlassung): 500,00 € (insoweit meint der Senat, dass hier ein einheitlicher Streitwert zu bilden ist, entsprechend der - aus Sicht des Senats vergleichbaren - Rechtslage bei mehreren ehrkränkenden Äußerungen, bspw. in einem Buch oder einem anderen Schriftstück, deren Unterlassung mit der Klage begehrt wird: vgl. dazu Kurpart in Schneider/Kurpart, Streitwertkommentar, 15. Aufl., Rn. 2.1006, Seite 328)

- Klageantrag zu Ziffer 4. (Auskunft): 300,00 €.

Das begründet sich wie folgt:

1. Der Senat hatte bislang in ständiger Rechtsprechung den Streitwert in Verfahren wie dem vorliegenden auf 7.500,00 € festgesetzt und dabei den Zahlungsantrag nach Ziffer 1. der Klageschrift mit 1.000,00 €, den Feststellungsantrag nach Ziffer 2. der Klageschrift mit 1.000,00 €, den Unterlassungsantrag nach Ziffer 3. der Klageschrift mit 5.000,00 € und den Auskunftsantrag nach Ziffer 4. der Klageschrift mit 500,00 € bemessen. Nachdem der Senat zwischenzeitlich einen "Gesamtüberblick" über die Verfahren der vorliegenden Art bekommen sowie Kenntnis von insbesondere den Entscheidungen des OLG Hamm (Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 271 ff.) sowie des OLG Köln (Urteil vom 7. Dezember 2023 - 15 U 33/23, juris Rn. 89) erlangt hat, hat der Senat seine bisherige Rechtsprechung überdacht und neu bewertet. Danach ergibt sich Folgendes:

a) Die bisherige Bewertung des Unterlassungsanspruches mit 5.000,00 € durch den Senat in Verfahren wie dem vorliegenden hatte seine Grundlage in den Vorschriften der §§ 48 Abs. 2 GKG, 23 Abs. 3 Satz 2 RVG, 36 Abs. 3 GNotKG. Den Wert des Feststellungs- sowie des Auskunftsanspruchs hatte der Senat nach § 3 ZPO geschätzt.

b) Indes hat sich für den Senat zwischenzeitlich gezeigt, dass von einem eigenen Interesse der jeweiligen Klagepartei (§ 3 ZPO) in Verfahren wie dem vorliegenden an dem Unterlassungs-, dem Auskunfts- sowie dem Feststellunganspruch im Regelfall nicht oder allenfalls in einem geringen Maße ausgegangen werden kann. Das zeigte sich für den Senat instruktiv im Rahmen der Anhörung des Klägers in dem vorliegenden Verfahren. Danach gefragt, welche "Zielrichtung" seine Klageanträge auf Unterlassung, Feststellung und Auskunft haben bzw. welches Interesse für ihn an der Durchsetzung dieser Anträge besteht, war der - ansonsten überaus eloquente - Kläger nicht in der Lage, substanzielle Antworten zu geben, er blieb mit seinen diesbezüglichen Ausführungen vielmehr im Vagen und hat sich auf "Allgemeinplätze" verlegt (wie z.B. in Bezug auf den Unterlassungsantrag: "Ich möchte natürlich nicht, dass das noch mal passiert"). Mindestens zum Teil hatte der Senat von dem Kläger auch den Eindruck, dass diesem noch nicht einmal bewusst war, welchen Inhalt diese Klageanträge haben.

Der Senat hat insgesamt von dem hiesigen Kläger den Eindruck gewonnen, dass ein eigenes Interesse an diesen drei Klageanträgen - also neben dem Zahlungsantrag - für ihn nicht besteht. Im Gegenteil hat der Senat zwischenzeitlich - und zwar ausdrücklich nicht nur aufgrund des persönlichen Eindrucks des Klägers in dem vorliegenden Verfahren, der zwangsläufig nur für die Wertfestsetzung in dem vorliegenden Verfahren von Relevanz sein kann - aufgrund des Gesamteindrucks der Verfahren der vorliegenden Art den Eindruck gewonnen, dass diese jeweiligen drei Klageanträge in den massenhaften Verfahren, die die Prozessbevollmächtigten des hiesigen Klägers zwischenzeitlich in ganz Deutschland anhängig gemacht haben, mindestens in erster Linie der Anreicherung des Prozessstoffs ohne ein wesentliches eigenes materielles Interesse der jeweiligen Klagepartei dienen. Damit im Einklang steht im Übrigen der Umstand, dass die Prozessbevollmächtigten des Klägers in Verfahren wie dem vorliegenden bei dem Senat Streitwertbeschwerden im eigenen Namen (§ 32 Abs. 2 RVG) in einer inzwischen dreistelligen Anzahl erhoben haben, jeweils mit dem Ziel, den Streitwert heraufzusetzen.

Nach Abwägung der vorgenannten sowie aller weiteren Umstände des vorliegenden Falles bewertet der Senat mithin den Feststellungsantrag sowie den Auskunftsantrag jeweils auf der niedrigsten Wertstufe, also jeweils mit 300,00 € und den Unterlassungsantrag mit 500 €. Dies gilt für das vorliegende Verfahren und wird der Senat nunmehr - sofern nicht im Einzelfall konkrete Umstände eine andere Entscheidung bedingen - in Verfahren der vorliegenden Art regelmäßig praktizieren."

b) Diese Grundsätze wendet der Senat entsprechend auch für das vorliegende Verfahren an. Zwar sind bei dem Senat bislang von Seiten der Beschwerdeführerin - bei der es sich um dieselbe Rechtsanwaltskanzlei handelt, die auch die jeweiligen Klageparteien in den vorstehend genannten Senatsverfahren 5 U 31/23 und 5 U 77/23 vertreten hat - als Prozessbevollmächtigte von Klageparteien noch keine Verfahren in größerer Anzahl gegen die hiesige Beklagte anhängig gemacht worden. Indes hat der Senat aufgrund anderer Umstände des vorliegenden Falles davon auszugehen, dass auch die dem vorliegenden Beschwerdeverfahren zugrundeliegende Klage Teil eines "Massenverfahrens" ist, dass die Beschwerdeführerin für eine Vielzahl von Klageparteien gegen die hiesige Beklagte führt. Auf Seite 14 der Klageerwiderung vom 12. Januar 2024 (Bl. 135 R d. A.) hat die Beklagte nämlich auszugsweise Folgendes vorgetragen:

"Der formelhafte, pauschale Vortrag der Klagepartei hat keinen individuellen Bezug zur Person der Klagepartei. Die außergerichtliche Darstellung ihrer angeblichen persönlichen Betroffenheit entspricht wortlautidentisch einer Vielzahl von mehr als 2.200 (!) Anspruchsschreiben, welche die Kanzlei des Prozessbevollmächtigten der Klagepartei für andere Mandanten an die Beklagte versendet hat. Auch der Vortrag in der Klageschrift entspricht zu großen Teilen wortlautidentisch anderen Klagen, die die Prozessbevollmächtigten der Klagepartei bei anderen deutschen Gerichten eingereicht hat."

Dieses Tatsachenvorbringen der Beklagten ist erstinstanzlich unstreitig geblieben, weil der Kläger hierauf in der Folgezeit bis zum Schluss der mündlichen Verhandlung in erster Instanz inhaltlich nicht eingegangen ist (vgl. insbesondere erster Absatz auf Seite 7 des Schriftsatzes vom 6. Februar 2024, Bl. 158 d. A.). Der Senat hat das vorgenannte Tatsachenvorbringen der Beklagten daher seiner Entscheidung in dem vorliegenden Beschwerdeverfahren zugrunde zu legen (§ 138 Abs. 3 ZPO).

In diesen - unbestrittenen - Tatsachenvortrag der Beklagten fügt sich im Übrigen noch der - im Sinne von § 291 ZPO offenkundige (vgl. dazu, dass hierzu auch Informationen aus dem Internet gehören: BGH, Beschluss vom 7. Mai 2020 - IX ZB 84/19, juris Rn. 15) - Umstand ein, dass die Beschwerdeführerin auf der Startseite ihres Internet-Auftritts Kundenakquise in dem hier erörterten tatsächlichen Zusammenhang betreibt ("D.-Datenleck Steht Ihnen Schadensersatz zu? 14 Millionen betroffene Deutsche! Jetzt checken"). Des Weiteren hat die Beschwerdeführerin auf YouTube ein Video hochgeladen, mit dem sie Kundenakquise in Bezug auf den im hiesigen Klageverfahren streitgegenständlichen Vorfall betreibt.

Nach dieser Maßgabe gilt aber die Argumentation, die der Senat in seinen beiden vorgenannten Entscheidungen vom 4. April 2024 in den Verfahren 5 U 31/23 und 5 U 77/23 (sowie - bezogen auf die hiesige Beklagte - auch schon in seinem Beschluss vom 29. April 2024 - 5 W 19/24, juris) gemacht hat, entsprechend auch in dem vorliegenden Verfahren. Auch hier muss der Senat davon ausgehen, dass die Aufnahme der Feststellungs-, Unterlassungs- und Auskunftsanträge in die Klage in erster Linie der "Anreicherung des Prozessstoffs" gedient hat, ohne ein wesentliches eigenes materielles Interesse der hiesigen Klägerin. Demgemäß hat der Senat vorliegend die Feststellungs-, Unterlassungs- und Auskunftsanträge jeweils auf der untersten Wertstufe, nämlich jeweils mit 300 Euro, bemessen. In Bezug auf den Unterlassungsantrag besteht der Unterschied zu der diesbezüglichen Wertfestsetzung in den Verfahren 5 U 31/23 und 5 U 77/23 darin, dass in jenen Verfahren - anders als vorliegend - mit dem jeweiligen Unterlassungsantrag gleich zwei verschiedene Unterlassungsbegehren verfolgt worden sind.


Den Volltext der Entscheidung finden Sie hier:

LG Kiel: Cyberversicherung muss bei falscher Beantwortung der Risikofragen im Schadensfall nicht zahlen sondern kann den Vertrag wegen arglistiger Täuschung anfechten

LG Kiel
Urteil vom 23.05.2024
5 O 128/21


Das LG Kiel hat entschieden, dass eine Cyberversicherung bei falscher Beantwortung der Risikofragen im Schadensfall nicht zahlen muss, sondern den Vertrag deshalb wegen arglistiger Täuschung anfechten kann.

Aus den Entscheidungsgründen:
Der Klägerin steht gegen die Beklagte kein Anspruch auf Zahlung von Versicherungsleistungen aus dem zwischen den Parteien geschlossenen Versicherungsvertrag zu, da der Vertrag aufgrund der von der Beklagten erklärten Anfechtung wegen arglistiger Täuschung nichtig ist (§§ 20, 22 VVG i.V.m. §§ 123 Abs. 1, 142 Abs. 1 BGB).

Die Beklagte hat mit der Klagerwiderung vom 18.08.2021 und damit noch binnen der Jahresfrist des § 124 BGB die Anfechtung des Vertrages wegen arglistiger Täuschung erklärt.

Die Klägerin hat die Beklagte bei Vertragsschluss über vertragsrelevante Risiken arglistig getäuscht, indem sie nach Überzeugung der Kammer jedenfalls die im Rahmen der Invitatio gestellten Risikofragen zu Ziffer 3) und 4) durch ihren beauftragten Verhandlungsgehilfen, den Zeugen J. falsch beantworten ließ, der seine Angaben im Bewusstsein seiner Unkenntnis ins Blaue hinein machte. Zwischen den Parteien ist unstreitig, dass, wie sich auch aus der von der Klägerin vorgelegten Anlage K 11 ergibt, dem Abschluss des Versicherungsvertrages zunächst eine sogenannte Invitatio vorausgeht, bei der der künftige Versicherungsnehmer, also hier die Klägerin über ihren Makler, nicht nur allgemeine Angaben zu ihrem Unternehmen und den Umfang des gewünschten Versicherungsschutzes über ein Onlineportal eingibt, sondern auch die dort abgefragten Risikofragen entweder mit ja oder nein beantworten muss, um im Anschluss die Invitatio starten zu können, das heißt die Beklagte als Versicherung zur Abgabe eines Angebotes auf Abschluss eines Versicherungsvertrages einzuladen. Es handelt sich also nicht um den von der Klägerseite angeführten Fall einer Täuschung über nicht erfragte Umstände. Unerheblich ist in diesem Zusammenhang, ob die über das Onlineportal gestellten Risikofragen im weiteren Verlauf der Vertragsverhandlung und des Abschlusses des Vertrages auch in Textform gemäß § 126b BGB, wie im Fall des § 19 Abs. 1 VVG gefordert, gestellt worden sind. Eine arglistige Täuschung liegt selbst dann vor, wenn vor dem Vertragsschluss gestellte mündliche Fragen objektiv falsch beantwortet worden sind. Dies gilt damit erst recht, wenn die über ein Onlineportal auf dem Bildschirm sichtbaren Fragen falsch beantwortet werden (OLG Celle VersR 2020, 830; OLG Hamm BeckRS 2019, 37498; Langheid/Wandt- Bußmann Münchener Komm. z. VVG § 22 R. 19; Piontek r+s 2019 S. 1 ff (4)). Anzumerken ist in diesem Zusammenhang jedoch, dass der Zeuge J., der zum Vertragsschluss und den dortigen Angaben vernommen worden ist von sich auch erklärte, dass er die dortigen Angaben und Erklärungen für sich nochmals ausgedruckt habe, da er noch ein Anhänger der Papierform sei, was gegen die Darstellung der Klägerseite spricht, die gestellten Risikofragen hätten vor Vertragsschluss nicht in Textform im Sinne des § 126b BGB vorgelegen.

Jedenfalls die hier gestellten Risikofragen zu Ziffer 3) und 4) wurden bezogen auf den als Speicherplatz genutzten Windows 2003 Rechner, den für den Betrieb des WEB-Shops eingesetzten Windows 2008 SQL-Server und den noch im Auslieferungszustand von 2019 befindlichen Domain-Controller DC09 objektiv falsch beantwortet, so dass dahin gestellt bleiben kann, inwieweit auch weitere Fragen falsch beantwortet worden sind. Die Frage zu 3), ob „alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet“ sind, wurde mit „ja“ beantwortet. Ebenso wurde die Frage zu Ziffer 4) nach der Durchführung verfügbarer Sicherheitsupdates ohne schuldhaftes Zögern und dem Einsatz von Produkten für die Software für Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme usw., für die vom Hersteller Sicherheitsupdates bereitgestellt werden, bejaht. Tatsächlich war unstreitig auf dem Windows 2003 Rechner kein Virenschutzprogramm installiert und Sicherheitsupdates des Herstellers für die Klägerin nicht verfügbar. Das gilt auch für den zum Betrieb des WEB-Shops als Verbindung zum Warenwirtschaftssystem der Klägerin eingesetzten Windows 2008 Rechner. Auch hier war vor dem Vertragsschluss im Januar 2020 das von dem Hersteller bereit gestellte Sicherheitsupdate ausgelaufen. Einen erweiterten Supportvertrag, über den weiterhin Sicherheitsupdates hätten abgerufen werden können, hatte die Klägerin unstreitig für diesen Rechner nicht abgeschlossen. Zudem bestätigte der Zeuge J., dass, wie sich auch aus der von der Beklagten beauftragten forensischen Analyse durch die Diplom-Informatikerin R. ergibt, der Microsoft Windows 2008 R2 Rechner, der als WEB-SQL Server genutzt worden ist, nicht über einen Virenscanner verfügte. Schließlich befand sich auch der Domaincontroller DC 09 noch im Auslieferungszustand von 2019, dass heißt weder waren Sicherheitsupdates und Aktualisierung erfolgt noch ein Virenschutz installiert. Die Fragen zu Ziffer 3) und 4) sind damit objektiv falsch beantwortet worden.

Die Klägerin kann nicht damit gehört werden, dass unter den Begriff des Arbeitsrechners in Frage 3) lediglich die Arbeitsplatzrechner, auf denen ein Virenscanner installiert war, nicht jedoch die im Netzwerk der Klägerin installierten Server, insbesondere nicht der - nach dem Klägervortrag - bei Vertragsschluss in einer demilitarisierten Zone (DMZ) befindliche SQL- Server, erfasst sei.

Nach ständiger Rechtsprechung des Bundesgerichtshofs ist für die Auslegung von allgemeinen Versicherungsbedingungen wie auch für Erklärungen des Versicherers und damit den hier gestellten Risikofragen auf den durchschnittlichen, um Verständnis bemühten Versicherungsnehmer ohne versicherungsrechtliche Spezialkenntnisse abzustellen. In erster Linie ist bei der Auslegung vom Wortlaut auszugehen. Zudem ist der verfolgte Zweck und der Sinnzusammenhang zu berücksichtigen (BGH Urteil vom 23.06.1993 - IV ZR 135/92). Der Versicherungsnehmer, der eine Cyberversicherung zur Absicherung seines betrieblichen IT-Netzwerkes vor Schäden durch Hackerangriffe oder Ähnlichem absichern möchte, wird hierbei ohne weiteres erkennen, dass die vor dem Versicherungsvertragsschluss erfolgende Risikobewertung durch den Versicherer maßgeblich von verfügbaren Schutzmaßnahmen gegen IT-Angriffe von außen, wie installierten Virenschutzprogrammen und vom Hersteller bereitgestellten und auch abgerufenen Sicherheitsupdates abhängt. Gerade wenn die in der Verfügungsgewalt des Versicherungsnehmers stehenden Rechner in einem Netzwerk verbunden sind, ist ohne weiteres ersichtlich, dass die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächsten Glieder. Er wird daher den Begriff des Arbeitsrechners weiter verstehen als den des bloßen Arbeitsplatzrechners und hierunter alle Computersysteme verstehen, die in dem Betrieb Funktionen, sei es als Eingabegerät oder als Server wahrnehmen, weil bereits durch den Zugriff auf einzelne Komponenten mit Malware das gesamte Netzwerk Schaden nehmen kann. Er wird aus der Formulierung in Frage 4), in der nach „durchgeführten“ Sicherheitsupdates gefragt wird, des Weiteren erkennen, dass der Versicherer sich hier nach tatsächlich verfügbaren und von dem Anfragenden genutzte Sicherheitsupdates des Herstellers erkundigt.

Die Klägerin kann auch nicht damit gehört werden, dass ein ausreichender Virenschutz über die mit den Windows 2003 verbundenen mobilen Arbeitsplatzrechner gewährt worden sei oder der Windows 2008 SQL Rechner zum Zeitpunkt des Vertragsschlusses sich in einer sogenannten DMZ befunden habe und es sich hierbei nicht um einen Arbeitsrechner handele. Damit blieben weiterhin die im Netzwerk eingebundenen, als Speicherplatz genutzten Server mit dem Windows 2003 Betriebssystem sowie der WEB-SQL-Server mit dem Windows 2008 System ohne aktuellen Virenschutz und Sicherheitsupdates. Sie waren dennoch, wie der Sachverständige S. im Rahmen der Erörterung in der mündlichen Verhandlung erklärte, über die angeschlossenen Arbeitsplatzrechner mit dem Internet verbunden. Die älteren Rechner verfügten über allgemein bekannte Sicherheitsmängel, wie zum Beispiel das aktive SMB1 Protokoll, die von externen Angreifern zur Kompromittierung des gesamten Netzsystems genutzt werden konnten. Es steht der Klägerin als Versicherungsnehmerin nicht zu, an Stelle des Versicherers und ohne dies offen zu legen, die Risikobewertung selbst vorzunehmen. Dies ist vergleichbar mit dem Fall, in dem im Rahmen einer Berufsunfähigkeits- oder Lebensversicherung die Gesundheitsfrage nach einem Bluthochdruck von dem Versicherungsnehmer verneint wird, weil dieser durch die Einnahmen von Medikamenten gut eingestellt ist. Auch wenn daneben weitere Schutzmaßnahmen vor einem Schadangriff getroffen worden sein sollten, bleibt es dabei, dass die Fragen zu Ziffer 3) und 4) objektiv falsch beantwortet worden sind.

Der Zeuge J. hat die zu Ziffer 3)und 4) gestellten Fragen ins Blaue hinein unrichtig beantwortet und damit arglistig getäuscht.

Die Klägerin hat sich dahingehend eingelassen, dass der Zeuge J. bei der Beantwortung der Risikofragen weder an den Windows 2003 Server und Speicherplatz, noch an den als SQL Server für den Betrieb des WEB-Shops genutzten Windows 2008 Rechner gedacht habe. Auch sei ihm unbekannt gewesen, dass der Domain-Controller DC09 seit März 2019 kein Update oder Virenschutz erhalten hatte und sich noch im Auslieferungszustand befunden habe. Der Zeuge J. bestätigte diesen Vortrag der Klägerin im Rahmen seiner Vernehmung und gab an, er habe sich darauf verlassen, dass die von ihm hierzu beauftragten Mitarbeiter, wie der inzwischen verstorbene Angestellte P. sowie der externe Dienstleister F., die ihnen übertragenen Aufgaben zur Absicherung des Netzwerkes korrekt wahrgenommen hätten. Das überzeugt die Kammer nicht. Hinsichtlich der Falschbeantwortung der Risikofragen zu 3) und 4) zu den oben genannten Rechnern liegt kein Fall der bloß fahrlässigen Unkenntnis vor, sondern der „bewussten Unkenntnis“ in dem Sinne des „na wenn schon“, was den Tatbestand der arglistigen Täuschung erfüllt.

Der Zeuge J. gab im Rahmen seiner Vernehmung an, dass die als Speicherplatz genutzten Rechner mit Windows 2003 Betriebssystem bei Beantwortung der Risikofragen „geflissentlich übersehen“ worden seien. Zu berücksichtigen ist weiter, dass es sich bei den oben genannten drei Rechnersystemen nicht um im Betrieb funktionell untergeordnete Rechner handelte, wie beispielsweise der ebenfalls mit einem Windows 2003 System ausgestattete, nach Angaben des Zeugen J. nicht mehr genutzte, gleichwohl im Netz angeschlossene Fax-Server an dem Standort G.. Vielmehr hatten sowohl die Windows 2003 und 2008 Rechner als auch der Domain Controller 09 entscheidende und zentrale Funktionen im Betrieb der Klägerin, sodass es nicht vorstellbar ist, dass diese Rechner „einfach vergessen“ worden sind. So dienten die Windows 2003 Rechner als zentraler Speicherplatz für Vertragsunterlagen, Rechnungen oder sonstige Dokumente des Unternehmens, waren über die angeschlossenen Arbeitsplatzrechner erreichbar und auf diese Weise mit dem IT-Netz verbunden. Die Rechner wurden, wie es der Zeuge J. angab, als „riesiger USB-Stick“ genutzt.

Ebenso hatte der als WEB-SQL-Server genutzte, mit dem Windows 2008 Betriebssystem ausgestattete Rechner, der schließlich das Einfallstor für den Hackerangriff bot, eine zentrale Rolle im Unternehmen der Klägerin. Er diente zum Betrieb des Herzstückes des Unternehmens, nämlich dem Betrieb des WEB-Shops, indem er eine Verbindung zu dem Warenwirtschaftssystem der Klägerin herstellte. Hierdurch erhielt der bestellende Kunde eine Rückmeldung, inwieweit der von ihm angefragte Artikel auf Lager und verfügbar war. Hierbei war man sich im Unternehmen der Klägerin durchaus der Risiken eines Schadangriffes auf diesen Server bewusst, da dieser, nach ihrem Vortrag, durch eine doppelte Firewall abgesichert gewesen sei und sich in einer sogenannten DMZ befunden habe. Es ist nicht vorstellbar, dass dieser so gesondert gesicherte Server bei den ausdrücklich gestellten Risikofragen nach Software zum Erkennen und Vermeiden von Schadsoftware und Sicherheitsupdates von dem Zeugen J. als Leiter der IT-Abteilung einfach vergessen worden ist.

Schließlich kam auch dem Domain-Controller DC09 eine zentrale Funktion im Unternehmen zu. Der Domain-Controller, der von der Beklagten als „Schatztruhe mit den Schlüsseln zum Königreich“ bezeichnet worden ist, wurde von dem Zeugen J. weniger poetisch als „Telefonbuch des Unternehmens“ bezeichnet. Die Funktion des Domain-Controller sei so wichtig, wie der Zeuge J. weiter anmerkte, dass im Unternehmen deshalb zwei davon zur Verfügung stünden, da bei einem Ausfall eines Domain-Controllers bei der Klägerin praktisch niemand mehr arbeiten könne. Der Domain-Controller ist ein Server zur zentralen Authentifizierung von Computern und Rechner in einem Rechnernetz, also von zentraler Bedeutung für die Funktionsweise des gesamten, 400 Rechner umfassenden Rechnernetzes der Klägerin.

Hinzu kommt, dass, wie der Sachverständige S. im Termin vom 28.02.2024 erläuterte, der Sicherheitszustand des IT-Netzwerkes von dem Zeugen J. vor Beantwortung der Risikofragen relativ leicht durch einen Blick hätte überprüft werden können. So gibt es in der Regel eine zentrale Konsole, über die der Virenschutz verwaltet wird und die nach den Angaben des Sachverständigen eigentlich auch täglich angeschaut werden müsste, um den Sicherheitszustand des IT-Systems zu prüfen. Hierdurch wäre für den Zeugen J. leicht erkennbar gewesen, inwieweit der Virenschutz im Netzwerk vollständig vorliegt und aktualisiert ist und ob hiervon alle Rechner, wie angegeben, erfasst sind. Gleiches gilt für die durchgeführten, vom Hersteller angebotenen Sicherheitsupdates. Diese hätten über das im Betrieb der Klägerin genutzte WSUS-System sofort erfasst werden können und hier wären dann die nicht aktualisierten Windows-Rechner und der Domain-Controller in der Gruppe der Rechner aufgefallen, bei denen kein Update erfolgt war. Eine Kontrolle dieser Systeme hatte der Zeuge J. nach eigenen Angaben nicht vorgenommen, so dass er seine Antworten ins Blaue hinein abgegeben hat. Er hat, jedenfalls nach der ersten Antwort auf die Frage, welche Erkundigungen er vor Beantwortung der Risikofragen eingeholt habe, bekundet, dass er sich heute nicht daran erinnere, bezüglich der Risikofragen Rücksprache mit Herrn P. gehalten zu haben. Er hatte vor Beantwortung der Risikofragen auch keine Systemüberprüfung durchgeführt, obgleich, wie oben geschildert, dies durch einen einfachen Blick möglich gewesen wäre. Die nach seinen Vorgaben dem Mitarbeiter des Maklers, dem Zeugen H., mitgeteilten Antworten auf die Risikofragen waren danach ungeprüft mitgeteilt worden. Der Zeuge J. hielt es daher jedenfalls für möglich, dass die von ihm auf die Risikofragen der Beklagten abgegebenen Antworten falsch waren. Auch Verhaltensweisen, die auf bedingten Vorsatz im Sinne eines „Fürmöglichhalten“ reduziert sind, sind von der Arglist im Sinne des § 123 BGB umfasst. Die Kammer ist nach Wertung aller Gesamtumstände zudem davon überzeugt, dass der Zeuge J. es jedenfalls für möglich hielt, dass die Beklagte durch seine Antworten zum Vertragsschluss bestimmt wird und den Vertrag jedenfalls bei der wahrheitsgemäßen Beantwortung der Fragen diesen nicht oder zu anderen Bedingungen geschlossen hätte.

Das Verhalten des Zeugen J. muss sich die Klägerin zurechnen lassen. Sie hat sich des Zeugen als Verhandlungsgehilfen bei Abschluss des Versicherungsvertrages bezüglich der Beantwortung der Risikofragen bedient. Er ist daher nicht Dritter im Sinne des § 123 Abs. 2 Satz 1 BGB (Münchener Kommentar Langheid/Wandt/Bußmann VVG § 22 Rn. 37).

Schließlich war die Falschbeantwortung der Risikofragen und damit die erfolgte Täuschung auch kausal für den Vertragsschluss. Dies ist bereits dann der Fall, wenn der Vertrag nicht in der erfolgten Weise abgeschlossen worden wäre. Es versteht sich ohne weiteres, dass die Frage der Absicherung des IT-Netzwerkes durch verfügbare Virenscanner oder auch Sicherheitsupdates entscheidend ist für die Frage eines möglichen zukünftigen Schadenseintritts und damit geeignet ist, die Entscheidung der Beklagten zur Übernahme dieses Risikos und zum Abschluss des Versicherungsvertrages zu beeinflussen. Jedenfalls auf die Höhe der zu entrichtenden Prämie hat die Beantwortung der Risikofragen, wie sich aus der eingereichten Anlage K 11 unmittelbar ergibt, Einfluss. Der Eindeckungsprozess erfolgt danach in einzelnen Schritten, wie sie in der Anlage K 11 anhand von Screenshots dargestellt ist. Nach der Eingabe allgemeiner Unternehmensdaten und der Auswahl des Versicherungsschutzes wird zunächst eine sogenannte Indikationsprämie, also eine vorläufige Prämie angegeben. Dann erfolgt unter Schritt 5 die Beantwortung der im Tatbestand dargestellten Risikofragen, indem der Anfragende die neben den Fragen befindlichen Button entweder bei ja oder nein festlegen kann. Im Anschluss erfolgt unter Schritt 6 eine neue Prämienübersicht, in der nun die endgültig ausgewiesene individuelle Prämie angegeben wird. Damit steht fest, dass jedenfalls die Höhe der Versicherungsprämie durch die Falschbeantwortung der Risikofragen beeinflusst wird.

Nach alledem ist der Versicherungsvertrag aufgrund der begründeten Anfechtung des Vertrages wegen arglistiger Täuschung nichtig. Die Beklagte ist zur Erbringung der vereinbarten Versicherungsleistungen nicht verpflichtet. Angesichts der arglistigen Täuschung kommt es auf die Regelung in der Anerkenntnisklausel in der Sondervereinbarung der X-Gruppe nicht an. Die Klage ist daher insgesamt, das heißt auch bezüglich des geltend gemachten Feststellungsantrages und der als Nebenforderungen beantragten vorgerichtlichen Rechtsanwaltskosten abzuweisen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein begründen noch keinen Schadensersatzanspruch aus Art. 82 DSGVO - Nachweis eines immateriellen Schadens erforderlich

EuGH
Urteil vom 11.04.2024
C-741/21


Der EuGH hat entschieden, dass Verstoß gegen Bestimmungen der DSGVO oder Kontrollverlust allein noch keinen Schadensersatzanspruch aus Art. 82 DSGVO begründen. Vielmehr ist der Nachweis eines konkreten immateriellen Schadens erforderlich.

Tenor der Entscheidung:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

2. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Betroffener muss für Schadensersatzanspruch aus Art. 82 DSGVO konkreten materiellen oder immateriellen Schaden nachweisen - Kontrollverlust reicht nicht

EuGH
Urteil vom 25.01.2024
C-687/21
[...] gegen MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen,


Der EuGH hat entschieden, dass ein Betroffener für einen Schadensersatzanspruch aus Art. 82 DSGVO nachweisen muss, dass ein DSGVO-Verstoß einen konkreten materiellen oder immateriellen Schaden verursacht hat. Der bloße Kontrollverlust über personenbezogene Daten reicht nicht. Zudem führt der EuGH aus, dass der Anspruch aus Art. 82 DSGVO kein "Strafschadensersatz" ist.

Tenor der Entscheidung:
1. Die Art. 5, 24, 32 und 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind zusammen betrachtet dahin auszulegen, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die Verordnung 2016/679 erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der Verordnung 2016/679 nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

5. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.

Den Volltext der Entscheidung finden Sie hier:


OLG Hamm: Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung begründet allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO

OLG Hamm
Beschluss vom 21.12.2023
7 U 137/23

Das OLG Hamm hat seine Rechtsansicht bekräftigt, wonach ein Kontrollverlust über personenbezogene Daten bei unrechtmäßiger Datenverarbeitung allein keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO begründet.

Aus den Entscheidungsgründen:
1. Die Berufung hat offensichtlich keine Aussicht auf Erfolg (§ 522 Abs. 2 Satz 1 Nr. 1 ZPO).

Mit Blick auf den vorliegend fehlenden kausalen immateriellen Schaden folgen die Ausführungen im Hinweisbeschluss des Senats der Rechtsprechung des EuGH (Urt. v. 14.12.2023 – C-340/21, BeckRS 2023, 35786 Rn. 84, 85). Danach hat der Kläger als Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachzuweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Dem folgend sieht der Senat somit den Kläger zutreffend in der Pflicht, den Indizienbeweis zum Eintritt eines kausalen immateriellen Schadens zu führen. Indem der Senat sich mit den vom Kläger dargelegten Indizien befasst und diese (hier als nicht den Eintritt eines kausalen immateriellen Schadens tragend) würdigt, setzt der Senat schlicht die weitere Vorgabe des EuGH um; denn danach ist das angerufene nationale Gericht, wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, gehalten zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

2. Die Sache hat auch keine grundsätzliche Bedeutung (§ 522 Abs. 2 Satz 1 Nr. 2 ZPO). Ebenso wenig ist eine Entscheidung des BGH zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung erforderlich (§ 522 Abs. 2 Satz 1 Nr. 3 ZPO); denn die im vorliegenden Rechtsstreit entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des EuGH und des BGH hinreichend geklärt und im Übrigen solche des Einzelfalls.

a) Mit Blick auf das Tatbestandsmerkmal „Eintritt eines kausalen immateriellen Schadens“ im Sinne des Art. 82 Abs. 1 DSGVO bietet der vorliegende Einzelfall keinen Anhaltspunkt für die Annahme einer weiteren klärungsbedürftigen und klärungsfähigen Rechtsfrage; vielmehr ist die streitgegenständliche Rechtsfrage zur fehlenden Qualität der negativen Folge eines bloßen Kontrollverlusts als immaterieller Schaden durch die aufgezeigten aktuellen Entscheidungen des EuGH geklärt. Die Vorlagefrage 4 aus dem Beschluss des BGH vom 26.09.2023 (VI ZR 97/22) betrifft eine andere Konstellation (vgl. hierzu i.E. Senat Beschl. v. 18.10.2023 – I-7 U 77/23, BeckRS 2023, 32741 Rn. 4).

b) Soweit das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 89 ff., 257 ff.) von der hiesigen Senatsrechtsprechung abweichend den dortigen und hiesigen Antrag zu 2. auf Feststellung der Ersatzpflicht der Beklagten für künftige materielle und immaterielle Schäden als zulässig und begründet ansieht, folgt aus dieser (vermeintlichen) Divergenz obergerichtlicher Entscheidungen kein Bedarf einer Klärung durch den BGH.

Klärungsbedürftig und damit von grundsätzlicher Bedeutung ist nur eine entscheidungserhebliche Rechtsfrage und auch nur dann, wenn ihre Beantwortung zweifelhaft ist oder wenn zu ihr unterschiedliche Auffassungen vertreten werden und die Frage höchstrichterlich noch nicht geklärt ist (vgl. BGH Beschl. v. 6.3.2019 – IV ZR 108/18, Rn. 13).

An einer grundsätzlichen Bedeutung in diesem Sinne fehlt es zunächst deshalb, weil das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 81) und der Senat (vgl. hierzu i.E. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 191 ff.) übereinstimmend in rechtlicher Hinsicht die höchstrichterliche Rechtsprechung zugrunde legen, wonach für Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts, also eines sonstigen absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB, resultieren, bereits die Möglichkeit materieller oder weiterer immaterieller Schäden für die Annahme eines Feststellungsinteresses ausreicht.

Eine Divergenz in den obergerichtlichen Entscheidungen besteht lediglich insoweit, als das OLG Stuttgart anders als der Senat im Zuge der Subsumtion nicht auf den zu entscheidenden Einzelfall abstellt, sondern apodiktisch ohne die Betrachtung der Umstände des konkreten Einzelfalls die abstrakte, theoretische Möglichkeit eines (materiellen und immateriellen) Schadenseintritts für ausreichend erachtet.

Dies rechtfertigt es jedoch nicht, eine grundsätzliche Bedeutung anzunehmen; denn durch die gefestigte Rechtsprechung des BGH (vgl. nur BGH Urt. v. 5.10.2021 – VI ZR 136/20, NJW-RR 2022, 23 Rn. 28 m.w.N.) ist bereits höchstrichterlich geklärt, dass die Frage der Möglichkeit eines Schadenseintritts gerade nicht abstrakt, sondern aus der Sicht des konkret Geschädigten in verständiger Würdigung zu beurteilen ist. Dem folgt der Senat in Achtung der zugrundeliegenden Intention, der Beklagtenpartei keinen Rechtsstreit über nur theoretische Fragen aufzuzwingen, in ständiger Rechtsprechung (vgl. Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 194 m.w.N.). Dies mag das OLG Stuttgart (Urt. v. 22.11.2023 - 4 U 20/23, GRUR-RS 2023, 32883, Rn. 93 f.) verkannt haben. Eine solche vereinzelte, nicht nachvollziehbar begründete Entscheidung zwingt den Senat jedenfalls nicht zur Zulassung der Revision und damit zugleich zur Abkehr vom Verfahren nach § 522 Abs. 2 ZPO (vgl. dazu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 14; BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9).

Mit Blick darauf ist auch eine Entscheidung des BGH zur Fortbildung des Rechts nicht geboten. Ebenso wenig liegt eine tragende Rechtssatzabweichung von der Rechtsprechung eines höher- oder gleichrangigen anderen Gerichts vor, die eine höchstrichterliche Entscheidung zur Sicherung einer einheitlichen Rechtsprechung erforderte (vgl. hierzu BGH Beschl. v. 6.3.2019 - IV ZR 108/18, r+s 2019, 272 Rn. 15).

c. Entsprechendes gilt insoweit, als das OLG Stuttgart (Urt. v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883 Rn. 98 ff. und 272) anders als der Senat (Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 203 ff.) die Unterlassungsanträge als zulässig erachtet und mit Blick darauf, dass in der Sache über die Unterlassungsansprüche letztlich doch die Implementierung bestimmter Sicherheitsmaßnahmen und damit im Ergebnis eine Leistung verlangt werde, erst die Begründetheit verneint; denn das OLG Stuttgart setzt sich in keiner Weise mit den Ausführungen des Senats zur Unzulässigkeit der beiden Unterlassungsanträge, die auf entsprechender Rechtsprechung des BGH fußen, auseinander. Infolgedessen lassen sich über den jeweiligen Einzelfall hinaus schon keine (weiteren) Unklarheiten in der höchstrichterlichen Rechtsprechung, die eine zusätzliche Klärung durch den BGH erforderten (vgl. hierzu BGH Beschl. v. 8.2.2010 - II ZR 156/09, NJW-RR 2010, 978 Rn. 3; BGH Beschl. v. 27.11.2013 - VII ZR 371/12, NJW 2014, 456 Rn. 9), feststellen.

d. Allein die Vielzahl bundesweit anhängiger gleichgerichteter Rechtsstreite vermag vor dem Hintergrund, dass die entscheidungserheblichen Rechtsfragen sämtlich durch EuGH und BGH geklärt sind, dem Einzelfall keine grundsätzliche Bedeutung zu verleihen.

3. Auch die Durchführung einer mündlichen Verhandlung (§ 522 Abs. 2 Satz 1 Nr. 4 ZPO) ist nicht geboten. Es wird insoweit auf die Ausführungen im Hinweisbeschluss vom 24.11.2023 (Bl. 149 ff. der zweitinstanzlichen elektronischen Gerichtsakte) Bezug genommen.

II. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO; die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 544 Abs. 2, § 708 Nr. 10, § 713 ZPO.

III. Aus dem Umstand, dass das OLG Stuttgart im Tenor seines Urteils (v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883) ohne weitere Begründung in seinem Einzelfall den Streitwert für das Berufungsverfahren auf 7.000,00 EUR festgesetzt hat, ergibt sich für den Senat für den vorliegenden Einzelfall kein Grund von seiner Praxis zur Streitwertfestsetzung abzuweichen. Auch insoweit orientiert sich der Senat an ständiger Rechtsprechung des BGH (Senat Urt. v. 15.8.2023 – 7 U 19/23, GRUR-RS 2023, 22505 Rn. 254 ff.).


Den Volltext der Entscheidung finden Sie hier:

EuGH: Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach Cyberangriff / Hackerattacke kann Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen

EuGH
Urteil vom 14.12.2023
C-340/21
Natsionalna agentsia za prihodite


Der EuGH hat entschieden, dass schon die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einem Cyberangriff / einer Hackerattacke einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen kann.

Tenor der Entscheidung:
1. Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- rundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Pressemitteilung des EuGH:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vori . Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.

2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.


Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe: Für immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck muss ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden

OLG Karlsruhe
Urteil vom 07.11.2023
19 U 23/23


Das OLG Karlsruhe hat entschieden, dass für einen immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden muss.

Leitsätze des Gerichts:
1. Im Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh reicht bereits die Möglichkeit des Eintritts eines Schadens für die Annahme eines Feststellungsinteresses aus.

2. Das Vorliegen eines „Verstoßes gegen diese Verordnung“ im Sinne von Art. 82 Abs. 1 DSGVO erfordert nicht mehr als die „unbefugte Offenlegung“ von oder den „unbefugten Zugang“ zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO.

3. Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO nicht aus.

4. Stellt sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte der betroffenen Person auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh dar (Sekundärschaden), ist das Beweismaß des § 287 ZPO anzuwenden.

5. Die betroffene Person muss nachweisen, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung im Sinne von Art. 82 Abs. 1 DSGVO und dem ihr entstandenen Schaden besteht.

6. Gem. Art. 82 Abs. 3 DSGVO reicht jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen aus, um die Anwendung der Befreiung auszuschließen. Dabei stellt indes nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht im Sinne von Art. 32 DSGVO geeignet waren.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Immaterieller Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten setzt DSGVO-Verstoß, konkreten Schaden und Kausalzusammenhang voraus

EuGH-Generalanwalt
Schlussanträge vom 26.10.2023
Verbundene Rechtssachen C‑182/22 und C‑189/22


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass ein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO beim Diebstahl sensibler personenbezogener Daten einen Verstoß gegen die Bestimmungen der DSGVO, einen konkreten Schaden und einen Kausalzusammenhang voraussetzt.

Ergebnis:
Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist wie folgt auszulegen:

Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.


Rechtliche Würdigung:
Das vorlegende Gericht möchte mit seiner fünften Frage wissen, ob der einfache Diebstahl der sensiblen personenbezogenen Daten einer betroffenen Person durch einen unbekannten Straftäter einen Identitätsdiebstahl darstellt, der einen Schadensersatzanspruch begründet, oder ob der Straftäter für die Annahme eines Identitätsdiebstahls die Identität der betroffenen Person tatsächlich annehmen oder zu diesem Zweck Anstrengungen unternehmen muss. Diese Frage wird im Zusammenhang mit der Feststellung gestellt, dass unbekannte Straftäter bestimmte sensible personenbezogene Daten von JU und SO aus der Trading-App von Scalable Capital gestohlen haben. Obwohl keine weitere (missbräuchliche) Verwendung der Daten erfolgt zu sein scheint, kann, da die Identität der Straftäter unbekannt ist und diese noch nicht ergriffen worden sind, eine solche künftige (missbräuchliche) Verwendung nicht ausgeschlossen werden.

23. Art. 82 der DSGVO bestätigt allgemein den Anspruch jeder betroffenen Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist, auf Schadensersatz und teilt die Haftung zwischen dem (den) Verantwortlichen und/oder dem (den) Auftragsverarbeiter(n) auf. Diese Bestimmung benennt weder die genaue Art noch die Form eines solchen Schadens. Die DSGVO verweist zur Definition der Bedeutung und des Anwendungsbereichs des Begriffs „immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten. Dieser Begriff ist daher als autonomer Begriff des Unionsrechts zu behandeln und in allen Mitgliedstaaten einheitlich auszulegen.

24. Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines „tatsächlich erlittenen Schadens“ und eines Kausalzusammenhangs zwischen diesem Verstoß und diesem Schaden erbracht wird. Die DSGVO sieht kein System der verschuldensunabhängigen Haftung vor. Die Ausgleichsfunktion der durch Art. 82 Abs. 1 der DSGVO eingeführten Regelung schließt auch den Zuspruch von Strafschadensersatz aus. Eine solche Entschädigung muss vollständig und wirksam sein und damit „den aufgrund des Verstoßes gegen [die DSGVO] konkret erlittenen Schaden in vollem Umfang ausgleichen“. Der immaterielle Schaden, den die betroffene Person erlitten hat, braucht keinen bestimmten Grad an Erheblichkeit zu erreichen. Auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, bedarf es eindeutiger und präziser Beweise dafür, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus.

25. Art. 82 Abs. 3 der DSGVO befreit den Verantwortlichen oder den Auftragsverarbeiter von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Der Gerichtshof hatte bisher noch keine Gelegenheit, Art. 82 Abs. 3 der DSGVO ausführlich zu prüfen. Eine wörtliche Auslegung dieser Bestimmung scheint darauf hinauszulaufen, dass jedes fahrlässige (Mit‑)Verschulden oder Versehen des Verantwortlichen oder des Auftragsverarbeiters ausreicht, um die Anwendung der Befreiung auszuschließen. Zudem kann die dem (den) Verantwortlichen oder dem (den) Auftragsverarbeiter(n), der (die) von der Befreiung Gebrauch machen möchte(n), nach dieser Bestimmung obliegende Beweislast die Umsetzung fortlaufender Maßnahmen zur Vorbeugung gegen Datenschutzverletzungen auferlegen.

26. Der Diebstahl der personenbezogenen Daten einer betroffenen Person begründet einen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO, wenn die drei im Urteil Österreichische Post aufgestellten Voraussetzungen erfüllt sind. Der siebte Erwägungsgrund der DSGVO bestimmt: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“ Der Umstand, dass betroffene Personen „daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“, oder dass natürliche Personen die „Kontrolle über ihre personenbezogenen Daten“ verlieren, kann zu einem immateriellen Schaden führen. Dies ist der Kontext, in dem das vorlegende Gericht fragt, ob der Diebstahl personenbezogener Daten einen Identitätsdiebstahl darstellt.

27. Die operativen Bestimmungen der DSGVO erwähnen den Identitätsdiebstahl nicht und definieren ihn auch nicht. Die Erwägungsgründe 75 und 85 der DSGVO erwähnen den „Identitätsdiebstahl oder ‑betrug“ nur. Der 75. Erwägungsgrund nennt in einer nicht erschöpfenden Liste von Beispielen den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für die Risiken für die Ausübung der Rechte und Freiheiten natürlicher Personen aufgrund der Verarbeitung ihrer personenbezogenen Daten. In ähnlicher Weise erwähnt der 85. Erwägungsgrund der DSGVO den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für den Schaden, der durch das Versäumnis entsteht, auf eine Verletzung des Schutzes personenbezogener Daten rechtzeitig und angemessen zu reagieren.

28. In einer Reihe von Erwägungsgründen und Bestimmungen in anderen Rechtsvorschriften der Union werden Begriffe wie „Identitätsdiebstahl“, „Identitätsbetrug“ und „Identitätsdiebstahl oder ‑betrug“ erwähnt. Ich habe keine Bestimmung des Unionsrechts gefunden, in der die diese Begriffe definiert werden(33). Der Unionsgesetzgeber nennt diese Begriffe daher beispielhaft.

29. Dies wird auch aus einer Betrachtung der verschiedenen Sprachfassungen dieser Begriffe in den Erwägungsgründen 75 und 85 der DSGVO ersichtlich. Während die deutsche (Identitätsdiebstahl oder –betrug), die englische (identity theft or fraud), die estnische (identiteedivargust või –pettust), die irische (goid aitheantais nó calaois aitheantais), die litauische (būti pavogta ar suklastota tapatybė), die niederländische (identiteitsdiefstal of –fraude), die polnische (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), die rumänische (furt sau fraudă a identității) und die slowakische (krádeži totožnosti alebo podvodu) Sprachfassung weitgehend ähnlich sind, weichen andere Sprachfassungen in unterschiedlichem Maß hiervon ab: die tschechische (krádeži či zneužití identity), die französische (vol ou une usurpation d’identité), die griechische (κατάχρηση ή υποκλοπή ταυτότητας), die portugiesische (usurpação ou roubo da identidade), die italienische (furto o usurpazione d’identità) und die spanische (usurpación de identidad o fraude). Die verschiedenen Sprachfassungen der maßgeblichen Erwägungsgründe der DSGVO deuten darauf hin, dass sich die Begriffe Identitätsdiebstahl, Identitätsbetrug, Identitätsmissbrauch, missbräuchliche Verwendung der Identität, Identitätsaneignung und Identitätsanmaßung überschneiden und dass sie zumindest zu einem gewissen Grad als austauschbar angesehen werden können. Folglich unterscheiden die Erwägungsgründe 75 und 85 der DSGVO entgegen dem in Nr. 18 der vorliegenden Schlussanträge dargelegten Vorbringen von SO nicht klar zwischen Identitätsdiebstahl und Identitätsbetrug.

30. Die Erwägungsgründe 75 und 85 unterscheiden zwischen dem Beispiel des „Verlusts der Kontrolle“ oder der Unmöglichkeit, personenbezogene Daten zu „kontrollieren“, und dem Beispiel des „Identitätsdiebstahls oder ‑betrugs“. Daher stellt der Diebstahl personenbezogener Daten allein selbst dann keinen Identitätsdiebstahl dar, wenn dieser Diebstahl zu einer künftigen (missbräuchlichen) Verwendung dieser Daten führen kann. Ein Identitätsdiebstahl erfordert eine zusätzliche Handlung oder einen zusätzlichen Schritt mit über den Diebstahl der personenbezogenen Daten hinausgehenden, nachteiligen Auswirkungen auf die betroffene Person. Wer die personenbezogenen Daten einer betroffenen Person stiehlt, muss diese Daten ohne Einwilligung der betroffenen Person (missbräuchlich) zu rechtswidrigen Zwecken verwenden oder konkrete Schritte hierzu unternehmen. Mit einer solchen Handlung ist typischerweise ein Betrug oder eine andere Form der Täuschung verbunden, und sie wird im Allgemeinen zur Erzielung eines finanziellen oder anderweitigen Gewinns durchgeführt oder um der betroffenen Person oder ihrer Umgebung Schaden zuzufügen.

31. Aus den vorstehenden Erwägungen folgt, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder ‑betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO führen kann. Der Nachweis eines immateriellen Schadens kann einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder ‑betrugs geworden ist. Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO wegen des Diebstahls personenbezogener Daten hängt jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder ‑betrugs ab. Ein immaterieller Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO sind unter Berücksichtigung aller Umstände einzelfallbezogen zu beurteilen.


Den Volltext der Schlussanträge finden Sie hier:


LG Tübingen: Zur Einstandspflicht einer Cyberversicherung bei einem Angriff auf IT-Infrastruktur eines Unternehmens

LG Tübingen
Urteil vom 26.05.2023
4 O 193/21


Das LG Tübingen hat sich in diesem Verfahren mit der Einstandspflicht einer Cyberversicherung bei einem Angriff auf die IT-Infrastruktur eines Unternehmens befasst.

Aus den Entscheidungsgründen:

Dem Feststellungsantrag fehlt das erforderliche Feststellungsinteresse (§ 256 ZPO).

1. Nach der Rechtsprechung des BGH hängt die Zulässigkeit einer Feststellungsklage bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts ab (BGH, Urt. v. 15.10.1992 – IX ZR 43/92 , MDR 1993, 693 = WM 1993, 251 [259 f.]; v. 24.1.2006 – XI ZR 384/03 – Rz. 27, BGHZ 166, 84 = MDR 2006, 940 m.w.N.; v. 20.3.2008 – IX ZR 104/05 – Rz. 8, MDR 2008, 799 = WM 2008, 1042). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH MDR 2014, 1341, 1342).

2. Dies ist vorliegend zu verneinen. Die Schadensentwicklung bei der Klägerin selbst ist abgeschlossen. Diesen Schaden hat die Klägerin in Klageantrag Ziffer 1 beziffert. Der Feststellungsantrag betrifft nur potentielle Versicherungsfälle im Falle einer Verletzung der DSGVO bzw. den möglicherweise bei Dritten entstandenen Schaden, wenn die bei dem Cyber-Angriff erlangten Daten veröffentlicht werden, und die daraus folgende mögliche Inanspruchnahme der Klägerin durch diese Dritten. Dazu hat der Geschäftsführer der Klägerin im Zuge der letzten mündlichen Verhandlung mitgeteilt, dass bislang keine Kunden oder dritte Firmen mit entsprechenden Forderungen an die Klägerin herangetreten seien und auch sonst nicht bekannt geworden sei, dass Daten veröffentlicht bzw. im Internet auffindbar seien (Protokoll vom 28.04.2023, Bl. 584 d.A.). Nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge ist angesichts des langen Zeitablaufs jetzt auch nicht mehr mit einer derartigen Inanspruchnahme der Klägerin zu rechnen, so dass es an der hinreichenden Wahrscheinlichkeit eines Schadenseintritts fehlt.

II. Die Klägerin kann von der Beklagten aus § 1 VVG i.V.m. A1-1, A1-4, A2-2, A4 ff. AVB Zahlung von 2.858.923,54 € zuzüglich Zinsen wie aus dem Tenor ersichtlich verlangen. Im Übrigen war die Klage abzuweisen.

1. Zwischen den Parteien ist ein wirksamer Versicherungsvertrag über verschiedene Cyber-Deckungsbausteine zustande gekommen, der das Risiko einer Betriebsunterbrechung mit einschließt.

2. Mit dem Cyber-Angriff vom 29./30.05.2020 ist der Versicherungsfall eingetreten, A1-4 AVB i.V.m. A1-1 AVB. Dies wird von der Beklagten nicht in Abrede gestellt.

3.. Die Beklagte ist weder wegen Verletzung einer vorvertraglichen Anzeigepflicht nach B3-1.2.1 Abs. 1 Satz 2 AVB (a) noch wegen Gefahrerhöhung nach B3-2.5 AVB leistungsfrei geworden (b).

a. Zur Verletzung einer vorvertraglichen Anzeigepflicht

Es kann dahin stehen, ob die Klägerin die ihr gestellten Risikofragen vorsätzlich oder grob fahrlässig falsch beantwortet und insofern ihre vorvertragliche Anzeigepflicht nach B3-1.1 AVB verletzt hat. Jedenfalls hat die Klägerin gem. § 21 Abs. 2 S. 1 VVG nachgewiesen, dass eine möglicherweise falsche Beantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich gewesen ist (sog. Kausalitätsgegenbeweis), so dass die Beklagte nach B3-1.2.1 Abs. 4 Satz 1 AVB den Versicherungsschutz nicht versagen darf (dazu unter aa.). Eine arglistige Verletzung der Anzeigepflicht (B3-1.2.1 Abs. 4 Satz 2 AVB) liegt nicht vor (dazu unter bb.). Daher bedarf auch die von der Klägerin aufgeworfene Frage keiner abschließenden Entscheidung, ob es sich bei den im Tatbestand wiedergegebenen Risikofragen überhaupt um zulässige Fragen gehandelt hat.

aa. Kausalitätsgegenbeweis

Der Sachverständige Dr. [...] hat - für die Kammer nachvollziehbar und überzeugend - ausgeführt, dass zwar eine Vielzahl der von der Klägerin eingesetzten Server nicht über aktuelle Sicherheits-Updates verfügten und damit veraltet waren, sich dies aber weder auf den Eintritt des Versicherungsfalls noch auf das Ausmaß des hierdurch ausgelösten Schadens ausgewirkt hat. Der Sachverständige ist seit 20 Jahren selbständig beratend im IT-Bereich tätig und arbeitet gegenwärtig überwiegend für eine Bank (Protokoll vom 28.04.2023 Seite 19, Bl. 601 d.A.), weshalb er insbesondere für den Bereich der IT-Sicherheit über eine große Expertise verfügt. Die Einholung eines Obergutachtens nach § 412 Abs. 1 ZPO, wie von der Beklagten beantragt, war daher nicht veranlasst.

Nach dem Cyber-Angriff konnten die Daten von insgesamt 21 der von der Klägerin teils betriebsintern, teils extern bei dem IT-Dienstleister Bechtle eingesetzten Servern forensisch gesichert werden. Von diesen 21 Servern verfügten nach den Feststellungen des Sachverständigen lediglich 10 über die erforderlichen Sicherheits-Updates; dagegen waren 11 Server nicht auf dem aktuellen Stand (Gutachten S. 27, Bl. 464 d.A.). Der Cyber-Angriff verlief jedoch bei insgesamt 16 der 21 Server erfolgreich (Gutachten S. 22, Bl. 459 d.A.) und betraf Systeme mit allen Betriebssystemversionen, darunter auch die - aktuellen - Windows Server 2019 (Gutachten S. 24, Bl. 461 d.A.). Verschlüsselt wurden sogar die bei der Fa. B. AG ausgelagerten Server. Dies erklärt sich daraus, dass über die Phishing-Mail an den Nutzer „[...]“ letztendlich die Administratorrechte u.a. für die Domäne Paradigma erbeutet wurden (Gutachten S. 27, Bl. 464 d.A.). Diese Administratorrechte erlaubten den Angreifern - was insbesondere auch für das Ausmaß des eingetretenen Schadens maßgeblich ist -, mit dem System „alles [...] zu machen“ (Protokoll vom 28.04.2023 Seite 18, Bl. 600 d.A.). Den Angreifern war es dadurch ohne Weiteres möglich, vorhandene Schutzmaßnahmen wie etwa den Virenscanner und die Firewall zu deaktivieren (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Dies ergibt sich ebenso aus dem von Beklagtenseite vorgelegten Parteigutachten [...] vom 24.06.2020 (Anlage BLD 1), wonach bei der Analyse verschiedener Server festgestellt wurde, dass der Antivirenscanner Trend Micro Apex ONE NT, der Windows Defender und die Windows Firewall zu jeweils unterschiedlichen Zeitpunkten am 30.05.2023, also zeitlich nach dem Pass-the-Hash-Angriff, deaktiviert wurden (a.a.O. Seite 22, 42 und 51). Der auf dem betroffenen Notebook „[...]“ installierte Virenscanner Trend Micro OfficeScan hatte am 29.05.2020 noch einen Schadsoftwarebefall festgestellt, der sich jedoch augenscheinlich nicht bereinigen ließ (a.a.O. Seite 8).

Soweit die Beklagte nun erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 vorträgt, dass die Firewalls bereits zum Schadenzeitpunkt deaktiviert gewesen seien (dort Seite 4, Bl. 555 d.A.), und mit (ebenfalls nicht nachgelassenem) Schriftsatz vom 15.05.2023 (dort Seite 6, Bl. 610 d.A.) in Frage stellt, ob der Anti-Virus-Verwaltungsserver im Zeitpunkt des Angriffs aktiviert war, kann offenbleiben, ob dies zutrifft oder sogar in Widerspruch zu dem Gutachten der [...] vom 24.06.2020 (Anlage BLD 1) und damit zum eigenen bisherigen Vortrag der Beklagten steht; jedenfalls ist dieser Vortrag verspätet und aus diesem Grund prozessual unbeachtlich, § 296a Satz 1 ZPO.

Nach den Feststellungen des Sachverständigen Dr. [...], denen sich das Gericht nach eigener Überzeugungsbildung anschließt, wurde bei dem streitgegenständlichen Cyber-Angriff eine vorhandene Schwachstelle (sog. „Design-Schwäche“) von Windows ausgenutzt (Gutachten S. 33, Bl. 470 d.A.), die unabhängig von der Aktualität des betroffenen Systems besteht. Der Sachverständige kommt daher nachvollziehbar und überzeugend zu dem Ergebnis, dass auch ein Einspielen der versäumten Updates weder den Angriff selbst abgewehrt noch das Ausmaß des angerichteten Schadens hätte beeinflussen können. Weder die Anzahl der betroffenen Server noch der Schaden wären verringert worden (Gutachten S. 27 und 33, Bl. 464 und 470 d.A.).

Soweit die Beklagte bezüglich des Schadensumfangs (sog. „lateral movement“) auf denkbare weitere Sicherheitsmaßnahmen seitens der Klägerin verweist, etwa eine Zwei-Faktoren-Authentifizierung oder ein Monitoring-System, so verkennt sie den Bezugspunkt der Regelung in B3-1.2.1 AVB. Diese Regelung knüpft (allein) an die Verletzung der vorvertraglichen Anzeigepflicht durch Falschbeantwortung der Risikofragen an (B3-1.1 AVB). Die von der Beklagten vermissten weiteren Sicherheitsmaßnahmen waren jedoch nicht Gegenstand der bei Antragstellung von der Klägerin zu beantwortenden Risikofragen. Dies gilt auch für die Risikofrage 5, deren Falschbeantwortung die Beklagte erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 gerügt hat. Die Risikofrage 5 ist derart weit formuliert, dass sie bereits zu bejahen ist, wenn lediglich grundlegende Regelungen wie etwa über die Nicht-Weitergabe von Login-Daten und -Passwörtern existieren und überwacht werden. Spezifische Sicherheitsmaßnahmen zur Abwehr von Pass-the-Hash- bzw. Verschlüsselungs-Angriffen sind hiervon nicht zwingend erfasst.

bb. keine Arglist

Von einer arglistigen Verletzung der Anzeigepflicht seitens der Klägerin bzw. der Maklerin konnte sich die Kammer nicht überzeugen.

(1) Die bewusste Falsch- oder Nichtbeantwortung von Fragen genügt für sich genommen nicht für Arglist. Vielmehr muss in subjektiver Hinsicht hinzukommen, dass der Versicherungsnehmer auf die Entschließung des Versicherers Einfluss nehmen will und sich daher bewusst ist, dass der Versicherer möglicherweise (bedingter Vorsatz genügt) seinen Antrag nicht oder nur unter erschwerten Bedingungen annehmen werde, wenn er die Wahrheit sage (BGH VersR 2007, 785 Rn. 8; 2011, 337 Rn. 19; OLG Koblenz VersR 2013, 1113, 1114; OLG Karlsruhe NJW 2014, 3733; OLG Hamm VersR 2018, 282, 283; 2020, 538, 539). Eine Vermögensschädigung braucht aber nicht geplant zu sein (RGZ 96, 345, 346; BGH VersR 1957, 351, 352; 2007, 785 Rn. 8; 2008, 809 Rn. 8; OGH VersR 1978, 954). Unkenntnis entlastet den Versicherungsnehmer nicht, wenn er im Bewusstsein seiner Unkenntnis „ins Blaue hinein“ Angaben macht (OLG Hamm VersR 1990, 765; OLG München VersR 2000, 711, 712; OLG Koblenz VersR 2004, 849, 851; KG VersR 2007, 381, 382; OLG Frankfurt/M. ZfS 2009, 269; OLG Saarbrücken VersR 2020, 91 (Ls.) = BeckRS 2019, 23766 Rn. 35; OLG Hamm VersR 2020, 538, 539). Dasselbe gilt, wenn er sich sehenden Auges der Kenntnis verschließt (BGH VersR 1993, 170, 171). Dass Arglist vorgelegen hat, muss der Versicherer darlegen und beweisen (BeckOK VVG/Spuhl, 18. Ed. 1.2.2023, VVG § 21 Rn. 55).

(2) Nach B3-1.1 Absatz 2 und 3 AVB kommt es sowohl auf die Kenntnis des Versicherungsnehmers selbst als auch auf die Kenntnis seines Vertreters an.

Die Klägerin hat sich beim Vertragsschluss durch den von ihr eingeschalteten Makler L. vertreten lassen, welcher die Antworten auf die Risikofragen in das Online-Portal der Beklagten eingegeben hat (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A., und Seite 7, Bl. 220 d.A.). Wie die einzelnen Fragen zu beantworten waren, hatte dem Makler der Zeuge G. vorgegeben, welcher die Risikofragen zuvor mit dem IT-Manager U. der Klägerin durchgesprochen hatte (Protokoll vom 04.02.2022 Seite 8, Bl. 221 d.A., Seite 17, Bl. 230 d.A., und Seite 34f, Bl. 247f d.A.).

(3) Nach dem Ergebnis der Beweisaufnahme lässt sich weder bei den verantwortlichen Mitarbeitern der Klägerin noch beim Zeugen L. eine vorsätzliche, erst recht keine arglistige Falschbeantwortung der Risikofragen - konkret der Fragen 3, 4 und 6 - feststellen.

Trotz des Einsatzes von zumindest 11 veralteten Servern (siehe oben) ist allenfalls die Frage 4 bei der Antragstellung im April 2020 falsch beantwortet worden. Der Klägerin ist zuzugeben, dass die Risikofrage 3 sich auf stationäre und mobile Arbeitsrechner und eben nicht auf Server bezieht. Die Risikofrage 6 ist derart weit formuliert, dass die Klägerin sie richtig beantwortet hat, denn dass überhaupt „Hard- und Software zum Schutz des Unternehmensnetzwerks“ eingesetzt wurde in Form eines Virenscanners sowie einer Firewall, stellt auch die Beklagte nicht in Abrede.

Auch bezüglich der Risikofrage 4 ist jedoch nicht von einer vorsätzlich und erst recht nicht von einer arglistig falschen Beantwortung auszugehen. Unabhängig von der rechtlichen Einordnung der Veranstaltung am 13.02.2020 und der genauen Rolle des Zeugen B. hat die Beweisaufnahme ergeben, dass für die Mitarbeiter der Klägerin durch diese Veranstaltung übereinstimmend der Eindruck entstanden ist, dass seitens der Beklagten keine hohen Anforderungen hinsichtlich der IT-Sicherheit gestellt werden. So haben mehrere Zeugen unabhängig voneinander die Äußerung des Zeugen B. bestätigt, dass hinsichtlich der Firewall „jede Fritzbox“ ausreichen würde. Diese Äußerung war sowohl dem Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.) als auch den Zeugen U. (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.) und M. (Protokoll vom 06.05.2022 Seite 11, Bl. 343 d.A.) im Gedächtnis. Der Zeuge B. konnte sich an Details nicht mehr erinnern, hat jedoch nicht ausgeschlossen, dass die Firewall Thema der Besprechung gewesen sei; eine Risikobewertung würde er jedoch generell nicht vornehmen (Protokoll vom 06.05.2022 Seite 24, Bl. 237 d.A.). Die Rückmeldung seitens des Zeugen B. scheint insofern jedoch auch nicht ausschlaggebend gewesen zu sein. Auffallend ist nämlich, dass sich die Zeugen teils gar nicht an die konkreten Antworten des Zeugen B. erinnern, dennoch aber den Eindruck gewonnen haben, die Anforderungen an die IT-Sicherheit seien nicht besonders hoch. Der Zeuge S. hat ausdrücklich angegeben, er habe sich gewundert, welche geringen Anforderungen gestellt würden (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.). Ähnlich habe sich seiner Erinnerung nach auch die Zeugin M. später im Lenkungskreis Digitalisierung geäußert (Protokoll vom 06.05.2022 Seite 16, Bl. 348 d.A.). Der Zeuge G. gab an, sie seien alle etwas verwundert darüber gewesen, dass die Anforderungen offenbar letztlich nicht viel höher seien als im privaten Bereich (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.). Maßgeblich für diesen kollektiven Eindruck erscheint vor allem die offenbar ausbleibende Reaktion von B. auf die Mitteilung des Zeugen U., dass die Klägerin auch ältere Server einsetze, die nicht mehr upgedatet werden könnten. Diese Mitteilung haben neben dem Zeugen U. selbst (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.) die Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.), M. (Protokoll vom 06.05.2022 Seite 10, Bl. 342 d.A.) und S. (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.) bestätigt. Der Zeuge B. selbst hat ausgesagt, sich generell nicht zu Anforderungen an die IT-Infrastruktur zu äußern (Protokoll vom 04.02.2022 Seite 23, 24 und 25, Bl. 236, 237 und 238 d.A.). Herr U. war sich nicht mehr sicher, ob der Zeuge B. ihm überhaupt auf diese Mitteilung geantwortet hatte, glaubte aber, er habe keine Antwort bekommen (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.). Entsprechend hat der Zeuge U. angegeben, die Risikofrage 4 trotz der vorhandenen veralteten Server bejaht zu haben, da er dem Zeugen B. ja in der Veranstaltung am 13.02.2020 über „unsere Situation mit den älteren Servern“ berichtet habe (Protokoll vom 04.02.2022 Seite 35, Bl. 248 d.A.). Unabhängig davon, welche rechtliche Bedeutung einer derartigen mündlichen Äußerung zukommt, so schließt die entsprechende Vorstellung doch Vorsatz und erst recht Arglist aus.

Dem Zeugen L. war nicht mehr erinnerlich, ob am 13.02.2020 seitens der Mitarbeiter der Klägerin die Rede davon war, dass ältere Server eingesetzt werden, die aus technischen Gründen nicht mehr upgedatet werden können (Protokoll vom 04.02.2022 Seite 16, Bl. 229 d.A.). Vor dem Vertragsschluss, so der Zeuge L. weiter, habe er sich zu keinem Zeitpunkt mit seinem Ansprechpartner bei der Klägerin, dem Zeugen G., zu diesem Thema ausgetauscht (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A.). Demnach handelte auch der Zeuge L. nicht erwiesenermaßen arglistig.

b. Gefahrerhöhung

Es kann offen bleiben, ob nach Vertragsschluss eine Gefahrerhöhung eingetreten ist, indem die Klägerin weitere Software-Updates nicht durchgeführt bzw. anders als in der Veranstaltung am 13.02.2020 angekündigt die veralteten Server (noch) nicht ausgetauscht hat. Da der Klägerin der Kausalitätsgegenbeweis gelingt (siehe oben), wäre die Beklagte selbst bei einer solchen Gefahrerhöhung nicht leistungsfrei; auch eine Kürzung des Anspruchs ist ausgeschlossen (§ 26 Abs. 3 Nr. 1 VVG i.V.m. B3-2.5.3 lit. a AVB).

4. Der erstattungsfähige Schaden der Klägerin beläuft sich insgesamt auf 2.858.923,54 €.

a. Betriebsunterbrechungsschaden

Die Klägerin hat einen zu ersetzenden Betriebsunterbrechungsschaden in Höhe von 2.507.809 € erlitten. Eine Betriebsunterbrechung gem. Ziffer A4-1.1.1 ist fraglos eingetreten, weil bei der Klägerin infolge unbefugter Nutzung von IT-Systemen elektronische Daten und informationsverarbeitende Systeme nicht zur Verfügung standen bzw. nicht die übliche Leistung erbrachten, was zu einem Schaden der Klägerin geführt hat.

aa. Der Unterbrechungsschaden wird in Ziffer A4-1.1.2 AVB definiert und stellt sich danach letztlich als der Betriebsgewinn zuzüglich der trotz der Unterbrechung fortlaufenden Kosten dar. Unter Ziffer A4-1.3.6 lit. d enthalten die AVB Vorgaben zur Feststellung der Schadenshöhe; allerdings betreffen diese das dort geregelte Sachverständigenverfahren und sind außerhalb dieses Verfahrens nicht anwendbar.

Es sind daher - neben Ziffer A4-1.3.1 - die allgemeinen Grundsätze zur Schadensermittlung heranzuziehen. Nach der Rechtsprechung muss ein Geschädigter, der Schadensersatz in Form eines Betriebsunterbrechungsschadens geltend macht, wie bei der Geltendmachung des entgangenen Gewinns gemäß § 252 Satz 1 BGB alle konkreten Umstände darlegen und gegebenenfalls beweisen, aus denen sich die Erlöserwartung ergibt. Es ist somit darzulegen, welche konkreten betriebsbezogenen Erlöse nicht erwirtschaftet werden konnten und welche konkreten betriebsbezogenen Kosten erspart wurden (vgl. OLG Hamm RuS 2013, 440). Dabei genügt entsprechend § 252 Satz 2 BGB die bloße Wahrscheinlichkeit der Erwartung des Erlöses anstelle des positiven Nachweises, sofern die Vorkehrungen und Anstalten, aus denen die Erlöserwartung hergeleitet wird, in der geschilderten Weise dargetan werden. Erforderlich ist mithin die schlüssige Darlegung von Ausgangs- bzw. Anknüpfungstatsachen, die geeignet sind, dem Ermessen bei der Wahrscheinlichkeitsprüfung eine Grundlage zu geben und eine Schadensschätzung gemäß § 287 ZPO zu ermöglichen (vgl. zum entgangenen Gewinn BGH WM 1998, S. 1787; BGH WuM 1991, S. 545). Während der Versicherungsnehmer den Eintritt des Versicherungsfalles und die hierdurch verursachte Betriebsunterbrechung auf der Grundlage von § 286 ZPO darzulegen und zu beweisen hat, kommt ihm beim Kausalzusammenhang zwischen der Betriebsunterbrechung und dem eingetretenen Schaden die Beweiserleichterung des § 287 ZPO zugute (BGH VersR 2014,104).

bb. Vor diesem Hintergrund kann der Schadensberechnung der Klägerin, welche einen Rohertrag je geleisteter Personenstunde zugrunde legt und diesen mit den angeblich ausgefallenen Personenstunden multipliziert, nicht gefolgt werden. Denn die Annahme, dass das wegen der Betriebsunterbrechung nicht eingesetzte Personal den gleichen Rohertrag erwirtschaftet hätte wie das zum Einsatz gelangte Personal, ist nicht nachvollziehbar und nicht einmal für eine Schätzung nach § 287 ZPO geeignet.

cc. Die Schätzung hat anhand der von der Klägerin vorgelegten betriebswirtschaftlichen Auswertungen zu erfolgen, somit auf Grundlage der Anlagen K 13 (Jahresabschluss für 2019), K 14 (betriebswirtschaftliche Auswertung für 2020) und K 15 (betriebswirtschaftliche Auswertung für 2021). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 die Richtigkeit dieser betriebswirtschaftlichen Auswertungen bestreitet, ist dieser nach der letzten mündlichen Verhandlung am 28.04.2023 mit nicht nachgelassenem Schriftsatz erfolgte Vortrag verspätet und nach § 296a Satz 1 ZPO aus prozessualen Gründen unbeachtlich. Die Klägerin hat mit ebenfalls nicht nachgelassenem Schriftsatz vom 19.05.2023 die Jahresabschlüsse für 2020 (Anlage K21) und für 2021 (Anlage K 22) nachgereicht, welche ebenfalls nach § 296a Satz 1 ZPO unbeachtlich sind. Allerdings weichen die Kennzahlen in den Jahresabschlüssen ohnehin nur ganz geringfügig von den Werten in den betriebswirtschaftlichen Auswertungen ab.

dd. Der Schadensschätzung sind die Geschäftszahlen der Jahre 2020 (mit Betriebsunterbrechung) und 2021 (ohne Betriebsunterbrechung), nicht auch diejenigen des Jahres 2019 zugrunde zu legen.

Nach § 252 Satz 2 BGB gilt als entgangen der Gewinn, welcher nach dem gewöhnlichen Lauf der Dinge oder nach den besonderen Umständen, insbesondere nach den getroffenen Anstalten und Vorkehrungen, mit Wahrscheinlichkeit erwartet werden konnte.

Solche besonderen Umstände liegen vorliegend in Form des von der Bundesregierung im Oktober 2019 beschlossenen Klimaschutzprogramms 2030 vor, für das für klimaschutzrelevante Maßnahmen für den Zeitraum 2020 bis 2023 Mittel in Höhe von etwa 54 Milliarden Euro bereitgestellt wurden. Soweit die Beklagte die Existenz eines solchen Förderprogramms mit Nichtwissen bestritten hat, lässt sich die Behauptung der Klägerin durch eine einfache Internetrecherche verifizieren (https://www.bmwk.de/Redaktion/DE/Textsammlungen/Industrie/klimaschutz.html?cms_artId=9df37a6e-49dc-4c07-955d-f80ea3503730, zuletzt abgerufen am 23.05.2023). Die Tatsache ist daher allgemein bekannt; einer Beweiserhebung bedurfte es nicht.

Zusätzlich geht die Kammer davon aus, dass die Corona-Pandemie keinen „besonderen Umstand“ im Sinne des § 252 Satz 2 BGB darstellt. Bezüglich der gesamtwirtschaftlichen Entwicklung ist der Beklagten zuzustimmen, dass es im Jahr 2020 infolge der Auswirkungen der COVID-19-Pandemie allgemein zu Umsatzeinbrüchen kam. Dabei ist auch nicht auszuschließen, dass auch die Klägerin, welche u.a. in der Produktion von Heizungskomponenten tätig ist, betroffen war, insbesondere was Lieferengpässe betrifft. Solche Effekte bestanden aber für das Jahr 2020 ebenso wie für das Jahr 2021, da die Corona-Pandemie weiterhin andauerte. Indem eben die Jahre 2020 und 2021 miteinander verglichen werden, wirken sich mögliche Umsatzeinbrüche infolge der Pandemie rechnerisch nicht in relevanter Weise aus.

ee. Entgegen der Auffassung der Klägerin sind jedoch die Werte aller 12 Monate eines Jahres gleichermaßen heranzuziehen. Die Klägerin beruft sich auf zyklische Schwankungen der Geschäftsentwicklung im Jahresverlauf. Solche außergewöhnlichen Schwankungen lassen sich den vorgelegten betriebswirtschaftlichen Auswertungen jedoch nicht entnehmen. Soweit die Klägerin mit (nicht nachgelassenem) Schriftsatz vom 19.05.2023 als Anlagen K 23 und K 24 die betriebswirtschaftlichen Auswertungen für 2019 und 2022 vorlegt und ihren Vortrag zusätzlich auf diese Unterlagen stützt (Bl. 674f d.A.), ist dies verspätet und gemäß § 296a Satz 1 ZPO unbeachtlich.

ff. Bei der Berechnung des Deckungsbeitrags folgt die Kammer im Ansatz der - zweiten - Berechnungsweise der Klägerin, wobei vom erzielten jährlichen Gesamtumsatz als Kosten ein Teil des Materialaufwands abgezogen wird. Diese Berechnungsmethode erscheint der Kammer plausibel und entspricht im Übrigen der Definition des Betriebsunterbrechungsschadens in A4-1.1.2 AVB i.V.m. A469 des Glossars. Soweit die Klägerin meint, auf das so ermittelte Ergebnis sei zusätzlich ein prozentualer Aufschlag vorzunehmen (Schriftsatz vom 30.03.2022 Seite 18f, Bl. 279f d.A.), ist dies dagegen nicht nachvollziehbar.

Auf den weiteren Vortrag der Beklagten zum Betriebsunterbrechungsschaden in den Schriftsätzen vom 04.05.2023 und vom 17.05.2023, insbesondere das als Anlage BLD 13 vorgelegte Parteigutachten der [...] GmbH vom 16.05.2023, welches (erst) am 09.05.2023 in Auftrag gegeben worden ist, ist wegen § 296a Satz 1 ZPO nicht einzugehen. Soweit die Beklagte einwendet, die Berechnung der Klägerin sei aus betriebswirtschaftlicher Sicht falsch, da Bestandsveränderungen sehr wohl zu berücksichtigen seien, findet dies jedenfalls keinen Niederschlag in den Regelungen der AVB und ist für die Kammer daher nicht nachvollziehbar.

Der in den betriebswirtschaftlichen Auswertungen ausgewiesene Materialaufwand ist nicht nur zur Erwirtschaftung der Umsatzerlöse, sondern auch für die Erhöhung bzw. Verminderung des Bestandes an fertigen und unfertigen Produkten angefallen, welcher nach den AVB aber unberücksichtigt zu bleiben hat, da dort allein an den Umsatz angeknüpft wird. Der Anteil der auf die Bestandsveränderungen entfallenden Materialkosten ist daher herauszurechnen. Im Wege der Schätzung nach § 287 ZPO setzt die Kammer zunächst die Gesamtmaterialkosten ins Verhältnis zur Gesamtleistung der Klägerin, welche sich aus der Summe der Umsatzerlöse und der Bestandsveränderungen, ggf. auch der aktivierten Eigenleistungen ergibt, und geht sodann davon aus, dass der Anteil von Gesamtmaterialkosten zur Gesamtleistung dem Anteil der Materialkosten, die zur Erwirtschaftung allein der Umsatzerlöse erforderlich waren, zu den Umsatzerlösen entspricht.

Für 2020 ergibt sich gemäß Anlage K 14 danach folgende Berechnung:

Umsatzerlöse: 57.863.135 €

Anteil Gesamtmaterialkosten 26.967.378 € zur Gesamtleistung 58.041.198 € (= Umsatzerlöse 57.863.135 € + Bestandsveränderung (Lagerleistung) 162.130 € + aktivierte Eigenleistungen 15.930 €): 46,46%

somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 57.863.135 € x 46,46% = 26.883.212,52 €, gerundet: 26.883.213 €

somit Deckungsbeitrag für 2020: Umsatzerlöse 57.863.135 € - diesbezügliche Materialkosten 26.883.213 € = 30.979.922 €.

Für 2021 ergibt sich gemäß Anlage K 15 folgende Berechnung:

Umsatzerlöse: 70.837.492 €

Anteil Gesamtmaterialkosten 35.223.076 € zur Gesamtleistung 73.924.577 € (= Umsatzerlöse 70.837.492 € + Bestandsveränderung (Lagerleistung) 3.087.082 € + aktivierte Eigenleistungen 0 €): 47,65%

somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 70.837.492 € x 47,65% = 33.754.064,94 €, gerundet: 33.754.065 €

somit Deckungsbeitrag für 2021: Umsatzerlöse 70.837.492 € - diesbezügliche Materialkosten 33.754.065 € = 37.083.427 €.

Der erstattungsfähige Betriebsunterbrechungsschaden errechnet sich damit wie folgt:

Deckungsbeitrag pro Jahr

Deckungsbeitrag pro Monat

2020

30.979.922 €

2.581.660 €

2021

37.083.427 €

3.090.286 €

Einbuße pro Monat


508.626 €

Einbuße Juni 2020 bis
Oktober 2020 (5 Monate)


2.543.130 €

abzüglich Sub-Selbstbehalt
12 Stunden
gemäß Police Seite 3
(2.543.130 € : 108
Arbeitstage Juni bis Okt.
2020 = 23.547,50 €, bei
achtstündigem Arbeitstag,
12 Std daher 23.547,50 € x 1,5)


- 35.321 €

Ergibt


2.507.809 €

Infolge des Cyberangriffs vom 29./30.05.2020 war der Betrieb der Klägerin von Juni 2020 bis Oktober 2020 unterbrochen (5 Monate) und somit für einen Zeitraum, der innerhalb der Haftzeit von 12 Monaten liegt. Soweit die Beklagte erstmals mit Schriftsatz vom 04.05.2023 mit Nichtwissen bestreitet, dass die Betriebsunterbrechung erst im Oktober 2020 endete (Bl. 570 d.A.), ist dies wegen Verspätung nach § 296a Satz 1 ZPO wiederum aus prozessualen Gründen unbeachtlich.

Bezüglich des Sub-Selbstbehalts von 12 Stunden (vgl. Seite 3 der Police, Anlage K 1) ist der im Unterbrechungszeitraum eingebüßte Betrag (2.543.130 €) durch die Anzahl der Arbeitstage im betreffenden Zeitraum zu teilen. Abzüglich Wochenenden und gesetzlicher Feiertage, die nicht auf das Wochenende fielen, gab es im Zeitraum Juni bis Oktober 2020 insgesamt 108 Arbeitstage. Wenn man von einem achtstündigen Arbeitstag ausgeht, ist der so ermittelte Betrag auf 12 Stunden hochzurechnen.

Insgesamt ergibt sich unter Berücksichtigung des Sub-Selbstbehalts ein zu erstattender Betriebsunterbrechungsschaden von 2.507.809 €.

b. Sachschaden an IT-Geräten, Daten und Software

Die Klägerin hat Anspruch auf Ersatz des geltend gemachten Sachschadens an IT-Geräten, Daten und Software (vgl. Tabelle auf Seite 11f der Klageschrift, Bl. 11f d.A., Anlagenkonvolut K 3) in Höhe von 322.040,58 €.

aa. Der Erstattungsanspruch folgt aus A4-2.1 AVB (bzgl. Daten) bzw. A4-3.1 AVB (bzgl. Sachen). Versicherungsschutz besteht danach für notwendige Aufwendungen zur Wiederherstellung der betroffenen Daten sowie für die Entfernung der Schadsoftware bzw. zur Reparatur, Wiederherstellung oder Wiederbeschaffung der versicherten Sachen.

bb. Es kann dahin stehen, ob die Regelungen in C2.3.3 AVB (bzgl. IT-Geräten), C2.4.3 AVB (bzgl. Maschinen und technischen Anlagen), C2.5.3 AVB (bzgl. Betriebseinrichtung), C3.3.3 und C3.4.3 (bzgl. Reparatur oder Austausch von mitversicherten Sachen als Folge aus der Beeinträchtigung, Beschädigung oder Unbrauchbarmachung von Software und Daten), wonach Voraussetzung eines Erstattungsanspruchs ist, dass die Leistungen durch die [...] GmbH beauftragt und gesteuert wurden, den Versicherungsnehmer entgegen den Geboten von Treu und Glauben unangemessen benachteiligen im Sinne des § 307 Abs. 1 Satz 1 BGB oder überraschend im Sinne des § 305c Abs. 1 BGB sind, wenn - wie hier - eine Regulierung durch den Versicherer abgelehnt wird. Denn die Klägerin hat unwidersprochen vorgetragen, dass die Maßnahmen von der [...] GmbH (mit-)initiiert und koordiniert wurden.

cc. Entgegen der Auffassung der Beklagten ist weder eine Sachsubstanzschädigung erforderlich, noch dass die beschädigten Sachen im Eigentum der Klägerin standen.

Der Begriff der Beschädigung wird in A460 des Glossars als jede Einwirkung auf eine Sache, die ihre stoffliche Zusammensetzung negativ verändert oder ihre bestimmungsgemäße Brauchbarkeit nicht nur geringfügig beeinträchtigt, definiert. Ausdrücklich ist dort bestimmt, dass eine Substanzverletzung nicht erforderlich ist.

Gemäß A4-3.2 Absatz 2 AVB werden geleaste oder gemietete IT-Geräte beziehungsweise Maschinen und technische Anlagen solchen Sachen gleichgestellt, die sich im Eigentum des Versicherungsnehmers befinden.

dd. Der Einwand der Beklagten, die geltend gemachten Aufwendungen seien teils nicht notwendig, da die Klägerin insoweit nicht nur den Zustand vor dem Cyber-Angriff wiederhergestellt, sondern darüber hinaus Verbesserungen vorgenommen habe, greift nicht durch.

Die diesbezügliche Darlegungs- und Beweislast liegt bei der Beklagten. Nach der Formulierung der Ziffer A4-2.4.2 Satz 2 AVB (“Der Versicherer leistet keine Entschädigung für: a. Mehrkosten (A231) durch Änderungen oder Verbesserungen, die über die Wiederherstellung hinausgehen“) handelt es sich um eine Ausnahme von Satz 1, welcher die grundsätzliche Erstattungspflicht des Versicherers statuiert (“Der Versicherer leistet Entschädigung in Höhe der notwendigen Aufwendungen ...“).

Dem Vortrag der Klägerin, soweit Verbesserungen erfolgt seien, seien diese technisch nicht vermeidbar gewesen, ist die Beklagte erst mit nicht nachgelassenen Schriftsätzen nach der letzten mündlichen Verhandlung entgegengetreten, welche nach § 296a Satz 1 ZPO unbeachtlich sind.

ee. Der Anspruch der Klägerin ist auch nicht auf den Zeitwert begrenzt. Zwar ist nach A4-3.5 Ziff. 1 lit. a AVB der Neuwertanteil nur geschuldet, wenn die Wiederbeschaffung der vom Schaden betroffenen, versicherten Sachen innerhalb von zwölf Monaten nach Eintritt des Versicherungsfalles erfolgt. Sämtliche von der Klägerin im Anlagenkonvolut K 3 vorgelegten Rechnungen wurden jedoch innerhalb eines Jahres ab dem Versicherungsfall (29./30.05.2020) gestellt, so dass die abgerechneten Leistungen ebenfalls innerhalb Jahresfrist erfolgt sind.

ff. Gemäß A4-3.5 Ziff. 1 lit. c AVB macht die Klägerin jeweils (nur) den Rechnungsbetrag ohne Umsatzsteuer geltend.

gg. Weiterer Vortrag der Beklagten, mit welchem einzelne Rechnungen/ Rechnungspositionen sowie die Bezahlung der vorgelegten Rechnungen bestritten und deren Prüffähigkeit gerügt wird, insbesondere auch die Vorlage der gutachterlichen Stellungnahmen zur Rechnungsprüfung gem. den Anlagen BLD 11 und BLD 12, ist nach der letzten mündlichen Verhandlung mit nicht nachgelassenen Schriftsätzen erfolgt und daher nach § 296a Satz 1 ZPO unbeachtlich.

hh. Insgesamt ist ein Betrag in Höhe von 322.540,58 € grundsätzlich erstattungsfähig. Hiervon ist allerdings gemäß Seite 3 der Police (Anlage K1) der vereinbarte Sub-Selbstbehalt von 500 € abzuziehen. Zu erstatten ist daher ein Schaden in Höhe von 322.040,58 €.

c. Schadensminderungsmaßnahmen

Die Klägerin kann gemäß §§ 83 Abs. 1 Satz 1, 82 Abs. 1 VVG Ersatz in Höhe von 29.073,96 € für diejenigen Aufwendungen verlangen, welche sie unter Anleitung der [...] GmbH getätigt hat, um die Betriebsunterbrechung so rasch wie möglich zu beenden (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A., Rechnungen in Anlage K 5). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 (dort Seite 20, Bl. 571 d.A.) mit Nichtwissen bestritten hat, dass die aufgeführten Arbeiten zur Schadenminimierung objektiv erforderlich waren und die Kosten angemessen und ortsüblich sind, ist dieser Vortrag einerseits verspätet gemäß § 296a Satz 1 ZPO und anderseits prozessual unzulässig, da diese Aufwendungen gemäß den Schadenmanagementklauseln der AVB (siehe oben unter b. bb.) unter Mitwirkung der [...] GmbH erfolgt sind. Die Tätigkeit der [...] GmbH ist der Beklagten zuzurechnen, so dass ein Bestreiten mit Nichtwissen gemäß § 138 Abs. 4 ZPO ausscheidet.

d. Kosten der Schadensfeststellung

Dagegen hat die Klägerin keinen Anspruch auf Erstattung der geltend gemachten Kosten der Schadensfeststellung (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A.).

Es fehlt hierzu an hinreichendem Vortrag bzw. an einem Beweisantritt seitens der darlegungs- und beweisbelasteten Klägerin. Die Klägerin trägt vor, ihr Geschäftsführer sowie zwei Mitarbeiter aus dem Bereich Controlling seien mehrere Tage im Einsatz gewesen, um den Schaden festzustellen, und verweist auf eine Tabelle der ausgefallenen Personentage (Anlage K4), welche die Klägerin bereits der (ersten) Berechnung des Betriebsunterbrechungsschadens zugrunde gelegt hat. Die Beklagte hat diesen Vortrag als unsubstantiiert zurückgewiesen und die Anzahl der Mitarbeiter und der Ausfalltage bestritten, insbesondere dass diesbezüglich auch noch ein Jahr nach dem Schadensfall Personentage angefallen sein sollen. Weiterer Vortrag der Klägerin ist nicht erfolgt. Im Übrigen ist darauf hinzuweisen, dass ausgefallene Personentage bereits in die Ermittlung des Unterbrechungsschadens eingeflossen sind. Dass dem Geschäftsführer oder den Mitarbeitern der Klägerin schadensbedingt über das normale Gehalt hinaus eine zusätzliche Vergütung bezahlt worden wäre, wird von der Klägerin nicht behauptet.

e. Kosten für Gutachten der [...] GmbH

Schließlich hat die Klägerin keinen Anspruch auf Erstattung der Kosten des vorgerichtlich eingeholten Gutachtens der [...] GmbH (vgl. Rechnungen Anlage K 6). Es fehlt an einer Anspruchsgrundlage.

Zwar ist gemäß Seite 2 der Police (Anlage K1) der Baustein „Kosten eigener Sachverständiger“ mitversichert. Nach C5.1.1 AVB betrifft dies allerdings nur die im Rahmen des Sachverständigenverfahrens gemäß AVB anfallenden Gutachterkosten. Es bleibt daher bei der allgemeinen Regelung des § 85 Abs. 2 VVG. Danach hat der Versicherer Kosten, die dem Versicherungsnehmer durch die Zuziehung eines Sachverständigen entstehen, nicht zu erstatten, es sei denn, der Versicherungsnehmer ist zu der Zuziehung vertraglich verpflichtet oder vom Versicherer aufgefordert worden. Da die genannten Ausnahmen nicht vorliegen, bleibt es bei dem Grundsatz, dass diese Kosten nicht erstattungsfähig sind.

f. allgemeiner Selbstbehalt

Ein weiterer Selbstbehalt ist nicht abzuziehen. Zwar ist gemäß Seite 2 der Police (Anlage K1) ein allgemeiner Selbstbehalt (sog. Policen-Selbstbehalt) von 25.000 € vereinbart. Aus A1-15.2 AVB ergibt sich jedoch, dass es sich dabei um einen Mindest-Selbstbehalt handelt. Die bisherigen zu berücksichtigenden Sub-Selbstbehalte addieren sich auf 35.821 € (= Betriebsunterbrechung 35.321 € + Sachschaden 500 €), so dass der allgemeine Selbstbehalt aufgrund dieser speziellen Selbstbehalte bereits abgegolten ist.

5. Der Anspruch der Klägerin ist nicht wegen grob fahrlässiger Herbeiführung des Versicherungsfalls zu kürzen.

Nach § 81 Abs. 2 VVG, auf welchen sich die Beklagte berufen hat, ist der Versicherer berechtigt, seine Leistung in einem der Schwere des Verschuldens des Versicherungsnehmers entsprechenden Verhältnis zu kürzen, wenn der Versicherungsnehmer den Versicherungsfall grob fahrlässig herbeigeführt hat.

a. Der gerichtliche Sachverständige hat mehrere denkbare Maßnahmen aufgeführt, durch welche der Cyber-Angriff verhindert oder zumindest erschwert worden wäre. Hier sind insbesondere die Zwei-Faktoren-Authentifizierung und das sog. Monitoring zu nennen. Bei der Zwei-Faktoren-Authentifizierung ist neben dem Passwort eine weitere Komponente für die Anmeldung beim Netzwerk erforderlich. Diese weitere Komponente wird etwa über einen USB-Stick oder aber über eine App für das Handy bereitgestellt (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Das Monitoring schlägt Alarm, wenn Unregelmäßigkeiten auftreten, also etwa alle Server zeitgleich angegriffen werden, indem ein Mitarbeiter der Firma verständigt wird, etwa per SMS über das Handy. Dieser Mitarbeiter ist dann verpflichtet, sich beim System anzumelden und Überprüfungen vorzunehmen. Sollte dabei ein Angriff entdeckt werden, können, falls notwendig, alle Server vom Netz genommen werden, um Schlimmeres zu verhindern (Protokoll vom 28.04.2023 Seite 5, Bl. 587 d.A.).

b. Die Norm des § 81 Abs. 2 VVG ist vorliegend jedoch bereits nicht anwendbar, weshalb eine Kürzung ausscheidet.

Der Anwendungsbereich des § 81 Abs. 2 VVG ist dann nicht eröffnet, wenn die betreffende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; ähnlich BGH NJW 1965, 156, 157). So liegt der Fall hier. Bei der Klägerin hat sich die Risikolage bis zum 29./30.05.2020 gegenüber dem Zustand bei Vertragsschluss im April 2020 nicht geändert. Denn bereits damals verfügte die Klägerin weder über eine Zwei-Faktoren-Authentifizierung noch über ein Monitoring oder eine andere vergleichbare Maßnahme zur Vermeidung von Cyber-Angriffen. Die Beklagte hätte es selbst in der Hand gehabt, die Existenz solcher zusätzlichen Sicherheitsmaßnahmen durch passende Risikofragen abzuklären. Indem die Beklagte hierauf verzichtete, hat sie die Klägerin als Versicherungsnehmerin mit der bestehenden Risikolage akzeptiert und kann von Beginn an bestehende Risiken nicht über § 81 Abs. 2 VVG (ganz oder teilweise) der Versicherungsnehmerin aufbürden. Zu einer Abänderung, insbesondere Verbesserung der bei Vertragsschluss bestehenden Risikolage ist der Versicherungsnehmer nämlich nicht verpflichtet (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.). Diese Überlegungen gelten auch nach der VVG-Reform fort und finden daher auf § 81 VVG ebenso Anwendung wie auf § 61 VVG a.F. (vgl. zum neuen Recht: BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; anders wohl Langheid/Wandt/Looschelders, 3. Aufl. 2022, VVG § 81 Rn. 26).

6. Der Anspruch ist nach §§ 286 Abs. 1, Abs. 2 Nr. 3, 288 Abs. 1 BGB ab dem 05.06.2020 mit dem gesetzlichen Zinssatz zu verzinsen. Die Beklagte hat mit dem Rücktrittsschreiben vom 04.06.2020 (Anlage K 7) die Leistung aus dem Versicherungsvertrag ernsthaft und endgültig verweigert und befindet sich daher ab dem Folgetag im Verzug (BGH, 27.09.1989 – IVa ZR 156/88, VersR 1990, 153; Armbrüster, in Prölss/Martin, Versicherungsvertragsgesetz, 31. Auflage 2021, § 14 Rn. 29 m.w.N.).


Den Volltext der Entscheidung finden Sie hier:


EuGH-Generalanwalt: Bei einem Datenleck oder Hackerangriff kann ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO für Befürchtung eines künftigen Missbrauchs der Daten bestehen

EuGH-Generalanwalt
Schlussanträge vom 27.04.2023
C-340/21 | Natsionalna agentsia za prihodite


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass bei einem Datenleck oder Hackerangriff ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO gegen die verarbeitende Stelle für die Befürchtung eines künftigen Missbrauchs der Daten bestehen kann.

Die Pressemitteilung des EuGH:
Bei einem unbefugten Zugang zu personenbezogenen Daten durch Dritte haftet der Verantwortliche für mutmaßliches Verschulden und es kommt eventuell ein Ersatz des immateriellen Schadens in Betracht

Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist. Die Befürchtung eines künftigen Missbrauchs personenbezogener Daten kann nur dann einen immateriellen Schaden darstellen, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handelt.

Am 15. Juli 2019 verbreiteten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der bulgarischen Nationalen Agentur für Einnahmen (NAP) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht worden seien. Mehrere Personen, darunter V.B., verklagten die NAP auf Ersatz des immateriellen Schadens, der sich in Sorgen und Befürchtungen des künftigen Missbrauchs ihrer personenbezogenen Daten äußere. Nach Ansicht von V.B. hatte die NAP gegen nationale Vorschriften und ihre Verpflichtung verstoßen, geeignete Maßnahmen zu ergreifen, um als Verantwortliche bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsstandards zu gewährleisten. Das erstinstanzliche Gericht wies die Klage mit der Begründung ab, dass die Veröffentlichung der Daten nicht der NAP zuzurechnen sei, dass die Beweislast für die Geeignetheit der Maßnahmen bei V.B. liege und dass kein immaterieller Schaden geltend gemacht werden könne. Das mit der Kassationsbeschwerde befasste Oberste Verwaltungsgericht hat dem Gerichtshof einige Fragen zur Auslegung der DatenschutzGrundverordnung1 zur Vorabentscheidung vorgelegt, um zu klären, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In den heutigen Schlussanträgen weist Generalanwalt Giovanni Pitruzzella zunächst darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen müsse, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der Verordnung erfolge. Die Geeignetheit dieser Maßnahmen werde unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen auf der Grundlage einer Einzelfallprüfung bestimmt.

Der Generalanwalt führt erstens aus, dass das Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“ an sich nicht ausreiche, um anzunehmen, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet" gewesen seien, um den Schutz der Daten zu gewährleisten. Bei der Auswahl der Maßnahmen müsse der Verantwortliche eine Reihe von Faktoren berücksichtigen, darunter den „Stand der Technik“, der eine Begrenzung des technologischen Niveaus der Maßnahmen auf das, was zum Zeitpunkt des Ergreifens der Maßnahmen vernünftigerweise möglich sei, zulasse, wobei auch die Implementierungskosten zu berücksichtigen seien. Die Entscheidung des Verantwortlichen unterliege einer möglichen gerichtlichen Prüfung der Vereinbarkeit mit der Verordnung. Die Beurteilung der Geeignetheit der Maßnahmen müsse auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen unter Wahrung des allgemeinen Verhältnismäßigkeitsgrundsatzes beruhen.

Zweitens müsse das nationale Gericht bei der Prüfung der Frage, ob die Maßnahmen geeignet gewesen seien, eine Überprüfung vornehmen, die sich auf eine konkrete Analyse sowohl des Inhalts der Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen erstrecke. Bei der gerichtlichen Überprüfung müssten daher alle Faktoren berücksichtigt werden, die in der Verordnung enthalten seien. Unter diesen Faktoren könne die Einführung von Verhaltensregeln oder Zertifizierungssystemen ein nützliches Element der Bewertung zum Zweck der Erfüllung der Beweispflicht sein, wobei der Verantwortliche nachweisen müsse, dass er die in den Verhaltensregeln vorgesehenen Maßnahmen tatsächlich ergriffen habe, während die Zertifizierung als solche den Beweis für die Übereinstimmung der durchgeführten Verarbeitungen mit der Verordnung darstelle. Da diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden müssten, habe das Gericht auch diesen Umstand zu würdigen.

Drittens obliege dem Verantwortlichen der Nachweis, dass die Maßnahmen geeignet seien. Gemäß dem Grundsatz der Verfahrensautonomie sei es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die zulässigen Beweismittel und deren Beweiskraft, einschließlich der Ermittlungsmaßnahmen, zu bestimmen.

Viertens stelle der Umstand, dass der Verstoß gegen die Verordnung von einem Dritten begangen worden sei, für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung müsse der Verantwortliche mit hohem Beweisniveau nachweisen, dass er für den Umstand, durch den der Schaden eingetreten sei, in keinerlei Hinsicht verantwortlich sei. Bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handele es sich nämlich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche habe daher die Möglichkeit, einen Entlastungsbeweis vorzulegen.

Schließlich ist der Generalanwalt der Ansicht, dass der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten bestehe und dessen Vorhandensein die betroffene Person nachgewiesen habe, einen immateriellen Schaden darstellen könne, der einen Schadensersatzanspruch begründe. Dies gelte aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handele.


Die vollständigen Schlussanträge finden Sie hier:

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - "Daten weg - wer muss informiert werden"

In Ausgabe 5/22 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Daten weg - wer muss informiert werden" zu den Informationspflichten von Unternehmen bei einer Datenpanne oder einem Cyberangriff.

In Heft 5/22 der com! professional - Interview mit Rechtsanwalt Marcus Beckmann zum IT-Sicherheit und Cyberversicherungen

In Ausgabe 5/22, S.60 der Zeitschrift com! professional erschien im Rahmen des Beitrags "Elementarschutz des 21. Jahrhunderts - Die Firma für den Ernstfall absichern" von Konstantin Pfliege ein Interview mit Rechtsanwalt Marcus Beckmann zum Thema IT-Sicherheit und Cyberversicherungen.