BECKMANN UND NORDA - Rechtsanwälte Bielefeld

LG Bielefeld
Urteil vom 07.07.2023
4 O 275/22

Das LG Bielefeld hat entschieden, dass dem Betroffene kein Anspruch auf immateriellen Schadensersatz aus Art. 82 DSGVO wegen des Kopierens des Personalausweises durch eine Arztpraxis zusteht, da keine spürbare Beeinträchtigung vorliegt.

Aus den Entscheidungsgründen:
II. Zudem hat die Klägerin gegen die Beklagte auch keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DSGVO oder einer anderen denkbaren Anspruchsgrundlage wegen des Kopierens ihres Personalausweises in der Praxis der Beklagten. Denn jedenfalls fehlt es am Eintritt eines immateriellen Schadens.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Dabei ist umstritten, unter welchen Voraussetzungen ein ersatzfähiger immaterieller Schadensersatz entsteht und sodann gewährt werden kann (eine Zusammenfassung in Korch NJW 2021, 978).

Das Merkmal des immateriellen Schadens ist autonom auszulegen (für alle: Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17 ff.). Der Erwägungsgrund 146 (und in diesem S. 3) zur DSGVO sieht vor, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DSGVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis zum Begriff des Schadens – etwa eine enge Auslegung – ist mithin nicht angezeigt (vgl. dazu BVerfG 14.1.2021, 1 BvR 2853/19, NJW 2021, 1005, 1007). Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich gerade nicht aus der DSGVO. Bagatellschäden sind nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist (OLG Frankfurt a.M. 2.3.2022, 13 U 206/20, GRUR-RS 2022, 4491 Rn. 61 ff.; LG Essen 10.11.2022, 6 O 111/22, GRUR-RS 2022, 34818 Rn. 75; LG Gießen 3.11.2022, 5 O 195/22, GRUR-RS 2022, 30480 Rn. 18). Diesen muss die Klägerin darlegen und ggf. beweisen (s. OLG Frankfurt a.M., Urteil vom 2.3.2022, 13 U 206/20, GRUR-RS 2022, 4491 Rn. 57, 65; Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 20 mwN). Auch und gerade unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens, das ausdrücklich auch Bagatellschäden einschließt, vermochte die Kammer jedoch nicht zu erkennen, dass die Klägerin einen solchen Schaden tatsächlich erlitten hat.

Die in den Schriftsätzen formelhaft beschriebenen Ängste und Sorgen, das Unwohlsein sowie die Verunsicherung der Klägerin haben sich in der persönlichen Anhörung im Rahmen der mündlichen Verhandlung nicht bestätigt. Die Klägerin hat im Rahmen ihrer persönlichen Anhörung ausgeführt, dass sie im Wesentlichen die Unsicherheit, was mit ihren Eizellen passiert sei und/oder passieren könne, umtreibe. Hinzu komme die Problematik mit dem Datenschutz, man höre und lese immer wieder, dass medizinische Daten nicht sicher verwahrt und Krankenunterlagen beispielsweise – ohne sie zu vernichten – im Müll entsorgt werden würden. Die Klägerin wolle auf keinen Fall, dass ihr Name im Zusammenhang mit der Entnahme von Eizellen bekannt werde. Der Hauptpunkt, der sie umtreiben würde und sie gelegentlich am Einschlafen hindere, sei aber die Unsicherheit, was mit ihren Eizellen sei. Sie habe als Nebenpunkt dann von ihrem Anwalt erfahren, dass in der Praxis der Beklagten keine Kopie ihres Personalausweises hätte gemacht werden dürfen. Aus den Ausführungen der Klägerin ist somit zu entnehmen, dass die Sorgen und Ängste der Klägerin, die die Klägerin in ihrer Klageschrift vorgetragen und behauptet hat, nicht durch das Kopieren ihres Personalausweises ausgelöst worden sind, sondern vielmehr durch die Auslagerung und den Transport ihrer Eizellen, da sie insoweit eine Unsicherheit hinsichtlich des Zustandes und des Verbleibs ihrer Eizellen verspürt. Dies folgt insbesondere auch aus den Angaben der Klägerin im Rahmen ihrer persönlichen Anhörung, wonach sie erstmals von ihrem Anwalt erfahren habe, dass eine Kopie ihres Personalausweises in der Praxis nicht habe gemacht werden dürfen. Somit war Anlass der Klägerin für das Aufsuchen ihres Prozessbevollmächtigten nicht das Kopieren des Personalausweises in der Praxis der Beklagten, sondern vielmehr die Auslagerung der Eizellen. Die Sorgen im Hinblick auf das Kopieren des Personalausweises sind allenfalls erst bei der anwaltlichen Beratung aufgekommen und nicht schon bei oder nach Kenntnis davon, dass eine Kopie ihres Personalausweises angefertigt wurde.

Nach alledem liegt eine auf das Kopieren des Personalausweises zurückzuführende spürbare Beeinträchtigung der Klägerin nicht vor.

Den Volltext der Entscheidung finden Sie hier:

Die Irische Datenschutzbehörde hat ein Bußgeld in Höhe von 345 Millionen EURO gegen TikTok wegen diverser Verstöße gegen die DSGVO verhängt.

Die Pressemitteilung der Irish Data Protection Commission:
Irish Data Protection Commission announces €345 million fine of TikTok

The Data Protection Commission (DPC) adopted its final decision regarding its inquiry into TikTok Technology Limited (TTL) on 1 September 2023.

This own-volition inquiry sought to examine the extent to which, during the period between 31 July 2020 and 31 December 2020 (the Relevant Period), TTL complied with its obligations under the GDPR in relation to its processing of personal data relating to child users of the TikTok platform in the context of:

Certain TikTok platform settings, including public-by-default settings as well as the settings associated with the ‘Family Pairing’ feature; and
Age verification as part of the registration process.
As part of the inquiry, the DPC also examined certain of TTL’s transparency obligations, including the extent of information provided to child users in relation to default settings.

At the conclusion of its investigation, the DPC submitted a draft decision to all Supervisory Authorities Concerned (CSAs), for the purpose of Article 60(3) GDPR, on 13 September 2022. The DPC’s draft decision proposed findings of infringement of Articles 5(1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1) and 13(1)(e) GDPR, in relation to the above processing. While there was broad consensus on the DPC’s proposed findings, objections to the draft decision were raised by the Supervisory Authorities (each an SA, collectively SAs) of Italy and Berlin (acting on behalf of itself and the Baden-Württemberg SA).

The objection raised by the Berlin SA sought the inclusion of an additional finding of infringement of the Article 5(1)(a) GDPR principle of fairness as regards ‘dark patterns’ while the objection raised by the Italian SA sought to reverse the DPC’s proposed finding of compliance with Article 25 GDPR, as regards TTL’s approach to age verification during the Relevant Period. The DPC was unable to reach consensus with the CSAs on the subject-matter of the objections and, in the circumstances, decided to refer the objections to the EDPB for determination pursuant to the Article 65 GDPR dispute resolution mechanism.

The European Data Protection Board adopted its binding decision on the subject matter of the objections on 2 August 2023 with a direction that the DPC must amend its draft decision to include a new finding of infringement of the Article 5(1)(a) GDPR principle of fairness, further to the objection raised by the Berlin SA, and to extend the scope of the existing order to bring processing into compliance, to include reference to the remedial work required to address this new finding of infringement.

The DPC’s decision, which was adopted on 1 September 2023, records findings of infringement of Articles 5(1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1), 13(1)(e) and 5(1)(a) GDPR. The decision further exercises the following corrective powers:

A reprimand;
An order requiring TTL to bring its processing into compliance by taking the action specified within a period of three months from the date on which the DPC’s decision is notified to TTL; and
Administrative fines totalling €345 million.
For more information, the EDPB has published the Article 65 decision and the final decision on its website.

Die vollständige Entscheidung finden Sie hier:

LAG Baden-Württemberg
Urteil vom 27.7.2023
3 Sa 33/22

Das LAG Baden-Württemberg hat entschieden, dass ein ehemaliger Arbeitnehmer einen Anspruch auf Schadensersatz gegen seinen ehemaligen Arbeitgeber in Höhe von 10.000 EURO aus Art. 82 DSGVO wegen der unautorisierten Verwendung von Video- und Fotoaufnahmen hat..

Aus den Entscheidungsgründen:
Auf die Berufung des Klägers waren diesem wegen der unautorisierten Verwendung ihn betreffenden Bildmaterials in Video- und Fotoaufnahmen nicht nur 3.000,00 EUR, sondern 10.000,00 EUR als Schadensersatz zuzusprechen.

1. Wegen der Verpflichtung der Beklagten dem Grunde nach zur Zahlung von Schadensersatz wegen Verstoßes gegen Art. 17 Abs. 3 Satz 1 i.V.m. Art. 82 Abs. 1 DSGVO bzw. zur Zahlung einer Geldentschädigung wegen Verletzung des Persönlichkeitsrechts des Klägers durch die Nutzung von Film- und Fotoaufnahmen, die den Kläger erkennbar über längeren Zeitraum zeigen, kann zunächst auf die Ausführungen des Arbeitsgerichts unter II. 2. lit. b der Entscheidungsgründe seines Urteils (Bl. 214 bis 217 d. ArbG-Akte) verwiesen werden. Die hiergegen gerichteten Einwände der Beklagten in ihrer Berufungsbegründung liegen neben der Sache.

Wenn die Beklagte ausführt, dass „zwischen den Parteien abgestimmt gewesen“ sei, dass die Beklagte das Schulungsvideo auch nach Ausscheiden des Klägers vollumfänglich mit dem Bild des Klägers weiter nutzen könne, so ist nicht ansatzweise ersichtlich, wer - bei der Beklagten handelt es sich um eine juristische Person - mit wem wann welche konkrete Regelung vereinbart haben soll. Der Kläger hat eine entsprechende Abrede bestritten.

Auch wenn der Kläger im Zeitpunkt des Anfertigens des Bildmaterials hiermit und mit der Verwertung des Bildmaterials zu Werbezwecken für die Beklagte einverstanden war, so bedeutet dies nicht, dass dieses Einverständnis über den Zeitpunkt seines Ausscheidens bei der Beklagten hinaus fortbestand, zumal der Kläger in unmittelbarem zeitlichen Anschluss in vergleichbarer Position bei einem Wettbewerber tätig wurde. Vielmehr hätte die Beklagte sämtliche Bildnisse des Klägers von sich aus spätestens im Zeitpunkt des Ausscheidens des Klägers aus ihren Werbemedien entfernen müssen (vgl. ArbG Neuruppin 14. Dezember 2021 - 2 Ca 554/21 - ZD 2022, 396). Dies hat die Beklagte jedoch nicht getan, sondern in der Folgezeit ein das Persönlichkeitsrecht des Klägers in erheblichem Maße beeinträchtigendes Verhalten an den Tag gelegt.

a) Im Ansatz zu Recht gibt die Beklagte an, dass nicht jedwede Verletzung des allgemeinen Persönlichkeitsrechts, also auch nicht jede Verletzung des Rechts am eigenen Bild, einen Anspruch des Betroffenen auf eine Geldentschädigung gegen den Urheber auslöst (BGH 12. Dezember 1995 - VI ZR 223/94 - NJW 1996, 984). Erforderlich ist vielmehr eine Bewertung aufgrund der gesamten Umstände des Einzelfalles. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, also das Ausmaß der Verbreitung der Veröffentlichung, die Nachhaltigkeit und Fortdauer der Interessen- oder Rufschädigung des Verletzten, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Bei Verletzungen des Rechts am eigenen Bild sind im Regelfall geringere Anforderungen an die Zusprechung einer Geldentschädigung zu stellen, da die Rechtsverletzung, anders als bei das Persönlichkeitsrecht beeinträchtigenden Äußerungen, regelmäßig nicht mehr rückgängig gemacht werden kann (BGH 17. Dezember 2013 - VI ZR 211/12 - BGHZ 199, 237). Bei dieser Entschädigung steht regelmäßig der Gesichtspunkt der Genugtuung des Opfers im Vordergrund. Außerdem soll sie der Prävention dienen.

Im vorliegenden Fall liegt eine erhebliche Beeinträchtigung des Persönlichkeitsrechts des Klägers vor. Auch wenn dieser zunächst mit der Anfertigung von Bildnissen einverstanden war und diese möglicherweise aktiv befördert hat, war für die Beklagte ohne Weiteres ersichtlich, dass dies jedenfalls ab dem Zeitpunkt des Ausscheidens des Klägers und seines Wechsels zu einem Konkurrenzunternehmen nicht mehr der Fall war. Die Beklagte hat dennoch weder von sich aus und zunächst auch nicht auf mehrmaliges Drängen des Klägers die Foto- und Videoaufnahmen mit dem Kläger aus ihren Werbemedien entfernt, sondern dies erst im Februar 2020 und somit über 9 Monate nach seinem Ausscheiden vollständig getan.

b) Nicht ausreichend berücksichtigt hat das Arbeitsgericht bei der Festsetzung der Höhe der Geldentschädigung, dass die Beklagte den Kläger über den Bestand des Arbeitsverhältnisses hinaus zur Verfolgung eigener kommerzieller Interessen eingesetzt hat. Dies bedeutet zwar nicht, dass eine „Gewinnabschöpfung“ vorzunehmen ist, wohl aber, dass die Erzielung von Gewinnen aus der Rechtsverletzung als Bemessungsfaktor in die Entscheidung über die Höhe der Geldentschädigung mit einzubeziehen ist. In solchen Fällen muss von der Höhe der Geldentschädigung ein echter Hemmungseffekt ausgehen; als weiterer Bemessungsfaktor kann die Intensität der Persönlichkeitsrechtsverletzung berücksichtigt werden (BGH 5. Dezember 1995 - VI ZR 332/94 - NJW 1996, 984).

Die Beklagte hat die Angaben des Klägers nicht substanziiert bestritten, wonach sie im Zeitraum vom 1. Mai 2019 bis 21. Februar 2020 viertägige Lehrgänge zum Erlernen von Foliertechniken angeboten habe, die zum Preis von 1.999,00 EUR von ca. 6 Personen je Lehrgang besucht worden seien. Dabei habe die Beklagte etwa 7.000,00 EUR Gewinn je Lehrgang vereinnahmt. Wie die Erörterungen in den mündlichen Verhandlungen vor der Berufungskammer ergeben haben, kann allerdings nicht davon ausgegangen werden, dass die Teilnehmer des Lehrgangs aufgrund des den Kläger zeigenden Werbematerials speziell wegen der Person des Klägers bei der Beklagten gebucht haben. Die Beklagte hat nicht mit dem Namen des Klägers geworben, der auch selbst nicht behauptet hat, in der Branche bekannt gewesen zu sein, weshalb Teilnehmer gezielt Schulungen mit ihm besucht haben könnten. Andererseits hat die Beklagte selbst vorgetragen, dass der Kläger seine jetzige Position bei Mitbewerbern auch deshalb bekleide, weil er durch die entsprechenden Schulungen und Veröffentlichungen bekannt geworden sei. Somit hat die Beklagte einen gewissen Werbeeffekt ausgenutzt, was bei der Bemessung des Entschädigungsbetrags zu berücksichtigen ist ebenso wie der Umstand, dass sie vermeiden wollte, das mit viel Aufwand und Kosten angefertigte Schulungsvideo nicht mehr unverändert verwerten zu können.

c) Unter Abwägung dieser Umstände hält die Kammer einen Entschädigungsbetrag von 10.000,00 EUR für angemessen. Auch unter dem Gesichtspunkt der Prävention nicht anspruchserhöhend wirkt sich die anwaltliche Vertretung der Beklagten spätestens seit Anfang Februar 2020 aus (vgl. BAG 5. Mai 2022 - 2 AZR 263/21 - NZA 2022, 1191).

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwältin
Schlussantrage vom 14.09.2023
C-115/22 | NADA u. a.

Die EuGH-Generalanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass kein Verstoß gegen die DSGVO vorliegt, wenn eine nationale Anti-Doping-Behörde personenbezogene Daten eines gedopten Profisportlers im Internet veröffentlicht.

Die Pressemitteilung des EuGH:
Dopingbekämpfung und Datenschutz: Nach Ansicht von Generalanwältin Ćapeta verstößt eine nationale Anti-Doping-Behörde, die personenbezogene Daten eines gedopten Profisportlers im Internet veröffentlicht, nicht gegen die DSGVO

Der dadurch entstehende Eingriff in das Recht auf Datenschutz kann mit dem Präventionsziel einer solchen Veröffentlichung gerechtfertigt werden.

Eine österreichische Profisportlerin im Mittelstreckenlauf wurde für schuldig befunden, gegen österreichische AntiDoping-Regeln verstoßen zu haben. Die Österreichische Anti-Doping-Rechtskommission (ÖADR) erklärte alle im fraglichen Zeitraum von der Sportlerin erzielten Ergebnisse für ungültig, erkannte alle Start- und/oder Preisgelder ab und verhängte über sie eine vierjährige Sperre für die Teilnahme an jeglicher Art von sportlichen Wettkämpfen. Dieser Beschluss wurde von der ÖADR und der Unabhängigen Schiedskommission (USK) bestätigt.

Die Unabhängige Dopingkontrolleinrichtung (NADA) veröffentlichte in Bezug auf die Sportlerin auch ihren Namen, ihren Verstoß gegen die Anti-Doping-Regeln und den Zeitraum der Sperre in einer Tabelle gesperrter Sportler auf ihrer öffentlich zugänglichen Website.

Die Sportlerin beantragte bei der USK eine Überprüfung des Beschlusses. Diese Einrichtung möchte unter anderem wissen, ob die Veröffentlichung personenbezogener Daten eines gedopten Profisportlers im Internet mit der DSGVO vereinbar ist.

In den heutigen Schlussanträgen geht Generalanwältin Tamara Ćapeta zuerst auf die Zulässigkeit des Ersuchens ein. Nach Ansicht der Generalanwältin ist die USK ein „Gericht“’ im Sinne von Art. 267 Abs. 4 AEUV. Die Generalanwältin vertritt nämlich die Ansicht, dass die USK unter den Umständen des vorliegenden Falles sogar ein „Gericht“ darstelle, gegen dessen Entscheidungen keine Rechtsmittel gemäß Art. 267 Abs. 3 AEUV eingelegt werden könnten. Die USK sei daher sogar zur Vorlage verpflichtet gewesen.

In materiellrechtlicher Hinsicht befindet Generalanwältin Tamara Ćapeta zuerst, dass die DS-GVO auf den Sachverhalt des Falles nicht anwendbar sei. Das Anti-Doping-Recht regele vorrangig den Sport als Sport. Es beziehe sich eher auf die sozialen und erzieherischen Funktionen des Sports als auf seine wirtschaftlichen Aspekte. Es gebe derzeit keine unionsrechtlichen Vorschriften, die die Anti-Doping-Politik der Mitgliedstaaten beträfen. Ohne auch eine nur indirekte Verbindung der Anti-Doping-Politik zum Unionsrecht könne die DS-GVO solche Verarbeitungstätigkeiten nicht regeln. Deshalb vertritt die Generalanwältin die Ansicht, dass der Sachverhalt dieses Falles nicht in den Anwendungsbereich des Unionsrechts und somit nicht in den Anwendungsbereich der DS-GVO falle.

Alternativ vertritt die Generalanwältin Tamara Ćapeta die Ansicht, dass die DS-GVO in einem bestimmten Kontext die Verarbeitung personenbezogener Daten erlaube, ohne dass eine einzelfallbezogene Verhältnismäßigkeitsprüfung erforderlich sei. Die Entscheidung des österreichischen Gesetzgebers, zu verlangen, dass bei Profisportlern, die gegen geltende Anti-Doping-Regeln verstießen, personenbezogene Daten an die Allgemeinheit bekannt gegeben würden, unterliege daher keiner zusätzlichen Verhältnismäßigkeitsprüfung jedes Einzelfalles. Der durch die Veröffentlichung verursachte Eingriff in die Rechte von Profisportlern könne mit dem Präventionsziel gerechtfertigt werden, dass junge Sportler von Verstößen gegen Anti-DopingRegeln abgehalten und interessierte Kreise unterrichtet würden.

Generalanwältin Tamara Ćapeta erläutert weiter, dass es in der modernen Gesellschaft nur einen einzigen Weg gebe, um sicherzustellen, dass eine Pflicht zur allgemeinen Bekanntgabe wie im vorliegenden Fall die Pflicht des österreichischen Gesetzgebers erfüllt werde, nämlich durch eine Veröffentlichung im Internet. Eine bloße Veröffentlichung in gedruckter Form könne nicht mehr als geeignetes Mittel angesehen werden, um die Allgemeinheit mit Informationen zu versorgen. Wenn lediglich eine Offline-Veröffentlichung der fraglichen Informationen gefordert würde, käme dies einer Umgehung der Pflicht zur Information der Allgemeinheit gleich. Die Bekanntgabe des Namens der Sportlerin, des fraglichen Verstoßes gegen Anti-Doping-Regeln und der gegen sie verhängten Sperre auf der öffentlich zugänglichen Website einer nationalen Anti-Doping-Behörde sei während der Dauer ihrer Sperre geeignet und erforderlich, um die präventive Funktion der Abschreckung einerseits und der Information der interessierten Kreise andererseits zu erfüllen.

Die vollständigen Schlussanträge finden Sie hier:

LG Baden-Baden
Urteil vom 24.08.2023
3 S 13/23

Das LG Baden-Baden hat entschieden, dass ein gegen die Vorgaben der DSGVO durch Verarbeitung personenbezogener Daten auf privaten Kommunikationsgeräten von Mitarbeitern vorliegt.

Die Pressemitteilung des Gerichts:
Berufung über Klage auf Geltendmachung von Ansprüchen nach der Datenschutzgrundverordnung (DSGVO) wegen eigenmächtiger Verarbeitung von Kundendaten auf privatem Account hat Erfolg.

Unternehmen wird zur Auskunft über ihre Mitarbeiter, die Kundendaten privat verarbeitet haben und dazu verurteilt, ihren Mitarbeitern die Verwendung der Daten auf privaten Kommunikationsgeräten zu untersagen.

Durch Urteil vom 24.08.2023 (Az. 3 S 13/23) hat das Landgericht Baden-Baden ein Unternehmen dazu verurteilt, einer Kundin die Namen ihrer Mitarbeiter zu benennen, die in dem Unternehmen erhobene Kundendaten privat verarbeitet haben. Darüber hinaus ist das Unternehmen dazu verurteilt worden, ihren Mitarbeitern die fortgesetzte Verwendung der personenbezogenen Kundendaten auf ihren privaten Kommunikationsgeräten zu untersagen.

Zur Begründung hat das Landgericht ausgeführt, die Datenschutzgrundverordnung (DSGVO) sehe einen Auskunftsanspruch der Kundin nach Art. 15 Abs. 1 lit. c) DSGVO vor, der sich vorliegend auch darauf erstreckte, der klagenden Kundin die Mitarbeiter der Beklagten als Empfänger im Sinne von Art. 4 Ziff. 9 DSGVO zu benennen, denen gegenüber die personenbezogenen Daten der Klägerin offengelegt worden sind und die diese privat verarbeitet haben, etwa weil sie diese auf einem privaten Account eines sozialen Netzwerks genutzt haben. Zwar seien Arbeitnehmer eines für die Datenverarbeitung Verantwortlichen grundsätzlich nicht als Empfänger anzusehen. Dies gelte aber nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urteil vom 22.06.2023, C-579/21, Rn. 75) nur dann, wenn sie unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen die Daten verarbeiteten. Demgegenüber habe in dem zu entscheidenden Fall zumindest eine Mitarbeiterin der Beklagten zur Klärung von Fragen im Zusammenhang mit dem Kauf eines Fernsehers den Kontakt zu einer Kundin eigenmächtig über ihren privaten Account hergestellt. Da für die Kundin die Nennung der Mitarbeiter erforderlich sei, um die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten zu überprüfen und ggf. weitere nach der DSGVO zustehende Ansprüche gegen die Mitarbeiter geltend machen zu können, bestehe vorliegend ein Auskunftsanspruch auf Nennung der Mitarbeiter. Denn eine vorzunehmende Abwägung der in Rede stehenden Rechte und Freiheiten der Kundin einerseits und der Mitarbeiter andererseits führe im Hinblick darauf, dass die Nutzung der Kundendaten auf privaten Accounts entgegen den Weisungen und den üblichen Gepflogenheiten des Unternehmens eigenmächtig durch die Mitarbeiterin der Beklagten erfolgt sei, dazu, dass das Interesse der Mitarbeiter, anonym zu bleiben, nicht schutzwürdig sei und gegenüber den Interessen der Kundin auf Geltendmachung ihrer Ansprüche nach der DSGVO zurückzustehen habe.

Darüber hinaus stehe der Kundin nach §§ 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 DSGVO ein Anspruch darauf zu, dass das beklagte Unternehmen ihren Mitarbeitern, die bei der Beklagten erhobene personenbezogene Daten der Klägerin auf privaten Kommunikationsgeräten verwendet haben, die fortgesetzte Verwendung untersage. Die Beklagte sei als mittelbare Handlungsstörerin verantwortlich und verpflichtet, die ihren Weisungen unterliegenden Mitarbeiter der Beklagten dazu anzuhalten, die weisungswidrige fortgesetzte Verwendung der in dem Unternehmen erhobenen personenbezogenen Daten der Kundin zu unterlassen.

Das Landgericht hat die Revision gegen das Urteil vom 24.08.2023 nicht zugelassen. Ein Rechtsmittel gegen das Urteil ist damit nicht statthaft.

Zum Hintergrund:

Die Kundin hatte im Juni 2022 bei dem beklagten Unternehmen einen Fernseher und eine Wandhalterung erworben. In dem Zusammenhang wurden von ihr der Name und ihre Anschrift erfasst. Wenige Tage darauf gab sie die Wandhalterung wieder zurück, wobei ihr versehentlich der wesentlich höhere Kaufpreis für den Fernseher erstattet wurde.

Als das Versehen in dem Unternehmen bemerkt wurde verfasste eine Mitarbeiterin des Unternehmens über ihren privaten Account eines sozialen Netzwerks noch am gleichen Tag eine Nachricht an die Kundin, mit der sie auf das Versehen aufmerksam machte und um Rückmeldung bat. Darüber hinaus erhielt die Kundin ebenfalls noch an diesem Tag über Instagram eine weitere Nachricht, in der sie aufgefordert wurde, sich deshalb mit dem „Chef“ der Instagram-Nutzerin in Verbindung zu setzen.

Die Kundin hat mit ihrer gegen das Unternehmen gerichteten Klage die Auskunft begehrt, mitzuteilen, an welche Mitarbeiter der Beklagten ihre personenbezogenen Daten herausgegeben oder übermittelt wurden und darüber hinaus beantragt, die Beklagte zu verurteilen, den Mitarbeitern die Nutzung der personenbezogenen Daten der Kundin auf privaten Kommunikationsgeräten zu untersagen.

Das beklagte Unternehmen ist der Klage entgegen getreten.

Das Amtsgericht hat die Klage abgewiesen. Zur Begründung hat es unter anderem ausgeführt, der Auskunftsanspruch bestehe nicht, da Mitarbeiter eines Unternehmens keine „Empfänger“ im Sinne von Art. 15 Abs. 1 lit. c) DSGVO, Art. 4 Nr. 9 DSGVO seien. Die begehrte Verurteilung, den Mitarbeiter der Beklagten die Nutzung der personenbezogenen Daten der Kundin auf ihren privaten Kommunikationsgeräten zu untersagen, sei nicht begründet.

Hiergegen hat sich die Berufung der Klägerin gerichtet, mit der sie ihre erstinstanzlichen Anträge weiterverfolgt hat.

1. Instanz: Amtsgericht Bühl, Urteil vom 21.02.2023 – 3 C 210/22

2. Instanz: Landgericht Baden-Baden, Urteil vom 24.08.2023 - 3 S 13/23

Einschlägige Vorschriften:

Art. 15 DSGVO:

Abs. 1: Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

…

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen

….

Art. 4 DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

…

9.. „Empfänger“ eine natürliche oder juristische Person, …, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. …

§ 1004 BGB Beseitigungs- und Unterlassungsanspruch

(1)

Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen.Sind weitere Beeinträchtigungen zu besorgen, so kann der Eigentümer auf Unterlassung klagen.

…

§ 823 BGB Schadensersatzpflicht

(1)

Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2)

Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.

OVG Rheinland-Pfalz
Beschluss vom 20.06.2023
7 B 10360/23

Das OVG Rheinland-Pfalz hat entschieden, dass die Vorgaben der DSGVO der Übermittlung von personenbezogenen Daten an Polizei und Bußgeldbehörden zur Verfolgung von Ordnungswidrigkeiten nicht entgegen stehen.

Aus den Entscheidungsgründen:
d) Entgegen der Annahme der Antragstellerin war sie an der Preisgabe des verantwortlichen Fahrzeugführers oder der verantwortlichen Fahrzeugführerin nicht gehindert durch die Bestimmungen der Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO –). Dabei bedarf es vorliegend keiner Entscheidung, ob die Verarbeitung personenbezogener Daten im Ordnungswidrigkeitenverfahren – in dessen Rahmen die vorliegenden Ermittlungen vorgenommen wurden – in den sachlichen Anwendungsbereich der DSGVO fällt (zweifelnd: VG Regensburg, Urteil vom 17. April 2019 – RN 3 K 19.267 –, juris Rn. 25 ff.) oder sie hiervon gemäß Art. 2 Abs. 2 lit. b) DSGVO ausgenommen ist (ebenfalls offenlassend: BayVGH, Beschlüsse vom 22. Juli 2022 – 11 ZB 22.895 –, juris Rn. 18 und vom 30. November 2022 – 11 CS 22.1813 –, juris Rn. 34). Selbst wenn der Anwendungsbereich der DSGVO eröffnet sein sollte, wäre die Preisgabe der persönlichen Daten der Fahrzeugführer durch die Antragstellerin an die Polizei- oder Bußgeldbehörden gemäß Art. 6 Abs. 1 lit. f) DSGVO zur Wahrung der berechtigten Interessen der Behörden, eines Dritten im Sinne von Art. 4 Nr. 10 DSGVO, zulässig. Behörden haben ein berechtigtes Interesse daran, die ihnen im öffentlichen Interesse obliegenden Aufgaben zu erfüllen, zu denen die Verfolgung von Ordnungswidrigkeiten gehört (vgl. BayVGH, Beschluss vom 22. Juli 2022 – 11 ZB 22.895 –, juris Rn. 18). Gleiches gilt für das Führen eines Fahrzeugbuchs durch und die damit verbundene Datenerhebung durch den Fahrzeughalter (vgl. BayVGH, Beschluss vom 30. November 2022 – 11 CS 22.1813 –, juris Rn. 34; ferner HambOVG, Beschluss vom 1. Dezember 2020 – 4 Bs 84/20 –, juris Rn. 19: Zulässigkeit nach Art. 6 Abs. 1 lit. e) DSGVO). Ferner ist auch die Verarbeitung personenbezogener Daten durch die zuständigen Behörden – die Eröffnung des Anwendungsbereichs der DSGVO vorausgesetzt – gemäß Art. 6 Abs. 1 lit. e) DSGVO gerechtfertigt (vgl. VG Regensburg, Urteil vom 17. April 2019 – RN 3 K 19.267 –, juris Rn. 30).

Den Volltext der Entscheidung finden Sie hier:

VG Ansbach
Beschluss vom 03.08.2023
AN 14 K 19.01313

Das VG Ansbach hat entschieden, dass ein Betroffener nach 3 Monaten Untätigkeit Leistungsklage gegen die zuständige Datenschutzbehörde erheben kann. Die Kosten trägt § 161 Abs. 3 VwGO analog die Datenschutzbehörde.

Aus den Entscheidungsgründen:
1. Die Kosten des Verfahrens trägt vorliegend analog § 161 Abs. 3 VwGO der Beklagte.

Entgegen der Ansicht der Klägerin war für die Kostenentscheidung § 161 Abs. 3 VwGO nicht direkt anwendbar, da es sich vorliegend nicht um eine Untätigkeitsklage i.S.d. § 161 Abs. 3, § 75 VwGO gehandelt hat. Denn das Klagebegehren der Klägerin richtete sich nicht auf eine bestimmte, als Verwaltungsakt zu qualifizierende Maßnahme seitens den Beklagten, sondern auf ein Tätigwerden des Beklagten im Rahmen ihrer Datenschutzbeschwerde nach Art. 77 f. DS-GVO. Daher war nicht die Untätigkeitsklage nach § 75 VwGO die hier statthafte Klageart, sondern die allgemeine Leistungsklage.

§ 161 Abs. 3 VwGO ist auf den hier vorliegenden Fall aber analog anzuwenden, da es sich um eine Interessenlage handelt, welche der einer Untätigkeitsklage vergleichbar ist, für welche aber eine planwidrige Regelungslücke besteht.

Für den Fall einer Klage nach Art. 78 Abs. 2 Alt. 2 VwGO besteht hinsichtlich der Kostenentscheidung eine planwidrige Regelungslücke, da die §§ 154 ff. VwGO, welche über § 20 Abs. 2 BDSG auch im Fall einer Klage nach Art. 78 Abs. 2 Alt. 2 VwGO zur Anwendung kommen, keine spezielle Kostenregelung für diese Klagekonstellation enthalten. Die Interessenlage ist in dieser Konstellation aber insgesamt mit der einer Untätigkeitsklage nach § 75 VwGO vergleichbar, da beiden Fällen zugrunde liegt, dass eine Behörde pflichtwidrig nicht (rechtzeitig) tätig geworden ist.

Daher ist in Fällen wie dem vorliegenden, in denen der Beklagte den Beschwerdeführer entgegen der Vorschrift des Art. 78 Abs. 2 Alt. 2 DS-GVO nicht innerhalb von drei Monaten über den Stand der Beschwerde in Kenntnis gesetzt hatte und der Beschwerdeführer daraufhin deswegen Klage erhoben hat, § 161 Abs. 3 VwGO analog anzuwenden.

Die Voraussetzungen des § 161 Abs. 3 VwGO liegen hier vor. Die Klägerin durfte grundsätzlich aufgrund der Vorschrift des Art. 78 Abs. 2 Alt. 2 VwGO damit rechnen, dass der Beklagte sie innerhalb von drei Monaten über den Stand ihrer Datenschutzbeschwerde vom 5. April 2019 in Kenntnis setzt. Entgegen der Ansicht des Beklagten handelte es sich bei dieser E-Mail der Klägerin auch um eine Beschwerde i.S.d. Art. 77, 78 DS-GVO, denn die Voraussetzungen an die bloße Einleitung eines Beschwerdeverfahrens dürfen im Sinne des hier bezweckten effektiven Rechtsbehelfs nicht überspannt werden. Die Klägerin hat in dieser E-Mail ausdrücklich einen Verstoß gegen das Kopplungsverbot (Art. 7 Abs. 4 DS-GVO) gerügt, sodass die Behandlung ihrer E-Mail als Beschwerde i.S.d. Art. 77, 78 DS-GVO mit der entsprechenden Unterrichtungspflicht aus Art. 78 Abs. 2 Alt. 2 DS-GVO angezeigt gewesen wäre.

Da die inhaltlichen Anforderungen an ein Inkenntnissetzen i.S.d. Art. 78 Abs. 2 Alt. 2 DS-GVO wohl nicht allzu hoch sind, dürfte sich auch der behördliche Zeitaufwand hierfür in Grenzen halten und in der Regel innerhalb von drei Monaten umsetzbar sein. Es sind im vorliegenden Fall auch keine außergewöhnlichen Anhaltspunkte ersichtlich, die möglicherweise eine Verlängerung der starren Frist des Art. 78 Abs. 2 Alt. 2 DS-GVO rechtfertigen könnten. Daher durfte die Klägerin analog § 161 Abs. 3 VwGO mit einem Tätigwerden des Beklagten vor Klageerhebung rechnen.

Deswegen waren die Kosten des Verfahrens vorliegend analog § 161 Abs. 3 VwGO dem Beklagten aufzuerlegen.

2. Die Streitwertfestsetzung beruht auf § 51 Abs. 2 GKG. Da das Begehren der Klägerin allein auf die Durchführung eines Beschwerdeverfahrens gerichtet war und somit hinter einem Begehren auf eine solche Durchführung eines Beschwerdeverfahrens einschließlich einer bestimmten behördlichen Entscheidung zurückbleibt, erscheint nach dem Ermessen des Gerichts die Festsetzung eines Streitwerts in Höhe des hälftigen Auffangstreitwerts aus § 52 Abs. 2 GKG angemessen (§ 52 Abs. 1 GKG) (vgl. VG Ansbach, U.v. 12.10.2022 – AN 14 K 19.01728 – juris Rn. 48-50).

Den Volltext der Entscheidung finden Sie hier:

OLG Hamm
Hinweisbeschluss vom 17.05.2023
18 U 154/22

Das OLG Hamm hat in einem Hinweisbeschluss ausgeführt, dass auch Direktnachrichten über Soziale Medien, Portale und Messengerdienste elektronische Post im Sinne von § 7 UWG darstellen und ohne Einwilligung des Empfängers unzulässig sind.

Aus den Gründen:
Der Senat teilt die Auffassung des Landgerichts, nach der die Klägerin aus der Akquise-Vereinbarung keine Rechte herleiten kann, weil der Vertrag nichtig ist.

Gemäß § 134 BGB können Verträge nichtig sein, die zur Begehung unlauteren Wettbewerbs verpflichten. Voraussetzung hierfür ist, dass der rechtsgeschäftlichen Verpflichtung selbst das wettbewerbswidrige Verhalten innewohnt (vgl. BGH, Urteil vom 14.05.1998 - I ZR 10/96, GRUR 1998, 945, beckonline; Senatsbeschluss vom 25.10.2021- 18 U 110/21, Rn. 46, juris; OLG; Frankfurt/M., Urteil vom 24.01.2018 - 13 U 165/16, NJW-RR 2018, 887, Rn. 43). Dies ist hier der Fall, weil die Akquise-Vereinbarung darauf gerichtet ist, unzulässige geschäftliche Handlungen nach § 7 Abs. 2 Nr. 3 UWG a.F. durchzuführen und damit zu einem wettbewerbswidrigen Handeln verpflichtet.

Um Wiederholungen zu vermeiden, wird zunächst auf die Entscheidungsgründe des angefochtenen Urteils Bezug genommen. Die Berufungsbegründung der Klägerin gibt Anlass zu folgenden ergänzenden Ausführungen:

a)

Auch hinsichtlich der Dienstleistung Chiffre-Kontakt liegt eine unzulässige geschäftliche Handlung gemäß § 7 Abs. 2 Nr. 3 UWG a.F. vor.

Die erstmalige Kontaktierung der Inserenten über die einzelnen Portale seitens der Mitarbeiter der Klägerin, wie es in § 5 der Akquise-Vereinbarung vorgesehen ist und mit einem Anschreiben über die Kontaktformulare der jeweiligen Immobilienportale geschieht, verstößt gegen § 7 Abs. 2 Nr. 3 UWG a.F., weil die Inserenten die für eine solche Kontaktaufnahme per elektronischer Post erforderliche vorherige ausdrückliche Einwilligung nicht erteilt haben (vgl. Senatsbeschluss vom 23.12.2021- 18 U 110/21, Rn. 9, juris).

Die Auffassung der Klägerin, das Anschreiben über ein Internetportal stelle keine elektronische Post im Sinne des § 7 Abs. 2 Nr. 3 UWG a.F. dar, weil die Nachrichten nicht direkt an die potenziellen Verkäufer der Immobilien, sondern an die Internetportale verschickt würden, und aus dem gleichen Grund die Verbraucher auch nicht Adressaten im Sinne des § 7 Abs. 2 Nr. 3 UWG a.F. seien, geht fehl; sie ist insbesondere nicht mit dem Schutzzweck der Vorschrift vereinbar.

aa)

Der Begriff der "elektronischen Post" in § 7 Abs. Nr. 3 UWG a.F. ist unionsrechtskonform in Einklang mit Art. 2 S. 2 lit. h der RL 2002/58/EG (EK-DSRL - Datenschutzrichtlinie für elektronische Kommunikation) auszulegen und umfasst daher "jede über ein öffentliches Kommunikationsnetz verschickte Text-, Sprach-, Ton- oder Bildnachricht, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird". Durch die Bestimmung in Art. 13 Abs. 1 der RL 2002/58/EG, die den Begriff der elektronischen Post aufgreift und deren Verwendung reglementiert, sollen die Nutzer vor einer Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung geschützt werden (vgl. ErwG 40 der RL 2002/58/EG). Angesichts dieses Schutzzwecks befürworten sowohl der Bundesgerichtshof als auch der Europäische Gerichtshof bei Beantwortung der Frage, welche elektronischen Kommunikationsmittel unter elektronische Post zu fassen sind, eine weite und an die Entwicklung der Technologie angepasste Auslegung.

Der Bundesgerichtshof hat mit Beschluss vom 30.01.2020 (Az. I ZR 25/19, GRUR 2020, 420 - Inbox-Werbung I) dem Europäischen Gerichtshof zur Auslegung von Art. 2 S. 2 lit. h und Art. 13 Abs. 1 der RL 2002/58/EG sowie Nr. 26 des Anh. I der RL 2005/29/EG mehrere Fragen zur Vorabentscheidung vorgelegt. In diesem Zusammenhang hat er auch Ausführungen zum Begriff der elektronischen Post gemacht: Es sei nicht ersichtlich, dass der Richtliniengeber angesichts der absehbar rasch fortschreitenden technischen Entwicklung den Begriff der elektronischen Post statisch auf die zum Zeitpunkt des Inkrafttretens der Richtlinie bekannten "klassischen" Formen der E-Mail, der SMS oder der MMS festschreiben wollte. Näherliegend sei, dass er im Interesse des Schutzes der Privatsphäre der Nutzer einen dynamischen und technikneutralen Begriff gewählt habe (vgl. Mankowski in Fezer/Büscher/Obergfell, UWG, 3. Aufl., § 7 Rn. 186), der es beispielsweise ermögliche, auch die erst in jüngerer Zeit relevant gewordenen elektronischen Mitteilungen im Rahmen von sozialen Netzwerken zu erfassen (vgl. Büscher/Büscher, § 7 Rn. 200; Ohly in Ohly/Sosnitza, UWG, 7. Aufl., § 7 Rn. 65; Mankowski in Fezer/Büscher/Obergfell, § 7 Rn. 186). Denn die Privatsphäre der Nutzer elektronischer Kommunikationsmittel könne nicht nur durch im Wege der klassischen Formen der elektronischen Individualkommunikation wie E-Mail, SMS oder MMS übersandten unerbetene Nachrichten beeinträchtigt werden (vgl. BGH, Beschluss vom 30.01.2020 - I ZR 25/19, GRUR 2020, 420 Rn. 29, beckonline).

Der Europäische Gerichtshof hat anlässlich der Vorlagefragen durch Urteil vom 25.11.2021 diese Auffassung bestätigt und klargestellt, dass der Begriff der elektronischen Kommunikationsmittel aus technologischer Sicht entwicklungsfähig und mit Blick auf das Regelungsziel, dass den Nutzern der öffentlich zugänglichen elektronischen Kommunikationsdienste der gleiche Grad des Schutzes personenbezogener Daten und der Privatsphäre geboten werden soll, weit auszulegen sei (vgl. EuGH, Urteil vom 25.11.2021 - C-102/20, GRUR 2022, 87 Rn. 38, 39, beckonline).

Daher fallen unter den Begriff der elektronische Post im Sinne des § 7 Abs. 2 Nr. 3 UWG a.F. neben E-Mails, SMS und MMS auch sämtliche Nachrichten über Social Media-Dienste wie Xing, Facebook, LinkedIn oder WhatsApp (vgl. OLG Nürnberg, Urteil vom 15.01.2019 - 3 U 724/18, GRUR-RR 2019, 170 Rn. 59, beckonline; Köhler/Bornkamm/Feddersen/Köhler, 41. Aufl. 2023, UWG § 7 Rn. 264; Ohly/Sosnitza/Ohly, 8. Aufl. 2023, UWG § 7 Rn. 86).

Zwar handelt es sich bei dem Nachrichtendienst eines Immobilienportals nicht um einen Social-Media-Dienst. Die Funktionsweise des Postfachs ist jedoch dieselbe. Auch hier werden Nachrichten asynchron übermittelt und auf dem Server des jeweiligen Portalbetreibers für den jeweiligen Inserenten gespeichert, bis dieser sie abruft. Die Nachrichten erreichen den Nutzer in seinem eingerichteten und lediglich privat zugänglichen Postfach, das er über einen Nachrichten-Manager abrufen kann. Dementsprechend handelt es sich gleichermaßen um eine Art elektronischen Briefkasten. Angesichts des oben dargelegten Schutzzwecks des Art. 13 Abs. 1 RL 2002/58/EG kann daher für Nachrichten über Immobilienportale nichts anderes gelten als für Nachrichten über Social-Media-Dienste (oder per E-Mail).

bb)

Die Verbraucher sind weiter Adressaten im Sinne des § 7 Abs. 2 Nr. 3 UWG a.F. Die Argumentation der Klägerin, das Internetportal, an das die Nachrichten geschickt würden, sei der Adressat ihrer Nachrichten, ist nicht nachvollziehbar.

Adressat im Sinne der Vorschrift ist der Nutzer des Immobilienportals, den die Nachricht erreichen soll. Der Nutzer eines Immobilienportals erhält erst Zugang zu seinem Nachrichtenbereich, nachdem er seine Zugangsdaten und ein Passwort eingeben hat. Ihn erreichen die Nachricht also - wie oben dargelegt - in einem privaten Bereich, der ihm vorbehalten und für die Konsolidierung der privaten Inhalte in der Form der an ihn versandten Nachrichten bestimmt ist. Es ist ohne Belang, dass die Nachricht der Klägerin die Inserenten nicht "direkt", sondern über den Server des jeweiligen Internetportals erreicht.

cc)

Kontaktaufnahmen seitens der Klägerin, die darauf gerichtet sind, den Inserenten Maklerdienste anzubieten, sind auch bei Vorliegen eines grundsätzlichen Interesses des potentiellen Immobilienverkäufers an einer Kontaktaufnahme nicht von einer entsprechenden Einwilligung gedeckt. Grundsätzlich gilt: Hat ein Verbraucher eine Anzeige geschaltet, in der er eine Eigentumswohnung zum Verkauf anbietet und dabei zur Kontaktaufnahme seine Telefonnummer angibt, erklärt er seine ausdrückliche Einwilligung in Telefonanrufe von Kaufinteressenten, auch in solche von Maklern, die sich für ihre Suchkunden für die angebotene Wohnung interessieren. Telefonanrufe von Maklern, die darauf gerichtet sind, dem Inserenten Maklerdienste anzubieten oder mit diesem gar einen Maklervertrag zu schließen, sind von einer solchen Einwilligung nicht gedeckt (vgl. Senatsbeschluss vom 23.12.2021 - 18 U 110/21, Rn. 9, juris; OLG Karlsruhe, Urteil vom 12.6.2018 - 8 U 153/17, NJW-RR 2018, 1263, beckonline). Auch die Bestimmungen der jeweiligen Portale sind nicht geeignet, die erforderliche Einwilligung des jeweiligen Nutzers zu ersetzen (vgl. Senatsbeschluss, a.a.O.).

b) Die Verschaffung der sog. Opt-Ins erfolgt ebenso unter Verstoß gegen die Vorschriften des UWG. Auch soweit sich auf die - wettbewerbswidrigen - Anschreiben die Inserenten melden und mit einer telefonischen Kontaktaufnahme einverstanden sind, kann sich die Klägerin nicht auf eine vorherige ausdrückliche Einwilligung gem. § 7 Abs. 2 Nr. 2 UWG a.F. in einen Telefonanruf zur Herbeiführung eines Opt-In berufen. Auf die nicht ergänzungsbedürftigen Ausführungen des Landgerichts wird Bezug genommen.

c) Die in § 14 der Akquise-Vereinbarung enthaltene salvatorische Klausel steht der Gesamtnichtigkeit des Vertrags nach § 139 BGB nicht entgegen. Der nichtige Vertragsteil ist von derart grundlegender Bedeutung, dass die Aufrechterhaltung nur des Restgeschäfts nicht mehr als vom durch Vertragsauslegung zu ermittelnden Willen der Vertragsparteien umfasst angesehen werden kann. Denn hier sind gerade die entscheidenden wesentlichen Vertragsbestimmungen unwirksam. Ohne diese verliert der Vertrag seinen Inhalt.

BVerwG
Beschluss vom 04.05.2023
5 P 16.21

Wir hatten bereits in dem Beitrag BVerwG: Social Media-Auftritte der öffentlichen Verwaltung mit freigeschalteter Kommentarfunktion können mitbestimmungspflichtige Überwachungseinrichtungen sein über die Entscheidung berichtet.

Leitsatz des Bundesverwaltungsgerichts:
Betreibt eine Stelle der öffentlichen Verwaltung in sozialen Medien eigene Seiten oder Kanäle, kann wegen der für alle Nutzer bestehenden Möglichkeit, dort eingestellte Beiträge zu kommentieren, eine technische Einrichtung zur Überwachung des Verhaltens und der Leistung von Beschäftigten vorliegen, deren Einrichtung oder Anwendung der Mitbestimmung des Personalrats unterliegt. Diese Frage entzieht sich einer generellen Beantwortung, sondern ist nur nach Maßgabe der Umstände des jeweiligen Einzelfalles zu beurteilen.

Den Volltext der Entscheidung finden Sie hier:

LG Tübingen
Urteil vom 26.05.2023
4 O 193/21

Das LG Tübingen hat sich in diesem Verfahren mit der Einstandspflicht einer Cyberversicherung bei einem Angriff auf die IT-Infrastruktur eines Unternehmens befasst.

Aus den Entscheidungsgründen:

Dem Feststellungsantrag fehlt das erforderliche Feststellungsinteresse (§ 256 ZPO).

1. Nach der Rechtsprechung des BGH hängt die Zulässigkeit einer Feststellungsklage bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts ab (BGH, Urt. v. 15.10.1992 – IX ZR 43/92 , MDR 1993, 693 = WM 1993, 251 [259 f.]; v. 24.1.2006 – XI ZR 384/03 – Rz. 27, BGHZ 166, 84 = MDR 2006, 940 m.w.N.; v. 20.3.2008 – IX ZR 104/05 – Rz. 8, MDR 2008, 799 = WM 2008, 1042). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH MDR 2014, 1341, 1342).

2. Dies ist vorliegend zu verneinen. Die Schadensentwicklung bei der Klägerin selbst ist abgeschlossen. Diesen Schaden hat die Klägerin in Klageantrag Ziffer 1 beziffert. Der Feststellungsantrag betrifft nur potentielle Versicherungsfälle im Falle einer Verletzung der DSGVO bzw. den möglicherweise bei Dritten entstandenen Schaden, wenn die bei dem Cyber-Angriff erlangten Daten veröffentlicht werden, und die daraus folgende mögliche Inanspruchnahme der Klägerin durch diese Dritten. Dazu hat der Geschäftsführer der Klägerin im Zuge der letzten mündlichen Verhandlung mitgeteilt, dass bislang keine Kunden oder dritte Firmen mit entsprechenden Forderungen an die Klägerin herangetreten seien und auch sonst nicht bekannt geworden sei, dass Daten veröffentlicht bzw. im Internet auffindbar seien (Protokoll vom 28.04.2023, Bl. 584 d.A.). Nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge ist angesichts des langen Zeitablaufs jetzt auch nicht mehr mit einer derartigen Inanspruchnahme der Klägerin zu rechnen, so dass es an der hinreichenden Wahrscheinlichkeit eines Schadenseintritts fehlt.

II. Die Klägerin kann von der Beklagten aus § 1 VVG i.V.m. A1-1, A1-4, A2-2, A4 ff. AVB Zahlung von 2.858.923,54 € zuzüglich Zinsen wie aus dem Tenor ersichtlich verlangen. Im Übrigen war die Klage abzuweisen.

1. Zwischen den Parteien ist ein wirksamer Versicherungsvertrag über verschiedene Cyber-Deckungsbausteine zustande gekommen, der das Risiko einer Betriebsunterbrechung mit einschließt.

2. Mit dem Cyber-Angriff vom 29./30.05.2020 ist der Versicherungsfall eingetreten, A1-4 AVB i.V.m. A1-1 AVB. Dies wird von der Beklagten nicht in Abrede gestellt.

3.. Die Beklagte ist weder wegen Verletzung einer vorvertraglichen Anzeigepflicht nach B3-1.2.1 Abs. 1 Satz 2 AVB (a) noch wegen Gefahrerhöhung nach B3-2.5 AVB leistungsfrei geworden (b).

a. Zur Verletzung einer vorvertraglichen Anzeigepflicht

Es kann dahin stehen, ob die Klägerin die ihr gestellten Risikofragen vorsätzlich oder grob fahrlässig falsch beantwortet und insofern ihre vorvertragliche Anzeigepflicht nach B3-1.1 AVB verletzt hat. Jedenfalls hat die Klägerin gem. § 21 Abs. 2 S. 1 VVG nachgewiesen, dass eine möglicherweise falsche Beantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich gewesen ist (sog. Kausalitätsgegenbeweis), so dass die Beklagte nach B3-1.2.1 Abs. 4 Satz 1 AVB den Versicherungsschutz nicht versagen darf (dazu unter aa.). Eine arglistige Verletzung der Anzeigepflicht (B3-1.2.1 Abs. 4 Satz 2 AVB) liegt nicht vor (dazu unter bb.). Daher bedarf auch die von der Klägerin aufgeworfene Frage keiner abschließenden Entscheidung, ob es sich bei den im Tatbestand wiedergegebenen Risikofragen überhaupt um zulässige Fragen gehandelt hat.

aa. Kausalitätsgegenbeweis

Der Sachverständige Dr. [...] hat - für die Kammer nachvollziehbar und überzeugend - ausgeführt, dass zwar eine Vielzahl der von der Klägerin eingesetzten Server nicht über aktuelle Sicherheits-Updates verfügten und damit veraltet waren, sich dies aber weder auf den Eintritt des Versicherungsfalls noch auf das Ausmaß des hierdurch ausgelösten Schadens ausgewirkt hat. Der Sachverständige ist seit 20 Jahren selbständig beratend im IT-Bereich tätig und arbeitet gegenwärtig überwiegend für eine Bank (Protokoll vom 28.04.2023 Seite 19, Bl. 601 d.A.), weshalb er insbesondere für den Bereich der IT-Sicherheit über eine große Expertise verfügt. Die Einholung eines Obergutachtens nach § 412 Abs. 1 ZPO, wie von der Beklagten beantragt, war daher nicht veranlasst.

Nach dem Cyber-Angriff konnten die Daten von insgesamt 21 der von der Klägerin teils betriebsintern, teils extern bei dem IT-Dienstleister Bechtle eingesetzten Servern forensisch gesichert werden. Von diesen 21 Servern verfügten nach den Feststellungen des Sachverständigen lediglich 10 über die erforderlichen Sicherheits-Updates; dagegen waren 11 Server nicht auf dem aktuellen Stand (Gutachten S. 27, Bl. 464 d.A.). Der Cyber-Angriff verlief jedoch bei insgesamt 16 der 21 Server erfolgreich (Gutachten S. 22, Bl. 459 d.A.) und betraf Systeme mit allen Betriebssystemversionen, darunter auch die - aktuellen - Windows Server 2019 (Gutachten S. 24, Bl. 461 d.A.). Verschlüsselt wurden sogar die bei der Fa. B. AG ausgelagerten Server. Dies erklärt sich daraus, dass über die Phishing-Mail an den Nutzer „[...]“ letztendlich die Administratorrechte u.a. für die Domäne Paradigma erbeutet wurden (Gutachten S. 27, Bl. 464 d.A.). Diese Administratorrechte erlaubten den Angreifern - was insbesondere auch für das Ausmaß des eingetretenen Schadens maßgeblich ist -, mit dem System „alles [...] zu machen“ (Protokoll vom 28.04.2023 Seite 18, Bl. 600 d.A.). Den Angreifern war es dadurch ohne Weiteres möglich, vorhandene Schutzmaßnahmen wie etwa den Virenscanner und die Firewall zu deaktivieren (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Dies ergibt sich ebenso aus dem von Beklagtenseite vorgelegten Parteigutachten [...] vom 24.06.2020 (Anlage BLD 1), wonach bei der Analyse verschiedener Server festgestellt wurde, dass der Antivirenscanner Trend Micro Apex ONE NT, der Windows Defender und die Windows Firewall zu jeweils unterschiedlichen Zeitpunkten am 30.05.2023, also zeitlich nach dem Pass-the-Hash-Angriff, deaktiviert wurden (a.a.O. Seite 22, 42 und 51). Der auf dem betroffenen Notebook „[...]“ installierte Virenscanner Trend Micro OfficeScan hatte am 29.05.2020 noch einen Schadsoftwarebefall festgestellt, der sich jedoch augenscheinlich nicht bereinigen ließ (a.a.O. Seite 8).

Soweit die Beklagte nun erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 vorträgt, dass die Firewalls bereits zum Schadenzeitpunkt deaktiviert gewesen seien (dort Seite 4, Bl. 555 d.A.), und mit (ebenfalls nicht nachgelassenem) Schriftsatz vom 15.05.2023 (dort Seite 6, Bl. 610 d.A.) in Frage stellt, ob der Anti-Virus-Verwaltungsserver im Zeitpunkt des Angriffs aktiviert war, kann offenbleiben, ob dies zutrifft oder sogar in Widerspruch zu dem Gutachten der [...] vom 24.06.2020 (Anlage BLD 1) und damit zum eigenen bisherigen Vortrag der Beklagten steht; jedenfalls ist dieser Vortrag verspätet und aus diesem Grund prozessual unbeachtlich, § 296a Satz 1 ZPO.

Nach den Feststellungen des Sachverständigen Dr. [...], denen sich das Gericht nach eigener Überzeugungsbildung anschließt, wurde bei dem streitgegenständlichen Cyber-Angriff eine vorhandene Schwachstelle (sog. „Design-Schwäche“) von Windows ausgenutzt (Gutachten S. 33, Bl. 470 d.A.), die unabhängig von der Aktualität des betroffenen Systems besteht. Der Sachverständige kommt daher nachvollziehbar und überzeugend zu dem Ergebnis, dass auch ein Einspielen der versäumten Updates weder den Angriff selbst abgewehrt noch das Ausmaß des angerichteten Schadens hätte beeinflussen können. Weder die Anzahl der betroffenen Server noch der Schaden wären verringert worden (Gutachten S. 27 und 33, Bl. 464 und 470 d.A.).

Soweit die Beklagte bezüglich des Schadensumfangs (sog. „lateral movement“) auf denkbare weitere Sicherheitsmaßnahmen seitens der Klägerin verweist, etwa eine Zwei-Faktoren-Authentifizierung oder ein Monitoring-System, so verkennt sie den Bezugspunkt der Regelung in B3-1.2.1 AVB. Diese Regelung knüpft (allein) an die Verletzung der vorvertraglichen Anzeigepflicht durch Falschbeantwortung der Risikofragen an (B3-1.1 AVB). Die von der Beklagten vermissten weiteren Sicherheitsmaßnahmen waren jedoch nicht Gegenstand der bei Antragstellung von der Klägerin zu beantwortenden Risikofragen. Dies gilt auch für die Risikofrage 5, deren Falschbeantwortung die Beklagte erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 gerügt hat. Die Risikofrage 5 ist derart weit formuliert, dass sie bereits zu bejahen ist, wenn lediglich grundlegende Regelungen wie etwa über die Nicht-Weitergabe von Login-Daten und -Passwörtern existieren und überwacht werden. Spezifische Sicherheitsmaßnahmen zur Abwehr von Pass-the-Hash- bzw. Verschlüsselungs-Angriffen sind hiervon nicht zwingend erfasst.

bb. keine Arglist

Von einer arglistigen Verletzung der Anzeigepflicht seitens der Klägerin bzw. der Maklerin konnte sich die Kammer nicht überzeugen.

(1) Die bewusste Falsch- oder Nichtbeantwortung von Fragen genügt für sich genommen nicht für Arglist. Vielmehr muss in subjektiver Hinsicht hinzukommen, dass der Versicherungsnehmer auf die Entschließung des Versicherers Einfluss nehmen will und sich daher bewusst ist, dass der Versicherer möglicherweise (bedingter Vorsatz genügt) seinen Antrag nicht oder nur unter erschwerten Bedingungen annehmen werde, wenn er die Wahrheit sage (BGH VersR 2007, 785 Rn. 8; 2011, 337 Rn. 19; OLG Koblenz VersR 2013, 1113, 1114; OLG Karlsruhe NJW 2014, 3733; OLG Hamm VersR 2018, 282, 283; 2020, 538, 539). Eine Vermögensschädigung braucht aber nicht geplant zu sein (RGZ 96, 345, 346; BGH VersR 1957, 351, 352; 2007, 785 Rn. 8; 2008, 809 Rn. 8; OGH VersR 1978, 954). Unkenntnis entlastet den Versicherungsnehmer nicht, wenn er im Bewusstsein seiner Unkenntnis „ins Blaue hinein“ Angaben macht (OLG Hamm VersR 1990, 765; OLG München VersR 2000, 711, 712; OLG Koblenz VersR 2004, 849, 851; KG VersR 2007, 381, 382; OLG Frankfurt/M. ZfS 2009, 269; OLG Saarbrücken VersR 2020, 91 (Ls.) = BeckRS 2019, 23766 Rn. 35; OLG Hamm VersR 2020, 538, 539). Dasselbe gilt, wenn er sich sehenden Auges der Kenntnis verschließt (BGH VersR 1993, 170, 171). Dass Arglist vorgelegen hat, muss der Versicherer darlegen und beweisen (BeckOK VVG/Spuhl, 18. Ed. 1.2.2023, VVG § 21 Rn. 55).

(2) Nach B3-1.1 Absatz 2 und 3 AVB kommt es sowohl auf die Kenntnis des Versicherungsnehmers selbst als auch auf die Kenntnis seines Vertreters an.

Die Klägerin hat sich beim Vertragsschluss durch den von ihr eingeschalteten Makler L. vertreten lassen, welcher die Antworten auf die Risikofragen in das Online-Portal der Beklagten eingegeben hat (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A., und Seite 7, Bl. 220 d.A.). Wie die einzelnen Fragen zu beantworten waren, hatte dem Makler der Zeuge G. vorgegeben, welcher die Risikofragen zuvor mit dem IT-Manager U. der Klägerin durchgesprochen hatte (Protokoll vom 04.02.2022 Seite 8, Bl. 221 d.A., Seite 17, Bl. 230 d.A., und Seite 34f, Bl. 247f d.A.).

(3) Nach dem Ergebnis der Beweisaufnahme lässt sich weder bei den verantwortlichen Mitarbeitern der Klägerin noch beim Zeugen L. eine vorsätzliche, erst recht keine arglistige Falschbeantwortung der Risikofragen - konkret der Fragen 3, 4 und 6 - feststellen.

Trotz des Einsatzes von zumindest 11 veralteten Servern (siehe oben) ist allenfalls die Frage 4 bei der Antragstellung im April 2020 falsch beantwortet worden. Der Klägerin ist zuzugeben, dass die Risikofrage 3 sich auf stationäre und mobile Arbeitsrechner und eben nicht auf Server bezieht. Die Risikofrage 6 ist derart weit formuliert, dass die Klägerin sie richtig beantwortet hat, denn dass überhaupt „Hard- und Software zum Schutz des Unternehmensnetzwerks“ eingesetzt wurde in Form eines Virenscanners sowie einer Firewall, stellt auch die Beklagte nicht in Abrede.

Auch bezüglich der Risikofrage 4 ist jedoch nicht von einer vorsätzlich und erst recht nicht von einer arglistig falschen Beantwortung auszugehen. Unabhängig von der rechtlichen Einordnung der Veranstaltung am 13.02.2020 und der genauen Rolle des Zeugen B. hat die Beweisaufnahme ergeben, dass für die Mitarbeiter der Klägerin durch diese Veranstaltung übereinstimmend der Eindruck entstanden ist, dass seitens der Beklagten keine hohen Anforderungen hinsichtlich der IT-Sicherheit gestellt werden. So haben mehrere Zeugen unabhängig voneinander die Äußerung des Zeugen B. bestätigt, dass hinsichtlich der Firewall „jede Fritzbox“ ausreichen würde. Diese Äußerung war sowohl dem Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.) als auch den Zeugen U. (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.) und M. (Protokoll vom 06.05.2022 Seite 11, Bl. 343 d.A.) im Gedächtnis. Der Zeuge B. konnte sich an Details nicht mehr erinnern, hat jedoch nicht ausgeschlossen, dass die Firewall Thema der Besprechung gewesen sei; eine Risikobewertung würde er jedoch generell nicht vornehmen (Protokoll vom 06.05.2022 Seite 24, Bl. 237 d.A.). Die Rückmeldung seitens des Zeugen B. scheint insofern jedoch auch nicht ausschlaggebend gewesen zu sein. Auffallend ist nämlich, dass sich die Zeugen teils gar nicht an die konkreten Antworten des Zeugen B. erinnern, dennoch aber den Eindruck gewonnen haben, die Anforderungen an die IT-Sicherheit seien nicht besonders hoch. Der Zeuge S. hat ausdrücklich angegeben, er habe sich gewundert, welche geringen Anforderungen gestellt würden (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.). Ähnlich habe sich seiner Erinnerung nach auch die Zeugin M. später im Lenkungskreis Digitalisierung geäußert (Protokoll vom 06.05.2022 Seite 16, Bl. 348 d.A.). Der Zeuge G. gab an, sie seien alle etwas verwundert darüber gewesen, dass die Anforderungen offenbar letztlich nicht viel höher seien als im privaten Bereich (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.). Maßgeblich für diesen kollektiven Eindruck erscheint vor allem die offenbar ausbleibende Reaktion von B. auf die Mitteilung des Zeugen U., dass die Klägerin auch ältere Server einsetze, die nicht mehr upgedatet werden könnten. Diese Mitteilung haben neben dem Zeugen U. selbst (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.) die Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.), M. (Protokoll vom 06.05.2022 Seite 10, Bl. 342 d.A.) und S. (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.) bestätigt. Der Zeuge B. selbst hat ausgesagt, sich generell nicht zu Anforderungen an die IT-Infrastruktur zu äußern (Protokoll vom 04.02.2022 Seite 23, 24 und 25, Bl. 236, 237 und 238 d.A.). Herr U. war sich nicht mehr sicher, ob der Zeuge B. ihm überhaupt auf diese Mitteilung geantwortet hatte, glaubte aber, er habe keine Antwort bekommen (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.). Entsprechend hat der Zeuge U. angegeben, die Risikofrage 4 trotz der vorhandenen veralteten Server bejaht zu haben, da er dem Zeugen B. ja in der Veranstaltung am 13.02.2020 über „unsere Situation mit den älteren Servern“ berichtet habe (Protokoll vom 04.02.2022 Seite 35, Bl. 248 d.A.). Unabhängig davon, welche rechtliche Bedeutung einer derartigen mündlichen Äußerung zukommt, so schließt die entsprechende Vorstellung doch Vorsatz und erst recht Arglist aus.

Dem Zeugen L. war nicht mehr erinnerlich, ob am 13.02.2020 seitens der Mitarbeiter der Klägerin die Rede davon war, dass ältere Server eingesetzt werden, die aus technischen Gründen nicht mehr upgedatet werden können (Protokoll vom 04.02.2022 Seite 16, Bl. 229 d.A.). Vor dem Vertragsschluss, so der Zeuge L. weiter, habe er sich zu keinem Zeitpunkt mit seinem Ansprechpartner bei der Klägerin, dem Zeugen G., zu diesem Thema ausgetauscht (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A.). Demnach handelte auch der Zeuge L. nicht erwiesenermaßen arglistig.

b. Gefahrerhöhung

Es kann offen bleiben, ob nach Vertragsschluss eine Gefahrerhöhung eingetreten ist, indem die Klägerin weitere Software-Updates nicht durchgeführt bzw. anders als in der Veranstaltung am 13.02.2020 angekündigt die veralteten Server (noch) nicht ausgetauscht hat. Da der Klägerin der Kausalitätsgegenbeweis gelingt (siehe oben), wäre die Beklagte selbst bei einer solchen Gefahrerhöhung nicht leistungsfrei; auch eine Kürzung des Anspruchs ist ausgeschlossen (§ 26 Abs. 3 Nr. 1 VVG i.V.m. B3-2.5.3 lit. a AVB).

4. Der erstattungsfähige Schaden der Klägerin beläuft sich insgesamt auf 2.858.923,54 €.

a. Betriebsunterbrechungsschaden

Die Klägerin hat einen zu ersetzenden Betriebsunterbrechungsschaden in Höhe von 2.507.809 € erlitten. Eine Betriebsunterbrechung gem. Ziffer A4-1.1.1 ist fraglos eingetreten, weil bei der Klägerin infolge unbefugter Nutzung von IT-Systemen elektronische Daten und informationsverarbeitende Systeme nicht zur Verfügung standen bzw. nicht die übliche Leistung erbrachten, was zu einem Schaden der Klägerin geführt hat.

aa. Der Unterbrechungsschaden wird in Ziffer A4-1.1.2 AVB definiert und stellt sich danach letztlich als der Betriebsgewinn zuzüglich der trotz der Unterbrechung fortlaufenden Kosten dar. Unter Ziffer A4-1.3.6 lit. d enthalten die AVB Vorgaben zur Feststellung der Schadenshöhe; allerdings betreffen diese das dort geregelte Sachverständigenverfahren und sind außerhalb dieses Verfahrens nicht anwendbar.

Es sind daher - neben Ziffer A4-1.3.1 - die allgemeinen Grundsätze zur Schadensermittlung heranzuziehen. Nach der Rechtsprechung muss ein Geschädigter, der Schadensersatz in Form eines Betriebsunterbrechungsschadens geltend macht, wie bei der Geltendmachung des entgangenen Gewinns gemäß § 252 Satz 1 BGB alle konkreten Umstände darlegen und gegebenenfalls beweisen, aus denen sich die Erlöserwartung ergibt. Es ist somit darzulegen, welche konkreten betriebsbezogenen Erlöse nicht erwirtschaftet werden konnten und welche konkreten betriebsbezogenen Kosten erspart wurden (vgl. OLG Hamm RuS 2013, 440). Dabei genügt entsprechend § 252 Satz 2 BGB die bloße Wahrscheinlichkeit der Erwartung des Erlöses anstelle des positiven Nachweises, sofern die Vorkehrungen und Anstalten, aus denen die Erlöserwartung hergeleitet wird, in der geschilderten Weise dargetan werden. Erforderlich ist mithin die schlüssige Darlegung von Ausgangs- bzw. Anknüpfungstatsachen, die geeignet sind, dem Ermessen bei der Wahrscheinlichkeitsprüfung eine Grundlage zu geben und eine Schadensschätzung gemäß § 287 ZPO zu ermöglichen (vgl. zum entgangenen Gewinn BGH WM 1998, S. 1787; BGH WuM 1991, S. 545). Während der Versicherungsnehmer den Eintritt des Versicherungsfalles und die hierdurch verursachte Betriebsunterbrechung auf der Grundlage von § 286 ZPO darzulegen und zu beweisen hat, kommt ihm beim Kausalzusammenhang zwischen der Betriebsunterbrechung und dem eingetretenen Schaden die Beweiserleichterung des § 287 ZPO zugute (BGH VersR 2014,104).

bb. Vor diesem Hintergrund kann der Schadensberechnung der Klägerin, welche einen Rohertrag je geleisteter Personenstunde zugrunde legt und diesen mit den angeblich ausgefallenen Personenstunden multipliziert, nicht gefolgt werden. Denn die Annahme, dass das wegen der Betriebsunterbrechung nicht eingesetzte Personal den gleichen Rohertrag erwirtschaftet hätte wie das zum Einsatz gelangte Personal, ist nicht nachvollziehbar und nicht einmal für eine Schätzung nach § 287 ZPO geeignet.

cc. Die Schätzung hat anhand der von der Klägerin vorgelegten betriebswirtschaftlichen Auswertungen zu erfolgen, somit auf Grundlage der Anlagen K 13 (Jahresabschluss für 2019), K 14 (betriebswirtschaftliche Auswertung für 2020) und K 15 (betriebswirtschaftliche Auswertung für 2021). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 die Richtigkeit dieser betriebswirtschaftlichen Auswertungen bestreitet, ist dieser nach der letzten mündlichen Verhandlung am 28.04.2023 mit nicht nachgelassenem Schriftsatz erfolgte Vortrag verspätet und nach § 296a Satz 1 ZPO aus prozessualen Gründen unbeachtlich. Die Klägerin hat mit ebenfalls nicht nachgelassenem Schriftsatz vom 19.05.2023 die Jahresabschlüsse für 2020 (Anlage K21) und für 2021 (Anlage K 22) nachgereicht, welche ebenfalls nach § 296a Satz 1 ZPO unbeachtlich sind. Allerdings weichen die Kennzahlen in den Jahresabschlüssen ohnehin nur ganz geringfügig von den Werten in den betriebswirtschaftlichen Auswertungen ab.

dd. Der Schadensschätzung sind die Geschäftszahlen der Jahre 2020 (mit Betriebsunterbrechung) und 2021 (ohne Betriebsunterbrechung), nicht auch diejenigen des Jahres 2019 zugrunde zu legen.

Nach § 252 Satz 2 BGB gilt als entgangen der Gewinn, welcher nach dem gewöhnlichen Lauf der Dinge oder nach den besonderen Umständen, insbesondere nach den getroffenen Anstalten und Vorkehrungen, mit Wahrscheinlichkeit erwartet werden konnte.

Solche besonderen Umstände liegen vorliegend in Form des von der Bundesregierung im Oktober 2019 beschlossenen Klimaschutzprogramms 2030 vor, für das für klimaschutzrelevante Maßnahmen für den Zeitraum 2020 bis 2023 Mittel in Höhe von etwa 54 Milliarden Euro bereitgestellt wurden. Soweit die Beklagte die Existenz eines solchen Förderprogramms mit Nichtwissen bestritten hat, lässt sich die Behauptung der Klägerin durch eine einfache Internetrecherche verifizieren (https://www.bmwk.de/Redaktion/DE/Textsammlungen/Industrie/klimaschutz.html?cms_artId=9df37a6e-49dc-4c07-955d-f80ea3503730, zuletzt abgerufen am 23.05.2023). Die Tatsache ist daher allgemein bekannt; einer Beweiserhebung bedurfte es nicht.

Zusätzlich geht die Kammer davon aus, dass die Corona-Pandemie keinen „besonderen Umstand“ im Sinne des § 252 Satz 2 BGB darstellt. Bezüglich der gesamtwirtschaftlichen Entwicklung ist der Beklagten zuzustimmen, dass es im Jahr 2020 infolge der Auswirkungen der COVID-19-Pandemie allgemein zu Umsatzeinbrüchen kam. Dabei ist auch nicht auszuschließen, dass auch die Klägerin, welche u.a. in der Produktion von Heizungskomponenten tätig ist, betroffen war, insbesondere was Lieferengpässe betrifft. Solche Effekte bestanden aber für das Jahr 2020 ebenso wie für das Jahr 2021, da die Corona-Pandemie weiterhin andauerte. Indem eben die Jahre 2020 und 2021 miteinander verglichen werden, wirken sich mögliche Umsatzeinbrüche infolge der Pandemie rechnerisch nicht in relevanter Weise aus.

ee. Entgegen der Auffassung der Klägerin sind jedoch die Werte aller 12 Monate eines Jahres gleichermaßen heranzuziehen. Die Klägerin beruft sich auf zyklische Schwankungen der Geschäftsentwicklung im Jahresverlauf. Solche außergewöhnlichen Schwankungen lassen sich den vorgelegten betriebswirtschaftlichen Auswertungen jedoch nicht entnehmen. Soweit die Klägerin mit (nicht nachgelassenem) Schriftsatz vom 19.05.2023 als Anlagen K 23 und K 24 die betriebswirtschaftlichen Auswertungen für 2019 und 2022 vorlegt und ihren Vortrag zusätzlich auf diese Unterlagen stützt (Bl. 674f d.A.), ist dies verspätet und gemäß § 296a Satz 1 ZPO unbeachtlich.

ff. Bei der Berechnung des Deckungsbeitrags folgt die Kammer im Ansatz der - zweiten - Berechnungsweise der Klägerin, wobei vom erzielten jährlichen Gesamtumsatz als Kosten ein Teil des Materialaufwands abgezogen wird. Diese Berechnungsmethode erscheint der Kammer plausibel und entspricht im Übrigen der Definition des Betriebsunterbrechungsschadens in A4-1.1.2 AVB i.V.m. A469 des Glossars. Soweit die Klägerin meint, auf das so ermittelte Ergebnis sei zusätzlich ein prozentualer Aufschlag vorzunehmen (Schriftsatz vom 30.03.2022 Seite 18f, Bl. 279f d.A.), ist dies dagegen nicht nachvollziehbar.

Auf den weiteren Vortrag der Beklagten zum Betriebsunterbrechungsschaden in den Schriftsätzen vom 04.05.2023 und vom 17.05.2023, insbesondere das als Anlage BLD 13 vorgelegte Parteigutachten der [...] GmbH vom 16.05.2023, welches (erst) am 09.05.2023 in Auftrag gegeben worden ist, ist wegen § 296a Satz 1 ZPO nicht einzugehen. Soweit die Beklagte einwendet, die Berechnung der Klägerin sei aus betriebswirtschaftlicher Sicht falsch, da Bestandsveränderungen sehr wohl zu berücksichtigen seien, findet dies jedenfalls keinen Niederschlag in den Regelungen der AVB und ist für die Kammer daher nicht nachvollziehbar.

Der in den betriebswirtschaftlichen Auswertungen ausgewiesene Materialaufwand ist nicht nur zur Erwirtschaftung der Umsatzerlöse, sondern auch für die Erhöhung bzw. Verminderung des Bestandes an fertigen und unfertigen Produkten angefallen, welcher nach den AVB aber unberücksichtigt zu bleiben hat, da dort allein an den Umsatz angeknüpft wird. Der Anteil der auf die Bestandsveränderungen entfallenden Materialkosten ist daher herauszurechnen. Im Wege der Schätzung nach § 287 ZPO setzt die Kammer zunächst die Gesamtmaterialkosten ins Verhältnis zur Gesamtleistung der Klägerin, welche sich aus der Summe der Umsatzerlöse und der Bestandsveränderungen, ggf. auch der aktivierten Eigenleistungen ergibt, und geht sodann davon aus, dass der Anteil von Gesamtmaterialkosten zur Gesamtleistung dem Anteil der Materialkosten, die zur Erwirtschaftung allein der Umsatzerlöse erforderlich waren, zu den Umsatzerlösen entspricht.

Für 2020 ergibt sich gemäß Anlage K 14 danach folgende Berechnung:

Umsatzerlöse: 57.863.135 €

Anteil Gesamtmaterialkosten 26.967.378 € zur Gesamtleistung 58.041.198 € (= Umsatzerlöse 57.863.135 € + Bestandsveränderung (Lagerleistung) 162.130 € + aktivierte Eigenleistungen 15.930 €): 46,46%

somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 57.863.135 € x 46,46% = 26.883.212,52 €, gerundet: 26.883.213 €

somit Deckungsbeitrag für 2020: Umsatzerlöse 57.863.135 € - diesbezügliche Materialkosten 26.883.213 € = 30.979.922 €.

Für 2021 ergibt sich gemäß Anlage K 15 folgende Berechnung:

Umsatzerlöse: 70.837.492 €

Anteil Gesamtmaterialkosten 35.223.076 € zur Gesamtleistung 73.924.577 € (= Umsatzerlöse 70.837.492 € + Bestandsveränderung (Lagerleistung) 3.087.082 € + aktivierte Eigenleistungen 0 €): 47,65%

somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 70.837.492 € x 47,65% = 33.754.064,94 €, gerundet: 33.754.065 €

somit Deckungsbeitrag für 2021: Umsatzerlöse 70.837.492 € - diesbezügliche Materialkosten 33.754.065 € = 37.083.427 €.

Der erstattungsfähige Betriebsunterbrechungsschaden errechnet sich damit wie folgt:

Deckungsbeitrag pro Jahr

Deckungsbeitrag pro Monat

2020

30.979.922 €

2.581.660 €

2021

37.083.427 €

3.090.286 €

Einbuße pro Monat


508.626 €

Einbuße Juni 2020 bis
Oktober 2020 (5 Monate)


2.543.130 €

abzüglich Sub-Selbstbehalt
12 Stunden
gemäß Police Seite 3
(2.543.130 € : 108
Arbeitstage Juni bis Okt.
2020 = 23.547,50 €, bei
achtstündigem Arbeitstag,
12 Std daher 23.547,50 € x 1,5)


- 35.321 €

Ergibt


2.507.809 €

Infolge des Cyberangriffs vom 29./30.05.2020 war der Betrieb der Klägerin von Juni 2020 bis Oktober 2020 unterbrochen (5 Monate) und somit für einen Zeitraum, der innerhalb der Haftzeit von 12 Monaten liegt. Soweit die Beklagte erstmals mit Schriftsatz vom 04.05.2023 mit Nichtwissen bestreitet, dass die Betriebsunterbrechung erst im Oktober 2020 endete (Bl. 570 d.A.), ist dies wegen Verspätung nach § 296a Satz 1 ZPO wiederum aus prozessualen Gründen unbeachtlich.

Bezüglich des Sub-Selbstbehalts von 12 Stunden (vgl. Seite 3 der Police, Anlage K 1) ist der im Unterbrechungszeitraum eingebüßte Betrag (2.543.130 €) durch die Anzahl der Arbeitstage im betreffenden Zeitraum zu teilen. Abzüglich Wochenenden und gesetzlicher Feiertage, die nicht auf das Wochenende fielen, gab es im Zeitraum Juni bis Oktober 2020 insgesamt 108 Arbeitstage. Wenn man von einem achtstündigen Arbeitstag ausgeht, ist der so ermittelte Betrag auf 12 Stunden hochzurechnen.

Insgesamt ergibt sich unter Berücksichtigung des Sub-Selbstbehalts ein zu erstattender Betriebsunterbrechungsschaden von 2.507.809 €.

b. Sachschaden an IT-Geräten, Daten und Software

Die Klägerin hat Anspruch auf Ersatz des geltend gemachten Sachschadens an IT-Geräten, Daten und Software (vgl. Tabelle auf Seite 11f der Klageschrift, Bl. 11f d.A., Anlagenkonvolut K 3) in Höhe von 322.040,58 €.

aa. Der Erstattungsanspruch folgt aus A4-2.1 AVB (bzgl. Daten) bzw. A4-3.1 AVB (bzgl. Sachen). Versicherungsschutz besteht danach für notwendige Aufwendungen zur Wiederherstellung der betroffenen Daten sowie für die Entfernung der Schadsoftware bzw. zur Reparatur, Wiederherstellung oder Wiederbeschaffung der versicherten Sachen.

bb. Es kann dahin stehen, ob die Regelungen in C2.3.3 AVB (bzgl. IT-Geräten), C2.4.3 AVB (bzgl. Maschinen und technischen Anlagen), C2.5.3 AVB (bzgl. Betriebseinrichtung), C3.3.3 und C3.4.3 (bzgl. Reparatur oder Austausch von mitversicherten Sachen als Folge aus der Beeinträchtigung, Beschädigung oder Unbrauchbarmachung von Software und Daten), wonach Voraussetzung eines Erstattungsanspruchs ist, dass die Leistungen durch die [...] GmbH beauftragt und gesteuert wurden, den Versicherungsnehmer entgegen den Geboten von Treu und Glauben unangemessen benachteiligen im Sinne des § 307 Abs. 1 Satz 1 BGB oder überraschend im Sinne des § 305c Abs. 1 BGB sind, wenn - wie hier - eine Regulierung durch den Versicherer abgelehnt wird. Denn die Klägerin hat unwidersprochen vorgetragen, dass die Maßnahmen von der [...] GmbH (mit-)initiiert und koordiniert wurden.

cc. Entgegen der Auffassung der Beklagten ist weder eine Sachsubstanzschädigung erforderlich, noch dass die beschädigten Sachen im Eigentum der Klägerin standen.

Der Begriff der Beschädigung wird in A460 des Glossars als jede Einwirkung auf eine Sache, die ihre stoffliche Zusammensetzung negativ verändert oder ihre bestimmungsgemäße Brauchbarkeit nicht nur geringfügig beeinträchtigt, definiert. Ausdrücklich ist dort bestimmt, dass eine Substanzverletzung nicht erforderlich ist.

Gemäß A4-3.2 Absatz 2 AVB werden geleaste oder gemietete IT-Geräte beziehungsweise Maschinen und technische Anlagen solchen Sachen gleichgestellt, die sich im Eigentum des Versicherungsnehmers befinden.

dd. Der Einwand der Beklagten, die geltend gemachten Aufwendungen seien teils nicht notwendig, da die Klägerin insoweit nicht nur den Zustand vor dem Cyber-Angriff wiederhergestellt, sondern darüber hinaus Verbesserungen vorgenommen habe, greift nicht durch.

Die diesbezügliche Darlegungs- und Beweislast liegt bei der Beklagten. Nach der Formulierung der Ziffer A4-2.4.2 Satz 2 AVB (“Der Versicherer leistet keine Entschädigung für: a. Mehrkosten (A231) durch Änderungen oder Verbesserungen, die über die Wiederherstellung hinausgehen“) handelt es sich um eine Ausnahme von Satz 1, welcher die grundsätzliche Erstattungspflicht des Versicherers statuiert (“Der Versicherer leistet Entschädigung in Höhe der notwendigen Aufwendungen ...“).

Dem Vortrag der Klägerin, soweit Verbesserungen erfolgt seien, seien diese technisch nicht vermeidbar gewesen, ist die Beklagte erst mit nicht nachgelassenen Schriftsätzen nach der letzten mündlichen Verhandlung entgegengetreten, welche nach § 296a Satz 1 ZPO unbeachtlich sind.

ee. Der Anspruch der Klägerin ist auch nicht auf den Zeitwert begrenzt. Zwar ist nach A4-3.5 Ziff. 1 lit. a AVB der Neuwertanteil nur geschuldet, wenn die Wiederbeschaffung der vom Schaden betroffenen, versicherten Sachen innerhalb von zwölf Monaten nach Eintritt des Versicherungsfalles erfolgt. Sämtliche von der Klägerin im Anlagenkonvolut K 3 vorgelegten Rechnungen wurden jedoch innerhalb eines Jahres ab dem Versicherungsfall (29./30.05.2020) gestellt, so dass die abgerechneten Leistungen ebenfalls innerhalb Jahresfrist erfolgt sind.

ff. Gemäß A4-3.5 Ziff. 1 lit. c AVB macht die Klägerin jeweils (nur) den Rechnungsbetrag ohne Umsatzsteuer geltend.

gg. Weiterer Vortrag der Beklagten, mit welchem einzelne Rechnungen/ Rechnungspositionen sowie die Bezahlung der vorgelegten Rechnungen bestritten und deren Prüffähigkeit gerügt wird, insbesondere auch die Vorlage der gutachterlichen Stellungnahmen zur Rechnungsprüfung gem. den Anlagen BLD 11 und BLD 12, ist nach der letzten mündlichen Verhandlung mit nicht nachgelassenen Schriftsätzen erfolgt und daher nach § 296a Satz 1 ZPO unbeachtlich.

hh. Insgesamt ist ein Betrag in Höhe von 322.540,58 € grundsätzlich erstattungsfähig. Hiervon ist allerdings gemäß Seite 3 der Police (Anlage K1) der vereinbarte Sub-Selbstbehalt von 500 € abzuziehen. Zu erstatten ist daher ein Schaden in Höhe von 322.040,58 €.

c. Schadensminderungsmaßnahmen

Die Klägerin kann gemäß §§ 83 Abs. 1 Satz 1, 82 Abs. 1 VVG Ersatz in Höhe von 29.073,96 € für diejenigen Aufwendungen verlangen, welche sie unter Anleitung der [...] GmbH getätigt hat, um die Betriebsunterbrechung so rasch wie möglich zu beenden (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A., Rechnungen in Anlage K 5). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 (dort Seite 20, Bl. 571 d.A.) mit Nichtwissen bestritten hat, dass die aufgeführten Arbeiten zur Schadenminimierung objektiv erforderlich waren und die Kosten angemessen und ortsüblich sind, ist dieser Vortrag einerseits verspätet gemäß § 296a Satz 1 ZPO und anderseits prozessual unzulässig, da diese Aufwendungen gemäß den Schadenmanagementklauseln der AVB (siehe oben unter b. bb.) unter Mitwirkung der [...] GmbH erfolgt sind. Die Tätigkeit der [...] GmbH ist der Beklagten zuzurechnen, so dass ein Bestreiten mit Nichtwissen gemäß § 138 Abs. 4 ZPO ausscheidet.

d. Kosten der Schadensfeststellung

Dagegen hat die Klägerin keinen Anspruch auf Erstattung der geltend gemachten Kosten der Schadensfeststellung (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A.).

Es fehlt hierzu an hinreichendem Vortrag bzw. an einem Beweisantritt seitens der darlegungs- und beweisbelasteten Klägerin. Die Klägerin trägt vor, ihr Geschäftsführer sowie zwei Mitarbeiter aus dem Bereich Controlling seien mehrere Tage im Einsatz gewesen, um den Schaden festzustellen, und verweist auf eine Tabelle der ausgefallenen Personentage (Anlage K4), welche die Klägerin bereits der (ersten) Berechnung des Betriebsunterbrechungsschadens zugrunde gelegt hat. Die Beklagte hat diesen Vortrag als unsubstantiiert zurückgewiesen und die Anzahl der Mitarbeiter und der Ausfalltage bestritten, insbesondere dass diesbezüglich auch noch ein Jahr nach dem Schadensfall Personentage angefallen sein sollen. Weiterer Vortrag der Klägerin ist nicht erfolgt. Im Übrigen ist darauf hinzuweisen, dass ausgefallene Personentage bereits in die Ermittlung des Unterbrechungsschadens eingeflossen sind. Dass dem Geschäftsführer oder den Mitarbeitern der Klägerin schadensbedingt über das normale Gehalt hinaus eine zusätzliche Vergütung bezahlt worden wäre, wird von der Klägerin nicht behauptet.

e. Kosten für Gutachten der [...] GmbH

Schließlich hat die Klägerin keinen Anspruch auf Erstattung der Kosten des vorgerichtlich eingeholten Gutachtens der [...] GmbH (vgl. Rechnungen Anlage K 6). Es fehlt an einer Anspruchsgrundlage.

Zwar ist gemäß Seite 2 der Police (Anlage K1) der Baustein „Kosten eigener Sachverständiger“ mitversichert. Nach C5.1.1 AVB betrifft dies allerdings nur die im Rahmen des Sachverständigenverfahrens gemäß AVB anfallenden Gutachterkosten. Es bleibt daher bei der allgemeinen Regelung des § 85 Abs. 2 VVG. Danach hat der Versicherer Kosten, die dem Versicherungsnehmer durch die Zuziehung eines Sachverständigen entstehen, nicht zu erstatten, es sei denn, der Versicherungsnehmer ist zu der Zuziehung vertraglich verpflichtet oder vom Versicherer aufgefordert worden. Da die genannten Ausnahmen nicht vorliegen, bleibt es bei dem Grundsatz, dass diese Kosten nicht erstattungsfähig sind.

f. allgemeiner Selbstbehalt

Ein weiterer Selbstbehalt ist nicht abzuziehen. Zwar ist gemäß Seite 2 der Police (Anlage K1) ein allgemeiner Selbstbehalt (sog. Policen-Selbstbehalt) von 25.000 € vereinbart. Aus A1-15.2 AVB ergibt sich jedoch, dass es sich dabei um einen Mindest-Selbstbehalt handelt. Die bisherigen zu berücksichtigenden Sub-Selbstbehalte addieren sich auf 35.821 € (= Betriebsunterbrechung 35.321 € + Sachschaden 500 €), so dass der allgemeine Selbstbehalt aufgrund dieser speziellen Selbstbehalte bereits abgegolten ist.

5. Der Anspruch der Klägerin ist nicht wegen grob fahrlässiger Herbeiführung des Versicherungsfalls zu kürzen.

Nach § 81 Abs. 2 VVG, auf welchen sich die Beklagte berufen hat, ist der Versicherer berechtigt, seine Leistung in einem der Schwere des Verschuldens des Versicherungsnehmers entsprechenden Verhältnis zu kürzen, wenn der Versicherungsnehmer den Versicherungsfall grob fahrlässig herbeigeführt hat.

a. Der gerichtliche Sachverständige hat mehrere denkbare Maßnahmen aufgeführt, durch welche der Cyber-Angriff verhindert oder zumindest erschwert worden wäre. Hier sind insbesondere die Zwei-Faktoren-Authentifizierung und das sog. Monitoring zu nennen. Bei der Zwei-Faktoren-Authentifizierung ist neben dem Passwort eine weitere Komponente für die Anmeldung beim Netzwerk erforderlich. Diese weitere Komponente wird etwa über einen USB-Stick oder aber über eine App für das Handy bereitgestellt (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Das Monitoring schlägt Alarm, wenn Unregelmäßigkeiten auftreten, also etwa alle Server zeitgleich angegriffen werden, indem ein Mitarbeiter der Firma verständigt wird, etwa per SMS über das Handy. Dieser Mitarbeiter ist dann verpflichtet, sich beim System anzumelden und Überprüfungen vorzunehmen. Sollte dabei ein Angriff entdeckt werden, können, falls notwendig, alle Server vom Netz genommen werden, um Schlimmeres zu verhindern (Protokoll vom 28.04.2023 Seite 5, Bl. 587 d.A.).

b. Die Norm des § 81 Abs. 2 VVG ist vorliegend jedoch bereits nicht anwendbar, weshalb eine Kürzung ausscheidet.

Der Anwendungsbereich des § 81 Abs. 2 VVG ist dann nicht eröffnet, wenn die betreffende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; ähnlich BGH NJW 1965, 156, 157). So liegt der Fall hier. Bei der Klägerin hat sich die Risikolage bis zum 29./30.05.2020 gegenüber dem Zustand bei Vertragsschluss im April 2020 nicht geändert. Denn bereits damals verfügte die Klägerin weder über eine Zwei-Faktoren-Authentifizierung noch über ein Monitoring oder eine andere vergleichbare Maßnahme zur Vermeidung von Cyber-Angriffen. Die Beklagte hätte es selbst in der Hand gehabt, die Existenz solcher zusätzlichen Sicherheitsmaßnahmen durch passende Risikofragen abzuklären. Indem die Beklagte hierauf verzichtete, hat sie die Klägerin als Versicherungsnehmerin mit der bestehenden Risikolage akzeptiert und kann von Beginn an bestehende Risiken nicht über § 81 Abs. 2 VVG (ganz oder teilweise) der Versicherungsnehmerin aufbürden. Zu einer Abänderung, insbesondere Verbesserung der bei Vertragsschluss bestehenden Risikolage ist der Versicherungsnehmer nämlich nicht verpflichtet (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.). Diese Überlegungen gelten auch nach der VVG-Reform fort und finden daher auf § 81 VVG ebenso Anwendung wie auf § 61 VVG a.F. (vgl. zum neuen Recht: BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; anders wohl Langheid/Wandt/Looschelders, 3. Aufl. 2022, VVG § 81 Rn. 26).

6. Der Anspruch ist nach §§ 286 Abs. 1, Abs. 2 Nr. 3, 288 Abs. 1 BGB ab dem 05.06.2020 mit dem gesetzlichen Zinssatz zu verzinsen. Die Beklagte hat mit dem Rücktrittsschreiben vom 04.06.2020 (Anlage K 7) die Leistung aus dem Versicherungsvertrag ernsthaft und endgültig verweigert und befindet sich daher ab dem Folgetag im Verzug (BGH, 27.09.1989 – IVa ZR 156/88, VersR 1990, 153; Armbrüster, in Prölss/Martin, Versicherungsvertragsgesetz, 31. Auflage 2021, § 14 Rn. 29 m.w.N.).

Den Volltext der Entscheidung finden Sie hier:

BAG
Urteil vom 29.06.2023
2 AZR 296/22

Das BAG hat entschieden, dass kein Verwertungsverbot im Kündigungsschutzprozess bei offener Videoüberwachung besteht, auch wenn nicht alle datenschutzrechtlichen Vorgaben eingehalten werden

Die Pressemitteilung des Gerichts:
Offene Videoüberwachung - Verwertungsverbot
In einem Kündigungsschutzprozess besteht grundsätzlich kein Verwertungsverbot in Bezug auf solche Aufzeichnungen aus einer offenen Videoüberwachung, die vorsätzlich vertragswidriges Verhalten des Arbeitnehmers belegen sollen. Das gilt auch dann, wenn die Überwachungsmaßnahme des Arbeitgebers nicht vollständig im Einklang mit den Vorgaben des Datenschutzrechts steht.

Der Kläger war bei der Beklagten zuletzt als Teamsprecher in der Gießerei beschäftigt. Die Beklagte wirft ihm ua. vor, am 2. Juni 2018 eine sog. Mehrarbeitsschicht in der Absicht nicht geleistet zu haben, sie gleichwohl vergütet zu bekommen. Nach seinem eigenen Vorbringen hat der Kläger zwar an diesem Tag zunächst das Werksgelände betreten. Die auf einen anonymen Hinweis hin erfolgte Auswertung der Aufzeichnungen einer durch ein Piktogramm ausgewiesenen und auch sonst nicht zu übersehenden Videokamera an einem Tor zum Werksgelände ergab nach dem Vortrag der Beklagten aber, dass der Kläger dieses noch vor Schichtbeginn wieder verlassen hat. Die Beklagte kündigte das Arbeitsverhältnis der Parteien außerordentlich, hilfsweise ordentlich.

Mit seiner dagegen erhobenen Klage hat der Kläger ua. geltend gemacht, er habe am 2. Juni 2018 gearbeitet. Die Erkenntnisse aus der Videoüberwachung unterlägen einem Sachvortrags- und Beweisverwertungsverbot und dürften daher im Kündigungsschutzprozess nicht berücksichtigt werden.

Die Vorinstanzen haben der Klage stattgegeben. Die hiergegen gerichtete Revision der Beklagten hatte vor dem Zweiten Senat des Bundesarbeitsgerichts bis auf einen Antrag betreffend ein Zwischenzeugnis Erfolg. Sie führte zur Zurückverweisung der Sache an das Landesarbeitsgericht. Dieses musste nicht nur das Vorbringen der Beklagten zum Verlassen des Werksgeländes durch den Kläger vor Beginn der Mehrarbeitsschicht zu Grunde legen, sondern ggf. auch die betreffende Bildsequenz aus der Videoüberwachung am Tor zum Werksgelände in Augenschein nehmen. Dies folgt aus den einschlägigen Vorschriften des Unionsrechts sowie des nationalen Verfahrens- und Verfassungsrechts. Dabei spielt es keine Rolle, ob die Überwachung in jeder Hinsicht den Vorgaben des Bundesdatenschutzgesetzes bzw. der Datenschutz-Grundverordnung (DSGVO) entsprach. Selbst wenn dies nicht der Fall gewesen sein sollte, wäre eine Verarbeitung der betreffenden personenbezogenen Daten des Klägers durch die Gerichte für Arbeitssachen nach der DSGVO nicht ausgeschlossen. Dies gilt jedenfalls dann, wenn die Datenerhebung wie hier offen erfolgt und vorsätzlich vertragswidriges Verhalten des Arbeitnehmers in Rede steht. In einem solchen Fall ist es grundsätzlich irrelevant, wie lange der Arbeitgeber mit der erstmaligen Einsichtnahme in das Bildmaterial zugewartet und es bis dahin vorgehalten hat. Der Senat konnte offenlassen, ob ausnahmsweise aus Gründen der Generalprävention ein Verwertungsverbot in Bezug auf vorsätzliche Pflichtverstöße in Betracht kommt, wenn die offene Überwachungsmaßnahme eine schwerwiegende Grundrechtsverletzung darstellt. Das war vorliegend nicht der Fall.

Bundesarbeitsgericht, Urteil vom 29. Juni 2023 – 2 AZR 296/22 –
Vorinstanz: Landesarbeitsgericht Niedersachsen, Urteil vom 6. Juli 2022 – 8 Sa 1149/20 –

BAG
Urteil vom 06.06.2023
9 AZR 383/19

Das BAG hat entschieden, dass ein Betriebsratsvorsitzender nicht zugleich betrieblicher Datenschutzbeauftragter sein kann, da Interessenkonflikte bestehen können.

Die Pressemitteilung des Gerichts:
Betriebsratsvorsitzender als Datenschutzbeauftragter ?
Der Vorsitz im Betriebsrat steht einer Wahrnehmung der Aufgaben des Beauftragten für den Datenschutz typischerweise entgegen und berechtigt den Arbeitgeber in aller Regel, die Bestellung zum Datenschutzbeauftragten nach Maßgabe des BDSG in der bis zum 24. Mai 2018 gültigen Fassung (aF) zu widerrufen.

Der bei der Beklagten angestellte Kläger ist Vorsitzender des Betriebsrats und in dieser Funktion teilweise von der Arbeit freigestellt. Mit Wirkung zum 1. Juni 2015 wurde er von der Beklagten und weiteren in Deutschland ansässigen Tochtergesellschaften zum Datenschutzbeauftragten bestellt. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen die Beklagte und die weiteren Konzernunternehmen die Bestellung des Klägers am 1. Dezember 2017 wegen einer Inkompatibilität der Ämter mit sofortiger Wirkung. Nach Inkrafttreten der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie (RL) 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO) beriefen sie den Kläger vorsorglich mit Schreiben vom 25. Mai 2018 gemäß Art. 38 Abs. 3 Satz 2 DSGVO als Datenschutzbeauftragten ab.

Der Kläger hat geltend gemacht, seine Rechtsstellung als betrieblicher Datenschutzbeauftragter der Beklagten bestehe unverändert fort. Die Beklagte hat die Auffassung vertreten, Interessenkonflikte bei der Wahrnehmung der Aufgaben als Datenschutzbeauftragter und Betriebsratsvorsitzender ließen sich nicht ausschließen. Die Unvereinbarkeit beider Ämter stellten einen wichtigen Grund zur Abberufung des Klägers dar.

Die Vorinstanzen haben der Klage stattgegeben. Die dagegen erhobene Revision der Beklagten hatte vor dem Neunten Senat des Bundesarbeitsgerichts Erfolg. Der Widerruf der Bestellung vom 1. Dezember 2017 war aus wichtigem Grund iSv. § 4f Abs. 3 Satz 4 BDSG aF iVm. § 626 Abs. 1 BGB gerechtfertigt. Ein solcher liegt vor, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit iSv. § 4f Abs. 2 Satz 1 BDSG aF nicht (mehr) besitzt. Die Zuverlässigkeit kann in Frage stehen, wenn Interessenkonflikte drohen. Ein abberufungsrelevanter Interessenkonflikt ist anzunehmen, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleidet, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat. Dabei sind alle relevanten Umstände des Einzelfalls zu würdigen. Diese vom Gerichtshof der Europäischen Union (EuGH 9. Februar 2023 – C-453/21 – [X-FAB Dresden]) zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vorgenommene Wertung gilt nicht erst seit Novellierung des Datenschutzrechts aufgrund der DSGVO, sondern entsprach bereits der Rechtslage im Geltungsbereich des BDSG aF.

Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können danach typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Personenbezogene Daten dürfen dem Betriebsrat nur zu Zwecken zur Verfügung gestellt werden, die das Betriebsverfassungsgesetz ausdrücklich vorsieht. Der Betriebsrat entscheidet durch Gremiumsbeschluss darüber, unter welchen konkreten Umständen er in Ausübung seiner gesetzlichen Aufgaben welche personenbezogenen Daten vom Arbeitgeber fordert und auf welche Weise er diese anschließend verarbeitet. In diesem Rahmen legt er die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Inwieweit jedes an der Entscheidung mitwirkende Mitglied des Gremiums als Datenschutzbeauftragter die Einhaltung der gesetzlichen Pflichten des Datenschutzes hinreichend unabhängig überwachen kann, bedurfte keiner abschließenden Entscheidung. Jedenfalls die hervorgehobene Funktion des Betriebsratsvorsitzenden, der den Betriebsrat im Rahmen der gefassten Beschlüsse vertritt, hebt die zur Erfüllung der Aufgaben eines Datenschutzbeauftragten erforderliche Zuverlässigkeit iSv. § 4f Abs. 2 Satz 1 BDSG aF auf.

Bundesarbeitsgericht, Urteil vom 6. Juni 2023 – 9 AZR 383/19 –
Vorinstanz: Sächsisches Landesarbeitsgericht, Urteil vom 19. August 2019 – 9 Sa 268/18 –

OLG Hamm
Urteil vom 26.04.2023
8 U 94/22

Das OLG Hamm hat entschieden, dass ein Vereinsmitglied regelmäßig einen Anspruch gegen den Verein auf Übermittlung einer Mitgliederliste mit E-Mail-Adressen der Mitglieder hat. Die DSGVO steht dem nicht entgegen.

Leitsätze des Gerichts:
1. Einem Vereinsmitglied steht ein aus dem Mitgliedschaftsverhältnis fließendes Recht gegen den Verein auf Übermittlung einer Mitgliederliste zu, die auch E-Mail-Adressen der Mitglieder enthält, soweit es ein berechtigtes Interesse hat und dem keine überwiegenden Geheimhaltungsinteressen des Vereins oder berechtigte Belange der Vereinsmitglieder entgegenstehen.

2. Ein berechtigtes Interesse an dem Erhalt der Mitgliederliste ist u. a. dann gegeben, wenn eine Kontaktaufnahme mit anderen Vereinsmitgliedern beabsichtigt ist, um eine Opposition gegen die vom Vorstand eingeschlagene Richtung der Vereinsführung zu organisieren.

3. Das Vereinsmitglied kann in dem Fall nicht auf ein vom Verein eingerichtetes Internetforum verwiesen werden; es ist auch nicht auf die Auskunftserteilung an einen Treuhänder beschränkt.

4. Der Beitritt zu einem Verein begründet die Vermutung, auch zu der damit einhergehenden Kommunikation – auch per E-Mail – bereit zu sein. Eine erhebliche Belästigung geht damit regelmäßig nicht einher, zumal jedes Vereinsmitglied sich vor dem Erhalt unerwünschter E-Mails schützen kann.

5. Die Übermittlung von Mitgliederlisten ist mit dem Datenschutz vereinbar. Sie ist von dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. b) gedeckt.

Aus den Entscheidungsgründen:
Der Kläger hat seine Berufung fristgerecht eingelegt und begründet, sie ist auch im Übrigen zulässig. Die Berufung ist auch begründet, da die Klage zulässig und begründet ist. Der Kläger hat einen aus dem Mitgliedschaftsverhältnis fließenden Anspruch auf Übermittlung einer Mitgliederliste mit den Vor- und Zunamen, bei juristischen Personen deren Namen, Adressen und E-Mail-Adressen der Mitglieder.

1. Grundsatz
Der Kläger hat als Vereinsmitglied des Beklagten grundsätzlich einen aus der Mitgliedschaft fließenden Anspruch auf die begehrte Information. Ob der Anspruch auch analog § 810 BGB begründet werden kann, kann dahingestellt bleiben. § 810 BGB hat im Übrigen keinen abschließenden Charakter (s. nur MünchKommBGB/Habersack, 8. Aufl. 2020, § 810 BGB Rn. 2) und steht dem mitgliedschaftlichen Auskunftsanspruch nicht entgegen.

Nach ganz h.M. in der Literatur und in der Rechtsprechung steht einem Vereinsmitglied kraft seines Mitgliedschaftsrechts ein Recht auf Einsicht in die Bücher und Urkunden des Vereins zu, wenn und soweit es ein berechtigtes Interesse darlegen kann, dem kein überwiegendes Geheimhaltungsinteresse des Vereins oder berechtigte Belange der Vereinsmitglieder entgegenstehen; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 4 f.; Soergel/Hadding, BGB 13. Aufl., § 38 Rdnr. 17; MünchHdbGesR/Schöpflin, Band 5: Verein/Stiftung, 5. Aufl. 2021, § 34 Rn. 21; Reichert, Handbuch des Vereins- und Verbandsrechts, 10. Aufl., Rdnr. 1380; 7; ders., Vereins- und Verbandsrecht, 14. Aufl. 2018, Rn. 1422; Grüneberg/Ellenberger, BGB, 82. Aufl. 2023, § 38 Rdnr. 1a; MünchKommBGB/Leuschner, 9. Aufl. 2021, § 38 Rn. 23 a.E.

Sind die Informationen, die sich das Mitglied durch Einsicht in die Unterlagen des Vereins beschaffen kann, in einer Datenverarbeitungsanlage gespeichert, kann es zum Zwecke der Unterrichtung einen Ausdruck der geforderten Informationen oder auch deren Übermittlung in elektronischer Form verlangen; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 4; MünchKommBGB/Schäfer, 8. Aufl. 2020, § 716 Rn. 8 (zur Gesellschaft bürgerlichen Rechts).

Rechtsprechung und Literatur billigen dem einzelnen Vereinsmitglied insbesondere auch einen Anspruch auf Einsicht bzw. Herausgabe der Mitgliederliste jedenfalls dann zu, wenn es ein berechtigtes Interesse geltend machen kann; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 5 f.; OLG Saarbrücken NZG 2008, 677 f.; OLG München, U. v. 15.11.1990 – 19 U 3483/90; vgl. auch BVerfG, B. v. 18.2.1991 – 1 BvR 185/91.

Unter welchen Voraussetzungen ein berechtigtes Interesse des einzelnen Vereinsmitglieds anzunehmen ist, Kenntnis von Namen und Anschriften der anderen Vereinsmitglieder zu erhalten, ist keiner abstrakt-generellen Klärung zugänglich, sondern auf Grund der konkreten Umstände des einzelnen Falls zu beurteilen. Ein solches Interesse ist jedenfalls gegeben, wenn es darum geht, das nach der Satzung oder nach § 37 BGB erforderliche Stimmenquorum zu erreichen, um von dem in dieser Vorschrift geregelten Minderheitenrecht, die Einberufung einer Mitgliederversammlung zu verlangen, Gebrauch zu machen; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 6. Als berechtigtes Interesse hat der BGH ferner anerkannt, mit der Vielzahl von Mitgliedern, von denen regelmäßig nur ein kleiner Teil an der Mitgliederversammlung teilnimmt, in Kontakt zu treten, um eine Opposition gegen die vom Vorstand eingeschlagene Richtung der Vereinsführung zu organisieren; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 12. Dabei müssen sich die auskunftbegehrenden Mitglieder nicht auf die Möglichkeit der Kontaktaufnahme über eine Vereinszeitschrift oder ein vom Verein eingerichtetes Internetforum verweisen lassen; BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 13.

Das auskunftbegehrende Mitglied kann dabei die Auskunft über Mitgliederliste an einen von ihm eingeschalteten Treuhänder begehren (so im Fall BGH, Beschluss vom 21. Juni 2010 – II ZR 219/09 –, juris Rn. 12). Das auskunftbegehrende Mitglied ist indes darauf nicht beschränkt, sondern kann auch selbst Einsicht in die Mitgliederliste nehmen und Übermittlung der darin enthaltenen Informationen in elektronischer Form an sich selbst verlangen, BGH, Beschluss vom 25. Oktober 2010 – II ZR 219/09 –, juris Rn. 6.

[...]

4. Vereinbarkeit mit dem Datenschutz
Die Übermittlung der Mitgliederliste mit den begehrten Daten ist auch mit der Datenschutzgrundverordnung vereinbar.

a) Anwendbarkeit der DSGVO
Die Datenschutzgrundverordnung ist auf diesen Vorgang anwendbar. Die vom Kläger begehrte Mitgliederliste enthält mit Adresse und E-Mail-Adresse Informationen, die sich auf die durch Namen identifizierten Personen beziehen, mithin personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO. Mit dem vom Kläger begehrten elektronischen Versand ist auch der sachliche Anwendungsbereich von Art. 2 Abs. 1 DSGVO eröffnet, da bereits mit dem Versand an den und der Speicherung beim Kläger eine automatisierte Verarbeitung i.S.v. Art. 2 Nr. 2 DSGVO verbunden ist. Der räumliche Anwendungsbereich von Art. 3 Abs. 1 und 2 DSGVO ist ebenfalls eröffnet, da der Beklagte als Verantwortlicher (Art. 4 Nr. 7 DSGVO) in Deutschland die Daten von betroffenen Personen (Art. 4 Nr. 1 DSGVO) verarbeitet (Art. 4 Nr. 2 DSGVO).

b) Erlaubnistatbestand des Art. 6 Abs. 1 lit. b) DSGVO.
Die Übermittlung der Mitgliederlisten mit den begehrten Inhalten ist aber von dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. b) DSGVO gedeckt, da sie zur Erfüllung eines Vertrags, dessen Partei die betroffenen Personen sind, erforderlich ist.

aa) Grundsätze

Datenschutzrecht ist Ermöglichungsrecht, kein Verhinderungsrecht. Es ist, wie Art. 6 Abs. 1 DSGVO ausweist, akzessorisch zum jeweiligen Sachrecht und steht dem, was das Sachrecht verlangt, nicht entgegen, sondern begrenzt es nur der Teleologie des jeweiligen sachrechtlichen Bereichs folgend auf das danach Erforderliche. Für den vorliegenden Zusammenhang heißt das, das Datenschutzrecht ist in diesem Sinne zivilrechtsakzessorisch, wie auch Art. 6 Abs. 1 lit. b) und c) DSGVO ausweisen; vgl. schon BGH, Beschluss vom 25. Oktober 2010 – II ZR 219/09 –, juris Rn. 6. Das, was zivilrechtlich für die Vertragserfüllung erforderlich ist, ermöglicht das Datenschutzrecht auch.

Insbesondere stellt sich im vorliegenden Fall, in dem es um die datenschutzrechtliche Beurteilung einer gesetzlichen Nebenleistungspflicht geht, nicht die umstrittene Frage der Wechselwirkung zwischen Zivilrecht und Datenschutzrecht. Sie stellt sich, wenn die Gefahr besteht, dass die Parteien einen Vertrag in bestimmter Weise gestalten, um auf dieser Grundlage die Erforderlichkeit der Datenverarbeitung für die Erfüllung (und so die Erlaubnis nach Art. 6 Abs. 1 lit. b) DSGVO) zu begründen und damit die Anforderungen an die Einwilligung nach Art. 6 Abs. 1 lit. a), 7 DSGVO zu unterlaufen; dazu grundlegend Wendehorst/Graf von Westphalen, NJW 2016, 3745 ff.; ferner BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 44. Bei der Beurteilung der teleologisch zur Erreichung des Vertragszwecks (Vereinszwecks; mitgliedschaftliche Rechte) begründeten Nebenpflichten besteht diese Gefahr von vornherein nicht.

bb) Zweck des Erlaubnistatbestands

Zulässig ist nach Art. 6 Abs. 1 lit. b) DSGVO die Verarbeitung „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist“. Der Zweck des Erlaubnistatbestands ist es, die privatautonome Gestaltung der Beteiligten zu ermöglichen und nicht zu beschränken. Mit dem datenschutzrechtlichen Anliegen der informationellen Selbstbestimmung ist das deswegen gut vereinbar, weil die vertragliche Verpflichtung im Wege der Selbstbestimmung legitimiert ist; BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 41 („Resultate privatautonomer Entscheidungen“). Damit handelt es sich bei dem Erlaubnistatbestand systematisch um einen Unterfall der datenschutzrechtlichen Einwilligung von Art. 6 Abs. 1 lit. a) DSGVO.

cc) Vertrag i.S.d. Art. 6 Abs. 1 lit. b) DSGVO

Der Begriff des “Vertrags” ist dabei nicht zivilrechtlich auszulegen, sondern datenschutzrechtlich und unionsautonom; BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 42. Es kommt m.a.W. nicht darauf an, ob das Rechtsverhältnis, zu dessen Erfüllung die Verarbeitung erforderlich ist, ein Vertrag i.S.d. BGB ist, sondern ob das datenschutzrechtliche Telos des Erlaubnistatbestands erfüllt ist. Maßgeblich ist m.a.W., ob das Rechtsverhältnis privatautonom begründet ist und die maßgebliche Verpflichtung daher als Ausdruck der Selbstbestimmung legitimiert ist; BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 41. Daher wird zu Recht hervorgehoben, dass der Tatbestand von lit. b) „auf all jene vertragsähnlichen Konstellationen, die gleichermaßen auf willentliche Entscheidungen des von der Verarbeitung Betroffenen zurückgehen“, anzuwenden ist; BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 42.

Vereinsgründung und -beitritt begründen einen „Vertrag“ i.S.v. Art. 6 Abs. 1 lit. b) DSGVO, da es sich dabei um einen selbstbestimmt erklärten Beitritt zu einer privaten Vereinigung handelt; so i.Erg. auch Kühling/Buchner/Buchner/Petri, DSGVO BDSG, 3. Aufl. 2020, Art. 6 DSGVO Rn. 29 f.; Gola/Heckmann/Schulz, DSGVO BDSG, 3. Aufl. 2022, Art. 6 DSGVO Rn. 33. Das ist auch zivilrechtlich gut begründet. So formuliert etwa Lutter, AcP 180 (1980), 84, 97: „Die Mitgliedschaft einer Person in einem Verband ist ein Rechtsverhältnis, eine auf privatautonomer Entscheidung beruhende privatrechtliche Sonderverbindung zwischen zwei oder mehr Subjekten. Sie wird begründet durch den Organisationsvertrag der Gründung oder durch den Beitrittsvertrag des neu hinzukommenden Mitgliedes, sei es mit dem Vorstand selbst, sei es mit dem bisherigen Mitglied.“ Zudem hat auch der Vereinsbeitritt anerkanntermaßen Vertragscharakter; s. nur Neuner, Allgemeiner Teil, 13. Aufl. 2023, § 17 Rn. 80 ff. Dabei kommt es für den Vertragsbegriff von Art. 6 Abs. 1 lit. b) DSGVO nicht darauf an, dass nicht sämtliche Mitglieder – gewissermaßen netzförmig – den Beitritt von einander konsentieren (wie bei der Personengesellschaft); dazu BGH, Beschluss vom 19. November 2019 – II ZR 263/18 –, juris Rn. 27; BGH, Urteil vom 11. Januar 2011 – II ZR 187/09 –, juris Rn. 17. Es reicht aus, dass die Mitglieder jeweils im Verhältnis zum Verein als Zentralstelle – gewissermaßen sternförmig – ihr Einverständnis erklären.

dd) Erforderlichkeit zur Erfüllung

Was zur Erfüllung des Vertrags erforderlich ist, bestimmen die Rechte und Pflichten des Vertrags. Eine Unterscheidung zwischen Haupt- und Nebenpflichten ist dabei nicht vorzunehmen; BeckOK Datenschutzrecht/Albers/Veit, Art. 6 DSGVO Rn. 43; Ehmann/Selmayer/Heberlein, DSGVO, 2. Aufl. 2018, Art. 6 DSGVO Rn. 13; Gola/Heckmann/Schulz, DSGVO BDSG, 3. Aufl. 2022, Art. 6 DSGVO Rn. 30. Bei der Bewertung als „erforderlich“ ist dabei – anders als im Verhältnis zwischen Bürger und Staat – kein objektiver Maßstab anzulegen, sondern der von den Parteien privatautonom gewählte Interessenausgleich zugrunde zu legen. Die dabei im allgemeinen gegebene Gefahr eines Missbrauchs der privatautonomen Gestaltungsmacht besteht dabei im vorliegenden Fall nicht. Zwar beruht auch der aus dem Mitgliedschaftsverhältnis fließende Informationsanspruch auf der Grundlage des Vertrags (i.S.v. Art. 6 Abs. 1 lit. b) DSGVO; also Beitritt und Satzung). Die Informationspflichten werden jedoch als – weithin sogar zwingende – Nebenpflichten gesetzlich begründet.

Die hier begründete Pflicht des Vereins, dem Mitglied eine Mitgliederliste mit Namen, Adressen und E-Mail-Adressen zu übermitteln, ist dabei bereits im Wege der Interessenabwägung als für die Zwecke der Ausübung der Mitgliedschaftsrechte erforderlich begründet. Die Begründung beruht ja gerade darauf, dass die Mitgliedschaftsrechte ohne die Informationspflicht nicht effektiv ausgeübt werden könnten oder sogar leerliefen; BGH, Beschluss vom 19. November 2019 – II ZR 263/18 –, juris Rn. 27.

Im Rahmen der datenschutzrechtlichen Prüfung ist ergänzend auf die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO Rücksicht zu nehmen. Hier sind insbesondere die Aspekte der Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a) DSGVO), der Zweckbindung (lit. b) und der Datenminimierung hervorzuheben, die in der Sache auch die Parteien angesprochen haben. Da die Informationspflicht als gesetzlich begründete Nebenpflicht selbst Ausfluss von Treu und Glauben ist, wird damit lediglich ein bereits zivilrechtlich begründeter Aspekt hervorgehoben, der im Hinblick auf die Datenverarbeitung zu konkretisieren ist. Auch die Zweckbindung der Datenverarbeitung ist bereits als zivilrechtliche Nebenpflicht des Mitgliedschaftsverhältnisses begründet. Sie ergibt sich daraus, dass der Kläger die Informationen nur aus „berechtigten Interessen“ beanspruchen kann. Daraus ergibt sich zugleich eine sachlich begründete Begrenzung der Verarbeitung durch den Kläger. Als Verantwortlicher für die Datenverarbeitung darf er die Mitgliederliste nur für die Zwecke verwenden, für die er sie zunächst beanspruchen kann, hier also die Organisation einer Opposition gegen die „Politik“ des Vorstands, ggf. für die Einberufung einer außerordentlichen Mitgliederversammlung mit Minderheitenquorum. Auch die Datenminimierung ist bereits bei der zivilrechtlichen Pflichtbegründung mit berücksichtigt. Der Grundsatz darf nicht plump dahin missverstanden werden, es wäre besser, weniger Daten (etwa: nicht die E-Mail-Adressen) zu verarbeiten. Vielmehr ist auch die Datenminimierung im Hinblick auf den jeweiligen Zweck hin zu bestimmen („dem Zweck angemessen“). So ist etwa auch datenschutzrechtlich anzuerkennen, dass der Kläger die E-Mail-Adressen für eine effektive Ausübung seiner Mitgliedschaftsrechte benötigt. In der europarechtlichen Terminologie liegt darin der Gedanke des effet utile, den man auch für die Mitgliedschaftsrechte fruchtbar machen kann. Zwar könnte das Mitglied auch postalisch mit den Kon-Mitgliedern in Verbindung treten. Das würde aber die „praktische Wirksamkeit“ der Mitgliedschaftsrechte wegen der damit verbundenen prohibitiven Kosten und der in den gegenwärtigen gesellschaftlichen Verhältnissen unangemessenen Verzögerung nicht gewährleisten.

Selbstverständlich unterliegt das Mitglied, wenn es die Mitgliederliste für seine mitgliedschaftlichen Zwecke verwendet, im Übrigen nicht nur den bereits hervorgehobenen zivilrechtlichen Beschränkungen, wie sie sich insbesondere aus § 241 Abs. 2 BGB ergeben. Er ist dabei zugleich „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO mit entsprechenden Pflichten bis hin zur (scharfen) Haftung nach Art. 82 DSGVO

Den Volltext der Entscheidung finden Sie hier:

Facebook / Meta soll 1,2 Milliarden EURO Bußgeld wegen DSGVO-widriger Übermittlung personenbezogener Daten in die USA zahlen.

Die Pressemitteilung des European Data Protection Board (EDPB):
1.2 billion euro fine for Facebook as a result of EDPB binding decision

Brussels, 22 May - Following the EDPB’s binding dispute resolution decision of 13 April 2023, Meta Platforms Ireland Limited (Meta IE) was issued a 1.2 billion euro fine following an inquiry into its Facebook service, by the Irish Data Protection Authority (IE DPA). This fine, which is the largest GDPR fine ever, was imposed for Meta’s transfers of personal data to the U.S. on the basis of standard contractual clauses (SCCs) since 16 July 2020. Furthermore, Meta has been ordered to bring its data transfers into compliance with the GDPR.

Andrea Jelinek, EDPB Chair, said: “The EDPB found that Meta IE’s infringement is very serious since it concerns transfers that are systematic, repetitive and continuous. Facebook has millions of users in Europe, so the volume of personal data transferred is massive. The unprecedented fine is a strong signal to organisations that serious infringements have far-reaching consequences.”

In its binding decision of 13 April 2023, the EDPB instructed the IE DPA to amend its draft decision and to impose a fine on Meta IE. Given the seriousness of the infringement, the EDPB found that the starting point for calculation of the fine should be between 20% and 100% of the applicable legal maximum. The EDPB also instructed the IE DPA to order Meta IE to bring processing operations into compliance with Chapter V GDPR, by ceasing the unlawful processing, including storage, in the U.S. of personal data of European users transferred in violation of the GDPR, within 6 months after notification of the IE SA’s final decision.

The IE DPA's final decision incorporates the legal assessment expressed by the EDPB in its binding decision, adopted on the basis of Art. 65(1)(a) GDPR after the IE DPA, as lead supervisory authority (LSA), had triggered a dispute resolution procedure concerning the objections raised by several concerned supervisory authorities (CSAs). Among others, CSAs issued objections aiming to include an administrative fine and/or an additional order to bring processing into compliance*.

The final decision taken by the IE DPA is available in the Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.

LG München
Urteil vom 25.04.2023
33 O 5976/22

Das LG München hat entschieden, dass die Weitergabe von Positivdaten an die SCHUFA durch den Telekommunikationsanbieter Telefonica / O2 gegen Art. 5 und Art. 6 DSGVO verstößt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
Die streitgegenständliche Datenübertragung personenbezogener Daten (vgl. Anlage K 3) stellt eine Zuwiderhandlung gegen Art. 5, 6 DSGVO dar. Gem. Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in Art. 6 DSGVO normierten Bedingungen erfüllt ist. Dies ist vorliegend nicht der Fall. Die Übermittlung der sog. Positivdaten nach Vertragsschluss an Auskunfteien, wie im Streitfall an die SCHUFA (vgl. Anlage K3), erfolgt ohne Rechtsgrundlage.

a. Die Datenverarbeitung ist nicht von Art. 6 Abs. 1 Satz 1 lit. b) DSGVO gedeckt, weil die Beklagte mit den Kunden auch ohne Übermittlung von Positivdaten an Auskunfteien Verträge abschließen kann und diese Datenübermittlung zur Erfüllung des Vertrages bzw. zur Durchführung vorvertraglicher Maßnahmen nicht erforderlich ist.

Dies ergibt sich bereits daraus, dass auch nach Einstellung der beanstandeten Datenübertragung durch die Beklagte bis zur Klärung der Rechtslage weiterhin entsprechende Verträge geschlossen und abgewickelt werden. Das Vertragsverhältnis steht und fällt auch nicht mit der Übermittlung von Positivdaten an Auskunfteien.

Soweit ein solcher Vertragsschluss unter Weitergabe von Positivdaten schlicht weniger risikobehaftet ist, begründet dies nicht die Erforderlichkeit einer solchen Übermittlung im Rechtssinne.

b. Die Datenverarbeitung ist auch nicht von Art. 6 Abs. 1 Satz 1 lit. f) DSGVO gedeckt, da die Interessen der Betroffenen an dem Schutz ihrer Daten und deren Grundrechte die Interessen der Beklagten an der Übermittlung der Positivdaten an die Auskunftei überwiegen.

aa. Die Kammer legt bei ihrer gem. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zu treffenden Abwägung zugrunde, dass verschiedene Interessen grundsätzlich auch für die Übermittlung von sog. Positivdaten sprechen.

Allen voran ist insoweit die auch aus Sicht der Beklagten als Verantwortliche im Sinne des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO hervorgehobene Betrugsprävention und die damit verbundene Schadensvermeidung im zweistelligen Millionenbereich zu nennen, welche u. a. durch eine Identitätsprüfung auf der Basis der Positivdaten bzw. die Verhinderung eines Identitätsdiebstahls durch den Abgleich mit Positivdaten erreicht werden soll.

Es kann auch unterstellt werden, dass die Meldung entsprechender Daten bzw. deren Austausch über die Auskunftei der Reduzierung des Kredit- und des Ausfallrisikos der Beklagten und einer frühzeitigen Kundenbindung sowie einer höheren Abschlussquote (wegen gesteigerter Annahmequoten) dient.

Auch kann ein gesamtwirtschaftliches general- und spezialpräventives Interesse an der Betrugsbekämpfung und -prävention, ein Interesse an einer besseren finanziellen Inklusion von finanziell schwächeren Verbrauchern und auch an verbesserten Chancen zum Vertragsabschluss unterstellt werden.

Gleiches gilt für das wirtschaftliche Interesse von Dritten, hier der Auskunftei, deren Geschäftsmodell auf der Einmeldung von Daten im Gegenseitigkeitsprinzip basiert, an der Funktionsfähigkeit von Auskunfteien und der Genauigkeit von Scores.

Auch die von der Beklagten für die Betroffenen angeführten Interessen, etwa günstigere Vertragskonditionen durch eine Verbesserung des Scorewerts der Betroffenen, der Möglichkeit der besseren Gewichtung von Negativeinträgen, einem Schutz vor Überschuldung und einer (erweiterten) Möglichkeit zum Abschluss von Erstverträgen, können für die vorzunehmende Abwägung als gegeben unterstellt werden.

bb. Inwieweit die Meldung von Positivdaten als Mittel zur Wahrung der genannten Interessen tatsächlich geeignet ist, kann im Streitfall dahinstehen, denn zur Wahrung dieser Interessen wählt die Beklagte mit der Übermittlung der Positivdaten jedenfalls nicht das erforderliche und verhältnismäßige Mittel aus, sondern die aus ihrer Sicht effektivste Methode. Dies ist unzulässig.

Den Volltext der Entscheidung finden Sie hier: