Das OVG Münster hat entschieden, dass Behörden nicht verpflichtet sind, Daten mit Ende-zu-Ende-Verschlüsselung zu versenden.
Aus den Entscheidungsgründen: II. Der Antragsteller stellt die Annahme des Verwaltungsgerichts, er habe keinen Anordnungsanspruch glaubhaft gemacht, mit seinem Beschwerdevorbringen nicht durchgreifend in Frage.
1. Das Verwaltungsgericht hat zutreffend angenommen, dass Art. 18 Abs. 1 Buchstabe d DSGVO keine Anspruchsgrundlage für das Begehren des Antragstellers darstellt. Nach dieser Vorschrift hat die betroffene Person das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die betroffene Person Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden (Art. 18 Abs. 2 DSGVO). Das Verwaltungsgericht hat dazu ausgeführt, dem Antragsteller gehe es nicht nur um die Einschränkung der Datenverarbeitung für die Dauer des bereits abgeschlossenen Überprüfungsverfahrens, sondern um eine Verpflichtung der Antragsgegnerin, zukünftig eine Ende-zu-Ende-Verschlüsselung bei der Verarbeitung der personenbezogenen Daten des Antragstellers zu verwenden.
Dem setzt der Antragsteller ohne Erfolg den Hinweis entgegen, der Betroffene könne ausdrücklich auf Basis einer Einwilligung die Einschränkung der Verarbeitung teilweise aufheben und damit sei nach Art. 18 Abs. 2 DSGVO jede Verarbeitung auch solcher Daten zulässig, deren Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt worden sei. Dieses Vorbringen versteht der Senat dahingehend, dass der Antragsteller meint, aufgrund seines Widerspruchs gegen die Verarbeitung seiner personenbezogenen Daten durch die Antragsgegnerin sei die Datenverarbeitung mit der in Art. 18 Abs. 2 DSGVO beschriebenen Rechtsfolge eingeschränkt und er könne diese Einschränkung dadurch wieder teilweise aufheben, dass er in eine Übermittlung unter den in seinem Antrag genannten Voraussetzungen (Ende-zu-Ende-Verschlüsselung bzw. eine dem Stand der Technik und dem Risiko entsprechende Verschlüsselung) einwillige.
Unabhängig vom Stand des in Art. 18 Abs. 1 Buchstabe d DSGVO i. V. m. Art. 21 Abs. 1 DSGVO vorgesehenen Überprüfungsverfahrens bleibt dieses Vorbringen ohne Erfolg. Die Einschränkungen für die Datenverarbeitung unter den in Art. 18 Abs. 1 Buchstabe d DSGVO genannten Voraussetzungen gelten nach dem Wortlaut der Vorschrift in zeitlicher Hinsicht nur, „solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen“. Dem Antragsteller geht es im vorliegenden Verfahren jedoch nicht um den Zeitraum während des Überprüfungsverfahrens nach Art. 21 DSGVO, sondern um eine von diesem Zeitraum unabhängige Regelung für die Übermittlung seiner personenbezogenen Daten. Dem steht nicht entgegen, dass er seinen Antrag im Verfahren auf Gewährung einstweiligen Rechtsschutzes zeitlich „bis zu einer Entscheidung in der Hauptsache“ begrenzt hat. Diese zeitliche Begrenzung ist lediglich dem Charakter des Verfahrens auf Gewährung einstweiligen Rechtsschutzes geschuldet.
Da der Antragsteller die geltend gemachten Ansprüche nicht aus Art. 18 Abs. 1 Buchstabe d DSGVO herleiten kann und es nicht auf das in dieser Vorschrift in Bezug genommene Überprüfungsverfahren gemäß Art. 21 Abs. 1 DSGVO ankommt, musste das Verwaltungsgericht dem Antrag auch nicht deswegen stattgeben, weil nach Ansicht des Antragstellers nicht ersichtlich sei, welche in Art. 21 Abs. 1 Satz 2 DSGVO angeführten zwingenden Gründe hier gegen eine Ende-zu-Ende-Verschlüsselung sprächen.
2. Der Antragsteller stellt weiter die Annahme des Verwaltungsgerichts, er könne einen Anspruch auf Datenübermittlung im Wege einer Ende-zu-Ende-Verschlüsselung oder einer sonstigen Verschlüsselung, die über die von der Antragsgegnerin verwendete hinausgehe, nicht aus Art. 32 DSGVO herleiten, nicht durchgreifend in Frage.
Das Verwaltungsgericht hat diese Ansicht mit einer Gesamtbetrachtung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien begründet. Es hat ausgeführt, nach dieser Vorschrift sei die Antragsgegnerin bei der Verarbeitung personenbezogener Daten verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Erforderlich seien eine Risikoeinschätzung und darauf basierend die Feststellung des Schutzbedarfs der Daten. Die in Art. 32 Abs. 1 Buchstabe a DSGVO genannte Maßnahme der Verschlüsselung personenbezogener Daten müsse den in Art. 5 Abs. 1 Buchstabe f DSGVO genannten Zielsetzungen der Integrität und Vertraulichkeit genügen sowie dem Stand der Technik entsprechen; darüber hinausgehende spezifische Anforderungen für das einzusetzende Verschlüsselungsverfahren ließen sich Art. 32 DSGVO aber nicht entnehmen. Der Antragsteller habe nicht hinreichend glaubhaft gemacht, dass die Datenverarbeitung der Antragsgegnerin für ihn ein besonderes Risiko darstelle. Seinen Ausführungen lasse sich nicht entnehmen, dass ein erhöhtes Risiko mit Blick auf die Datenverarbeitung der Antragsgegnerin bestehe, diese etwa einem gesteigerten Risiko ausgesetzt sei, Opfer von Hackerangriffen zu werden. Ebenso wenig sei die Antragsgegnerin in der Vergangenheit durch Sicherheitslücken aufgefallen. Vielmehr erfolge die Datenübertragung bei der Antragsgegnerin stets unter TLS-Verschlüsselung und werde im Kommunikationsprozess mit anderen staatlichen Stellen zusätzlich gesichert (SINA-Box, Client-Zertifikate). Zudem hat das Verwaltungsgericht auf das von der Antragsgegnerin vorgelegte (und bei positivem Abschluss der jährlichen Überwachungsaudits bis zum 17. Juni 2025 gültige) IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 Bezug genommen und ausgeführt, es seien keine Anhaltspunkte dafür ersichtlich, dass die Antragsgegnerin ihr IT-Sicherheitskonzept nicht oder nicht hinreichend umsetze.
Die gegen diese Ausführungen gerichteten Einwände des Antragstellers betreffen einzelne Aspekte der Gesamtbetrachtung. Sie führen auch bei gemeinsamer Würdigung nicht zum Erfolg der Beschwerde. Dies liegt insbesondere daran, dass der Antragsteller mit seinem Beschwerdevorbringen die für die Gesamtbetrachtung nach Art. 32 Abs. 1 DSGVO wesentliche Einschätzung des Verwaltungsgerichts nicht durchgreifend in Zweifel zieht, wonach er das von der Datenverarbeitung der Antragsgegnerin für ihn ausgehende besondere Risiko nicht glaubhaft gemacht habe, und sich die von ihm begehrte Art der Datenübermittlung jedenfalls ohne ein solches erhöhtes Risiko nicht aus Art. 32 Abs. 1 DSGVO ableiten lasse. Dabei besteht Einigkeit darüber, dass es sich bei den in Rede stehenden Daten des Antragstellers nicht um personenbezogene Daten i. S. v. Art. 9 und 10 DSGVO handelt.
a) Das Verwaltungsgericht hat zu der behaupteten Gefährdung für Leib, Leben und Freiheit des Antragstellers ausgeführt, dessen Hinweis auf den ihn betreffenden Beschluss des Bundesverwaltungsgerichts vom 10. Juni 2021 ‑ 3 B 19.20 ‑ genüge nicht, um einen derart erhöhten Schutzbedarf glaubhaft zu machen, der eine Ende-zu-Ende-Verschlüsselung gebiete, weil es sich bei der vom Antragsteller in Bezug genommenen Passage lediglich um eine Wiedergabe der Ausführungen des Berufungsgerichts handele. Die dort wiedergegebene Einschätzung des Berufungsgerichts beruhe auf konkreten und durch Belege gestützten Angaben des Antragstellers im dortigen Verfahren sowie ergänzend auf einer im Zusammenhang mit § 41 Abs. 2 StVG stehenden Gefährdungsbewertung der Polizeidirektion. Vorliegend habe der Antragsteller keine konkreten Angaben oder Belege eingereicht, die ein besonderes Risiko für ihn durch die Datenverarbeitung der Antragsgegnerin belegen könnten. Der Umstand, dass der Antragsteller in einem Verfahren zur Eintragung einer Übermittlungssperre erfolgreich dargelegt habe, dass durch die Übermittlung von in das Fahrzeugregister eingetragenen Daten schutzwürdige Interessen beeinträchtigt würden, reiche nicht aus, um dies auch für eine Datenverarbeitung durch die Antragsgegnerin anzunehmen. Gleiches gelte für den Hinweis des Antragstellers auf die zu seiner Person eingetragene Auskunftssperre nach § 51 BMG.
Der dagegen gerichtete Vorwurf des Antragstellers, das Verwaltungsgericht sei rechtswidrig davon ausgegangen, er müsse den erhöhten Schutzbedarf zweifelsfrei nachweisen, trifft nicht zu. Das Verwaltungsgericht hat ausdrücklich ausgeführt, der Antragsteller müsse seine Gefährdung glaubhaft machen (Seite 8, 11 des Beschlusses), und näher erläutert, aus welchen Gründen dies nicht erfolgt sei.
Die Einwände des Antragstellers, seine Gefährdung sei in anderen Gerichtsverfahren festgestellt worden und ein individuell-konkreterer Vortrag könne nicht verlangt werden, greifen nicht durch. Sie genügen schon nicht den Darlegungsanforderungen des § 146 Abs. 4 Satz 3 VwGO. Danach muss der Beschwerdeführer u. a. die Gründe darlegen, aus denen die Entscheidung abzuändern oder aufzuheben ist, und sich mit der angefochtenen Entscheidung auseinandersetzen. Die – hier erfolgte – bloße Wiederholung des erstinstanzlichen Vorbringens reicht dazu grundsätzlich nicht aus; Entsprechendes gilt für die Bezugnahme auf die bereits erstinstanzlich vorgelegte eidesstattliche Versicherung des Antragstellers vom 29. August 2022, in der der Antragsteller geltend macht – allerdings ohne dafür Nachweise vorzulegen –, aufgrund seines beruflichen Umgangs mit […] bestehe für ihn die Gefahr, Opfer einer Entführung oder eines Raubes zu werden […]. Der Antragsteller geht nicht auf die zutreffende Argumentation des Verwaltungsgerichts ein, dass das Bundesverwaltungsgericht in der vom Antragsteller in Bezug genommenen Passage nicht Tatsachen betreffend diesen selbst festgestellt, sondern lediglich Ausführungen der Vorinstanz wiedergegeben hat, und aus welchen Gründen ein Verweis auf Gefährdungseinschätzungen anderer Gerichte oder Behörden in anderen rechtlichen Zusammenhängen (Fahrzeug-, Melderegister) keine belastbaren Rückschlüsse auf die vorliegende Fallkonstellation zulässt. Unabhängig vom Vorstehenden hat der Antragsteller auch im Beschwerdeverfahren keine konkreten Belege für die von ihm geltend gemachte besondere Gefährdung vorgelegt.
b) Aus den vorgenannten Gründen kann der Antragsteller auch nicht mit Erfolg rügen, die Datenverarbeitung der Antragsgegnerin sei im Lichte von Art. 5 DSGVO formell rechtswidrig, weil diese keine Einzelfallprüfung bezogen auf seine besonders schutzbedürftigen personenbezogenen Daten vorgenommen habe. Daher kommt auch die vom Antragsteller thematisierte Sperrung seiner Daten für eine nicht hinreichend verschlüsselte Übermittlung als „Sanktionswirkung für ein Unterlassen nach Art. 5 DSGVO“ nicht in Betracht.
c) Die Ausführungen des Verwaltungsgerichts, wonach für die Antragsgegnerin kein gesteigertes Risiko erkennbar sei, Opfer von Hackerangriffen zu werden, und diese in der Vergangenheit auch nicht durch Sicherheitslücken aufgefallen sei, betreffen der Sache nach den Aspekt „Eintrittswahrscheinlichkeit“ in Art. 32 Abs. 1 DSGVO. Sie werden vom Antragsteller mit seinem Beschwerdevorbringen inhaltlich nicht in Frage gestellt. Das Verwaltungsgericht hat mit diesen Ausführungen nicht vom Antragsteller einen Nachweis für das Gegenteil verlangt.
d) Die Rüge des Antragstellers, die Antragsgegnerin habe keine ausreichende Transportverschlüsselung glaubhaft gemacht, greift nicht durch. Das Verwaltungsgericht hat zur Transportverschlüsselung ausgeführt, die von der Antragsgegnerin verwendete Transportverschlüsselung sei datenschutzrechtlich ausreichend. Zur Begründung hat es sich u. a. auf das von der Antragsgegnerin vorgelegte IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 gestützt. Außerdem hat es die Angaben der Antragsgegnerin angeführt, wonach jede Datenübermittlung verschlüsselt erfolge, etwa durch TLS-Verschlüsselungen, und im Kommunikationsprozess mit anderen staatlichen Stellen zusätzliche Sicherungen beständen (SINA-Box, Client-Zertifikate). Konkrete Anhaltspunkte dafür, dass diese Angaben der Antragsgegnerin nicht zutreffen könnten oder die im IT-Sicherheitszertifikat angeführten Maßnahmen nicht umgesetzt würden, zeigt der Antragsteller nicht auf.
Soweit er die von der Antragsgegnerin verwendete Verschlüsselungstechnik für zu unsicher hält und meint, TLS 1.2 entspreche nicht mehr dem aktuellen Stand der Technik, vielmehr gebe es bereits seit 2018 TLS 1.3, jedenfalls aber sei jede TLS-Verschlüsselung zu unsicher, führt dies nicht zum Erfolg seiner Beschwerde. Denn die Verschlüsselung über TLS stellt, wie vom Verwaltungsgericht ausgeführt, nicht die einzige Sicherheitsmaßnahme der Antragsgegnerin dar. Im Beschwerdeverfahren hat die Antragsgegnerin zudem ergänzt, die Transportverschlüsselung sei so konzipiert, dass sie vom Browser-Client der Anfragenden bis zur Firewall der Antragsgegnerin reiche; es gebe also keine „Zwischenstationen“, auf denen die Inhalte unverschlüsselt abgelegt wären; die Netzkomponenten auf dem Routing-Weg im Internet könnten keinen Einblick in die Kommunikationsinhalte gewinnen. Konkrete Anhaltspunkte dafür, dass diese Angaben wahrheitswidrig sein könnten, sind weder substantiiert vorgetragen noch sonst ersichtlich. Abgesehen davon kann der Antragsteller im Rahmen der nach Art. 32 Abs. 1 DSGVO erforderlichen Gesamtbetrachtung ohne besondere, in seiner Person liegende Umstände, die hier nicht glaubhaft gemacht sind, nicht von der Antragsgegnerin verlangen, dass die ihn betreffenden personenbezogenen Daten nur unter höheren Sicherheitsanforderungen elektronisch übermittelt werden dürfen, als dies bei personenbezogenen Daten anderer Personen, die bei der Antragsgegnerin gespeichert sind, der Fall ist. Dies gilt auch für etwaige Übermittlungen durch Telefax, E-Mail oder Telefon, die vom Baustein „CON.9 Informationsaustausch“ des IT-Grundschutzes der Antragsgegnerin erfasst werden, der nach seiner Nr. 1.1. unterschiedliche Kommunikationswege wie z. B. persönliche Gespräche, Telefonate, Briefe u. a. in den Blick nimmt.
e) Weiter ohne Erfolg macht der Antragsteller mit seiner Beschwerdebegründung vom 3. April 2023 geltend, den vom Verwaltungsgericht angenommenen Prüfungsmaßstab „sozialadäquat“ kenne die Datenschutz-Grundverordnung nicht. Im Schriftsatz vom 27. Mai 2023 versteht der Antragsteller diesen Begriff dahingehend, dass damit eine Transportverschlüsselung gemeint sei, die dem üblichen Stand der Technik entspreche. In diese Richtung geht auch die Formulierung des Verwaltungsgerichts, das in Anlehnung an die entsprechende Wortwahl des insoweit zitierten Verwaltungsgerichts Mainz,
Urteil vom 17. Dezember 2020 - 1 K 778/19.MZ -, juris, Rn. 40: „Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest‑)Stand der Technik einzustufen“,
die von der Antragsgegnerin verwendete Transportverschlüsselung mit diesem Begriff bezeichnet hat. Der Sache nach stellen die Ausführungen des Verwaltungsgerichts in diesem Zusammenhang eine zusammenfassende Bewertung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien dar und ist als solche rechtlich nicht zu beanstanden.
f) Die Ausführungen des Antragstellers dazu, dass Art. 2 Abs. 2 Buchstabe d DSGVO den geltend gemachten Anspruch nicht ausschließe, führen nicht zum Erfolg der Beschwerde, weil auch das Verwaltungsgericht von dieser Rechtsauffassung ausgegangen ist.
Das AG Hanau hat entschieden, dass eine Antwort per Auto-Responder, wonach die E-Mail-Adresse nicht mehr verwendet und gelesen wird, dem Zugang der E-Mail nach § 130 BGB nicht entgegen steht.
Aus den Entscheidungsgründen: Unstreitig hat der Beklagte die Zustimmung zur Mieterhöhung vor Ablauf der Zustimmungsfrist per E-Mail erklärt.
Die Klägerin beruft sich nunmehr darauf, der Beklagte habe eine automatische Rückantwort erhalten, dass die Adresse von der Klägerin nicht mehr verwendet und die Nachricht auch nicht weitergeleitet werde. Daher sei auf den neueren Schreiben auch eine aktuelle E-Mail-Adresse aufgeführt.
Aufgrund des Vortrags der Klägerin steht fest, dass die E-Mail des Beklagten mit der Zustimmungserklärung bei dieser eingegangen ist, was nach überwiegenden Auffassung auch dazu führt, dass die in ihr enthaltene Erklärung der Klägerin gem. § 130 BGB zugegangen ist. Denn diese war für sie zumindest potenziell abrufbar (BGH, Urteil vom 6.10.2022 – VII ZR 895/21, MMR 2023, 136; OLG Hamm, Urteil vom 22.2.2024 – 22 U 29/23, MMR 2024, 1071; OLG Hamm, Beschluss vom 10.8.2023 – 26 W 13/23, GWR 2024, 162; OLG München, Beschl. v. 15. 3. 2012 − Verg 2/12, NZBau 2012, 460, LAG Berlin-Brandenburg Beschl. v. 27.11.2012 – 15 Ta 2066/12, BeckRS 2013, 66632; LG Hamburg, Urteil vom 7.7.2009 - 312 O 142/09, MMR 2010, 654; LG Berlin Urt. v. 20.7.2012 – 19 O 334/11, BeckRS 2013, 1463; AG Frankfurt a. M. Urt. v. 23.10.2008 – 30 C 730/08, BeckRS 2009, 5792). Uneinigkeit besteht lediglich hinsichtlich der – hier allerdings nicht relevanten Frage – ob der Zugang bereits mit Eingang der E-Mail oder erst dann eintritt, wenn mit tatsächlicher Kenntnisnahme zu rechnen ist, wobei der Bundesgerichtshof (ebenda) jedenfalls im Geschäftsverkehr auf den Eingang der E-Mail abstellt.
Die Klägerin muss sich diesen Zugang auch zurechnen lassen, weil die E-Mail-Adresse einen von ihr eröffneten Empfangsbereich darstellt, welchen sie zuvor im Rechts- und Geschäftsverkehr angegeben und damit eröffnet hat (Spindler/Schuster/Spindler, Recht der elektronischen Medien, 4. Aufl. 2019, BGB § 130 Rn. 4).
Hieran ändert auch die Benachrichtigung der Klägerin an den Beklagten dahingehend, dass diese E-Mail-Adresse nicht mehr benutzt werde, nichts. Denn sie hält diese nach wie vor bereit, so dass E-Mails auf dieser eingehen und somit zugehen können. Das kann durch die erst hierauf erfolgte Rückmeldung an den Mieter nicht mehr rückgängig gemacht werden.
Es kommt hierbei auch nicht darauf an, ob der Zugang sofort oder erst dann eintritt, wenn mit gewöhnlicher Kenntnisnahme zu rechnen ist. Denn diese Unterscheidung stellt nicht auf die tatsächliche Kenntnisnahme ab, sondern allein darauf, wann objektiv und somit auch für den Absender damit zu rechnen ist, dass Kenntnis genommen wird, wobei das in dem Moment des Eingangs der E-Mail, wie auch eines Briefes, bestimmt wird. Die nachträgliche Mitteilung, man werde die E-Mail nicht zur Kenntnis nehmen, kann dem also nicht entgegnen. Im Gegenteil, sie bestätigt gerade den Zugang der E-Mail, weil sie wie eine Abwesenheitsnotiz durch diese ausgelöst wird, und somit einer Lesebestätigung gleichkommt (OLG München, Beschl. v. 15. 3. 2012 − Verg 2/12, NZBau 2012, 460; Spindler/Schuster/Spindler, Recht der elektronischen Medien, 4. Aufl. 2019, BGB § 130 Rn. 25; zum Zugangsnachweise durch Lesebestätigung, OLG Hamm, Beschluss vom 10.8.2023 – 26 W 13/23, GWR 2024, 162).
Allerdings hätte es dem Beklagten aufgrund seiner vertraglichen Nebenpflichten oblegen, die Zustimmungserklärung auf anderem Weg abzugeben, so dieser zumutbar ist, oder sich sonst mit der Klägerin in Verbindung zu setzen. Denn die Berufung auf den Zugang einer E-Mail bei Rückerhalt einer Abwesenheitsnotiz oder wie hier Erklärung, diese werde nicht weitergeleitet, ist in der Regel treuwidrig gem. § 242 BGB, wenn zwischen den Parteien entsprechende Rücksichtnahmepflichten bestehen (OLG München, Beschl. v. 15. 3. 2012 − Verg 2/12, NZBau 2012, 460; differenzierend Spindler/Schuster/Spindler, Recht der elektronischen Medien, 4. Aufl. 2019, BGB § 130 Rn. 84).
Ob der Beklagte, wie die Klägerin vorträgt, bereits Schreiben mit der neuen E-Mail-Adresse erhalten hat und ob sich hieraus auch ergibt, dass die bisherige nicht mehr verwendet werden könne, ist derzeit nicht ersichtlich. Der Beklagte war hingegen nicht gehalten, den auf der vorgedruckten Zustimmungserklärung aufgedruckten QR-Code zu benutzen. Unabhängig davon, ob dieser tatsächlich direkt verwendet werden kann, steht über diesem „Mein … App“, was zumindest suggeriert, dass der Mieter eine App der Klägerin installieren muss, was ihm grundsätzlich nicht obliegt.
Der Beklagte hätte jedoch die Zustimmung per Post an die Klägerin versenden müssen, nachdem er erfahren hat, dass die E-Mail auf einem nicht mehr genutzten Account eingegangen ist, was als Nebenpflicht geboten und zumutbar ist.
Das hat der Beklagte mit den Schriftsätzen vom 11.12.2024 auch behauptet, die Klägerin hat dieses jedoch bestritten. Der Beklagte war daher beweispflichtig für den Zugang des Briefs. Er hat zwar kein Beweisangebot erbracht, allerdings hätte das Gericht im weiteren Verfahren hierauf gem. § 139 ZPO hinweisen müssen. Ob und welche Beweise dann ggf. angeboten worden wären und wofür, ist derzeit nicht ersichtlich, ebenso wenig, wie eine sodann ggf. durchzuführende Beweisaufnahme ausgegangen wäre. Das führt im Rahmen der Entscheidung über die Kosten nach billigem Ermessen gem. § 91a ZPO dazu, dass diese gegeneinander aufzuheben sind.
BGH
Urteil vom 28.01.2025 VI ZR 109/23
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass die Zusendung einer Werbe-E-Mail allein nicht zur Begründung eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO genügt.
Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.
BGH, Urteil vom 28. Januar 2025 - VI ZR 109/23 - LG Rottweil - AG Tuttlingen
Aus den Entscheidungsgründen: a) Die Ablehnung einer Erheblichkeitsschwelle durch den Gerichtshof bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 27 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 29; jeweils mwN). Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 25 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN).
b) Das Berufungsgericht hat den Vortrag des Klägers - auch den Vortrag in der Klageschrift, auf den die Revision verweist - zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens des Klägers angesehen. Deshalb bedarf es keiner Entscheidung, ob überhaupt ein Verstoß gegen die Datenschutz-Grundverordnung vorlag (Art. 95 DSGVO, Art. 13 Abs. 2 der Richtlinie 2002/58/EG, § 7 Abs. 3 UWG).
Die Revision ist der Ansicht, der Kläger habe ausreichend zu einem immateriellen Schaden vorgetragen, der ihm aus dem gerügten Verstoß gegen die Datenschutz-Grundverordnung entstanden sei. So habe er bereits in der Klageschrift darauf hingewiesen, durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien, eben weil die Daten unbefugt verwendet worden seien. Der Kläger habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe. Außerdem habe der Beklagte nach dem Verstoß zunächst einmal nicht reagiert; darin komme eine erneute Missachtung des Klägers zum Ausdruck.
Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor (hierzu unter aa)), noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt (unter bb)). Das Berufungsgericht hat auch keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe. Die Revision zeigt insoweit keinen übergangenen Vortrag auf (unter cc)).
aa) Der Gerichtshof hat in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137 - Agentsia po vpisvaniyata; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 30 mwN)
Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31 mwN). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31).
Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail am 20. März 2020 einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall (zu den Voraussetzungen eines Kontrollverlusts auch BAG, DB 2024, 3114 Rn. 18).
bb) Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 67 - MediaMarktSaturn; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 36 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 C-590/22, DB 2024, 1676 Rn. 35 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN).
Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die - im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare - Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht.
cc) Das Berufungsgericht hat ausgeführt, der Kläger habe zu einer objektiv nachvollziehbaren Beeinträchtigung persönlichkeitsbezogener Belange nicht hinreichend vorgetragen. Demgegenüber macht die Revision geltend, ein immaterieller Schaden liege in der Missachtung des Klägers, die sich auch in der fehlenden Reaktion des Beklagten auf die E-Mail des Klägers vom 20. März 2020 und auf ein gleichlautendes Fax vom 20. April 2020 zeige.
Die Übersendung der Werbe-E-Mail begründet allenfalls den gerügten Verstoß gegen die Datenschutz-Grundverordnung. Dieser reicht allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, VersR 2024, 1147 Rn. 18 f., 30, 37, 43 - juris, zur Direktwerbung per E-Mail trotz Widerspruchs). Die - durch Übersendung der Werbe-E-Mail erfolgte - Kontaktaufnahme als solche ist nicht ehrverletzend (vgl. Senatsurteil vom 10. Juli 2018 - VI ZR 225/17, BGHZ 219, 233 Rn. 14 mwN). Die unterbliebene Reaktion des Beklagten auf die E-Mail vom 20. April 2019 und das Fax vom 6. April 2020 könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen.
OLG Schleswig-Holstein
Urteil vom 18.12.2024 12 U 9/24
Das OLG Schleswig-Holstein hat entschieden, dass Unternehmen E-Mail-Rechnungen mit Ende-zu-Ende-Verschlüsselung versenden müssen. Andernfalls kann bei einem Man-in-the-Middle-Angriff ein Schadensersatzanspruch aus Art. 82 DSGVO bestehen.
Das Gericht hat zum Glück die Revision zugelassen, so dass der BGH hoffentlich die Gelegenheit erhält, diese völlig praxisuntaugliche Entscheidung zu korrigieren.
Aus den Entscheidungsgründen: 2. Anders als das Landgericht meint, steht der Beklagten allerdings ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung des streitgegenständlichen Betrags zu, den die Beklagte der Klagforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten kann.
a) Ein solcher Anspruch resultiert vorliegend jedenfalls aus Art. 82 DSGVO.
Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z.B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Als Datenschutzverletzungen werden versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten definiert. Um solche Sicherheitsvorfälle zu vermeiden, werden Unternehmen dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. Nach Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (...) Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Art. 82 Abs. 1 DSGVO eröffnet einen direkten eigenen deliktischen Schadensersatzanspruch mit Verschuldensvermutung, wobei der Verantwortliche nach Abs. 3 den Entlastungsbeweis führen kann.
Dass die Beklagte sich nicht ausdrücklich auf Art. 82 Abs. 1 DSGVO berufen hat, hindert eine Anwendbarkeit nicht, denn die Subsumtion des unterbreiteten Sachverhalts obliegt allein dem Gericht. Insoweit hat die Beklagte alle erforderlichen Voraussetzungen für einen solchen Schadensersatzanspruch vorgetragen.
aa) Der Anwendungsbereich der DSGVO ist in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet.
Gemäß Art. 2 Abs. 1 DSGVO gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Personenbezogene Daten sind Daten, über die sich ein konkreter Personenbezug herstellen lässt. Demnach geht es um Daten, die konkreten Personen zuzuordnen sind. Die in der streitgegenständlichen Email als Anhang enthaltenen Angaben zur Beklagten (Name, Anschrift, Kunde der Klägerin, offene Rechnung über eine Werkleistung) sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Die Versendung der Rechnung mit den enthaltenen Daten per E-Mail an die Beklagte über den streitverkündeten Zeugen A. stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar ("Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung"). Daran ändert sich auch nichts dadurch, dass nicht die personenbezogenen Daten der Beklagten, sondern die Kontoverbindung der Klägerin durch einen Dritten unbefugt manipuliert wurde, denn ohne den gleichzeitigen unbefugten Zugriff auf die Daten der Beklagten wäre diese durch die abgewandelte, an die Email angehängte Rechnung nicht dazu veranlasst worden, auf ein falsches Bankkonto zu zahlen.
Das sog. Haushaltsprivileg des Art. 2 Abs. 2 lit. c DSGVO, wonach die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten findet, greift nicht, da die Verarbeitung vorliegend durch ein Unternehmen im Rahmen des geschäftlichen Betriebs stattgefunden hat.
Die Beklagte ist für den geltend gemachten Anspruch aktivlegitimiert. Denn anspruchsberechtigt ist nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist. Die Klägerin ist als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO passivlegitimiert im Sinne von Art. 82 Abs. 1 DSGVO.
bb) Im Übrigen hat Art. 82 Abs. 2 DSGVO - der die in Art. 82 Abs. 1 DSGVO grundsätzlich normierte Haftungsregelung präzisiert - drei Voraussetzungen für die Entstehung eines Schadensersatzanspruchs, nämlich
- erstens eine Verarbeitung personenbezogener Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 UnterAbs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 1 und 2 DSGVO unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO,
- zweitens einen der betroffenen Person entstandenen Schaden und
- drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden
(vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 58; EuGH, Urteil v. 04.05.2023 – C-300/21 -, juris Rn. 36).
(1) Vorliegend hat nach Ansicht des Senats die Klägerin - anders als das Landgericht meint – im Zuge der Verarbeitung der personenbezogenen Daten der Beklagen bei Versand der streitgegenständlichen Email mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.
(aa) Ein Verstoß gegen die Vorschriften der Datenschutzgrundverordnung kann in diesem Zusammenhang nicht schon allein deswegen angenommen werden, weil – was unstreitig ist – ein unbefugter Zugriff auf personenbezogene Daten durch Dritte im Sinne von Art. 4 Nr. 10 DSGVO stattgefunden hat. Denn dies allein reicht nach der Rechtsprechung des Europäischen Gerichtshofs nicht aus, um gleichzeitig davon auszugehen, dass die technischen und organisatorischen Maßnahmen des für die Verarbeitung Verantwortlichen nicht "geeignet" im Sinne von Art. 24 und 32 DSGVO waren, vgl. EuGH, Urteil v. 25.01.2024 - C-687/21 -, juris Rn. 45; EuGH, Urteil v. 14.12.2023 - C-340/21, juris Rn. 22ff., 31-39).
(bb) Umgekehrt ist nach der Rechtsprechung des Europäischen Gerichtshofs der Verantwortliche aber auch nicht gem. Art. 82 Abs. 3 DSGVO von seiner nach Art. 82 Abs. 1 und 2 DSGVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens allein deswegen befreit, weil dieser Schaden die Folge eines unbefugten Zugangs zu personenbezogenen Daten durch einen Dritten ist (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 65ff., 74).
(cc) Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen (vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 40Ff; ebenso EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 48ff., 57). Das ist der Klägerin vorliegend nicht gelungen, da der Senat die Transportverschlüsselung, die sie beim Versand der streitgegenständlichen Email – von der Beklagten bestritten – verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält. Es kann damit auch dahinstehen, ob eine solche Transportverschlüsselung tatsächlich erfolgt ist. Das von der Klägerin zum Beweis dafür und für die Frage, ob eine Transportverschlüsselung dem üblichen Sicherungsmaß entspricht oder sogar darüber hinausgeht, angebotene Sachverständigengutachten ist insoweit nicht einzuholen.
(aaa) Der Senat verkennt dabei nicht, dass es konkrete gesetzliche Anforderungen an eine Verschlüsselung von Emails nicht gibt.
Auch in der Datenschutzgrundverordnung ist eine Verschlüsselung nicht zwingend vorgeschrieben. Sie wird jedoch mehrfach im Text der Verordnung erwähnt, jedes Mal als Empfehlung. In Artikel 32 heißt es, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken und der Schwere der Folgen für die Rechte und Freiheiten natürlicher Personen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen müssen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wozu unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten gehören. Da die DSGVO die Verschlüsselung jedoch nicht zwingend vorschreibt, bietet sie keine Klarheit darüber, wann die Verschlüsselung verwendet werden sollte und welche Standards dabei angewendet werden müssen.
Nach der „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“, die von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder entwickelt wurde und die Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DSGVO zum Ziel hat, sind ausgehend vom Stand der Technik, den typischen Implementierungskosten und deren Verhältnis zu den Risiken einer Übermittlung personenbezogener Daten per E-Mail Anforderungen an die Maßnahmen, die Verantwortliche und Auftragsverarbeiter zur ausreichenden Minderung der Risiken zu treffen haben, zu bestimmen. Die Verantwortlichen und Auftragsverarbeiter sind verpflichtet, die Besonderheiten ihrer Verarbeitungen, darunter insbesondere den Umfang, die Umstände und die Zwecke der vorgesehenen Übermittlungsvorgänge zu berücksichtigen, die ggf. in abweichenden Anforderungen resultieren können (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf).
Danach muss es im Ausgangspunkt heute jedem Unternehmen, das Daten seiner privaten Kunden computertechnisch verarbeitet, bewusst sein, dass der Schutz dieser Daten hohe Priorität – auch beim Versenden von Emails - genießt. Es ist daher zur Überzeugung des Senats auch verpflichtet, diesen Schutz durch entsprechende Maßnahmen so weit wie möglich zu gewährleisten.
Der Europäische Gerichtshof hat die Anforderungen des Art. 32 DSGVO dahingehend ausgelegt, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen vor den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbunden Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 40ff., 47).
(bbb) Tastet man sich an die Frage einer „geeigneten“ Verschlüsselung „von unten“ heran, ist es nach Ansicht des Senats für einen Geschäftsbetrieb wie den der Klägerin ausgeschlossen, geschäftliche Emails mit personenbezogenen Daten völlig ohne jede Verschlüsselung zu versenden.
Nach einer Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu aktuell möglichen und gebräuchlichen Verschlüsselungsmethoden kommen für den Email-Versand die folgenden Verfahren in Betracht:
„Bei E-Mail-Verschlüsselung gibt es grundsätzlich zwei verschiedene Arten: die Punkt-zu-Punkt- beziehungsweise Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung.
Wo der entscheidende Unterschied liegt, wird im Folgenden erklärt:
Transportverschlüsselung
Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird inzwischen von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. E-Mails werden beim Versand allerdings über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.
Internetkriminelle könnten einen "Man-in-the-Middle-Angriff" durchführen, der auf diese Punkte ausgerichtet ist. Bei diesem Angriff platziert sich ein Angreifer "in der Mitte" der Kommunikation zwischen zwei Kommunikationspartnerinnen oder -partnern und kann ohne deren Wissen Daten (z.B. E-Mails) abfangen, kopieren oder verändern.
Ende-zu-Ende-Verschlüsselung
Zwar ist eine Transportverschlüsselung einer unverschlüsselten Kommunikation vorzuziehen, doch gerade bei sensiblen oder persönlichen Inhalten empfiehlt es sich, auf den Einsatz einer Ende-zu-Ende-Verschlüsselung Wert zu legen. Bisher gestaltete sich der Einsatz dieser Kryptografietechnik noch als mühsam. Anwenderinnen und Anwender müssen bei der Ende-zu-Ende-Verschlüsselung oft selbst aktiv werden und zusätzliche Plugins in den meisten E-Mail-Clients aktivieren, um die Technologie nutzen zu können. Eine weitere Hürde ist der Austausch der öffentlichen Schlüssel. Allerdings ist dies unter anderem mit einem vom Bundesamt für Sicherheit in der Informationstechnik entwickelten Protokoll richtungsweisend vereinfacht und so Anwenderinnen und Anwendern zugänglicher gemacht worden.“
In der bereits zitierten Orientierungshilfe der Datenschutzkonferenz (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf) heißt es weiter zu dem von einem Verarbeiter danach zu verlangenden Schutzniveau, dass sowohl End-to-End-Verschlüsselung als auch Transportverschlüsselung für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten mindern. Daher müssten Verantwortliche beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen. Der durchgreifendste Schutz der Vertraulichkeit der Inhaltsdaten werde durch End-to-End-Verschlüsselung erreicht. End-to-End-Verschlüsselung schütze nicht nur den Transportweg, sondern auch ruhende Daten; der Einsatz von Transportverschlüsselung biete einen Basis-Schutz und stelle eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Die Verantwortlichen müssten die Risiken sorgfältig einschätzen, die mit dem Bruch der Vertraulichkeit und Integrität von E-Mail-Nachrichten verbunden seien, die sie versendeten oder gezielt empfingen.
(ccc) Nach Ansicht des Senats ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.
Soweit in der Orientierungshilfe der Datenschutzkonferenz zur Einzelfallentscheidung darauf abgestellt wird, dass in Verarbeitungssituationen mit normalen Risiken bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht wird, zeigt der zu entscheidende Fall nach Ansicht des Senats deutlich, dass hier keine „Verarbeitungssituation mit normalen Risiken“ vorliegt. Er ist zwar anders gelagert als die üblicherweise für die Annahme eines hohen Risikos herangezogenen Emails z.B. mit Arztbriefen oder Rechtsanwaltsschreiben im Anhang, die vor allem wegen des hohen Umfangs und der Intensität der persönlichen Daten besonders schutzwürdig sein sollen. Bei der hier streitgegenständlichen Email mit der Rechnung der Klägerin im Anhang sind die persönlichen Daten der Beklagten als Privatkundin wie Name und Adresse und die Tatsache, dass die Beklagte einen Werkvertrag abgeschlossen hat, nicht in dem Maße tiefgreifend persönlich. Der Zugriff durch einen unbefugten Dritten darauf führte aber im konkreten Fall in Verbindung mit der ebenfalls „gehackten“ und unberechtigt veränderten Kontoverbindung der Klägerin dazu, dass die Beklagte auf ein falsches Konto gezahlt hat und ‒ wie die Ausführungen unter 1. zeigen ‒ den Werklohn nunmehr erneut zahlen soll, so dass ihr ein massiver finanzieller Schaden von über 15.000,-- € entstanden ist. Dass Kunden von Unternehmen bei einem Datenhacking solche Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per Email immanent ist, von der Klägerin bei ihrer Planung zur Emailsicherheit erkannt werden musste und bei ihren Überlegungen zu Schutzmaßnahmen beim Versand von Rechnungen per Email mit einzubeziehen war. Anders, als das Landgericht meint, kommt es darauf, dass bei der Klägerin bislang ein Hackerangriff noch nicht vorgekommen war, nicht an. Die stetig wachsende Gefahr von Hackerangriffen auf Unternehmen ist allgemein bekannt und die hohe Schadensträchtigkeit des Versands von Rechnungen per Email verlangt von einem Unternehmen wie der Klägerin eine entsprechende Voraussicht und ein entsprechendes proaktives Handeln.
Der Senat verkennt dabei nicht, dass die hier für einen Email-Versand mit angehängter Rechnung verlangte End-to-End-Verschlüsselung für ein Unternehmen wie die Klägerin einen gewissen technischen Aufwand erfordert, der sich möglicherweise nicht darauf beschränkt, in dem benutzten Standard-Email-Programm lediglich eine Aktivierung vorzunehmen. Vielmehr dürfte hier vielfach eine technische Beratung und der Einsatz von gesonderten Programmen erforderlich sein. Dies ändert aber nach Ansicht des Senats die an die Verschlüsselung von geschäftlichen Emails mit angehängten Rechnungen zu stellenden Anforderungen nicht. Angesichts der allgemein bekannten und vielfältig veröffentlichten Hackermöglichkeiten, des gerichtsbekannt rasanten Anstiegs von Hackerangriffen und den im Einzelfall weitreichenden finanziellen Folgen für den einzelnen Kunden, dessen Rechnung verfälscht wird und der selbst keinen Einfluss auf die Verarbeitung seiner Daten hat, ist daher auch von einem kleineren Unternehmen – wie der Klägerin als mittelständischem Handwerksbetrieb – zu erwarten, dass es sich zum Schutz der Daten seiner Kunden zu computertechnischen Sicherheitsanforderungen informiert und sich diesbezüglich beraten, fortbilden und mit der notwendigen Software ausstatten lässt. Die Klägerin kann sich nicht darauf berufen, dass es sich bei der End-to-End-Verschlüsselung im Geschäftsleben um eine unübliche Verschlüsselung handeln würde, die von ihr nicht verlangt werden könne. Vielmehr beschäftigen sich vielfache, allgemein zugängliche Empfehlungen und Informationen aktuell mit den entsprechenden Möglichkeiten, so auch die Information des BSI zur Praxis der Emailverschlüsselung unter Nennung verschiedener Email-Tools, die eine solche Verschlüsselung ermöglichen (s. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dass einer End-to-End-Verschlüsselung im konkreten Fall technische, organisatorische und/oder finanzielle Hindernisse im Weg gestanden hätten, hat die Klägerin nach entsprechendem Hinweis des Senats in der mündlichen Verhandlung, welche Schutzmaßnahmen er erwarte, nicht vorgetragen.
Soweit dieser zu erwartende hohe Standard zum Schutz der personenbezogenen Daten beim Versand von Emails mit angehängten Rechnungen nicht sichergestellt werden kann, bleibt für ein Unternehmen – ohne dass hierfür größerer technischer und/oder finanzieller Aufwand betrieben werden müsste – wie eh und je der Versand von Rechnungen per Post das Mittel der Wahl.
(dd) Die Klägerin trifft auch ein Verschulden.
Nach der Rechtsprechung des Europäischen Gerichtshofs ist einer kombinierten Analyse der verschiedenen Bestimmungen von Art. 82 DSGVO zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (EuGH, Urteil v. 21.12.2023 - C-667/21, juris Rn. 92 ff.).
Gemäß Art. 82 Abs. 3 DSGVO wird der Anspruchsverpflichtete von der Haftung – hier für unzureichende Schutzmaßnahmen in Bezug auf die Versendung personenbezogener Daten - befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist dabei das Verschulden im Sinne der deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung (LG Mainz, Urteil vom 12.11.2021 - 3 O 12/20, juris Rn. 73; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 50. Edition, Stand 01.08.2024, Art. 82 DSGVO Rn. 17 und 17.2; Geissler/Ströbel, in: NJW 2019, 3414 (3415)). Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Um die Feststellung treffen zu können, der Verantwortliche sei "in keinerlei Hinsicht" verantwortlich, hat dieser nachzuweisen, dass er alle Sorgfaltspflichten erfüllt hat und ihm damit nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, a.a.O., Art. 82 DSGVO Rn. 18). Diesen Nachweis hat die Klägerin nicht zu führen vermocht. Ihr ist insofern – wie oben dargestellt - der Vorwurf eines unzureichenden Schutzniveaus für den Versand von Emails mit personenbezogenen Daten – insbesondere mit der hier angehängten Rechnung - zu machen.
Die Klägerin kann sich auch nicht darauf berufen, dass sie sich ausreichend hätte beraten lassen und auch ihr IT-Berater, der Zeuge C., im Rahmen zu treffender Schutzmaßnahmen lediglich eine Transportverschlüsselung vorgeschlagen habe. Da es keine gesetzlich festgelegten Schutzmaßnahmen gibt, obliegt es letztlich allein der Klägerin zu entscheiden, wie sie ihren Email-Versand mit personenbezogenen Daten sichern will und muss. Ihr IT-Berater konnte insofern lediglich die Optionen nennen; die Entscheidung hatte sie zu treffen. Diesbezüglich hat sie zumindest fahrlässig nicht auf ein ausreichendes Schutzniveau geachtet.
(2) Der Beklagten ist unstreitig ein Schaden entstanden, der in dem – wie oben dargestellt – mangels Erfüllung erneut zu zahlenden Werklohn liegt.
(3) Dieser von der Beklagten geltend gemachte Schaden ist auch eine kausale Folge des Verstoßes gegen die Datenschutzgrundverordnung.
Da nach den obigen Darlegungen die Klägerin bei Versand ihrer Email mit der angehängten Rechnung kein ausreichendes Schutzniveau zur Sicherung der personenbezogenen Daten der Beklagten eingehalten hat, obliegt ihr der Beweis dafür, dass der der Beklagten entstandene Schaden nicht durch ihr Fehlverhalten entstanden ist (EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 72). Dies ist ihr vorliegend nicht gelungen.
Unstreitig ist bei der von der Klägerin (maximal) verwendeten Transportverschlüsselung ein Zugriff durch unbefugte Dritte auf ihrem Computer, ihrem Server oder auf weiteren Servern auf dem Weg zum streitverkündeten Zeugen A. ohne Weiteres möglich; die Email ist definitionsgemäß nur auf dem Transport verschlüsselt. Einen Beweis dafür, dass im konkreten Fall der Zugriff nicht im Bereich der Klägerin, sondern erst im Bereich der Beklagten bzw. des Zeugen A. erfolgt ist, hat die Klägerin, der – wie ausgeführt und auch in der mündlichen Verhandlung erörtert – die Darlegungs- und Beweislast dafür obliegt, nicht angeboten. Die Einholung eines Sachverständigengutachtens von Amts wegen scheidet aus, da es sich mangels Anknüpfungstatsachen um einen Ausforschungsbeweis handeln würde. Auch die bei dem Zeugen A. vorhandenen Schutzmaßnahmen sind aus diesem Grund nicht weiter aufzuklären.
Im Übrigen wäre der Klägerin – selbst wenn der unbefugte Zugriff im Bereich des Zeugen A. und nicht schon im Bereich der Klägerin erfolgt sein sollte – weiterhin anzulasten, dass sie einen solchen Zugriff durch den von ihr gewählten Versand der Daten per Email lediglich mit Transportverschlüsselung und damit mit unzureichender Sicherung erst ermöglicht hätte, denn auch bei einem von der Klägerin angesprochenen Datenhacking im Bereich des Zeugen A. wäre die streitgegenständliche Email samt Anhang aufgrund der End-to-End-Verschlüsseluung wegen des eigenen erforderlichen Schlüssels bei Einhaltung entsprechender Standards auch auf dem Server/Computer des Zeugen jedenfalls ganz weitgehend geschützt gewesen.
(4) Ein Mitverschulden an der Schadensentstehung gem. § 254 BGB trifft die Beklagte nicht.
Anders als das Landgericht meint, oblag der Beklagten bzw. dem Zeugen A., dessen Verschulden ihr möglicherweise gem. § 278 BGB zuzurechnen wäre, nach Ansicht des Senats keine genaue Überprüfung der letztlich auf dem Computer des Zeugen verfälscht, da hinsichtlich der Kontoverbindung manipuliert vorliegenden Rechnung. Die von der Klägerin aufgezeigten Unterschiede zu früheren (Abschlags-)Rechnungen betreffend die Farbe, Angaben zum Geschäftsführer, fehlenden QR-Code der Bankverbindung und fehlendes Siegel stellen geringfügige äußere Abweichungen dar, die weder der Beklagten noch dem Zeugen A. bei oberflächlicher Betrachtung auffallen mussten. Etwas anderes folgt auch nicht daraus, dass die Beklagte erkannt hat, dass die Kontoverbindung verändert war. Angesichts der Tatsache, dass im Geschäftsleben die Kontoverbindung eines Unternehmens aus diversen Gründen geändert wird, kann einer privaten Kundin wie der Beklagten nicht vorgeworfen werden, dass sie vor der Überweisung des offenen Werklohns keine Rücksprache mit der Klägerin genommen hat.
Der BGH hat sich in diesem Beschluss zur Bemessung des Streitwerts in Facebook-Scraping-Fällen für Ansprüche auf Unterlassung, Zahlung, Auskunft und Feststellung geäußert.
Aus den Entscheidungsgründen: Der Senat hat den Streitwert für das Revisionsverfahren auf die Gebührenstufe bis 4.000 € festgesetzt und die Klageanträge dabei - wie zuvor das Berufungsgericht - wie folgt bemessen: 1.000 € (Zahlungsantrag) + 500 € (Feststellungsantrag) + 1.500 € (Unterlassungsanträge) + 500 € (Auskunftsantrag) = 3.500 €. Der Prozessbevollmächtigte des Klägers wendet sich allein gegen die Wertfestsetzung für die Unterlassungsanträge, die er - wie zuvor das Landgericht - mit insgesamt 5.000 € (2 x 2.500 €) bemessen haben möchte.
Eine Höherfestsetzung des Streitwerts für die Unterlassungsanträge ist nicht veranlasst. Der Streitwert ist nach allgemeinen Regeln unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen zu bestimmen (§ 48 Abs. 2 Satz 1, Abs. 1 GKG, § 3 ZPO). Maßgeblich bei einem Unterlassungsantrag nach - wie im Streitfall geltend gemacht - bereits erfolgter Verletzungshandlung ist das Interesse des Anspruchstellers an der Unterbindung weiterer gleichartiger Verstöße, welches maßgeblich durch die Art des Verstoßes, insbesondere seine Gefährlichkeit und Schädlichkeit für den Inhaber des verletzten Rechts bestimmt wird. Allerdings kann auch anderen, von der bereits erfolgten Verletzungshandlung unabhängigen Faktoren - etwa dem Grad der Wahrscheinlichkeit künftiger Zuwiderhandlungen - Rechnung zu tragen sein (vgl. BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 33 ff. mwN). Das Gefährdungspotential ist dabei allein mit Blick auf das konkrete Streitverhältnis zu bestimmen. Für generalpräventive Erwägungen ist bei der Bewertung eines zivilrechtlichen Unterlassungsanspruchs ebenso wenig Raum (BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 42 mwN) wie für eine Orientierung an einem etwaigen (Gesamt-)Schaden unter Einbeziehung anderer Betroffener (vgl. Senat, Beschluss vom 30. November 2004 - VI ZR 65/04, juris Rn. 2; OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 277; OLG Frankfurt/M., K&R 2024, 673). Schließlich darf das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (BGH, Beschluss vom 26. November 2020 - III ZR 124/20, K&R 2021, 127 Rn. 11).
Nach diesen Grundsätzen ist die erfolgte Festsetzung des Wertes der Unterlassungsanträge auf insgesamt 1.500 € (2 x 750 €) sachgerecht (vgl. zu Parallelfällen auch OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 279 ff.; OLG Frankfurt/M., K&R 2024, 673: jeweils insgesamt 1.000 €). Der Kläger selbst hat seinen Zahlungsanspruch auf Ersatz des bereits eingetretenen Schadens auf 1.000 € beziffert. Der Senat hat hierzu in einem weiteren Parallelverfahren näher ausgeführt, dass er auch eine Bemessung in der Größenordnung von 100 € für den bloßen Kontrollverlust von Rechts wegen nicht beanstanden würde (Urteil vom 18. November 2024 - VI ZR 10/24, juris Rn. 100). Seinen Antrag auf Feststellung hinsichtlich etwaiger zukünftiger Schäden hat auch der Kläger mit 500 € bewertet; dies erscheint angesichts der absehbaren Schwierigkeiten beim Nachweis der Ursächlichkeit künftiger Schäden auch sachgerecht. Die Verletzungshandlung liegt bereits fünf Jahre zurück, ohne dass es bislang jenseits des bloßen Kontrollverlustes zum Eintritt nachweisbarer Schäden oder einer weiteren Verletzungshandlung gekommen wäre; die Beklagte hat die Suchbarkeitsfunktion in der dem Streitfall inmitten stehenden Ausgestaltung vielmehr zwischenzeitlich deaktiviert. Beide Unterlassungsanträge nehmen ihren Ausgangspunkt in derselben Verletzungshandlung und hängen in der Sache eng zusammen.
Das LG Hagen hat entschieden, dass eine Cyberversicherung nicht bei Schäden durch betrügerische E-Mails greift, da es in solchen Fällen an der dafür notwendigen IT-Sicherheitsverletzung fehlt.
Aus den Entscheidungsgründen: Die Klägerin hat keinen Anspruch auf Zahlung in Höhe von 85.000,00 € gegen die Beklagte aus dem zwischen den Parteien bestehenden Versicherungsvertrag über eine Cyber-Versicherung in Verbindung mit § 1 VVG.
1. Es liegt kein Versicherungsfall vor, weil es an einer Informationssicherheitsverletzung im Sinne des Teil A Ziff. 4 der AVB fehlt. Weder liegt eine Verletzung datenschutzrechtlicher Bestimmungen (Teil A Ziffer 3.1 AVB) noch eine Vertraulichkeitsverletzung (Teil A Ziffer 3.2 AVB) noch eine Netzwerksicherheitsverletzung (Teil A Ziffer 3.3 AVB) vor.
a) Eine Verletzung datenschutzrechtlicher Bestimmungen liegt schon deshalb nicht vor, weil die Klägerin als Versicherungsnehmerin keinen Verstoß gegen datenschutzrechtliche Bestimmungen begangen hat.
Für eine Vertraulichkeitsverletzung im Sinne der AVB fehlt es an einer Verletzung der Vertraulichkeit Daten Dritter durch die Klägerin.
b) Auch eine Netzwerksicherheitsverletzung liegt nicht vor. Dies ergibt die Auslegung der zugrundeliegenden AVB, hier Teil A Ziffer 3.3. der AVB.
Allgemeine Versicherungsbedingungen sind so auszulegen, wie ein durchschnittlicher, um Verständnis bemühter Versicherungsnehmer sie bei verständiger Würdigung, aufmerksamer Durchsicht und unter Berücksichtigung des erkennbaren Sinnzusammenhangs versteht. Dabei kommt es auf die Verständnismöglichkeiten eines Versicherungsnehmers ohne versicherungsrechtliche Spezialkenntnisse und damit auch auf seine Interessen an. In erster Linie ist vom Bedingungswortlaut auszugehen. Der mit dem Bedingungswerk verfolgte Zweck und der Sinnzusammenhang der Klauseln sind zusätzlich zu berücksichtigen, soweit sie für den Versicherungsnehmer erkennbar sind (BGH r+s 2020, 163 Rn. 9, beck-online m.w.N.).
Ein solcher Versicherungsnehmer wird die entsprechende Klausel dahin verstehen, dass es zu einer Verletzung der Sicherheit des Netzwerkes der Klägerin gekommen sein muss und eine derartige Verletzung bei dem Empfang von E-Mails, die von einem anderen als dem in den E-Mails angegebenen Absender stammen, nicht gegeben ist. Allein der Umstand, dass aufgrund der unautorisierten Verwendung des E-Mail Exchange Servers des Lieferanten möglicherweise eine nicht zu erkennende Täuschung vorgelegen hat, stellt keinen direkten Angriff auf die Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme der Klägerin dar. Die informationstechnischen Systeme – auch das E-Mail System der Klägerin – und letztlich auch das Netzwerk der Klägerin funktionierten wie vorgesehen. Mails konnten auf normale Weise und unverändert empfangen und gesendet werden. Betroffen von dem Cyber-Angriff war lediglich ein Netzwerk eines Dritten.
Berücksichtigt werden müssen bei einer Auslegung der Versicherungsbedingungen weiterhin die – nicht abschließenden – Regelbeispiele aus Teil A Ziff. 3.3.1., in denen es auszugsweise heißt:
Keine Netzwerksicherheitsverletzung liegt vor, wenn
(3) Beeinträchtigungen der oben genannten Art in Netzwerken Dritter stattfinden, die Auswirkungen jedoch auch beim Versicherungsnehmer auftreten (z. B. man-in-the-middle Angriff bei Zulieferer);
(4) kein Eingriff in das Netzwerk des Versicherungsnehmers stattgefunden hat (z. B. fake president Angriffe mittels nachgebildeter E-Mail-Adresse).
Aus diesen Regelbeispielen kann ein durchschnittlicher und verständiger Versicherungsnehmer erkennen, dass der vorliegende Fall, der zu den eben genannten Regelbeispielen Ähnlichkeiten aufweist, nicht zu den versicherten Risiken zählt. Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die nicht vorliegt. Beeinträchtigungen bei Dritten sind keine Netzwerksicherheitsverletzung bei der Klägerin. In Abgrenzung zu einem Cyber-Angriff handelt es sich im vorliegenden Fall einer dem „normalen“ Betrug nahen Tat.
Auch im Übrigen ist dieses Verständnis der AVB sachgerecht. Denn im vorliegenden Fall ist die Klägerin auf eine betrügerische E-Mail hereingefallen. Dieses Risiko ist heute allgegenwärtig und nichts, was notwendigerweise durch eine Cyber-Versicherung abzusichern wäre. Andernfalls wäre jedweder E-Mail-Verkehr mit Spam- oder Phishing-Mails eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer. Das versicherte Risiko würde sich auf den weltweiten E-Mail-Verkehr ausweiten.
c) Auch liegt kein Versicherungsfall nach der Vertrauensschadenversicherung nach Teil D. Ziff. 1 AVB vor. Der Versicherungsfall ist ergänzend in der Vertrauensschadenversicherung zunächst unter Teil D. Ziff.1 wie folgt definiert:
Versicherungsschutz besteht für den Versicherungsnehmer wegen eines Versicherungsfalles im Sinne von Teil A Ziffer 4, wenn die Informationssicherheitsverletzung vorsätzlich und rechtswidrig erfolgte und nach den gesetzlichen Bestimmungen über unerlaubte Handlungen zum Schadenersatz verpflichtet und der Versicherungsnehmer unmittelbar dadurch einen Vermögensschaden erleidet. Es ist dabei unerheblich, ob die Informationssicherheitsverletzung von Mitarbeitern des Versicherungsnehmers oder von Dritten erfolgte.
Weiterhin besteht Versicherungsschutz auch für einen eingetretenen „Täuschungsschaden“ (Teil D. Ziff. 1.2.):
Versicherungsschutz besteht für den mittelbar entstandenen Vermögensschaden, wenn ein Mitarbeiter des Versicherungsnehmers auf Grund einer Informationssicherheitsverletzung gemäß Teil A Ziffer 3, welche einen Straftatbestand im Sinne des Strafgesetzbuches erfüllt, dazu verleitet wurde, Zahlungen / Überweisungen zu veranlassen.
Zwar umfasst der Versicherungsschutz des Teil D der AVB dem Wortlaut und auch dem Sinn und Zweck nach betrügerische Handlungen die das Vertrauen des Versicherungsnehmers ausnutzen. Die Vertrauensschadenversicherung bietet – je nach Ausgestaltung – gerade auch Versicherungsschutz für vorsätzliche Eingriffe in informationsverarbeitende Systeme des Versicherungsnehmers, durch eine Vertrauensperson oder Dritte, und dadurch unmittelbar verursachte Schäden (Schilbach, r+s 2024, 581 Rn. 49, beck-online).
Da allerdings immer auch eine Informationssicherheitsverletzung erforderlich ist, ist der Anwendungsbereich der Vertrauensschadenversicherung nicht eröffnet.
2. Entgegen der Auffassung der Klägerin sind die streitgegenständlichen AVB in den relevanten Auszügen nicht gem. § 307 BGB unwirksam.
a) Zum einen stellen sowohl Teil A. Ziff. 4 AVB, als auch Teil D Ziff. 1.2 Leistungsbeschreibungen des versicherten Risikos dar und unterliegen gem. § 307 Abs. 3 S. 1 BGB nicht der Inhaltskontrolle im Hinblick auf das Kriterium der unangemessenen Benachteiligung. Die Formulierungen in Teil A Ziff. 3 und Teil D Ziff. 1 AVB stellen keine Einschränkungen des zuvor festgelegten Versicherungsumfangs dar, sondern legen erst die vom Versicherer geschuldete Leistung fest (vgl. auch BGH NJW 2023, 208).
b) Die Leistungsbeschreibungen verstoßen auch nicht gegen das – sich gem. § 307 Abs. 3 S. 2 BGB auch auf das Hauptleistungsversprechen erstreckende (vgl. BGH VersR 2014, 625) – Transparenzgebot des § 307 Abs. 1 S. 2 BGB.
aa) Nach dem Transparenzgebot ist der Verwender allgemeiner Geschäftsbedingungen gehalten, Rechte und Pflichten seines Vertragspartners möglichst klar und durchschaubar darzustellen. Dabei kommt es nicht nur darauf an, dass die Klausel in ihrer Formulierung für den durchschnittlichen Versicherungsnehmer verständlich ist. Vielmehr gebieten Treu und Glauben, dass die Klausel die wirtschaftlichen Nachteile und Belastungen soweit erkennen lässt, wie dies nach den Umständen gefordert werden kann. Dem Versicherungsnehmer soll bereits im Zeitpunkt des Vertragsschlusses vor Augen geführt werden, in welchem Umfang er Versicherungsschutz erlangt und welche Umstände seinen Versicherungsschutz gefährden. Nur dann kann er die Entscheidung treffen, ob er den angebotenen Versicherungsschutz nimmt oder nicht (vgl. BGH NJW 2023, 208). Maßgebend sind die Verständnismöglichkeiten des typischerweise bei Verträgen der geregelten Art zu erwartenden Durchschnittskunden. Insoweit gilt kein anderer Maßstab als derjenige, der auch bei der Auslegung von Versicherungsbedingungen zu beachten ist (BGH aaO.).
bb) Nach diesen Grundsätzen sind die Leistungsbeschreibungen der AVB nicht intransparent. Denn für eine Cyber-Versicherung ist typisch und für den Durchschnittskunden erkennbar, dass nur das Risiko der eigenen IT-Systeme geschützt werden soll und nicht weltweite Hacker-Angriffe, die in mittelbarer Weise Auswirkungen gegenüber dem Versicherungsnehmer haben können. Andernfalls wäre bereits die Teilnahme am E-Mail-Verkehr an sich ein großes Risiko, da niemand vor – auch gut gefälschten – Phishing Mails geschützt ist. Die Versicherungsbedingungen sind insoweit klar und verständlich formuliert, dass im Rahmen der Netzwerksicherheitsverletzung gerade eine Beeinträchtigung der eigenen Netzwerke vorliegen muss.
Leitsatz des BGH:
Immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
BGH, Urteil vom 18. November 2024 - VI ZR 10/24 - OLG Köln - LG Bonn
Der BGH hat im Leitentscheidungsverfahren nach § 552b ZPO entschieden, dass in Facebook-Scraping-Fällen ein Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Kontrollverlustes in Höhe von 100 EURO angemessen sein dürfte, sofern keine wirksame Einwilligung in die Datenverarbeitung vorlag. Dies hat die Vorinstanz nunmehr zu prüfen. Der BGH hat zudem entschieden, dass dann auch Unterlassungsanspruch und ein Feststellungsinteresse für einen Schadensersatzfeststellungsanspruch besteht.
Die Pressmeiteilung des BGH: Bundesgerichtshof entscheidet über Ansprüche im Zusammenhang mit einem Datenschutzvorfall beim
sozialen Netzwerk Facebook (sog. Scraping)
Sachverhalt:
Die Beklagte betreibt das soziale Netzwerk Facebook. Anfang April 2021 wurden Daten von ca. 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich verbreitet. Unbekannte Dritte hatten sich zuvor den Umstand zu Nutze gemacht, dass die Beklagte es in Abhängigkeit von den Suchbarkeits-Einstellungen des jeweiligen Nutzers ermöglicht, dass dessen Facebook-Profil mithilfe seiner Telefonnummer gefunden werden kann. Die unbekannten Dritten ordneten durch die in großem Umfang erfolgte Eingabe randomisierter Ziffernfolgen über die Kontakt-Import-Funktion Telefonnummern den zugehörigen Nutzerkonten zu und griffen die zu diesen Nutzerkonten vorhandenen öffentlichen Daten ab (sog. Scraping).
Von diesem Scraping-Vorfall waren auch Daten des Klägers (Nutzer-ID, Vor- und Nachname, Arbeitsstätte und Geschlecht) betroffen, die auf diese Weise mit dessen Telefonnummer verknüpft wurden. Der Kläger macht geltend, die Beklagte habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um eine Ausnutzung des Kontakt-Tools zu verhindern. Ihm stehe wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten Ersatz für immaterielle Schäden zu. Darüber hinaus begehrt der Kläger die Feststellung, dass die Beklagte verpflichtet sei, ihm in diesem Zusammenhang auch alle künftigen materiellen und immateriellen Schäden zu ersetzen, und nimmt die Beklagte auf Unterlassung und Auskunft in Anspruch.
Bisheriger Prozessverlauf:
Das Landgericht hat der Klage teilweise stattgegeben und dem Kläger aus Art. 82 Abs. 1 DSGVO Schadensersatz in Höhe von 250 € zugesprochen; im Übrigen hat es die Klage abgewiesen. Auf die Berufung der Beklagten hat das Oberlandesgericht die Klage unter Zurückweisung der Anschlussberufung des Klägers insgesamt abgewiesen. Weder reiche der bloße Kontrollverlust zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO aus noch habe der Kläger hinreichend substantiiert dargelegt, über den Kontrollverlust als solchen hinaus psychisch beeinträchtigt worden zu sein.
Mit Beschluss vom 31. Oktober hat der Bundesgerichtshof das Revisionsverfahren zum Leitentscheidungsverfahren gemäß § 552b ZPO n.F. bestimmt (Pressemitteilung 206/24). Nachdem die Revision nicht zurückgenommen wurde oder sich anderweitig erledigt hat, hat der Bundesgerichtshof jedoch am 11. November 2024 mündlich zur Sache verhandelt und nach allgemeinen Regeln durch Urteil über die Revision des Klägers entschieden.
Entscheidung des Bundesgerichtshofs:
Die Revision des Klägers war teilweise erfolgreich.
Der Anspruch des Klägers auf Ersatz immateriellen Schadens lässt sich mit der Begründung des Berufungsgerichts nicht verneinen. Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden im Sinne der Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
Erfolg hatte die Revision auch, soweit das Berufungsgericht die Anträge des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten abgewiesen hat. Entgegen der Auffassung des Berufungsgerichts fehlt es nicht an dem notwendigen Feststellungsinteresse des Klägers, da die Möglichkeit des Eintritts künftiger Schäden unter den Umständen des Streitfalles ohne Weiteres besteht. Der genannte Unterlassungsanspruch ist hinreichend bestimmt und dem Kläger fehlt insoweit auch nicht das Rechtsschutzbedürfnis. Im Übrigen (weiterer Unterlassungsantrag und Auskunftsantrag) blieb die Revision hingegen ohne Erfolg.
Im Umfang des Erfolges der Revision hat der Bundesgerichtshof die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Für die weitere Prüfung hat der Bundesgerichtshof das Berufungsgericht zum einen darauf hingewiesen, dass die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellung auf "alle" nicht dem Grundsatz der Datenminimierung entsprochen haben dürfte, wobei das Berufungsgericht ergänzend die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte zu prüfen haben wird. Zum anderen hat der Bundesgerichtshof Hinweise zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO erteilt und ausgeführt, warum unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen bestünden, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von 100 € zu bemessen.
OLG Köln - Urteil vom 7. Dezember 2023 - 15 U 67/23
Die maßgebliche Vorschrift lautet:
Artikel 82 Datenschutz-Grundverordnung (DSGVO) - Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Leitsatz des BGH:
Zur Bestimmung eines Leitentscheidungsverfahrens gemäß § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328).
BGH, Beschluss vom 31. Oktober 2024 - VI ZR 10/24 - OLG Köln - LG Bonn
Aus den Entscheidungsgründen: Die Revision wirft Rechtsfragen auf, die für eine Vielzahl anderer Verfahren von Bedeutung sind. Der Senat bestimmt das vorliegende Verfahren daher zum Leitentscheidungsverfahren im Sinne des § 552b ZPO in der Fassung des Gesetzes zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328; im Folgenden: § 552b ZPO nF).
1. Die formalen Voraussetzungen zur Bestimmung des vorliegenden Verfahrens zum Leitentscheidungsverfahren liegen vor. Das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 ist nach seinem Art. 7 am Tag nach der Verkündung, mithin am 31. Oktober 2024 in Kraft getreten. Die Revisionsbegründung des Klägers wurde der Beklagten am 8. April 2024 zugestellt, die Revisionserwiderung der Beklagten ist am 15. Oktober 2024 eingegangen (§ 552b Satz 1 ZPO nF). Eine Anhörung der Parteien im Rahmen der Bestimmung des Verfahrens zum Leitentscheidungsverfahren ist nicht erforderlich (arg e contr. § 148 Abs. 4 ZPO nF; vgl. ferner Allgayer, Stellungnahme als Sachverständiger zum [Regierungs-]Entwurf eines Gesetzes zur Einführung eines Leitentscheidungsverfahrens bei Bundesgerichtshof, BTRechtsausschuss vom 13. Dezember 2023, S. 4); etwas anderes würde auch die Zielsetzung des Gesetzes unterlaufen, eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleiches zu ermöglichen (vgl. BT-Drs. 20/8762 S. 10).
2. Das Verfahren wirft die folgenden Rechtsfragen auf:
a) Liegt in der Implementierung der sog. Kontakt-Import-Funktion in Verbindung mit der Standardvoreinstellung "alle" ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO ?
b) Ist der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des Betroffenen verknüpften Daten geeignet, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen? Falls ja, wie wäre der Ersatz für einen solchen Schaden zu bemessen ?
c) Welche Anforderungen sind an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen ?
d) Reicht die bloße Möglichkeit des Eintritts künftiger Schäden in einem Fall wie dem vorliegenden aus, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen?
e) Genügen die vom Kläger gestellten Anträge, dass die Beklagte es unterlasse,
- personenbezogene Daten der Klägerseite unbefugten Dritten über eine Software zum Importieren von Kontakten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme zu verhindern, und
- die Telefonnummer des Klägers auf Grundlage einer Einwilligung zu verarbeiten, die wegen der unübersichtlichen und unvollständigen Informationen durch die Beklagte erlangt wurde, namentlich ohne eindeutige Informationen darüber, dass die Telefonnummer auch bei Einstellung auf 'privat' noch durch Verwendung des Kontaktimporttools verwendet werden kann, wenn nicht explizit hierfür die Berechtigung verweigert und, im Falle der Nutzung der FacebookMessenger App, hier ebenfalls explizit die Berechtigung verweigert wird,
dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO ?
3. Die Entscheidung dieser Rechtsfragen ist für eine Vielzahl anderer Verfahren von Bedeutung (§ 552b Satz 1 ZPO n.F.). Beim erkennenden Senat sind derzeit 25 weitere Revisionsverfahren zu dem Scraping-Vorfall bei der Beklagten anhängig. In den Tatsacheninstanzen sind bei unterschiedlichen Gerichten noch insgesamt mehrere tausend Verfahren anhängig (vgl. OLG Stuttgart, GRUR-RS 2023, 32883 Rn. 136: über 100 eigene und bundesweit mehr als 6.000 Parallelverfahren; OLG Hamm, GRUR-RS 2024, 16856 Rn. 23: Vielzahl eigener Parallelverfahren; OLG Köln, GRUR-RS 2023, 37347 Rn. 29: Vielzahl gleichgelagerter eigener Verfahren).
BGH hat einen Rechtsstreit um möglichen Schadensersatz aus Art. 82 DSGVO in Facebook-Scraping-Fällen zum Leitentscheidungsverfahren nach § 552b ZPO bestimmt.
Die Pressemitteilung des BGH: Bundesgerichtshof bestimmt Leitentscheidungsverfahren in dem sog. Scraping-Komplex (Ansprüche im Zusammenhang mit einem Datenschutzvorfall beim sozialen Netzwerk Facebook)
Der u.a. für Rechtsstreitigkeiten über Ansprüche aus der Datenschutz-Grundverordnung zuständige VI. Zivilsenat hat in dem sog. Scraping-Komplex (Pressemitteilung 115/24) das Revisionsverfahren VI ZR 10/24 zum Leitentscheidungsverfahren bestimmt. Nach der durch das Gesetz zur Einführung eines Leitentscheidungsverfahrens beim Bundesgerichtshof vom 24. Oktober 2024 (BGBl. I Nr. 328) neu geschaffenen Vorschrift des § 552b ZPO kann der Bundesgerichtshof ein bei ihm anhängiges Revisionsverfahren zum Leitentscheidungsverfahren bestimmen, wenn die Revision Rechtsfragen aufwirft, deren Entscheidung für eine Vielzahl von Verfahren von Bedeutung ist. Mit der Bestimmung zum Leitentscheidungsverfahren ist eine Entscheidung über die Rechtsfragen auch dann zu treffen, wenn eine inhaltliche Entscheidung über die Revision aus prozessualen Gründen nicht mehr ergehen kann. Damit soll eine zügige höchstrichterliche Klärung trotz der Rücknahme von Revisionen aus prozesstaktischen Gründen oder aufgrund eines Vergleichs ermöglicht werden.
Das zum Leitentscheidungsverfahren bestimmte Revisionsverfahren VI ZR 10/24 wirft die Rechtsfragen auf,
ob in der von der Beklagten bei Implementierung der sog. Kontakt-Import-Funktion vorgenommenen Standardvoreinstellung auf "alle" ein Verstoß der Beklagten gegen die Datenschutz-Grundverordnung im Sinne des Art. 82 Abs. 1 DSGVO liegt,
ob der bloße Verlust der Kontrolle über die gescrapten und nunmehr mit der Mobiltelefonnummer des jeweiligen Betroffenen verknüpften Daten geeignet ist, einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen,
wie in einem solchen Fall der Schaden zu bemessen wäre,
welche Anforderungen an die Substantiierung einer Schadensersatzklage nach Art. 82 Abs. 1 DSGVO zu stellen sind,
ob die bloße Möglichkeit des Eintritts künftiger Schäden ausreicht, um ein Feststellungsinteresse im Sinne des § 256 Abs. 1 ZPO zu begründen,
ob die vom Kläger gestellten Unterlassungsanträge dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO genügen.
Diese Rechtsfragen sind für eine Vielzahl beim Bundesgerichtshof und in den Tatsacheninstanzen anhängiger, in wesentlichen Teilen gleichgearteter Verfahren von Bedeutung. Diese Verfahren können nunmehr grundsätzlich bis zur Erledigung des Leitentscheidungsverfahrens ausgesetzt werden.
In zwei zunächst zur Verhandlung am 8. Oktober 2024 vorgesehenen Verfahren sind die Revisionen von den Klägern kurzfristig vor dem Termin zurückgenommen worden (Pressemitteilung 190/24). Für den 11. November 2024 ist Termin zur mündlichen Verhandlung in dem nunmehr zum Leitentscheidungsverfahren bestimmten Revisionsverfahren VI ZR 10/24 anberaumt (Pressemitteilung 195/24). In dem weiteren für den 11. November 2024 terminierten Verfahren VI ZR 186/24 ist die Revision zwischenzeitlich ebenfalls zurückgenommen worden.
OLG Köln - Urteil vom 7. Dezember 2023 - 15 U 67/23
Die maßgeblichen Vorschriften lauten:
§ 552b ZPO n.F.: Bestimmung zum Leitentscheidungsverfahren
Wirft die Revision Rechtsfragen auf, deren Entscheidung für eine Vielzahl anderer Verfahren von Bedeutung ist, so kann das Revisionsgericht nach Eingang einer Revisionserwiderung oder nach Ablauf eines Monats nach Zustellung der Revisionsbegründung das Revisionsverfahren durch Beschluss zum Leitentscheidungsverfahren bestimmen. Der Beschluss enthält eine Darstellung des Sachverhalts und der Rechtsfragen, deren Entscheidung für eine Vielzahl anderer Verfahren von Bedeutung ist.
(1) Endet die zum Leitentscheidungsverfahren bestimmte Revision, ohne dass ein mit inhaltlicher Begründung versehenes Urteil ergeht, so trifft das Revisionsgericht durch Beschluss eine Leitentscheidung. Der Beschluss ergeht ohne mündliche Verhandlung.
(2) In dem Beschluss wird
1. festgestellt, dass die Revision beendet ist, und
2. eine Leitentscheidung zu den im Beschluss nach § 552b benannten Rechtsfragen getroffen.
(3) Der Beschluss ist zu begründen. Die Begründung ist auf die Erwägungen zur Entscheidung der maßgeblichen Rechtsfragen zu beschränken.
(4) Das Gericht kann ferner, wenn die Entscheidung des Rechtsstreits von Rechtsfragen abhängt, die den Gegenstand eines bei dem Revisionsgericht anhängigen Leitentscheidungsverfahrens bilden, nach Anhörung der Parteien anordnen, dass die Verhandlung bis zur Erledigung des Leitentscheidungsverfahrens auszusetzen ist. Eine Aussetzung hat zu unterbleiben, wenn eine Partei der Aussetzung widerspricht und gewichtige Gründe hierfür glaubhaft macht. (…)
Das OLG München hat entschieden, dass die Weiterleitung geschäftlicher E-Mails an einen privaten E-Mail-Account gegen die DSGVO verstößt und eine außerordentliche Kündigung rechtfertigen kann.
Aus den Entscheidungsgründen: 2. Die Weiterleitung der streitgegenständlichen Emails auf den privaten Account des Klägers ist auch ein wichtiger Grund iSd § 626 Abs. 1 BGB.
Gemäß § 626 Abs. 1 BGB kann das Dienstverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.
a. Dafür ist zunächst zu prüfen, ob der Sachverhalt ohne seine besonderen Umstände „an sich“, d. h. typischerweise als wichtiger Grund geeignet ist (vgl. BGH, Urteil vom 29.01.2001 – II ZR 360/99, Rdnr. 9 zum Vorstand einer Genossenschaft, BGH, Urteil vom 02.06.1997 – II ZR 101 /96, Rdnr. 6 zum Geschäftsführer einer GmbH, zu Arbeitnehmern vgl. auch BAG, Urteil vom 19.04.2012 – 2 AZR 186/11, Rdnr. 20, Weidenkaff in Grüneberg, BGB, 83. Auflage, München 2024, Rdnr. 38 zu § 626 BGB). Als wichtiger Grund ist nach der höchstrichterlichen Rechtsprechung dabei neben der Verletzung vertraglicher Hauptpflichten auch die schuldhafte Verletzung von Nebenpflichten „an sich“ geeignet (vgl. BAG, Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 19).
aa. Zur Begründung eines wichtigen Grundes „an sich“ kann im vorliegenden Fall jedoch nicht auf § 10 Abs. 1 DV abgestellt werden.
Nach § 10 Abs. 1 UA 1 DV ist der Vorstand verpflichtet, „alle betrieblichen Angelegenheiten und Geschäfts- und Betriebsgeheimnisse“, die ihm während seiner Tätigkeit bekannt wurden, vertraulich zu behandeln. Insbesondere ist er verpflichtet, „vertrauliche Informationen dieser Art“ streng geheim zu halten, sie nicht zu verbreiten oder zu kommunizieren und sie auch nicht zu verwerten. Bei der Auslegung des § 10 Abs. 1 DV ist zu beachten, dass mit dieser Regelung der Umfang der Verschwiegenheitsverpflichtung des Vorstands bestimmt werden soll.
Die Verschwiegenheitsverpflichtung des Vorstands wird in § 93 Abs. 1 S. 3 AktG geregelt, der stipuliert, dass Vorstandsmitglieder über vertrauliche Angaben und Geheimnisse der Gesellschaft, namentlich Betriebs- und Geschäftsgeheimnisse Stillschweigen zu bewahren haben. Da diese Vorschrift zwingendes Recht ist, kann sie nicht ausgeschlossen oder eingeschränkt werden. Die in § 93 Abs. 1 S. 3 AktG normierte Verschwiegenheitsverpflichtung kann aber auch nicht durch Satzung, Geschäftsordnung oder Anstellungsvertrag erweitert werden, wie sich aus § 23 Abs. 5 AktG ergibt (vgl. Fleischer in BeckOGK AktG, Stand 01.02.2024, Rdnr. 202 zu § 93 AktG; Spindler in Münchener Kommentar zum AktG, 6. Auflage, München 2023, Rdnr. 143 zu § 93 AktG; Schmidt in Heidel, Aktienrecht und Kapitalmarktrecht, 5. Auflage, München 2020, Rdnr. 62 zu § 93 AktG; vgl. auch BGH, Urteil vom 05.06.1975 – II ZR 156/73, Rdnrn 8 f. zur Verschwiegenheitspflicht eines Aufsichtsrats nach § 116 iVm. § 93 Abs. 1 S. 2 AktG a.F.). Stellt also die Weiterleitung der streitgegenständlichen Emails an den privaten Email-Account des Klägers keine Verletzung der Verschwiegenheitsverpflichtung des Vorstands nach § 93 Abs. 1 S. 3 AktG dar, so ist unbeachtlich, wenn der Kläger gegen etwaig weitergehende Verpflichtungen aus § 10 Abs. 1 DV verstoßen haben sollte.
Nach der Rechtsprechung des BGH handelt es sich bei „vertrauliche(n) Angaben und Geheimnisse(n) der Gesellschaft“ iSd. § 93 Abs. 1 S. 3 AktG um nicht allgemein bekannte (offenkundige) Tatsachen, an deren Geheimhaltung ein objektives Interesse des Unternehmens besteht (vgl. BGH, Urteil vom 26.04.2016 – IX ZR 108/15, Rdnr. 31).
Alle vom Kläger weitergeleiteten streitgegenständlichen Emails bezogen sich auf „betriebliche Angelegenheiten“ iSd. § 10 Abs. 1 UA 1 DV und beinhalteten keine offenkundigen Tatsachen. So betraf die Email vom 23.04.2021, 16:27 Uhr laut Anl. B 8 das Verhalten u.a. des Mitvorstands … bezüglich der Behandlung von Gehaltsabrechnungen nicht nur des Klägers, sondern auch des früheren Vorstandsvorsitzenden der Beklagten … . In der Email vom 10.05.2012 laut Anl. B 7 ging es um die Behandlung von Forderungen des Klägers gegen die Beklagte, um Schriftwechsel mit der Steuerberatungsgesellschaft der Beklagten sowie um Kompetenzstreitigkeiten mit dem Mitvorstand … Gegenstand der Email vom 31.05.2021, 12:10 Uhr (Anl. B 2) war eine Anfrage der … AG nach dem Geldwäschegesetz und eventuell drohende Maßnahmen der BAFIN gegen die Beklagte. Die Email vom 31.05.2021, 17:47 Uhr (Anl. B 9) bezog sich auf eine Zuständigkeitsstreitigkeit zwischen dem Kläger und Mitarbeitern der …-Gruppe sowie die Provisionsplanung für 2021. Letztere war auch Thema der am 16.06.2021 um 11:13 Uhr vom Kläger versandten Email (Anlage B 5), der u.a. eine als „confidentiel“ überschriebene Präsentation betreffend Fragen zur Provisionierung sowie das Protokoll eines internen Meetings vom 07.06.2021 zu dieser Problematik beigefügt war. Die Emails vom 18.06.2021, 17.17 Uhr (Anl. B 3) und vom 21.06.2021, 12:34 Uhr laut Anl. B 6 betrafen den von einem Mitarbeiter der Beklagten (…) gegen diese geltend gemachten Anspruch auf Provisionszahlungen. In der Email vom 24.06.2021, 11:51 Uhr (Anlage B 1) waren wiederum Umsatzerlöse und Bonifizierungsgrundlagen für diesen Mitarbeiter thematisiert. Dieser Email beigefügt waren Email-Verkehr des Klägers mit Mitarbeitern der Beklagten sowie die Kopie eines Lizenzvertrages mit dem Kundenunternehmen … GmbH. Gegenstand der am 28.06.2021 um 13:26 Uhr versandten Email laut Anl. B 4 an … und … von der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft … GmbH waren Spesenzahlungen der Beklagten an den Kläger.
Ob auch ein objektives Geheimhaltungsinteresse der Beklagten an diesen Tatsachen bestand, kann dahinstehen, da es jedenfalls an einer Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG durch den Kläger fehlt. Wann eine Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG vorliegt, ergibt sich aus dem objektiven Tatbestand des § 404 AktG, der Verletzungen der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG sanktioniert. Demzufolge ist die Verschwiegenheitsverpflichtung verletzt, wenn ein Geheimnis der Gesellschaft unbefugt offenbart (§ 404 Abs. 1 AktG) oder verwertet (§ 404 Abs. 2 S. 2 AktG) wird. Offenbart wiederum wird ein Geheimnis, wenn es jemandem, der dieses Wissen noch nicht hat (Unbefugter), mitgeteilt oder sonst in einer Weise zugänglich gemacht wird und er somit die Möglichkeit der Kenntnisnahme erhält. Die Art und Weise der Preisgabe ist irrelevant. Es kommt allein darauf an, dass der Adressat die nicht mehr abschirmbare Möglichkeit der Kenntnisnahme hat (vgl. Hefendehl in BeckOGK AktG, Stand 01.06.2024, Rdnr. 54 zu § 404 AktG). Diese Voraussetzungen sind im streitgegenständlichen Fall durch die Weiterleitung der Emails an den privaten Email-Account des Klägers nicht erfüllt, da der Kläger den Inhalt der Emails unstreitig keinem Dritten mitgeteilt oder zugänglich gemacht hat. Die Speicherung auf einem Freemail-Server reicht hierfür nicht aus. Auch eine Verwertung der Geheimnisse durch den Kläger ist unstreitig nicht erfolgt.
In Ermangelung einer Verletzung der Verschwiegenheitsverpflichtung des § 93 Abs. 1 S. 3 AktG kommt es daher nicht mehr darauf an, ob der Kläger die in § 10 Abs. 1 UA 3 lit a DV stipulierte Pflicht zur strengen Geheimhaltung vertraulicher Informationen verletzt hat, da eine Erweiterung der Geheimhaltungsverpflichtung des § 93 Abs. 1 S. 3 AktG durch den Vorstandsdienstvertrag nicht möglich ist.
bb. Auch wenn der Kläger nach alledem nicht gegen die ihm als Vorstand obliegende aktienrechtliche Verschwiegenheitsverpflichtung aus § 93 Abs. 1 S. 3 AktG verstieß, so hat er doch durch die Weiterleitung der streitgegenständlichen Emails gegen seine sich aus § 91 Abs. 1 S. 1 AktG ergebende Sorgfaltspflicht, die in Gestalt der Legalitätspflicht vom Vorstand eigene Regeltreue fordert, verstoßen. Denn wie das Landgericht richtig annahm (LGU S. 14), stellt die Weiterleitung der Emails auf den privaten Account des Klägers und die dortige Speicherung eine Verarbeitung iSd. Art. 4 Nr. 2 DSGVO dar, die nicht durch eine Einwilligung der betroffenen Personen gedeckt war (Art. 6 Abs. 1 lit a DSGVO). Diese Weiterleitung war auch nicht zur Wahrung der berechtigten Interessen des Klägers erforderlich (Art. 6 Abs. 1 lit f DSGVO). Gegen diese zutreffende rechtliche Wertung des Landgerichts hat die Berufung nichts erinnert, vielmehr hat der Kläger in seiner Berufungserwiderung/Anschlussberufungsbegründung (dort S. 13, Bl. 32 d.A.) sogar selbst eingeräumt, dass ihm nunmehr bewusst sei, dass eine Weiterleitung von dienstlichen Emails auf seinen privaten Email-Account nicht zulässig sei.
(1) Zwar ist nicht jeder Regelverstoß und damit auch nicht jeder Verstoß gegen Vorschriften der Datenschutzgrundverordnung schon „an sich“ als wichtiger Grund iSd. § 626 Abs. 1 BGB geeignet. Dies ist jedoch zumindest dann der Fall, wenn – wie streitgegenständlich – die unter Missachtung der Regelungen der DSGVO erfolgte Weiterleitung der Emails an den privaten Email-Account des Klägers sensible Daten der Beklagten und anderer Dritter betrifft. Um solche sensiblen Daten handelte es sich vorliegend, da es in den Emails unter anderem um eine geldwäscherechtliche Bankanfrage, Provisisonsansprüche von Mitarbeitern (…), Gehaltsabrechnungen eines früheren Vorstandsvorsitzenden (…), Planungen der Beklagten zur Verprovisionierung ihrer Mitarbeiter und Zuständigkeitsstreitigkeiten im Vorstand der Beklagten ging. Zu berücksichtigen war darüber hinaus, dass die Weiterleitung nicht ein singulärer Vorfall war, sondern neun Emails weitergeleitet wurden.
(2) Die Weiterleitung der Emails wird auch nicht dadurch gerechtfertigt, dass der Kläger – jedenfalls seiner Vorstellung nach – „nur solche Emails weiterleitete, die aufgrund der besorgniserregenden Veränderungen im Betrieb der Beklagten (…) unentbehrlich waren, um später beweisen zu können, dass er selbst keine zur Haftung führenden Fehler begangen hat“ (vgl. Schriftsatz des Klägervertreters vom 02.05.2022, S. 7, Bl. 31 d.A.). Denn für eine solche prophylaktische Selbsthilfe bestand – wie das Landgericht richtig ausführte (LGU S. 14 f.) – keine Veranlassung. Solange der Kläger noch Vorstand war, hatte er qua Amt Zugriff auf die Unterlagen der Beklagten. Nach seiner Abberufung als Vorstand hat er dagegen einen Einsichtsanspruch aus § 810 BGB, soweit er Unterlagen der Beklagten für seine Verteidigung benötigen sollte, wobei der Kläger durch die die Beklagte treffenden handels- und steuerrechtlichen Aufbewahrungspflichten auch vor unzeitiger Vernichtung der Unterlagen hinreichend geschützt ist (zur fehlenden Rechtfertigung prophylaktischer Selbsthilfe in einem vergleichbaren Fall eines Arbeitnehmers vgl. auch BAG, Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 33 und LArbG Hamm, Urteil vom 28.05.2020 – 15 Sa 2008/19, Rdnr. 63).
Nach alledem kann in der streitgegenständlichen Weiterleitung der Emails ein wichtiger Grund iSd. § 626 Abs. 1 BGB „an sich“ liegen. Ein Vorstand ist demnach nicht anders zu beurteilen als ein Arbeitnehmer, dem es ohne Einverständnis des Arbeitgebers ebenso verwehrt ist, sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu vervielfältigen (vgl. BAG Urteil vom 08.05.2014 – 2 AZR 249/13, Rdnr. 32).
b. Nach Feststellung, dass der streitgegenständliche Sachverhalt „an sich“, d.h. typischerweise als wichtiger Grund geeignet ist, bedarf es der Prüfung, ob der Gesellschaft die Fortsetzung des Anstellungsverhältnisses unter Berücksichtigung der konkreten Umstände des Falls und unter Abwägung der Interessen beider Vertragsteile – jedenfalls bis zum Ablauf der Kündigungsfrist – zumutbar ist oder nicht (vgl. BGH, Urteil vom 29.01.2001 – II ZR 360/99, Rdnr. 9 zum Vorstand einer Genossenschaft, BGH, Urteil vom 02.06.1997 – II ZR 101 /96, Rdnr. 6 zum Geschäftsführer einer GmbH, zu Arbeitnehmern BAG, Urteil vom 19.04.2012 – 2 AZR 186/11, Rdnr. 20, Weidenkaff in Grüneberg, BGB, 83. Auflage, München 2024, Rdnr. 38 zu § 626 BGB). Dabei ist in einer Gesamtwürdigung das Interesse der Gesellschaft an der sofortigen Beendigung des Vorstandsanstellungsvertrages gegen das Interesse des Vorstands an dessen Fortbestand abzuwägen. Es hat eine Bewertung des Einzelfalls unter Beachtung des Verhältnismäßigkeitsgrundsatzes zu erfolgen. Zu berücksichtigen sind dabei u.a. regelmäßig die Schwere der Pflichtverletzung, der Grad des Verschuldens des Vorstands, das Ausmaß des Schadens, eine mögliche Wiederholungsgefahr, die Dauer des Vorstandsverhältnisses und dessen störungsfreier Verlauf sowie die sozialen Folgen für das Vorstandsmitglied (vgl. Fleischer in BeckOGK AktG, Stand 01.02.2024, Rdnr. 187 zu § 84 AktG).
Das LG München hat entschieden, dass ein wettbewerbswidriger Verstoß gegen § 54 Abs. 3 TKG vorliegt, wenn ein Verbraucher während einer telefonischen Vertragsanbahnung den Vertragsschluss per E-Mail bestätigen soll. Vorliegend ging es um die Vorgehensweise von Vodafone.
Aus den Entscheidungsgründen: 1. Der zulässigen Klage war stattzugeben, weil die Beklagte dadurch, dass sie Verbraucher telefonisch auffordert, den Vertragsabschluss noch während des geführten Telefonats zu bestätigen zwar nicht gegen den Wortlaut des § 54 Abs. 3 TKG verstößt, der sich hiermit tatsächlich nicht beschäftigt, aber gegen den Sinn der Vorschrift, der auch Eingang in die Formulierung des § 54 Abs. 3 TKG gefunden hat.
Gemäß § 54 Abs. 3 TKG hat der Anbieter dem Verbraucher bevor dieser seine Vertragserklärung abgibt, eine klar und leicht lesbare Vertragszusammenfassung unter Verwendung des Musters in der Durchführungsverordnung zur Verfügung zu stellen.
Der Gesetzesbegründung (BT-Drs 19/26108, S. 287) ist zu entnehmen, dass die Vertragszusammenfassung zum einen dem Zweck dient, dass Verbraucher ihre Entscheidung, eine Vertragserklärung abzugeben, in voller Sachkenntnis treffen können. Zum anderen soll den Verbrauchern die Möglichkeit gewährt werden, das in der Vertragszusammenfassung konkret erstellte, individuelle Angebote mit anderen individuellen Angeboten anderer Anbieter zu vergleichen.
Diesem Sinn und Zweck des Gesetzes wird bei der Handhabung durch die Beklagte entgegen gewirkt. Da der Verbraucher aufgefordert wird, den übersandten Link noch während des Telefonats zu bestätigen, hat er nicht die Möglichkeit, eine Vertragserklärung abzugeben, die er in voller Sachkenntnis getroffen hat und bei der er das individuelle Angebot mit anderen individuellen Angeboten anderer Anbieter vergleichen konnte. Tatsächlich bekommt er in der Handhabung, wie sie die Beklagte durchführt, die Vertragszusammenfassung nicht wirklich bevor er seine Vertragserklärung abgibt. Legt man diese Formulierung aus, und zwar unter Berücksichtigung des Sinns und Zwecks der Vorschrift, so ist ein gewisser Zeitraum zwischen Übersendung der Vertragszusammenfassung und der Abgabe der Vertragserklärung zu fordern. Jedenfalls darf der Verbraucher von der Beklagten nicht aufgefordert werden, seine Vertragserklärung noch abzugeben, bevor das Telefonat überhaupt beendet ist. Während eines laufenden Telefonats hat der Verbraucher nicht wirklich die Möglichkeit, sich die Vertragszusammenfassung anzuschauen.
2. Da es sich bei § 54 Abs. 3 TKG, gegen ihren Gesetzeszweck durch die angegriffene Vorgehensweise verstoßen wird, um eine Vorschrift handelt, die dem Interesse der Verbraucher und sonstigen Marktteilnehmern dient, weil sie deren Informationsinteresse und Entscheidungs- und Verhaltensfreiheit in Bezug auf die Marktteilnehmer schützt, verstößt die Beklagte durch die angegriffene Praxis gegen § 3 a UWG.
3. Der mit Klageanspruch II. geltend gemachte Anspruch auf Zahlung eines Aufwendungsersatzes in Höhe von € 260,- für die Abmahnung ergibt sich aus § 13 Abs. 3 UWG. Die Höhe der Klageforderung entspricht einem angemessenen Anteil der Aufwendungen des Klägers und wurde von der Beklagten auch nicht in Frage gestellt.
Das LG Lüneburg hat dem Betroffenen Schadensersatz aus Art. 82 DSGVO in Höhe von 500 EURO wegen der Zusendung von Werbemails nach mehrmaligen Widerruf der Einwilligung zu Zusendung von Werbung zugesprochen.
Aus den Entscheidungsgründen: 1. Dem Kläger steht gem. Art. 82 DS-GVO ein Anspruch auf Ersatz immateriellen Schadens zu, den die Kammer wie tenoriert bemisst.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen, also diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).
2. Die Beklagte hat gegen Bestimmungen der DS-GVO verstoßen, indem sie dem Kläger Werbeemails zugeschickt hat, ohne dass dies nach Art. 6 Abs.1 DS-GVO gerechtfertigt war. Der Kläger hatte seine zunächst erteilte Einwilligung zu dem Erhalt von Werbeemails zuvor unbestritten widerrufen. Die Beklagte konnte folglich keinen rechtfertigenden Tatbestand gem. Art. 6 Abs. 1 lit. a DS-GVO mehr für den Versand der streitgegenständlichen Werbeemails darlegen.
3. Die Verstöße haben nach dem - insoweit auch unwidersprochen gebliebenen und damit zugestandenen (§ 138 Abs.3 ZPO) Vorbringen des Klägers - kausal zu einem immateriellen Schaden geführt. Der Begriff des immateriellen Schadens ist unionsrechtlich autonom und in allen Mitgliedstaaten einheitlich auszulegen (EuGH, Urt. 4.5.2023 - C-300/21).
Dabei muss der Schaden des Klägers nicht eine gewisse Erheblichkeit erreicht haben. Nach der Rechtsprechung des EuGH ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urt. 4.5.2023 - C-300/21).
Wenngleich der immaterielle Schaden nach Erwägungsgrund 146 zur DS-GVO tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf, ist nach Erwägungsgrund 146 S. 3 zur DS-GVO der Schadensbegriff weit auszulegen. Der EuGH verlangt unter Bezugnahme auf den Effektivitätsgrundsatz, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen (so bereits EuGH 10.4.1984 - 14/83, NJW 1984, 2021 (2022).
Als immaterieller Schaden kommen Ängste, Stress, Komfort- und Zeiteinbußen in Betracht (Bergt in Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art.82 Rn. 18b).
Hier hat der Kläger unbestritten viermal gegenüber der Beklagten erklärt, dass er keine weiteren Werbeemails wünscht. Zweimal ließ der Kläger dies sogar von seinem bevollmächtigten Rechtsanwalt erklären. Dennoch hat die Beklagte dem Kläger weiterhin Werbeemails geschickt. Der bei dem Kläger dadurch verursache Ärger, Zeitverlust und Eindruck des Kontrollverlusts stellt einen Schaden im Sinne der Norm dar. Die negativen Auswirkungen des Verstoßes gegen die DS-GVO liegen darin, dass sich der Kläger mit der Abwehr der von ihm unerwünschten Werbung auseinandersetzen musste. Dies sogar mehrfach, da die Beklagte seinen Widerruf der Einwilligung mehrfach missachtete. Der Umstand, dass sogar der Prozessbevollmächtigte des Klägers die Beklagte zweimal erfolglos zum Unterlassen aufforderte, ist geeignet bei dem Kläger den belastenden Eindruck der Hilflosigkeit und des Kontrollverlustes in Bezug auf seine Datenverarbeitung zu führen.
4. Die Frage, ob Art. 82 DS-GVO eine vom Verschulden abhängige oder unabhängige Anspruchsgrundlage darstellt, kann dahinstehen. Denn vorliegend ist nichts vorgetragen oder ersichtlich, was gegen ein Verschulden der Beklagten spricht.
5. Bei der Bestimmung der Höhe des Schadensersatzes, die der Kläger in das Ermessen des Gerichts gestellt hat, sind gem. § 287 Abs.1 S. 1 ZPO alle Umstände des Einzelfalls würdigen, insbesondere Art, Intensität und Dauer der erlittenen Rechtsverletzung. Auch bei der Höhe des Schadens ist der Effektivitätsgrundsatz zu berücksichtigen.
Das Amtsgericht Pfaffenhofen (AG Pfaffenhofen, Endurteil v. 09.09.2021 - 2 C 133/21) entschied in einem ähnlichen Fall:
"Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts, der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen (vgl. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 12a)."
Dabei sprach das AG Pfaffenhofen dem Kläger 300,00 Euro für eine unerwünscht erhaltene Werbeemail zu, wobei in dem dortigen Fall die Beklagte die Emailadresse des Klägers gänzlich ohne dessen Einwilligung erhalten hatte.
Das AG Diez (Urteil vom 17.04.2018 - 7 O 6829/17) erachtete in dem Fall eines Versandes einer Werbeemail, mit welcher die Beklagte am 25.5.2018, als die DS-GVO Gültigkeit erlangte, eben aus diesem Grund und unter Bezugnahme hierauf nach einer Einwilligung zum Newsletter-Bezug anfragte, einen Schadensersatzanspruch als unbegründet.
In einem ähnlichen Fall lehnte das AG Goslar (Urteil vom 27.09.2019 - 28 C 7/19) einen Schadensersatzanspruch ab, da es sich auch in dem dortigen Fall um lediglich eine Werbeemail handelte: "Für das Gericht ist aufgrund des Vortrags des Klägers ein Schaden indes nicht ersichtlich. Es handelte sich lediglich um eine einzige Werbe-E-Mail, die nicht zur Unzeit versandt wurde und aufgrund ihres äußeren Erscheinungsbildes deutlich zeigt, dass es sich um Werbung handelt, so dass ein längeres Befassen mit der E-Mail nicht notwendig war."
Im Interesse einer effektiven Abschreckung und einer Kompensierung des erlittenen Schadens ist das Verhalten der Beklagten in Form der mehrfachen Missachtung des ausdrücklich erklärten Willens des Klägers als schadensersatzerhöhend zu berücksichtigen. Schadensersatzerhöhend ist ebenfalls die Häufigkeit des Verstoßes zu berücksichtigen. In dem vorliegenden Fall hat der Kläger in einem Zeitraum von knapp vier Monaten insgesamt dreizehn Werbeemails von der Beklagten erhalten. Er erhielt dabei jeweils 4 bzw. 5 Werbeemails in kurzer Zeitabfolge, teilweise fast täglich.
Zu berücksichtigen ist allerdings auch, dass die Auswirkungen des Verstoßes gegen die DS-GVO den Wirkungsbereich des Klägers nicht verlassen haben. Es wurde durch den Verstoß kein Bereich berührt, der etwa die Beziehung des Klägers zu Dritten berührt.
Das Gericht erachtet vorliegend im Ergebnis eine Entschädigung von 500,00 EUR für angemessen.
OLG Rostock
Hinweisbeschluss vom 03.04.2024 7 U 2/24
Das OLG Rostock hat in einem Hinweisbeschluss ausgeführt, dass die Absendung einer E-Mail keinen Anscheinsbeweis für den Zugang der E-Mail begründet.
Aus den Entscheidungsgründen: 2. Auch auf die Grundsätze des kaufmännischen Bestätigungsschreibens kann die Klägerin sich nicht mit Erfolg stützten. Dieser hilfsweise Argumentationsstrang der Klägerin scheitert jedenfalls daran, dass nach Beweislastgrundsätzen nicht von dem beklagtenseits bestrittenen Zugang (§ 130 Abs. 1 Satz 1 BGB) des vermeintlichen Bestätigungsschreibens ausgegangen werden kann. Die Beweislast für den Zugang liegt – darüber besteht im Ausgangspunkt auch zwischen den Parteien Konsens – bei der Klägerin. Dabei kommt der Klägerin die von ihr reklamierte Beweiserleichterung eines Anscheinsbeweises nicht zu Gute. Taugliche Beweisantritte liegen nicht vor.
a) Für die Annahme eines Anscheinsbeweises für den Zugang einer feststehendermaßen abgesandten (einfachen, insbesondere ohne Empfangs- oder Lesebestätigung übermittelten) E-Mail sieht der Senat keine Grundlage. Die von der Klägerin für ihren gegenteiligen Standpunkt zuletzt in der Berufungsbegründung zitierte instanzgerichtliche Entscheidung (AG Frankfurt a. M., Urteil vom 23.10.2008 – 30 C 730/08, BeckRS 2009, 5792), die einen Anscheinsbeweis bejaht hat, ist vereinzelt geblieben und hat sich nicht durchgesetzt. Hierauf hat bereits die Beklagte in der Berufungserwiderung unter Fundstellenangabe zutreffend hingewiesen. Es entspricht in der (insbesondere auch obergerichtlichen) Rechtsprechung sowie im Kommentarschrifttum nahezu einhelliger Auffassung, dass für den Zugang einer (im vorbezeichneten Sinne einfachen) E-Mail allein aufgrund des Feststehenden Absendens, auch in Verbindung mit dem feststehenden Nichterhalt einer Unzustellbarkeitsnachricht auf Seiten des Absenders, kein Anscheinsbeweis streitet (etwa: OLG Hamm, Beschluss vom 10.08.2023 – I-26 W 13/23 [Juris; Tz. 5 ff.]; LAG Berlin-Brandenburg, Urteil vom 24.08.2018 – 2 Sa 403/18 [Juris; Tz. 39]; LAG Köln, Urteil vom 11.01.2022 – 4 Sa 315/21, MDR 2022, 392 [Juris; Tz. 58 f.]; LG Hagen, Beschluss vom 31.03.2023 – 10 O 328/22 [Juris; Tz. 9]; Erman/Arnold, BGB, 17. Aufl. 2023, § 130 Rn. 33; jurisPK-BGB/Reichold, 10. Aufl. 2023 [Stand: 15.05.2023], § 130 Rn. 65; Staudinger/Singer/Benedict, BGB, Neubearbeitung 2021, § 130 Rn. 110; BeckOK IT-Recht/Borges, 13. Edition – 01.05.2021, BGB § 130 Rn. 58; Grüneberg/Ellenberger, BGB, 83. Aufl. 2024, § 130 Rn. 21; BeckOGK BGB/Gomille, Stand: 01.09.2022, § 130 Rn. 135, m.w.N.). Diese Auffassung teilt auch der Senat. Der Zugang mag unter den genannten Voraussetzungen – sofern sie ihrerseits unbestritten oder erwiesen sind und damit prozessual feststehen – „die Regel“ darstellen, ist aber letztlich jedenfalls unter den gegenwärtigen technischen Bedingungen (noch) nicht in einem Maße typisch, dass die Bejahung einer prima-facie-Beweiserleichterung gerechtfertigt wäre.
b) Soweit die Klägerin zum Beweis des E-Mail-Zugangs bei der Beklagten auf eine Vorlage bzw. Offenlegung der gesamten elektronischen Posteingänge der Beklagten im hier interessierenden Zeitraum durch die Beklagte verweist, war und ist diesem Beweisantritt nicht nachzugehen. Nicht anders als in der „analogen“ Welt, in der ein Zugangsnachweis in einem Zivilprozess unstreitig nicht dadurch geführt werden könnte, dass die Briefkästen oder gar Wohn- und Geschäftsräume des vermeintlichen Empfängers umfassend auf den in Rede stehenden Brief „durchforstet“ werden und der Prozessgegner diese Maßnahme zu dulden bzw. an ihr gar aktiv mitzuwirken hätte, kann der Beweis des Zugangs einer E-Mail nicht dadurch erbracht werden, dass der vermeintliche Adressat selbst seinen E-Mail-Account mit dem virtuellen Posteingangskorb und ggf. weiteren Ablageordnern („Gelöschte Elemente“ o.ä.) zu Beweiszwecken gleichsam zur Verfügung stellen müsste (auch nicht indirekt im Rahmen einer sachverständigen Begutachtung; LG Duisburg, Beschluss vom 28.06.2010 – 12 S 67/10, RRa 2011, 25 [Juris; Tz. 10]). Ob für die Beklagte hinsichtlich des in Rede stehenden (E-Mail-) Schreibens eine steuer- oder handelsrechtliche Aufbewahrungspflicht bestanden hätte, spielt insoweit keine Rolle. Unabhängig hiervon bieten für eine entsprechende Beweisführung weder die §§ 371 ff. ZPO noch die §§ 142 ff. ZPO eine Grundlage. Die Klägerin selbst hat auch keine rechtliche Grundlage für ihren Beweisantritt benannt (…).
Da LG Koblenz hat entschieden, dass ein Online-Anbieter die Wirksamkeit der Kündigung eines Dauerschuldverhältnisses durch den Kunden nicht von einem Bestätigungstelefonat abhängig machen darf.
Die Pressemitteilung des Gerichts: Erfolgreiche Abmahnung durch eine Verbraucherzentrale wegen unzulässiger Verpflichtung zur Kündigungsbestätigung per Telefon
Ist ein durch eine Verbraucherzentrale geltend gemachter Unterlassungsanspruch begründet, wenn eine Firma die online erklärte Kündigung eines Kunden von einem Bestätigungstelefonat abhängig macht? Diese Frage hatte die 11. Zivilkammer des Landgerichts Koblenz zu beantworten.
Zum Sachverhalt:
Die Beklagte bietet, auch gegenüber Verbrauchern, den Abschluss von Dienstleistungsverträgen über Dauerschuldverhältnisse unter anderem zur Bereitstellung von Webspeicherplatz, E-Mail-Postfächern und Servern an.
Der Kläger, ein eingetragener Verein (Verbraucherzentrale), begehrt von der Beklagten es zu unterlassen, dass die Beklagte auf eine online erklärte Kündigung gegenüber Verbrauchern behauptet, dass zur Wirksamkeit der Kündigung noch ein Telefonat mit der Beklagten erforderlich sei. Konkret hat ein Kunde seinen Vertrag bei der Beklagten per Internet gekündigt. Der Kunde hat daraufhin von der Beklagten die Mitteilung erhalten, er möge seine Kündigung binnen 14 Tagen telefonisch bestätigen, ansonsten bleibe das Vertragsverhältnis unverändert bestehen.
Der Kläger hat daraufhin die Beklagte abgemahnt und erfolglos zur Abgabe einer Unterlassungserklärung aufgefordert.
Er behauptet, im Fall eines Anrufs nach der Kündigung werde seitens der Beklagten - mittels rhetorischer Kunstfertigkeit oder durch Anbieten anderer Vertragskonditionen - versucht, den Verbraucher zu überzeugen, von seinem Kündigungswillen Abstand zu nehmen.
Der Kläger ist zudem der Ansicht, die Mitteilung der Beklagten gegenüber Verbrauchern, dass nach einer Kündigung eine Rückbestätigung erfolgen müsse, stelle eine unlautere geschäftliche Handlung dar. Sie enthalte unwahre Angaben über Rechte des Verbrauchers.
Der Kläger beantragt der Beklagten bei Meidung eines Ordnungsgeldes von bis zu 250.000,00 EUR, ersatzweise Ordnungshaft oder Ordnungshaft bis zu sechs Monaten, Ordnungshaft zu vollstrecken an den Mitgliedern der Geschäftsführung, zu untersagen, im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern diesen nach einer der Beklagten zugegangenen Kündigungserklärung eines Dienstleistungsvertrages in Form eines Dauerschuldverhältnisses mitzuteilen, die telefonische Bestätigung der erklärten Kündigung sei erforderlich.
Die Beklagte ist der Ansicht, ohne die telefonische Rückbestätigung der Kündigung bestünde das Risiko, dass unberechtigte Dritte den Vertrag eines Kunden kündigen könnten. Auch für den Fall einer Kündigung nach § 312k BGB sei es für die Beklagte erforderlich, sich davon zu überzeugen, dass die Kündigung auch vom Erklärenden stammt. Dabei biete ein fernmündliches Gespräch ein Mehr an Sicherheit verglichen etwa mit einem Bestätigungslink innerhalb einer E-Mail. Es finde keine Irreführung des Verbrauchers statt. Außerdem werde eine geschäftliche Entscheidung des Verbrauchers nicht beeinflusst.
Die Entscheidung:
Die 11. Zivilkammer des Landgerichts Koblenz hat der Klage antragsgemäß stattgegeben.
Ein entsprechender Unterlassungsanspruch des Klägers ergebe sich aus §§ 8 Abs. 1 S. 1, 3, 5 Abs. 2 Nr. 7 UWG.
Der Kläger als Verein, der sich satzungsgemäß unter anderem der Durchsetzung von Verbraucherinteressen und -rechten widmet, sei aktivlegitimiert gemäß § 8 Abs. 3 Nr. 2 UWG, § 4 UKlaG.
Das Vorgehen der Beklagten, den Verbraucher aufzufordern, seine Kündigung innerhalb von 14 Tagen telefonisch zu bestätigen, stelle eine geschäftliche Handlung im Sinne des § 2 Abs. 1 Nr. 2 UWG dar. Dazu gehörten auch Verhaltensweisen, die auf eine Fortsetzung der Geschäftsbeziehung oder das Ver-hindern einer Geschäftsbeendigung gerichtet sind.
Diese geschäftliche Handlung der Beklagten sei gem. § 3 Abs. 1 UWG unzulässig, da sie gemäß § 5 Abs. 1 UWG unlauter sei. Danach handele unlauter, wer eine irreführende geschäftliche Handlung vornehme, die geeignet sei, den Verbraucher oder sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte.
Die Kammer hat die Vorgehensweise der Beklagten als irreführend im Sinne des § 5 Abs. 2 Nr. 7 UWG eingestuft. Demnach sei eine geschäftliche Handlung irreführend, wenn sie unwahre Angaben oder sonstige zur Täuschung geeignete Angaben über Rechte des Verbrauchers enthalte. Erfasst seien auch irreführende Angaben über deren Inhalt, Umfang und Dauer sowie etwaige Voraussetzungen für die Geltendmachung bestimmter Rechte, zu denen auch das Kündigungsrecht zähle.
Auch wenn die Beklagte nach Auffassung der Kammer ein grundsätzliches Interesse an einer Authentifizierung haben könne, wäre eine solche vorrangig durch eine Bestätigung über den von dem Verbraucher gewählten Kommunikationskanal zu erreichen. Es sei nicht ersichtlich, weshalb ein an den Verbraucher unter der von ihm hinterlegten E-Mail-Adresse gesendeter Bestätigungslink zur Identifizierung weniger geeignet wäre, als ein Telefonat. Auch während eines Telefonats sei es der Beklagten nicht möglich, sich umfassende Gewissheit über die wahre Person ihres Gesprächspartners zu verschaffen. Vielmehr sei davon auszugehen, dass es einem unbefugten Dritten, der sich Zugang zu der Kundennummer, der Vertragsnummer und dem E-Mail-Konto des wahren Vertragspartners verschafft hat, auch gelänge, in einem Telefonat über seine Identität zu täuschen.
Die Vorgehensweise der Beklagten sei auch geeignet, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. Die Beklagte stelle den Verbraucher nach Zugang seiner Kündigung vor die Wahl, seine Kündigung nicht telefonisch zu bestätigen, und in der Folge das Vertragsverhältnis fortzusetzen, oder innerhalb von 14 Tagen telefonisch Kontakt zu der Beklagten aufzunehmen. Es werde dadurch eine zusätzliche Entscheidung des Verbrauchers verlangt, ob er an der Ausübung seines Kündigungsrechts festhalten will. Ohne die irreführende Aufforderung der Beklagten würde der Verbraucher weder die eine noch die andere Entscheidung treffen.
Die erforderliche Wiederholungsgefahr ergebe sich daraus, dass die Beklagte eingeräumt habe, dass die beanstandete Vorgehensweise der Beklagten deren übliche Vorgehensweise sei.
Auszug aus dem Gesetz gegen den unlauteren Wettbewerb
§ 5 Irreführende Handlungen
(1) Unlauter handelt, wer eine irreführende geschäftliche Handlung vornimmt, die geeignet ist, den Verbraucher oder sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte.
(2) Eine geschäftliche Handlung ist irreführend, wenn sie unwahre Angaben enthält oder sonstige zur Täuschung geeignete Angaben über folgende Umstände enthält ...
§ 8 Beseitigung und Unterlassung
(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden ...
