Das LG Kiel hat vorliegend die Klage eines Abgeordneten gegen Meta / Facebook wegen der automatisierten Kontrolle von Facebook-Messenger-Chatverläufen auf illegale Inhalte als unzulässig abgewiesen (fehlende internationale Zuständigkeit und zu unbestimmter Antrag).
Aus den Entscheidungsgründen: 1. Das Landgericht Kiel ist international nicht zuständig.
Eine Zuständigkeit folgt bereits nicht aus Art. 7 Nr. 2 EuGVVO. Danach kann eine Person, die ihren Wohnsitz im Hoheitsgebiet eines Mitgliedstaates hat, in einem anderen Mitgliedstaat u.a. dann, wenn eine Handlung, die einer unerlaubten Handlung gleichgestellt ist vor dem Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist, verklagt werden. Diese Voraussetzungen sind vorliegend nicht erfüllt.
Zwar hat die Beklagte ihren Sitz im Hoheitsgebiet eines Mitgliedstaates, nämlich in Irland. Denn gemäß Art. 63 Abs. 1 Buchst. a), Abs. 2 EuGVVO haben Gesellschaften und juristische Personen für die Anwendung der Verordnung ihren Wohnsitz an dem Ort, an dem sich u.a. ihr satzungsmäßiger Sitz befindet.
Allerdings liegt der Ort des Eintritts des schädigenden Ereignisses nicht im Gerichtsbezirk des Landgerichts Kiel, sondern am Ort des Interessenmittelpunktes des Klägers in Brüssel. Der Begriff des Anknüpfungspunktes, der Ort, „an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ ist, wie der Begriff der unerlaubten Handlung, autonom auszulegen. International zuständig nach Art. 7 Nr. 2 EuGVVO ist das Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht. Das schädigende Ereignis i.S.d. Nr. 2 ist sowohl der Ort der Verwirklichung des Schadenserfolgs als auch der Ort des für den Schaden ursächlichen Geschehens (vgl. BeckOK ZPO/Thode, 51. Ed. 1.12.2023, Brüssel Ia-VO Art. 7 Rn. 81, 82 mwN). Der Erfolgsort liegt dort, wo das geschützte Rechtsgut tatsächlich oder voraussichtlich verletzt wird, d.h. an dem Ort, an dem „die schädigenden Auswirkungen des haftungsauslösenden Ereignisses zu Lasten des Betroffenen eintreten“ (vgl. EuGH EuZW 1995, 248 Rn. 28 – Shevill und andere/Presse Alliance). Der Ort der mittelbaren Folgeschäden ist für die Zuständigkeitsbegründung gem. Nr. 2 nicht relevant. Bei Internetdelikten, insbesondere bei Persönlichkeitsrechtsverletzungen im Internet ist Erfolgsort der Ort des Interessenmittelpunktes (vgl. BeckOK IT-Recht/Rühl, 12. Ed. 1.10.2023, VO (EU) Nr. 1215/2012 Art. 7 Rn. 15). Der Ort, an dem eine Person den Mittelpunkt ihrer Interessen hat, entspricht im Allgemeinen ihrem gewöhnlichen Aufenthalt. Jedoch kann eine Person den Mittelpunkt ihrer Interessen auch in einem anderen Mitgliedstaat haben, in dem sie sich nicht gewöhnlich aufhält, sofern andere Indizien wie die Ausübung einer beruflichen Tätigkeit einen besonders engen Bezug zu diesem Staat herstellen können (EuGH, NJW 2012, 137 Rn. 49).
Der Kläger hat schon nicht darzulegen vermocht, dass sein Interessenmittelpunkt im Gerichtsbezirk des Landgerichts Kiel liegt. Auch der nach dem Hinweis der Kammer im Termin zur mündlichen Verhandlung vom 01.02.2024 erfolgte weitere Vortrag des Klägers, er habe in Kiel eine Eigentumswohnung sowie familiäre Beziehungen, ist vorliegend nicht ausreichend, um den Interessenmittelpunkt, nach den dargestellten Maßstäben, des Klägers in Kiel zu begründen. Vielmehr bestimmt sich der Interessenmittelpunkt des Klägers aufgrund seiner Tätigkeit als Abgeordneter im Europäischen Parlament in Brüssel. Die berufliche Tätigkeit des Klägers als Abgeordneter bestimmt im Wesentlichen seinen derzeitigen Aufenthaltsort. So unterhält der Kläger ebenfalls eine Wohnung in Brüssel, um seiner parlamentarischen Arbeit nachgehen zu können. Dass der Kläger in Brüssel keine Familie hat, ist insofern für die Entscheidung über den tatsächlichen Interessenmittelpunkt unerheblich.
Selbst wenn man diesen Vortrag für ausreichend erachten würde, wäre der Kläger insofern beweisfällig geblieben. Denn er hat auch auf den Hinweis der Kammer im Termin zur mündlichen Verhandlung vom 01.02.2024 keinen Beweis angeboten.
Eine internationale Zuständigkeit des Landgerichts Kiel folgt auch nicht aus Art. 17 Abs. 1, 18 EuGVVO. Nach Art. 17 Abs. 1 lit. c) EUGVVO bestimmt sich die Zuständigkeit unbeschadet des Artikels 6 und des Artikels 7 Nr. 5 nach diesem Abschnitt (heißt hier: Art. 18 EuGVVO), wenn ein Vertrag oder Ansprüche aus einem Vertrag, den eine Person, der Verbraucher, zu einem Zweck geschlossen hat, der nicht der beruflichen oder gewerblichen Tätigkeit dieser Person zugerechnet werden kann, Gegenstand des Verfahren sind und wenn der andere Vertragspartner in dem Mitgliedstaat, in dessen Hoheitsgebiet der Verbraucher seinen Wohnsitz hat, eine berufliche oder gewerbliche Tätigkeit ausübt oder eine solche auf irgendeinem Wege auf diesen Mitgliedstaat oder auf mehrere Staaten ausrichtet und der Vertrag in den Bereich dieser Tätigkeit fällt. Diese Voraussetzungen liegen nicht vor.
Der Kläger hat nicht als Verbraucher den Vertrag mit der Beklagten geschlossen. Der Verbraucherbegriff ist eng auszulegen und anhand der Stellung dieser Person innerhalb des konkreten Vertrags in Verbindung mit dessen Natur und Zielsetzung und nicht anhand ihrer subjektiven Stellung zu bestimmen (EuGH, NJW 2018, 1003 Rn. 29).
Bei Verträgen, die sowohl privaten als auch beruflichen oder gewerblichen Zwecken dienen, liegt kein Verbrauchergeschäft vor, es sei denn, der beruflich-gewerbliche Zweck ist derart nebensächlich, dass er im Gesamtzusammenhang des betreffenden Geschäfts nur eine ganz untergeordnete Rolle spielt (EuGH NJW 05, 653; Mankowski IPRax 05, 503). Vorliegend hat der Kläger die streitgegenständliche F-Seite „X“ im Januar 2019 aus Anlass seiner Kandidatur zur Europawahl 2019 für Wahlkampfzwecke eingerichtet. Die Einrichtung der F-Seite und damit auch die Nutzung des F-Messengers diente hiernach ausschließlich beruflichen Zwecken des Klägers.
Entgegen der Auffassung des Klägers stellt seine Tätigkeit als Abgeordneter auch eine berufliche Tätigkeit dar. Von Art. 17 EuGVVO werden nach ständiger Rechtsprechung des EuGH nur Verträge erfasst, die eine Einzelperson ohne Bezug zu einer beruflichen oder gewerblichen Tätigkeit oder Zielsetzung und unabhängig von einer solchen allein zu dem Zweck schließt, ihren Eigenbedarf beim privaten Verbrauch zu decken (EuGH, EuZW 2022, 1061 Rn. 53, beck-online). Es ist entgegen der Auffassung des Klägers auch nicht danach zu unterscheiden, ob es sich bei der beruflichen oder gewerblichen Tätigkeit um eine selbständige Tätigkeit oder eine abhängige Beschäftigung handelt. Es ist lediglich zu ermitteln, ob der Vertrag ohne Bezug zu einer beruflichen oder gewerblichen Tätigkeit oder Zielsetzung und unabhängig von einer solchen geschlossen worden ist (EuGH, EuZW 2022, 1061 Rn. 54, beck-online). Hierbei sind insbesondere die mit dem Abschluss dieses Vertrags verfolgten gegenwärtigen oder zukünftigen Ziele zu berücksichtigen (EuGH, EuZW 2023, 420 Rn. 28).
Diesen Grundsätzen zufolge ist der streitgegenständliche Vertrag ausschließlich im Zusammenhang mit den beruflichen bzw. politischen Interessen des Klägers und seiner Tätigkeit als Abgeordneter abgeschlossen worden. Der Kläger nutzt die F-Seite unstreitig ausschließlich zu diesen beruflichen Zwecken. Auch die Einrichtung der F-Seite erfolgte einzig zu Wahlkampfzwecken im Hinblick auf die Europawahl im Mai 2019.
2. Darüber hinaus ist der Klageantrag nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 Alt. 2 ZPO. Unterlassungsanträge müssen so konkret gefasst sein, dass bei einer Rechtsverteidigung und der Vollstreckung klar ist, worauf sich das Verbot erstreckt (vgl. Greger in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 253 ZPO, Rn. 13b).
Dabei genügt die bloße Wiedergabe unbestimmter Tatbestandsmerkmale der verletzten Rechtsnorm in der Regel nicht (vgl. BGH, Urteil vom 4. Oktober 2007 – I ZR 143/04 –, Rn. 14, juris; BGH, Urteil vom 12. März 2020 – I ZR 126/18 –, BGHZ 225, 59-90, Rn. 39, juris).
Unter Berücksichtigung dieser Grundsätze genügt der vom Kläger gestellte Unterlassungsantrag dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 Alt. 2 ZPO nicht.
Der Unterlassungsantrag bezieht sich verallgemeinert darauf es zu unterlassen, „den Inhalt und die näheren Umstände von mittels „F-Messenger“ versandten Nachrichten von und an den Kläger zur Suche nach möglicherweise rechtswidrigen Inhalten oder Kontaktaufnahmen automatisiert zu analysieren, zu kontrollieren und an Dritte weiterzugeben“. Dieser Antrag gibt lediglich formelhaft die Voraussetzungen des § 3 Abs. 3 TTDSG in verallgemeinerter Form wieder, ohne dabei konkret auf das begehrte Verbot einzugehen. Wie der Kläger mit Schriftsatz vom 27.02.2024 (Bl. 325 f. d.A.) klargestellt hat, begehrt er das Unterlassen einer allgemeinen Kontrolle/Analyse und Weitergabe seiner Nachrichten und gerade nicht nur im Hinblick auf kinderpornografische Inhalte (sog. CSAM). Wie eine anderweitige Kontrolle der Beklagten indes aussehen soll, trägt der Kläger nicht vor.
Insoweit genügt der Antrag gerade nicht noch den Bestimmtheitserfordernissen des § 253 Abs. 2 Nr. 2 ZPO. Dies ist wäre dann der Fall, wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht in Frage gestellt ist, sondern sich der Streit der Parteien ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt (BGH, GRUR 2017, 537 Rn. 12 - Konsumgetreide, mwN; BGH, Urteil vom 12. März 2020 – I ZR 126/18 –, BGHZ 225, 59-90, Rn. 39). Diese Voraussetzungen sind vorliegend nicht erfüllt. Auch unter Heranziehung des Sachvortrags des Klägers ist nicht ersichtlich, welche Verhaltensweise der Kläger von der Beklagten tatsächlich begehrt.
3. Darüber hinaus fehlt es dem Kläger auch an einem erforderlichen Rechtsschutzbedürfnis. Mit dem Erfordernis des Rechtsschutzbedürfnisses als Einschränkung des durch Art. 20 Abs. 3 GG iVm Art. 2 Abs. 1 GG verfassungsrechtlich abgesicherten Justizgewährleistungsanspruchs (lediglich) soll verhindert werden, dass die Gerichte als Teil der Staatsgewalt unnütz oder gar unlauter bemüht werden oder ein gesetzlich vorgesehenes Verfahren zur Verfolgung zweckwidriger und insoweit nicht schutzwürdiger Ziele ausgenutzt wird. Es sollen solche Klagebegehren nicht in das Stadium der Begründetheitsprüfung gelangen, die – gemessen am Zweck des Zivilprozesses – ersichtlich eines staatlichen Rechtsschutzes durch eine materiell-rechtliche Prüfung nicht bedürfen (vgl. BGH, NJW-RR 2022, 660 Rn. 16).
Vorliegend fehlt es an diesen Voraussetzungen.
Zum einen kann der Kläger seine von ihm aufgeführten Interessen effektiver und schneller durchsetzen, indem er in den Chats manuell die „Ende-zu-Ende“- Verschlüsselung aktiviert (vgl. OLG Hamm, GRUR 2023, 1791 Rn. 217 f.). Eine Kontrolle der Nachrichten auf kinderpornografische Inhalte ist insofern nach dem übereinstimmenden Parteivortrag nicht mehr möglich.
Zum anderen geht es dem Kläger vorliegend nicht um den Schutz seiner Individualinteressen, sondern um die Durchsetzung einer politischen Kampagne. Dies kann indes nicht im Rahmen eines Zivilprozesses verfolgt werden.
Das OLG Karlsruhe hat entschieden, dass unzureichende Sicherheitsvorkehrungen im Zusammenhang mit dem Versand geschäftlicher E-Mails Schadensersatzansprüche auslösen können.
Leitsätze des Gerichts:
1. Mangels gesetzlicher Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich Art und Umfang der erforderlichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit.
2. Verstößt der Gläubiger einer Geldforderung gegen von ihm geschuldete Sicherheitsvorkehrungen im Zusammenhang mit dem Versand einer geschäftlichen E-Mail und hat dieser Verstoß zur Folge, dass der Schuldner der Forderung den geschuldeten Geldbetrag auf das Konto eines deliktisch handelnden Dritten überweist, führt dies nicht zum Erlöschen der Forderung gem. § 362 BGB, sondern begründet allenfalls einen Schadensersatzanspruch des Schuldners, den dieser gem. § 242 BGB der Forderung entgegenhalten kann (dolo-agit-Einwendung).
Aus den Entscheidungsgründen: Die Berufung der Klägerin ist begründet. Die Klägerin hat gegen die Beklagte gem. § 433 Abs. 2 BGB einen Anspruch auf Kaufpreiszahlung in Höhe von 13.500 EUR, gem. § 280 Abs. 2, § 286 BGB auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von 953,40 EUR und gem. §§ 286, 288 BGB auf Zahlung der zugesprochenen Verzugszinsen.
1. Zwischen den Parteien ist unstreitig, dass sie einen Kaufvertrag über einen gebrauchten Pkw zum Preis von 13.500 EUR abgeschlossen haben und dass eine Zahlung dieses Betrages auf das Konto eines Dritten erfolgt ist. Durch diese Zahlung ist indes der Anspruch der Klägerin auf Kaufpreiszahlung nicht gem. § 362 BGB erloschen.
a) Eine Leistung an die Klägerin gem. § 362 Abs. 1 BGB ist nicht erfolgt, da es sich bei dem Konto, auf das die Beklagte den Kaufpreis überwiesen hat, um das Konto eines Dritten und nicht der Klägerin handelt und daher der geschuldete Leistungserfolg nicht eingetreten ist. Die gegenteilige Auffassung des Landgerichts ist nicht frei von Rechtsfehlern. Die Voraussetzungen, unter denen eine Leistung an einen Dritten Erfüllungswirkung hat, sind in § 362 Abs. 2 BGB geregelt und liegen hier nicht vor (dazu nachstehend b]).
Eine Zurechnung „des unbefugten Zugriffs des Dritten in Bezug auf die unerlaubte Handlung“ an die Klägerin, wie vom Landgericht angenommen, erfolgt nicht. Soweit das Landgericht insoweit auf eine Entscheidung des I. Zivilsenats des Bundesgerichtshofs (Urteil vom 11. März 2009 - I ZR 114/06, BGHZ 180, 134 Rn. 16) Bezug nimmt, ging es dort um die Frage der deliktischen Haftung für eine Verletzung von Immaterialgüter- und Leistungsschutzrechten; eine bei der Verwahrung der Zugangsdaten für das ebay-Mitgliedskonto dort bejahte Pflichtverletzung wurde als zusätzlicher selbständiger Zurechnungsgrund neben die Grundsätze der Störerhaftung und die Verkehrspflichten im Bereich des Wettbewerbsrechts gestellt (BGH a.a.O.). Vorliegend steht aber nicht eine deliktische Verantwortlichkeit der Klägerin im Streit, sondern die vertragliche Frage der Erfüllungswirkung einer Zahlung an einen Dritten; die für den Bereich der deliktischen Haftung vom I. Zivilsenat entwickelten Grundsätze lassen sich nicht auf die Zurechnung von Erklärungen im Rahmen von vertraglichen Verhältnissen übertragen (vgl. BGH, Urteil vom 11. Mai 2011 - VIII ZR 289/09, BGHZ 189, 346 Rn. 19). Es ist daher ohne Bedeutung, dass im angefochtenen Urteil auch Feststellungen dazu fehlen, inwieweit die vom Landgericht bejahte Pflichtverletzung der Klägerin in Gestalt unterlassener Ende-zu-Ende-Verschlüsselung, Transportverschlüsselung und Verschlüsselung der als pdf-Datei versandten Rechnung für den Zugang der ge- oder verfälschten Rechnung bei der Beklagten kausal geworden sein soll.
Hätte ein etwaig schuldhaftes Verhalten der Klägerin dazu geführt, dass es dem Dritten ermöglicht wurde, die Rechnung mit veränderten Kontodaten der Beklagten wie geschehen zuzuleiten und die Beklagte so über die von der Klägerin verlangte Zahlung zu täuschen, könnte dies Schadensersatzansprüche der Beklagten wegen Verletzung einer vertraglichen Nebenpflicht gem. § 280 Abs. 1 BGB begründen (vgl. OLG München, Urteil vom 21. Dezember 2016 - 7 U 3206/16, juris Rn. 5, 7 ff.; so im Übrigen auch das von der Beklagten im Rechtsstreit in Bezug genommene Urteil des LG Lüneburg [n.v.] vom 16. Februar 2017 - 7 O 71/16, Seite 4 f.; zum Schadensersatzanspruch siehe nachstehend 2.), führte aber nicht dazu, dass eine nicht vorliegende Leistung an die Klägerin zu fingieren wäre.
b) Die Leistung an einen Dritten hat nur unter den Voraussetzungen des § 362 Abs. 2 BGB befreiende Wirkung, die im Streitfall nicht erfüllt sind.
Unter anderem hat die Leistung an einen Dritten dann befreiende Wirkung, wenn dieser vom Gläubiger rechtsgeschäftlich ermächtigt ist, die Leistung im eigenen Namen in Empfang zu nehmen. Statt einen Dritten zum Empfang der Leistung zu ermächtigen (§ 362 Abs. 2, § 185 BGB), kann der Gläubiger auch dem Schuldner nach § 362 Abs. 2, § 185 BGB die Ermächtigung erteilen, die Leistung an einen Dritten zu erbringen.Die Ermächtigung braucht nicht ausdrücklich erteilt zu werden; schlüssiges Verhalten kann selbst dann genügen, wenn der Ermächtigende kein Erklärungsbewusstsein hat, aber der redliche Empfänger hiervon ausgehen darf. Die Leistung an einen nichtberechtigten Dritten erlangt - von gesetzlich besonders geregelten Fällen (vgl. etwa §§ 169, 370, 407, 408 BGB) abgesehen - nur dann befreiende Wirkung, wenn der Gläubiger sie nachträglich genehmigt oder wenn einer der beiden anderen Fälle des § 185 Abs. 2 BGB eintritt. Dass der Schuldner den Nichtberechtigten gutgläubig für empfangsberechtigt hält, führt also - sofern keine gesetzlichen Sonderregelungen bestehen - allein nicht zum Freiwerden des Schuldners. Vielmehr tritt Erfüllungswirkung in einem solchen Fall erst dann ein, wenn der nicht empfangsbefugte Dritte die Leistung entsprechend den Weisungen des Schuldners an den Gläubiger weiterleitet oder der Gläubiger die Leistungserbringung an den Dritten ausdrücklich oder schlüssig genehmigt (BGH, Urteil vom 14. Februar 2023 - XI ZR 537/21, juris Rn. 29).
Diese Voraussetzungen liegen hier nicht vor. Zwischen den Parteien ist unstreitig, dass die um 11:46 Uhr von der Beklagten empfangene zweite E-Mail nebst Anlage tatsächlich nicht von der Klägerin stammt, so dass durch die Angabe des Namens P. D. nebst Bankverbindung bei der S-Bank in der angehängten Rechnung keine Ermächtigung im vorgenannten Sinne erfolgt ist. Eine nachträgliche Genehmigung durch die Klägerin ist ebensowenig erfolgt wie eine Weiterleitung der 13.500 EUR durch den Dritten an die Klägerin.
c) Schließlich ergibt sich auch nicht aus einer entsprechenden Anwendung des § 370 BGB, dass die tatsächlich nicht von der Klägerin stammende zweite E-Mail, in deren Anhang der Inhaber des dort genannten Kontos bei der S-Bank - möglicherweise - als zum Leistungsempfang ermächtigt bezeichnet wird, als tatsächlich ermächtigt gilt mit der Folge, dass die Leistung an diesen Dritten gem. § 362 Abs. 2 BGB zum Erlöschen der Kaufpreisforderung geführt hätte. Das Landgericht missversteht die von ihm nicht wortgetreu zitierte Kommentarstelle (Dennhardt in BeckOK BGB, 66. Edition, § 370 Rn. 1) dahin, dass die Regelung in entsprechender Anwendung eine allgemeine Haftung für die Enttäuschung berechtigten Vertrauens begründe. Tatsächlich ist an der angegebenen Stelle lediglich formuliert, die Vorschrift werde heute allgemein als Ausprägung des Vertrauensschutzes im Rechtsverkehr verstanden.
Bei der streitgegenständlichen Rechnung handelt es sich bereits nicht um eine Quittung im Sinne von § 368 BGB. Selbst wenn man mit dem Landgericht - was sonst, soweit ersichtlich, nirgends vertreten wird - eine entsprechende Anwendung des § 370 BGB auf Rechnungen bejahen wollte, lägen die übrigen Voraussetzungen der Vorschrift nicht vor. Hierzu gehört, dass eine echte Quittung - bzw. Rechnung - überbracht werden muss (vgl. BGH, Urteil vom 5. März 1968 - 1 StR 17/68, juris Rn. 3; BAG, Urteil vom 11. November 1960 - 4 AZR 361/58, juris Rn. 22). Dies war vorliegend nicht der Fall, nachdem die als Anhang zur zweiten E-Mail übersandte Rechnung unstreitig gerade nicht von der Klägerin, sondern von einem Dritten erstellt oder die von der Klägerin zuvor erstellte Rechnung von einem Dritten verfälscht worden war.
2. Die Beklagte hat gegen die Klägerin keinen Schadensersatzanspruch gem. § 280 Abs. 1, § 241 Abs. 2 BGB in einer der auf das Drittkonto getätigten Überweisung von 13.500 EUR entsprechenden Höhe, den sie der Klageforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten könnte (vgl. zu letzterem OLG München, Urteil vom 21. Dezember 2016 - 7 U 3206/16, juris Rn. 5).
a) Es liegt keine Nebenpflichtverletzung der Klägerin dergestalt vor, dass sie schuldhaft eine Ursache dafür gesetzt hätte, dass der Beklagten im Nachgang zur Übersendung der vorgenannten E-Mail um 10:46 Uhr die zweite E-Mail mit der angehängten ge- oder verfälschten Rechnung zuging, die neben der nach wie vor richtigen Angabe der Bankverbindung der Klägerin im Kopfbereich im Fußzeilenbereich auch die Bankverbindung des P. D. bei der S-Bank auswies. Für den dadurch verursachten Schaden, der darin besteht, dass die Beklagte durch Überweisung auf ein nicht der Klägerin zugeordnetes Konto die Forderung der Klägerin nicht zum Erlöschen bringen konnte (s.o. 1.), schuldet die Klägerin der Beklagten deshalb keinen Schadensersatz.
aa) Die Darlegungs- und ggf. Beweislast für das Vorliegen einer Pflichtverletzung im Sinne des § 280 Abs. 1 BGB sowie für die Kausalität dieser Pflichtverletzung für den eingetretenen Schaden liegt bei der Beklagten als derjenigen, die den Anspruch geltend macht.
bb) Das Vertragsverhältnis der Parteien kam ohne schriftliche Willenserklärung in einem Telefonat der beiden Geschäftsführer zustande. Dementsprechend wurde der Vertrag auch ohne ein Schreiben der Klägerin auf Geschäftspapier mit Angabe der Bankverbindung abgeschlossen. Die Parteien haben nachträglich vereinbart, dass die Zahlung durch Überweisung auf ein von der Klägerin mitzuteilendes Bankkonto erfolgen sollte (E-Mail der Beklagten vom 8. Oktober 2021, 10:15 Uhr, Anlage K 2, und der Klägerin vom 8. Oktober 2021, 10:44 Uhr, Anlage K 3). Die Klägerin traf dabei gem. § 241 Abs. 2 BGB die Nebenpflicht, sich bei der Abwicklung des Schuldverhältnisses so zu verhalten, dass Person, Eigentum und sonstige Rechtsgüter - auch das Vermögen - des anderen Teils nicht verletzt werden (vgl. BGH, Urteil vom 10. März 1983 - III ZR 169/81, juris Rn. 12).
cc) Die Beklagte behauptet, es sei zum Versand der zweiten E-Mail an sie durch einen Dritten dadurch gekommen, dass auf das E-Mail-Konto der Klägerin eine Hacking-Attacke ausgeführt worden sei, die das Ausspionieren der Geschäftsbeziehung der Parteien und der Rechnungs-E-Mail ermöglicht habe. Dies sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche; konkret nennt die Beklagte insoweit die nicht erfolgte Verwendung des „sender policy framework (SPF)“ bei der Kommunikation sowie eine unterlassene Verschlüsselung der pdf-Datei. Nach den Ausführungen im angefochtenen Urteil, die die Beklagte sich im Berufungsverfahren zu Eigen gemacht hat, sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Die Beklagte macht sinngemäß geltend, die Verwendung der genannten Verfahren sei im Geschäftsverkehr zwischen Unternehmen wie den Parteien des Rechtsstreits üblich und zu erwarten.
dd) Eine Pflichtverletzung der Klägerin liegt insoweit schon deshalb nicht vor, weil sie zur Verwendung dieser Verfahren und Maßnahmen nicht verpflichtet war.
Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht; insbesondere ist der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art. 4 Nr. 1 DS-GVO). Auch eine ausdrückliche Vereinbarung zwischen den Parteien ist insoweit nicht erfolgt; insbesondere hat die Beklagte, von der die Initiative dafür ausging, dass die Rechnung überhaupt per E-Mail verschickt wurde, anlässlich der Äußerung ihrer entsprechenden Bitte in der E-Mail ihres Geschäftsführers vom 8. Oktober 2021, 10:15 Uhr (Anlage K 2) keinerlei Sicherheitsvorkehrungen, die sie für erforderlich halte, ausdrücklich erwähnt. Welches Maß an Sicherheitsvorkehrungen von der Klägerin zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (vgl. Riem/Meier, MMR 2020, 571, 573).
Nicht maßgeblich für die berechtigten Sicherheitserwartungen des Verkehrs ist dabei die vom Landgericht herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“. Ausweislich deren Zielstellung dient sie zur Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DS-GVO. Letztere ist aber, wie soeben ausgeführt, im Verhältnis der Parteien zueinander überhaupt nicht anwendbar. Ohnehin wird hierin die Verwendung einer Ende-zu-Ende-Verschlüsselung anders als vom Landgericht dargestellt nicht als stets erforderlich angesehen, sondern sollte „in der Abwägung der notwendigen Maßnahmen berücksichtigt“ werden und wird nur für den Fall, dass „der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt“, als „Muss“ bezeichnet.
(1) Sender Policy Framework (SPF)
Die Beklagte hält die Klägerin für verpflichtet, das Verfahren Sender Policy Framework (SPF) anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll, hat die Beklagte dabei schon nicht gemacht.
Laut öffentlich zugänglichen Quellen - die Informationen des Bundesamts für Sicherheit in der Informationstechnik (im Folgenden: BSI), abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_server_studie_pdf.pdf?__blob=publicationFile&v=1 - handelt es sich beim Verfahren Sender Policy Framework um ein Verfahren, mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu verschicken. Endnutzer wie die Klägerin, die selbst keinen E-Mail-Server betreiben, haben mithin auf die Verwendung des Verfahrens überhaupt keinen Einfluss. Eine berechtigte Sicherheitserwartung des Verkehrs an ein Unternehmen wie die Klägerin, das seinen E-Mail-Verkehr über einen Diensteanbieter wie hier W. abwickelt, auf Anwendung des SPF-Verfahrens kann schon deshalb nicht bestehen.
(2) Verschlüsselung der pdf-Datei
Dass eine Verschlüsselung von pdf-Dateien im geschäftlichen Verkehr außerhalb des Austauschs besonders sensibler Dateien, die beispielsweise Betriebs- oder Geschäftsgeheimnisse enthalten, üblich wäre, behauptet die Beklagte schon selbst nicht. Auf dieser Grundlage kann nicht angenommen werden, dass insoweit eine berechtigte Sicherheitserwartung des Verkehrs besteht. Hinzu kommt, dass im Fall der Verschlüsselung der Datei Klägerin und Beklagte ein Passwort hierzu hätten austauschen müssen, was nicht geschehen ist. Die Beklagte hatte also bei Erhalt der ge- oder verfälschten Rechnung Kenntnis davon, dass die Datei nicht durch Verschlüsselung gesichert war. Bereits dieser Umstand, dass erkennbar eine derartige Sicherheitsmaßnahme nicht getroffen war, steht der Annahme einer insoweit vorliegenden Pflichtverletzung der Klägerin entgegen.
(3) Ende-zu-Ende-Verschlüsselung
Auch zu diesem Verfahren hat die Beklagte nicht vorgetragen, woraus folgen soll, dass es in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll. Das BSI empfiehlt zwar für E-Mails die Ende-zu-Ende-Verschlüsselung, äußert aber gleichzeitig die Einschätzung, dass diese bisher nur sehr selten eingesetzt werde (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dies steht einer entsprechenden allgemeinen Sicherheitserwartung des Verkehrs entgegen und bei den vorliegend versendeten Daten handelt es sich auch nicht um solche, bei deren Versand - wie etwa im Fall von Geschäfts- und Betriebsgeheimnissen - ohne gesonderte Absprache erhöhte Anforderungen zu stellen wären. Hinzu kommt, dass die Verwendung der Ende-zu-Ende-Verschlüsselung nicht vom Versender einer E-Mail allein durchgeführt werden kann. Die Beklagte hat schon nicht vorgetragen, dass ihr eigenes System die Voraussetzungen für den Empfang von Ende-zu-Ende-verschlüsselten Nachrichten erfüllt hätte.
(4) Transportverschlüsselung
Die Beklagte hält die Klägerin schließlich für verpflichtet, das Verfahren der Transportverschlüsselung anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll, hat die Beklagte allerdings auch insoweit nicht gemacht.
Ausweislich der öffentlich zugänglichen Informationen des BSI handelt es sich bei der Transportverschlüsselung um einen Prozess, bei dem der Inhalt der Übermittlung zwischen Absender und E-Mail-Anbieter, zwischen zwei E-Mail-Anbietern und zwischen E-Mail-Anbieter und Empfänger verschlüsselt wird, wobei dieser automatisiert abläuft und in der Regel keine Aktion des Absenders oder Empfängers erfordert (https://www.bsi.bund.de/SharedDocs/Glossareintraege/DE/T/Transportverschluesselung.html). Die Klägerin hat ihren im erstinstanzlichen Verfahren gehaltenen Vortrag, wonach W. alle Vorkehrungen zum Schutz seiner Kunden, einschließlich der Klägerin, trifft und getroffen hat, im Berufungsverfahren unter Angabe einer URL von W. dahin vertieft, dass bei der Übertragung der E-Mails das sogenannte SSL/TLS-Protokoll zum Einsatz komme. Dabei handele es sich um einen Verschlüsselungsstandard, der die E-Mails auf dem Transportweg sichere. Hierbei handelt es sich um Transportverschlüsselungen der vorstehend beschriebenen Art. Den Angaben von W. ist weiter zu entnehmen, dass die Transportverschlüsselung nur im Verbund der dort genannten Anbieter zur Anwendung kommt, also bei E-Mails, die zwischen E-Mail-Konten dieser Anbieter versendet werden. Die Beklagte, die soweit ersichtlich kein Konto bei einem dieser Anbieter unterhält, sondern einen eigenen Server betreiben lässt, hat weder vorgetragen noch ist sonst ersichtlich, dass eine Transportverschlüsselung an Umständen gescheitert wäre, die in der Sphäre der Klägerin liegen.
Der Berücksichtigung des Vortrags der Klägerin zum Vorhandensein einer Transportverschlüsselung beim Anbieter W. steht zwar zunächst die Tatbestandswirkung des angefochtenen Urteils entgegen (§ 314 ZPO), in dem festgestellt ist, die Klägerin habe keine Transportverschlüsselung verwendet. Der neue Vortrag der Klägerin im Berufungsverfahren ist aber gem. § 531 Abs. 2 Nr. 2 ZPO zuzulassen, weil er infolge eines Verfahrensmangels in Gestalt eines Gehörsverstoßes des Landgerichts im ersten Rechtszug nicht geltend gemacht wurde. Das Landgericht hätte die Parteien darauf hinweisen müssen, dass es beabsichtige, die „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“ zur Bestimmung der die Klägerin beim E-Mail-Versand treffenden Pflichten heranzuziehen und ihnen insoweit Gelegenheit zur Stellungnahme geben müssen. Indem es dies unterlassen hat, hat es den Anspruch der Klägerin auf rechtliches Gehör aus Art. 103 Abs. 1 GG verletzt.
Soweit die Beklagte meint, die Klägerin habe zur Verwendung einer Transportverschlüsselung schon nicht vorgetragen, und derartigen Vortrag „höchstfürsorglich“ mit Nichtwissen bestreitet, ist Folgendes zu berücksichtigen: Soweit eine Partei ihr günstige Tatsachen darzulegen und notfalls zu beweisen hat, nützt ihr das Bestreiten nichts, sondern sie hat die Tatsachen unabhängig davon vorzutragen, ob sie eigene Handlungen betreffen oder Gegenstand ihrer eigenen Wahrnehmung waren (BGH, Urteil vom 8. Juni 1988 - IVb ZR 51/87, juris Rn. 25). Hier trägt die Beklagte, wie ausgeführt, für das Vorliegen einer Pflichtverletzung der Klägerin die Beweislast und damit auch die Darlegungslast. Der zugrundeliegende Vortrag ist daher prozessuales Behaupten, für das § 138 Abs. 4 ZPO nicht gilt (BGH a.a.O.).
(5) Auch andere, von der Beklagten nicht ausdrücklich geltend gemachte Pflichtverletzungen der Klägerin sind nicht ersichtlich. Im unstreitigen Tatbestand des angefochtenen Urteils sind Feststellungen zur Art des von der Klägerin verwendeten Passwortes fürs E-Mail-Konto, dem Personenkreis, der davon Kenntnis hat und deren regelmäßiger Änderung sowie der Nutzung einer aktuellen Virensoftware und Firewall getroffen, die von der Klägerin im Berufungsverfahren - von der Beklagten unbestritten - vertieft wurden und die der Annahme einer Pflichtverletzung im Bereich des Passwortschutzes sowie des allgemeinen Schutzes der von der Klägerin verwendeten Computer entgegenstehen.
(6) Auf welcher Grundlage genau sich das Landgericht Lüneburg (Urteil vom 16. Februar 2017 - 7 O 71/16) - auf dessen unveröffentlichte Entscheidung sich die Beklagte beruft - die Überzeugung gebildet hat, dass die dortige Gläubigerin der Schuldnerin durch nicht hinreichende Sicherung ihrer EDV einen Schaden zugefügt hat, ist dem übersandten Urteilsumdruck nicht zu entnehmen. Der Senat vermag sich im vorliegenden Fall aus dem vorgetragenen Tatsachenmaterial bereits nicht die von vernünftigen Zweifeln freie Überzeugung davon zu verschaffen, dass der zugrunde liegende Angriff in der von der Klägerin beherrschbaren Sphäre geschehen ist. Soweit dem Urteil des Landgerichts Lüneburg im Übrigen der Rechtssatz entnommen werden könnte, dass der Verwender einer E-Mail-Adresse jeden Missbrauch durch Dritte vollständig ausschließen müsse, ist dies nach der Überzeugung des Senats schon wegen der zahlreichen und sich ständig weiter entwickelnden Angriffsmöglichkeiten zu weitgehend.
b) Selbst wenn man in einem der vorstehend behandelten Umstände eine Pflichtverletzung der Klägerin sehen wollte, fehlte es am Nachweis der Kausalität dieser Pflichtverletzung für den eingetretenen Schaden. Nach dem übereinstimmenden Vortrag der Parteien ist nicht geklärt, wie es tatsächlich dazu kam, dass die zweite E-Mail mit der ge- oder verfälschten Rechnung die Beklagte erreichte. Ein erfolgreicher Angriff auf die Sphäre der Klägerin liegt im Hinblick darauf zwar nahe, dass zwischen den Parteien unstreitig ist, dass auch andere Kunden der Klägerin entsprechend veränderte Rechnungen empfingen. Wodurch dieser Angriff ermöglicht worden sein könnte, ist aber im Hinblick auf die unbekannte Vorgehensweise des oder der unbekannten Dritten gänzlich unklar. Entgegen der Auffassung der Beklagten spricht für eine hierfür kausale Pflichtverletzung der Klägerin auch kein Beweis ersten Anscheins.
c) Schließlich wäre ein unterstellter Schadensersatzanspruch der Beklagten nach § 254 BGB zu kürzen, weil ein erhebliches Mitverschulden zu berücksichtigen wäre. Die zweite E-Mail vom 8. Oktober 2021 wie auch die als Anhang hierzu übersandte Rechnung selbst enthalten auffällige Unstimmigkeiten, die der Beklagten Anlass dazu geben mussten, bei der Klägerin nachzufragen, auf welches Bankkonto der Kaufpreis tatsächlich gezahlt werden sollte. In der E-Mail selbst wird die förmliche Anrede „Sie“ verwendet, obwohl die beiden Geschäftsführer sich duzen und dies auch in den kurz zuvor gewechselten E-Mails getan hatten. Hinzu kommen sprachliche Fehler („ausgestelltes“ Bankkonto), die sich bis zu einem inhaltlich vollkommen unverständlichen Satz hin steigern („Bitte senden Sie uns nach der Herstellung der Decke eine Kopie nach der Banküberweisung“). Soweit der Geschäftsführer der Beklagten im Rahmen seiner informatorischen Anhörung angegeben hat, die Nachricht nicht vollständig gelesen und diesen Satz nicht wahrgenommen zu haben, wäre ein unvollständiges Lesen einer Nachricht, in der es immerhin um die Änderung der Kontoverbindung geht, auf die ein fünfstellige Kaufpreis gezahlt werden soll, auch für sich betrachtet unsorgfältiges Handeln. Dazu kommen die widersprüchliche Gestaltung der mit der zweiten E-Mail übersandten Rechnung selbst, in der zwei Bankverbindungen angegeben sind, sowie der Umstand, dass bei der von der Beklagten hernach verwendeten Bankverbindung eine natürliche Person als Kontoinhaber angegeben war, die in keinerlei erkennbarem Zusammenhang mit dem Geschäftsbetrieb der Klägerin stand.
3. Die von der Beklagten gegen den Anspruch der Klägerin auf Kaufpreiszahlung hilfsweise erklärte Aufrechnung mit einem Zahlungsanspruch in Höhe von 13.500 EUR gegen den Inhaber des Bankkontos, auf das sie die 13.500 EUR überwiesen hat, geht schon deshalb ins Leere, weil es sich hierbei nicht um eine Forderung der Beklagten gegen die Klägerin handelt. Dies ist gem. § 387 BGB aber Voraussetzung für eine Aufrechnung.
4. Die von der Beklagten gegen den Anspruch der Klägerin auf Kaufpreiszahlung weiter hilfsweise erklärte Aufrechnung mit einem eigenen Schadensersatzanspruch in Höhe von 13.500 EUR wegen der Verletzung von IT-Sicherheitspflichten verhilft ihrer Rechtsverteidigung ebenfalls nicht zum Erfolg. Ein entsprechender Schadensersatzanspruch der Klägerin besteht nicht, auf die vorstehenden Ausführungen unter 2. wird zur Vermeidung von Wiederholungen Bezug genommen.
5. Die Klägerin hat gem. § 280 Abs. 2, § 286 BGB einen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von 953,40 EUR entsprechend einer 1,3-Gebühr gem. Nr. 2300 VV RVG aus einem Gegenstandswert von 13.500 EUR zuzüglich Auslagenpauschale. Sie hat - von der Beklagten unbestritten - vorgetragen, dass deren Geschäftsführer am 19. Oktober 2021 die Zahlung des Kaufpreises abgelehnt hat, so dass die Beklagte gem. § 286 Abs. 2 Nr. 3 BGB in Verzug geraten ist.
Leitsätze des BGH:
a) Der Bundesrechtsanwaltskammer steht ein Spielraum bei der technischen Ausgestaltung der Nachrichtenübermittlung mittels des besonderen elektronischen Anwaltspostfachs zu, sofern das gewählte System eine im Rechtssinne sichere Kommunikation gewährleistet.
b) Ein Anspruch von Rechtsanwälten gegen die Bundesrechtsanwaltskammer darauf, dass diese das besondere elektronische Anwaltspostfach mit einer Ende-zu-Ende-Verschlüsselung im Sinne der Europäischen Patentschrift EP 0 877 507 B1 versieht und betreibt, besteht nicht. Weder die gesetzlichen Vorgaben für die Errichtung und den Betrieb des besonderen elektronischen Anwaltspostfachs noch die Verfassung gebieten eine derartige Verschlüsselung.
c) Zur Sicherheit der Verschlüsselungstechnik des besonderen elektronischen Anwaltspostfachs.
BGH, Urteil vom 22. März 2021 - AnwZ (Brfg) 2/20 - Anwaltsgerichtshof Berlin
Der BGH hat entschieden, dass Rechtsanwälte keinen Anspruch auf Ende-zu-Ende-Verschlüsselung des beA haben. Die derzeitige Verschlüsselung ist nach Ansicht des BGH sicher genug.
Die Pressemitteilung des BGH:
Besonderes elektronisches Anwaltspostfach – kein Anspruch auf Verwendung einer anderen
Verschlüsselungstechnik
Der Senat für Anwaltssachen des Bundesgerichtshofs hat heute entschieden, dass ein Anspruch von Rechtsanwälten auf Verwendung einer bestimmten Verschlüsselungstechnik bei der Übermittlung von Nachrichten mittels des besonderen elektronischen Anwaltspostfachs nicht besteht.
Sachverhalt:
Die Kläger sind zugelassene Rechtsanwälte. Die beklagte Bundesrechtsanwaltskammer richtete auf Grundlage von § 31a Abs. 1 BRAO für sie ein besonderes elektronisches Anwaltspostfach ein. Nach § 31a Abs. 6 BRAO sind die Kläger verpflichtet, die für dessen Nutzung erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und den Zugang von Mitteilungen über dieses Postfach zur Kenntnis zu nehmen.
Die Kläger wenden sich gegen die technische Ausgestaltung des besonderen elektronischen Anwaltspostfachs durch die Beklagte, weil dieses nicht über eine Ende-zu-Ende-Verschlüsselung verfüge, bei der sich die privaten Schlüssel ausschließlich in der Verfügungsgewalt der Postfachinhaber befänden. Sie verlangen mit ihrer Klage, dass die Bundesrechtsanwaltskammer das besondere elektronische Anwaltspostfach für sie mit einer derartigen Verschlüsselung betreibt und das derzeitige Verschlüsselungssystem nicht weiter verwendet.
Bisheriger Prozessverlauf:
Die Klage hat in der Vorinstanz keinen Erfolg gehabt.
Nach Auffassung des Anwaltsgerichtshofs besteht kein Anspruch darauf, dass das besondere elektronische Anwaltspostfach ausschließlich mit einer Ende-zu-Ende-Verschlüsselung in dem von den Klägern geforderten Sinne betrieben wird. Ein derartiger Anspruch ergebe sich weder aus den einfachen Gesetzen noch aus der Verfassung. Die gewählte Architektur des besonderen elektronischen Anwaltspostfachs sei sicher im Rechtssinne.
Entscheidung des Bundesgerichtshofs
Der Senat für Anwaltssachen hat die Berufung der Kläger zurückgewiesen.
Den Klägern steht kein Anspruch darauf zu, dass bei der Übermittlung von Nachrichten mit Hilfe des besonderen elektronischen Anwaltspostfachs das derzeit verwendete Verschlüsselungsverfahren durch das von ihnen bevorzugte Verschlüsselungssystem ersetzt wird.
Die über das besondere elektronische Anwaltspostfach übermittelten Nachrichten sind während der Übertragung durchgehend mit demselben – seinerseits verschlüsselten – Nachrichtenschlüssel verschlüsselt und liegen grundsätzlich nur bei dem Absender und dem berechtigten Empfänger unverschlüsselt vor. Die Voraussetzungen einer Ende-zu-Ende-Verschlüsselung im Sinne der europäischen Patentschrift EP 0 877 507 B1 erfüllt das Verschlüsselungssystem indes deshalb nicht, weil die die Nachricht verschlüsselnden Nachrichtenschlüssel nicht direkt an den Empfänger übermittelt und nur dort entschlüsselt werden. Sie werden vielmehr in einem sogenannten Hardware Security Module auf die Schlüssel der berechtigten Leser der Nachricht umgeschlüsselt.
Den Klägern steht jedoch kein Anspruch darauf zu, dass die von der Beklagten gewählte Verschlüsselungstechnik unterlassen und eine Ende-zu-Ende-Verschlüsselung im Sinne der europäischen Patentschrift verwendet wird. Die einfachgesetzlichen Vorgaben, insbesondere § 19 Abs. 1 und § 20 Abs. 1 RAVPV, lassen nicht ausschließlich eine Übermittlung mittels der von den Klägern geforderten Verschlüsselungstechnik zu. Vielmehr steht der Bundesrechtsanwaltskammer hinsichtlich der technischen Umsetzung ein gewisser Spielraum zu, sofern eine im Rechtssinne sichere Kommunikation gewährleistet ist. Ein Anspruch der Kläger auf die von ihnen geforderte Verschlüsselungstechnik könnte deshalb nur bestehen, wenn eine derartige Sicherheit allein durch das von ihnen geforderte Verschlüsselungssystem bewirkt werden könnte. Dies hat das Verfahren jedoch nicht ergeben. Vielmehr ist davon auszugehen, dass auch die gewählte Methode grundsätzlich eine hinreichende Sicherheit der Kommunikation gewährleisten kann. Nicht behebbare Sicherheitsrisiken hat das Verfahren nicht aufgezeigt. Etwaige behebbare Sicherheitsrisiken stünden dabei der grundsätzlichen Eignung des gewählten Verschlüsselungsverfahrens nicht entgegen und begründeten keinen Anspruch der Kläger auf Verwendung der von ihnen bevorzugten Verschlüsselungsmethode.
Die Verwendung der von den Klägern geforderten Verschlüsselungstechnik ist auch nicht aus verfassungsrechtlichen Gründen geboten. Es verstößt nicht gegen die Grundrechte der Kläger, insbesondere nicht gegen die Berufsausübungsfreiheit nach Art. 12 Abs. 1 GG, dass die Beklagte bei dem Betrieb des besonderen elektronischen Anwaltspostfachs nicht eine Ende-zu-Ende-Verschlüsselung in dem von den Klägern geforderten Sinne verwendet. Die Wahl der Verschlüsselungsmethode beeinträchtigt weder die Vertraulichkeit der Kommunikation noch das anwaltliche Vertrauensverhältnis zum Mandanten, wenn die gewählte Methode als sicher im Rechtssinne anzusehen ist. Ein auf die Verfassung gestützter Anspruch der Kläger auf Verwendung der von ihnen geforderten Verschlüsselungsmethode scheidet somit ebenfalls deshalb aus, weil das Verfahren nicht ergeben hat, dass diese Sicherheit nur hierdurch gewährleistet werden könnte.
Vorinstanz
Anwaltsgerichtshof Berlin – Urteil vom 14. November 2019 – I AGH 6/18
(1) Die Bundesrechtsanwaltskammer richtet für jedes im Gesamtverzeichnis eingetragene Mitglied einer Rechtsanwaltskammer ein besonderes elektronisches Anwaltspostfach empfangsbereit ein. Nach Einrichtung eines besonderen elektronischen Anwaltspostfachs übermittelt die Bundesrechtsanwaltskammer dessen Bezeichnung an die zuständige Rechtsanwaltskammer zur Speicherung in deren Verzeichnis.
[…]
(3) Die Bundesrechtsanwaltskammer hat sicherzustellen, dass der Zugang zu dem besonderen elektronischen Anwaltspostfach nur durch ein sicheres Verfahren mit zwei voneinander unabhängigen Sicherungsmitteln möglich ist. Sie hat auch Vertretern, Abwicklern und Zustellungsbevollmächtigten die Nutzung des besonderen elektronischen Anwaltspostfachs zu ermöglichen; Absatz 2 gilt sinngemäß. Die Bundesrechtsanwaltskammer kann unterschiedlich ausgestaltete Zugangsberechtigungen für Kammermitglieder und andere Personen vorsehen. Sie ist berechtigt, die in dem besonderen elektronischen Anwaltspostfach gespeicherten Nachrichten nach angemessener Zeit zu löschen. Das besondere elektronische Anwaltspostfach soll barrierefrei ausgestaltet sein.
[…]
(6) Der Inhaber des besonderen elektronischen Anwaltspostfachs ist verpflichtet, die für dessen Nutzung erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und den Zugang von Mitteilungen über das besondere elektronische Anwaltspostfach zur Kenntnis zu nehmen.
(1) Das besondere elektronische Anwaltspostfach dient der elektronischen Kommunikation der in das Gesamtverzeichnis eingetragenen Mitglieder der Rechtsanwaltskammern, der Rechtsanwaltskammern und der Bundesrechtsanwaltskammer mit den Gerichten auf einem sicheren Übermittlungsweg. Ebenso dient es der elektronischen Kommunikation der Mitglieder der Rechtsanwaltskammern, der Rechtsanwaltskammern und der Bundesrechtsanwaltskammer untereinander.
(2) Das besondere elektronische Anwaltspostfach kann auch der elektronischen Kommunikation mit anderen Personen oder Stellen dienen.
[…]
§ 20 RAVPV Führung der besonderen elektronischen Postfächer
(1) Die Bundesrechtsanwaltskammer hat die besonderen elektronischen Anwaltspostfächer auf der Grundlage des Protokollstandards "Online Services Computer Interface – OSCI" oder einem künftig nach dem Stand der Technik an dessen Stelle tretenden Standard zu betreiben. Die Bundesrechtsanwaltskammer hat fortlaufend zu gewährleisten, dass die in § 19 Absatz 1 genannten Personen und Stellen miteinander sicher elektronisch kommunizieren können.
(2) Der Zugang zum besonderen elektronischen Anwaltspostfach soll barrierefrei im Sinne der Barrierefreie-Informationstechnik-Verordnung sein.
(3) Die Bundesrechtsanwaltskammer hat zu gewährleisten, dass bei einem Versand nicht-qualifiziert signierter elektronischer Dokumente durch einen Rechtsanwalt auf einem sicheren Übermittlungsweg für den Empfänger feststellbar ist, dass die Nachricht von dem Rechtsanwalt selbst versandt wurde.
In Ausgabe 1/2021 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Was 2021 Recht wird". Der Beitrag gibt ein Überblick über die kommenden Gesetzesänderungen und Verordnungen für den digitalen Handel im Jahr 2021.
Der Anwaltsgerichtshof Berlin hat entschieden, dass Rechtsanwälte keinen Anspruch darauf haben, dass das besondere elektronische Anwaltspostfach (beA) mit einer Ende-zu-Ende-Verschlüsselung ausgestattet wird. Nach Ansicht des AGH Berlin ist die derzeitige Ausgestaltung des beA ausreichend sicher.