Skip to content

LG Tübingen: Zur Einstandspflicht einer Cyberversicherung bei einem Angriff auf IT-Infrastruktur eines Unternehmens

LG Tübingen
Urteil vom 26.05.2023
4 O 193/21


Das LG Tübingen hat sich in diesem Verfahren mit der Einstandspflicht einer Cyberversicherung bei einem Angriff auf die IT-Infrastruktur eines Unternehmens befasst.

Aus den Entscheidungsgründen:

Dem Feststellungsantrag fehlt das erforderliche Feststellungsinteresse (§ 256 ZPO).

1. Nach der Rechtsprechung des BGH hängt die Zulässigkeit einer Feststellungsklage bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts ab (BGH, Urt. v. 15.10.1992 – IX ZR 43/92 , MDR 1993, 693 = WM 1993, 251 [259 f.]; v. 24.1.2006 – XI ZR 384/03 – Rz. 27, BGHZ 166, 84 = MDR 2006, 940 m.w.N.; v. 20.3.2008 – IX ZR 104/05 – Rz. 8, MDR 2008, 799 = WM 2008, 1042). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH MDR 2014, 1341, 1342).

2. Dies ist vorliegend zu verneinen. Die Schadensentwicklung bei der Klägerin selbst ist abgeschlossen. Diesen Schaden hat die Klägerin in Klageantrag Ziffer 1 beziffert. Der Feststellungsantrag betrifft nur potentielle Versicherungsfälle im Falle einer Verletzung der DSGVO bzw. den möglicherweise bei Dritten entstandenen Schaden, wenn die bei dem Cyber-Angriff erlangten Daten veröffentlicht werden, und die daraus folgende mögliche Inanspruchnahme der Klägerin durch diese Dritten. Dazu hat der Geschäftsführer der Klägerin im Zuge der letzten mündlichen Verhandlung mitgeteilt, dass bislang keine Kunden oder dritte Firmen mit entsprechenden Forderungen an die Klägerin herangetreten seien und auch sonst nicht bekannt geworden sei, dass Daten veröffentlicht bzw. im Internet auffindbar seien (Protokoll vom 28.04.2023, Bl. 584 d.A.). Nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge ist angesichts des langen Zeitablaufs jetzt auch nicht mehr mit einer derartigen Inanspruchnahme der Klägerin zu rechnen, so dass es an der hinreichenden Wahrscheinlichkeit eines Schadenseintritts fehlt.

II. Die Klägerin kann von der Beklagten aus § 1 VVG i.V.m. A1-1, A1-4, A2-2, A4 ff. AVB Zahlung von 2.858.923,54 € zuzüglich Zinsen wie aus dem Tenor ersichtlich verlangen. Im Übrigen war die Klage abzuweisen.

1. Zwischen den Parteien ist ein wirksamer Versicherungsvertrag über verschiedene Cyber-Deckungsbausteine zustande gekommen, der das Risiko einer Betriebsunterbrechung mit einschließt.

2. Mit dem Cyber-Angriff vom 29./30.05.2020 ist der Versicherungsfall eingetreten, A1-4 AVB i.V.m. A1-1 AVB. Dies wird von der Beklagten nicht in Abrede gestellt.

3.. Die Beklagte ist weder wegen Verletzung einer vorvertraglichen Anzeigepflicht nach B3-1.2.1 Abs. 1 Satz 2 AVB (a) noch wegen Gefahrerhöhung nach B3-2.5 AVB leistungsfrei geworden (b).

a. Zur Verletzung einer vorvertraglichen Anzeigepflicht

Es kann dahin stehen, ob die Klägerin die ihr gestellten Risikofragen vorsätzlich oder grob fahrlässig falsch beantwortet und insofern ihre vorvertragliche Anzeigepflicht nach B3-1.1 AVB verletzt hat. Jedenfalls hat die Klägerin gem. § 21 Abs. 2 S. 1 VVG nachgewiesen, dass eine möglicherweise falsche Beantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich gewesen ist (sog. Kausalitätsgegenbeweis), so dass die Beklagte nach B3-1.2.1 Abs. 4 Satz 1 AVB den Versicherungsschutz nicht versagen darf (dazu unter aa.). Eine arglistige Verletzung der Anzeigepflicht (B3-1.2.1 Abs. 4 Satz 2 AVB) liegt nicht vor (dazu unter bb.). Daher bedarf auch die von der Klägerin aufgeworfene Frage keiner abschließenden Entscheidung, ob es sich bei den im Tatbestand wiedergegebenen Risikofragen überhaupt um zulässige Fragen gehandelt hat.

aa. Kausalitätsgegenbeweis

Der Sachverständige Dr. [...] hat - für die Kammer nachvollziehbar und überzeugend - ausgeführt, dass zwar eine Vielzahl der von der Klägerin eingesetzten Server nicht über aktuelle Sicherheits-Updates verfügten und damit veraltet waren, sich dies aber weder auf den Eintritt des Versicherungsfalls noch auf das Ausmaß des hierdurch ausgelösten Schadens ausgewirkt hat. Der Sachverständige ist seit 20 Jahren selbständig beratend im IT-Bereich tätig und arbeitet gegenwärtig überwiegend für eine Bank (Protokoll vom 28.04.2023 Seite 19, Bl. 601 d.A.), weshalb er insbesondere für den Bereich der IT-Sicherheit über eine große Expertise verfügt. Die Einholung eines Obergutachtens nach § 412 Abs. 1 ZPO, wie von der Beklagten beantragt, war daher nicht veranlasst.

Nach dem Cyber-Angriff konnten die Daten von insgesamt 21 der von der Klägerin teils betriebsintern, teils extern bei dem IT-Dienstleister Bechtle eingesetzten Servern forensisch gesichert werden. Von diesen 21 Servern verfügten nach den Feststellungen des Sachverständigen lediglich 10 über die erforderlichen Sicherheits-Updates; dagegen waren 11 Server nicht auf dem aktuellen Stand (Gutachten S. 27, Bl. 464 d.A.). Der Cyber-Angriff verlief jedoch bei insgesamt 16 der 21 Server erfolgreich (Gutachten S. 22, Bl. 459 d.A.) und betraf Systeme mit allen Betriebssystemversionen, darunter auch die - aktuellen - Windows Server 2019 (Gutachten S. 24, Bl. 461 d.A.). Verschlüsselt wurden sogar die bei der Fa. B. AG ausgelagerten Server. Dies erklärt sich daraus, dass über die Phishing-Mail an den Nutzer „[...]“ letztendlich die Administratorrechte u.a. für die Domäne Paradigma erbeutet wurden (Gutachten S. 27, Bl. 464 d.A.). Diese Administratorrechte erlaubten den Angreifern - was insbesondere auch für das Ausmaß des eingetretenen Schadens maßgeblich ist -, mit dem System „alles [...] zu machen“ (Protokoll vom 28.04.2023 Seite 18, Bl. 600 d.A.). Den Angreifern war es dadurch ohne Weiteres möglich, vorhandene Schutzmaßnahmen wie etwa den Virenscanner und die Firewall zu deaktivieren (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Dies ergibt sich ebenso aus dem von Beklagtenseite vorgelegten Parteigutachten [...] vom 24.06.2020 (Anlage BLD 1), wonach bei der Analyse verschiedener Server festgestellt wurde, dass der Antivirenscanner Trend Micro Apex ONE NT, der Windows Defender und die Windows Firewall zu jeweils unterschiedlichen Zeitpunkten am 30.05.2023, also zeitlich nach dem Pass-the-Hash-Angriff, deaktiviert wurden (a.a.O. Seite 22, 42 und 51). Der auf dem betroffenen Notebook „[...]“ installierte Virenscanner Trend Micro OfficeScan hatte am 29.05.2020 noch einen Schadsoftwarebefall festgestellt, der sich jedoch augenscheinlich nicht bereinigen ließ (a.a.O. Seite 8).

Soweit die Beklagte nun erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 vorträgt, dass die Firewalls bereits zum Schadenzeitpunkt deaktiviert gewesen seien (dort Seite 4, Bl. 555 d.A.), und mit (ebenfalls nicht nachgelassenem) Schriftsatz vom 15.05.2023 (dort Seite 6, Bl. 610 d.A.) in Frage stellt, ob der Anti-Virus-Verwaltungsserver im Zeitpunkt des Angriffs aktiviert war, kann offenbleiben, ob dies zutrifft oder sogar in Widerspruch zu dem Gutachten der [...] vom 24.06.2020 (Anlage BLD 1) und damit zum eigenen bisherigen Vortrag der Beklagten steht; jedenfalls ist dieser Vortrag verspätet und aus diesem Grund prozessual unbeachtlich, § 296a Satz 1 ZPO.

Nach den Feststellungen des Sachverständigen Dr. [...], denen sich das Gericht nach eigener Überzeugungsbildung anschließt, wurde bei dem streitgegenständlichen Cyber-Angriff eine vorhandene Schwachstelle (sog. „Design-Schwäche“) von Windows ausgenutzt (Gutachten S. 33, Bl. 470 d.A.), die unabhängig von der Aktualität des betroffenen Systems besteht. Der Sachverständige kommt daher nachvollziehbar und überzeugend zu dem Ergebnis, dass auch ein Einspielen der versäumten Updates weder den Angriff selbst abgewehrt noch das Ausmaß des angerichteten Schadens hätte beeinflussen können. Weder die Anzahl der betroffenen Server noch der Schaden wären verringert worden (Gutachten S. 27 und 33, Bl. 464 und 470 d.A.).

Soweit die Beklagte bezüglich des Schadensumfangs (sog. „lateral movement“) auf denkbare weitere Sicherheitsmaßnahmen seitens der Klägerin verweist, etwa eine Zwei-Faktoren-Authentifizierung oder ein Monitoring-System, so verkennt sie den Bezugspunkt der Regelung in B3-1.2.1 AVB. Diese Regelung knüpft (allein) an die Verletzung der vorvertraglichen Anzeigepflicht durch Falschbeantwortung der Risikofragen an (B3-1.1 AVB). Die von der Beklagten vermissten weiteren Sicherheitsmaßnahmen waren jedoch nicht Gegenstand der bei Antragstellung von der Klägerin zu beantwortenden Risikofragen. Dies gilt auch für die Risikofrage 5, deren Falschbeantwortung die Beklagte erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 gerügt hat. Die Risikofrage 5 ist derart weit formuliert, dass sie bereits zu bejahen ist, wenn lediglich grundlegende Regelungen wie etwa über die Nicht-Weitergabe von Login-Daten und -Passwörtern existieren und überwacht werden. Spezifische Sicherheitsmaßnahmen zur Abwehr von Pass-the-Hash- bzw. Verschlüsselungs-Angriffen sind hiervon nicht zwingend erfasst.

bb. keine Arglist

Von einer arglistigen Verletzung der Anzeigepflicht seitens der Klägerin bzw. der Maklerin konnte sich die Kammer nicht überzeugen.

(1) Die bewusste Falsch- oder Nichtbeantwortung von Fragen genügt für sich genommen nicht für Arglist. Vielmehr muss in subjektiver Hinsicht hinzukommen, dass der Versicherungsnehmer auf die Entschließung des Versicherers Einfluss nehmen will und sich daher bewusst ist, dass der Versicherer möglicherweise (bedingter Vorsatz genügt) seinen Antrag nicht oder nur unter erschwerten Bedingungen annehmen werde, wenn er die Wahrheit sage (BGH VersR 2007, 785 Rn. 8; 2011, 337 Rn. 19; OLG Koblenz VersR 2013, 1113, 1114; OLG Karlsruhe NJW 2014, 3733; OLG Hamm VersR 2018, 282, 283; 2020, 538, 539). Eine Vermögensschädigung braucht aber nicht geplant zu sein (RGZ 96, 345, 346; BGH VersR 1957, 351, 352; 2007, 785 Rn. 8; 2008, 809 Rn. 8; OGH VersR 1978, 954). Unkenntnis entlastet den Versicherungsnehmer nicht, wenn er im Bewusstsein seiner Unkenntnis „ins Blaue hinein“ Angaben macht (OLG Hamm VersR 1990, 765; OLG München VersR 2000, 711, 712; OLG Koblenz VersR 2004, 849, 851; KG VersR 2007, 381, 382; OLG Frankfurt/M. ZfS 2009, 269; OLG Saarbrücken VersR 2020, 91 (Ls.) = BeckRS 2019, 23766 Rn. 35; OLG Hamm VersR 2020, 538, 539). Dasselbe gilt, wenn er sich sehenden Auges der Kenntnis verschließt (BGH VersR 1993, 170, 171). Dass Arglist vorgelegen hat, muss der Versicherer darlegen und beweisen (BeckOK VVG/Spuhl, 18. Ed. 1.2.2023, VVG § 21 Rn. 55).

(2) Nach B3-1.1 Absatz 2 und 3 AVB kommt es sowohl auf die Kenntnis des Versicherungsnehmers selbst als auch auf die Kenntnis seines Vertreters an.

Die Klägerin hat sich beim Vertragsschluss durch den von ihr eingeschalteten Makler L. vertreten lassen, welcher die Antworten auf die Risikofragen in das Online-Portal der Beklagten eingegeben hat (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A., und Seite 7, Bl. 220 d.A.). Wie die einzelnen Fragen zu beantworten waren, hatte dem Makler der Zeuge G. vorgegeben, welcher die Risikofragen zuvor mit dem IT-Manager U. der Klägerin durchgesprochen hatte (Protokoll vom 04.02.2022 Seite 8, Bl. 221 d.A., Seite 17, Bl. 230 d.A., und Seite 34f, Bl. 247f d.A.).

(3) Nach dem Ergebnis der Beweisaufnahme lässt sich weder bei den verantwortlichen Mitarbeitern der Klägerin noch beim Zeugen L. eine vorsätzliche, erst recht keine arglistige Falschbeantwortung der Risikofragen - konkret der Fragen 3, 4 und 6 - feststellen.

Trotz des Einsatzes von zumindest 11 veralteten Servern (siehe oben) ist allenfalls die Frage 4 bei der Antragstellung im April 2020 falsch beantwortet worden. Der Klägerin ist zuzugeben, dass die Risikofrage 3 sich auf stationäre und mobile Arbeitsrechner und eben nicht auf Server bezieht. Die Risikofrage 6 ist derart weit formuliert, dass die Klägerin sie richtig beantwortet hat, denn dass überhaupt „Hard- und Software zum Schutz des Unternehmensnetzwerks“ eingesetzt wurde in Form eines Virenscanners sowie einer Firewall, stellt auch die Beklagte nicht in Abrede.

Auch bezüglich der Risikofrage 4 ist jedoch nicht von einer vorsätzlich und erst recht nicht von einer arglistig falschen Beantwortung auszugehen. Unabhängig von der rechtlichen Einordnung der Veranstaltung am 13.02.2020 und der genauen Rolle des Zeugen B. hat die Beweisaufnahme ergeben, dass für die Mitarbeiter der Klägerin durch diese Veranstaltung übereinstimmend der Eindruck entstanden ist, dass seitens der Beklagten keine hohen Anforderungen hinsichtlich der IT-Sicherheit gestellt werden. So haben mehrere Zeugen unabhängig voneinander die Äußerung des Zeugen B. bestätigt, dass hinsichtlich der Firewall „jede Fritzbox“ ausreichen würde. Diese Äußerung war sowohl dem Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.) als auch den Zeugen U. (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.) und M. (Protokoll vom 06.05.2022 Seite 11, Bl. 343 d.A.) im Gedächtnis. Der Zeuge B. konnte sich an Details nicht mehr erinnern, hat jedoch nicht ausgeschlossen, dass die Firewall Thema der Besprechung gewesen sei; eine Risikobewertung würde er jedoch generell nicht vornehmen (Protokoll vom 06.05.2022 Seite 24, Bl. 237 d.A.). Die Rückmeldung seitens des Zeugen B. scheint insofern jedoch auch nicht ausschlaggebend gewesen zu sein. Auffallend ist nämlich, dass sich die Zeugen teils gar nicht an die konkreten Antworten des Zeugen B. erinnern, dennoch aber den Eindruck gewonnen haben, die Anforderungen an die IT-Sicherheit seien nicht besonders hoch. Der Zeuge S. hat ausdrücklich angegeben, er habe sich gewundert, welche geringen Anforderungen gestellt würden (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.). Ähnlich habe sich seiner Erinnerung nach auch die Zeugin M. später im Lenkungskreis Digitalisierung geäußert (Protokoll vom 06.05.2022 Seite 16, Bl. 348 d.A.). Der Zeuge G. gab an, sie seien alle etwas verwundert darüber gewesen, dass die Anforderungen offenbar letztlich nicht viel höher seien als im privaten Bereich (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.). Maßgeblich für diesen kollektiven Eindruck erscheint vor allem die offenbar ausbleibende Reaktion von B. auf die Mitteilung des Zeugen U., dass die Klägerin auch ältere Server einsetze, die nicht mehr upgedatet werden könnten. Diese Mitteilung haben neben dem Zeugen U. selbst (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.) die Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.), M. (Protokoll vom 06.05.2022 Seite 10, Bl. 342 d.A.) und S. (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.) bestätigt. Der Zeuge B. selbst hat ausgesagt, sich generell nicht zu Anforderungen an die IT-Infrastruktur zu äußern (Protokoll vom 04.02.2022 Seite 23, 24 und 25, Bl. 236, 237 und 238 d.A.). Herr U. war sich nicht mehr sicher, ob der Zeuge B. ihm überhaupt auf diese Mitteilung geantwortet hatte, glaubte aber, er habe keine Antwort bekommen (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.). Entsprechend hat der Zeuge U. angegeben, die Risikofrage 4 trotz der vorhandenen veralteten Server bejaht zu haben, da er dem Zeugen B. ja in der Veranstaltung am 13.02.2020 über „unsere Situation mit den älteren Servern“ berichtet habe (Protokoll vom 04.02.2022 Seite 35, Bl. 248 d.A.). Unabhängig davon, welche rechtliche Bedeutung einer derartigen mündlichen Äußerung zukommt, so schließt die entsprechende Vorstellung doch Vorsatz und erst recht Arglist aus.

Dem Zeugen L. war nicht mehr erinnerlich, ob am 13.02.2020 seitens der Mitarbeiter der Klägerin die Rede davon war, dass ältere Server eingesetzt werden, die aus technischen Gründen nicht mehr upgedatet werden können (Protokoll vom 04.02.2022 Seite 16, Bl. 229 d.A.). Vor dem Vertragsschluss, so der Zeuge L. weiter, habe er sich zu keinem Zeitpunkt mit seinem Ansprechpartner bei der Klägerin, dem Zeugen G., zu diesem Thema ausgetauscht (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A.). Demnach handelte auch der Zeuge L. nicht erwiesenermaßen arglistig.

b. Gefahrerhöhung

Es kann offen bleiben, ob nach Vertragsschluss eine Gefahrerhöhung eingetreten ist, indem die Klägerin weitere Software-Updates nicht durchgeführt bzw. anders als in der Veranstaltung am 13.02.2020 angekündigt die veralteten Server (noch) nicht ausgetauscht hat. Da der Klägerin der Kausalitätsgegenbeweis gelingt (siehe oben), wäre die Beklagte selbst bei einer solchen Gefahrerhöhung nicht leistungsfrei; auch eine Kürzung des Anspruchs ist ausgeschlossen (§ 26 Abs. 3 Nr. 1 VVG i.V.m. B3-2.5.3 lit. a AVB).

4. Der erstattungsfähige Schaden der Klägerin beläuft sich insgesamt auf 2.858.923,54 €.

a. Betriebsunterbrechungsschaden

Die Klägerin hat einen zu ersetzenden Betriebsunterbrechungsschaden in Höhe von 2.507.809 € erlitten. Eine Betriebsunterbrechung gem. Ziffer A4-1.1.1 ist fraglos eingetreten, weil bei der Klägerin infolge unbefugter Nutzung von IT-Systemen elektronische Daten und informationsverarbeitende Systeme nicht zur Verfügung standen bzw. nicht die übliche Leistung erbrachten, was zu einem Schaden der Klägerin geführt hat.

aa. Der Unterbrechungsschaden wird in Ziffer A4-1.1.2 AVB definiert und stellt sich danach letztlich als der Betriebsgewinn zuzüglich der trotz der Unterbrechung fortlaufenden Kosten dar. Unter Ziffer A4-1.3.6 lit. d enthalten die AVB Vorgaben zur Feststellung der Schadenshöhe; allerdings betreffen diese das dort geregelte Sachverständigenverfahren und sind außerhalb dieses Verfahrens nicht anwendbar.

Es sind daher - neben Ziffer A4-1.3.1 - die allgemeinen Grundsätze zur Schadensermittlung heranzuziehen. Nach der Rechtsprechung muss ein Geschädigter, der Schadensersatz in Form eines Betriebsunterbrechungsschadens geltend macht, wie bei der Geltendmachung des entgangenen Gewinns gemäß § 252 Satz 1 BGB alle konkreten Umstände darlegen und gegebenenfalls beweisen, aus denen sich die Erlöserwartung ergibt. Es ist somit darzulegen, welche konkreten betriebsbezogenen Erlöse nicht erwirtschaftet werden konnten und welche konkreten betriebsbezogenen Kosten erspart wurden (vgl. OLG Hamm RuS 2013, 440). Dabei genügt entsprechend § 252 Satz 2 BGB die bloße Wahrscheinlichkeit der Erwartung des Erlöses anstelle des positiven Nachweises, sofern die Vorkehrungen und Anstalten, aus denen die Erlöserwartung hergeleitet wird, in der geschilderten Weise dargetan werden. Erforderlich ist mithin die schlüssige Darlegung von Ausgangs- bzw. Anknüpfungstatsachen, die geeignet sind, dem Ermessen bei der Wahrscheinlichkeitsprüfung eine Grundlage zu geben und eine Schadensschätzung gemäß § 287 ZPO zu ermöglichen (vgl. zum entgangenen Gewinn BGH WM 1998, S. 1787; BGH WuM 1991, S. 545). Während der Versicherungsnehmer den Eintritt des Versicherungsfalles und die hierdurch verursachte Betriebsunterbrechung auf der Grundlage von § 286 ZPO darzulegen und zu beweisen hat, kommt ihm beim Kausalzusammenhang zwischen der Betriebsunterbrechung und dem eingetretenen Schaden die Beweiserleichterung des § 287 ZPO zugute (BGH VersR 2014,104).

bb. Vor diesem Hintergrund kann der Schadensberechnung der Klägerin, welche einen Rohertrag je geleisteter Personenstunde zugrunde legt und diesen mit den angeblich ausgefallenen Personenstunden multipliziert, nicht gefolgt werden. Denn die Annahme, dass das wegen der Betriebsunterbrechung nicht eingesetzte Personal den gleichen Rohertrag erwirtschaftet hätte wie das zum Einsatz gelangte Personal, ist nicht nachvollziehbar und nicht einmal für eine Schätzung nach § 287 ZPO geeignet.

cc. Die Schätzung hat anhand der von der Klägerin vorgelegten betriebswirtschaftlichen Auswertungen zu erfolgen, somit auf Grundlage der Anlagen K 13 (Jahresabschluss für 2019), K 14 (betriebswirtschaftliche Auswertung für 2020) und K 15 (betriebswirtschaftliche Auswertung für 2021). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 die Richtigkeit dieser betriebswirtschaftlichen Auswertungen bestreitet, ist dieser nach der letzten mündlichen Verhandlung am 28.04.2023 mit nicht nachgelassenem Schriftsatz erfolgte Vortrag verspätet und nach § 296a Satz 1 ZPO aus prozessualen Gründen unbeachtlich. Die Klägerin hat mit ebenfalls nicht nachgelassenem Schriftsatz vom 19.05.2023 die Jahresabschlüsse für 2020 (Anlage K21) und für 2021 (Anlage K 22) nachgereicht, welche ebenfalls nach § 296a Satz 1 ZPO unbeachtlich sind. Allerdings weichen die Kennzahlen in den Jahresabschlüssen ohnehin nur ganz geringfügig von den Werten in den betriebswirtschaftlichen Auswertungen ab.

dd. Der Schadensschätzung sind die Geschäftszahlen der Jahre 2020 (mit Betriebsunterbrechung) und 2021 (ohne Betriebsunterbrechung), nicht auch diejenigen des Jahres 2019 zugrunde zu legen.

Nach § 252 Satz 2 BGB gilt als entgangen der Gewinn, welcher nach dem gewöhnlichen Lauf der Dinge oder nach den besonderen Umständen, insbesondere nach den getroffenen Anstalten und Vorkehrungen, mit Wahrscheinlichkeit erwartet werden konnte.

Solche besonderen Umstände liegen vorliegend in Form des von der Bundesregierung im Oktober 2019 beschlossenen Klimaschutzprogramms 2030 vor, für das für klimaschutzrelevante Maßnahmen für den Zeitraum 2020 bis 2023 Mittel in Höhe von etwa 54 Milliarden Euro bereitgestellt wurden. Soweit die Beklagte die Existenz eines solchen Förderprogramms mit Nichtwissen bestritten hat, lässt sich die Behauptung der Klägerin durch eine einfache Internetrecherche verifizieren (https://www.bmwk.de/Redaktion/DE/Textsammlungen/Industrie/klimaschutz.html?cms_artId=9df37a6e-49dc-4c07-955d-f80ea3503730, zuletzt abgerufen am 23.05.2023). Die Tatsache ist daher allgemein bekannt; einer Beweiserhebung bedurfte es nicht.

Zusätzlich geht die Kammer davon aus, dass die Corona-Pandemie keinen „besonderen Umstand“ im Sinne des § 252 Satz 2 BGB darstellt. Bezüglich der gesamtwirtschaftlichen Entwicklung ist der Beklagten zuzustimmen, dass es im Jahr 2020 infolge der Auswirkungen der COVID-19-Pandemie allgemein zu Umsatzeinbrüchen kam. Dabei ist auch nicht auszuschließen, dass auch die Klägerin, welche u.a. in der Produktion von Heizungskomponenten tätig ist, betroffen war, insbesondere was Lieferengpässe betrifft. Solche Effekte bestanden aber für das Jahr 2020 ebenso wie für das Jahr 2021, da die Corona-Pandemie weiterhin andauerte. Indem eben die Jahre 2020 und 2021 miteinander verglichen werden, wirken sich mögliche Umsatzeinbrüche infolge der Pandemie rechnerisch nicht in relevanter Weise aus.

ee. Entgegen der Auffassung der Klägerin sind jedoch die Werte aller 12 Monate eines Jahres gleichermaßen heranzuziehen. Die Klägerin beruft sich auf zyklische Schwankungen der Geschäftsentwicklung im Jahresverlauf. Solche außergewöhnlichen Schwankungen lassen sich den vorgelegten betriebswirtschaftlichen Auswertungen jedoch nicht entnehmen. Soweit die Klägerin mit (nicht nachgelassenem) Schriftsatz vom 19.05.2023 als Anlagen K 23 und K 24 die betriebswirtschaftlichen Auswertungen für 2019 und 2022 vorlegt und ihren Vortrag zusätzlich auf diese Unterlagen stützt (Bl. 674f d.A.), ist dies verspätet und gemäß § 296a Satz 1 ZPO unbeachtlich.

ff. Bei der Berechnung des Deckungsbeitrags folgt die Kammer im Ansatz der - zweiten - Berechnungsweise der Klägerin, wobei vom erzielten jährlichen Gesamtumsatz als Kosten ein Teil des Materialaufwands abgezogen wird. Diese Berechnungsmethode erscheint der Kammer plausibel und entspricht im Übrigen der Definition des Betriebsunterbrechungsschadens in A4-1.1.2 AVB i.V.m. A469 des Glossars. Soweit die Klägerin meint, auf das so ermittelte Ergebnis sei zusätzlich ein prozentualer Aufschlag vorzunehmen (Schriftsatz vom 30.03.2022 Seite 18f, Bl. 279f d.A.), ist dies dagegen nicht nachvollziehbar.

Auf den weiteren Vortrag der Beklagten zum Betriebsunterbrechungsschaden in den Schriftsätzen vom 04.05.2023 und vom 17.05.2023, insbesondere das als Anlage BLD 13 vorgelegte Parteigutachten der [...] GmbH vom 16.05.2023, welches (erst) am 09.05.2023 in Auftrag gegeben worden ist, ist wegen § 296a Satz 1 ZPO nicht einzugehen. Soweit die Beklagte einwendet, die Berechnung der Klägerin sei aus betriebswirtschaftlicher Sicht falsch, da Bestandsveränderungen sehr wohl zu berücksichtigen seien, findet dies jedenfalls keinen Niederschlag in den Regelungen der AVB und ist für die Kammer daher nicht nachvollziehbar.

Der in den betriebswirtschaftlichen Auswertungen ausgewiesene Materialaufwand ist nicht nur zur Erwirtschaftung der Umsatzerlöse, sondern auch für die Erhöhung bzw. Verminderung des Bestandes an fertigen und unfertigen Produkten angefallen, welcher nach den AVB aber unberücksichtigt zu bleiben hat, da dort allein an den Umsatz angeknüpft wird. Der Anteil der auf die Bestandsveränderungen entfallenden Materialkosten ist daher herauszurechnen. Im Wege der Schätzung nach § 287 ZPO setzt die Kammer zunächst die Gesamtmaterialkosten ins Verhältnis zur Gesamtleistung der Klägerin, welche sich aus der Summe der Umsatzerlöse und der Bestandsveränderungen, ggf. auch der aktivierten Eigenleistungen ergibt, und geht sodann davon aus, dass der Anteil von Gesamtmaterialkosten zur Gesamtleistung dem Anteil der Materialkosten, die zur Erwirtschaftung allein der Umsatzerlöse erforderlich waren, zu den Umsatzerlösen entspricht.

Für 2020 ergibt sich gemäß Anlage K 14 danach folgende Berechnung:

Umsatzerlöse: 57.863.135 €

Anteil Gesamtmaterialkosten 26.967.378 € zur Gesamtleistung 58.041.198 € (= Umsatzerlöse 57.863.135 € + Bestandsveränderung (Lagerleistung) 162.130 € + aktivierte Eigenleistungen 15.930 €): 46,46%

somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 57.863.135 € x 46,46% = 26.883.212,52 €, gerundet: 26.883.213 €

somit Deckungsbeitrag für 2020: Umsatzerlöse 57.863.135 € - diesbezügliche Materialkosten 26.883.213 € = 30.979.922 €.

Für 2021 ergibt sich gemäß Anlage K 15 folgende Berechnung:

Umsatzerlöse: 70.837.492 €

Anteil Gesamtmaterialkosten 35.223.076 € zur Gesamtleistung 73.924.577 € (= Umsatzerlöse 70.837.492 € + Bestandsveränderung (Lagerleistung) 3.087.082 € + aktivierte Eigenleistungen 0 €): 47,65%

somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 70.837.492 € x 47,65% = 33.754.064,94 €, gerundet: 33.754.065 €

somit Deckungsbeitrag für 2021: Umsatzerlöse 70.837.492 € - diesbezügliche Materialkosten 33.754.065 € = 37.083.427 €.

Der erstattungsfähige Betriebsunterbrechungsschaden errechnet sich damit wie folgt:

Deckungsbeitrag pro Jahr

Deckungsbeitrag pro Monat

2020

30.979.922 €

2.581.660 €

2021

37.083.427 €

3.090.286 €

Einbuße pro Monat


508.626 €

Einbuße Juni 2020 bis
Oktober 2020 (5 Monate)


2.543.130 €

abzüglich Sub-Selbstbehalt
12 Stunden
gemäß Police Seite 3
(2.543.130 € : 108
Arbeitstage Juni bis Okt.
2020 = 23.547,50 €, bei
achtstündigem Arbeitstag,
12 Std daher 23.547,50 € x 1,5)


- 35.321 €

Ergibt


2.507.809 €

Infolge des Cyberangriffs vom 29./30.05.2020 war der Betrieb der Klägerin von Juni 2020 bis Oktober 2020 unterbrochen (5 Monate) und somit für einen Zeitraum, der innerhalb der Haftzeit von 12 Monaten liegt. Soweit die Beklagte erstmals mit Schriftsatz vom 04.05.2023 mit Nichtwissen bestreitet, dass die Betriebsunterbrechung erst im Oktober 2020 endete (Bl. 570 d.A.), ist dies wegen Verspätung nach § 296a Satz 1 ZPO wiederum aus prozessualen Gründen unbeachtlich.

Bezüglich des Sub-Selbstbehalts von 12 Stunden (vgl. Seite 3 der Police, Anlage K 1) ist der im Unterbrechungszeitraum eingebüßte Betrag (2.543.130 €) durch die Anzahl der Arbeitstage im betreffenden Zeitraum zu teilen. Abzüglich Wochenenden und gesetzlicher Feiertage, die nicht auf das Wochenende fielen, gab es im Zeitraum Juni bis Oktober 2020 insgesamt 108 Arbeitstage. Wenn man von einem achtstündigen Arbeitstag ausgeht, ist der so ermittelte Betrag auf 12 Stunden hochzurechnen.

Insgesamt ergibt sich unter Berücksichtigung des Sub-Selbstbehalts ein zu erstattender Betriebsunterbrechungsschaden von 2.507.809 €.

b. Sachschaden an IT-Geräten, Daten und Software

Die Klägerin hat Anspruch auf Ersatz des geltend gemachten Sachschadens an IT-Geräten, Daten und Software (vgl. Tabelle auf Seite 11f der Klageschrift, Bl. 11f d.A., Anlagenkonvolut K 3) in Höhe von 322.040,58 €.

aa. Der Erstattungsanspruch folgt aus A4-2.1 AVB (bzgl. Daten) bzw. A4-3.1 AVB (bzgl. Sachen). Versicherungsschutz besteht danach für notwendige Aufwendungen zur Wiederherstellung der betroffenen Daten sowie für die Entfernung der Schadsoftware bzw. zur Reparatur, Wiederherstellung oder Wiederbeschaffung der versicherten Sachen.

bb. Es kann dahin stehen, ob die Regelungen in C2.3.3 AVB (bzgl. IT-Geräten), C2.4.3 AVB (bzgl. Maschinen und technischen Anlagen), C2.5.3 AVB (bzgl. Betriebseinrichtung), C3.3.3 und C3.4.3 (bzgl. Reparatur oder Austausch von mitversicherten Sachen als Folge aus der Beeinträchtigung, Beschädigung oder Unbrauchbarmachung von Software und Daten), wonach Voraussetzung eines Erstattungsanspruchs ist, dass die Leistungen durch die [...] GmbH beauftragt und gesteuert wurden, den Versicherungsnehmer entgegen den Geboten von Treu und Glauben unangemessen benachteiligen im Sinne des § 307 Abs. 1 Satz 1 BGB oder überraschend im Sinne des § 305c Abs. 1 BGB sind, wenn - wie hier - eine Regulierung durch den Versicherer abgelehnt wird. Denn die Klägerin hat unwidersprochen vorgetragen, dass die Maßnahmen von der [...] GmbH (mit-)initiiert und koordiniert wurden.

cc. Entgegen der Auffassung der Beklagten ist weder eine Sachsubstanzschädigung erforderlich, noch dass die beschädigten Sachen im Eigentum der Klägerin standen.

Der Begriff der Beschädigung wird in A460 des Glossars als jede Einwirkung auf eine Sache, die ihre stoffliche Zusammensetzung negativ verändert oder ihre bestimmungsgemäße Brauchbarkeit nicht nur geringfügig beeinträchtigt, definiert. Ausdrücklich ist dort bestimmt, dass eine Substanzverletzung nicht erforderlich ist.

Gemäß A4-3.2 Absatz 2 AVB werden geleaste oder gemietete IT-Geräte beziehungsweise Maschinen und technische Anlagen solchen Sachen gleichgestellt, die sich im Eigentum des Versicherungsnehmers befinden.

dd. Der Einwand der Beklagten, die geltend gemachten Aufwendungen seien teils nicht notwendig, da die Klägerin insoweit nicht nur den Zustand vor dem Cyber-Angriff wiederhergestellt, sondern darüber hinaus Verbesserungen vorgenommen habe, greift nicht durch.

Die diesbezügliche Darlegungs- und Beweislast liegt bei der Beklagten. Nach der Formulierung der Ziffer A4-2.4.2 Satz 2 AVB (“Der Versicherer leistet keine Entschädigung für: a. Mehrkosten (A231) durch Änderungen oder Verbesserungen, die über die Wiederherstellung hinausgehen“) handelt es sich um eine Ausnahme von Satz 1, welcher die grundsätzliche Erstattungspflicht des Versicherers statuiert (“Der Versicherer leistet Entschädigung in Höhe der notwendigen Aufwendungen ...“).

Dem Vortrag der Klägerin, soweit Verbesserungen erfolgt seien, seien diese technisch nicht vermeidbar gewesen, ist die Beklagte erst mit nicht nachgelassenen Schriftsätzen nach der letzten mündlichen Verhandlung entgegengetreten, welche nach § 296a Satz 1 ZPO unbeachtlich sind.

ee. Der Anspruch der Klägerin ist auch nicht auf den Zeitwert begrenzt. Zwar ist nach A4-3.5 Ziff. 1 lit. a AVB der Neuwertanteil nur geschuldet, wenn die Wiederbeschaffung der vom Schaden betroffenen, versicherten Sachen innerhalb von zwölf Monaten nach Eintritt des Versicherungsfalles erfolgt. Sämtliche von der Klägerin im Anlagenkonvolut K 3 vorgelegten Rechnungen wurden jedoch innerhalb eines Jahres ab dem Versicherungsfall (29./30.05.2020) gestellt, so dass die abgerechneten Leistungen ebenfalls innerhalb Jahresfrist erfolgt sind.

ff. Gemäß A4-3.5 Ziff. 1 lit. c AVB macht die Klägerin jeweils (nur) den Rechnungsbetrag ohne Umsatzsteuer geltend.

gg. Weiterer Vortrag der Beklagten, mit welchem einzelne Rechnungen/ Rechnungspositionen sowie die Bezahlung der vorgelegten Rechnungen bestritten und deren Prüffähigkeit gerügt wird, insbesondere auch die Vorlage der gutachterlichen Stellungnahmen zur Rechnungsprüfung gem. den Anlagen BLD 11 und BLD 12, ist nach der letzten mündlichen Verhandlung mit nicht nachgelassenen Schriftsätzen erfolgt und daher nach § 296a Satz 1 ZPO unbeachtlich.

hh. Insgesamt ist ein Betrag in Höhe von 322.540,58 € grundsätzlich erstattungsfähig. Hiervon ist allerdings gemäß Seite 3 der Police (Anlage K1) der vereinbarte Sub-Selbstbehalt von 500 € abzuziehen. Zu erstatten ist daher ein Schaden in Höhe von 322.040,58 €.

c. Schadensminderungsmaßnahmen

Die Klägerin kann gemäß §§ 83 Abs. 1 Satz 1, 82 Abs. 1 VVG Ersatz in Höhe von 29.073,96 € für diejenigen Aufwendungen verlangen, welche sie unter Anleitung der [...] GmbH getätigt hat, um die Betriebsunterbrechung so rasch wie möglich zu beenden (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A., Rechnungen in Anlage K 5). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 (dort Seite 20, Bl. 571 d.A.) mit Nichtwissen bestritten hat, dass die aufgeführten Arbeiten zur Schadenminimierung objektiv erforderlich waren und die Kosten angemessen und ortsüblich sind, ist dieser Vortrag einerseits verspätet gemäß § 296a Satz 1 ZPO und anderseits prozessual unzulässig, da diese Aufwendungen gemäß den Schadenmanagementklauseln der AVB (siehe oben unter b. bb.) unter Mitwirkung der [...] GmbH erfolgt sind. Die Tätigkeit der [...] GmbH ist der Beklagten zuzurechnen, so dass ein Bestreiten mit Nichtwissen gemäß § 138 Abs. 4 ZPO ausscheidet.

d. Kosten der Schadensfeststellung

Dagegen hat die Klägerin keinen Anspruch auf Erstattung der geltend gemachten Kosten der Schadensfeststellung (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A.).

Es fehlt hierzu an hinreichendem Vortrag bzw. an einem Beweisantritt seitens der darlegungs- und beweisbelasteten Klägerin. Die Klägerin trägt vor, ihr Geschäftsführer sowie zwei Mitarbeiter aus dem Bereich Controlling seien mehrere Tage im Einsatz gewesen, um den Schaden festzustellen, und verweist auf eine Tabelle der ausgefallenen Personentage (Anlage K4), welche die Klägerin bereits der (ersten) Berechnung des Betriebsunterbrechungsschadens zugrunde gelegt hat. Die Beklagte hat diesen Vortrag als unsubstantiiert zurückgewiesen und die Anzahl der Mitarbeiter und der Ausfalltage bestritten, insbesondere dass diesbezüglich auch noch ein Jahr nach dem Schadensfall Personentage angefallen sein sollen. Weiterer Vortrag der Klägerin ist nicht erfolgt. Im Übrigen ist darauf hinzuweisen, dass ausgefallene Personentage bereits in die Ermittlung des Unterbrechungsschadens eingeflossen sind. Dass dem Geschäftsführer oder den Mitarbeitern der Klägerin schadensbedingt über das normale Gehalt hinaus eine zusätzliche Vergütung bezahlt worden wäre, wird von der Klägerin nicht behauptet.

e. Kosten für Gutachten der [...] GmbH

Schließlich hat die Klägerin keinen Anspruch auf Erstattung der Kosten des vorgerichtlich eingeholten Gutachtens der [...] GmbH (vgl. Rechnungen Anlage K 6). Es fehlt an einer Anspruchsgrundlage.

Zwar ist gemäß Seite 2 der Police (Anlage K1) der Baustein „Kosten eigener Sachverständiger“ mitversichert. Nach C5.1.1 AVB betrifft dies allerdings nur die im Rahmen des Sachverständigenverfahrens gemäß AVB anfallenden Gutachterkosten. Es bleibt daher bei der allgemeinen Regelung des § 85 Abs. 2 VVG. Danach hat der Versicherer Kosten, die dem Versicherungsnehmer durch die Zuziehung eines Sachverständigen entstehen, nicht zu erstatten, es sei denn, der Versicherungsnehmer ist zu der Zuziehung vertraglich verpflichtet oder vom Versicherer aufgefordert worden. Da die genannten Ausnahmen nicht vorliegen, bleibt es bei dem Grundsatz, dass diese Kosten nicht erstattungsfähig sind.

f. allgemeiner Selbstbehalt

Ein weiterer Selbstbehalt ist nicht abzuziehen. Zwar ist gemäß Seite 2 der Police (Anlage K1) ein allgemeiner Selbstbehalt (sog. Policen-Selbstbehalt) von 25.000 € vereinbart. Aus A1-15.2 AVB ergibt sich jedoch, dass es sich dabei um einen Mindest-Selbstbehalt handelt. Die bisherigen zu berücksichtigenden Sub-Selbstbehalte addieren sich auf 35.821 € (= Betriebsunterbrechung 35.321 € + Sachschaden 500 €), so dass der allgemeine Selbstbehalt aufgrund dieser speziellen Selbstbehalte bereits abgegolten ist.

5. Der Anspruch der Klägerin ist nicht wegen grob fahrlässiger Herbeiführung des Versicherungsfalls zu kürzen.

Nach § 81 Abs. 2 VVG, auf welchen sich die Beklagte berufen hat, ist der Versicherer berechtigt, seine Leistung in einem der Schwere des Verschuldens des Versicherungsnehmers entsprechenden Verhältnis zu kürzen, wenn der Versicherungsnehmer den Versicherungsfall grob fahrlässig herbeigeführt hat.

a. Der gerichtliche Sachverständige hat mehrere denkbare Maßnahmen aufgeführt, durch welche der Cyber-Angriff verhindert oder zumindest erschwert worden wäre. Hier sind insbesondere die Zwei-Faktoren-Authentifizierung und das sog. Monitoring zu nennen. Bei der Zwei-Faktoren-Authentifizierung ist neben dem Passwort eine weitere Komponente für die Anmeldung beim Netzwerk erforderlich. Diese weitere Komponente wird etwa über einen USB-Stick oder aber über eine App für das Handy bereitgestellt (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Das Monitoring schlägt Alarm, wenn Unregelmäßigkeiten auftreten, also etwa alle Server zeitgleich angegriffen werden, indem ein Mitarbeiter der Firma verständigt wird, etwa per SMS über das Handy. Dieser Mitarbeiter ist dann verpflichtet, sich beim System anzumelden und Überprüfungen vorzunehmen. Sollte dabei ein Angriff entdeckt werden, können, falls notwendig, alle Server vom Netz genommen werden, um Schlimmeres zu verhindern (Protokoll vom 28.04.2023 Seite 5, Bl. 587 d.A.).

b. Die Norm des § 81 Abs. 2 VVG ist vorliegend jedoch bereits nicht anwendbar, weshalb eine Kürzung ausscheidet.

Der Anwendungsbereich des § 81 Abs. 2 VVG ist dann nicht eröffnet, wenn die betreffende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; ähnlich BGH NJW 1965, 156, 157). So liegt der Fall hier. Bei der Klägerin hat sich die Risikolage bis zum 29./30.05.2020 gegenüber dem Zustand bei Vertragsschluss im April 2020 nicht geändert. Denn bereits damals verfügte die Klägerin weder über eine Zwei-Faktoren-Authentifizierung noch über ein Monitoring oder eine andere vergleichbare Maßnahme zur Vermeidung von Cyber-Angriffen. Die Beklagte hätte es selbst in der Hand gehabt, die Existenz solcher zusätzlichen Sicherheitsmaßnahmen durch passende Risikofragen abzuklären. Indem die Beklagte hierauf verzichtete, hat sie die Klägerin als Versicherungsnehmerin mit der bestehenden Risikolage akzeptiert und kann von Beginn an bestehende Risiken nicht über § 81 Abs. 2 VVG (ganz oder teilweise) der Versicherungsnehmerin aufbürden. Zu einer Abänderung, insbesondere Verbesserung der bei Vertragsschluss bestehenden Risikolage ist der Versicherungsnehmer nämlich nicht verpflichtet (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.). Diese Überlegungen gelten auch nach der VVG-Reform fort und finden daher auf § 81 VVG ebenso Anwendung wie auf § 61 VVG a.F. (vgl. zum neuen Recht: BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; anders wohl Langheid/Wandt/Looschelders, 3. Aufl. 2022, VVG § 81 Rn. 26).

6. Der Anspruch ist nach §§ 286 Abs. 1, Abs. 2 Nr. 3, 288 Abs. 1 BGB ab dem 05.06.2020 mit dem gesetzlichen Zinssatz zu verzinsen. Die Beklagte hat mit dem Rücktrittsschreiben vom 04.06.2020 (Anlage K 7) die Leistung aus dem Versicherungsvertrag ernsthaft und endgültig verweigert und befindet sich daher ab dem Folgetag im Verzug (BGH, 27.09.1989 – IVa ZR 156/88, VersR 1990, 153; Armbrüster, in Prölss/Martin, Versicherungsvertragsgesetz, 31. Auflage 2021, § 14 Rn. 29 m.w.N.).


Den Volltext der Entscheidung finden Sie hier:


EuGH-Generalanwalt: Bei einem Datenleck oder Hackerangriff kann ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO für Befürchtung eines künftigen Missbrauchs der Daten bestehen

EuGH-Generalanwalt
Schlussanträge vom 27.04.2023
C-340/21 | Natsionalna agentsia za prihodite


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass bei einem Datenleck oder Hackerangriff ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO gegen die verarbeitende Stelle für die Befürchtung eines künftigen Missbrauchs der Daten bestehen kann.

Die Pressemitteilung des EuGH:
Bei einem unbefugten Zugang zu personenbezogenen Daten durch Dritte haftet der Verantwortliche für mutmaßliches Verschulden und es kommt eventuell ein Ersatz des immateriellen Schadens in Betracht

Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist. Die Befürchtung eines künftigen Missbrauchs personenbezogener Daten kann nur dann einen immateriellen Schaden darstellen, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handelt.

Am 15. Juli 2019 verbreiteten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der bulgarischen Nationalen Agentur für Einnahmen (NAP) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht worden seien. Mehrere Personen, darunter V.B., verklagten die NAP auf Ersatz des immateriellen Schadens, der sich in Sorgen und Befürchtungen des künftigen Missbrauchs ihrer personenbezogenen Daten äußere. Nach Ansicht von V.B. hatte die NAP gegen nationale Vorschriften und ihre Verpflichtung verstoßen, geeignete Maßnahmen zu ergreifen, um als Verantwortliche bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsstandards zu gewährleisten. Das erstinstanzliche Gericht wies die Klage mit der Begründung ab, dass die Veröffentlichung der Daten nicht der NAP zuzurechnen sei, dass die Beweislast für die Geeignetheit der Maßnahmen bei V.B. liege und dass kein immaterieller Schaden geltend gemacht werden könne. Das mit der Kassationsbeschwerde befasste Oberste Verwaltungsgericht hat dem Gerichtshof einige Fragen zur Auslegung der DatenschutzGrundverordnung1 zur Vorabentscheidung vorgelegt, um zu klären, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In den heutigen Schlussanträgen weist Generalanwalt Giovanni Pitruzzella zunächst darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen müsse, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der Verordnung erfolge. Die Geeignetheit dieser Maßnahmen werde unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen auf der Grundlage einer Einzelfallprüfung bestimmt.

Der Generalanwalt führt erstens aus, dass das Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“ an sich nicht ausreiche, um anzunehmen, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet" gewesen seien, um den Schutz der Daten zu gewährleisten. Bei der Auswahl der Maßnahmen müsse der Verantwortliche eine Reihe von Faktoren berücksichtigen, darunter den „Stand der Technik“, der eine Begrenzung des technologischen Niveaus der Maßnahmen auf das, was zum Zeitpunkt des Ergreifens der Maßnahmen vernünftigerweise möglich sei, zulasse, wobei auch die Implementierungskosten zu berücksichtigen seien. Die Entscheidung des Verantwortlichen unterliege einer möglichen gerichtlichen Prüfung der Vereinbarkeit mit der Verordnung. Die Beurteilung der Geeignetheit der Maßnahmen müsse auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen unter Wahrung des allgemeinen Verhältnismäßigkeitsgrundsatzes beruhen.

Zweitens müsse das nationale Gericht bei der Prüfung der Frage, ob die Maßnahmen geeignet gewesen seien, eine Überprüfung vornehmen, die sich auf eine konkrete Analyse sowohl des Inhalts der Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen erstrecke. Bei der gerichtlichen Überprüfung müssten daher alle Faktoren berücksichtigt werden, die in der Verordnung enthalten seien. Unter diesen Faktoren könne die Einführung von Verhaltensregeln oder Zertifizierungssystemen ein nützliches Element der Bewertung zum Zweck der Erfüllung der Beweispflicht sein, wobei der Verantwortliche nachweisen müsse, dass er die in den Verhaltensregeln vorgesehenen Maßnahmen tatsächlich ergriffen habe, während die Zertifizierung als solche den Beweis für die Übereinstimmung der durchgeführten Verarbeitungen mit der Verordnung darstelle. Da diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden müssten, habe das Gericht auch diesen Umstand zu würdigen.

Drittens obliege dem Verantwortlichen der Nachweis, dass die Maßnahmen geeignet seien. Gemäß dem Grundsatz der Verfahrensautonomie sei es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die zulässigen Beweismittel und deren Beweiskraft, einschließlich der Ermittlungsmaßnahmen, zu bestimmen.

Viertens stelle der Umstand, dass der Verstoß gegen die Verordnung von einem Dritten begangen worden sei, für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung müsse der Verantwortliche mit hohem Beweisniveau nachweisen, dass er für den Umstand, durch den der Schaden eingetreten sei, in keinerlei Hinsicht verantwortlich sei. Bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handele es sich nämlich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche habe daher die Möglichkeit, einen Entlastungsbeweis vorzulegen.

Schließlich ist der Generalanwalt der Ansicht, dass der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten bestehe und dessen Vorhandensein die betroffene Person nachgewiesen habe, einen immateriellen Schaden darstellen könne, der einen Schadensersatzanspruch begründe. Dies gelte aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handele.


Die vollständigen Schlussanträge finden Sie hier:

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - "DSGVO-Konform: So vermeiden Sie die größten Datenfallen"

In Ausgabe 9/22, S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO-Konform: So vermeiden Sie die größten Datenfallen" zum datenschutzkonformen Umgang mit Kundendaten.

EU-Kommission: Entwurf für EU Cyber Resilience Act vorgelegt - Vorschriften zur Cybersicherheit von Produkten mit digitalen Elementen

Die EU-Kommission hat ihren Entwurf für den EU Cyber Resilience Act vorgelegt. Dieser soll die Cybersicherheit von Produkten mit digitalen Elementen erhöhen.

1. Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei

2. Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei


Die Meldung der EU-Kommission:

The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.

EU Cyber Resilience Act - For safer and more secure digital products

Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021.

Such products suffer from two major problems adding costs for users and the society:

a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.

While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs.

Two main objectives were identified aiming to ensure the proper functioning of the internal market:

1.create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and

2. create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements.

Four specific objectives were set out:

1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle;

2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers;

3. enhance the transparency of security properties of products with digital elements, and

4. enable businesses and consumers to use products with digital elements securely.



Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - "Daten weg - wer muss informiert werden"

In Ausgabe 5/22 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Daten weg - wer muss informiert werden" zu den Informationspflichten von Unternehmen bei einer Datenpanne oder einem Cyberangriff.

In Heft 5/22 der com! professional - Interview mit Rechtsanwalt Marcus Beckmann zum IT-Sicherheit und Cyberversicherungen

In Ausgabe 5/22, S.60 der Zeitschrift com! professional erschien im Rahmen des Beitrags "Elementarschutz des 21. Jahrhunderts - Die Firma für den Ernstfall absichern" von Konstantin Pfliege ein Interview mit Rechtsanwalt Marcus Beckmann zum Thema IT-Sicherheit und Cyberversicherungen.

LG München: 2.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf Dokumentenarchiv durch Unbefugte

LG München
Urteil vom 09.12.2021
31 O 16606/20


Das LG München hat in diesem Verfahren dem Betroffenen 2.500 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf das Dokumentenarchiv durch Unbefugte zugesprochen.

Aus den Entscheidungsgründen:

Der Kläger hat gegenüber der Beklagten einen Anspruch auf Zahlung von 2.500, - Euro gem. Art. 82 Abs. 1 DSGVO als immateriellen Schadensersatz.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Nach Art. 82 Abs. 3 DSGVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden (Quaas BeckOK Datenschutzrecht, Wolff/Brink; 36. Edition Stand: 01.05.2021 § 82 Rn. 51; 9 U 34/21 OLG Stuttgart Urteil vom 31.03.2021; LG Frankfurt vom 18.01.2021 — 2-30 O 147/20).

Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.

Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.

Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.

Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).

So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen CS. nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens CS. gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn - wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.

Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es - entgegen der Ansicht des Beklagten - nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen CS. hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte - und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen.

Wenn die Beklagte außerdem betont, dass es sich bei CS. um ein unabhängiges Uhnternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es lag eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei CS. zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen.

Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2; Paal, MMR 2020, 14, 17 m.w.N.), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre (vgl. Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Ed., 01.08.2020, Art. 82 DSGVO Rn. 51; 26 - Mitursächlichkeit genügt).

Sofern die Beklagte das Urteil das LG München I vom 02.09.2021, 23 O 10931/20 angeführt, sprechen dessen Entscheidungsgründe gerade dafür, dass im vorliegenden Fall ein Schaden gegeben ist. So weist das Landgericht zutreffend darauf hin, dass nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden kann sowie dass in den Erwägungsgründen (Nr. 75) (insbesondere) auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt sind (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Im dortigen Verfahren hat das Gericht seine Entscheidung insbesondere darauf gestützt, dass der Kläger sich darauf beschränkt hat, vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten (was aber auch im Erwägungsgrund Nr. 75 genannt ist!). Während dort ein Angriff auf den Account der E-Mail-Adresse zugrunde liegt, sind im vorliegenden Fall wesentlich umfangreichere und sensiblere Daten abgegriffen worden. Entgegen der Ansicht des LG Essen, Urteil vom 23.9.2021 - 6 O 190/21 liegt darin eine nicht nur „unbedeutende oder empfundene Verletzung von Persönlichkeitsrechten“. Im Übrigen erwähnt das LG Essen auch, dass ein Schmerzensgeldanspruch nach Art. 82 DS-GVO nicht auf schwere Schäden beschränkt ist, sodass sich ein genereller Ausschluss von Bagatellfällen verbietet. Das Gericht geht zudem offensichtlich (und zutreffend) auch davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreichen würde.

Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 Ill EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts — und damit auch der DS-GVO — gewährleistet (Wybitul/Haß/Albrecht: NJW 2018, 113, beck-online; vgl. auch Korch, NJW 2021, 978 - „Aus Erwägungsgrund 146 S. 3 ergibt sich, dass der Begriff des Schadens weit zu verstehen ist“).

Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.

So hat die Beklagte mit Schreiben vom 19.10.2020 (Anlage K 7) den betroffenen Kunden, somit auch dem Kläger mitgeteilt, dass die folgenden Daten von dem Vorfall betroffen sind wie „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“ und dass der Versuch unternommen werden könnte, Dritte mit der Identität des Kunden zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten (vgl. Quaas BeckOK Datenschutzrecht, Wolff/Brink 37. Edition Stand: 01.08.2021 Rn. 31), wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).

Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch - wie oben angesprochen - die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen.

Sofern die Beklagte meint, es sei eine Vorabentscheidung des EuGH zwingend erforderlich, was jüngst das BVerfG, Beschluss von 14.1.2021 - 1 BvR 2853/19 festgestellt hat, so übersieht sie Art. 267 Abs. 3 AEUV. Während nämlich bei dem, der genannten Entscheidung zugrunde liegenden Sachverhalt weder die Berufungsbeschwer erreicht war, noch das Amtsgericht die Berufung zugelassen hatte, ist diese vorliegend unzweifelhaft gegeben (vgl. § 511 Abs. 1, 2 Ziff. 1 ZPO), so dass keine letztinstanzliche Entscheidung gegeben ist.


Den Volltext der Entscheidung finden Sie hier: