Skip to content

LG Koblenz: Zum Mitverschulden eines Unternehmens bei Hackerangriff auf dessen E-Mail-Account und Manipulation der Bankverbindung auf Rechnungen

LG Koblenz
Urteil vom 26.03.2025
8 O 271/22

Das LG Koblenz hat sich in diesem Verfahren mit einem etwaigen Mitverschulden eines Unternehmens bei einem Hackerangriff auf dessen E-Mail-Account und Manipulation der Bankverbindung in den von ihm versandten Rechnungen befasst.

Die Pressemitteilung des Gerichts:
Muss ein Werkunternehmer sich Zahlungen seines Kunden auf das Konto eines Betrügers anrechnen lassen, wenn dieser seinen E-Mail Account hackt und gegenüber dem Kunden manipuliert, so dass er Zahlungen auf ein Fremdkonto leistet? Diese Frage hatte das Landgericht Koblenz zu entscheiden.

Sachverhalt:

Die Parteien streiten über die Zahlung von Werklohn für Zaunbauarbeiten auf dem Grundstück des Beklagten in B., die durch die Firma des Klägers ausgeführt worden sind. Die Parteien vereinbarten die Ausführung von Zaunbauarbeiten zu einem Pauschalpreis in Höhe von 11.000,00 € einschließlich Umsatzsteuer. Der Kläger stellte dem Beklagten die Arbeiten unter dem 09.07.2022 in Rechnung. Die Rechnung weist die Kontoverbindung des Klägers aus. Die Parteien kommunizierten im Rahmen der Auftragsabwicklung sowohl per e-Mail als auch per WhatsApp. Am 15.07.2022 übersandte der Beklagte dem Kläger per WhatsApp einen Screenshot einer Überweisung über einen Betrag in Höhe von 6.000,00 €. Der Screenshot weist eine IBAN aus, die nicht diejenige des Klägers ist und den Namen des Begünstigten als Ronald Serge B. Am 17.07.2022 übersandte der Beklagte dem Kläger einen weiteren Screenshot einer Überweisung auf das gleiche Konto über einen Betrag von 5.000,00 €. Im Folgenden konnte der Kläger auf seinem Konto keinen Zahlungseingang feststellen und erkundigte sich dementsprechend bei dem Beklagten. Am 20.07.2022 teilte der Kläger dem Beklagten mit, dass es sich bei dem auf den Screenshots ausgewiesenen Konto nicht um sein Bankkonto handele. Er verfolgt mit seinem Klagebegehren weiterhin die Zahlung des Werklohns von 11.000 €.

Der Beklagte behauptet, unter dem 09.07.2022 von der e-Mail-Adresse des Klägers eine e-Mail mit der Rechnung wie Anlage K 1 im Anhang erhalten zu haben. Am 11.07.2022 habe er um 11:03 Uhr eine e-Mail von diesem Account erhalten, in der ihm sinngemäß mitgeteilt wurde, den Rechnungsbetrag noch nicht anzuweisen, da sich die Bankverbindung geändert habe. Man werde ihm die richtige Bankverbindung zusenden, sobald er den Erhalt der Nachricht bestätige. Unter dem 15.07.2022 um 9:28 Uhr habe der Beklagte sodann eine weitere e-Mail erhalten, in der ihm die auf den Screenshots ersichtliche Bankverbindung mitgeteilt worden sei und auf die er gezahlt habe. Hätte der Kläger die Screenshots sogleich überprüft, wäre es der Bank möglich gewesen, die veranlassten Zahlungen wieder rückgängig zu machen.

Die Entscheidung:

Die 8. Zivilkammer des Landgerichts Koblenz hat der Klage in einem Umfang 8.250 € (75 %) stattgegeben und im Übrigen (25%) abgewiesen.

Der Kläger habe nach wie vor einen Anspruch auf Zahlung aufgrund des zwischen den Parteien geschlossenen Werkvertrages, denn der Beklagte könne sich vorliegend nicht mit Erfolg darauf berufen, dass er seine Schuld bereits durch Zahlung erfüllt habe. Allein der Umstand, dass die entsprechende Mitteilung des Kontos vorliegend mutmaßlich von dem e-Mail-Account des Klägers versandt worden ist, genüge insofern nicht um eine Vermutung dahingehend aufzustellen, dass die e-Mail auch tatsächlich von dem Kläger stammt oder mit dessen Einverständnis verschickt wurde. Indes sei allgemein bekannt, dass e-Mail-Accounts immer wieder unbefugt von Dritten gehackt werden und sich diese im Anschluss der entsprechenden e-Mail-Adresse bemächtigten. Den Parteien, die sich darauf einigen, ihre Korrespondenz über e-Mail zu führen, sei daher bekannt, dass es sich dabei um einen unsicheren und damit fälschungsanfälligen Kommunikationsweg handele. Dieses Risiko nähmen die Parteien damit, zum Zwecke der Vereinfachung ihrer Geschäftsbeziehungen, bewusst in Kauf.

Der Beklagte könne indes erfolgreich mit einem eigenen gegen den Kläger bestehenden Schadensersatzanspruch teilweise aufrechnen. Ein solcher Anspruch folge aus Art. 82 DSGVO (Datenschutzgrundverordnung). Danach sei der Kläger als Unternehmer verpflichtet, sensible Daten gegen Datenschutzverletzungen zu sichern. Zu diesen Daten gehörten sowohl die in der Rechnung enthaltenen personenbezogenen Angaben des Beklagten, als auch seine e-Mail-Adresse. Eine solche Absicherung habe der Kläger nicht vorgenommen.

Der Beklagte müsse sich aber ein erhebliches Mitverschulden anrechnen lassen. Vor dem oben aufgezeigten Hintergrund wäre es auch an dem Beklagten gewesen, kritisch zu hinterfragen, ob die ihm per e-Mail übersandten Kontodaten tatsächlich von dem Kläger stammen, zumal eine Bankverbindung mit einem vollkommen fremden Zahlungsempfänger mitgeteilt wurde. Spätestens in diesem Moment hätte der Beklagte sich bei dem Kläger rückversichern müssen. Der Beklagte könne sich nicht mit Erfolg darauf berufen, dem Kläger per WhatsApp Screenshots der von ihm getätigten Überweisungen geschickt zu haben. Zwar hätte auch anhand dieser Screenshots der Kläger bei sorgfältigerer Durchsicht erkennen können, dass die Zahlung an einen falschen Empfänger getätigt worden ist, eine entsprechende Prüfungspflicht obliege ihm allerdings nicht, das Risiko der Zahlung liege vielmehr beim Beklagten. Erschwerend trete hinzu, dass der Beklagte die Screenshots lediglich per WhatsApp übersandt habe. Dabei handelt es sich indes in der Regel um kurze Nachrichten, die unmittelbar auf dem Mobilgerät eingehen und dafür konzipiert seien, dort auch direkt gelesen zu werden. Es sei daher damit zu rechnen, dass sie auch in einer Situation zur Kenntnis genommen werden können, in der der Fokus nicht primär auf dem Schriftverkehr liege und die eine sorgfältige Prüfung - etwa den Abgleich von Zahlen - gar nicht ermögliche.

Mit Blick auf die zuvor gemachten Ausführungen sei deshalb ein überwiegendes Mitverschulden beim Beklagten zu sehen, was eine Quotelung des Schadens 25 : 75 zu Lasten des Beklagten rechtfertige. Mit Blick auf sein überwiegendes Mitverschulden steht ihm daher lediglich ein Anspruch auf Ersatz von 25 % seines Schadens gegen den Kläger zu, so dass er lediglich in Höhe eines Betrages von 2.750,00 € mit Erfolg aufrechnen könne.

Auszug aus dem Bürgerlichen Gesetzbuch

§ 631 Vertragstypische Pflichten beim Werkvertrag
(1) Durch den Werkvertrag wird der Unternehmer zur Herstellung des versprochenen Werkes, der Besteller zur Entrichtung der vereinbarten Vergütung verpflichtet.
(2) Gegenstand des Werkvertrags kann sowohl die Herstellung oder Veränderung einer Sache als auch ein anderer durch Arbeit oder Dienstleistung herbeizuführender Erfolg sein.

§ 254 Mitverschulden
(1) Hat bei der Entstehung des Schadens ein Verschulden des Beschädigten mitgewirkt, so hängt die Verpflichtung zum Ersatz sowie der Umfang des zu leistenden Ersatzes von den Umständen, insbesondere davon ab, inwieweit der Schaden vorwiegend von dem einen oder dem anderen Teil verursacht worden ist.
……

§ 270 Zahlungsort
(1) Geld hat der Schuldner im Zweifel auf seine Gefahr und seine Kosten dem Gläubiger an dessen Wohnsitz zu übermitteln.




OVG Münster: Behörden sind nicht verpflichtet Daten mit Ende-zu-Ende-Verschlüsselung zu versenden

OVG Münster
Beschluss vom 20.02.2025
16 B 288/23


Das OVG Münster hat entschieden, dass Behörden nicht verpflichtet sind, Daten mit Ende-zu-Ende-Verschlüsselung zu versenden.

Aus den Entscheidungsgründen:
II. Der Antragsteller stellt die Annahme des Verwaltungsgerichts, er habe keinen Anordnungsanspruch glaubhaft gemacht, mit seinem Beschwerdevorbringen nicht durchgreifend in Frage.

1. Das Verwaltungsgericht hat zutreffend angenommen, dass Art. 18 Abs. 1 Buchstabe d DSGVO keine Anspruchsgrundlage für das Begehren des Antragstellers darstellt. Nach dieser Vorschrift hat die betroffene Person das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die betroffene Person Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden (Art. 18 Abs. 2 DSGVO). Das Verwaltungsgericht hat dazu ausgeführt, dem Antragsteller gehe es nicht nur um die Einschränkung der Datenverarbeitung für die Dauer des bereits abgeschlossenen Überprüfungsverfahrens, sondern um eine Verpflichtung der Antragsgegnerin, zukünftig eine Ende-zu-Ende-Verschlüsselung bei der Verarbeitung der personenbezogenen Daten des Antragstellers zu verwenden.

Dem setzt der Antragsteller ohne Erfolg den Hinweis entgegen, der Betroffene könne ausdrücklich auf Basis einer Einwilligung die Einschränkung der Verarbeitung teilweise aufheben und damit sei nach Art. 18 Abs. 2 DSGVO jede Verarbeitung auch solcher Daten zulässig, deren Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt worden sei. Dieses Vorbringen versteht der Senat dahingehend, dass der Antragsteller meint, aufgrund seines Widerspruchs gegen die Verarbeitung seiner personenbezogenen Daten durch die Antragsgegnerin sei die Datenverarbeitung mit der in Art. 18 Abs. 2 DSGVO beschriebenen Rechtsfolge eingeschränkt und er könne diese Einschränkung dadurch wieder teilweise aufheben, dass er in eine Übermittlung unter den in seinem Antrag genannten Voraussetzungen (Ende-zu-Ende-Verschlüsselung bzw. eine dem Stand der Technik und dem Risiko entsprechende Verschlüsselung) einwillige.


Unabhängig vom Stand des in Art. 18 Abs. 1 Buchstabe d DSGVO i. V. m. Art. 21 Abs. 1 DSGVO vorgesehenen Überprüfungsverfahrens bleibt dieses Vorbringen ohne Erfolg. Die Einschränkungen für die Datenverarbeitung unter den in Art. 18 Abs. 1 Buchstabe d DSGVO genannten Voraussetzungen gelten nach dem Wortlaut der Vorschrift in zeitlicher Hinsicht nur, „solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen“. Dem Antragsteller geht es im vorliegenden Verfahren jedoch nicht um den Zeitraum während des Überprüfungsverfahrens nach Art. 21 DSGVO, sondern um eine von diesem Zeitraum unabhängige Regelung für die Übermittlung seiner personenbezogenen Daten. Dem steht nicht entgegen, dass er seinen Antrag im Verfahren auf Gewährung einstweiligen Rechtsschutzes zeitlich „bis zu einer Entscheidung in der Hauptsache“ begrenzt hat. Diese zeitliche Begrenzung ist lediglich dem Charakter des Verfahrens auf Gewährung einstweiligen Rechtsschutzes geschuldet.

Da der Antragsteller die geltend gemachten Ansprüche nicht aus Art. 18 Abs. 1 Buchstabe d DSGVO herleiten kann und es nicht auf das in dieser Vorschrift in Bezug genommene Überprüfungsverfahren gemäß Art. 21 Abs. 1 DSGVO ankommt, musste das Verwaltungsgericht dem Antrag auch nicht deswegen stattgeben, weil nach Ansicht des Antragstellers nicht ersichtlich sei, welche in Art. 21 Abs. 1 Satz 2 DSGVO angeführten zwingenden Gründe hier gegen eine Ende-zu-Ende-Verschlüsselung sprächen.

2. Der Antragsteller stellt weiter die Annahme des Verwaltungsgerichts, er könne einen Anspruch auf Datenübermittlung im Wege einer Ende-zu-Ende-Verschlüsselung oder einer sonstigen Verschlüsselung, die über die von der Antragsgegnerin verwendete hinausgehe, nicht aus Art. 32 DSGVO herleiten, nicht durchgreifend in Frage.

Das Verwaltungsgericht hat diese Ansicht mit einer Gesamtbetrachtung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien begründet. Es hat ausgeführt, nach dieser Vorschrift sei die Antragsgegnerin bei der Verarbeitung personenbezogener Daten verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Erforderlich seien eine Risikoeinschätzung und darauf basierend die Feststellung des Schutzbedarfs der Daten. Die in Art. 32 Abs. 1 Buchstabe a DSGVO genannte Maßnahme der Verschlüsselung personenbezogener Daten müsse den in Art. 5 Abs. 1 Buchstabe f DSGVO genannten Zielsetzungen der Integrität und Vertraulichkeit genügen sowie dem Stand der Technik entsprechen; darüber hinausgehende spezifische Anforderungen für das einzusetzende Verschlüsselungsverfahren ließen sich Art. 32 DSGVO aber nicht entnehmen. Der Antragsteller habe nicht hinreichend glaubhaft gemacht, dass die Datenverarbeitung der Antragsgegnerin für ihn ein besonderes Risiko darstelle. Seinen Ausführungen lasse sich nicht entnehmen, dass ein erhöhtes Risiko mit Blick auf die Datenverarbeitung der Antragsgegnerin bestehe, diese etwa einem gesteigerten Risiko ausgesetzt sei, Opfer von Hackerangriffen zu werden. Ebenso wenig sei die Antragsgegnerin in der Vergangenheit durch Sicherheitslücken aufgefallen. Vielmehr erfolge die Datenübertragung bei der Antragsgegnerin stets unter TLS-Verschlüsselung und werde im Kommunikationsprozess mit anderen staatlichen Stellen zusätzlich gesichert (SINA-Box, Client-Zertifikate). Zudem hat das Verwaltungsgericht auf das von der Antragsgegnerin vorgelegte (und bei positivem Abschluss der jährlichen Überwachungsaudits bis zum 17. Juni 2025 gültige) IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 Bezug genommen und ausgeführt, es seien keine Anhaltspunkte dafür ersichtlich, dass die Antragsgegnerin ihr IT-Sicherheitskonzept nicht oder nicht hinreichend umsetze.

Die gegen diese Ausführungen gerichteten Einwände des Antragstellers betreffen einzelne Aspekte der Gesamtbetrachtung. Sie führen auch bei gemeinsamer Würdigung nicht zum Erfolg der Beschwerde. Dies liegt insbesondere daran, dass der Antragsteller mit seinem Beschwerdevorbringen die für die Gesamtbetrachtung nach Art. 32 Abs. 1 DSGVO wesentliche Einschätzung des Verwaltungsgerichts nicht durchgreifend in Zweifel zieht, wonach er das von der Datenverarbeitung der Antragsgegnerin für ihn ausgehende besondere Risiko nicht glaubhaft gemacht habe, und sich die von ihm begehrte Art der Datenübermittlung jedenfalls ohne ein solches erhöhtes Risiko nicht aus Art. 32 Abs. 1 DSGVO ableiten lasse. Dabei besteht Einigkeit darüber, dass es sich bei den in Rede stehenden Daten des Antragstellers nicht um personenbezogene Daten i. S. v. Art. 9 und 10 DSGVO handelt.

a) Das Verwaltungsgericht hat zu der behaupteten Gefährdung für Leib, Leben und Freiheit des Antragstellers ausgeführt, dessen Hinweis auf den ihn betreffenden Beschluss des Bundesverwaltungsgerichts vom 10. Juni 2021 ‑ 3 B 19.20 ‑ genüge nicht, um einen derart erhöhten Schutzbedarf glaubhaft zu machen, der eine Ende-zu-Ende-Verschlüsselung gebiete, weil es sich bei der vom Antragsteller in Bezug genommenen Passage lediglich um eine Wiedergabe der Ausführungen des Berufungsgerichts handele. Die dort wiedergegebene Einschätzung des Berufungsgerichts beruhe auf konkreten und durch Belege gestützten Angaben des Antragstellers im dortigen Verfahren sowie ergänzend auf einer im Zusammenhang mit § 41 Abs. 2 StVG stehenden Gefährdungsbewertung der Polizeidirektion. Vorliegend habe der Antragsteller keine konkreten Angaben oder Belege eingereicht, die ein besonderes Risiko für ihn durch die Datenverarbeitung der Antragsgegnerin belegen könnten. Der Umstand, dass der Antragsteller in einem Verfahren zur Eintragung einer Übermittlungssperre erfolgreich dargelegt habe, dass durch die Übermittlung von in das Fahrzeugregister eingetragenen Daten schutzwürdige Interessen beeinträchtigt würden, reiche nicht aus, um dies auch für eine Datenverarbeitung durch die Antragsgegnerin anzunehmen. Gleiches gelte für den Hinweis des Antragstellers auf die zu seiner Person eingetragene Auskunftssperre nach § 51 BMG.

Der dagegen gerichtete Vorwurf des Antragstellers, das Verwaltungsgericht sei rechtswidrig davon ausgegangen, er müsse den erhöhten Schutzbedarf zweifelsfrei nachweisen, trifft nicht zu. Das Verwaltungsgericht hat ausdrücklich ausgeführt, der Antragsteller müsse seine Gefährdung glaubhaft machen (Seite 8, 11 des Beschlusses), und näher erläutert, aus welchen Gründen dies nicht erfolgt sei.

Die Einwände des Antragstellers, seine Gefährdung sei in anderen Gerichtsverfahren festgestellt worden und ein individuell-konkreterer Vortrag könne nicht verlangt werden, greifen nicht durch. Sie genügen schon nicht den Darlegungsanforderungen des § 146 Abs. 4 Satz 3 VwGO. Danach muss der Beschwerdeführer u. a. die Gründe darlegen, aus denen die Entscheidung abzuändern oder aufzuheben ist, und sich mit der angefochtenen Entscheidung auseinandersetzen. Die – hier erfolgte – bloße Wiederholung des erstinstanzlichen Vorbringens reicht dazu grundsätzlich nicht aus; Entsprechendes gilt für die Bezugnahme auf die bereits erstinstanzlich vorgelegte eidesstattliche Versicherung des Antragstellers vom 29. August 2022, in der der Antragsteller geltend macht – allerdings ohne dafür Nachweise vorzulegen –, aufgrund seines beruflichen Umgangs mit […] bestehe für ihn die Gefahr, Opfer einer Entführung oder eines Raubes zu werden […]. Der Antragsteller geht nicht auf die zutreffende Argumentation des Verwaltungsgerichts ein, dass das Bundesverwaltungsgericht in der vom Antragsteller in Bezug genommenen Passage nicht Tatsachen betreffend diesen selbst festgestellt, sondern lediglich Ausführungen der Vorinstanz wiedergegeben hat, und aus welchen Gründen ein Verweis auf Gefährdungseinschätzungen anderer Gerichte oder Behörden in anderen rechtlichen Zusammenhängen (Fahrzeug-, Melderegister) keine belastbaren Rückschlüsse auf die vorliegende Fallkonstellation zulässt. Unabhängig vom Vorstehenden hat der Antragsteller auch im Beschwerdeverfahren keine konkreten Belege für die von ihm geltend gemachte besondere Gefährdung vorgelegt.

b) Aus den vorgenannten Gründen kann der Antragsteller auch nicht mit Erfolg rügen, die Datenverarbeitung der Antragsgegnerin sei im Lichte von Art. 5 DSGVO formell rechtswidrig, weil diese keine Einzelfallprüfung bezogen auf seine besonders schutzbedürftigen personenbezogenen Daten vorgenommen habe. Daher kommt auch die vom Antragsteller thematisierte Sperrung seiner Daten für eine nicht hinreichend verschlüsselte Übermittlung als „Sanktionswirkung für ein Unterlassen nach Art. 5 DSGVO“ nicht in Betracht.

c) Die Ausführungen des Verwaltungsgerichts, wonach für die Antragsgegnerin kein gesteigertes Risiko erkennbar sei, Opfer von Hackerangriffen zu werden, und diese in der Vergangenheit auch nicht durch Sicherheitslücken aufgefallen sei, betreffen der Sache nach den Aspekt „Eintrittswahrscheinlichkeit“ in Art. 32 Abs. 1 DSGVO. Sie werden vom Antragsteller mit seinem Beschwerdevorbringen inhaltlich nicht in Frage gestellt. Das Verwaltungsgericht hat mit diesen Ausführungen nicht vom Antragsteller einen Nachweis für das Gegenteil verlangt.

d) Die Rüge des Antragstellers, die Antragsgegnerin habe keine ausreichende Transportverschlüsselung glaubhaft gemacht, greift nicht durch. Das Verwaltungsgericht hat zur Transportverschlüsselung ausgeführt, die von der Antragsgegnerin verwendete Transportverschlüsselung sei datenschutzrechtlich ausreichend. Zur Begründung hat es sich u. a. auf das von der Antragsgegnerin vorgelegte IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 gestützt. Außerdem hat es die Angaben der Antragsgegnerin angeführt, wonach jede Datenübermittlung verschlüsselt erfolge, etwa durch TLS-Verschlüsselungen, und im Kommunikationsprozess mit anderen staatlichen Stellen zusätzliche Sicherungen beständen (SINA-Box, Client-Zertifikate). Konkrete Anhaltspunkte dafür, dass diese Angaben der Antragsgegnerin nicht zutreffen könnten oder die im IT-Sicherheitszertifikat angeführten Maßnahmen nicht umgesetzt würden, zeigt der Antragsteller nicht auf.


Soweit er die von der Antragsgegnerin verwendete Verschlüsselungstechnik für zu unsicher hält und meint, TLS 1.2 entspreche nicht mehr dem aktuellen Stand der Technik, vielmehr gebe es bereits seit 2018 TLS 1.3, jedenfalls aber sei jede TLS-Verschlüsselung zu unsicher, führt dies nicht zum Erfolg seiner Beschwerde. Denn die Verschlüsselung über TLS stellt, wie vom Verwaltungsgericht ausgeführt, nicht die einzige Sicherheitsmaßnahme der Antragsgegnerin dar. Im Beschwerdeverfahren hat die Antragsgegnerin zudem ergänzt, die Transportverschlüsselung sei so konzipiert, dass sie vom Browser-Client der Anfragenden bis zur Firewall der Antragsgegnerin reiche; es gebe also keine „Zwischenstationen“, auf denen die Inhalte unverschlüsselt abgelegt wären; die Netzkomponenten auf dem Routing-Weg im Internet könnten keinen Einblick in die Kommunikationsinhalte gewinnen. Konkrete Anhaltspunkte dafür, dass diese Angaben wahrheitswidrig sein könnten, sind weder substantiiert vorgetragen noch sonst ersichtlich. Abgesehen davon kann der Antragsteller im Rahmen der nach Art. 32 Abs. 1 DSGVO erforderlichen Gesamtbetrachtung ohne besondere, in seiner Person liegende Umstände, die hier nicht glaubhaft gemacht sind, nicht von der Antragsgegnerin verlangen, dass die ihn betreffenden personenbezogenen Daten nur unter höheren Sicherheitsanforderungen elektronisch übermittelt werden dürfen, als dies bei personenbezogenen Daten anderer Personen, die bei der Antragsgegnerin gespeichert sind, der Fall ist. Dies gilt auch für etwaige Übermittlungen durch Telefax, E-Mail oder Telefon, die vom Baustein „CON.9 Informationsaustausch“ des IT-Grundschutzes der Antragsgegnerin erfasst werden, der nach seiner Nr. 1.1. unterschiedliche Kommunikationswege wie z. B. persönliche Gespräche, Telefonate, Briefe u. a. in den Blick nimmt.


e) Weiter ohne Erfolg macht der Antragsteller mit seiner Beschwerdebegründung vom 3. April 2023 geltend, den vom Verwaltungsgericht angenommenen Prüfungsmaßstab „sozialadäquat“ kenne die Datenschutz-Grundverordnung nicht. Im Schriftsatz vom 27. Mai 2023 versteht der Antragsteller diesen Begriff dahingehend, dass damit eine Transportverschlüsselung gemeint sei, die dem üblichen Stand der Technik entspreche. In diese Richtung geht auch die Formulierung des Verwaltungsgerichts, das in Anlehnung an die entsprechende Wortwahl des insoweit zitierten Verwaltungsgerichts Mainz,

Urteil vom 17. Dezember 2020 - 1 K 778/19.MZ -, juris, Rn. 40: „Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest‑)Stand der Technik einzustufen“,

die von der Antragsgegnerin verwendete Transportverschlüsselung mit diesem Begriff bezeichnet hat. Der Sache nach stellen die Ausführungen des Verwaltungsgerichts in diesem Zusammenhang eine zusammenfassende Bewertung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien dar und ist als solche rechtlich nicht zu beanstanden.

f) Die Ausführungen des Antragstellers dazu, dass Art. 2 Abs. 2 Buchstabe d DSGVO den geltend gemachten Anspruch nicht ausschließe, führen nicht zum Erfolg der Beschwerde, weil auch das Verwaltungsgericht von dieser Rechtsauffassung ausgegangen ist.


Den Volltext der Entscheidung finden Sie hier:

EuGH: Verweigerung der Interoperabilität einer Plattform mit der App eines Drittunternehmens kann Missbrauch einer marktbeherrschenden Stellung sein - Android Auto von Google / Alphabet

EuGH
Urteil vom 25.02.2025
C-233/23
Alphabet u. a.


Der EuGH hat entschieden, dass die Verweigerung der Interoperabilität einer Plattform mit der App eines Drittunternehmens der Missbrauch einer marktbeherrschenden Stellung sein kann. Vorliegend ging es um Android Auto von Google / Alphabet.

Die Pressemitteilung des EuGH:
Die Weigerung eines Unternehmens in beherrschender Stellung, die Interoperabilität seiner Plattform mit einer App eines anderen Unternehmens sicherzustellen, die dadurch attraktiver würde, kann missbräuchlich sein

Die Weigerung kann mit dem Fehlen eines Templates für die Kategorie der betreffenden Apps gerechtfertigt werden, wenn die Gewährleistung der Interoperabilität die Sicherheit oder die Integrität der Plattform gefährden würde.

Die Weigerung eines Unternehmens in beherrschender Stellung, das eine digitale Plattform entwickelt hat, den Zugang zu dieser Plattform zu ermöglichen, indem es die Gewährleistung der Interoperabilität dieser Plattform mit einer von einem Drittunternehmen entwickelten App ablehnt, kann einen Missbrauch einer beherrschenden Stellung darstellen, obwohl die Plattform für die kommerzielle Nutzung der App nicht unerlässlich ist. Ein solcher Missbrauch kann nämlich festgestellt werden, wenn die Plattform mit dem Ziel entwickelt wurde, eine Nutzung durch Drittunternehmen zu ermöglichen, und wenn sie geeignet ist, die App für die Verbraucher attraktiver zu machen. Die Weigerung kann jedoch damit gerechtfertigt werden, dass es zum Zeitpunkt, zu dem das Drittunternehmen um Zugang ersucht hat, kein Template für die Kategorie der betreffenden Apps gab, wenn die Gewährung der Interoperabilität die Sicherheit oder die Integrität der Plattform gefährden würde oder wenn es aus anderen technischen Gründen unmöglich wäre, diese Interoperabilität zu gewährleisten. In den anderen Fällen muss das Unternehmen in beherrschender Stellung ein solches Template innerhalb eines angemessenen Zeitraums und gegebenenfalls gegen eine angemessene finanzielle Gegenleistung entwickeln.

Im Jahr 2018 führte Enel1 in Italien die App JuicePass ein, die es den Nutzern ermöglicht, Ladestationen für ihre Elektrofahrzeuge zu lokalisieren und zu buchen. Um die Navigation zu solche Stationen zu erleichtern, ersuchte Enel Google , die App mit Android Auto, dem System von Google, das es ermöglicht, direkt über den Bordbildschirm von Fahrzeugen auf Apps auf Smartphones zuzugreifen, kompatibel zu machen. Drittentwickler können ihre Apps nämlich dank der Templates, die Google bereitstellt, an Android Auto anpassen. Google lehnte es ab, die erforderlichen Maßnahmen zu ergreifen, um die Interoperabilität von JuicePass mit Android Auto zu gewährleisten. Die italienische Wettbewerbs- und Marktaufsichtsbehörde (AGCM) war der Ansicht, dass dieses Verhalten einen Missbrauch einer beherrschenden Stellung darstelle, und verhängte gegen Google eine Geldbuße von über 102 Millionen Euro. Google focht diese Entscheidung bis zum italienischen Staatsrat an, der den Gerichtshof um Vorabentscheidung ersucht hat.

Der Gerichtshof ist der Ansicht, dass die Weigerung eines Unternehmens in beherrschender Stellung, das eine digitale Plattform entwickelt hat, die Interoperabilität dieser Plattform mit einer von einem Drittunternehmen entwickelten App zu gewährleisten, einen Missbrauch einer beherrschenden Stellung darstellen kann.

Ein solcher Missbrauch einer beherrschenden Stellung ist nicht auf den Fall beschränkt, dass die Plattform für die Ausübung der Tätigkeit desjenigen, der um Zugang ersucht, unerlässlich ist . Er kann auch vorliegen, wenn, wie es vorliegend der Fall zu sein scheint, ein Unternehmen in beherrschender Stellung die Plattform nicht ausschließlich für die Zwecke seiner eigenen Tätigkeit, sondern mit dem Ziel entwickelt hat, ihre Nutzung durch Drittunternehmen zu ermöglichen, und wenn diese Plattform für die kommerzielle Nutzung einer von einem Drittunternehmen entwickelten App zwar nicht unerlässlich ist, aber geeignet ist, diese App für die Verbraucher attraktiver zu machen.

Die Zugangsverweigerung kann auch dann wettbewerbswidrige Auswirkungen haben, wenn das Drittunternehmen, das die App entwickelt hat, und seine Wettbewerber auf dem Markt, zu dem diese App gehört, tätig geblieben sind und ihre Stellung auf diesem Markt ausgebaut haben, ohne die Interoperabilität mit der Plattform nutzen zu können. Insoweit ist unter Berücksichtigung aller relevanten tatsächlichen Umstände zu prüfen, ob die Weigerung geeignet war, die Aufrechterhaltung oder Entwicklung des Wettbewerbs auf dem betreffenden Markt zu behindern.

Die Weigerung eines Unternehmens in beherrschender Stellung, die Interoperabilität einer App mit einer digitalen Plattform zu gewährleisten, kann damit gerechtfertigt werden, dass es für die Kategorie der betreffenden Apps kein Template gibt, wenn die Gewährung einer solchen Interoperabilität mittels eines solchen Templates die Integrität dieser Plattform oder die Sicherheit ihrer Nutzung gefährden würde oder wenn es aus anderen technischen Gründen unmöglich wäre, die Interoperabilität durch die Entwicklung dieses Templates zu gewährleisten.

Ist dies jedoch nicht der Fall, muss das Unternehmen in beherrschender Stellung ein solches Template innerhalb eines angemessenen Zeitraums und gegebenenfalls gegen eine angemessene finanzielle Gegenleistung entwickeln. Dabei sind die Bedürfnisse des Drittunternehmens, das um diese Entwicklung ersucht hat, die tatsächlichen Kosten dieser Entwicklung und das Recht des Unternehmens in beherrschender Stellung, daraus einen angemessenen Nutzen zu erzielen, zu berücksichtigen.


Den Volltext der Entscheidung finden Sie hier:

OLG Schleswig-Holstein: Unternehmen müssen E-Mail-Rechnungen mit Ende-zu-Ende-Verschlüsselung versenden - andernfalls Schadensersatz aus Art. 82 DSGVO bei Man-in-the-Middle-Angriff

OLG Schleswig-Holstein
Urteil vom 18.12.2024
12 U 9/24


Das OLG Schleswig-Holstein hat entschieden, dass Unternehmen E-Mail-Rechnungen mit Ende-zu-Ende-Verschlüsselung versenden müssen. Andernfalls kann bei einem Man-in-the-Middle-Angriff ein Schadensersatzanspruch aus Art. 82 DSGVO bestehen.

Das Gericht hat zum Glück die Revision zugelassen, so dass der BGH hoffentlich die Gelegenheit erhält, diese völlig praxisuntaugliche Entscheidung zu korrigieren.

Aus den Entscheidungsgründen:
2. Anders als das Landgericht meint, steht der Beklagten allerdings ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung des streitgegenständlichen Betrags zu, den die Beklagte der Klagforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten kann.

a) Ein solcher Anspruch resultiert vorliegend jedenfalls aus Art. 82 DSGVO.

Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z.B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Als Datenschutzverletzungen werden versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten definiert. Um solche Sicherheitsvorfälle zu vermeiden, werden Unternehmen dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. Nach Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (...) Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Art. 82 Abs. 1 DSGVO eröffnet einen direkten eigenen deliktischen Schadensersatzanspruch mit Verschuldensvermutung, wobei der Verantwortliche nach Abs. 3 den Entlastungsbeweis führen kann.

Dass die Beklagte sich nicht ausdrücklich auf Art. 82 Abs. 1 DSGVO berufen hat, hindert eine Anwendbarkeit nicht, denn die Subsumtion des unterbreiteten Sachverhalts obliegt allein dem Gericht. Insoweit hat die Beklagte alle erforderlichen Voraussetzungen für einen solchen Schadensersatzanspruch vorgetragen.

aa) Der Anwendungsbereich der DSGVO ist in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet.

Gemäß Art. 2 Abs. 1 DSGVO gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Personenbezogene Daten sind Daten, über die sich ein konkreter Personenbezug herstellen lässt. Demnach geht es um Daten, die konkreten Personen zuzuordnen sind. Die in der streitgegenständlichen Email als Anhang enthaltenen Angaben zur Beklagten (Name, Anschrift, Kunde der Klägerin, offene Rechnung über eine Werkleistung) sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Die Versendung der Rechnung mit den enthaltenen Daten per E-Mail an die Beklagte über den streitverkündeten Zeugen A. stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar ("Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung"). Daran ändert sich auch nichts dadurch, dass nicht die personenbezogenen Daten der Beklagten, sondern die Kontoverbindung der Klägerin durch einen Dritten unbefugt manipuliert wurde, denn ohne den gleichzeitigen unbefugten Zugriff auf die Daten der Beklagten wäre diese durch die abgewandelte, an die Email angehängte Rechnung nicht dazu veranlasst worden, auf ein falsches Bankkonto zu zahlen.

Das sog. Haushaltsprivileg des Art. 2 Abs. 2 lit. c DSGVO, wonach die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten findet, greift nicht, da die Verarbeitung vorliegend durch ein Unternehmen im Rahmen des geschäftlichen Betriebs stattgefunden hat.

Die Beklagte ist für den geltend gemachten Anspruch aktivlegitimiert. Denn anspruchsberechtigt ist nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist. Die Klägerin ist als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO passivlegitimiert im Sinne von Art. 82 Abs. 1 DSGVO.

bb) Im Übrigen hat Art. 82 Abs. 2 DSGVO - der die in Art. 82 Abs. 1 DSGVO grundsätzlich normierte Haftungsregelung präzisiert - drei Voraussetzungen für die Entstehung eines Schadensersatzanspruchs, nämlich

- erstens eine Verarbeitung personenbezogener Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 UnterAbs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 1 und 2 DSGVO unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO,

- zweitens einen der betroffenen Person entstandenen Schaden und

- drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden

(vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 58; EuGH, Urteil v. 04.05.2023 – C-300/21 -, juris Rn. 36).

(1) Vorliegend hat nach Ansicht des Senats die Klägerin - anders als das Landgericht meint – im Zuge der Verarbeitung der personenbezogenen Daten der Beklagen bei Versand der streitgegenständlichen Email mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.

(aa) Ein Verstoß gegen die Vorschriften der Datenschutzgrundverordnung kann in diesem Zusammenhang nicht schon allein deswegen angenommen werden, weil – was unstreitig ist – ein unbefugter Zugriff auf personenbezogene Daten durch Dritte im Sinne von Art. 4 Nr. 10 DSGVO stattgefunden hat. Denn dies allein reicht nach der Rechtsprechung des Europäischen Gerichtshofs nicht aus, um gleichzeitig davon auszugehen, dass die technischen und organisatorischen Maßnahmen des für die Verarbeitung Verantwortlichen nicht "geeignet" im Sinne von Art. 24 und 32 DSGVO waren, vgl. EuGH, Urteil v. 25.01.2024 - C-687/21 -, juris Rn. 45; EuGH, Urteil v. 14.12.2023 - C-340/21, juris Rn. 22ff., 31-39).

(bb) Umgekehrt ist nach der Rechtsprechung des Europäischen Gerichtshofs der Verantwortliche aber auch nicht gem. Art. 82 Abs. 3 DSGVO von seiner nach Art. 82 Abs. 1 und 2 DSGVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens allein deswegen befreit, weil dieser Schaden die Folge eines unbefugten Zugangs zu personenbezogenen Daten durch einen Dritten ist (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 65ff., 74).

(cc) Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen (vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 40Ff; ebenso EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 48ff., 57). Das ist der Klägerin vorliegend nicht gelungen, da der Senat die Transportverschlüsselung, die sie beim Versand der streitgegenständlichen Email – von der Beklagten bestritten – verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält. Es kann damit auch dahinstehen, ob eine solche Transportverschlüsselung tatsächlich erfolgt ist. Das von der Klägerin zum Beweis dafür und für die Frage, ob eine Transportverschlüsselung dem üblichen Sicherungsmaß entspricht oder sogar darüber hinausgeht, angebotene Sachverständigengutachten ist insoweit nicht einzuholen.

(aaa) Der Senat verkennt dabei nicht, dass es konkrete gesetzliche Anforderungen an eine Verschlüsselung von Emails nicht gibt.

Auch in der Datenschutzgrundverordnung ist eine Verschlüsselung nicht zwingend vorgeschrieben. Sie wird jedoch mehrfach im Text der Verordnung erwähnt, jedes Mal als Empfehlung. In Artikel 32 heißt es, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken und der Schwere der Folgen für die Rechte und Freiheiten natürlicher Personen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen müssen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wozu unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten gehören. Da die DSGVO die Verschlüsselung jedoch nicht zwingend vorschreibt, bietet sie keine Klarheit darüber, wann die Verschlüsselung verwendet werden sollte und welche Standards dabei angewendet werden müssen.

Nach der „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“, die von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder entwickelt wurde und die Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DSGVO zum Ziel hat, sind ausgehend vom Stand der Technik, den typischen Implementierungskosten und deren Verhältnis zu den Risiken einer Übermittlung personenbezogener Daten per E-Mail Anforderungen an die Maßnahmen, die Verantwortliche und Auftragsverarbeiter zur ausreichenden Minderung der Risiken zu treffen haben, zu bestimmen. Die Verantwortlichen und Auftragsverarbeiter sind verpflichtet, die Besonderheiten ihrer Verarbeitungen, darunter insbesondere den Umfang, die Umstände und die Zwecke der vorgesehenen Übermittlungsvorgänge zu berücksichtigen, die ggf. in abweichenden Anforderungen resultieren können (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf).

Danach muss es im Ausgangspunkt heute jedem Unternehmen, das Daten seiner privaten Kunden computertechnisch verarbeitet, bewusst sein, dass der Schutz dieser Daten hohe Priorität – auch beim Versenden von Emails - genießt. Es ist daher zur Überzeugung des Senats auch verpflichtet, diesen Schutz durch entsprechende Maßnahmen so weit wie möglich zu gewährleisten.

Der Europäische Gerichtshof hat die Anforderungen des Art. 32 DSGVO dahingehend ausgelegt, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen vor den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbunden Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 40ff., 47).

(bbb) Tastet man sich an die Frage einer „geeigneten“ Verschlüsselung „von unten“ heran, ist es nach Ansicht des Senats für einen Geschäftsbetrieb wie den der Klägerin ausgeschlossen, geschäftliche Emails mit personenbezogenen Daten völlig ohne jede Verschlüsselung zu versenden.

Nach einer Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu aktuell möglichen und gebräuchlichen Verschlüsselungsmethoden kommen für den Email-Versand die folgenden Verfahren in Betracht:

„Bei E-Mail-Verschlüsselung gibt es grundsätzlich zwei verschiedene Arten: die Punkt-zu-Punkt- beziehungsweise Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung.

Wo der entscheidende Unterschied liegt, wird im Folgenden erklärt:

Transportverschlüsselung

Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird inzwischen von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. E-Mails werden beim Versand allerdings über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.

Internetkriminelle könnten einen "Man-in-the-Middle-Angriff" durchführen, der auf diese Punkte ausgerichtet ist. Bei diesem Angriff platziert sich ein Angreifer "in der Mitte" der Kommunikation zwischen zwei Kommunikationspartnerinnen oder -partnern und kann ohne deren Wissen Daten (z.B. E-Mails) abfangen, kopieren oder verändern.

Ende-zu-Ende-Verschlüsselung

Zwar ist eine Transportverschlüsselung einer unverschlüsselten Kommunikation vorzuziehen, doch gerade bei sensiblen oder persönlichen Inhalten empfiehlt es sich, auf den Einsatz einer Ende-zu-Ende-Verschlüsselung Wert zu legen. Bisher gestaltete sich der Einsatz dieser Kryptografietechnik noch als mühsam. Anwenderinnen und Anwender müssen bei der Ende-zu-Ende-Verschlüsselung oft selbst aktiv werden und zusätzliche Plugins in den meisten E-Mail-Clients aktivieren, um die Technologie nutzen zu können. Eine weitere Hürde ist der Austausch der öffentlichen Schlüssel. Allerdings ist dies unter anderem mit einem vom Bundesamt für Sicherheit in der Informationstechnik entwickelten Protokoll richtungsweisend vereinfacht und so Anwenderinnen und Anwendern zugänglicher gemacht worden.“

(https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationenund-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschlu esselung/e-mail-verschluesselung_node.html)

In der bereits zitierten Orientierungshilfe der Datenschutzkonferenz (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf) heißt es weiter zu dem von einem Verarbeiter danach zu verlangenden Schutzniveau, dass sowohl End-to-End-Verschlüsselung als auch Transportverschlüsselung für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten mindern. Daher müssten Verantwortliche beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen. Der durchgreifendste Schutz der Vertraulichkeit der Inhaltsdaten werde durch End-to-End-Verschlüsselung erreicht. End-to-End-Verschlüsselung schütze nicht nur den Transportweg, sondern auch ruhende Daten; der Einsatz von Transportverschlüsselung biete einen Basis-Schutz und stelle eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Die Verantwortlichen müssten die Risiken sorgfältig einschätzen, die mit dem Bruch der Vertraulichkeit und Integrität von E-Mail-Nachrichten verbunden seien, die sie versendeten oder gezielt empfingen.

(ccc) Nach Ansicht des Senats ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.

Soweit in der Orientierungshilfe der Datenschutzkonferenz zur Einzelfallentscheidung darauf abgestellt wird, dass in Verarbeitungssituationen mit normalen Risiken bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht wird, zeigt der zu entscheidende Fall nach Ansicht des Senats deutlich, dass hier keine „Verarbeitungssituation mit normalen Risiken“ vorliegt. Er ist zwar anders gelagert als die üblicherweise für die Annahme eines hohen Risikos herangezogenen Emails z.B. mit Arztbriefen oder Rechtsanwaltsschreiben im Anhang, die vor allem wegen des hohen Umfangs und der Intensität der persönlichen Daten besonders schutzwürdig sein sollen. Bei der hier streitgegenständlichen Email mit der Rechnung der Klägerin im Anhang sind die persönlichen Daten der Beklagten als Privatkundin wie Name und Adresse und die Tatsache, dass die Beklagte einen Werkvertrag abgeschlossen hat, nicht in dem Maße tiefgreifend persönlich. Der Zugriff durch einen unbefugten Dritten darauf führte aber im konkreten Fall in Verbindung mit der ebenfalls „gehackten“ und unberechtigt veränderten Kontoverbindung der Klägerin dazu, dass die Beklagte auf ein falsches Konto gezahlt hat und ‒ wie die Ausführungen unter 1. zeigen ‒ den Werklohn nunmehr erneut zahlen soll, so dass ihr ein massiver finanzieller Schaden von über 15.000,-- € entstanden ist. Dass Kunden von Unternehmen bei einem Datenhacking solche Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per Email immanent ist, von der Klägerin bei ihrer Planung zur Emailsicherheit erkannt werden musste und bei ihren Überlegungen zu Schutzmaßnahmen beim Versand von Rechnungen per Email mit einzubeziehen war. Anders, als das Landgericht meint, kommt es darauf, dass bei der Klägerin bislang ein Hackerangriff noch nicht vorgekommen war, nicht an. Die stetig wachsende Gefahr von Hackerangriffen auf Unternehmen ist allgemein bekannt und die hohe Schadensträchtigkeit des Versands von Rechnungen per Email verlangt von einem Unternehmen wie der Klägerin eine entsprechende Voraussicht und ein entsprechendes proaktives Handeln.

Der Senat verkennt dabei nicht, dass die hier für einen Email-Versand mit angehängter Rechnung verlangte End-to-End-Verschlüsselung für ein Unternehmen wie die Klägerin einen gewissen technischen Aufwand erfordert, der sich möglicherweise nicht darauf beschränkt, in dem benutzten Standard-Email-Programm lediglich eine Aktivierung vorzunehmen. Vielmehr dürfte hier vielfach eine technische Beratung und der Einsatz von gesonderten Programmen erforderlich sein. Dies ändert aber nach Ansicht des Senats die an die Verschlüsselung von geschäftlichen Emails mit angehängten Rechnungen zu stellenden Anforderungen nicht. Angesichts der allgemein bekannten und vielfältig veröffentlichten Hackermöglichkeiten, des gerichtsbekannt rasanten Anstiegs von Hackerangriffen und den im Einzelfall weitreichenden finanziellen Folgen für den einzelnen Kunden, dessen Rechnung verfälscht wird und der selbst keinen Einfluss auf die Verarbeitung seiner Daten hat, ist daher auch von einem kleineren Unternehmen – wie der Klägerin als mittelständischem Handwerksbetrieb – zu erwarten, dass es sich zum Schutz der Daten seiner Kunden zu computertechnischen Sicherheitsanforderungen informiert und sich diesbezüglich beraten, fortbilden und mit der notwendigen Software ausstatten lässt. Die Klägerin kann sich nicht darauf berufen, dass es sich bei der End-to-End-Verschlüsselung im Geschäftsleben um eine unübliche Verschlüsselung handeln würde, die von ihr nicht verlangt werden könne. Vielmehr beschäftigen sich vielfache, allgemein zugängliche Empfehlungen und Informationen aktuell mit den entsprechenden Möglichkeiten, so auch die Information des BSI zur Praxis der Emailverschlüsselung unter Nennung verschiedener Email-Tools, die eine solche Verschlüsselung ermöglichen (s. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dass einer End-to-End-Verschlüsselung im konkreten Fall technische, organisatorische und/oder finanzielle Hindernisse im Weg gestanden hätten, hat die Klägerin nach entsprechendem Hinweis des Senats in der mündlichen Verhandlung, welche Schutzmaßnahmen er erwarte, nicht vorgetragen.

Soweit dieser zu erwartende hohe Standard zum Schutz der personenbezogenen Daten beim Versand von Emails mit angehängten Rechnungen nicht sichergestellt werden kann, bleibt für ein Unternehmen – ohne dass hierfür größerer technischer und/oder finanzieller Aufwand betrieben werden müsste – wie eh und je der Versand von Rechnungen per Post das Mittel der Wahl.

(dd) Die Klägerin trifft auch ein Verschulden.

Nach der Rechtsprechung des Europäischen Gerichtshofs ist einer kombinierten Analyse der verschiedenen Bestimmungen von Art. 82 DSGVO zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (EuGH, Urteil v. 21.12.2023 - C-667/21, juris Rn. 92 ff.).

Gemäß Art. 82 Abs. 3 DSGVO wird der Anspruchsverpflichtete von der Haftung – hier für unzureichende Schutzmaßnahmen in Bezug auf die Versendung personenbezogener Daten - befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist dabei das Verschulden im Sinne der deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung (LG Mainz, Urteil vom 12.11.2021 - 3 O 12/20, juris Rn. 73; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 50. Edition, Stand 01.08.2024, Art. 82 DSGVO Rn. 17 und 17.2; Geissler/Ströbel, in: NJW 2019, 3414 (3415)). Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Um die Feststellung treffen zu können, der Verantwortliche sei "in keinerlei Hinsicht" verantwortlich, hat dieser nachzuweisen, dass er alle Sorgfaltspflichten erfüllt hat und ihm damit nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, a.a.O., Art. 82 DSGVO Rn. 18). Diesen Nachweis hat die Klägerin nicht zu führen vermocht. Ihr ist insofern – wie oben dargestellt - der Vorwurf eines unzureichenden Schutzniveaus für den Versand von Emails mit personenbezogenen Daten – insbesondere mit der hier angehängten Rechnung - zu machen.

Die Klägerin kann sich auch nicht darauf berufen, dass sie sich ausreichend hätte beraten lassen und auch ihr IT-Berater, der Zeuge C., im Rahmen zu treffender Schutzmaßnahmen lediglich eine Transportverschlüsselung vorgeschlagen habe. Da es keine gesetzlich festgelegten Schutzmaßnahmen gibt, obliegt es letztlich allein der Klägerin zu entscheiden, wie sie ihren Email-Versand mit personenbezogenen Daten sichern will und muss. Ihr IT-Berater konnte insofern lediglich die Optionen nennen; die Entscheidung hatte sie zu treffen. Diesbezüglich hat sie zumindest fahrlässig nicht auf ein ausreichendes Schutzniveau geachtet.

(2) Der Beklagten ist unstreitig ein Schaden entstanden, der in dem – wie oben dargestellt – mangels Erfüllung erneut zu zahlenden Werklohn liegt.

(3) Dieser von der Beklagten geltend gemachte Schaden ist auch eine kausale Folge des Verstoßes gegen die Datenschutzgrundverordnung.

Da nach den obigen Darlegungen die Klägerin bei Versand ihrer Email mit der angehängten Rechnung kein ausreichendes Schutzniveau zur Sicherung der personenbezogenen Daten der Beklagten eingehalten hat, obliegt ihr der Beweis dafür, dass der der Beklagten entstandene Schaden nicht durch ihr Fehlverhalten entstanden ist (EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 72). Dies ist ihr vorliegend nicht gelungen.

Unstreitig ist bei der von der Klägerin (maximal) verwendeten Transportverschlüsselung ein Zugriff durch unbefugte Dritte auf ihrem Computer, ihrem Server oder auf weiteren Servern auf dem Weg zum streitverkündeten Zeugen A. ohne Weiteres möglich; die Email ist definitionsgemäß nur auf dem Transport verschlüsselt. Einen Beweis dafür, dass im konkreten Fall der Zugriff nicht im Bereich der Klägerin, sondern erst im Bereich der Beklagten bzw. des Zeugen A. erfolgt ist, hat die Klägerin, der – wie ausgeführt und auch in der mündlichen Verhandlung erörtert – die Darlegungs- und Beweislast dafür obliegt, nicht angeboten. Die Einholung eines Sachverständigengutachtens von Amts wegen scheidet aus, da es sich mangels Anknüpfungstatsachen um einen Ausforschungsbeweis handeln würde. Auch die bei dem Zeugen A. vorhandenen Schutzmaßnahmen sind aus diesem Grund nicht weiter aufzuklären.

Im Übrigen wäre der Klägerin – selbst wenn der unbefugte Zugriff im Bereich des Zeugen A. und nicht schon im Bereich der Klägerin erfolgt sein sollte – weiterhin anzulasten, dass sie einen solchen Zugriff durch den von ihr gewählten Versand der Daten per Email lediglich mit Transportverschlüsselung und damit mit unzureichender Sicherung erst ermöglicht hätte, denn auch bei einem von der Klägerin angesprochenen Datenhacking im Bereich des Zeugen A. wäre die streitgegenständliche Email samt Anhang aufgrund der End-to-End-Verschlüsseluung wegen des eigenen erforderlichen Schlüssels bei Einhaltung entsprechender Standards auch auf dem Server/Computer des Zeugen jedenfalls ganz weitgehend geschützt gewesen.

(4) Ein Mitverschulden an der Schadensentstehung gem. § 254 BGB trifft die Beklagte nicht.

Anders als das Landgericht meint, oblag der Beklagten bzw. dem Zeugen A., dessen Verschulden ihr möglicherweise gem. § 278 BGB zuzurechnen wäre, nach Ansicht des Senats keine genaue Überprüfung der letztlich auf dem Computer des Zeugen verfälscht, da hinsichtlich der Kontoverbindung manipuliert vorliegenden Rechnung. Die von der Klägerin aufgezeigten Unterschiede zu früheren (Abschlags-)Rechnungen betreffend die Farbe, Angaben zum Geschäftsführer, fehlenden QR-Code der Bankverbindung und fehlendes Siegel stellen geringfügige äußere Abweichungen dar, die weder der Beklagten noch dem Zeugen A. bei oberflächlicher Betrachtung auffallen mussten. Etwas anderes folgt auch nicht daraus, dass die Beklagte erkannt hat, dass die Kontoverbindung verändert war. Angesichts der Tatsache, dass im Geschäftsleben die Kontoverbindung eines Unternehmens aus diversen Gründen geändert wird, kann einer privaten Kundin wie der Beklagten nicht vorgeworfen werden, dass sie vor der Überweisung des offenen Werklohns keine Rücksprache mit der Klägerin genommen hat.


Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe: Unzureichende Sicherheitsvorkehrungen im Zusammenhang mit dem Versand geschäftlicher E-Mails können Schadensersatzansprüche auslösen

OLG Karlsruhe
Urteil vom 27.07.2023
19 U 83/22


Das OLG Karlsruhe hat entschieden, dass unzureichende Sicherheitsvorkehrungen im Zusammenhang mit dem Versand geschäftlicher E-Mails Schadensersatzansprüche auslösen können.

Leitsätze des Gerichts:
1. Mangels gesetzlicher Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich Art und Umfang der erforderlichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit.

2. Verstößt der Gläubiger einer Geldforderung gegen von ihm geschuldete Sicherheitsvorkehrungen im Zusammenhang mit dem Versand einer geschäftlichen E-Mail und hat dieser Verstoß zur Folge, dass der Schuldner der Forderung den geschuldeten Geldbetrag auf das Konto eines deliktisch handelnden Dritten überweist, führt dies nicht zum Erlöschen der Forderung gem. § 362 BGB, sondern begründet allenfalls einen Schadensersatzanspruch des Schuldners, den dieser gem. § 242 BGB der Forderung entgegenhalten kann (dolo-agit-Einwendung).

Aus den Entscheidungsgründen:
Die Berufung der Klägerin ist begründet. Die Klägerin hat gegen die Beklagte gem. § 433 Abs. 2 BGB einen Anspruch auf Kaufpreiszahlung in Höhe von 13.500 EUR, gem. § 280 Abs. 2, § 286 BGB auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von 953,40 EUR und gem. §§ 286, 288 BGB auf Zahlung der zugesprochenen Verzugszinsen.

1. Zwischen den Parteien ist unstreitig, dass sie einen Kaufvertrag über einen gebrauchten Pkw zum Preis von 13.500 EUR abgeschlossen haben und dass eine Zahlung dieses Betrages auf das Konto eines Dritten erfolgt ist. Durch diese Zahlung ist indes der Anspruch der Klägerin auf Kaufpreiszahlung nicht gem. § 362 BGB erloschen.

a) Eine Leistung an die Klägerin gem. § 362 Abs. 1 BGB ist nicht erfolgt, da es sich bei dem Konto, auf das die Beklagte den Kaufpreis überwiesen hat, um das Konto eines Dritten und nicht der Klägerin handelt und daher der geschuldete Leistungserfolg nicht eingetreten ist. Die gegenteilige Auffassung des Landgerichts ist nicht frei von Rechtsfehlern. Die Voraussetzungen, unter denen eine Leistung an einen Dritten Erfüllungswirkung hat, sind in § 362 Abs. 2 BGB geregelt und liegen hier nicht vor (dazu nachstehend b]).

Eine Zurechnung „des unbefugten Zugriffs des Dritten in Bezug auf die unerlaubte Handlung“ an die Klägerin, wie vom Landgericht angenommen, erfolgt nicht. Soweit das Landgericht insoweit auf eine Entscheidung des I. Zivilsenats des Bundesgerichtshofs (Urteil vom 11. März 2009 - I ZR 114/06, BGHZ 180, 134 Rn. 16) Bezug nimmt, ging es dort um die Frage der deliktischen Haftung für eine Verletzung von Immaterialgüter- und Leistungsschutzrechten; eine bei der Verwahrung der Zugangsdaten für das ebay-Mitgliedskonto dort bejahte Pflichtverletzung wurde als zusätzlicher selbständiger Zurechnungsgrund neben die Grundsätze der Störerhaftung und die Verkehrspflichten im Bereich des Wettbewerbsrechts gestellt (BGH a.a.O.). Vorliegend steht aber nicht eine deliktische Verantwortlichkeit der Klägerin im Streit, sondern die vertragliche Frage der Erfüllungswirkung einer Zahlung an einen Dritten; die für den Bereich der deliktischen Haftung vom I. Zivilsenat entwickelten Grundsätze lassen sich nicht auf die Zurechnung von Erklärungen im Rahmen von vertraglichen Verhältnissen übertragen (vgl. BGH, Urteil vom 11. Mai 2011 - VIII ZR 289/09, BGHZ 189, 346 Rn. 19). Es ist daher ohne Bedeutung, dass im angefochtenen Urteil auch Feststellungen dazu fehlen, inwieweit die vom Landgericht bejahte Pflichtverletzung der Klägerin in Gestalt unterlassener Ende-zu-Ende-Verschlüsselung, Transportverschlüsselung und Verschlüsselung der als pdf-Datei versandten Rechnung für den Zugang der ge- oder verfälschten Rechnung bei der Beklagten kausal geworden sein soll.

Hätte ein etwaig schuldhaftes Verhalten der Klägerin dazu geführt, dass es dem Dritten ermöglicht wurde, die Rechnung mit veränderten Kontodaten der Beklagten wie geschehen zuzuleiten und die Beklagte so über die von der Klägerin verlangte Zahlung zu täuschen, könnte dies Schadensersatzansprüche der Beklagten wegen Verletzung einer vertraglichen Nebenpflicht gem. § 280 Abs. 1 BGB begründen (vgl. OLG München, Urteil vom 21. Dezember 2016 - 7 U 3206/16, juris Rn. 5, 7 ff.; so im Übrigen auch das von der Beklagten im Rechtsstreit in Bezug genommene Urteil des LG Lüneburg [n.v.] vom 16. Februar 2017 - 7 O 71/16, Seite 4 f.; zum Schadensersatzanspruch siehe nachstehend 2.), führte aber nicht dazu, dass eine nicht vorliegende Leistung an die Klägerin zu fingieren wäre.

b) Die Leistung an einen Dritten hat nur unter den Voraussetzungen des § 362 Abs. 2 BGB befreiende Wirkung, die im Streitfall nicht erfüllt sind.

Unter anderem hat die Leistung an einen Dritten dann befreiende Wirkung, wenn dieser vom Gläubiger rechtsgeschäftlich ermächtigt ist, die Leistung im eigenen Namen in Empfang zu nehmen. Statt einen Dritten zum Empfang der Leistung zu ermächtigen (§ 362 Abs. 2, § 185 BGB), kann der Gläubiger auch dem Schuldner nach § 362 Abs. 2, § 185 BGB die Ermächtigung erteilen, die Leistung an einen Dritten zu erbringen.Die Ermächtigung braucht nicht ausdrücklich erteilt zu werden; schlüssiges Verhalten kann selbst dann genügen, wenn der Ermächtigende kein Erklärungsbewusstsein hat, aber der redliche Empfänger hiervon ausgehen darf. Die Leistung an einen nichtberechtigten Dritten erlangt - von gesetzlich besonders geregelten Fällen (vgl. etwa §§ 169, 370, 407, 408 BGB) abgesehen - nur dann befreiende Wirkung, wenn der Gläubiger sie nachträglich genehmigt oder wenn einer der beiden anderen Fälle des § 185 Abs. 2 BGB eintritt. Dass der Schuldner den Nichtberechtigten gutgläubig für empfangsberechtigt hält, führt also - sofern keine gesetzlichen Sonderregelungen bestehen - allein nicht zum Freiwerden des Schuldners. Vielmehr tritt Erfüllungswirkung in einem solchen Fall erst dann ein, wenn der nicht empfangsbefugte Dritte die Leistung entsprechend den Weisungen des Schuldners an den Gläubiger weiterleitet oder der Gläubiger die Leistungserbringung an den Dritten ausdrücklich oder schlüssig genehmigt (BGH, Urteil vom 14. Februar 2023 - XI ZR 537/21, juris Rn. 29).

Diese Voraussetzungen liegen hier nicht vor. Zwischen den Parteien ist unstreitig, dass die um 11:46 Uhr von der Beklagten empfangene zweite E-Mail nebst Anlage tatsächlich nicht von der Klägerin stammt, so dass durch die Angabe des Namens P. D. nebst Bankverbindung bei der S-Bank in der angehängten Rechnung keine Ermächtigung im vorgenannten Sinne erfolgt ist. Eine nachträgliche Genehmigung durch die Klägerin ist ebensowenig erfolgt wie eine Weiterleitung der 13.500 EUR durch den Dritten an die Klägerin.

c) Schließlich ergibt sich auch nicht aus einer entsprechenden Anwendung des § 370 BGB, dass die tatsächlich nicht von der Klägerin stammende zweite E-Mail, in deren Anhang der Inhaber des dort genannten Kontos bei der S-Bank - möglicherweise - als zum Leistungsempfang ermächtigt bezeichnet wird, als tatsächlich ermächtigt gilt mit der Folge, dass die Leistung an diesen Dritten gem. § 362 Abs. 2 BGB zum Erlöschen der Kaufpreisforderung geführt hätte. Das Landgericht missversteht die von ihm nicht wortgetreu zitierte Kommentarstelle (Dennhardt in BeckOK BGB, 66. Edition, § 370 Rn. 1) dahin, dass die Regelung in entsprechender Anwendung eine allgemeine Haftung für die Enttäuschung berechtigten Vertrauens begründe. Tatsächlich ist an der angegebenen Stelle lediglich formuliert, die Vorschrift werde heute allgemein als Ausprägung des Vertrauensschutzes im Rechtsverkehr verstanden.

Bei der streitgegenständlichen Rechnung handelt es sich bereits nicht um eine Quittung im Sinne von § 368 BGB. Selbst wenn man mit dem Landgericht - was sonst, soweit ersichtlich, nirgends vertreten wird - eine entsprechende Anwendung des § 370 BGB auf Rechnungen bejahen wollte, lägen die übrigen Voraussetzungen der Vorschrift nicht vor. Hierzu gehört, dass eine echte Quittung - bzw. Rechnung - überbracht werden muss (vgl. BGH, Urteil vom 5. März 1968 - 1 StR 17/68, juris Rn. 3; BAG, Urteil vom 11. November 1960 - 4 AZR 361/58, juris Rn. 22). Dies war vorliegend nicht der Fall, nachdem die als Anhang zur zweiten E-Mail übersandte Rechnung unstreitig gerade nicht von der Klägerin, sondern von einem Dritten erstellt oder die von der Klägerin zuvor erstellte Rechnung von einem Dritten verfälscht worden war.

2. Die Beklagte hat gegen die Klägerin keinen Schadensersatzanspruch gem. § 280 Abs. 1, § 241 Abs. 2 BGB in einer der auf das Drittkonto getätigten Überweisung von 13.500 EUR entsprechenden Höhe, den sie der Klageforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten könnte (vgl. zu letzterem OLG München, Urteil vom 21. Dezember 2016 - 7 U 3206/16, juris Rn. 5).

a) Es liegt keine Nebenpflichtverletzung der Klägerin dergestalt vor, dass sie schuldhaft eine Ursache dafür gesetzt hätte, dass der Beklagten im Nachgang zur Übersendung der vorgenannten E-Mail um 10:46 Uhr die zweite E-Mail mit der angehängten ge- oder verfälschten Rechnung zuging, die neben der nach wie vor richtigen Angabe der Bankverbindung der Klägerin im Kopfbereich im Fußzeilenbereich auch die Bankverbindung des P. D. bei der S-Bank auswies. Für den dadurch verursachten Schaden, der darin besteht, dass die Beklagte durch Überweisung auf ein nicht der Klägerin zugeordnetes Konto die Forderung der Klägerin nicht zum Erlöschen bringen konnte (s.o. 1.), schuldet die Klägerin der Beklagten deshalb keinen Schadensersatz.

aa) Die Darlegungs- und ggf. Beweislast für das Vorliegen einer Pflichtverletzung im Sinne des § 280 Abs. 1 BGB sowie für die Kausalität dieser Pflichtverletzung für den eingetretenen Schaden liegt bei der Beklagten als derjenigen, die den Anspruch geltend macht.

bb) Das Vertragsverhältnis der Parteien kam ohne schriftliche Willenserklärung in einem Telefonat der beiden Geschäftsführer zustande. Dementsprechend wurde der Vertrag auch ohne ein Schreiben der Klägerin auf Geschäftspapier mit Angabe der Bankverbindung abgeschlossen. Die Parteien haben nachträglich vereinbart, dass die Zahlung durch Überweisung auf ein von der Klägerin mitzuteilendes Bankkonto erfolgen sollte (E-Mail der Beklagten vom 8. Oktober 2021, 10:15 Uhr, Anlage K 2, und der Klägerin vom 8. Oktober 2021, 10:44 Uhr, Anlage K 3). Die Klägerin traf dabei gem. § 241 Abs. 2 BGB die Nebenpflicht, sich bei der Abwicklung des Schuldverhältnisses so zu verhalten, dass Person, Eigentum und sonstige Rechtsgüter - auch das Vermögen - des anderen Teils nicht verletzt werden (vgl. BGH, Urteil vom 10. März 1983 - III ZR 169/81, juris Rn. 12).

cc) Die Beklagte behauptet, es sei zum Versand der zweiten E-Mail an sie durch einen Dritten dadurch gekommen, dass auf das E-Mail-Konto der Klägerin eine Hacking-Attacke ausgeführt worden sei, die das Ausspionieren der Geschäftsbeziehung der Parteien und der Rechnungs-E-Mail ermöglicht habe. Dies sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche; konkret nennt die Beklagte insoweit die nicht erfolgte Verwendung des „sender policy framework (SPF)“ bei der Kommunikation sowie eine unterlassene Verschlüsselung der pdf-Datei. Nach den Ausführungen im angefochtenen Urteil, die die Beklagte sich im Berufungsverfahren zu Eigen gemacht hat, sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Die Beklagte macht sinngemäß geltend, die Verwendung der genannten Verfahren sei im Geschäftsverkehr zwischen Unternehmen wie den Parteien des Rechtsstreits üblich und zu erwarten.

dd) Eine Pflichtverletzung der Klägerin liegt insoweit schon deshalb nicht vor, weil sie zur Verwendung dieser Verfahren und Maßnahmen nicht verpflichtet war.

Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht; insbesondere ist der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art. 4 Nr. 1 DS-GVO). Auch eine ausdrückliche Vereinbarung zwischen den Parteien ist insoweit nicht erfolgt; insbesondere hat die Beklagte, von der die Initiative dafür ausging, dass die Rechnung überhaupt per E-Mail verschickt wurde, anlässlich der Äußerung ihrer entsprechenden Bitte in der E-Mail ihres Geschäftsführers vom 8. Oktober 2021, 10:15 Uhr (Anlage K 2) keinerlei Sicherheitsvorkehrungen, die sie für erforderlich halte, ausdrücklich erwähnt. Welches Maß an Sicherheitsvorkehrungen von der Klägerin zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (vgl. Riem/Meier, MMR 2020, 571, 573).

Nicht maßgeblich für die berechtigten Sicherheitserwartungen des Verkehrs ist dabei die vom Landgericht herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“. Ausweislich deren Zielstellung dient sie zur Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DS-GVO. Letztere ist aber, wie soeben ausgeführt, im Verhältnis der Parteien zueinander überhaupt nicht anwendbar. Ohnehin wird hierin die Verwendung einer Ende-zu-Ende-Verschlüsselung anders als vom Landgericht dargestellt nicht als stets erforderlich angesehen, sondern sollte „in der Abwägung der notwendigen Maßnahmen berücksichtigt“ werden und wird nur für den Fall, dass „der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt“, als „Muss“ bezeichnet.

(1) Sender Policy Framework (SPF)

Die Beklagte hält die Klägerin für verpflichtet, das Verfahren Sender Policy Framework (SPF) anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll, hat die Beklagte dabei schon nicht gemacht.

Laut öffentlich zugänglichen Quellen - die Informationen des Bundesamts für Sicherheit in der Informationstechnik (im Folgenden: BSI), abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_server_studie_pdf.pdf?__blob=publicationFile&v=1 - handelt es sich beim Verfahren Sender Policy Framework um ein Verfahren, mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu verschicken. Endnutzer wie die Klägerin, die selbst keinen E-Mail-Server betreiben, haben mithin auf die Verwendung des Verfahrens überhaupt keinen Einfluss. Eine berechtigte Sicherheitserwartung des Verkehrs an ein Unternehmen wie die Klägerin, das seinen E-Mail-Verkehr über einen Diensteanbieter wie hier W. abwickelt, auf Anwendung des SPF-Verfahrens kann schon deshalb nicht bestehen.

(2) Verschlüsselung der pdf-Datei

Dass eine Verschlüsselung von pdf-Dateien im geschäftlichen Verkehr außerhalb des Austauschs besonders sensibler Dateien, die beispielsweise Betriebs- oder Geschäftsgeheimnisse enthalten, üblich wäre, behauptet die Beklagte schon selbst nicht. Auf dieser Grundlage kann nicht angenommen werden, dass insoweit eine berechtigte Sicherheitserwartung des Verkehrs besteht. Hinzu kommt, dass im Fall der Verschlüsselung der Datei Klägerin und Beklagte ein Passwort hierzu hätten austauschen müssen, was nicht geschehen ist. Die Beklagte hatte also bei Erhalt der ge- oder verfälschten Rechnung Kenntnis davon, dass die Datei nicht durch Verschlüsselung gesichert war. Bereits dieser Umstand, dass erkennbar eine derartige Sicherheitsmaßnahme nicht getroffen war, steht der Annahme einer insoweit vorliegenden Pflichtverletzung der Klägerin entgegen.

(3) Ende-zu-Ende-Verschlüsselung

Auch zu diesem Verfahren hat die Beklagte nicht vorgetragen, woraus folgen soll, dass es in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll. Das BSI empfiehlt zwar für E-Mails die Ende-zu-Ende-Verschlüsselung, äußert aber gleichzeitig die Einschätzung, dass diese bisher nur sehr selten eingesetzt werde (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dies steht einer entsprechenden allgemeinen Sicherheitserwartung des Verkehrs entgegen und bei den vorliegend versendeten Daten handelt es sich auch nicht um solche, bei deren Versand - wie etwa im Fall von Geschäfts- und Betriebsgeheimnissen - ohne gesonderte Absprache erhöhte Anforderungen zu stellen wären. Hinzu kommt, dass die Verwendung der Ende-zu-Ende-Verschlüsselung nicht vom Versender einer E-Mail allein durchgeführt werden kann. Die Beklagte hat schon nicht vorgetragen, dass ihr eigenes System die Voraussetzungen für den Empfang von Ende-zu-Ende-verschlüsselten Nachrichten erfüllt hätte.

(4) Transportverschlüsselung

Die Beklagte hält die Klägerin schließlich für verpflichtet, das Verfahren der Transportverschlüsselung anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll, hat die Beklagte allerdings auch insoweit nicht gemacht.

Ausweislich der öffentlich zugänglichen Informationen des BSI handelt es sich bei der Transportverschlüsselung um einen Prozess, bei dem der Inhalt der Übermittlung zwischen Absender und E-Mail-Anbieter, zwischen zwei E-Mail-Anbietern und zwischen E-Mail-Anbieter und Empfänger verschlüsselt wird, wobei dieser automatisiert abläuft und in der Regel keine Aktion des Absenders oder Empfängers erfordert (https://www.bsi.bund.de/SharedDocs/Glossareintraege/DE/T/Transportverschluesselung.html). Die Klägerin hat ihren im erstinstanzlichen Verfahren gehaltenen Vortrag, wonach W. alle Vorkehrungen zum Schutz seiner Kunden, einschließlich der Klägerin, trifft und getroffen hat, im Berufungsverfahren unter Angabe einer URL von W. dahin vertieft, dass bei der Übertragung der E-Mails das sogenannte SSL/TLS-Protokoll zum Einsatz komme. Dabei handele es sich um einen Verschlüsselungsstandard, der die E-Mails auf dem Transportweg sichere. Hierbei handelt es sich um Transportverschlüsselungen der vorstehend beschriebenen Art. Den Angaben von W. ist weiter zu entnehmen, dass die Transportverschlüsselung nur im Verbund der dort genannten Anbieter zur Anwendung kommt, also bei E-Mails, die zwischen E-Mail-Konten dieser Anbieter versendet werden. Die Beklagte, die soweit ersichtlich kein Konto bei einem dieser Anbieter unterhält, sondern einen eigenen Server betreiben lässt, hat weder vorgetragen noch ist sonst ersichtlich, dass eine Transportverschlüsselung an Umständen gescheitert wäre, die in der Sphäre der Klägerin liegen.

Der Berücksichtigung des Vortrags der Klägerin zum Vorhandensein einer Transportverschlüsselung beim Anbieter W. steht zwar zunächst die Tatbestandswirkung des angefochtenen Urteils entgegen (§ 314 ZPO), in dem festgestellt ist, die Klägerin habe keine Transportverschlüsselung verwendet. Der neue Vortrag der Klägerin im Berufungsverfahren ist aber gem. § 531 Abs. 2 Nr. 2 ZPO zuzulassen, weil er infolge eines Verfahrensmangels in Gestalt eines Gehörsverstoßes des Landgerichts im ersten Rechtszug nicht geltend gemacht wurde. Das Landgericht hätte die Parteien darauf hinweisen müssen, dass es beabsichtige, die „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“ zur Bestimmung der die Klägerin beim E-Mail-Versand treffenden Pflichten heranzuziehen und ihnen insoweit Gelegenheit zur Stellungnahme geben müssen. Indem es dies unterlassen hat, hat es den Anspruch der Klägerin auf rechtliches Gehör aus Art. 103 Abs. 1 GG verletzt.

Soweit die Beklagte meint, die Klägerin habe zur Verwendung einer Transportverschlüsselung schon nicht vorgetragen, und derartigen Vortrag „höchstfürsorglich“ mit Nichtwissen bestreitet, ist Folgendes zu berücksichtigen: Soweit eine Partei ihr günstige Tatsachen darzulegen und notfalls zu beweisen hat, nützt ihr das Bestreiten nichts, sondern sie hat die Tatsachen unabhängig davon vorzutragen, ob sie eigene Handlungen betreffen oder Gegenstand ihrer eigenen Wahrnehmung waren (BGH, Urteil vom 8. Juni 1988 - IVb ZR 51/87, juris Rn. 25). Hier trägt die Beklagte, wie ausgeführt, für das Vorliegen einer Pflichtverletzung der Klägerin die Beweislast und damit auch die Darlegungslast. Der zugrundeliegende Vortrag ist daher prozessuales Behaupten, für das § 138 Abs. 4 ZPO nicht gilt (BGH a.a.O.).

(5) Auch andere, von der Beklagten nicht ausdrücklich geltend gemachte Pflichtverletzungen der Klägerin sind nicht ersichtlich. Im unstreitigen Tatbestand des angefochtenen Urteils sind Feststellungen zur Art des von der Klägerin verwendeten Passwortes fürs E-Mail-Konto, dem Personenkreis, der davon Kenntnis hat und deren regelmäßiger Änderung sowie der Nutzung einer aktuellen Virensoftware und Firewall getroffen, die von der Klägerin im Berufungsverfahren - von der Beklagten unbestritten - vertieft wurden und die der Annahme einer Pflichtverletzung im Bereich des Passwortschutzes sowie des allgemeinen Schutzes der von der Klägerin verwendeten Computer entgegenstehen.

(6) Auf welcher Grundlage genau sich das Landgericht Lüneburg (Urteil vom 16. Februar 2017 - 7 O 71/16) - auf dessen unveröffentlichte Entscheidung sich die Beklagte beruft - die Überzeugung gebildet hat, dass die dortige Gläubigerin der Schuldnerin durch nicht hinreichende Sicherung ihrer EDV einen Schaden zugefügt hat, ist dem übersandten Urteilsumdruck nicht zu entnehmen. Der Senat vermag sich im vorliegenden Fall aus dem vorgetragenen Tatsachenmaterial bereits nicht die von vernünftigen Zweifeln freie Überzeugung davon zu verschaffen, dass der zugrunde liegende Angriff in der von der Klägerin beherrschbaren Sphäre geschehen ist. Soweit dem Urteil des Landgerichts Lüneburg im Übrigen der Rechtssatz entnommen werden könnte, dass der Verwender einer E-Mail-Adresse jeden Missbrauch durch Dritte vollständig ausschließen müsse, ist dies nach der Überzeugung des Senats schon wegen der zahlreichen und sich ständig weiter entwickelnden Angriffsmöglichkeiten zu weitgehend.

b) Selbst wenn man in einem der vorstehend behandelten Umstände eine Pflichtverletzung der Klägerin sehen wollte, fehlte es am Nachweis der Kausalität dieser Pflichtverletzung für den eingetretenen Schaden. Nach dem übereinstimmenden Vortrag der Parteien ist nicht geklärt, wie es tatsächlich dazu kam, dass die zweite E-Mail mit der ge- oder verfälschten Rechnung die Beklagte erreichte. Ein erfolgreicher Angriff auf die Sphäre der Klägerin liegt im Hinblick darauf zwar nahe, dass zwischen den Parteien unstreitig ist, dass auch andere Kunden der Klägerin entsprechend veränderte Rechnungen empfingen. Wodurch dieser Angriff ermöglicht worden sein könnte, ist aber im Hinblick auf die unbekannte Vorgehensweise des oder der unbekannten Dritten gänzlich unklar. Entgegen der Auffassung der Beklagten spricht für eine hierfür kausale Pflichtverletzung der Klägerin auch kein Beweis ersten Anscheins.

c) Schließlich wäre ein unterstellter Schadensersatzanspruch der Beklagten nach § 254 BGB zu kürzen, weil ein erhebliches Mitverschulden zu berücksichtigen wäre. Die zweite E-Mail vom 8. Oktober 2021 wie auch die als Anhang hierzu übersandte Rechnung selbst enthalten auffällige Unstimmigkeiten, die der Beklagten Anlass dazu geben mussten, bei der Klägerin nachzufragen, auf welches Bankkonto der Kaufpreis tatsächlich gezahlt werden sollte. In der E-Mail selbst wird die förmliche Anrede „Sie“ verwendet, obwohl die beiden Geschäftsführer sich duzen und dies auch in den kurz zuvor gewechselten E-Mails getan hatten. Hinzu kommen sprachliche Fehler („ausgestelltes“ Bankkonto), die sich bis zu einem inhaltlich vollkommen unverständlichen Satz hin steigern („Bitte senden Sie uns nach der Herstellung der Decke eine Kopie nach der Banküberweisung“). Soweit der Geschäftsführer der Beklagten im Rahmen seiner informatorischen Anhörung angegeben hat, die Nachricht nicht vollständig gelesen und diesen Satz nicht wahrgenommen zu haben, wäre ein unvollständiges Lesen einer Nachricht, in der es immerhin um die Änderung der Kontoverbindung geht, auf die ein fünfstellige Kaufpreis gezahlt werden soll, auch für sich betrachtet unsorgfältiges Handeln. Dazu kommen die widersprüchliche Gestaltung der mit der zweiten E-Mail übersandten Rechnung selbst, in der zwei Bankverbindungen angegeben sind, sowie der Umstand, dass bei der von der Beklagten hernach verwendeten Bankverbindung eine natürliche Person als Kontoinhaber angegeben war, die in keinerlei erkennbarem Zusammenhang mit dem Geschäftsbetrieb der Klägerin stand.

3. Die von der Beklagten gegen den Anspruch der Klägerin auf Kaufpreiszahlung hilfsweise erklärte Aufrechnung mit einem Zahlungsanspruch in Höhe von 13.500 EUR gegen den Inhaber des Bankkontos, auf das sie die 13.500 EUR überwiesen hat, geht schon deshalb ins Leere, weil es sich hierbei nicht um eine Forderung der Beklagten gegen die Klägerin handelt. Dies ist gem. § 387 BGB aber Voraussetzung für eine Aufrechnung.

4. Die von der Beklagten gegen den Anspruch der Klägerin auf Kaufpreiszahlung weiter hilfsweise erklärte Aufrechnung mit einem eigenen Schadensersatzanspruch in Höhe von 13.500 EUR wegen der Verletzung von IT-Sicherheitspflichten verhilft ihrer Rechtsverteidigung ebenfalls nicht zum Erfolg. Ein entsprechender Schadensersatzanspruch der Klägerin besteht nicht, auf die vorstehenden Ausführungen unter 2. wird zur Vermeidung von Wiederholungen Bezug genommen.

5. Die Klägerin hat gem. § 280 Abs. 2, § 286 BGB einen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von 953,40 EUR entsprechend einer 1,3-Gebühr gem. Nr. 2300 VV RVG aus einem Gegenstandswert von 13.500 EUR zuzüglich Auslagenpauschale. Sie hat - von der Beklagten unbestritten - vorgetragen, dass deren Geschäftsführer am 19. Oktober 2021 die Zahlung des Kaufpreises abgelehnt hat, so dass die Beklagte gem. § 286 Abs. 2 Nr. 3 BGB in Verzug geraten ist.

EU-Kommission: Entwurf für EU Cyber Resilience Act vorgelegt - Vorschriften zur Cybersicherheit von Produkten mit digitalen Elementen

Die EU-Kommission hat ihren Entwurf für den EU Cyber Resilience Act vorgelegt. Dieser soll die Cybersicherheit von Produkten mit digitalen Elementen erhöhen.

1. Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei

2. Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei


Die Meldung der EU-Kommission:

The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.

EU Cyber Resilience Act - For safer and more secure digital products

Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021.

Such products suffer from two major problems adding costs for users and the society:

a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.

While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs.

Two main objectives were identified aiming to ensure the proper functioning of the internal market:

1.create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and

2. create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements.

Four specific objectives were set out:

1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle;

2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers;

3. enhance the transparency of security properties of products with digital elements, and

4. enable businesses and consumers to use products with digital elements securely.



EuGH: Rechtmäßiger Erwerber von Software darf diese zur Fehlerbeseitigung dekompilieren und funktionsbeeinträchtigende Fehler korrigieren

EuGH
Urteil vom 06.10.2021
C‑13/20
Top System SA gegen État belge


Der EuGH hat entschieden, dass der rechtmäßige Erwerber von Software diese zur Fehlerbeseitigung dekompilieren und funktionsbeeinträchtigende Fehler korrigieren darf.

Tenor der Entscheidung:

1. Art. 5 Abs. 1 der Richtlinie 91/250/EWG des Rates vom 14. Mai 1991 über den Rechtsschutz von Computerprogrammen ist dahin auszulegen, dass der rechtmäßige Erwerber eines Computerprogramms berechtigt ist, dieses ganz oder teilweise zu dekompilieren, um Fehler, die das Funktionieren dieses Programms beeinträchtigen, zu berichtigen, einschließlich in dem Fall, dass die Berichtigung darin besteht, eine Funktion zu desaktivieren, die das ordnungsgemäße Funktionieren der Anwendung, zu der dieses Programm gehört, beeinträchtigt.

2. Art. 5 Abs. 1 der Richtlinie 91/250 ist dahin auszulegen, dass der rechtmäßige Erwerber eines Computerprogramms, der die Dekompilierung dieses Programms vornehmen möchte, um Fehler, die dessen Funktionieren beeinträchtigen, zu berichtigen, nicht den Anforderungen nach Art. 6 dieser Richtlinie genügen muss. Der Erwerber darf eine solche Dekompilierung jedoch nur in dem für die Berichtigung erforderlichen Ausmaß und gegebenenfalls unter Einhaltung der mit dem Inhaber des Urheberrechts an diesem Programm vertraglich festgelegten Bedingungen vornehmen.


Aus den Entscheidungsgründen:

Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 5 Abs. 1 der Richtlinie 91/250 dahin auszulegen ist, dass der rechtmäßige Erwerber eines Computerprogramms berechtigt ist, dieses ganz oder teilweise zu dekompilieren, um Fehler, die das Funktionieren dieses Programms beeinträchtigen, zu berichtigen, einschließlich in dem Fall, dass die Berichtigung darin besteht, eine Funktion zu desaktivieren, die das ordnungsgemäße Funktionieren der Anwendung, zu der dieses Programm gehört, beeinträchtigt.

Nach Art. 4 Buchst. a der Richtlinie 91/250, die u. a. die Ausschließlichkeitsrechte der Urheber von Computerprogrammen normiert, hat der Inhaber des Urheberrechts an einem Computerprogramm vorbehaltlich der in den Art. 5 und 6 dieser Richtlinie vorgesehenen Ausnahmen das ausschließliche Recht, die dauerhafte oder vorübergehende Vervielfältigung dieses Programms ganz oder teilweise mit jedem Mittel und in jeder Form vorzunehmen oder zu gestatten.

Vorbehaltlich der genannten Ausnahmen gewährt Art. 4 Buchst. b der Richtlinie 91/250 dem Rechtsinhaber das ausschließliche Recht, die Übersetzung, die Bearbeitung, das Arrangement und andere Umarbeitungen eines Computerprogramms sowie die Vervielfältigung der erzielten Ergebnisse vorzunehmen oder zu gestatten.

Art. 5 Abs. 1 der Richtlinie 91/250 bestimmt jedoch, dass in Ermangelung spezifischer vertraglicher Bestimmungen die in Art. 4 Buchst. a und b dieser Richtlinie genannten Handlungen nicht der Zustimmung des Rechtsinhabers bedürfen, wenn sie für eine bestimmungsgemäße Benutzung des Computerprogramms einschließlich der Fehlerberichtigung durch den rechtmäßigen Erwerber notwendig sind.

Nach Art. 6 („Dekompilierung“) der Richtlinie 91/250 ist die Zustimmung des Rechtsinhabers auch dann nicht erforderlich, wenn die Vervielfältigung des Codes oder die Übersetzung der Codeform im Sinne von Art. 4 Buchst. a und b dieser Richtlinie unerlässlich ist, um die erforderlichen Informationen zur Herstellung der Interoperabilität eines unabhängig geschaffenen Computerprogramms mit anderen Programmen zu erhalten, sofern bestimmte Bedingungen erfüllt sind.

Es ist festzustellen, dass sich die Dekompilierung als solche nicht unter den in Art. 4 Buchst. a und b der Richtlinie 91/250 genannten Handlungen, auf die sich deren Art. 5 Abs. 1 bezieht, findet.

Es ist daher zu prüfen, ob die für die Dekompilierung eines Computerprogramms erforderlichen Handlungen ungeachtet dieses Umstands in den Anwendungsbereich von Art. 4 Buchst. a und/oder b dieser Richtlinie fallen können.

Zu diesem Zweck ist zunächst in Übereinstimmung mit den Ausführungen des Generalanwalts in Nr. 39 seiner Schlussanträge darauf hinzuweisen, dass ein Computerprogramm ursprünglich in Form eines „Quellcodes“ in einer verständlichen Programmiersprache abgefasst ist, bevor es mittels eines als „Compiler“ bezeichneten speziellen Programms in eine für den Computer ausführbare Form, d. h. den „Objektcode“, umgewandelt wird. Der Vorgang der Umwandlung des Quellcodes in den Objektcode wird „Kompilierung“ genannt.

Insoweit ist darauf hinzuweisen, dass der Quellcode und der Objektcode eines Computerprogramms als zwei Ausdrucksformen dieses Programms gemäß Art. 1 Abs. 2 der Richtlinie 91/250 den urheberrechtlichen Schutz für Computerprogramme genießen (vgl. in diesem Sinne Urteil vom 22. Dezember 2010, Bezpečnostní softwarová asociace, C‑393/09, EU:C:2010:816, Rn. 34).

Umgekehrt soll mit der „Dekompilierung“ der Quellcode eines Programms aus seinem Objektcode rekonstruiert werden. Die Dekompilierung erfolgt mittels eines als „Decompiler“ bezeichneten Programms. Wie der Generalanwalt in Nr. 41 seiner Schlussanträge hervorgehoben hat, ermöglicht es die Dekompilierung grundsätzlich nicht, den ursprünglichen Quellcode zu erhalten, sondern eine dritte, als „Quasi-Quellcode“ bezeichnete Version des betreffenden Programms, die wiederum in einen Objektcode kompiliert werden kann, der das Funktionieren des Programms ermöglicht.

Die Dekompilierung stellt daher eine Umwandlung der Form des Codes eines Programms dar, die eine zumindest teilweise und vorübergehende Vervielfältigung des Codes sowie eine Übersetzung seiner Form impliziert.

Folglich ist festzustellen, dass die Dekompilierung eines Computerprogramms die Vornahme von Handlungen impliziert – nämlich die Vervielfältigung des Codes dieses Programms und die Übersetzung der Codeform –, die tatsächlich unter die Ausschließlichkeitsrechte des Urhebers im Sinne von Art. 4 Buchst. a und b der Richtlinie 91/250 fallen.

Diese Auslegung wird durch den Wortlaut von Art. 6 Abs. 1 der Richtlinie 91/250 bestätigt, der zwar nach seiner Überschrift die Dekompilierung betrifft, sich aber ausdrücklich auf die „Vervielfältigung des Codes“ und die „Übersetzung der Codeform im Sinne des Artikels 4 Buchstaben a) und b)“ dieser Richtlinie bezieht. Daraus folgt, dass der Begriff „Dekompilierung“ im Sinne dieser Richtlinie tatsächlich unter die in der letztgenannten Bestimmung normierten Ausschließlichkeitsrechte des Urhebers eines Computerprogramms fällt.

Nach Art. 5 Abs. 1 der Richtlinie 91/250 kann der rechtmäßige Erwerber eines Computerprogramms alle in Art. 4 Buchst. a und b dieser Richtlinie genannten Handlungen vornehmen, einschließlich solcher, die in der Vervielfältigung des Codes und in der Übersetzung seiner Form bestehen, ohne zuvor die Zustimmung des Rechtsinhabers eingeholt zu haben, sofern dies für die Benutzung des Programms einschließlich der Berichtigung von Fehlern, die dessen Funktionieren beeinträchtigen, notwendig ist.

Aus den vorstehenden Erwägungen ergibt sich daher, dass Art. 5 Abs. 1 der Richtlinie 91/250 dahin auszulegen ist, dass der rechtmäßige Erwerber eines Programms berechtigt ist, dieses Programm zu dekompilieren, um Fehler, die dessen Funktionieren beeinträchtigen, zu berichtigen.

Diese Auslegung wird nicht durch Art. 6 der Richtlinie 91/250 in Frage gestellt, der entgegen dem Vorbringen von Top System nicht dahin ausgelegt werden kann, dass die Dekompilierung eines Computerprogramms nur zu Interoperabilitätszwecken zulässig ist.

Wie sich aus seinem Wortlaut ergibt, enthält Art. 6 der Richtlinie 91/250 insofern eine Ausnahme von den Ausschließlichkeitsrechten des Inhabers der Urheberrechte an einem Computerprogramm, als er die Vervielfältigung des Codes oder die Übersetzung der Codeform ohne vorherige Zustimmung des Urheberrechtsinhabers erlaubt, wenn diese Handlungen unerlässlich sind, um die Interoperabilität dieses Programms mit einem anderen, unabhängig geschaffenen Programm sicherzustellen.

Insoweit ist erstens darauf hinzuweisen, dass es in den Erwägungsgründen 20 und 21 dieser Richtlinie heißt, dass Situationen eintreten können, in denen eine Vervielfältigung des Codes eines Computerprogramms oder eine Übersetzung der Codeform unerlässlich ist, um die Informationen zu erhalten, die für die Interoperabilität eines unabhängig geschaffenen Programms mit anderen Programmen notwendig sind, und dass „nur in diesen begrenzten Fällen“ die Vornahme dieser Handlungen rechtmäßig ist und anständigen Gepflogenheiten entspricht, so dass sie nicht der Zustimmung des Urheberrechtsinhabers bedarf.

Aus Art. 6 Abs. 1 Buchst. b und c der Richtlinie 91/250 im Licht ihrer Erwägungsgründe 19 und 20 geht hervor, dass der Unionsgesetzgeber damit die Tragweite der von ihm in dieser Bestimmung vorgesehenen Interoperabilitätsausnahme auf die Fälle beschränken wollte, in denen die Interoperabilität eines unabhängig geschaffenen Programms mit anderen Programmen nur durch eine Dekompilierung des betreffenden Programms erreicht werden kann.

Diese Auslegung wird durch Art. 6 Abs. 2 und 3 der Richtlinie 91/250 bestätigt, der es u. a. verbietet, dass die aufgrund einer solchen Dekompilierung gewonnenen Informationen zu anderen Zwecken als zur Herstellung dieser Interoperabilität oder zur Entwicklung ähnlicher Programme verwendet werden, und der es auch allgemein ausschließt, dass die Dekompilierung in einer Weise vorgenommen wird, die die rechtmäßigen Interessen des Rechtsinhabers in unvertretbarer Weise beeinträchtigt oder im Widerspruch zur normalen Nutzung des betreffenden Computerprogramms steht.

Dagegen lässt sich weder aus dem Wortlaut von Art. 6 in Verbindung mit den Erwägungsgründen 19 und 20 der Richtlinie 91/250 noch aus der Systematik dieses Artikels ableiten, dass der Unionsgesetzgeber jegliche Möglichkeit einer Vervielfältigung des Codes eines Computerprogramms und einer Übersetzung der Codeform ausschließen wollte, sofern diese nicht mit dem Ziel vorgenommen werden, die für die Interoperabilität eines unabhängig geschaffenen Computerprogramms mit anderen Programmen erforderlichen Informationen zu erlangen.

Insoweit ist darauf hinzuweisen, dass Art. 6 der Richtlinie 91/250 Handlungen betrifft, die erforderlich sind, um die Interoperabilität unabhängig geschaffener Programme zu gewährleisten, während Art. 5 Abs. 1 dieser Richtlinie es dem rechtmäßigen Erwerber eines Programms ermöglichen soll, dieses bestimmungsgemäß zu benutzen. Diese beiden Bestimmungen haben daher unterschiedliche Ziele.

Zweitens wird diese Analyse, wie der Generalanwalt in Nr. 59 seiner Schlussanträge im Wesentlichen ausgeführt hat, durch die Vorarbeiten zur Richtlinie 91/250 bestätigt, aus denen hervorgeht, dass mit der Aufnahme des aktuellen Art. 6 dieser Richtlinie in den ursprünglichen Vorschlag der Europäischen Kommission speziell die Frage der Interoperabilität der von unabhängigen Urhebern geschaffenen Programme geregelt werden sollte, unbeschadet der Bestimmungen, die dem rechtmäßigen Erwerber des Programms dessen normale Benutzung ermöglichen sollten.

Drittens würde eine Auslegung von Art. 6 der Richtlinie 91/250 in dem von Top System vorgeschlagenen Sinne die praktische Wirksamkeit der dem rechtmäßigen Erwerber eines Programms vom Unionsgesetzgeber in Art. 5 Abs. 1 der Richtlinie 91/250 ausdrücklich eingeräumten Befugnis beeinträchtigen, Fehler zu berichtigen, die eine bestimmungsgemäße Benutzung des Programms verhindern.

Wie nämlich der Generalanwalt in Nr. 79 seiner Schlussanträge hervorgehoben hat, verlangt die Berichtigung von Fehlern, die das Funktionieren eines Computerprogramms beeinträchtigen, in den meisten Fällen und insbesondere dann, wenn die vorzunehmende Berichtigung darin besteht, eine Funktion zu desaktivieren, die das ordnungsgemäße Funktionieren der Anwendung, zu der dieses Programm gehört, beeinträchtigt, den Zugriff auf den Quellcode oder, in Ermangelung dessen, den Quasi-Quellcode des Programms.

Nach alledem ist auf die erste Vorlagefrage zu antworten, dass Art. 5 Abs. 1 der Richtlinie 91/250 dahin auszulegen ist, dass der rechtmäßige Erwerber eines Computerprogramms berechtigt ist, dieses ganz oder teilweise zu dekompilieren, um Fehler, die das Funktionieren dieses Programms beeinträchtigen, zu berichtigen, einschließlich in dem Fall, dass die Berichtigung darin besteht, eine Funktion zu desaktivieren, die das ordnungsgemäße Funktionieren der Anwendung, zu der dieses Programm gehört, beeinträchtigt.

Zur zweiten Frage

Mit seiner zweiten Frage möchte das vorlegende Gericht wissen, ob Art. 5 Abs. 1 der Richtlinie 91/250 dahin auszulegen ist, dass der rechtmäßige Erwerber eines Computerprogramms, der die Dekompilierung dieses Programms vornehmen möchte, um Fehler, die dessen Funktionieren beeinträchtigen, zu berichtigen, den Anforderungen nach Art. 6 dieser Richtlinie oder anderen Anforderungen genügen muss.

Insoweit ist darauf hinzuweisen, dass – wie oben in Rn. 49 festgestellt worden ist – die in Art. 6 der Richtlinie 91/250 vorgesehene Ausnahme einen anderen Anwendungsbereich und andere Ziele als die in Art. 5 Abs. 1 dieser Richtlinie vorgesehene hat. Die in Art. 6 dieser Richtlinie aufgestellten Anforderungen sind daher als solche nicht auf die in ihrem Art. 5 Abs. 1 vorgesehene Ausnahme anwendbar.

Es ist jedoch festzustellen, dass nach dem Wortlaut, der Systematik und dem Zweck von Art. 5 Abs. 1 der Richtlinie 91/250 die Vornahme der Handlungen, die zusammen die Dekompilierung eines Computerprogramms darstellen, wenn sie nach dieser Bestimmung erfolgt, bestimmten Anforderungen unterliegt.

Erstens müssen diese Handlungen nach dem Wortlaut dieser Bestimmung notwendig sein, damit der rechtmäßige Erwerber das betreffende Programm bestimmungsgemäß benutzen und insbesondere „Fehler“ berichtigen kann.

Mangels eines Verweises auf das Recht der Mitgliedstaaten und einer einschlägigen Definition in der Richtlinie 91/250 ist der Begriff „Fehler“ im Sinne dieser Bestimmung entsprechend seinem üblichen Sinn im gewöhnlichen Sprachgebrauch auszulegen, wobei der Zusammenhang, in den er sich einfügt, und die Ziele zu berücksichtigen sind, die mit der Regelung verfolgt werden, zu der er gehört (Urteil vom 3. Juni 2021, Ungarn/Parlament, C‑650/18, EU:C:2021:426, Rn. 83 und die dort angeführte Rechtsprechung).

Insoweit ist darauf hinzuweisen, dass im Bereich der Informatik ein Fehler im Allgemeinen einen Defekt in einem Computerprogramm bezeichnet, der zu dessen Fehlfunktion führt.

Außerdem muss gemäß dem oben in Rn. 49 angeführten Ziel von Art. 5 Abs. 1 der Richtlinie 91/250 ein solcher Defekt, der einen Fehler im Sinne dieser Bestimmung darstellt, die Möglichkeit beeinträchtigen, das betreffende Programm bestimmungsgemäß zu benutzen.

Zweitens ergibt sich aus dem Wortlaut von Art. 5 Abs. 1 der Richtlinie 91/250, dass die Dekompilierung eines Computerprogramms für dessen bestimmungsgemäße Benutzung durch den rechtmäßigen Erwerber „notwendig“ sein muss.

Insoweit ist darauf hinzuweisen, dass – wie oben in Rn. 52 festgestellt worden ist – die Berichtigung von Fehlern, die die bestimmungsgemäße Benutzung eines Programms beeinträchtigen, in den meisten Fällen eine Änderung des Codes dieses Programms mit sich bringt und die Durchführung dieser Berichtigung den Zugriff auf den Quellcode oder zumindest auf den Quasi-Quellcode dieses Programms erfordert.

Wenn der Quellcode dem Erwerber des betreffenden Programms rechtlich oder vertraglich zugänglich ist, kann jedoch nicht davon ausgegangen werden, dass eine Dekompilierung dieses Programms „notwendig“ ist.

Drittens erlaubt Art. 5 Abs. 1 der Richtlinie 91/250 nach seinem Wortlaut die Berichtigung von Fehlern vorbehaltlich „spezifischer vertraglicher Bestimmungen“.

Hierzu ist festzustellen, dass nach dem 17. Erwägungsgrund der Richtlinie 91/250 sowohl das Laden und Ablaufen, sofern es für die Benutzung einer Kopie eines rechtmäßig erworbenen Computerprogramms erforderlich ist, als auch die Berichtigung von Fehlern, die dessen Funktionieren beeinträchtigen, nicht vertraglich untersagt werden dürfen.

Daher ist Art. 5 Abs. 1 der Richtlinie 91/250 in Verbindung mit ihrem 18. Erwägungsgrund dahin zu verstehen, dass die Parteien nicht vertraglich jede Möglichkeit einer Berichtigung dieser Fehler ausschließen dürfen.

Dagegen steht es dem Inhaber und dem Erwerber nach dieser Bestimmung frei, die Modalitäten der Ausübung dieser Befugnis vertraglich festzulegen. Konkret können diese insbesondere vereinbaren, dass der Inhaber für die fehlerbehebende Wartung des betreffenden Programms sorgen muss.

Daraus folgt auch, dass der rechtmäßige Erwerber eines Computerprogramms mangels entsprechender spezifischer vertraglicher Bestimmungen berechtigt ist, ohne vorherige Zustimmung des Rechtsinhabers die in Art. 4 Buchst. a und b der Richtlinie 91/250 genannten Handlungen vorzunehmen, einschließlich der Dekompilierung dieses Programms, soweit dies zur Berichtigung von Fehlern, die dessen Funktionieren beeinträchtigen, notwendig ist.

Viertens darf der rechtmäßige Erwerber eines Computerprogramms, der dieses zur Berichtigung von Fehlern, die dessen Funktionieren beeinträchtigen, dekompiliert hat, das Ergebnis dieser Dekompilierung nicht zu anderen Zwecken als zur Berichtigung dieser Fehler verwenden.

Art. 4 Buchst. b der Richtlinie 91/250 gewährt dem Urheberrechtsinhaber nämlich das ausschließliche Recht, nicht nur „die Übersetzung, die Bearbeitung, das Arrangement und andere Umarbeitungen eines Computerprogramms“, sondern auch „die Vervielfältigung der erzielten Ergebnisse“, d. h. im Fall der Dekompilierung, die Vervielfältigung des Quellcodes oder des Quasi‑Quellcodes, der sich aus ihr ergibt, vorzunehmen oder zu gestatten.

Somit unterliegt jede Vervielfältigung dieses Codes nach Art. 4 Buchst. b der Richtlinie 91/250 der Zustimmung des Inhabers des Urheberrechts an diesem Programm.

Art. 4 Buchst. c dieser Richtlinie untersagt außerdem die öffentliche Verbreitung einer Kopie eines Computerprogramms ohne Zustimmung des Inhabers der Urheberrechte an diesem Programm, was, wie sich aus Art. 1 Abs. 2 der Richtlinie 91/250 ergibt, auch auf Kopien des durch Dekompilierung erlangten Quellcodes oder Quasi-Quellcodes anwendbar ist.

Es steht zwar fest, dass Art. 5 dieser Richtlinie es dem rechtmäßigen Erwerber eines Computerprogramms gestattet, solche Handlungen ohne Zustimmung des Urheberrechtsinhabers vorzunehmen, jedoch nur soweit diese Handlungen notwendig sind, um ihm die bestimmungsgemäße Benutzung des Computerprogramms zu ermöglichen.

Nach alledem ist auf die zweite Vorlagefrage zu antworten, dass Art. 5 Abs. 1 der Richtlinie 91/250 dahin auszulegen ist, dass der rechtmäßige Erwerber eines Computerprogramms, der die Dekompilierung dieses Programms vornehmen möchte, um Fehler, die dessen Funktionieren beeinträchtigen, zu berichtigen, nicht den Anforderungen nach Art. 6 dieser Richtlinie genügen muss. Der Erwerber darf eine solche Dekompilierung jedoch nur in dem für die Berichtigung erforderlichen Ausmaß und gegebenenfalls unter Einhaltung der mit dem Inhaber des Urheberrechts an diesem Programm vertraglich festgelegten Bedingungen vornehmen.

Kosten

Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Den Volltext der Entscheidung finden Sie hier:




OLG München: Urheberrechtsverletzung durch öffentliches Zugänglichmachen von Software-Testversionen und durch Verkauf von Produktkeys

OLG München
Urteil vom 01.06.2017
29 U 2554/16


Das OLG München hat entschieden, dass eine Urheberrechtsverletzung vorliegen kann, wenn ohne Zustimmung des Rechteinhaber Softwaretestversionen öffentlich zugänglich gemacht werden und auch dann wenn ohne Zustimmung des Rechteinhabers lediglich Produktkeys zum Verkauf angeboten werden.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Bereits die Werbung für Computersoftware ist eine Verbreitungshandlung im Sinne von § 69 c Nr. 3 UrhG - Einrichtung eines Testzugangs

OLG Frankfurt
Urteil vom 11.08.2015
11 U 94/13


Das OLG Frankfurt hat entschieden, dass bereits die Werbung für Computersoftware eine Verbreitungshandlung im Sinne von § 69 c Nr. 3 UrhG darstellt. Dies kann u.a. auch durch Einrichtung eines Testzugangs zur Nutzung der Software geschehen.

Aus den Entscheidungsgründen:

"Die Beklagte hat das ausschließliche Nutzungsrecht der Klägerin zu 1) an dem Computerprogramm gem. Anlage K46 durch das Angebot der Software "X" im Form eines Testzugangs auf ihrer Internetseite (Anlage K 16a,b) verletzt. Die Bewerbung eines urheberrechtlich geschützten Werkes stellt auch ohne nachgelagerten Verkaufsvorgang ein Verbreiten nach § 69 Nr.3 UrhG dar.

(1) Der Verbreitungsbegriff des § 69c Nr. 3 UrhG ist mit dem Begriff des Verbreitens in § 17 Abs. 1 UrhG identisch. Zwar dient - was bei der Auslegung zu berücksichtigen ist - § 17 Abs. 1 UrhG der Umsetzung von Art. 4 der Richtlinie 2001/29/EG zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft, während § 69c Nr. 3 UrhG der Umsetzung von Art. 4 Abs. 1c) der Richtlinie 2009/24/EG über den Rechtsschutz von Computerprogrammen dient. Indes hat der nationale Gesetzgeber mit dem Begriff der Verbreitung in § 69c Nr. 3 UrhG eine Abweichung zu § 17 Abs. 1 UrhG nicht beabsichtigt (BT-Drs. 12/4022, S. 11). Daher wird in der Literatur der Begriff einheitlich verwendet (Dreier/Schulze, UrhG, 4. Aufl. 2013, § 69c, Rnr. 20; Wandtke/Bullinger/Grützmacher, Praxiskommentar zum Urheberrecht, 4. Aufl. 2014, § 69c, Rnr. 25). Auch aus den Richtlinien ergibt sich nichts Gegenteiliges, so dass grundsätzlich die Rechtsprechung des EuGH und BGH zu Art. 4 der Richtlinie 2001/19/EG sowie zu § 17 UrhG herangezogen werden kann.

(2) Das Verbreitungsrecht i. S. von § 17 Abs. 1 UrhG ist das Recht, das Original oder Vervielfältigungsstücke des Werkes der Öffentlichkeit anzubieten oder in Verkehr zu bringen. Nach Art. 4 I Richtlinie 2001/29/EG sehen die Mitgliedstaaten vor, dass den Urhebern in Bezug auf das Original ihrer Werke oder auf Vervielfältigungsstücke davon das ausschließliche Recht zusteht, die Verbreitung an die Öffentlichkeit in beliebiger Form durch Verkauf oder auf sonstige Weise zu erlauben oder zu verbieten. Unter den Begriff der Verbreitung des Originals oder von Vervielfältigungsstücken eines Werkes an die Öffentlichkeit auf andere Weise als durch Verkauf i. S. von Art. 4 I Richtlinie 2001/29/EG fallen auch Handlungen, auf die nicht die Übertragung des Eigentums an diesem Gegenstand folgt, sofern die Werbung die Verbraucher des Mitgliedstaats, in dem das Werk urheberrechtlich geschützt ist, zu dessen Erwerb anregt (EuGH, GRUR 2015,665 [EuGH 13.05.2015 - C-516/13] - Marcel-Breuer-Möbel). Eine derartige Werbung für einen Schutzgegenstand gehört nämlich ebenfalls zur Kette der Handlungen, mit denen der Verkauf des Gegenstandes zu Stande kommen soll. Die Ziele der Richtlinie 2001/29 verlangen in ihren Erwägungsgründen 9 - 11, dass die Harmonisierung des Urheberrechts von einem hohen Schutzniveau ausgehen muss, der Urheber für die Nutzung eine angemessene Vergütung erhalten muss und die Regelungen zum Schutz der Urheberrechte rigoros und wirksam sein müssen. Für die Verletzung des Verbreitungsrechts ist es danach unerheblich, dass auf eine Werbung nicht der Übergang des Eigentums an dem geschützten Werk oder seinen Vervielfältigungsstücken folgt (EuGH aaO, Rnr. 28, 32).

Im Bereich von Computerprogrammen ist hingegen die Besonderheit zu beachten, dass die schutzbegründenden Elemente der Programmiertätigkeit regelmäßig bei der Bewerbung nicht zutage treten, sondern sich die Bewerbung nur auf die Darstellung der Funktion und/oder auf die äußere Erscheinungsform beschränken kann, die durch § 69c UrhG nicht originär geschützt sind. Indes sind die Erwägungen, die der Rechtsprechung des EuGH zugrunde liegen, auch auf die Verbreitung von Computerprogrammen durch Werbemaßnahmen übertragbar. Zugrunde liegt dem nämlich der Gedanke, dass die Bewerbung sich als Beginn der wirtschaftlichen Auswertung des Werkes bzw. Computerprogramms darstellt. Aus Erwägungsgrund 2 der Softwarerichtlinie ergibt sich, dass die Richtlinie dem Schutz der erheblichen Investitionen menschlicher, technischer und finanzieller Mittel dient, die zur Entwicklung von Computerprogrammen notwendig sind, mithin ein Investitionsschutzelement aufweist, dass diese Argumentation noch verstärkt. Hinzu kommt, dass der EuGH den weiten Schutz der Urheber im Hinblick auf Werbemaßnahmen ausdrücklich auf Art. 6 I des WCT stützt. Da die Richtlinie 2001/29/EG dazu dient, Verpflichtungen nachzukommen, die der Union nach dem WCT obliegen und da nach ständiger Rechtsprechung des EuGH Bestimmungen des Unionsrecht nach Möglichkeit im Lichte des Völkerrechts auszulegen sind, insbesondere wenn mit ihnen ein von der Union beschlossener völkerrechtlicher Vertrag durchgeführt werden sollte, ist die Richtlinie im Einklang mit Art. 6 I des WCT auszulegen. In diesem Lichte ist eine weite Auslegung geboten (EuGH aaO).

Dieselben Erwägungen sind indes auch im Hinblick auf Computerprogramme anzustellen. Diese sind nach Art. 4 WCT als Werke der Literatur geschützt. Auch der Begriff der "Verbreitung" nach Art. 4 Abs. 1c der Software-Richtlinie ist daher in dem Sinne auszulegen, dass bereits die Bewerbung ohne einen anschließenden Verkaufsvorgang das Verbreitungsrecht verletzt."


Den Volltext der Entscheidung finden Sie hier:

BGH: Weiterverkauf von Softwarelizenzen bei heruntergeladener Software zulässig - Zu den Voraussetzungen der Erschöpfung des Verbreitungsrechts - UsedSoft II

BGH
Urteil vom 17.07.2013
I ZR 129/08
UsedSoft II
UrhG § 69d Abs. 1

Leitsätze des BGH:

1. Hat der Inhaber des Urheberrechts dem Herunterladen der Kopie eines Computerprogramms aus dem Internet auf einen Datenträger zugestimmt, sind der zweite oder jeder weitere Erwerber einer Lizenz zur Nutzung dieses Computerprogramms nach § 69d Abs. 1 UrhG zur Vervielfältigung des Programms berechtigt, wenn das Recht zur Verbreitung der Programmkopie erschöpft ist und der Weiterverkauf der Lizenz an den Erwerber mit dem Weiterverkauf der von der Internetseite des Urheberrechtsinhabers heruntergeladenen Programmkopie verbunden ist.

a) Die Erschöpfung des Verbreitungsrechts setzt voraus,

- dass der Urheberrechtsinhaber seine Zustimmung gegen Zahlung eines Entgelts erteilt hat, das es ihm ermöglichen soll, eine dem wirtschaftlichen Wert der Kopie seines Werkes entsprechende Vergütung zu erzielen;

- dass der Urheberrechtsinhaber dem Ersterwerber ein Recht eingeräumt hat, die Kopie ohne zeitliche Begrenzung zu nutzen;

- dass Verbesserungen und Aktualisierungen, die das vom Nacherwerber heruntergeladene Computerprogramm gegenüber dem vom Ersterwerber heruntergeladenen Computerprogramm aufweist, von einem zwischen dem Urheberrechtsinhaber und dem Ersterwerber abgeschlossenen Wartungsvertrag
gedeckt sind;

- dass der Ersterwerber seine Kopie unbrauchbar gemacht hat.

b) Der Weiterverkauf der von der Internetseite des Urheberrechtsinhabers heruntergeladenen Programmkopie setzt nicht voraus, dass der Nacherwerber
einen Datenträger mit der „erschöpften“ Kopie des Computerprogramms erhält; vielmehr reicht es aus, wenn der Nacherwerber die Kopie des Computerprogramms von der Internetseite des Urheberrechtsinhabers auf seinen Computer herunterlädt.

2. Wer sich darauf beruft, dass die Vervielfältigung eines Computerprogramms nach § 69d Abs. 1 UrhG nicht der Zustimmung des Rechtsinhabers bedarf,
trägt die Darlegungs- und Beweislast dafür, dass die Voraussetzungen dieser Bestimmung erfüllt sind.

3. Das dem Nacherwerber der „erschöpften“ Kopie eines Computerprogramms durch § 69d Abs. 1 UrhG vermittelte Recht zu dessen bestimmungsgemäßer
Benutzung kann nicht durch vertragliche Bestimmungen ausgeschlossen werden, die dieses Recht dem Ersterwerber vorbehalten.

4. Was zur bestimmungsgemäßen Benutzung des Computerprograms nach § 69d Abs. 1 UrhG gehört, ergibt sich aus dem zwischen dem Urheberrechtsinhaber und dem Ersterwerber geschlossenen Lizenzvertrag.

BGH, Urteil vom 17. Juli 2013 - I ZR 129/08 - OLG München - LG München I

Den Volltext der Entscheidung finden Sie hier:

LG Hamburg: Klauseln in SAP-AGB unzulässig - Weiterverkauf von Gebrauchtssoftware zulässig

LG Hamburg
25.10.2013
315 O 449/12


Das LG Hamburg hat sich in dieser Entscheidung mit einigen Klauseln in den AGB des Softwareherstellers SAP befasst. So sah eine Klausel vor, dass der Weiterverkauf von Gebrauchtsoftware nur mit Zustimmung des Softwareherstellers zulässig sein sollte. Auch der Zukauf weiterer Lizenzen von Dritten stand ebenfalls unter einem Erlaubnisvorbehalt. Zu Recht ging das Gericht von einer Unzulässigkeit derartiger Klauseln aus. Schließlich wurde auch die Regelung zur Vermessung (= externe Kontrolle der notwendigen Anzahl von Softwarelizenzen) für unwirksam erklärt.


BGH: Anspruch auf Herausgabe des Quellcodes eines Computerprogrammes nach § 809 BGB zur Feststellung einer Urheberrechtsverletzung

BGH
Urteil vom 20.09.2013
I ZR 90/09
UniBasic-IDOS
BGB § 809


Einem Anspruch auf Herausgabe des Quellcodes eines Computerprogramms nach § 809 BGB zum Zwecke des Nachweises einer Urheberrechtsverletzung steht nicht entgegen, dass unstreitig nicht das gesamte
Computerprogramm übernommen wurde, sondern lediglich einzelne Komponenten und es deswegen nicht von vornherein ausgeschlossen werden kann, dass gerade die übernommenen Komponenten nicht auf einem individuellen Programmierschaffen desjenigen beruhen, von dem der Kläger seine Ansprüche ableitet.
BGH, Urteil vom 20. September 2012 - I ZR 90/09 - OLG München - LG München I

Den Volltext der Entscheidung finden Sie hier:


LG Frankfurt: Usedsoft-Kunden können beim Kauf gebrauchter Software auf Unterlassung und Schadensersatz haften

LG Frankfurt
Urteil vom 6.7.2011
2-06 O 576/09
Used-Soft


Das LG Frankfurt hat entschieden, dass Kunden des Gebraucht-Software-Händlers Usedsoft gegenüber dem Hersteller der Software auf Unterlassung und Schadensersatz haften können, soweit dieser den Weiterverkauf der entsprechenden Lizenz nicht gestattet hat. Der Käufer muss im Streitfall gegenüber dem Softwarehersteller (hier: Microsoft) nachweisen, dass er die Software rechtmäßig erworben hat.

Die Entscheidung ist nicht rechtskräftig.

Rechtsstreitigkeiten über den Weiterverkauf von Softwarelizenzen werden bis zu einer Grundsatzentscheidung des EuGH auch zukünftig die Gerichte beschäftigen. Wer eine Lizenz erwirbt und auf Nummer sicher gehen will, sollte sich am besten beim Hersteller erkundigen, ob dieser den Weiterverkauf von Lizenzen erlaubt.

Vorlagebeschluss des BGH zur Frage der Zulässigkeit des Vertriebs gebrauchter Software liegt im Volltext vor - UsedSoft

BGH
Beschluss vom 03.02.2011
I ZR 129/08
UsedSoft
Computerprogramm-RL Art. 5 Abs. 1, Art. 4 Abs. 2 Halbsatz 1

Leitsatz des BGH:

Dem Gerichtshof der Europäischen Union werden zur Auslegung der Richtlinie 2009/24/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über den Rechtsschutz von Computerprogrammen (ABl. L 111 vom 5.5.2009, S. 16) folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist derjenige, der sich auf eine Erschöpfung des Rechts zur Verbreitung der Kopie eines Computerprogramms berufen kann, "rechtmäßiger Erwerber" im Sinne von Art. 5 Abs. 1 der Richtlinie 2009/24/EG?

2. Für den Fall, dass die erste Frage bejaht wird: Erschöpft sich das Recht zur Verbreitung der Kopie eines Computerprogramms nach Art. 4 Abs. 2 Halbsatz 1 der Richtlinie 2009/24/EG, wenn der Erwerber die Kopie mit Zustimmung des Rechtsinhabers durch Herunterladen des Programms aus dem Internet auf einen Datenträger angefertigt hat?

3. Für den Fall, dass auch die zweite Frage bejaht wird: Kann sich auch derjenige, der eine "gebrauchte" Softwarelizenz erworben hat, für das Erstellen einer Programmkopie als "rechtmäßiger Erwerber" nach Art. 5 Abs. 1 und Art. 4 Abs. 2 Halbsatz 1 der Richtlinie 2009/24/EG auf eine Erschöpfung des Rechts zur Verbreitung der vom Ersterwerber mit Zustimmung des Rechtsinhabers durch Herunterladen des Programms aus dem Internet auf einen Datenträger angefertigten Kopie des Computerprogramms berufen, wenn der Ersterwerber seine Programmkopie gelöscht hat oder nicht mehr verwendet?
BGH, Beschluss vom 3. Februar 2011 - I ZR 129/08 - OLG München
LG München I

Den Volltext der Entscheidung finden Sie hier:

BGH: Der EuGH muss über die Frage entscheiden, ob der Vertrieb gebrauchter Software zulässig ist

BGH
Beschluss vom 03.02.2011
I ZR 129/08
UsedSoft


Der BGH hat die Rechtsfrage, ob der Vertrieb gebrauchter Softwarelizenzen zulässig ist, dem Europäischen Gerichtshof zur Entscheidung vorgelegt.

Aus der Pressemitteilung des BGH:

"Die Kunden der Beklagten greifen durch das Herunterladen der Computerprogramme - so der BGH - in das nach § 69c Nr. 1 UrhG ausschließlich dem Rechtsinhaber zustehende Recht zur Vervielfältigung der Computerprogramme ein. Da die Beklagte ihre Kunden durch das Angebot "gebrauchter" Lizenzen zu diesem Eingriff veranlasst, kann sie auf Unterlassung in Anspruch genommen werden, falls ihre Kunden nicht zur Vervielfältigung der Programme berechtigt sind. Die Kunden der Beklagten können sich nach Auffassung des BGH allerdings möglicherweise auf die Regelung des § 69d Abs. 1 UrhG berufen, die Art. 5 Abs. 1 der Richtlinie 2009/24/EG ins deutsche Recht umsetzt und daher richtlinienkonform auszulegen ist. Nach Art. 5 Abs. 1 der Richtlinie 2009/24/EG bedarf die Vervielfältigung eines Computerprogramms - solange nichts anderes vereinbart ist - nicht der Zustimmung des Rechtsinhabers, wenn sie für eine bestimmungsgemäße Benutzung des Computerprogramms durch den rechtmäßigen Erwerber notwendig ist. Es stellt sich daher die Frage, ob und gegebenenfalls unter welchen Voraussetzungen derjenige, der eine "gebrauchte" Softwarelizenz erworben hat, als "rechtmäßiger Erwerber" des entsprechenden Computerprogramms anzusehen ist. In diesem Zusammenhang kann sich auch die weitere Frage stellen, ob sich das Verbreitungsrecht des Rechtsinhabers erschöpft, wenn ein Computerprogramm mit seiner Zustimmung im Wege der Online-Übermittlung in Verkehr gebracht worden ist."

Die vollständige Pressemitteilung des BGH finden Sie hier:

"BGH: Der EuGH muss über die Frage entscheiden, ob der Vertrieb gebrauchter Software zulässig ist" vollständig lesen