Das LG Bochum hat entschieden, dass die Werbung mit "CO2-neutralem-Versand" eine wettbewerbswidrige Irreführung ist, wenn dieser tatsächlich nur CO2-reduziert erfolgt. Zudem stellt die Verwendung der umweltbezogenen Begriffe "nachhaltig & regional" eine wettbewerbswidrige Irreführung dar, wenn die konkret damit gemeinte Bedeutung nicht bereits in der Werbung selbst eindeutig und klar erklärt wird.
Aus den Entscheidungsgründen: Der Kläger kann nach §§ 8 Abs. 1, Abs. 3 Nr. 3, 3 Abs. 1, 5 Abs. 1, Abs. 2 Nr. 1 UWG die Unterlassung der in der Anl. K3 ersichtlichen Aussage verlangen. Diese enthält eine unwahre Angabe über die Ware/Dienstleistung, als von der Beklagten ein CO2-neutraler Versand mit E beworben wird, es sich nach den unbestrittenen Darlegungen des Klägers bei E nur um einen Versand handelt, der CO2 reduziert ist.
Anhaltspunkte für das pauschale Vorbringen der Beklagten, jedermann wäre klar, d. h. auch die angesprochenen Verkehrskreise wüssten, dass ein Transport von Waren durch die Beklagte von einem zu einem anderen Ort nicht ohne CO2 Ausstoß erfolgen könne, sieht das Gericht nicht. Vielmehr ist das Gericht der Überzeugung, dass die monierte Aussage bei zumindest Teilen der potentiellen Kunden die Fehlvorstellung erwecken wird, dass die Beklagte mit E CO2-neutral versendet. Da der Schutz des Klimas ein inzwischen bei vielen Personen wichtiger Aspekt ist, ist die irreführende Aussage ohne weiteres geeignet, Verbraucher dazu zu veranlassen, sich zumindest mit den Angeboten der Beklagten zu befassen oder sogar bei ihr zu bestellen, was sie ohne diese Aussage nicht getan hätten.
Auch bezüglich der Werbeaussage in der Anl. K4 besteht nach §§ 8 Abs. 1, Abs. 3 Nr. 3, 3 Abs. 1, 5 Abs. 1, Absatz, 2 Nr. 1 UWG der geltend gemachte Unterlassungsanspruch. Denn auch diese Aussage ist im Sinne von § 5 Abs. 1, Abs. 2 Nr. 1 UWG zur Täuschung geeignet und irreführend, weil sie eine erläuterungsbedürftige Begrifflichkeit enthält und es an genau dieser Erläuterung fehlt. Nach der Rechtsprechung des BGH (Urteil vom sieben 27.06.2024, Az. I ZR 98/23) sind bei der Werbung mit Umweltschutzbegriffen strenge Anforderungen an die Richtigkeit, Eindeutigkeit und Klarheit der Werbeaussage zu stellen. Werden mehrdeutige umweltbezogenen Begriffe verwendet, genügen, die zur Vermeidung einer Irreführung erforderlichen Erläuterungen regelmäßig nur dann, wenn so bereits in der Werbung selbst eindeutig und klar erklärt wird, welche konkrete Bedeutung maßgebend ist.
Das Begriffspaar „Nachhaltig & regional“ ist umweltbezogenen, weil mit nachhaltig die Schonung von Ressourcen gemeint ist und mit regional etwa die Vermeidung von langen Transportwegen verbunden wird. Was aber hier mit der Kombination beider Begriffe gemeint ist, was konkret nachhaltig und gleichzeitig regional an den Leistungen der Beklagten ist, wird nicht erklärt. Es bleibt auch bereits deshalb unklar und fraglich, weil sich die Beklagte mit ihrem Internetauftritt ersichtlich an bundesweite Kunden richtet und damit offensichtlich diese auch bundesweit beliefert.
Die somit erforderlichen Erläuterungen fehlen jedenfalls bei dieser Werbung. Diese daher irreführende Werbung ist auch wiederum geeignet, umweltbewusste Verbraucher anzusprechen und dazu zu veranlassen, sich mit den Angeboten der Beklagten zumindest auseinanderzusetzen, was sie ohne die Werbeaussagen der Beklagten nicht getan hätten.
Nach alldem ist der Unterlassungsanspruch im Hinblick auf beide Aussagen gegeben.
2. Der Anspruch auf die Erstattung der Abmahnkosten folgt aus § 13 Abs. 3 UWG. Die Abmahnung der Werbeaussagen mit dem Schreiben vom 11.11.2024 war nach den obigen Ausführungen berechtigt. Die formellen Anforderungen des § 13 Abs. 2 UWG sind gegeben. Die geltend gemachte Pauschale i.H.v. 260,- € liegt nach den Erfahrungen des erkennenden Gerichts auch im Rahmen der üblicherweise in vergleichbaren Konstellationen anfallenden Kosten und ist daher nicht zu beanstanden.
3. Die geltend gemachten Ansprüche sind auch nicht nach § 11 Abs. 1 UWG verjährt.
Voraussetzung für den Beginn der kurzen Verjährungsfrist ist nach § 11 Abs. 2 Nr. 1 UWG u.a., dass der Anspruch entstanden ist. Bezüglich der Unterlassungsansprüche liegt hier eine Dauerhandlung zugrunde. Bei Dauerhandlungen, wie dies etwa bei einem Internetauftritt gegeben ist, kann die Verjährung von Unterlassungsansprüchen nicht beginnen, solange der Eingriff noch fortbesteht (vgl. Köhler/Feddersen, UWG, 44. Aufl. 2026, § 11UWG, Rdn. 1.21).
Hier hat die Beklagte die streitgegenständlichen Inhalte am 12.12.2024 entfernt, sodass erst zu diesem Zeitpunkt die Dauerhandlung im Internet beendet war. Die Verjährungsfrist begann somit am 12.12.2024 und wäre so erst am 12.06.2025 abgelaufen. Die Klage wurde jedoch bereits am 19.05.2025 an die Beklagte zugestellt und damit rechtzeitig vor Ablauf der Verjährungsfrist.
Der Erstattungsanspruch im Hinblick auf die Abmahnkosten (§ 13 Abs. 3 UWG) entsteht hingegen mit der berechtigten Abmahnung. Diese ist am 11.11.2024 ausgesprochen worden, sodass die Verjährung danach am 11.05.2025 eingetreten wäre, weil die Zustellung erst am 19.05.2025 erfolgte. Hier greift aber § 167 ZPO ein. Danach wirkt die Zustellung auf die Klageeinreichung zurück, wenn sie „demnächst“ erfolgt ist. Bei einem Zeitraum von bis zu zwei Wochen zwischen dem Ablauf der Frist und der Zustellung der Klage ist eine nur geringfügige Verzögerung gegeben, die unschädlich ist, selbst wenn sie auf Nachlässigkeit der Partei beruht (vgl. etwa Thomas/Putzo, ZPO, 39. Aufl. 2018, § 167 Rdn. 12).
Hier liegen zwischen dem Ablauf der Frist und der Zustellung nur acht Tage, so dass eine Rückwirkung gegeben ist und auch insoweit keine Verjährung eingetreten ist.
Der BGH hat entschieden, dass es keine registerrechtliche Grundlage für eine dauerhafte Speicherung von nicht eintragungspflichtigen personenbezogenen Daten (sog. überobligatorische Daten) im Registerordner des Handelsregisters gibt, wenn die Einwilligung widerrufen wurde. In diesem Fall besteht ein Recht auf Löschung gemäß Art. 17 DSGVO.
Leitsatz des BGH:
Es gibt keine allgemeine registerrechtliche Grundlage dafür, in Anmeldungen zum Handelsregister enthaltene personenbezogene Daten, die nicht in das Handelsregister einzutragen sind (sog. überobligatorische Daten), nach Widerruf der Einwilligung des Anmeldenden dauerhaft im Registerordner des Handelsregisters zu speichern.
BGH, Beschluss vom 18. Februar 2026 - II ZB 2/25 - OLG Hamburg AG Hamburg
Das LG Bamberg hat entschieden, dass YouTube gemäß Art. 26 Abs. 2 des Digital Services Act (DSA) haftet, wenn ein Hinweis auf bezahlte Werbung in Influencer-Videos lediglich für zehn Sekunden eingeblendet wird, da dies unzureichend ist. Eine Kennzeichnung in "Echtzeit" im Sinne von Art. 26 Abs. 2 DSA setzt eine Einblendung über die gesamte Dauer des Beitrags voraus.
Aus den Entscheidungsgründen:
Die Klage ist auch vollumfänglich begründet.
1. Der Rechtsstreit untersteht deutschem Recht.
Gemäß Art. 2 i.V.m. Art. 6 Abs. 1 Rom-II-VO ist auf außervertragliche Schuldverhältnisse aus unlauterem Wettbewerbsverhalten das Recht des Staates anzuwenden, in dessen Gebiet die Wettbewerbsbeziehungen oder die kollektiven Interessen der Verbraucher beeinträchtigt worden sind oder wahrscheinlich beeinträchtigt werden.
Nachdem die von Klägerseite beanstandeten Influencer-Videos auf der Plattform yt.com/de veröffentlicht werden und im gesamten Bundesgebiet abrufbar sind, werden auch dort die kollektiven Interessen der Verbraucher tangiert. Mithin kommt in Deutschland geltendes Recht zur Anwendung.
2. Die Klägerin hat einen Anspruch auf Unterlassung der Veröffentlichung von kommerziellen Yt. -Videos ohne hinreichend deutlichen Hinweis, dass es sich bei diesem um bezahlte Werbung handelt gemäß §§ 8 Abs. 1, 3 Abs. 1, 3a UWG i.V.m. Art. 26 Abs. 2 S. 2 DSA, da die Beklagte mit dem nur zehn Sekunden andauernden Hinweis auf bezahlte Werbung gegen Art. 26 Abs. 2 DSA verstößt.
2.1. Der DSA gilt gemäß Art. 2 Abs. 1 DSA für Vermittlungsdienste, die für Nutzer mit Niederlassungsort oder Sitz in der Union angeboten werden, ungeachtet des Niederlassungsortes des Anbieters dieser Vermittlungsdienste. Vermittlungsdienst in diesem Sinne ist gemäß Art. 3 lit. g) iii) DSA auch ein „Hosting“-Dienst, der darin besteht, von einem Nutzer bereitgestellte Informationen in dessen Auftrag zu speichern. Ein Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet, sofern es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handelt, die aus objektiven und technischen Gründen nicht ohne diesen anderen Dienst genutzt werden kann, und sofern die Integration der Funktion der Nebenfunktion oder der unbedeutenden Funktion in den anderen Dienst nicht dazu dient, die Anwendbarkeit dieser Verordnung zu umgehen, wird gemäß Art. 3 i) DSA als Online-Plattform bezeichnet.
Das Bereitstellen der Plattform yt.com/de, damit Influencer ihre Videos auf dieser hochladen und damit auch deutsche Verbraucher erreichen können, stellt das Anbieten einer Online-Plattform und damit einen Vermittlungsdienst im Sinne von Art. 2 Abs. 1 DSA dar (vgl. OLG Hamm, Urteil vom 03.06.2025 – 21 U 62/23, juris, Rn. 45; OLG Nürnberg, Urteil vom 23.07.2024 – 3 U 2469/23, juris, Rn. 21).
2.2. Gemäß Art. 26 Abs. 2 S. 1 DSA sind die Anbieter von Online-Plattformen verpflichtet, den Nutzern eine Funktion anzubieten, mit der sie erklären können, ob der von ihnen bereitgestellte Inhalt eine kommerzielle Kommunikation darstellt oder eine solche kommerzielle Kommunikation enthält.
(1) Art. 26 Abs. 2 DSA regelt die Pflichten der Beklagten in Bezug auf kommerzielle Kommunikation durch ihre Nutzer, wobei gemäß Art. 3 lit. b) DSA Nutzer jede natürliche oder juristische Person sein kann, die einen Vermittlungsdienst in Anspruch nimmt, insbesondere um Informationen zu erlangen oder zugänglich zu machen. Als Nutzer in diesem Sinne gelten daher auch Influencer (Hofmann/Raue/Grisse, 1. Aufl. 2023, DSA Art. 26 Rn. 50; Spindler/Schuster/Kaesling/Janal, 5. Aufl. 2026, DSA Art. 26 Rn. 31). Für die kommunizierenden Nutzer hat die Regelung den Vorteil, dass sie die Kennzeichnung der kommerziellen Kommunikation nicht mehr zum Kommunikationsinhalt machen müssen. Für die konsumierenden Nutzer hat die Kennzeichnung durch die Plattformen den Vorteil, dass die Kennzeichnung besser erkennbar wird, weil sie zwar mit der Kommunikation erfolgt, aber nicht mehr Teil dieser ist (Hofmann/Raue/Grisse, 1. Aufl. 2023, DSA Art. 26 Rn. 56). Kommerzielle Kommunikation in diesem Sinne erfasst dabei gemäß Art. 3 lit. w) DSA i.V.m. Art. 2 lit. f) Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates (E-Commerce-RL) alle Formen der Kommunikation, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren und Dienstleistungen oder des Erscheinungsbilds eines Unternehmens, einer Organisation oder einer natürlichen Person dienen, die eine Tätigkeit in Handel, Gewerbe oder Handwerk oder einen reglementierten Beruf ausübt.
(2) Dieser Verpflichtung aus Art. 26 Abs. 2 S. 1 DSA ist die Beklagte nachgekommen, indem sie eine Funktion bereitgestellt hat über welche die Nutzer, hier die Influencer, erklären können, ob die Inhalte ihrer Videos kommerzieller Art sind. Insofern ist zwischen den Parteien auch unstreitig, dass die von Klägerseite beanstandeten Yt. -Videos kommerzielle Kommunikation darstellen und die Beklagte daher verpflichtet war, den Nutzern eine entsprechende Offenlegungsfunktion bereitzustellen. Die Ersteller der streitgegenständlichen Videos haben die von der Beklagten bereitgestellte Offenlegungsfunktion auch genutzt und selbst erklärt, dass ihre Videos kommerzieller Natur sind mit der Folge, dass der Hinweis auf bezahlte Werbung überhaupt erst eingeblendet wurde.
2.3. Gemäß Art. 26 Abs. 2 S. 2 DSA ist die Beklagte sodann verpflichtet sicherzustellen, dass, wenn ein Nutzer eine Erklärung gemäß Art. 26 Abs. 2 S. 1 DSA abgibt, die anderen Nutzer klar und eindeutig und in Echtzeit, einschließlich durch hervorgehobene Kennzeichnungen, feststellen können, dass der von dem Nutzer bereitgestellte Inhalt eine kommerzielle Kommunikation wie in dieser Erklärung beschrieben darstellt oder enthält.
(1) Die Kennzeichnung muss demgemäß hervorgehoben, also gut sichtbar, und in Echtzeit, das heißt zeitgleich mit dem Inhalt, erfolgen und für die anderen Plattformnutzer klar und eindeutig ergeben, dass es sich um kommerzielle Kommunikation handelt (Hofmann/Raue/Grisse, 1. Aufl. 2023, DSA Art. 26 Rn. 55; Spindler/Schuster/Kaesling/Janal, 5. Aufl. 2026, DSA Art. 26 Rn. 33, 29). Diesen Anforderungen wird der lediglich für zehn Sekunden sichtbar Hinweis auf bezahlte Werbung nicht gerecht.
(2) Laut Duden versteht man unter Echtzeit eine simultan zur Realität ablaufende Zeit. Übertragen auf den Fall bedeutet dies nichts anderes, als dass der Werbehinweis simultan zum Video laufen muss, sich mithin über dessen ganze oder zumindest weit überwiegende Dauer erstrecken muss. Nachdem der Hinweis auf bezahlte Werbung vorliegend jedoch nur ca. zehn Sekunden sichtbar und nicht reproduzierbar ist bzw. nur reproduzierbar ist, wenn das Video vollständig neu aufgerufen wird, erfolgt er nicht in Echtzeit.
Anlass für eine einschränkende Auslegung dieser Verpflichtung dahingehen, dass es maßgeblich und ausreichend ist, dass der konsumierende Nutzer den Hinweis auf kommerzielle Kommunikation zeitgleich mit Aufruf des Videos erhält, ist nicht veranlasst. Dies entspräche insbesondere nicht der Bedeutung des Wortes „Echtzeit“ und ist auch nicht aus sonstigen Gründen geboten.
Sofern die Beklagte insofern darauf hinweist, dass der Begriff „Echtzeit“ ein autonomer Begriff des Unionsrechts und daher im gesamten Gebiet der Union einheitlich auszulegen ist und zur Untermauerung auf die englische (“in real time“) und französische (“en temps réel“) Übersetzung verweist, führt dies zu keinem anderen Ergebnis. Denn auch die von der Beklagten zitierten Sprachversionen umfassen die Deutung, dass der Hinweis auf bezahlte Werbung „zur gleichen Zeit wie Ereignisse tatsächlich geschehen“ zu erfolgen hat. Das Gericht versteht dieses „zeitgleich“ dahingehend, dass die Einblendung während der gesamten Dauer des Videos zu erfolgen hat. Eine Reduzierung des Wortlauts dahingehend, dass nur der Beginn von Einblendung und Video übereinstimmen muss, ist daher auch vor diesem Hintergrund nicht veranlasst. Zumal, würde man der Argumentation der Beklagten folgen, die Verpflichtung zu einem Hinweis auf bezahlte Werbung auch bereits dann erfüllt wäre, wenn dieser nur für eine Sekunde eingeblendet wird, sofern der Beginn der Einblendung nur mit dem Beginn des Videos übereinstimmt. Hiervon geht offensichtlich auch die Beklagte nicht aus, da sie den Hinweis auf bezahlte Werbung für die Dauer von zehn Sekunden einblendet. Im Übrigen ist nicht nachvollziehbar, woraus die Beklagte entnimmt, dass eine Einblendung für gerade zehn Sekunden den Anforderungen an eine Einblendung in Echtzeit entsprechen soll. Anhaltspunkte, nach welchen Kriterien diese Zeitspanne bemessen wurde, sind weder vorgetragen noch sonst ersichtlich.
(3) Die Kennzeichnung als bezahlte Werbung ist im streitgegenständlichen Fall auch nicht hinreichend hervorgehoben.
In dem Video des Influencers F.P. verschwindet der Hinweis auf bezahlte Werbeinhalte nahezu vollständig gegenüber dem sich über die gesamte Bildschirmbreite erstreckenden und in knalligem Gelb erscheinenden Balken mit dem Namen des Brokers für den er wirbt. Demgegenüber weist der Hinweis auf bezahlte Werbung eine deutlich geringere Größe auf und ist zusätzlich in einem unauffälligen Grauton gehalten und im oberen linken Eck des Bildes platziert. Infolgedessen ist der lediglich für zehn Sekunden erscheinende Hinweisen auf bezahlte Werbung daher wegen seiner geringen Größe, der unauffälligen Farbe, der Platzierung am oberen linken Rand des Bildes und der nur kurzen Dauer der Sichtbarkeit nicht sonderlich präsent und kann auch von einem situationsadäquat aufmerksamen und verständigen Verbraucher ohne weiteres leicht übersehen werden (vgl. zu diesem Maßstab der Erkennbarkeit EuGH, Urteil v. 26. Oktober 2016 – C-611/14 –, juris, Rn. 57 – Canal Digital; OLG Karlsruhe, Urteil vom 09.09.2020 – 6 U 38/19, juris, Rn. 110ff.; OLG Frankfurt, Beschluss vom 23.10.2019 – 6 W 68/19, juris, Rn. 14).
In dem Video von M.M. wird zusätzlich von dem Hinweis auf bezahlte Werbung abgelenkt, indem unmittelbar unter diesem in Balkenform gehaltenen Hinweis auf bezahlte Werbung weitere Balken mit Hinweisen auf TT-Auftritte der Influencerin erscheinen. Diese sind breiter und größer und mit einem deutlich präsenteren TT-Symbol kombiniert, wodurch der Hinweis auf die bezahlte Werbung eher in den Hintergrund tritt.
(4) Schließlich ist auch nicht klar und eindeutig erkennbar, dass und inwiefern es sich um kommerzielle Kommunikation handelt.
Die Videos werden mehrfach durch Werbeblöcke auf Yt. unterbrochen. Es ist daher nicht notwendig davon auszugehen, dass der Betrachter den Hinweis „Enthält bezahlte Werbung“ zu Beginn des Videos auf die Ausführungen im Video bezieht. Ebenso wahrscheinlich ist es, dass er diesen den Hinweis auf die Werbeblöcke bezieht (vgl. LG München I, Urteil vom 30.04.2024 – 1 HK O 5527/23, juris, Rn. 78).
Auch der Erklärtext unterhalb des Videos von F.P. mit Hinweisen zu möglichem Sponsoring ändert hieran nichts. Er reicht schon inhaltlich nicht, da er nicht hinreichend deutlich macht, auf welche Aussagen konkret er sich bezieht. Darüber hinaus findet er sich räumlich deutlich unterhalb des Videos und kann auch deswegen leicht übersehen werden. Gerade diese räumliche Distanz zum Erklärvideo verschärft zusätzlich das Problem, dass unklar ist, auf welche Aussagen im Video sich dieser Hinweis beziehen sollte und auf welches Video überhaupt. Schließlich hindert auch der Hinweis, dass die Inhalte des Videos nur eine persönliche Meinung seien und mithin einer persönlichen Überzeugung entstammten, den Schluss auf das Vorliegen von bezahlter Werbung (vgl. auch LG München I, Urteil vom 30.04.2024 – 1 HK O 5527/23, juris, Rn. 75ff.).
(5) Vor diesem Hintergrund ist der in Grau gehaltene und nur zehn Sekunden andauernde Hinweis auf bezahlte Werbung am linken oberen Bildrand kein ausreichender Hinweis auf den kommerziellen Charakter der Videos.
2.4. Ein Verstoß gegen Art. 26 Abs. 2 S. 2 DSA berührt die Interessen der Verbraucher und ist geeignet, den Werbenden und in der Konsequenz auch der Plattform einen unlauteren Wettbewerbsvorteil zu verschaffen. Er stellt damit zugleich einen Verstoß gegen § 3a i.V.m. § 3 Abs. 1 UWG dar gegen welchen mit den Mitteln des UWG vorgegangen werden kann (Hofmann/Raue/Grisse, 1. Aufl. 2023, DSA Art. 26 Rn. 78; Spindler/Schuster/Kaesling/Janal, 5. Aufl. 2026, DSA Art. 26 Rn. 42).
3. Die Klägerin hat außerdem einen Anspruch auf Unterlassung der Veröffentlichung von kommerziellen Yt. -Videos gemäß § 8 Abs. 1 Satz 1, § 3 Abs. 1, § 3a UWG, §§ 24 Abs. 1, 1 Abs. 7 MStV i.V.m. § 6 Abs. 1 Nr. 2 DDG, wenn nicht die dritte natürliche oder juristische Person genannt wird, die den Influencer im Zusammenhang mit der Erstellung der Videos finanziert bzw. sponsert.
3.1. Eine Haftung der Beklagte für die Rechtsverstöße der Influencer in ihren Videos ergibt sich aus dem Umstand, dass sie ihrer wettbewerbsrechtlichen Verkehrspflicht als Host-Provider, Rechtsverstöße im Sinne von § 3a UWG zu unterbinden, nicht nachgekommen ist und daher selbst nach §§ 8 Abs. 1 S. 1 i.V.m. § 3 Abs. 1 UWG zur Unterlassung verpflichtet ist.
Eine unlautere Wettbewerbshandlung kann auch begehen, wer durch sein Handeln im geschäftlichen Verkehr in einer ihm zurechenbaren Weise die Gefahr eröffnet, dass Dritte Interessen von Marktteilnehmern verletzen, die durch das Wettbewerbsrecht geschützt sind, wenn er diese Gefahr nicht im Rahmen des Möglichen und Zumutbaren begrenzt. In einem solchen Fall kommt ein täterschaftlicher Verstoß gegen die Generalklausel des § 3 UWG in Betracht. Die Bereitstellung der Plattform ist insoweit die Wettbewerbshandlung im Sinne von § 2 Abs. 1 Nr. 2 UWG. Wer durch sein Handeln im geschäftlichen Verkehr die Gefahr schafft, dass Dritte durch das Wettbewerbsrecht geschützte Interessen von Marktteilnehmern verletzen, trifft wettbewerbsrechtlich die Pflicht, diese Gefahr im Rahmen des Möglichen und Zumutbaren zu begrenzen. Dem liegt der allgemeine Rechtsgrundsatz zugrunde, dass jeder, der in seinem Verantwortungsbereich eine Gefahrenquelle schafft oder andauern lässt, die ihm zumutbaren Maßnahmen und Vorkehrungen treffen muss, die zur Abwendung der Dritten daraus drohenden Gefahren notwendig sind (vgl. OLG Frankfurt am Main, Urteil vom 21.12.2023 – 6 U 154/22, Rn. 92.f.; BGH, Urteil vom 12.07.2007 – I ZR 18,04, juris, Rn. 22f., 36 – Jugendgefährdende Medien bei eBay).
3.2. Die streitgegenständlichen Videos der Influencer ohne Nennung der sie finanzierenden Person begründen einen Rechtsbruch im Sinne von § 3a UWG.
3.2.1. Eine Verpflichtung zur Nennung von Sponsoren folgt allerdings nicht aus Art. 26 Abs. 1 DSA.
Art. 26 Abs. 1 DSA erfasst nur Online-Plattformen, die selbst Werbung auf ihren Online-Schnittstellen darstellen und umfasst nicht die Verantwortung für von Dritten hochgeladene Videos (vgl.Hofmann/Raue/Grisse, 1. Aufl. 2023, DSA Art. 26 Rn. 14). Art. 26 Abs. 1 DSA gilt daher nicht für Influencer, die Yt. für ihre Videos nutzen.
Auf die Frage, inwiefern die streitgegenständlichen Videos gegen Art. 26 Abs. 1 DSA verstoßen, kommt es daher nicht an.
3.2.2. Eine entsprechende Verpflichtung folgt allerdings aus § 6 Abs. 1 Nr. 2 DDG.
Influencer, die ein eigenständiges Profil auf einer Social-Media-Plattform wie Yt. unterhalten und gegen Entgelt kommerzielle Kommunikation betreiben, sind Dienstanbieter im Sinne von § 6 Abs. 1 DDG (vgl. OLG Karlsruhe, Urteil vom 03.03.2026 – 14 Ukl 2/24, juris, Rn. 42; OLG Karlsruhe, Urteil vom 14.08.2024 – 6 U 200/23, juris, Rn. 48 m.w.N.; KG Berlin, Beschluss vom 23.07.2024 – 5 U 78/22, juris, Rn. 22). Für sie gelten daher die Regeln des DDG entweder direkt oder zumindest über §§ 1 Abs. 7, 24 Abs. 1 MStV.
Die von § 6 Abs. 1 Nr. 2 DDG geforderten Angaben sind im streitgegenständlichen Fall unstreitig nicht gemacht worden und werden von der Beklagten auch nicht obligatorisch gefordert.
4. Eine mögliche Haftung der Beklagten entfällt nicht aufgrund der Privilegierung der Beklagten nach Art. 6 Abs. 1 DSA.
Gemäß Art. 6 Abs. 1 DSA haftet der Diensteanbieter nicht für die im Auftrag eines Nutzers gespeicherten Informationen, sofern er a) keine tatsächliche Kenntnis von einer rechtswidrigen Tätigkeit oder rechtswidrigen Inhalten hat und sich in Bezug auf Schadenersatzansprüche auch keiner Tatsachen oder Umstände bewusst ist, aus denen eine rechtswidrige Tätigkeit oder rechtswidrige Inhalte offensichtlich hervorgeht, oder b) sobald er diese Kenntnis oder dieses Bewusstsein erlangt, zügig tätig wird, um den Zugang zu den rechtswidrigen Inhalten zu sperren oder diese zu entfernen.
Zutreffend wird insofern von Beklagtenseite darauf hingewiesen, dass gemäß Art. 8 DSA Anbieter von Vermittlungsdiensten keine allgemeine Verpflichtung trifft, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hindeuten, und ein Tätigwerden der Beklagten in Bezug auf nutzergenerierte Videos bei Yt. nur veranlasst wäre, wenn sie durch einen hinreichend konkreten Hinweis auf eine unschwer zu erkennende Rechtsverletzung hingewiesen worden wäre.
Ob die Aufforderung der Klägerin zur Abgabe einer Unterlassungserklärung diesen Anforderungen genügt hat, kann an dieser Stelle allerdings dahinstehen, denn unabhängig von dem Eingreifen des Haftungsprivilegs nach Art. 6 Abs. 1 DSA bleibt gemäß Art. 6 Abs. 4 DSA die Möglichkeit unberührt, dass eine Justiz- oder Verwaltungsbehörde nach dem Rechtssystem eines Mitgliedstaats vom Diensteanbieter verlangt, eine Zuwiderhandlung abzustellen oder zu verhindern. Mithin bleibt die Möglichkeit, Unterlassungsansprüche nach deutschem Recht, insbesondere dem UWG geltend zu machen, auch im Falle einer Haftungsprivilegierung nach Art. 6 Abs. 1 DSA bestehen (OLG Frankfurt am Main, Urteil vom 21.12.2023 – 6 U 154/22, Rn. 89; OLG Nürnberg, Urteil vom 23.07.2024 – 3 U 2469/23, juris, Rn. 25).
5. Der Umfang der Unterlassungsverpflichtung richtet sich nach den Umständen des Einzelfalls.
Die Beseitigung der Rechtsverstöße in den Influencer-Videos stellt keinen unverhältnismäßigen Eingriff in die unternehmerische Freiheit der Beklagten dar. Die monierten Verstöße sind so hinreichend konkretisiert, dass die Beklagte keine autonome Bewertung vornehmen muss und auf automatisierte Techniken zurückgreifen kann, wohingegen sich bei fehlender Prüfungs- und Beseitigungspflicht der Beklagten empfindliche Rechtsschutzlücken zum Nachteil der Verbraucher ergeben würden (vgl. OLG Frankfurt am Main, Urteil vom 21.12.2023 – 6 U 154/22, Rn. 97ff. m.w.N.).
Das Ergreifen technischer Maßnahmen zur Beseitigung der konkret monierten Rechtsverstöße in den Influencer-Videos auf Yt. ist der Beklagten durch Einsatz technischer Mittel auch ohne Weiteres möglich. Insofern besteht eine Pflicht zur Verhinderung gleichartiger Verletzungshandlungen im Rahmen des technisch und wirtschaftlich Zumutbaren (vgl. BGH, Urteil vom 02.06.2022 – I ZR 135/18, juris, Rn. 47 – uploaded III). Es sind nur Maßnahmen zu treffen, die von einem die übliche Sorgfalt beachtenden Wirtschaftsteilnehmer in der Situation der Beklagten erwartet werden können, um entsprechende Verstöße effektiv zu unterbinden (vgl. BGH, BGH, Urteil vom 02.06.2022 – I ZR 135/18, juris, Rn. 39 – uploaded III). Insofern kann von der Beklagten jedoch erwartet werden, dass der Hinweis auf bezahlte Werbung für die gesamte Dauer des Werbevideos und optisch deutlicher hervorgehoben eingeblendet wird. Besondere technische Schwierigkeiten oder mit der Anpassung der Hinweise verbundene erhebliche Kosten sind weder anzunehmen noch sonst ersichtlich. Ebensowenig, dass diesen Verpflichtungen nicht mit überschaubarem Aufwand automatisiert Rechnung getragen werden könnte (vgl. auch OLG Frankfurt am Main, Urteil vom 21.12.2023 – 6 U 154/22, Rn. 102ff.). Gegenteiliges wurde von Beklagtenseite auch nicht vorgetragen.
6. Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr wird durch den Verstoß gegen Art. 26 Abs. 2 S. 2 DSA bzw. die Verletzung der Verkehrspflicht im Hinblick auf die Nennung der Sponsoren durch die Influencer begründet. Setzt die Entstehung der Verkehrspflicht den Hinweis auf eine eindeutige Rechtsverletzung voraus, wird Wiederholungsgefahr zwar erst durch die Verletzung der durch den Hinweis ausgelösten Prüfungspflicht begründet (vgl. BGH, Urteil vom 12.07.2007 – I ZR 18,04, juris, Rn. 53, Jugendgefährdende Medien bei eBay; Köhler/Feddersen, UWG, 43. Aufl. 2025, § 8 Rz 2.9). Dies ist vorliegend allerdings der Fall, da die Beklagte sich vorgerichtlich geweigert hat, die von Klägerseite zu Recht begehrte Unterlassung zu erklären, und auch im Rahmen des gerichtlichen Verfahrens die Auffassung vertritt, hierzu nicht verpflichtet zu sein. Für die erforderliche Wiederholungsgefahr besteht insofern daher eine tatsächliche Vermutung (vgl. BGH, Urteil vom 12.03.2020 – I ZR 126/18, juris, Rn 80 – WarnWetterApp).
Das OLG Stuttgart hat entschieden, dass gerichtliche Sachverständige als eigenständige Verantwortliche im Sinne der DSGVO gelten und daher verpflichtet sind, Prozessparteien nach Art. 15 DSGVO Auskunft über verarbeitete Daten zu erteilen – dies umfasst nach Abschluss des Verfahrens auch die Herausgabe von Kopien (Teil-)Gutachten.
Aus den Entscheidungsgründen: Die zulässige Berufung der Klägerin ist begründet. Der geltend gemachte Auskunftsanspruch ergibt sich aus Art. 15 Abs. 1 und 3 DSGVO.
Gem. Art. 15 Abs. 1 DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen, der sie betreffende personenbezogene Daten verarbeitet, Auskunft über diese personenbezogenen Daten zu erhalten. Gem. Art. 15 Abs. 3 Satz 1 DSGVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.
1.
Die Bestimmungen der Datenschutz-Grundverordnung sind anwendbar. Der sachliche Anwendungsbereich gem. Art. 2 Abs. 1 DSGVO ist eröffnet, da es um die Verarbeitung personenbezogener Daten der Klägerin geht, die in einem Dateisystem des Beklagten gespeichert sind, und da für die Tätigkeit eines gerichtlichen Sachverständigen keiner der Ausnahmetatbestände des Art. 2 Abs. 2 DSGVO eingreift (vgl. Deutschmann, ZD 2021, 414 [415]). Dass die DSGVO auch für die Tätigkeiten der Gerichte und anderer Justizbehörden gilt, wird in Erwägungsgrund 20 Satz 1 DSGVO ausdrücklich ausgeführt. Der EuGH hat zudem klargestellt, dass die DSGVO auch auf die Verarbeitung personenbezogener Daten in zivilgerichtlichen Verfahren anwendbar ist (EuGH, Urteil vom 02.03.2023, C-268/21, Rn. 26). Für die Tätigkeit des Sachverständigen als „Gehilfe“ des Gerichts (Zöller/Greger, ZPO, 36. Aufl. 2026, Vor § 402, Rn. 1) gilt nichts anderes.
Randnummer55
2.
Die datenschutzrechtlichen Bestimmungen zum Auskunftsrecht werden nicht durch die verfahrensrechtlichen Akteneinsichtsrechte verdrängt (Deutschmann, ZD 2021, 414 [417]; Bäcker in Kühling/Buchner, 4. Aufl. 2024, DSGVO, Art. 15, Rn. 6b; Schmidt-Wudy in BeckOK Datenschutzrecht, 54. Edition, Stand 01.11.2025, DSGVO, Art. 15, Rn. 33; a.A. OLG Köln, ZD 2022, 695; Dörr, MDR 2022, 605 [611]). Die Akteneinsichtsrechte dienen anderen Zwecken als die Rechte aus Art. 15 DSGVO und bestimmen dementsprechend sowohl die Voraussetzungen als auch die Gegenstände der Akteneinsicht abweichend. So erstrecken sich die Akteneinsichtsrechte auf den gesamten Inhalt der Gerichtsakten und der dem Gericht vorgelegten Akten, während sich die Rechte auf Auskunft und auf Datenkopie auf die personenbezogenen Daten der jeweiligen betroffenen Person beschränken (Bäcker in Kühling/Buchner, aaO., Rn. 6b).
Ohnehin genießt die DSGVO als europäische Verordnung gegenüber dem nationalen Verfahrensrecht einen Anwendungsvorrang (Deutschmann, ZD 2021, 414 [417]; Ruffert in Calliess/Ruffert, EUV/AEUV, 6. Aufl. 2022, AEUV, Art. 1, Rn. 17).
3.
Der Beklagte ist Verantwortlicher i.S.d. Art. 15 DSGVO.
Verantwortlicher ist nach Art. 4 Nr. 7 Halbsatz 1 DSGVO die Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Über die Zwecke entscheidet zwar im Wesentlichen das Gericht, das den Beweisbeschluss erlässt. Über die Mittel der Verarbeitung entscheidet aber in der Regel allein der gerichtliche Sachverständige. Sachverständige sind hinsichtlich der Art und Weise, wie das beabsichtigte Ergebnis erreicht werden soll, selbst entscheidungsbefugt. Sie handeln nicht als funktionaler Teil des Gerichts, sondern eigenverantwortlich. Primär die Sachverständigen legen die Mittel der Datenverarbeitung fest. Sie entscheiden, welche Daten sie für die Ausarbeitung des Gutachtens benötigen. Für Gerichte ist es in aller Regel auch irrelevant, welche technischen Mittel dabei zum Einsatz kommen. Zudem fehlt es regelmäßig an einer Überwachungs- und Kontrollmöglichkeit des Gerichts hinsichtlich der Datenverarbeitungsmodalitäten. Dass das Gericht gem. § 404a Abs. 1 ZPO die Tätigkeit des Sachverständigen zu leiten hat und ihm für Art und Umfang seiner Tätigkeit Weisungen erteilen kann, betrifft vor allem, was Sachverständige erforschen sollen, nicht wie sie es erforschen sollen (Erkelenz/Leopold, NZS 2019, 926; Engel in Anmerkungen zu OLG Düsseldorf, ZEuP 2023, 230 [245]; Zimmermann in MüKo/ZPO, 7. Aufl. 2025, § 404a, Rn. 3).
Umstände, die im vorliegenden Fall eine andere Bewertung rechtfertigen könnten, sind weder vorgetragen noch ersichtlich. Es bestehen daher keine Zweifel daran, dass der Beklagte Verantwortlicher im Sinne der DSGVO ist.
4.
Der Beklagte hat bei den Arbeiten zur Erstellung der Gutachten in den beiden beim Landgericht Göttingen anhängigen Verfahren personenbezogene Daten der Klägerin verarbeitet und speichert diese. Das ist unstreitig.
Der Beklagte schuldet der Klägerin daher unabhängig von etwaigen Auskunftspflichten des Gerichts grundsätzlich in eigener Verantwortung Auskunft gem. Art. 15 DSGVO (vgl. Erkelenz/Leopold, NZS 2019, 926 [930]). Dieses Auskunftsrecht der Klägerin ist nicht durch die Regeln der Zivilprozessordnung, durch ein etwaiges Urheberrecht des Beklagten oder durch dessen Recht auf angemessene Vergütung eingeschränkt.
a)
Gem. Art. 23 Abs. 1 DSGVO kann das in Art. 15 DSGVO vorgesehene Auskunftsrecht im Wege von Gesetzgebungsmaßnahmen durch Rechtsvorschriften der Union oder der Mitgliedstaaten beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die eine der nachfolgend in der Vorschrift aufgeführten Ziele sicherstellt, u.a. den Schutz von Gerichtsverfahren (lit. f), den Schutz der Rechte und Freiheiten anderer Personen (lit. i) und die Durchsetzung zivilrechtlicher Ansprüche (lit. j).
aa)
Weder im Hinblick auf den Schutz von Gerichtsverfahren noch im Hinblick auf die Durchsetzung zivilrechtlicher Ansprüche ist Art. 23 Abs. 1 DSGVO im vorliegenden Fall einschlägig, denn die Zivilprozessordnung enthält keine Regelung, die das in Art. 15 DSGVO vorgesehene Auskunftsrecht einer Partei gegenüber dem gerichtlichen Sachverständigen beschränkt. Eine solche Beschränkung lässt sich insbesondere keiner der allgemeinen Vorschriften über die Beweisaufnahme (§§ 355-370 ZPO) und auch keiner der Vorschriften zum Beweis durch Sachverständige (§§ 402-414 ZPO) entnehmen.
Auch aus allgemeinen Erwägungen zum Schutz von Gerichtsverfahren ergibt sich eine Beschränkung des Auskunftsrechts nicht.
(i)
Hinsichtlich der Anträge Ziff. 1, 2 und 5 kommt eine Beschränkung des Auskunftsrechts zum Schutz des Gerichtsverfahrens schon unabhängig von dem Umstand, dass im vorliegenden Fall von einem rechtskräftigen Abschluss des Gerichtsverfahrens auszugehen ist, nicht in Betracht.
Die Anträge Ziff. 1, 2 und 5 beziehen sich auf Befundtatsachen, d.h. auf Tatsachen, die der Sachverständige in Ausführung des Gutachtenauftrags auf Grund seiner Sachkunde ermittelt hat. Zu solchen Befundtatsachen zählen Tatsachen, die der Sachverständige durch Einsichtnahme in die Krankenunterlagen selbst beschafft hat (vgl. BGH, Beschluss vom 17.08.2011, V ZB 128/11, Rn. 18; Zimmermann in MüKo/ZPO, 7. Aufl. 2025, § 404a, Rn. 9). Dies trifft auf die streitgegenständlichen Dokumente gem. den Anträgen Ziff. 1, 2 und 5 zu. Der Antrag Ziff. 5 betrifft die vom Beklagten erstellte Zusammenfassung des Behandlungsverlaufs. Damit im Wesentlichen identisch ist die im Antrag Ziff. 1 genannte lückenlose Gesamtrekonstruktion des Behandlungsablaufs. Gleiches gilt für die chronologische Behandlungshistorie für jeden einzelnen Zahn, die Gegenstand des Antrags Ziff. 2 ist; insoweit ist lediglich von einer anderen Art der Darstellung auszugehen. In sämtlichen Fällen handelt es sich daher nicht um sachverständige Schlussfolgerungen des Gutachters, sondern um Tatsachen, auf deren Grundlage der Gutachter die sachverständig begründeten Schlussfolgerungen zieht.
Auch bei Befundtatsachen gilt wie bei den sonstigen Anknüpfungstatsachen, die die Parteien selbst vorzutragen haben, dass jedenfalls die wesentlichen Anknüpfungstatsachen offenzulegen sind. Dies geschieht zwar üblicherweise im Gutachten (Zöller/Greger, aaO., § 404a, Rn. 6). Es spricht jedoch nichts dagegen, den Parteien bereits früher die Möglichkeit zu geben, zur Richtigkeit und Vollständigkeit der Befundtatsachen Stellung zu nehmen, zumal dies dem rechtlichen Gehör der Parteien dient und es sich bei der Ermittlung der Tatsachen durch den Sachverständigen ohnehin um eine Ausnahme von dem Grundsatz handelt, dass das Beibringen der Tatsachen primär Sache der beweispflichtigen Partei ist (Zöller/Greger, aaO., § 404a, Rn. 3). Angesichts dessen ist nicht ersichtlich, dass die Gewährung eines Auskunftsanspruchs zu der Frage, auf welcher Tatsachengrundlage der Sachverständige sein Gutachten erstatten will, das Gerichtsverfahren beeinträchtigen könnte.
(ii)
Auch im Hinblick auf das Gutachten, das Gegenstand des Antrags Ziff. 4 ist, kommt eine Beschränkung des Auskunftsrechts zum Zwecke des Schutzes von Gerichtsverfahren bzw. zur Sicherstellung der Durchsetzung zivilrechtlicher Ansprüche nicht in Betracht.
Nach § 411 Abs. 1 ZPO setzt das Gericht dem Sachverständigen eine Frist, innerhalb derer er das von ihm unterschriebene schriftliche Gutachten zu übermitteln hat. Es dürfte in Widerspruch zu dieser Vorschrift stehen, wenn der Sachverständige schon vor Ablauf dieser Frist den Parteien das noch nicht fertiggestellte Gutachten übermitteln müsste. Zudem könnte sich in diesem Fall auch ein Widerspruch zu den Vorschriften über den Auslagenvorschuss gem. §§ 402, 379 ZPO ergeben.
Ob deshalb eine Beschränkung des Auskunftsrechts in Betracht kommt, kann in diesem Fall jedoch dahinstehen, da der Zivilprozess mit dem Az. 9 O 4/11, in dem der Beklagte das Gutachten, dessen Herausgabe die Klägerin begehrt, zu 90 % fertiggestellt hat, mittlerweile rechtskräftig abgeschlossen ist. Der diesbezügliche Vortrag der Klägerin ist in zweiter Instanz zwar neu, da die Klägerin ihn erst nach Schluss der mündlichen Verhandlung in erster Instanz vorgetragen hat. Er ist jedoch gem. § 531 Abs. 2 Nr. 3 ZPO zulässig, da die Rechtskraft des Urteils erst nach Schluss der mündlichen Verhandlung in erster Instanz eingetreten ist und von der Klägerin daher auch nicht früher vorgetragen werden konnte. Soweit die Beklagte den Vortrag der Klägerin bestreitet, hat die Klägerin die Rechtskraft des Urteils durch Vorlage des Rechtskraftvermerks ausreichend belegt (Anlage K18). Jedenfalls nach dem rechtskräftigen Abschluss des Rechtsstreits ist § 411 Abs. 1 ZPO nicht mehr anwendbar. Ein Widerspruch zum Auskunftsanspruch besteht daher nicht. Auch ein Widerspruch zu der Vorschusspflicht nach §§ 402, 379 ZPO besteht in diesem Fall nicht mehr, da diese Vorschriften lediglich die Beweisaufnahme in einem noch laufenden Zivilprozess betreffen.
Nach dem rechtskräftigen Abschluss des Verfahrens ist auch nicht ersichtlich, inwiefern die Gewährung eines Auskunftsanspruchs bzgl. eines vom gerichtlichen Sachverständigen teilweise fertiggestellten Gutachtens das Ziel des Zivilprozesses, das darin liegt, bürgerlich-rechtliche Rechte oder Rechtsverhältnisse im Erkenntnis- oder Urteilsverfahren festzustellen (vgl. Zöller/Vollkommer, aaO., Einl. Rn. 1), beeinträchtigen könnte.
Eine andere Beurteilung rechtfertigt auch das noch laufende Parallelverfahren 9 O 24/11 nicht. Der Beklagte hat ein Gutachten zum Verfahren 9 O 4/11 gefertigt und nicht zu dem Parallelverfahren 9 O 24/11. Dass das Gutachten auch Fragen behandelt, die im Verfahren 9 O 24/11 relevant sind, hat der Beklagte nicht substantiiert vorgetragen. Selbst wenn dies der Fall wäre, erschließt sich nicht, wieso dies eine Einschränkung des Auskunftsrechts bzgl. eines in einem anderen Verfahren erstellten (Teil-)Gutachtens rechtfertigen könnte, zumal § 411a ZPO die Möglichkeit ausdrücklich vorsieht, Sachverständigengutachten aus anderen Verfahren zu verwerten.
(iii)
Dahinstehen kann, ob auch der Antrag Ziff. 3 eine Befundtatsache betrifft oder ob die zahnbezogene Analyse, die Gegenstand dieses Auskunftsantrags ist, schon eine eigene gutachterliche Tätigkeit des Beklagten beinhaltet. Sollte Letzteres der Fall sein, gelten insoweit die Ausführungen unter (ii) zum Antrag Ziff. 5 entsprechend. Andernfalls gilt das Gleiche wie zu den Anträgen Ziff. 1, 2 und 5 (oben unter (i)).
bb)
Eine Beschränkung des Auskunftsrechts ergibt sich auch nicht aus Art. 6 Abs. 1 Satz 1 EMRK.
Nach dieser Vorschrift hat jede Person ein Recht darauf, dass über Streitigkeiten in Bezug auf ihre zivilrechtlichen Ansprüche und Verpflichtungen von einem unabhängigen und unparteiischen Gericht in einem fairen Verfahren verhandelt wird. Aus dem Grundsatz eines fairen Verfahrens ergibt sich das Erfordernis der Waffen- und Chancengleichheit. Alle Beteiligten in einem Verfahren müssen gleichbehandelt werden, also insbesondere in gleichem Umfang unterrichtet werden und unter denselben Bedingungen die Möglichkeit haben, vorzutragen und ihre Sache geltend zu machen (HK-EMRK/Harrendorf/König/Voigt, 5. Aufl. 2023, EMRK Art. 6 Rn. 117). Dieses Gebot der Waffengleichheit gilt auch im Beweisverfahren (Harrendorf/König/Voigt, aaO., Rn. 135).
Das Gebot der Waffengleichheit wäre nur verletzt, wenn der Sachverständige die Auskunft nur der betroffenen Person gegenüber erteilen dürfte und nicht auch gegenüber dem Gericht. Dies ist jedoch nicht richtig. Art. 9 Abs. 2 lit. f) DSGVO gilt auch für den Sachverständigen, der in einem Gerichtsverfahren tätig wird (Greve in Auernhammer, aaO., Art. 9, Rn. 48). Der Sachverständige ist deshalb nach Art. 9 Abs. 2 lit. f) DSGVO befugt, das Gericht über alles zu informieren, was für die Beweisaufnahme im Zusammenhang mit der Gutachtenerstattung von Relevanz sein könnte (vgl. Erkelenz/Leopold, NZS 2019, 926 [929]). Dies schließt auch die Mitteilung über eine Auskunft an den Kläger nach Art. 15 DSGVO mit ein, da diese Mitteilung an das Gericht erforderlich ist, damit die Gegenpartei – nach entsprechender Unterrichtung durch das Gericht – ihre Rechtsansprüche ausüben bzw. sich gegen die geltend gemachten Rechtsansprüche verteidigen kann. Der Sachverständige würde sich der Besorgnis der Befangenheit aussetzen, wenn er eine derartige Auskunftserteilung an nur eine der Parteien dem Gericht gegenüber verschweigen würde.
b)
Eine Beschränkung des Auskunftsrechts der Klägerin ergibt sich auch nicht aus dem Schutz der Rechte und Freiheiten anderer Personen gem. Art. 23 Abs. 1 lit. i) DSGVO. Insoweit beruft sich der Beklagte lediglich pauschal darauf, dass sein Urheberrecht an dem zu 90 % fertig gestellten Gutachten dem behaupteten Auskunftsanspruch entgegenstünde.
aa)
Dass das Gutachten Urheberrechtsschutz genießt, ist keineswegs selbstverständlich. Zwar sind wissenschaftliche Gutachten in der Regel urheberrechtlich schutzfähig, jedenfalls, soweit zu wissenschaftlichen Streitfragen Stellung genommen wird, die die Berücksichtigung bisheriger Stellungnahmen und eine detaillierte Auseinandersetzung mit der Problematik erfordern. Allerdings wirken die Verwendung notwendiger oder üblicher Darstellungsprinzipien, insbesondere in Aufbau und Terminologie, nicht schutzbegründend. Zudem ist von der Rechtsprechung der Schutz von Gutachten teilweise mit der Begründung, bei wissenschaftlichen Werken sei die Schutzuntergrenze höher anzusetzen, verneint worden (Loewenheim/Leistner in Schricker/Loewenheim, Urheberrecht, 6. Aufl. 2020, § 2, Rn. 141).
Substantiierter Vortrag des Beklagten zum Inhalt des zu 90 % fertiggestellten Gutachtens fehlt. Damit ist auch nicht schlüssig dargelegt, dass es sich bei dem Gutachten um ein urheberrechtlich schutzfähiges Werk handelt.
bb)
Selbst wenn das zu 90 % fertige Gutachten Urheberrechtsschutz nach dem UrhG genießen würde, könnte sich der Beklagte gleichwohl nicht pauschal auf sein Urheberrecht berufen und die Herausgabe des Gutachtens insgesamt verweigern.
Nach Art. 15 Abs. 4 DSGVO und Erwägungsgrund 63 darf das Recht auf Erhalt einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums nicht beeinträchtigen. Absatz 4 betrifft seinem Wortlaut nach zwar nur den Fall, dass eine Auskunft gerade durch Überlassung einer Kopie erteilt wird. Da die Überlassung einer Kopie nur eine spezifische Modalität der Erfüllung des Auskunftsanspruchs darstellt, gilt die Regelung jedoch unabhängig davon, in welcher Form der Auskunftsanspruch im Einzelfall erfüllt wird (Ehmann in Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 15, Rn. 71).
Im Fall eines Konflikts zwischen der Ausübung des Rechts auf vollständige und umfassende Auskunft über die personenbezogenen Daten zum einen und den Rechten oder Freiheiten anderer Personen zum anderen haben die Rechte oder Freiheiten anderer Personen nicht den Vorrang. Vielmehr sind die fraglichen Rechte gegeneinander abzuwägen (Ehmann in Ehmann/Selmayr, aaO., Art. 15, Rn. 72 f.). Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird, wie sich aus dem 63. Erwägungsgrund DSGVO ergibt (EuGH, Urteil vom 4. Mai 2023 – C-487/21 –, Rn. 44, juris). Bei der Abwägung ist zudem zu berücksichtigen, dass die Zivilprozessordnung in § 407a Abs. 5 ZPO ohnehin eine Verpflichtung des Sachverständigen vorsieht, auf Verlangen des Gerichts die für die Begutachtung beigezogenen Unterlagen sowie die Untersuchungsergebnisse zur Unterrichtung der Parteien oder eines ggf. gem. § 404 Abs. 1 Satz 3 ZPO oder § 412 ZPO in Anspruch genommenen anderen oder weiteren Sachverständigen herauszugeben (Zöller/Greger, aaO., § 407a, Rn. 4).
c)
Das Recht des Sachverständigen auf angemessene Vergütung ist durch die bestehende Auskunftspflicht nicht verletzt. Die Entschädigung des Sachverständigen richtet sich nach §§ 8 ff. JVEG. Der Auskunftsanspruch ändert hieran nichts. Selbst wenn ein auskunftsberechtigter Kläger aufgrund der Auskunft kein Interesse mehr an dem Gutachten haben sollte und die Klage zurücknimmt oder den erforderlichen Vorschuss für eine Fortsetzung der Begutachtung nicht einzahlt, erhält der Sachverständige gleichwohl eine Vergütung für alle erforderlichen Vorbereitungsarbeiten und erbrachten Teilleistungen (Bleutge in BeckOK Kostenrecht, 51. Ed., Stand 01.12.2025, JVEG, § 8, Rn. 28).
d)
Ist das Auskunftsrecht schon nicht gem. Art. 23 Abs. 1 DSGVO durch andere Rechtsvorschriften eingeschränkt, kommt es auf die Frage, ob die in Betracht kommenden Beschränkungsregelungen auch die erforderlichen Mindestinhalte nach Art. 23 Abs. 2 DSGVO enthalten, nicht mehr an.
5.
Der Auskunftsanspruch besteht in dem von der Klägerin geltend gemachten Umfang.
Vom Auskunftsanspruch umfasst ist insbesondere auch das gesamte, zu 90 % fertiggestellte Gutachten. Es kommt insoweit nicht darauf an, an welchen Stellen des Gutachtens die Klägerin namentlich genannt wird bzw. die Ausführungen in einem direkten Bezug zur Klägerin stehen.
Nach der Rechtsprechung des EuGH begründet Art. 15 Abs. 3 Satz 1 DSGVO nicht lediglich ein Recht der betroffenen Person auf eine Kopie der personenbezogenen Daten als solche. Art. 15 Abs. 3 Satz 1 DSGVO enthält vielmehr auch ein Recht auf Auszüge von Dokumenten bzw. auf das ganze Dokument, das die personenbezogenen Daten enthält, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten (EuGH, Urteil vom 26.10.2023, C-307/22, Rn. 74 f. – Kostenlose erste Kopie von Patientenakte). Im Hinblick auf das Gutachten bedeutet dies, dass sich der Beklagte nicht auf die Auskunft beschränken darf, welche personenbezogenen Daten der Klägerin im Gutachten auftauchen. Erforderlich ist vielmehr auch eine originalgetreue Reproduktion des Kontexts, in dem das jeweilige personenbezogene Datum steht.
Der Auskunftsanspruch umfasst damit sämtliche Teile des Gutachtens, die in irgendeinem inhaltlichen Bezug zur Klägerin stehen. Umfasst sind damit auch allgemeine zahnmedizinische Ausführungen, selbst wenn diese für sich genommen keinen Bezug zur Klägerin aufweisen, da davon auszugehen ist, dass diese dem Verständnis der weiteren Ausführungen dienen und dieser Kontext daher erforderlich ist, um die Verständlichkeit der personenbezogenen Ausführungen zu gewährleisten. Eine Zurverfügungstellung einer einfachen Zusammenfassung oder Zusammenstellung der personenbezogenen Daten der Klägerin durch den Beklagten genügt nicht, weil dann die Gefahr bestünde, dass bestimmte relevante Daten ausgelassen oder unrichtig wiedergegeben werden oder dass jedenfalls die Überprüfung ihrer Richtigkeit und Vollständigkeit sowie ihr Verständnis durch die Klägerin erschwert würde (vgl. EuGH, aaO., Rn. 78).
OLG Bamberg
Urteil vom 18.03.2026 3 UKl 5/25 e
TikTok / Bytedance
Das OLG Bamberg hat entschieden, dass die Plattform TikTok gegen Art. 16, 27 und 38 des Digital Services Act (DSA) verstößt, da die Option zur Deaktivierung personalisierter Feeds nicht „leicht zugänglich“ platziert ist und das Meldesystem für rechtswidrige Inhalte durch eine unübersichtliche Menüführung die notwendige Benutzerfreundlichkeit vermissen lässt.
Aus den Entscheidungsgründen: 1. Die Klage ist zulässig.
a. Das Oberlandesgericht Bamberg ist zur Entscheidung des Rechtsstreits international, sachlich und örtlich zuständig.
aa. Die deutsche Gerichtsbarkeit ist international zuständig. Für Verbandsklagen, die andere Verstöße gegen Verbraucherschutzgesetze als die Verwendung missbräuchlicher Vertragsklauseln betreffen, gilt der Gerichtsstand der unerlaubten Handlung nach Art. 7 Nr. 2 EuGVO (Herberger/Martinek/Rüßmann/Weth/Würdinger/Baetge, jurisPK-BGB, 11. Aufl. 2026, Stand: 01.03.2026, § 6 UKlaG, Rn. 6; MüKoZPO/Micklitz/Rott, 6. Aufl. 2022, UKlaG § 6 Rn. 11 f.). Da sich die streitgegenständliche Webseite der Beklagten auch an Nutzer in der Bundesrepublik richtet, ist die hiesige internationale Zuständigkeit eröffnet.
bb. Die sachliche und örtliche Zuständigkeit des OLG Bamberg folgt für den Unterlassungsantrag zu Ziff. 1 aus § 6 Abs. 1 S. 1 Nr. 2 UKlaG i.V.m. § 13a Abs. 1 GVG. Die Beklagte verfügt über keine gewerbliche Niederlassung und keinen Wohnsitz im Inland. Zum durch die Webseite angesprochenen Nutzerkreis gehören auch Bürger in Bayern, so dass ein Handlungsort (auch) hier gegeben ist. Gem. § 2 der gerichtlichen Zuständigkeitsverordnung Justiz – GZVJu Bayern besteht eine bayernweite Zuständigkeitskonzentration beim OLG Bamberg.
Auch der Klageantrag zu Ziff. 2 unterfällt der erstinstanzlichen Sonderzuständigkeit des Senats nach § 6 Abs. 1 S. 1 UKlaG, da der geltend gemachte Ersatzanspruch für die Abmahnkosten „nach diesem Gesetz“ (§ 5 UKlaG i. V. m. § 13 Abs. 3 UWG) verfolgt wird (vgl. OLG Frankfurt, Urteil vom 10.07.2025 – 6 UKl 14/24, NJW 2025, 3233, 3234 Rn. 19; OLG Koblenz, Urteil vom 05.12.2024 – 2 UKl 1/23, Rn. 55, juris; OLG Karlsruhe, Urteil vom 21.11.2024 – 12 UKl 1/24, GRUR-RR 2025, 254, 255 Rn. 28).
b. Der Kläger ist klagebefugt. Er beschränkt seine Klage ausweislich seines Antrags entgegen der Behauptung der Beklagten ausdrücklich auf Handlungen gegenüber Verbrauchern und hält sich damit sowohl an die Anforderung eines Handelns im Interesse des Verbraucherschutzes gem. § 2 Abs. 1 S. 1 UKlaG als auch an seinen Satzungszweck. Unabhängig davon stellt das Interesse des Verbraucherschutzes gem. § 2 Abs. 1 S. 1 UKlaG nach überwiegender Auffassung eine materiellrechtliche Beschränkung des Unterlassungsanspruchs und keine Prozessvoraussetzung dar (vgl. Köhler/Feddersen/Köhler/Alexander, UWG, 44. Aufl. 2026, UKlaG § 2 Rn. 84 m. w. Nachw.). Wird dem gefolgt, was hier nicht entschieden werden muss, so hätte ein fehlendes Verbraucherschutzinteresse damit keine Unzulässigkeit der Klage zur Folge.
c. Dem Kläger fehlt auch nicht wegen Vorrangs der europäischen Kontrollmechanismen die Klage- und Sachbefugnis, um aus § 3 Abs. 1 Nr. 1 i.V.m. § 2 Abs. 1 S. 1, Abs. 2 Nr. 57 UKlaG gegen die Beklagte vorzugehen.
Zu Recht weist die Beklagte zwar darauf hin, dass die Einhaltung der DSA als Akt europäischen Rechts grundsätzlich mit Mitteln des öffentlichen Rechts durch die Koordinatoren für digitale Dienste erfolgt (Art. 51 und Art. 56 Abs. 1 DSA), wobei gem. Art. 56 Abs. 2, 3 DSA für Verstöße durch sehr große Plattform- und Suchmaschinenanbieter im Sinne des Art. 33 DSA die Kommission ausschließlich zuständig ist (vgl. NK-DSA/Grisse, 1. Aufl. 2023, Art. 27 Rn. 51). Dies entzieht sie aber nicht der Kompetenz verbraucherschutzrechtlicher Überprüfung im Rahmen von Verfahren nach dem UKlaG. Wie der Schadensersatzanspruch des Nutzers gem. Art. 54 DSA belegt, schließt die öffentlichrechtliche Aufsicht eine zivilrechtliche Rechtsdurchsetzung nicht generell aus (Grisse a. a. O., Rn. 52; Kraul/Bartels, Das neue Recht der digitalen Dienste, 1. Aufl. 2023, § 5 Rn. 119 f.). Dies sieht die Beklagte im Grundsatz nicht anders, hält aber den Pauschalverweis des § 2 Abs. 2 Nr. 57 UKlaG für zu weitgehend und meint, einem Verbraucherschutzverband fehle die Klagebefugnis, wenn den gerügten Verstößen gegen die DSA keine verbraucherschützende Relevanz zukomme.
Der DSA ist in § 2 Abs. 2 Nr. 57 UKlaG ausdrücklich, und zwar ohne Einschränkung, als Verbraucherschutzgesetz genannt. Dies ist konsequent, denn grundsätzlich ist der DSA in besonderem Maße mit den Zielen des Verbraucherschutzes verbunden (KG, Beschluss vom 25.08.2025 – 10 W 70/25, WRP 2025, 1457, 1458 Rn. 17; HdB-VerbraucherR/Kroschwald, 4. Aufl. 2026, § 3b Rn. 48), wenngleich er auch nicht verbraucherschützende Vorschriften enthält. Dies hebt der Verordnungsgeber mit der Passage in Art. 1 Abs. 1 DSA ausdrücklich hervor und ergibt sich auch aus Erwägungsgrund 3.
Die Klagebefugnis wäre dem Kläger daher nur bei einer teleologischen Reduktion des § 2 Abs. 1 S. 1, Abs. 2 Nr. 57 UKlaG abzusprechen. Die Frage, ob einem Verbraucherverband die Klagebefugnis ausnahmsweise fehlt, soweit er sich auf einzelne Vorschriften der DSA beruft, denen materiell kein verbraucherschützender Gehalt zukommt – in diesem Fall dürfte es allerdings regelmäßig am Handeln im Interesse des Verbraucherschutzes gem. § 2 Abs. 1 S. 1 UKlaG fehlen –, muss im gegenständlichen Rechtsstreit nicht beantwortet werden. Jedenfalls den hier im Raum stehenden Normen Art. 16 und 27, 38 DSA kommt nämlich verbraucherschützender Charakter zu.
aa. Das Verfahren zur De-Personalisierung der Feedsverwaltung gem. Art. 27 Abs. 3, 38 DSA dient dem Datenschutz der Nutzer (Art. 3 lit. b DSA), zu denen selbstverständlich in großem Umfang auch Verbraucher gehören (vgl. BeckOK UWG/Günther, 30. Ed. 01.07.2025, UKlaG § 2 Rn. 72). Die Bedeutung der De-Personalisierung kann aus Sicht des Verbraucherschutzes kaum unterschätzt werden, denn sie dient dem Erkennen, Vermeiden oder Reduzieren und Steuern systemischer Risiken, vgl. Art. 34 Abs. 1 DSA (HdB-VerbraucherR/Kroschwald, 4. Aufl. 2026, § 3b Rn. 92). Gerade vor dem Hintergrund der besonderen Bedeutung des Verbraucherschutzes für den DSA (Art. 1 Abs. 1 DSA) liegt es fern, die Zielrichtung des Art. 38 DSA vorrangig im Schutz des Binnenmarkts und fairen Wettbewerbs zu sehen und dem Verbraucherschutz nur eine Neben- oder gar bloße Reflexwirkung zuzusprechen.
Es überzeugt nicht, Art. 38 DSA den verbraucherschützenden Charakter deswegen abzusprechen, weil die Vorschrift nur sehr große Online-Plattformen bzw. -Suchmaschinen betrifft (so aber Steinrötter, Verbraucherschutz-Verbandsklagen zur Durchsetzung des Digital Services Act, MMR 2026, 3, 8). Für eine Einstufung als verbraucherschützende Vorschrift ist nicht erforderlich, dass es sich um das alleinige Ziel handelt. Der Verordnungsgeber ist zu einer Abwägung berechtigt, die ihn vorliegend zu dem Ergebnis führen durfte, dass die Marktmacht der sehr großen Online-Anbieter mit der daraus folgenden Gefährdung der Allgemeinheit zusätzlich zu den alle Anbieter treffenden Verbraucherschutzinteressen eine besondere Verpflichtung zur Einrichtung eines De-Personalisierungsverfahrens rechtfertigt.
Zudem verengt es den Blick unsachgemäß, allein auf den verbraucherschützenden Charakter des Art. 38 DSA abzustellen. Art. 38 DSA ist eine Ergänzung zu Art. 27 DSA. Die Verpflichtung, dem Nutzer bei Existenz mehrerer Empfehlungssysteme den jederzeitigen Wechsel zu ermöglichen und diese Funktion unmittelbar und leicht zugänglich zu halten, folgt nicht aus Art. 38 DSA, sondern aus Art. 27 Abs. 3 S. 2 DSA. Dieser Absatz wiederum bezieht sich auf Art. 27 Abs. 1, Abs. 2 DSA (Transparenz der Empfehlungssysteme), einer Norm, die selbst von Autoren, die eine verbraucherschützende Wirkung des Art. 38 DSA ablehnen, grundsätzlich als Verbraucherschutzvorschrift anerkannt wird (namentlich Steinrötter, MMR 2026, 3, 8 f.). Es wäre widersinnig und wird soweit ersichtlich auch nicht vertreten, dass die Transparenz der Empfehlungssysteme gem. Art. 27 Abs. 1, Abs. 2 DSA verbraucherschützend ist, die Möglichkeit zum Wechsel zwischen den Systemen und die Verpflichtung zum klaren und verständlichen Hinweis gem. Art. 27 Abs. 3 DSA aber nicht.
Aus diesem Grund kann sich die Beklagte auch nicht mit Erfolg auf Art. 56 Abs. 2 DSA stützen. Diese Norm verleiht der Kommission ausschließliche Befugnisse, Kapitel III Abschnitt 5 zu überwachen und durchzusetzen. In diesem Abschnitt ist Art. 38 DSA enthalten, aber nicht Art. 27 DSA. Zudem betrifft Art. 56 DSA nur das Verhältnis von Kommission und mitgliedsstaatlichen Behörden im Feld der Überwachung und Durchsetzung der Anbieterpflichten (Art. 51, Art. 65 ff. DSA, vgl. NK-DSA/Hofmann/Raue, 1. Aufl. 2023, Art. 56 Rn. 1, 3).
bb. Auch die Vorschrift des Art. 16 Abs. 1 S. 2, 2 S. 2 lit. c DSA dient – über eine bloße Neben- oder Reflexwirkung hinaus – dem Verbraucherschutz.
Eine wesentliche Funktion des Melde- und Abhilfeverfahrens gem. Art. 16 DSA ist die Konkretisierung der Voraussetzungen für die allgemeine Haftungsprivilegierung nach Art. 6 Abs. 1 lit. b DSA [Spindler/Schuster/Kaesling/Mörsdorf, Recht der elektronischen Medien, 5. Aufl. 2026, DSA Art. 16 Rn. 4; Gerdemann/Spindler: Das Gesetz über digitale Dienste (Digital Services Act) (Teil 1), GRUR 2023, 3, 8]. Hostingdiensteanbieter sind nach Art. 8 DSA nicht verpflichtet, gespeicherte Informationen zu überwachen. Sie müssen nicht aktiv nach Umständen forschen, die auf eine rechtswidrige Tätigkeit hindeuten (NK-DSA/F. Hofmann, 1. Aufl. 2023, Art. 8 Rn. 15 f.). Erhält ein Host-Provider aber eine Meldung nach Maßgabe des Art. 16 DSA, deren Inhalt es einem sorgfältig handelnden Anbieter ermöglicht, ohne eingehende rechtliche Prüfung festzustellen, dass die einschlägige Tätigkeit oder Information rechtswidrig ist, begründet dies gem. Art. 16 Abs. 3 DSA eine konkrete Kenntnis und damit die Obliegenheit zum zügigen Tätigwerden nach Art. 6 Abs. 1 lit. b DSA.
Das formelle Meldeverfahren nützt damit zum einen dem Betreiber, dem es erspart bleibt, eigeninitiativ auf seiner Online-Plattform nach Rechtsverletzungen zu suchen. Diese Zielrichtung weist allerdings nur eine untergeordnete Bedeutung auf. Den Aufwand einer eigenen Recherche hätte der Verordnungsgeber dem Plattformbetreiber auch ersparen können, ohne ein Meldeverfahren einzuführen und hierfür eine Zunahme rechtswidriger Inhalte hinzunehmen. Dies verdeutlicht, dass Art. 16 Abs. 1, Abs. 2 DSA zugleich den Zweck verfolgt, die Plattform von rechtswidrigen Inhalten freizuhalten. Ein effektives Meldeverfahren dient damit auch dem Schutz der Nutzer – zu einem großen Anteil zugleich Verbraucher – vor rechtswidrigen Inhalten.
Dabei bewirkt die Angabe von Namen und E-Mail-Adresse des Melders gem. Art. 16 Abs. 2 S. 2 lit. c DSA eine Steigerung der Effektivität. Zwar muss der Hostingdiensteanbieter auch anonymen Meldungen nachgehen; allerdings wird man ihm zugestehen müssen, konkrete Erfahrungswerte von anonymen Meldungen berücksichtigen zu dürfen, um die Bearbeitung zu priorisieren und die Rechtswidrigkeit eines Inhalts zu beurteilen. So kann sich etwa in den Beschwerde- und den weiteren Rechtsbehelfsverfahren herausstellen, dass bei einer bestimmten Art von Informationen anonyme Hinweise überdurchschnittlich oft Fehlmeldungen sind (NK-DSA/Raue, 1. Aufl. 2023, Art. 16 Rn. 40). Schon deshalb steigert die Angabe von Identifizierungsmerkmalen der meldenden Person die Effektivität des sich anschließenden Abhilfeverfahrens.
Dieser Effekt wird noch durch die Verpflichtung des Hostingdiensteanbieters verstärkt, dem Hinweisgeber unverzüglich eine Empfangsbestätigung der Meldung (Art. 16 Abs. 4 DSA) sowie später die mit einer Rechtsbehelfsbelehrungversehene Entscheidung (Art. 16 Abs. 5 DSA) zu übermitteln. Beides setzt naturgemäß die Kenntnis seiner Identität voraus (Spindler/Schuster/Kaesling/Mörsdorf, Recht der elektronischen Medien, 5. Aufl. 2026, DSA Art. 16 Rn. 33; NK-DSA/Raue, 1. Aufl. 2023, Art. 16 Rn. 104).
Damit dient nicht nur das vor dem Hintergrund des Datenschutzes bestehende Recht des Melders auf Anonymität (Erwägungsgrund 50 S. 5 DSA), sondern auch umgekehrt die Möglichkeit zur Angabe der persönlichen Daten dem Verbraucherschutz.
d. Die Klage ist vollumfänglich hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO.
aa. Der Klageantrag Ziff. 1. a) begegnet insoweit keinen Bedenken. Gem. § 253 Abs. 2 Nr. 2 ZPO darf ein Unterlassungsantrag – und nach § 313 Abs. 1 Nr. 4 ZPO eine darauf beruhende Verurteilung – nicht derart undeutlich gefasst sein, dass Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und letztlich die Entscheidung darüber, was dem Beklagten verboten ist, dem Vollstreckungsgericht überlassen bliebe (st. Rspr.; vgl. BGH, Urteil vom 07.03.2019 – I ZR 184/17, GRUR 2019, 746, 747 Rn. 15 – Energieeffizienzklasse III; Urteil vom 30.04.2015 – I ZR 13/14, GRUR 2015, 1228, 1230 Rn. 26 – Tagesschau-App; Urteil vom 11.10.1990 – I ZR 35/89, GRUR 1991, 254, 256 – Unbestimmter Unterlassungsantrag). Eine Bezugnahme auf Anlagen – wie im Streitfall auf die Anlage K 3 – ist zur Konkretisierung der Verletzungshandlung, deren Verbot begehrt wird, zulässig (OLG Nürnberg, Beschluss vom 06.05.2015 – 3 U 379/15 –, Rn. 20, juris; BeckOK-ZPO/Bacher, 59. Ed. 01.12.2025, § 253 Rn. 57a i. V. m. Rn. 39a).
Nach diesen Maßstäben erweist sich der Klageantrag als hinreichend bestimmt. Für die Beklagte sind die Verletzungshandlungen klar erkennbar, deren Unterlassung der Kläger begehrt. Durch die Bezugnahme auf die konkrete Werbung gemäß Anlage K 3 ist die notwendige Konkretisierung hergestellt worden.
Das Argument der Beklagten überzeugt nicht, es fehle an der erforderlichen Bestimmtheit, weil der Kläger nicht bezeichne, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Wettbewerbsverstoß und damit das Unterlassungsgebot liegen sollten, die konkreten Elemente des User Flows nicht identifiziere, die die Basis des Unterlassungsanspruchs bilden sollten, und im Unklaren lasse, ob der in Anlage K 3 gezeigte User Flow insgesamt verboten werden solle oder beibehalten werden könne, solange er über weitere Wege als den oben dargestellten Rechtsklick erreicht werden kann. Der Streitgegenstand wird durch den gesamten historischen Lebensvorgang bestimmt, auf den sich das Rechtsschutzbegehren des Unterlassungsklägers bezieht. Es liegt in der Hand des Klägers, die verschiedenen Aspekte, unter denen er die fragliche Bezeichnung beanstanden möchte, mit verschiedenen Anträgen im Wege der kumulativen Klagehäufung anzugreifen. Er kann aber auch nur ein Unterlassungsbegehren formulieren und mit verschiedenen Begründungen untermauern. Dann muss davon ausgegangen werden, dass der Streitgegenstand den im Antrag genannten Vorgang generell umfassen soll. Die erforderliche Bestimmtheit gem. § 253 Abs. 2 Nr. 2 ZPO ist auch in diesem Fall gewahrt (BGH, Urteil vom 13.09.2012 – I ZR 230/11, GRUR 2013, 401, 403 Rn. 26 – Biomineralwasser).
Der Kläger hat die Ausgestaltung des Verfahrens zur Deaktivierung der personalisierten Feed-Funktion auf der Webseite der Beklagten dargestellt. Die Elemente, an denen er sich aus verbraucherschutzrechtlicher Perspektive stört, hat er hinreichend beschrieben; auch die Beklagte nennt keine relevanten Elemente des User Flows, die im Antrag nicht enthalten wären. Dadurch hat der Kläger das Verfahren in der konkreten, auf der von der Beklagten betriebenen Online-Plattform in der Web-Version zur Anwendung kommenden Weise zum Streitgegenstand gemacht. Über diesen hat das Gericht zu entscheiden, § 308 Abs. 1 ZPO. Der Kläger ist im Rahmen des § 253 ZPO nicht gehalten, darzulegen, welche hypothetische Alternativgestaltung er als rechtmäßig erachte. Deshalb muss er auch nicht angeben, ob er eine Ausgestaltung des Deaktivierungsverfahrens für personalisierte Feeds akzeptieren würde, wenn es auf andere Weise als über die im oberen Rand des gerade geöffneten Beitrags abgebildeten drei Punkte erreichbar wäre.
Aus den vorgenannten Gründen stellt Klageantrag Ziff. 1 a) keine unzulässige alternative Klagehäufung dar. Eine solche liegt vor, wenn ein einheitliches Klageziel aus unterschiedlichen Streitgegenständen abgeleitet wird (etwa gleichrangig aus eigenem und aus abgetretenem Recht; BGH, Beschluss vom 27.11.2013 – III ZR 371/12, BeckRS 2014, 01621; OLG Brandenburg, Urteil vom 09.11.2022 – 11 U 82/18, BeckRS 2022, 34191 Rn. 33; Stein/Roth, ZPO, 24. Aufl. 2024, § 253 Rn. 58). Dem gegenständlichen Klageantrag Ziff. 1 a) liegt aber nur ein Lebenssachverhalt zugrunde.
bb. Klageantrag Ziff. 1 b) ist in der zuletzt gestellten Fassung ebenfalls hinreichend bestimmt gem. § 253 Abs. 2 Nr. 2 ZPO, was die Beklagte auch nicht in Abrede stellt.
Maßgeblich ist der Antrag aus dem Schriftsatz vom 22.12.2025 und nicht die Fassung der Klageschrift, die tatsächlich nicht hinreichend bestimmt war. Der Kläger durfte den Antrag neu formulieren. Seine Umformulierung stellt schon keine Klageänderung gem. § 263 ZPO dar, weil der zugrunde liegende Lebenssachverhalt gleich geblieben ist. Die Auffassung der Beklagten, der Klageantrag beinhalte in seiner neuen Fassung die Verpflichtung, die Meldung sämtlicher Verstöße (auch gegen die Compliance-Guideline) dem förmlichen Verfahren nach Art. 16 DSA zu unterwerfen, ist nicht zutreffend. Der Kläger stellt einen Unterlassungsantrag, der sich auf die derzeitige Ausgestaltung des Meldeverfahrens bezieht. Es handelt sich um keinen Verpflichtungsantrag, das Verfahren in einer bestimmten Weise aufzubauen.
Unabhängig davon wäre eine Klageänderung, die auf dem gerichtlichen Hinweis aus der Ladungsverfügung beruht, unzweifelhaft sachdienlich (§ 263 a. E. ZPO).
e. Der Zulässigkeit der Klage steht keine ausschließliche Entscheidungsbefugnis der EU-Kommission bzw. der Koordinatorin CnaM entgegen.
Die entsprechende Auffassung der Beklagten beruht auf der These, die hier maßgeblichen Normen seien nicht verbraucherschützender Natur. Wie ausgeführt teilt der Senat diese Annahme nicht. Dass selbst bei einem Verstoß gegen verbraucherschützende Vorschriften die Verbandsklage ausgeschlossen wäre, behauptet auch die Beklagte nicht. Eine solche Ansicht stünde auch in offenkundigem Widerspruch zu Erwägungsgrund 149 des DSA, die Nutzer hätten das Recht, eine juristische Person oder eine öffentliche Stelle mit der Ausübung ihrer in dieser Verordnung vorgesehenen Rechte zu beauftragen. Hieraus folgt, dass Nutzer die in der Verbandsklagen-RL vorgesehenen Stellen in Anspruch nehmen können. Dementsprechend führt die Verbandsklagen-RL in Anh. I Nr. 68 den DSA auf, was wiederum von § 2 Abs. 2 Nr. 57 umgesetzt wurde (Köhler/Feddersen/Köhler/Alexander, UWG, 44. Aufl. 2026, UKlaG § 2 Rn. 69; BeckOK UWG/Günther, 30. Ed. 01.07.2025, UKlaG § 2 Rn. 72).
2. Die zulässige Klage erweist sich auch in der Sache vollumfänglich als erfolgreich.
a. Dem Kläger steht gegen die Beklagte ein Unterlassungsanspruch gem. §§ 2 Abs. 1, Abs. 2 Nr. 57 UKlaG zu.
Auf den vorliegenden Streitfall ist deutsches Sachrecht anwendbar. Richtet sich eine beanstandete Website bestimmungsgemäß an Kunden in der Bundesrepublik, so ist gem. Art. 6 Abs. 1 Rom-II-VO deutsches Recht anzuwenden, da die Rechte von Konsumenten betroffen sind, die in Deutschland leben (LG Berlin, Versäumnisurteil vom 06.05.2022 – 15 O 266/20, Rn. 8, juris; Herberger/Martinek/Rüßmann/Weth/Würdinger/Baetge, jurisPK-BGB, 11. Aufl. 2026, Stand: 01.03.2026, § 2 UKlaG, Rn. 121).
aa. Das von der Beklagten in der Web-Version verwendete Verfahren zur De-Personalisierung der Feeds erfüllt die Vorgaben des Art. 38, 27 Abs. 3 S. 2 DSA nicht, weil die Auswahlmöglichkeit der Funktion nicht unmittelbar und leicht zugänglich ist.
(1) Anbieter sehr großer Plattformen im Sinne des Art. 33 DSA müssen für ihre Empfehlungssysteme mindestens eine Nutzungsoption anbieten, die nicht auf Profiling gem. Art. 4 Abs. 4 DS-GVO, also nicht auf der Analyse und Bewertung personenbezogener Daten des Nutzers, beruht. Gibt es mehrere Empfehlungsoptionen, muss die Funktion, mit der diese (inklusive der Profilingfreien Empfehlungsoption) ausgewählt werden können, gem. Art. 38 i. V. m. Art. 27 Abs. 3 S. 2 DSA für die Nutzer von der Benutzeroberfläche aus, auf der die Empfehlungen angezeigt werden, jederzeit unmittelbar und leicht zugänglich sein (NK-DSA/Grisse, 1. Aufl. 2023, Art. 38 Rn. 10, 11; Art. 27 Rn. 38).
Die Anforderungen der unmittelbaren und leichten Zugänglichkeit der Einstellungs- und Änderungsoption gem. Art. 27 Abs. 3 S. 2 DSA entspricht derjenigen des Art. 26 Abs. 1 lit. d DSA. Der Unterschied in der Formulierung („unmittelbar“ beziehungsweise „direkt“) geht auf eine Ungenauigkeit bei der Übersetzung zurück. Die Änderungsmöglichkeit ist direkt und leicht zugänglich, wenn sie parallel zu den gereihten Inhalten dargestellt oder über einen Hyperlink verknüpft wird (Spindler/Schuster/Kaesling/Janal, Recht der elektronischen Medien, 5. Aufl. 2026, DSA Art. 27 Rn. 20). Jedenfalls der Einstiegs-Link muss direkt im unmittelbaren Zusammenhang mit den Empfehlungen zu finden sein, z.B. in der Ecke eines Newsfeeds (Holznagel, Internet und E-Commerce: Die Regulierung von Empfehlungssystemen im DSA, CR 2025, 318, 320).
(a) Nach diesen Maßstäben ist die Funktion zur Deaktivierung der Personalisierung im Sinne des Art. 27 Abs. 3 S. 2 DSA unmittelbar zugänglich. Unstreitig lässt sich durch einen Rechtsklick auf ein Video ein Menü öffnen, das den Unterpunkt „Feeds verwalten“ enthält. Von diesem wiederum gelangt man zur Deaktivierungsfunktion. Nach unwidersprochen gebliebenem Vortrag der Beklagten, namentlich einem Zitat ihrer Hilfeseite, an dessen Richtigkeit kein Zweifel angemeldet wird, funktioniert dieser Weg beim Rechtsklick auf jeglichen angezeigten Beitrag und jegliches angezeigte Produkt (Anlage B 4). Da sowohl nach Art. 27 Abs. 3 S. 2 DSA als auch nach Erwägungsgrund 94 die Zugänglichkeit von der Online-Schnittstelle aus stattfinden muss, auf der das Ergebnis des personalisierten Feeds präsentiert wird, entspricht die Positionierung in den Videos und sonstigen Produkten den Vorgaben des DSA (gleiches gilt für die Platzierung des Links in einem Nachrichten-Feed eines sozialen Mediums; Gerecke, Social-Media-Recht-HdB/Schmieke, 1. Aufl. 2023, Kap. 3 Rn. 99). Eine Platzierung in den Kontoeinstellungen ist dementsprechend nicht erforderlich (und genügte, wenn es sich um den einzigen Weg handelte, wohl auch nicht dem Unmittelbarkeitserfordernis). Dementsprechend ist es vor dem Hintergrund des Unmittelbarkeitskriteriums auch nicht zu beanstanden, dass sich das Menü mit dem Unterpunkt „Feeds verwalten“ beim Klick auf ein Teil der Benutzeroberfläche, der kein Video und kein sonstiges Produkt enthält, nicht öffnet.
(b) Allerdings ist die De-Personalisierungsfunktion nicht leicht zugänglich.
(aa) Der leichten Zugänglichkeit steht entgegen, dass die Funktion „Feeds verwalten“, die den Einstieg in das Menü zur Depersonalisierung bildet, nur bei einem Rechtsklick auf ein Video oder Produkt erscheint, bei einem Rechtsklick auf einen sonstigen Teil der Benutzeroberfläche oder auf die drei Punkte, die bei Bewegung des Cursors auf einem Video am oberen Rand erscheinen, sich aber andere Menüs öffnen, die diese Funktion nicht enthalten.
Eine Information ist leicht zugänglich, wenn der durchschnittliche Verbraucher auf möglichst einfache Weise von ihr Kenntnis erlangen (vgl. BT-Drs. 19/27655, S. 38, zum identischen Begriff in Art. 246d Abs. 2 EGBGB und § 312k Abs. 2 S. 4 BGB) und die Schaltfläche ohne erheblichen Aufwand finden kann (KG, Urteil vom 21.01.2025 – 5 UKl 8/24, MMR 2025, 538, 540 Rn. 34; BeckOK IT-Recht/Föhlisch, 20. Ed. 01.10.2025, BGB § 312k Rn. 20). Das setzt ihre Platzierung an der Stelle voraus, an der der Nutzer sie typischerweise erwartet (KG a. a. O., Rn. 37). Es setzt aber auch voraus, dass der Nutzer nicht erst im Rahmen einer Vielzahl von Einstellungsmöglichkeiten unterschiedlichster Art nach der Funktion suchen muss (so zu Art. 27 DSA: NK-DSA/Grisse, 1. Aufl. 2023, Art. 27 Rn. 38). Korrespondierend hierzu fehlt es an der leichten Erreichbarkeit auch dann, wenn zwar das Menü, das den relevanten Unterpunkt (hier: „Feeds verwalten“) enthält, nicht überfrachtet ist, aber neben anderen Menüs besteht, die sich auf ähnliche Weise öffnen lassen und diesen Menüpunkt nicht enthalten.
Indem die Beklagte mit drei Punkten im oberen rechten Rand eine Menüfunktion eingerichtet hat, stellt sie eine dem durchschnittlichen Internetnutzer aus zahlreichen Programmen bekannte Option zur Ermöglichung weiterer Aktionen zur Verfügung. Bewegt vorliegend der Nutzer den Cursor über einen Beitrag und erscheinen daraufhin die drei Punkte, dann wird er regelmäßig diese anwählen, wenn er Funktionen ändern will. Im dann erscheinenden Menü findet sich aber keine Möglichkeit, die Feedsverwaltung zu depersonalisieren. Dies ist vor allem vor dem Hintergrund verwirrend, dass es mit dem Menüpunkt „nicht interessiert“ im unter den drei Punkten erscheinenden Drop-Down-Menü durchaus eine Funktion gibt, die mit der Beeinflussung der Feeds-Verwaltung zusammenhängt. Denn ausweislich der Erläuterung der Beklagten hat ein Klick auf den Unterpunkt „nicht interessiert“ zur Folge, dass künftig weniger ähnliche Inhalte angezeigt werden (Anlage K 2, „Für dich“, erster Gliederungspunkt). Der Nutzer wird demnach nicht davon ausgehen, dass die De-Personalisierung der Feeds in einem anderen Menü vorzunehmen ist, das sich nicht durch die drei Punkte, sondern über einen Rechtsklick auf ein Video oder Produkt (nicht aber auf einen „freien“ Teil der Benutzeroberfläche) aktivieren lässt.
Dabei ist auch von Bedeutung, dass eine möglichst einfache Weise der Kenntniserlangung gefordert wird. Die Gesetzesbegründung zum inhaltsgleichen Begriff in Art. 246d Abs. 2 EGBGB und § 312k Abs. 2 S. 4 BGB (siehe oben) ist auf Art. 27 Abs. 3 S. 2 DSA übertragbar. Es kann der Beklagten vor diesem Hintergrund zwar nicht abverlangt werden, umfangreiche Menüs zur Verfügung zu stellen, die dann wegen Überfrachtung wieder unübersichtlich und deshalb auch nicht leicht zugänglich wären. Die Aufnahme der De-Personalisierungsfunktion in das Menü, das bei einem Klick auf die drei Punkte erschiene, führte aber nicht zu einer solchen Überfrachtung des bisher aus drei Schaltflächen bestehenden Menüs.
Der Unterlassungsantrag Ziff. 1 a) ist damit gem. §§ 2 Abs. 1, Abs. 2 Nr. 57 UKlaG i. V. m. Art. 38, 27 Abs. 3 DSA begründet.
(bb) Da der Menüpunkt „Feeds verwalten“ entgegen Art. 27 Abs. 3 S. 2 DSA nicht leicht zugänglich ist, kommt es auf die weitere Frage nicht an, ob seine Bezeichnung die erforderliche Klarheit aufweist, also ob der durchschnittliche Nutzer unter diesem Menüpunkt die Möglichkeit zur De-Personalisierung erwartet.
bb. Die Beklagte verstößt zudem mit der Ausgestaltung ihres Meldeverfahrens für rechtswidrige Inhalte auf der von ihr betriebenen Online-Plattform gegen Art. 16 Abs. 1 S. 2, Abs. 2 S. 2 lit. c DSA.
Gem. Art. 16 Abs. 1 DSA haben die Hostingdiensteanbieter Verfahren einzurichten, nach denen Personen oder Einrichtungen ihnen mutmaßlich rechtswidrige Inhalte von Einzelinformationen in ihren Diensten melden können. Diese Verfahren müssen leicht zugänglich sowie benutzerfreundlich sein und eine Übermittlung von Meldungen ausschließlich auf elektronischem Weg ermöglichen. Sie müssen das Übermitteln hinreichend genauer und angemessen begründeter Meldungen erleichtern. Dazu haben die Hostingdiensteanbieter die erforderlichen Maßnahmen zu ergreifen, um die Übermittlung von Meldungen zu ermöglichen und zu erleichtern, die u. a. den Namen und die Adresse der meldenden Person enthalten (Art. 16 Abs. 2 S. 1, S. 2 lit. c DSA).
(1) Leicht zugänglich im Sinne des Art. 16 Abs. 1 S. 2 DSA ist das Meldeverfahren, wenn bereits der Einstieg in das Verfahren klar erkennbar ist (vgl. Erwägungsgrund 50 S. 3 DSA). Der meldewilligen Person oder Einrichtung muss es danach möglich sein, direkt in der Nähe des zu meldenden Inhalts in das Meldeverfahren einzusteigen (Spindler/Schuster/Kaesling/Mörsdorf, Recht der elektronischen Medien, 5. Aufl. 2026, DSA Art. 16 Rn. 10; NK-DSA/Raue, 1. Aufl. 2023, Art. 16 Rn. 24). Klar erkennbar ist der Einstieg in das Meldeverfahren zudem nur dann, wenn sich anhand seiner äußeren Gestaltung die Möglichkeit einer Meldung rechtswidriger Inhalte ohne weiteres erschließt. Etabliert haben sich durch ein Flaggensymbol und/oder den Text „Inhalt melden“ gekennzeichnete Schaltflächen (Meldebuttons), nach deren Anklicken sich ein Webformular oder auch ein mehrstufiges Menü zur Meldung des Inhalts öffnet (Mörsdorf a. a. O.).
Nach diesen Maßstäben bestehen an der leichten Zugänglichkeit des gegenständlichen Meldeverfahrens keine Zweifel; solche werden vom Kläger auch nicht geltend gemacht.
(2) Die Ausgestaltung des Meldeverfahrens stellt sich aber nicht als benutzerfreundlich im Sinne des Art. 16 Abs. 1 S. 2 DSA dar.
(a) Benutzerfreundlich ist das Meldeverfahren, wenn es ohne Unannehmlichkeiten für meldewillige Personen und Einrichtungen durchschritten werden kann (Spindler/Schuster/Kaesling/Mörsdorf, Recht der elektronischen Medien, 5. Aufl. 2026, DSA Art. 16 Rn. 11). Auswahlmenüs, die meldewilligen Personen eine juristische Bewertung des von ihnen gemeldeten Inhalts abverlangen, sind im Hinblick auf die nach Art. 16 Abs. 2 S. 2 lit. a DSA geforderte Erläuterung zulässig; auch sie müssen aber benutzerfreundlich ausgestaltet sein (Mörsdorf a. a. O.).
Vorliegend sieht das Drop-Down-Menü, das sich nach einem Klick auf den leicht zugänglichen Meldebutton öffnet, eine ganze Reihe von Auswahlmöglichkeiten vor, von denen nur die Schaltfläche „Widerrechtlichen Inhalt melden“ einen den Vorgaben des Art. 16 DSA genügenden Weg eröffnet. Diese befindet sich ohne besondere Hervorhebung inmitten der weiteren Schaltflächen. In keiner Weise ist kenntlich gemacht, dass sie sich von den übrigen Untermenüs qualitativ unterscheidet. Der Nutzer kann nicht erkennen, dass er nur bei Auswahl der Schaltfläche „Widerrechtlichen Inhalt melden“ ein offizielles Meldeverfahren gem. Art. 16 DSA in die Wege leitet. Dies ist umso mehr von Bedeutung, als einige der übrigen Unterpunkte ebenfalls rechtswidrige Inhalte gem. Art. 3 lit. h) DSA betreffen (etwa „Hass und Belästigung“, „Betrug und Schwindel“ oder „Fälschungen und geistiges Eigentum“).
Faktisch hängt es daher häufig vom Zufall ab, welche Schaltfläche der Nutzer betätigt und demnach auch, ob er ein den Anforderungen des Art. 16 DSA genügendes Meldeverfahren in die Wege leitet. Der Nutzer, der (ungewöhnlicherweise) die Anforderungen des Art. 16 Abs. 2 DSA kennt, müsste eventuell den eingeleiteten Meldevorgang abbrechen und weitere Menüpunkte ausprobieren, bis er auf die Schaltfläche „widerrechtlichen Inhalt melden“ stößt. Die Auffindung dieses Meldeverfahrens wird dem Nutzer daher durch die Ausgestaltung in einer Weise erschwert, dass sie entgegen der Vorgabe der Benutzerfreundlichkeit mit Unannehmlichkeiten verbunden ist. Der weitaus häufigere Fall wird allerdings ohnehin sein, dass der meldewillige Nutzer gar nicht bemerkt, kein den Anforderungen des Art. 16 DSA entsprechendes Verfahren in die Wege geleitet zu haben.
(b) Dem steht der Einwand der Beklagten nicht entgegen, zur Einrichtung eines parallelen Meldeverfahrens für Verstöße gegen ihre Community-Standards berechtigt zu sein, das nicht den Anforderungen des Art. 16 DSA genügen muss. Dieses Recht steht ihr zweifellos zu. Ebenso wenig wie es mit Art. 16 DSA vereinbar ist, wenn dieses Meldeverfahren das vom DSA vorgesehene benachteiligt (Spindler/Schuster/Kaesling/Mörsdorf, Recht der elektronischen Medien, 5. Aufl. 2026, DSA Art. 16 Rn. 12), kann es aber dazu berechtigen, das Verfahren nach Art. 16 DSA so in den Hintergrund treten zu lassen, dass seine Benutzerfreundlichkeit leidet. Dies ist vorliegend indes mangels jedweder Kennzeichnung, welche Schaltflächen die Meldung der Verletzung von Community-Standards und welche die Meldung rechtswidriger Inhalte im Sinne des Art. 16 Abs. 1 DSA betreffen, der Fall.
(c) Dementsprechend besteht der Unterlassungsanspruch im unter Ziff. 1 b) beantragten Umfang. Entgegen der Auffassung der Beklagten ist Unterlassungsantrag nicht zu weitgehend.
Ein Unterlassungsantrag ist zu weitgehend, soweit er den materiellen Unterlassungsanspruch übersteigt (Köhler/Feddersen/Bornkamm/Feddersen, UWG, 44. Aufl. 2026, UKlaG § 2 Rn. 86 i. V. m. UWG § 8 Rn. 1.66). Der sachliche Umfang des Unterlassungsanspruchs richtet sich nach dem Umfang eine Begehungsgefahr. Ausgangspunkt ist dabei die konkrete Verletzungshandlung. Dabei ist zu beachten, dass sich die durch eine Verletzungshandlung begründete Wiederholungsgefahr grundsätzlich auf alle im Kern gleichartigen Verletzungshandlungen erstreckt, ohne dass insofern auf eine Erstbegehungsgefahr zurückgegriffen werden müsste (Köhler/Feddersen/Bornkamm/Feddersen a. a. O., Rn. 1.64).
Nach diesen Maßstäben entspricht der Antrag, der sich eng am konkreten Verstoß orientiert, der Reichweite des materiellen Unterlassungsanspruchs. Er umfasst nur die Unterlassung der konkreten Ausgestaltung des Meldevorgangs. Der Beklagten wird die Vorhaltung eines zusätzlichen – neben dem formellen nach Art. 16 Abs. 1, Abs. 2 DSA bestehenden – Meldewegs für Verstöße gegen Community-Standards nicht verboten. Sie kann dabei grundsätzlich auch Untermenüs mit den jetzt schon vergebenen Bezeichnungen vorhalten, sofern ihre konkrete Ausgestaltung nicht dem Gebot der Benutzerfreundlichkeit im Sinne des Art. 16 Abs. 1 S. 2 DSA des vom DSA vorgesehenen Meldeverfahrens für als rechtswidrig angesehene Inhalte entgegensteht und sich nicht als kerngleich mit dem hier gegenständlichen Erstverstoß darstellt.
cc. Das Interesse des Verbraucherschutzes an den geltend gemachten Unterlassungsansprüchen im Sinne des § 2 Abs. 1 S. 1 UKlaG folgt regelmäßig aus den Zuwiderhandlungen gegen verbraucherschützende Normen (Köhler/Feddersen/Köhler/Alexander, UWG, 44. Aufl. 2026, UKlaG § 2 Rn. 84). Anhaltspunkte für ein nicht im Kollektivinteresse liegenden oder aus sonstigen Gründen nicht vom Verbraucherschutzinteresse gedeckten Tätigwerden des Klägers (vgl. BeckOK UWG/Günther, 30. Ed. 01.07.2025, UKlaG § 2 Rn. 82 f.) bestehen vorliegend nicht.
dd. Da die Beklagte die geforderte strafbewehrte Unterlassungserklärung nicht abgegeben hat, streitet eine tatsächliche Vermutung für das Vorliegen der auch im Anwendungsbereich des UKlaG für einen Unterlassungsanspruch konstitutiven Wiederholungsgefahr (vgl. BGH, Urt. v. 06.06.2018 – VIII ZR 247/17, GRUR-RR 2018, 454, 456 Rn. 35 – Strompreise; Beschluss vom 16.11.1995 – I ZR 229/93, GRUR 1997, 379, 380 – Wegfall der Wiederholungsgefahr II; Köhler/Feddersen/Köhler/Alexander, UWG, 44. Aufl. 2026, § 2 UKlaG Rn. 82; Nomos-BR/Walker, UKlaG, 1. Aufl. 2016, § 2 Rn. 7). Gründe, die eine Wiederholungsgefahr ausnahmsweise auch ohne Abgabe einer strafbewehrten Unterlassungserklärung ausreichen ließen, sind nicht vorgetragen und nicht ersichtlich.
b. Der Kläger hat weiter einen Anspruch auf Erstattung von Abmahnkosten in der geforderten Höhe gem. § 5 UKlaG i. V. m. § 13 Abs. 3 UWG (Klageantrag Ziff. 2).
Hierfür kommt es nicht darauf an, dass die Abmahnung zum Teil auch einen unrichtigen Sachverhalt zugrunde legte, nämlich soweit sie sich auf den Verstoß gegen die Pflicht zur Einrichtung eines nicht auf Profiling beruhenden Empfehlungssystems gem. Art. 38 DSA bezieht. Anders als dort ausgeführt (Anlage K 7, S. 4), hat die Beklagte ein solches System unstreitig vorgehalten und insoweit ihrer Verpflichtung genügt. In Streit steht nunmehr die in der Abmahnung noch nicht gegenständliche Ausgestaltung des De-Personalisierungsverfahrens.
Dies berührt die Höhe der berechtigten Abmahnkosten aber nicht. Bei einer nur teilweisen Berechtigung der von einem Verband in Rechnung gestellten Abmahnkostenpauschale kommt keine Kürzung in Betracht, denn die Höhe der Abmahnkostenpauschale ist nicht von der Zahl der abgemahnten Verstöße abhängig. Sobald daher ein Verband auch nur einen berechtigten Unterlassungsanspruch geltend gemacht, ist es für seinen Aufwendungsersatzanspruch unschädlich, wenn in derselben Abmahnung zugleich nicht bestehende Ansprüche erhoben werden. Daher sind solche Kostenpauschalen auch bei nur teilweise berechtigten Abmahnungen ungekürzt zu erstatten (BGH, Urteil vom 10.12.2009 – I ZR 149/07, GRUR 2010, 744, 749 Rn. 51 – Sondernewsletter; OLG Köln, Urteil vom 13.03.2020 – 6 U 267/19, GRUR-RR 2020, 506, 508 Rn. 34; Köhler/Feddersen/Bornkamm/Feddersen, UWG, 44. Aufl. 2026, § 13 Rn. 122; Russlies, Die Abmahnung im gewerblichen Rechtsschutz, 1. Aufl. 2021, Rn. 467).
b. Die verlangte Pauschale von 306,69 € brutto ist vom Kläger plausibel dargelegt worden (Klageschrift vom 01.04.2025, S. 19 = Bl. 19 d. A.; Abmahnung vom 04.11.2024, Anlage K 7, S. 6) und der Höhe nach im Rahmen der dem Senat nach § 287 ZPO zustehenden Ermessensentscheidung nicht zu beanstanden. Einwendungen werden insoweit von der Beklagten auch nicht erhoben. Dass der Kläger in seiner Berechnung sogar auf einen Betrag von 307,69 € kommt, ist unbeachtlich, da er einen solchen nicht geltend macht (§ 5 UKlaG i. V. m. § 308 Abs. 1 S. 1 ZPO).
Leitsätze des Gerichts:
1. Die öffentlichrechtliche Aufsicht gemäß Art. 51 und Art. 56 Abs. 1 DSA steht einer Klage- und Sachbefugnis eines Verbraucherschutzverbandes, um aus § 3 Abs. 1 Nr. 1 i.V.m. § 2 Abs. 1 S. 1, Abs. 2 Nr. 57 UKlaG im Rahmen eines Unterlassungsklageverfahren vorzugehen, nicht entgegen.
2. Das Verfahren zur De-Personalisierung der Feedsverwaltung gem. Art. 27 Abs. 3, 38 DSA dient dem Datenschutz der Nutzer (Art. 3 lit. b DSA), zu denen in großem Umfang auch Verbraucher gehören. Art. 27 Abs. 3 DSA und Art. 38 DSA sind verbraucherschützende Vorschriften.
3. Zu den Anforderungen der unmittelbaren und leichten Zugänglichkeit der Einstellungs- und Änderungsoption gem. Art. 27 Abs. 3 S. 2 DSA.
4. Die Vorschrift des Art. 16 Abs. 1 S. 2, 2 S. 2 lit. c DSA (Meldeverfahren) dient – über eine bloße Neben- oder Reflexwirkung hinaus – ebenfalls dem Verbraucherschutz.
5. Zu den Anforderungen der leichten Zugänglichkeit und der Benutzerfreundlichkeit des Meldeverfahrens für rechtswidrige Inhalte gem. Art. 16 Abs. 1 S. 2 DSA.
Der BGH hat entschieden, dass eine Forderung nicht erölischt, wenn bei einer "Man-in-the-Middle"-Attacke die Bankverbindung auf einer Rechnung manipuliert wird und der Schuldner auf das falsche Konto überweist.
Leitsatz des BGH:
Die Gefahr des Verlusts bei einer Geldüberweisung geht bei einem unwahrscheinlichen Kausalverlauf (hier: Fälschung einer Kontobezeichnung durch einen unbekannten Dritten) nicht nach dem Rechtsgedanken des § 270 Abs. 3 BGB i.V.m. § 242 BGB auf den Gläubiger über.
BGH, Urteil vom 8. Oktober 2025 - IV ZR 161/24 - OLG Köln - LG Köln
Das LG Koblenz hat sich in diesem Verfahren mit einem etwaigen Mitverschulden eines Unternehmens bei einem Hackerangriff auf dessen E-Mail-Account und Manipulation der Bankverbindung in den von ihm versandten Rechnungen befasst.
Die Pressemitteilung des Gerichts: Muss ein Werkunternehmer sich Zahlungen seines Kunden auf das Konto eines Betrügers anrechnen lassen, wenn dieser seinen E-Mail Account hackt und gegenüber dem Kunden manipuliert, so dass er Zahlungen auf ein Fremdkonto leistet? Diese Frage hatte das Landgericht Koblenz zu entscheiden.
Sachverhalt:
Die Parteien streiten über die Zahlung von Werklohn für Zaunbauarbeiten auf dem Grundstück des Beklagten in B., die durch die Firma des Klägers ausgeführt worden sind. Die Parteien vereinbarten die Ausführung von Zaunbauarbeiten zu einem Pauschalpreis in Höhe von 11.000,00 € einschließlich Umsatzsteuer. Der Kläger stellte dem Beklagten die Arbeiten unter dem 09.07.2022 in Rechnung. Die Rechnung weist die Kontoverbindung des Klägers aus. Die Parteien kommunizierten im Rahmen der Auftragsabwicklung sowohl per e-Mail als auch per WhatsApp. Am 15.07.2022 übersandte der Beklagte dem Kläger per WhatsApp einen Screenshot einer Überweisung über einen Betrag in Höhe von 6.000,00 €. Der Screenshot weist eine IBAN aus, die nicht diejenige des Klägers ist und den Namen des Begünstigten als Ronald Serge B. Am 17.07.2022 übersandte der Beklagte dem Kläger einen weiteren Screenshot einer Überweisung auf das gleiche Konto über einen Betrag von 5.000,00 €. Im Folgenden konnte der Kläger auf seinem Konto keinen Zahlungseingang feststellen und erkundigte sich dementsprechend bei dem Beklagten. Am 20.07.2022 teilte der Kläger dem Beklagten mit, dass es sich bei dem auf den Screenshots ausgewiesenen Konto nicht um sein Bankkonto handele. Er verfolgt mit seinem Klagebegehren weiterhin die Zahlung des Werklohns von 11.000 €.
Der Beklagte behauptet, unter dem 09.07.2022 von der e-Mail-Adresse des Klägers eine e-Mail mit der Rechnung wie Anlage K 1 im Anhang erhalten zu haben. Am 11.07.2022 habe er um 11:03 Uhr eine e-Mail von diesem Account erhalten, in der ihm sinngemäß mitgeteilt wurde, den Rechnungsbetrag noch nicht anzuweisen, da sich die Bankverbindung geändert habe. Man werde ihm die richtige Bankverbindung zusenden, sobald er den Erhalt der Nachricht bestätige. Unter dem 15.07.2022 um 9:28 Uhr habe der Beklagte sodann eine weitere e-Mail erhalten, in der ihm die auf den Screenshots ersichtliche Bankverbindung mitgeteilt worden sei und auf die er gezahlt habe. Hätte der Kläger die Screenshots sogleich überprüft, wäre es der Bank möglich gewesen, die veranlassten Zahlungen wieder rückgängig zu machen.
Die Entscheidung:
Die 8. Zivilkammer des Landgerichts Koblenz hat der Klage in einem Umfang 8.250 € (75 %) stattgegeben und im Übrigen (25%) abgewiesen.
Der Kläger habe nach wie vor einen Anspruch auf Zahlung aufgrund des zwischen den Parteien geschlossenen Werkvertrages, denn der Beklagte könne sich vorliegend nicht mit Erfolg darauf berufen, dass er seine Schuld bereits durch Zahlung erfüllt habe. Allein der Umstand, dass die entsprechende Mitteilung des Kontos vorliegend mutmaßlich von dem e-Mail-Account des Klägers versandt worden ist, genüge insofern nicht um eine Vermutung dahingehend aufzustellen, dass die e-Mail auch tatsächlich von dem Kläger stammt oder mit dessen Einverständnis verschickt wurde. Indes sei allgemein bekannt, dass e-Mail-Accounts immer wieder unbefugt von Dritten gehackt werden und sich diese im Anschluss der entsprechenden e-Mail-Adresse bemächtigten. Den Parteien, die sich darauf einigen, ihre Korrespondenz über e-Mail zu führen, sei daher bekannt, dass es sich dabei um einen unsicheren und damit fälschungsanfälligen Kommunikationsweg handele. Dieses Risiko nähmen die Parteien damit, zum Zwecke der Vereinfachung ihrer Geschäftsbeziehungen, bewusst in Kauf.
Der Beklagte könne indes erfolgreich mit einem eigenen gegen den Kläger bestehenden Schadensersatzanspruch teilweise aufrechnen. Ein solcher Anspruch folge aus Art. 82 DSGVO (Datenschutzgrundverordnung). Danach sei der Kläger als Unternehmer verpflichtet, sensible Daten gegen Datenschutzverletzungen zu sichern. Zu diesen Daten gehörten sowohl die in der Rechnung enthaltenen personenbezogenen Angaben des Beklagten, als auch seine e-Mail-Adresse. Eine solche Absicherung habe der Kläger nicht vorgenommen.
Der Beklagte müsse sich aber ein erhebliches Mitverschulden anrechnen lassen. Vor dem oben aufgezeigten Hintergrund wäre es auch an dem Beklagten gewesen, kritisch zu hinterfragen, ob die ihm per e-Mail übersandten Kontodaten tatsächlich von dem Kläger stammen, zumal eine Bankverbindung mit einem vollkommen fremden Zahlungsempfänger mitgeteilt wurde. Spätestens in diesem Moment hätte der Beklagte sich bei dem Kläger rückversichern müssen. Der Beklagte könne sich nicht mit Erfolg darauf berufen, dem Kläger per WhatsApp Screenshots der von ihm getätigten Überweisungen geschickt zu haben. Zwar hätte auch anhand dieser Screenshots der Kläger bei sorgfältigerer Durchsicht erkennen können, dass die Zahlung an einen falschen Empfänger getätigt worden ist, eine entsprechende Prüfungspflicht obliege ihm allerdings nicht, das Risiko der Zahlung liege vielmehr beim Beklagten. Erschwerend trete hinzu, dass der Beklagte die Screenshots lediglich per WhatsApp übersandt habe. Dabei handelt es sich indes in der Regel um kurze Nachrichten, die unmittelbar auf dem Mobilgerät eingehen und dafür konzipiert seien, dort auch direkt gelesen zu werden. Es sei daher damit zu rechnen, dass sie auch in einer Situation zur Kenntnis genommen werden können, in der der Fokus nicht primär auf dem Schriftverkehr liege und die eine sorgfältige Prüfung - etwa den Abgleich von Zahlen - gar nicht ermögliche.
Mit Blick auf die zuvor gemachten Ausführungen sei deshalb ein überwiegendes Mitverschulden beim Beklagten zu sehen, was eine Quotelung des Schadens 25 : 75 zu Lasten des Beklagten rechtfertige. Mit Blick auf sein überwiegendes Mitverschulden steht ihm daher lediglich ein Anspruch auf Ersatz von 25 % seines Schadens gegen den Kläger zu, so dass er lediglich in Höhe eines Betrages von 2.750,00 € mit Erfolg aufrechnen könne.
Auszug aus dem Bürgerlichen Gesetzbuch
§ 631 Vertragstypische Pflichten beim Werkvertrag
(1) Durch den Werkvertrag wird der Unternehmer zur Herstellung des versprochenen Werkes, der Besteller zur Entrichtung der vereinbarten Vergütung verpflichtet.
(2) Gegenstand des Werkvertrags kann sowohl die Herstellung oder Veränderung einer Sache als auch ein anderer durch Arbeit oder Dienstleistung herbeizuführender Erfolg sein.
§ 254 Mitverschulden
(1) Hat bei der Entstehung des Schadens ein Verschulden des Beschädigten mitgewirkt, so hängt die Verpflichtung zum Ersatz sowie der Umfang des zu leistenden Ersatzes von den Umständen, insbesondere davon ab, inwieweit der Schaden vorwiegend von dem einen oder dem anderen Teil verursacht worden ist.
……
§ 270 Zahlungsort
(1) Geld hat der Schuldner im Zweifel auf seine Gefahr und seine Kosten dem Gläubiger an dessen Wohnsitz zu übermitteln.
Das OVG Münster hat entschieden, dass Behörden nicht verpflichtet sind, Daten mit Ende-zu-Ende-Verschlüsselung zu versenden.
Aus den Entscheidungsgründen: II. Der Antragsteller stellt die Annahme des Verwaltungsgerichts, er habe keinen Anordnungsanspruch glaubhaft gemacht, mit seinem Beschwerdevorbringen nicht durchgreifend in Frage.
1. Das Verwaltungsgericht hat zutreffend angenommen, dass Art. 18 Abs. 1 Buchstabe d DSGVO keine Anspruchsgrundlage für das Begehren des Antragstellers darstellt. Nach dieser Vorschrift hat die betroffene Person das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die betroffene Person Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden (Art. 18 Abs. 2 DSGVO). Das Verwaltungsgericht hat dazu ausgeführt, dem Antragsteller gehe es nicht nur um die Einschränkung der Datenverarbeitung für die Dauer des bereits abgeschlossenen Überprüfungsverfahrens, sondern um eine Verpflichtung der Antragsgegnerin, zukünftig eine Ende-zu-Ende-Verschlüsselung bei der Verarbeitung der personenbezogenen Daten des Antragstellers zu verwenden.
Dem setzt der Antragsteller ohne Erfolg den Hinweis entgegen, der Betroffene könne ausdrücklich auf Basis einer Einwilligung die Einschränkung der Verarbeitung teilweise aufheben und damit sei nach Art. 18 Abs. 2 DSGVO jede Verarbeitung auch solcher Daten zulässig, deren Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt worden sei. Dieses Vorbringen versteht der Senat dahingehend, dass der Antragsteller meint, aufgrund seines Widerspruchs gegen die Verarbeitung seiner personenbezogenen Daten durch die Antragsgegnerin sei die Datenverarbeitung mit der in Art. 18 Abs. 2 DSGVO beschriebenen Rechtsfolge eingeschränkt und er könne diese Einschränkung dadurch wieder teilweise aufheben, dass er in eine Übermittlung unter den in seinem Antrag genannten Voraussetzungen (Ende-zu-Ende-Verschlüsselung bzw. eine dem Stand der Technik und dem Risiko entsprechende Verschlüsselung) einwillige.
Unabhängig vom Stand des in Art. 18 Abs. 1 Buchstabe d DSGVO i. V. m. Art. 21 Abs. 1 DSGVO vorgesehenen Überprüfungsverfahrens bleibt dieses Vorbringen ohne Erfolg. Die Einschränkungen für die Datenverarbeitung unter den in Art. 18 Abs. 1 Buchstabe d DSGVO genannten Voraussetzungen gelten nach dem Wortlaut der Vorschrift in zeitlicher Hinsicht nur, „solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen“. Dem Antragsteller geht es im vorliegenden Verfahren jedoch nicht um den Zeitraum während des Überprüfungsverfahrens nach Art. 21 DSGVO, sondern um eine von diesem Zeitraum unabhängige Regelung für die Übermittlung seiner personenbezogenen Daten. Dem steht nicht entgegen, dass er seinen Antrag im Verfahren auf Gewährung einstweiligen Rechtsschutzes zeitlich „bis zu einer Entscheidung in der Hauptsache“ begrenzt hat. Diese zeitliche Begrenzung ist lediglich dem Charakter des Verfahrens auf Gewährung einstweiligen Rechtsschutzes geschuldet.
Da der Antragsteller die geltend gemachten Ansprüche nicht aus Art. 18 Abs. 1 Buchstabe d DSGVO herleiten kann und es nicht auf das in dieser Vorschrift in Bezug genommene Überprüfungsverfahren gemäß Art. 21 Abs. 1 DSGVO ankommt, musste das Verwaltungsgericht dem Antrag auch nicht deswegen stattgeben, weil nach Ansicht des Antragstellers nicht ersichtlich sei, welche in Art. 21 Abs. 1 Satz 2 DSGVO angeführten zwingenden Gründe hier gegen eine Ende-zu-Ende-Verschlüsselung sprächen.
2. Der Antragsteller stellt weiter die Annahme des Verwaltungsgerichts, er könne einen Anspruch auf Datenübermittlung im Wege einer Ende-zu-Ende-Verschlüsselung oder einer sonstigen Verschlüsselung, die über die von der Antragsgegnerin verwendete hinausgehe, nicht aus Art. 32 DSGVO herleiten, nicht durchgreifend in Frage.
Das Verwaltungsgericht hat diese Ansicht mit einer Gesamtbetrachtung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien begründet. Es hat ausgeführt, nach dieser Vorschrift sei die Antragsgegnerin bei der Verarbeitung personenbezogener Daten verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Erforderlich seien eine Risikoeinschätzung und darauf basierend die Feststellung des Schutzbedarfs der Daten. Die in Art. 32 Abs. 1 Buchstabe a DSGVO genannte Maßnahme der Verschlüsselung personenbezogener Daten müsse den in Art. 5 Abs. 1 Buchstabe f DSGVO genannten Zielsetzungen der Integrität und Vertraulichkeit genügen sowie dem Stand der Technik entsprechen; darüber hinausgehende spezifische Anforderungen für das einzusetzende Verschlüsselungsverfahren ließen sich Art. 32 DSGVO aber nicht entnehmen. Der Antragsteller habe nicht hinreichend glaubhaft gemacht, dass die Datenverarbeitung der Antragsgegnerin für ihn ein besonderes Risiko darstelle. Seinen Ausführungen lasse sich nicht entnehmen, dass ein erhöhtes Risiko mit Blick auf die Datenverarbeitung der Antragsgegnerin bestehe, diese etwa einem gesteigerten Risiko ausgesetzt sei, Opfer von Hackerangriffen zu werden. Ebenso wenig sei die Antragsgegnerin in der Vergangenheit durch Sicherheitslücken aufgefallen. Vielmehr erfolge die Datenübertragung bei der Antragsgegnerin stets unter TLS-Verschlüsselung und werde im Kommunikationsprozess mit anderen staatlichen Stellen zusätzlich gesichert (SINA-Box, Client-Zertifikate). Zudem hat das Verwaltungsgericht auf das von der Antragsgegnerin vorgelegte (und bei positivem Abschluss der jährlichen Überwachungsaudits bis zum 17. Juni 2025 gültige) IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 Bezug genommen und ausgeführt, es seien keine Anhaltspunkte dafür ersichtlich, dass die Antragsgegnerin ihr IT-Sicherheitskonzept nicht oder nicht hinreichend umsetze.
Die gegen diese Ausführungen gerichteten Einwände des Antragstellers betreffen einzelne Aspekte der Gesamtbetrachtung. Sie führen auch bei gemeinsamer Würdigung nicht zum Erfolg der Beschwerde. Dies liegt insbesondere daran, dass der Antragsteller mit seinem Beschwerdevorbringen die für die Gesamtbetrachtung nach Art. 32 Abs. 1 DSGVO wesentliche Einschätzung des Verwaltungsgerichts nicht durchgreifend in Zweifel zieht, wonach er das von der Datenverarbeitung der Antragsgegnerin für ihn ausgehende besondere Risiko nicht glaubhaft gemacht habe, und sich die von ihm begehrte Art der Datenübermittlung jedenfalls ohne ein solches erhöhtes Risiko nicht aus Art. 32 Abs. 1 DSGVO ableiten lasse. Dabei besteht Einigkeit darüber, dass es sich bei den in Rede stehenden Daten des Antragstellers nicht um personenbezogene Daten i. S. v. Art. 9 und 10 DSGVO handelt.
a) Das Verwaltungsgericht hat zu der behaupteten Gefährdung für Leib, Leben und Freiheit des Antragstellers ausgeführt, dessen Hinweis auf den ihn betreffenden Beschluss des Bundesverwaltungsgerichts vom 10. Juni 2021 ‑ 3 B 19.20 ‑ genüge nicht, um einen derart erhöhten Schutzbedarf glaubhaft zu machen, der eine Ende-zu-Ende-Verschlüsselung gebiete, weil es sich bei der vom Antragsteller in Bezug genommenen Passage lediglich um eine Wiedergabe der Ausführungen des Berufungsgerichts handele. Die dort wiedergegebene Einschätzung des Berufungsgerichts beruhe auf konkreten und durch Belege gestützten Angaben des Antragstellers im dortigen Verfahren sowie ergänzend auf einer im Zusammenhang mit § 41 Abs. 2 StVG stehenden Gefährdungsbewertung der Polizeidirektion. Vorliegend habe der Antragsteller keine konkreten Angaben oder Belege eingereicht, die ein besonderes Risiko für ihn durch die Datenverarbeitung der Antragsgegnerin belegen könnten. Der Umstand, dass der Antragsteller in einem Verfahren zur Eintragung einer Übermittlungssperre erfolgreich dargelegt habe, dass durch die Übermittlung von in das Fahrzeugregister eingetragenen Daten schutzwürdige Interessen beeinträchtigt würden, reiche nicht aus, um dies auch für eine Datenverarbeitung durch die Antragsgegnerin anzunehmen. Gleiches gelte für den Hinweis des Antragstellers auf die zu seiner Person eingetragene Auskunftssperre nach § 51 BMG.
Der dagegen gerichtete Vorwurf des Antragstellers, das Verwaltungsgericht sei rechtswidrig davon ausgegangen, er müsse den erhöhten Schutzbedarf zweifelsfrei nachweisen, trifft nicht zu. Das Verwaltungsgericht hat ausdrücklich ausgeführt, der Antragsteller müsse seine Gefährdung glaubhaft machen (Seite 8, 11 des Beschlusses), und näher erläutert, aus welchen Gründen dies nicht erfolgt sei.
Die Einwände des Antragstellers, seine Gefährdung sei in anderen Gerichtsverfahren festgestellt worden und ein individuell-konkreterer Vortrag könne nicht verlangt werden, greifen nicht durch. Sie genügen schon nicht den Darlegungsanforderungen des § 146 Abs. 4 Satz 3 VwGO. Danach muss der Beschwerdeführer u. a. die Gründe darlegen, aus denen die Entscheidung abzuändern oder aufzuheben ist, und sich mit der angefochtenen Entscheidung auseinandersetzen. Die – hier erfolgte – bloße Wiederholung des erstinstanzlichen Vorbringens reicht dazu grundsätzlich nicht aus; Entsprechendes gilt für die Bezugnahme auf die bereits erstinstanzlich vorgelegte eidesstattliche Versicherung des Antragstellers vom 29. August 2022, in der der Antragsteller geltend macht – allerdings ohne dafür Nachweise vorzulegen –, aufgrund seines beruflichen Umgangs mit […] bestehe für ihn die Gefahr, Opfer einer Entführung oder eines Raubes zu werden […]. Der Antragsteller geht nicht auf die zutreffende Argumentation des Verwaltungsgerichts ein, dass das Bundesverwaltungsgericht in der vom Antragsteller in Bezug genommenen Passage nicht Tatsachen betreffend diesen selbst festgestellt, sondern lediglich Ausführungen der Vorinstanz wiedergegeben hat, und aus welchen Gründen ein Verweis auf Gefährdungseinschätzungen anderer Gerichte oder Behörden in anderen rechtlichen Zusammenhängen (Fahrzeug-, Melderegister) keine belastbaren Rückschlüsse auf die vorliegende Fallkonstellation zulässt. Unabhängig vom Vorstehenden hat der Antragsteller auch im Beschwerdeverfahren keine konkreten Belege für die von ihm geltend gemachte besondere Gefährdung vorgelegt.
b) Aus den vorgenannten Gründen kann der Antragsteller auch nicht mit Erfolg rügen, die Datenverarbeitung der Antragsgegnerin sei im Lichte von Art. 5 DSGVO formell rechtswidrig, weil diese keine Einzelfallprüfung bezogen auf seine besonders schutzbedürftigen personenbezogenen Daten vorgenommen habe. Daher kommt auch die vom Antragsteller thematisierte Sperrung seiner Daten für eine nicht hinreichend verschlüsselte Übermittlung als „Sanktionswirkung für ein Unterlassen nach Art. 5 DSGVO“ nicht in Betracht.
c) Die Ausführungen des Verwaltungsgerichts, wonach für die Antragsgegnerin kein gesteigertes Risiko erkennbar sei, Opfer von Hackerangriffen zu werden, und diese in der Vergangenheit auch nicht durch Sicherheitslücken aufgefallen sei, betreffen der Sache nach den Aspekt „Eintrittswahrscheinlichkeit“ in Art. 32 Abs. 1 DSGVO. Sie werden vom Antragsteller mit seinem Beschwerdevorbringen inhaltlich nicht in Frage gestellt. Das Verwaltungsgericht hat mit diesen Ausführungen nicht vom Antragsteller einen Nachweis für das Gegenteil verlangt.
d) Die Rüge des Antragstellers, die Antragsgegnerin habe keine ausreichende Transportverschlüsselung glaubhaft gemacht, greift nicht durch. Das Verwaltungsgericht hat zur Transportverschlüsselung ausgeführt, die von der Antragsgegnerin verwendete Transportverschlüsselung sei datenschutzrechtlich ausreichend. Zur Begründung hat es sich u. a. auf das von der Antragsgegnerin vorgelegte IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 gestützt. Außerdem hat es die Angaben der Antragsgegnerin angeführt, wonach jede Datenübermittlung verschlüsselt erfolge, etwa durch TLS-Verschlüsselungen, und im Kommunikationsprozess mit anderen staatlichen Stellen zusätzliche Sicherungen beständen (SINA-Box, Client-Zertifikate). Konkrete Anhaltspunkte dafür, dass diese Angaben der Antragsgegnerin nicht zutreffen könnten oder die im IT-Sicherheitszertifikat angeführten Maßnahmen nicht umgesetzt würden, zeigt der Antragsteller nicht auf.
Soweit er die von der Antragsgegnerin verwendete Verschlüsselungstechnik für zu unsicher hält und meint, TLS 1.2 entspreche nicht mehr dem aktuellen Stand der Technik, vielmehr gebe es bereits seit 2018 TLS 1.3, jedenfalls aber sei jede TLS-Verschlüsselung zu unsicher, führt dies nicht zum Erfolg seiner Beschwerde. Denn die Verschlüsselung über TLS stellt, wie vom Verwaltungsgericht ausgeführt, nicht die einzige Sicherheitsmaßnahme der Antragsgegnerin dar. Im Beschwerdeverfahren hat die Antragsgegnerin zudem ergänzt, die Transportverschlüsselung sei so konzipiert, dass sie vom Browser-Client der Anfragenden bis zur Firewall der Antragsgegnerin reiche; es gebe also keine „Zwischenstationen“, auf denen die Inhalte unverschlüsselt abgelegt wären; die Netzkomponenten auf dem Routing-Weg im Internet könnten keinen Einblick in die Kommunikationsinhalte gewinnen. Konkrete Anhaltspunkte dafür, dass diese Angaben wahrheitswidrig sein könnten, sind weder substantiiert vorgetragen noch sonst ersichtlich. Abgesehen davon kann der Antragsteller im Rahmen der nach Art. 32 Abs. 1 DSGVO erforderlichen Gesamtbetrachtung ohne besondere, in seiner Person liegende Umstände, die hier nicht glaubhaft gemacht sind, nicht von der Antragsgegnerin verlangen, dass die ihn betreffenden personenbezogenen Daten nur unter höheren Sicherheitsanforderungen elektronisch übermittelt werden dürfen, als dies bei personenbezogenen Daten anderer Personen, die bei der Antragsgegnerin gespeichert sind, der Fall ist. Dies gilt auch für etwaige Übermittlungen durch Telefax, E-Mail oder Telefon, die vom Baustein „CON.9 Informationsaustausch“ des IT-Grundschutzes der Antragsgegnerin erfasst werden, der nach seiner Nr. 1.1. unterschiedliche Kommunikationswege wie z. B. persönliche Gespräche, Telefonate, Briefe u. a. in den Blick nimmt.
e) Weiter ohne Erfolg macht der Antragsteller mit seiner Beschwerdebegründung vom 3. April 2023 geltend, den vom Verwaltungsgericht angenommenen Prüfungsmaßstab „sozialadäquat“ kenne die Datenschutz-Grundverordnung nicht. Im Schriftsatz vom 27. Mai 2023 versteht der Antragsteller diesen Begriff dahingehend, dass damit eine Transportverschlüsselung gemeint sei, die dem üblichen Stand der Technik entspreche. In diese Richtung geht auch die Formulierung des Verwaltungsgerichts, das in Anlehnung an die entsprechende Wortwahl des insoweit zitierten Verwaltungsgerichts Mainz,
Urteil vom 17. Dezember 2020 - 1 K 778/19.MZ -, juris, Rn. 40: „Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest‑)Stand der Technik einzustufen“,
die von der Antragsgegnerin verwendete Transportverschlüsselung mit diesem Begriff bezeichnet hat. Der Sache nach stellen die Ausführungen des Verwaltungsgerichts in diesem Zusammenhang eine zusammenfassende Bewertung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien dar und ist als solche rechtlich nicht zu beanstanden.
f) Die Ausführungen des Antragstellers dazu, dass Art. 2 Abs. 2 Buchstabe d DSGVO den geltend gemachten Anspruch nicht ausschließe, führen nicht zum Erfolg der Beschwerde, weil auch das Verwaltungsgericht von dieser Rechtsauffassung ausgegangen ist.
EuGH
Urteil vom 25.02.2025 C-233/23
Alphabet u. a.
Der EuGH hat entschieden, dass die Verweigerung der Interoperabilität einer Plattform mit der App eines Drittunternehmens der Missbrauch einer marktbeherrschenden Stellung sein kann. Vorliegend ging es um Android Auto von Google / Alphabet.
Die Pressemitteilung des EuGH: Die Weigerung eines Unternehmens in beherrschender Stellung, die Interoperabilität seiner Plattform mit einer App eines anderen Unternehmens sicherzustellen, die dadurch attraktiver würde, kann missbräuchlich sein
Die Weigerung kann mit dem Fehlen eines Templates für die Kategorie der betreffenden Apps gerechtfertigt werden, wenn die Gewährleistung der Interoperabilität die Sicherheit oder die Integrität der Plattform gefährden würde.
Die Weigerung eines Unternehmens in beherrschender Stellung, das eine digitale Plattform entwickelt hat, den Zugang zu dieser Plattform zu ermöglichen, indem es die Gewährleistung der Interoperabilität dieser Plattform mit einer von einem Drittunternehmen entwickelten App ablehnt, kann einen Missbrauch einer beherrschenden Stellung darstellen, obwohl die Plattform für die kommerzielle Nutzung der App nicht unerlässlich ist. Ein solcher Missbrauch kann nämlich festgestellt werden, wenn die Plattform mit dem Ziel entwickelt wurde, eine Nutzung durch Drittunternehmen zu ermöglichen, und wenn sie geeignet ist, die App für die Verbraucher attraktiver zu machen. Die Weigerung kann jedoch damit gerechtfertigt werden, dass es zum Zeitpunkt, zu dem das Drittunternehmen um Zugang ersucht hat, kein Template für die Kategorie der betreffenden Apps gab, wenn die Gewährung der Interoperabilität die Sicherheit oder die Integrität der Plattform gefährden würde oder wenn es aus anderen technischen Gründen unmöglich wäre, diese Interoperabilität zu gewährleisten. In den anderen Fällen muss das Unternehmen in beherrschender Stellung ein solches Template innerhalb eines angemessenen Zeitraums und gegebenenfalls gegen eine angemessene finanzielle Gegenleistung entwickeln.
Im Jahr 2018 führte Enel1 in Italien die App JuicePass ein, die es den Nutzern ermöglicht, Ladestationen für ihre Elektrofahrzeuge zu lokalisieren und zu buchen. Um die Navigation zu solche Stationen zu erleichtern, ersuchte Enel Google , die App mit Android Auto, dem System von Google, das es ermöglicht, direkt über den Bordbildschirm von Fahrzeugen auf Apps auf Smartphones zuzugreifen, kompatibel zu machen. Drittentwickler können ihre Apps nämlich dank der Templates, die Google bereitstellt, an Android Auto anpassen. Google lehnte es ab, die erforderlichen Maßnahmen zu ergreifen, um die Interoperabilität von JuicePass mit Android Auto zu gewährleisten. Die italienische Wettbewerbs- und Marktaufsichtsbehörde (AGCM) war der Ansicht, dass dieses Verhalten einen Missbrauch einer beherrschenden Stellung darstelle, und verhängte gegen Google eine Geldbuße von über 102 Millionen Euro. Google focht diese Entscheidung bis zum italienischen Staatsrat an, der den Gerichtshof um Vorabentscheidung ersucht hat.
Der Gerichtshof ist der Ansicht, dass die Weigerung eines Unternehmens in beherrschender Stellung, das eine digitale Plattform entwickelt hat, die Interoperabilität dieser Plattform mit einer von einem Drittunternehmen entwickelten App zu gewährleisten, einen Missbrauch einer beherrschenden Stellung darstellen kann.
Ein solcher Missbrauch einer beherrschenden Stellung ist nicht auf den Fall beschränkt, dass die Plattform für die Ausübung der Tätigkeit desjenigen, der um Zugang ersucht, unerlässlich ist . Er kann auch vorliegen, wenn, wie es vorliegend der Fall zu sein scheint, ein Unternehmen in beherrschender Stellung die Plattform nicht ausschließlich für die Zwecke seiner eigenen Tätigkeit, sondern mit dem Ziel entwickelt hat, ihre Nutzung durch Drittunternehmen zu ermöglichen, und wenn diese Plattform für die kommerzielle Nutzung einer von einem Drittunternehmen entwickelten App zwar nicht unerlässlich ist, aber geeignet ist, diese App für die Verbraucher attraktiver zu machen.
Die Zugangsverweigerung kann auch dann wettbewerbswidrige Auswirkungen haben, wenn das Drittunternehmen, das die App entwickelt hat, und seine Wettbewerber auf dem Markt, zu dem diese App gehört, tätig geblieben sind und ihre Stellung auf diesem Markt ausgebaut haben, ohne die Interoperabilität mit der Plattform nutzen zu können. Insoweit ist unter Berücksichtigung aller relevanten tatsächlichen Umstände zu prüfen, ob die Weigerung geeignet war, die Aufrechterhaltung oder Entwicklung des Wettbewerbs auf dem betreffenden Markt zu behindern.
Die Weigerung eines Unternehmens in beherrschender Stellung, die Interoperabilität einer App mit einer digitalen Plattform zu gewährleisten, kann damit gerechtfertigt werden, dass es für die Kategorie der betreffenden Apps kein Template gibt, wenn die Gewährung einer solchen Interoperabilität mittels eines solchen Templates die Integrität dieser Plattform oder die Sicherheit ihrer Nutzung gefährden würde oder wenn es aus anderen technischen Gründen unmöglich wäre, die Interoperabilität durch die Entwicklung dieses Templates zu gewährleisten.
Ist dies jedoch nicht der Fall, muss das Unternehmen in beherrschender Stellung ein solches Template innerhalb eines angemessenen Zeitraums und gegebenenfalls gegen eine angemessene finanzielle Gegenleistung entwickeln. Dabei sind die Bedürfnisse des Drittunternehmens, das um diese Entwicklung ersucht hat, die tatsächlichen Kosten dieser Entwicklung und das Recht des Unternehmens in beherrschender Stellung, daraus einen angemessenen Nutzen zu erzielen, zu berücksichtigen.
OLG Schleswig-Holstein
Urteil vom 18.12.2024 12 U 9/24
Das OLG Schleswig-Holstein hat entschieden, dass Unternehmen E-Mail-Rechnungen mit Ende-zu-Ende-Verschlüsselung versenden müssen. Andernfalls kann bei einem Man-in-the-Middle-Angriff ein Schadensersatzanspruch aus Art. 82 DSGVO bestehen.
Das Gericht hat zum Glück die Revision zugelassen, so dass der BGH hoffentlich die Gelegenheit erhält, diese völlig praxisuntaugliche Entscheidung zu korrigieren.
Aus den Entscheidungsgründen: 2. Anders als das Landgericht meint, steht der Beklagten allerdings ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung des streitgegenständlichen Betrags zu, den die Beklagte der Klagforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten kann.
a) Ein solcher Anspruch resultiert vorliegend jedenfalls aus Art. 82 DSGVO.
Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z.B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Als Datenschutzverletzungen werden versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten definiert. Um solche Sicherheitsvorfälle zu vermeiden, werden Unternehmen dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. Nach Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (...) Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Art. 82 Abs. 1 DSGVO eröffnet einen direkten eigenen deliktischen Schadensersatzanspruch mit Verschuldensvermutung, wobei der Verantwortliche nach Abs. 3 den Entlastungsbeweis führen kann.
Dass die Beklagte sich nicht ausdrücklich auf Art. 82 Abs. 1 DSGVO berufen hat, hindert eine Anwendbarkeit nicht, denn die Subsumtion des unterbreiteten Sachverhalts obliegt allein dem Gericht. Insoweit hat die Beklagte alle erforderlichen Voraussetzungen für einen solchen Schadensersatzanspruch vorgetragen.
aa) Der Anwendungsbereich der DSGVO ist in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet.
Gemäß Art. 2 Abs. 1 DSGVO gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Personenbezogene Daten sind Daten, über die sich ein konkreter Personenbezug herstellen lässt. Demnach geht es um Daten, die konkreten Personen zuzuordnen sind. Die in der streitgegenständlichen Email als Anhang enthaltenen Angaben zur Beklagten (Name, Anschrift, Kunde der Klägerin, offene Rechnung über eine Werkleistung) sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Die Versendung der Rechnung mit den enthaltenen Daten per E-Mail an die Beklagte über den streitverkündeten Zeugen A. stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar ("Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung"). Daran ändert sich auch nichts dadurch, dass nicht die personenbezogenen Daten der Beklagten, sondern die Kontoverbindung der Klägerin durch einen Dritten unbefugt manipuliert wurde, denn ohne den gleichzeitigen unbefugten Zugriff auf die Daten der Beklagten wäre diese durch die abgewandelte, an die Email angehängte Rechnung nicht dazu veranlasst worden, auf ein falsches Bankkonto zu zahlen.
Das sog. Haushaltsprivileg des Art. 2 Abs. 2 lit. c DSGVO, wonach die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten findet, greift nicht, da die Verarbeitung vorliegend durch ein Unternehmen im Rahmen des geschäftlichen Betriebs stattgefunden hat.
Die Beklagte ist für den geltend gemachten Anspruch aktivlegitimiert. Denn anspruchsberechtigt ist nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist. Die Klägerin ist als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO passivlegitimiert im Sinne von Art. 82 Abs. 1 DSGVO.
bb) Im Übrigen hat Art. 82 Abs. 2 DSGVO - der die in Art. 82 Abs. 1 DSGVO grundsätzlich normierte Haftungsregelung präzisiert - drei Voraussetzungen für die Entstehung eines Schadensersatzanspruchs, nämlich
- erstens eine Verarbeitung personenbezogener Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 UnterAbs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 1 und 2 DSGVO unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO,
- zweitens einen der betroffenen Person entstandenen Schaden und
- drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden
(vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 58; EuGH, Urteil v. 04.05.2023 – C-300/21 -, juris Rn. 36).
(1) Vorliegend hat nach Ansicht des Senats die Klägerin - anders als das Landgericht meint – im Zuge der Verarbeitung der personenbezogenen Daten der Beklagen bei Versand der streitgegenständlichen Email mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.
(aa) Ein Verstoß gegen die Vorschriften der Datenschutzgrundverordnung kann in diesem Zusammenhang nicht schon allein deswegen angenommen werden, weil – was unstreitig ist – ein unbefugter Zugriff auf personenbezogene Daten durch Dritte im Sinne von Art. 4 Nr. 10 DSGVO stattgefunden hat. Denn dies allein reicht nach der Rechtsprechung des Europäischen Gerichtshofs nicht aus, um gleichzeitig davon auszugehen, dass die technischen und organisatorischen Maßnahmen des für die Verarbeitung Verantwortlichen nicht "geeignet" im Sinne von Art. 24 und 32 DSGVO waren, vgl. EuGH, Urteil v. 25.01.2024 - C-687/21 -, juris Rn. 45; EuGH, Urteil v. 14.12.2023 - C-340/21, juris Rn. 22ff., 31-39).
(bb) Umgekehrt ist nach der Rechtsprechung des Europäischen Gerichtshofs der Verantwortliche aber auch nicht gem. Art. 82 Abs. 3 DSGVO von seiner nach Art. 82 Abs. 1 und 2 DSGVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens allein deswegen befreit, weil dieser Schaden die Folge eines unbefugten Zugangs zu personenbezogenen Daten durch einen Dritten ist (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 65ff., 74).
(cc) Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen (vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 40Ff; ebenso EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 48ff., 57). Das ist der Klägerin vorliegend nicht gelungen, da der Senat die Transportverschlüsselung, die sie beim Versand der streitgegenständlichen Email – von der Beklagten bestritten – verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält. Es kann damit auch dahinstehen, ob eine solche Transportverschlüsselung tatsächlich erfolgt ist. Das von der Klägerin zum Beweis dafür und für die Frage, ob eine Transportverschlüsselung dem üblichen Sicherungsmaß entspricht oder sogar darüber hinausgeht, angebotene Sachverständigengutachten ist insoweit nicht einzuholen.
(aaa) Der Senat verkennt dabei nicht, dass es konkrete gesetzliche Anforderungen an eine Verschlüsselung von Emails nicht gibt.
Auch in der Datenschutzgrundverordnung ist eine Verschlüsselung nicht zwingend vorgeschrieben. Sie wird jedoch mehrfach im Text der Verordnung erwähnt, jedes Mal als Empfehlung. In Artikel 32 heißt es, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken und der Schwere der Folgen für die Rechte und Freiheiten natürlicher Personen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen müssen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wozu unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten gehören. Da die DSGVO die Verschlüsselung jedoch nicht zwingend vorschreibt, bietet sie keine Klarheit darüber, wann die Verschlüsselung verwendet werden sollte und welche Standards dabei angewendet werden müssen.
Nach der „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“, die von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder entwickelt wurde und die Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DSGVO zum Ziel hat, sind ausgehend vom Stand der Technik, den typischen Implementierungskosten und deren Verhältnis zu den Risiken einer Übermittlung personenbezogener Daten per E-Mail Anforderungen an die Maßnahmen, die Verantwortliche und Auftragsverarbeiter zur ausreichenden Minderung der Risiken zu treffen haben, zu bestimmen. Die Verantwortlichen und Auftragsverarbeiter sind verpflichtet, die Besonderheiten ihrer Verarbeitungen, darunter insbesondere den Umfang, die Umstände und die Zwecke der vorgesehenen Übermittlungsvorgänge zu berücksichtigen, die ggf. in abweichenden Anforderungen resultieren können (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf).
Danach muss es im Ausgangspunkt heute jedem Unternehmen, das Daten seiner privaten Kunden computertechnisch verarbeitet, bewusst sein, dass der Schutz dieser Daten hohe Priorität – auch beim Versenden von Emails - genießt. Es ist daher zur Überzeugung des Senats auch verpflichtet, diesen Schutz durch entsprechende Maßnahmen so weit wie möglich zu gewährleisten.
Der Europäische Gerichtshof hat die Anforderungen des Art. 32 DSGVO dahingehend ausgelegt, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen vor den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbunden Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 40ff., 47).
(bbb) Tastet man sich an die Frage einer „geeigneten“ Verschlüsselung „von unten“ heran, ist es nach Ansicht des Senats für einen Geschäftsbetrieb wie den der Klägerin ausgeschlossen, geschäftliche Emails mit personenbezogenen Daten völlig ohne jede Verschlüsselung zu versenden.
Nach einer Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu aktuell möglichen und gebräuchlichen Verschlüsselungsmethoden kommen für den Email-Versand die folgenden Verfahren in Betracht:
„Bei E-Mail-Verschlüsselung gibt es grundsätzlich zwei verschiedene Arten: die Punkt-zu-Punkt- beziehungsweise Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung.
Wo der entscheidende Unterschied liegt, wird im Folgenden erklärt:
Transportverschlüsselung
Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird inzwischen von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. E-Mails werden beim Versand allerdings über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.
Internetkriminelle könnten einen "Man-in-the-Middle-Angriff" durchführen, der auf diese Punkte ausgerichtet ist. Bei diesem Angriff platziert sich ein Angreifer "in der Mitte" der Kommunikation zwischen zwei Kommunikationspartnerinnen oder -partnern und kann ohne deren Wissen Daten (z.B. E-Mails) abfangen, kopieren oder verändern.
Ende-zu-Ende-Verschlüsselung
Zwar ist eine Transportverschlüsselung einer unverschlüsselten Kommunikation vorzuziehen, doch gerade bei sensiblen oder persönlichen Inhalten empfiehlt es sich, auf den Einsatz einer Ende-zu-Ende-Verschlüsselung Wert zu legen. Bisher gestaltete sich der Einsatz dieser Kryptografietechnik noch als mühsam. Anwenderinnen und Anwender müssen bei der Ende-zu-Ende-Verschlüsselung oft selbst aktiv werden und zusätzliche Plugins in den meisten E-Mail-Clients aktivieren, um die Technologie nutzen zu können. Eine weitere Hürde ist der Austausch der öffentlichen Schlüssel. Allerdings ist dies unter anderem mit einem vom Bundesamt für Sicherheit in der Informationstechnik entwickelten Protokoll richtungsweisend vereinfacht und so Anwenderinnen und Anwendern zugänglicher gemacht worden.“
In der bereits zitierten Orientierungshilfe der Datenschutzkonferenz (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf) heißt es weiter zu dem von einem Verarbeiter danach zu verlangenden Schutzniveau, dass sowohl End-to-End-Verschlüsselung als auch Transportverschlüsselung für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten mindern. Daher müssten Verantwortliche beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen. Der durchgreifendste Schutz der Vertraulichkeit der Inhaltsdaten werde durch End-to-End-Verschlüsselung erreicht. End-to-End-Verschlüsselung schütze nicht nur den Transportweg, sondern auch ruhende Daten; der Einsatz von Transportverschlüsselung biete einen Basis-Schutz und stelle eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Die Verantwortlichen müssten die Risiken sorgfältig einschätzen, die mit dem Bruch der Vertraulichkeit und Integrität von E-Mail-Nachrichten verbunden seien, die sie versendeten oder gezielt empfingen.
(ccc) Nach Ansicht des Senats ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.
Soweit in der Orientierungshilfe der Datenschutzkonferenz zur Einzelfallentscheidung darauf abgestellt wird, dass in Verarbeitungssituationen mit normalen Risiken bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht wird, zeigt der zu entscheidende Fall nach Ansicht des Senats deutlich, dass hier keine „Verarbeitungssituation mit normalen Risiken“ vorliegt. Er ist zwar anders gelagert als die üblicherweise für die Annahme eines hohen Risikos herangezogenen Emails z.B. mit Arztbriefen oder Rechtsanwaltsschreiben im Anhang, die vor allem wegen des hohen Umfangs und der Intensität der persönlichen Daten besonders schutzwürdig sein sollen. Bei der hier streitgegenständlichen Email mit der Rechnung der Klägerin im Anhang sind die persönlichen Daten der Beklagten als Privatkundin wie Name und Adresse und die Tatsache, dass die Beklagte einen Werkvertrag abgeschlossen hat, nicht in dem Maße tiefgreifend persönlich. Der Zugriff durch einen unbefugten Dritten darauf führte aber im konkreten Fall in Verbindung mit der ebenfalls „gehackten“ und unberechtigt veränderten Kontoverbindung der Klägerin dazu, dass die Beklagte auf ein falsches Konto gezahlt hat und ‒ wie die Ausführungen unter 1. zeigen ‒ den Werklohn nunmehr erneut zahlen soll, so dass ihr ein massiver finanzieller Schaden von über 15.000,-- € entstanden ist. Dass Kunden von Unternehmen bei einem Datenhacking solche Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per Email immanent ist, von der Klägerin bei ihrer Planung zur Emailsicherheit erkannt werden musste und bei ihren Überlegungen zu Schutzmaßnahmen beim Versand von Rechnungen per Email mit einzubeziehen war. Anders, als das Landgericht meint, kommt es darauf, dass bei der Klägerin bislang ein Hackerangriff noch nicht vorgekommen war, nicht an. Die stetig wachsende Gefahr von Hackerangriffen auf Unternehmen ist allgemein bekannt und die hohe Schadensträchtigkeit des Versands von Rechnungen per Email verlangt von einem Unternehmen wie der Klägerin eine entsprechende Voraussicht und ein entsprechendes proaktives Handeln.
Der Senat verkennt dabei nicht, dass die hier für einen Email-Versand mit angehängter Rechnung verlangte End-to-End-Verschlüsselung für ein Unternehmen wie die Klägerin einen gewissen technischen Aufwand erfordert, der sich möglicherweise nicht darauf beschränkt, in dem benutzten Standard-Email-Programm lediglich eine Aktivierung vorzunehmen. Vielmehr dürfte hier vielfach eine technische Beratung und der Einsatz von gesonderten Programmen erforderlich sein. Dies ändert aber nach Ansicht des Senats die an die Verschlüsselung von geschäftlichen Emails mit angehängten Rechnungen zu stellenden Anforderungen nicht. Angesichts der allgemein bekannten und vielfältig veröffentlichten Hackermöglichkeiten, des gerichtsbekannt rasanten Anstiegs von Hackerangriffen und den im Einzelfall weitreichenden finanziellen Folgen für den einzelnen Kunden, dessen Rechnung verfälscht wird und der selbst keinen Einfluss auf die Verarbeitung seiner Daten hat, ist daher auch von einem kleineren Unternehmen – wie der Klägerin als mittelständischem Handwerksbetrieb – zu erwarten, dass es sich zum Schutz der Daten seiner Kunden zu computertechnischen Sicherheitsanforderungen informiert und sich diesbezüglich beraten, fortbilden und mit der notwendigen Software ausstatten lässt. Die Klägerin kann sich nicht darauf berufen, dass es sich bei der End-to-End-Verschlüsselung im Geschäftsleben um eine unübliche Verschlüsselung handeln würde, die von ihr nicht verlangt werden könne. Vielmehr beschäftigen sich vielfache, allgemein zugängliche Empfehlungen und Informationen aktuell mit den entsprechenden Möglichkeiten, so auch die Information des BSI zur Praxis der Emailverschlüsselung unter Nennung verschiedener Email-Tools, die eine solche Verschlüsselung ermöglichen (s. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dass einer End-to-End-Verschlüsselung im konkreten Fall technische, organisatorische und/oder finanzielle Hindernisse im Weg gestanden hätten, hat die Klägerin nach entsprechendem Hinweis des Senats in der mündlichen Verhandlung, welche Schutzmaßnahmen er erwarte, nicht vorgetragen.
Soweit dieser zu erwartende hohe Standard zum Schutz der personenbezogenen Daten beim Versand von Emails mit angehängten Rechnungen nicht sichergestellt werden kann, bleibt für ein Unternehmen – ohne dass hierfür größerer technischer und/oder finanzieller Aufwand betrieben werden müsste – wie eh und je der Versand von Rechnungen per Post das Mittel der Wahl.
(dd) Die Klägerin trifft auch ein Verschulden.
Nach der Rechtsprechung des Europäischen Gerichtshofs ist einer kombinierten Analyse der verschiedenen Bestimmungen von Art. 82 DSGVO zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (EuGH, Urteil v. 21.12.2023 - C-667/21, juris Rn. 92 ff.).
Gemäß Art. 82 Abs. 3 DSGVO wird der Anspruchsverpflichtete von der Haftung – hier für unzureichende Schutzmaßnahmen in Bezug auf die Versendung personenbezogener Daten - befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist dabei das Verschulden im Sinne der deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung (LG Mainz, Urteil vom 12.11.2021 - 3 O 12/20, juris Rn. 73; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 50. Edition, Stand 01.08.2024, Art. 82 DSGVO Rn. 17 und 17.2; Geissler/Ströbel, in: NJW 2019, 3414 (3415)). Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Um die Feststellung treffen zu können, der Verantwortliche sei "in keinerlei Hinsicht" verantwortlich, hat dieser nachzuweisen, dass er alle Sorgfaltspflichten erfüllt hat und ihm damit nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, a.a.O., Art. 82 DSGVO Rn. 18). Diesen Nachweis hat die Klägerin nicht zu führen vermocht. Ihr ist insofern – wie oben dargestellt - der Vorwurf eines unzureichenden Schutzniveaus für den Versand von Emails mit personenbezogenen Daten – insbesondere mit der hier angehängten Rechnung - zu machen.
Die Klägerin kann sich auch nicht darauf berufen, dass sie sich ausreichend hätte beraten lassen und auch ihr IT-Berater, der Zeuge C., im Rahmen zu treffender Schutzmaßnahmen lediglich eine Transportverschlüsselung vorgeschlagen habe. Da es keine gesetzlich festgelegten Schutzmaßnahmen gibt, obliegt es letztlich allein der Klägerin zu entscheiden, wie sie ihren Email-Versand mit personenbezogenen Daten sichern will und muss. Ihr IT-Berater konnte insofern lediglich die Optionen nennen; die Entscheidung hatte sie zu treffen. Diesbezüglich hat sie zumindest fahrlässig nicht auf ein ausreichendes Schutzniveau geachtet.
(2) Der Beklagten ist unstreitig ein Schaden entstanden, der in dem – wie oben dargestellt – mangels Erfüllung erneut zu zahlenden Werklohn liegt.
(3) Dieser von der Beklagten geltend gemachte Schaden ist auch eine kausale Folge des Verstoßes gegen die Datenschutzgrundverordnung.
Da nach den obigen Darlegungen die Klägerin bei Versand ihrer Email mit der angehängten Rechnung kein ausreichendes Schutzniveau zur Sicherung der personenbezogenen Daten der Beklagten eingehalten hat, obliegt ihr der Beweis dafür, dass der der Beklagten entstandene Schaden nicht durch ihr Fehlverhalten entstanden ist (EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 72). Dies ist ihr vorliegend nicht gelungen.
Unstreitig ist bei der von der Klägerin (maximal) verwendeten Transportverschlüsselung ein Zugriff durch unbefugte Dritte auf ihrem Computer, ihrem Server oder auf weiteren Servern auf dem Weg zum streitverkündeten Zeugen A. ohne Weiteres möglich; die Email ist definitionsgemäß nur auf dem Transport verschlüsselt. Einen Beweis dafür, dass im konkreten Fall der Zugriff nicht im Bereich der Klägerin, sondern erst im Bereich der Beklagten bzw. des Zeugen A. erfolgt ist, hat die Klägerin, der – wie ausgeführt und auch in der mündlichen Verhandlung erörtert – die Darlegungs- und Beweislast dafür obliegt, nicht angeboten. Die Einholung eines Sachverständigengutachtens von Amts wegen scheidet aus, da es sich mangels Anknüpfungstatsachen um einen Ausforschungsbeweis handeln würde. Auch die bei dem Zeugen A. vorhandenen Schutzmaßnahmen sind aus diesem Grund nicht weiter aufzuklären.
Im Übrigen wäre der Klägerin – selbst wenn der unbefugte Zugriff im Bereich des Zeugen A. und nicht schon im Bereich der Klägerin erfolgt sein sollte – weiterhin anzulasten, dass sie einen solchen Zugriff durch den von ihr gewählten Versand der Daten per Email lediglich mit Transportverschlüsselung und damit mit unzureichender Sicherung erst ermöglicht hätte, denn auch bei einem von der Klägerin angesprochenen Datenhacking im Bereich des Zeugen A. wäre die streitgegenständliche Email samt Anhang aufgrund der End-to-End-Verschlüsseluung wegen des eigenen erforderlichen Schlüssels bei Einhaltung entsprechender Standards auch auf dem Server/Computer des Zeugen jedenfalls ganz weitgehend geschützt gewesen.
(4) Ein Mitverschulden an der Schadensentstehung gem. § 254 BGB trifft die Beklagte nicht.
Anders als das Landgericht meint, oblag der Beklagten bzw. dem Zeugen A., dessen Verschulden ihr möglicherweise gem. § 278 BGB zuzurechnen wäre, nach Ansicht des Senats keine genaue Überprüfung der letztlich auf dem Computer des Zeugen verfälscht, da hinsichtlich der Kontoverbindung manipuliert vorliegenden Rechnung. Die von der Klägerin aufgezeigten Unterschiede zu früheren (Abschlags-)Rechnungen betreffend die Farbe, Angaben zum Geschäftsführer, fehlenden QR-Code der Bankverbindung und fehlendes Siegel stellen geringfügige äußere Abweichungen dar, die weder der Beklagten noch dem Zeugen A. bei oberflächlicher Betrachtung auffallen mussten. Etwas anderes folgt auch nicht daraus, dass die Beklagte erkannt hat, dass die Kontoverbindung verändert war. Angesichts der Tatsache, dass im Geschäftsleben die Kontoverbindung eines Unternehmens aus diversen Gründen geändert wird, kann einer privaten Kundin wie der Beklagten nicht vorgeworfen werden, dass sie vor der Überweisung des offenen Werklohns keine Rücksprache mit der Klägerin genommen hat.
