Skip to content

OLG Nürnberg: Online-Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr nach § 312k BGB muss ohne Login möglich sein

OLG Nürnberg
Urteil vom 30.07.2024
3 U 2214/23


Das OLG Nürnberg hat entschieden, dass die Online-Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr nach § 312k BGB ohne Login möglich sein muss.

Aus den Entscheidungsgründen:
3. Die Beklagte hat ihren Pflichten aus § 312k Abs. 2 BGB nicht in ausreichendem Umfang entsprochen, indem sie zunächst den Kündigungsbutton lediglich in den geschützten Kundenbereich integriert hat, sodass er erst erkennbar und nutzbar war, nachdem sich ein Kunde dort eingeloggt hat, und nicht bereits beim Aufruf der Homepage bzw. der Apps sichtbar und benutzbar war. Dem Kläger steht daher ein hiergegen gerichteter Unterlassungsanspruch aus § 2 Abs. 1, Abs. 2 Nr. 1 c) UKlaG zu.

a) Die Aktivlegitimation des Klägers für den Unterlassungsanspruch aus § 2 UKlaG folgt aus § 3 Abs. 1 Nr. 1 i.V.m. § 4 UKlaG. Die Regelung in § 312k BGB zum sog. Kündigungsbutton gehört zu den Bestimmungen über Verträge im elektronischen Geschäftsverkehr, welche wiederum nach § 2 Abs. 2 Nr. 1 lit. c) UKlaG Verbraucherschutzvorschriften darstellen, bei deren Verletzung nach § 2 Abs. 1 S. 1 UKlaG ein Unterlassungsanspruch der klageberechtigten Verbände besteht. Da eine entsprechende Praxis eine Vielzahl von Verbrauchern betrifft und nicht nur ein einmaliger Verstoß der Beklagten vorlag, ist auch das erforderliche „kollektive Moment“ gegeben und dem Erfordernis, dass die Rechtsverfolgung im Interesse des Verbraucherschutzes liegt, entsprochen.

b) Der Kündigungsbutton darf auch in Fällen wie dem vorliegenden, in denen zum Abschluss des später zu kündigenden Vertrags generell ein Kundenkonto angelegt wird, nicht erst nach einem Login in dieses Kundenkonto zugänglich sein. Vielmehr muss der Kündigungsbutton dort präsentiert werden, wo auch auf die Möglichkeit zum Abschluss des Fahrkartenerwerbs im elektronischen Geschäftsverkehr aufmerksam gemacht wird. Die vormalige Handhabung der Beklagten steht damit nicht mit § 312k Abs. 2 S. 4 BGB in Einklang.

aa) Der Wortlaut des § 312k Abs. 2 S. 4 BGB verlangt, dass die Schaltflächen und die Bestätigungsseite „ständig verfügbar sowie unmittelbar und leicht zugänglich“ sein müssen.

In der Bundestagsdrucksache, die die Beschlussempfehlung und den Bericht des Rechtsausschusses wiedergibt, wird ausgeführt, dass die Kündigung ebenso einfach abzugeben sein soll wie die Erklärung über den Abschluss entsprechender Verträge, wenngleich die Besonderheiten von Kündigungserklärungen Berücksichtigung finden müssen (BT-Drs. 19/30840, S. 15). Das Erfordernis der ständigen Verfügbarkeit ist dabei an § 5 Abs. 1 TMG (a.F.) angelehnt. Verbraucher müssten somit jederzeit und ohne sich hierfür zunächst auf der Webseite des Unternehmers anmelden zu müssen, auf die beiden Schaltflächen und die Bestätigungsseite zugreifen können. Die Anforderung „unmittelbar und leicht zugänglich“ orientiert sich an Art. 246d § 2 Abs. 2 EGBGB (vgl. jeweils BT-Drs. 19/30840, S. 18). In der Begründung zu jener Norm heißt es, dass dem Verbraucher durch den unmittelbaren und leichten Zugang von der Webseite aus, auf der die Angebote angezeigt werden, ermöglicht werden soll, auf möglichst einfache Weise von den Informationen Kenntnis zu erlangen (BT-Drs. 19/27655, S. 38).

bb) Die Literatur gibt zustimmend wieder, dass der Zugriff auf die Schaltflächen nicht erst nach einer Anmeldung auf der Website möglich sein darf, und fügt z.T. hinzu, dass auch ein Erfordernis, etwa erst Pop-Up-Fenster wegklicken zu müssen, nicht bestehen dürfe (MüKoBGB/Wendehorst, 9. Aufl. 2022, BGB § 312k Rn. 14; BeckOK IT-Recht/Föhlisch, 14. Ed. 1.4.2024, BGB § 312k Rn. 20; Flohr/Wauschkuhn/v. Wrede, 3. Aufl. 2023, BGB § 312k Rn. 24). Es entspreche dem Gesetzeszweck, eine Kündigung auf elektronischem Wege auf einfache Weise zu ermöglichen, dass dem Verbraucher nicht zugemutet werden soll, erst zum Zweck der Kündigung einen neuen Account auf der Webseite des Unternehmers anzulegen (BeckOK BGB/Maume, 69. Ed. 1.2.2024, BGB § 312k Rn. 38; Stiegler, VuR 2021, 553 (449 f.)). Eine Anmeldung auf einem entsprechenden System, bei der die maßgeblichen Daten dann automatisch übernommen werden, könne zwar auch als kundenfreundlicher und einfacher angesehen werden als das Heraussuchen einer ggf. vor langer Zeit erhaltenen Kunden- oder Vertragsnummer, doch sei der klare Wille des Gesetzgebers zu beachten (BeckOK BGB/Maume, 69. Ed. 1.2.2024, BGB § 312k Rn. 38). Zudem wird ein Zweck der gesetzlichen Bestimmung auch darin gesehen, dass der Verbraucher auf möglichst einfache Weise von den „Informationen“ – vorliegend: der Kündigungsmöglichkeit – Kenntnis erlangen soll (BeckOK IT-Recht/Föhlisch, 14. Ed. 1.4.2024, BGB § 312k Rn. 20 nach (BT-Drs. 19/27655, S. 38). Die Unzulässigkeit des Erfordernisses einer Anmeldung wird dabei teilweise der Anforderung „ständig verfügbar“ zugeordnet (in diesem Sinn neben den Genannten wohl Sümmermann/Ewald, MMR 2022, 713 (717)), teils im Zusammenhang mit der Vorgabe „unmittelbar und leicht zugänglich“ diskutiert (dies dort erörternd Stiegler, VuR 2021, 553 (449 f.); ferner Buchmann/Panfili, in: Brönneke/Föhlisch/Tonner, Das neue Schuldrecht, § 7 Rn. 40 f., die dem Wort „unmittelbar“ die Bedeutung beimessen, dass die Kündigungsschaltfläche von jeder Unterseite einer Website aus erreichbar sein muss und keine weiteren Unterseiten, Pop-Ups oder sonstigen Einblendungen zwischengeschaltet sein dürfen).

Vereinzelt wird vertreten, der Unternehmer dürfe das Kündigungsbutton erst nach einem Login präsentieren, sofern Dienste betroffen sind, die die Nutzer ausschließlich eingeloggt nutzen, da sie somit ohnehin üblicherweise Benutzerdaten zur Hand haben (Sümmermann/Ewald, MMR 2022, 713 (717); ablehnend BeckOK IT-Recht/Föhlisch, 14. Ed. 1.4.2024, BGB § 312k Rn. 20). Die erst durch ein Login zu erreichende Seite blieben nämlich auch dann aus Sicht der betroffenen Nutzer (maßgeblich auf deren Sichtweise abstellend auch Stiegler, VuR 2021, 553 (449 f.)) unmittelbar und leicht zugänglich, wenn für die Nutzung des vertragsgegenständlichen Dienstes ein Login erforderlich ist und dies der üblichen Nutzungsweise entspricht. Insoweit würden sich z.B. Games von anderen Dauerschuldverhältnissen wie der Mitgliedschaft in Fitnessstudios oder physischen Zeitungsabonnements unterscheiden, bei welchen nicht ein dauerhaftes Login zur Nutzung erforderlich ist und die Nutzer ein solches möglicherweise gar nicht besäßen. Dies rechtfertige es, von der Gesetzesbegründung abzuweichen, zumal dies sogar im Interesse des Verbraucherschutzes liege, da dieses Vorgehen die Nutzerfreundliche Variante darstelle. Insbesondere könnten so die erforderlichen Angaben bereits vorausgefüllt oder durch Auswahlmöglichkeiten präsentiert werden, während Bestellnummern für vergangene digitale Einkäufe regelmäßig nicht zur Hand seien (Sümmermann/Ewald, MMR 2022, 713 (717)).

Aus der Rechtsprechung hat sich, soweit ersichtlich, bisher lediglich das LG Köln mit der Problematik befasst (Beschluss vom 29. Juli 2022, 33 O 355/22, MMR 2023, 381). Dort wird ausgeführt, der Gesetzgeber habe Ausgestaltungen verhindern wollen, bei denen der Unternehmer weitere, für den Verbraucher nicht ohne Weiteres verfügbare Daten abfragt und so die einfache und unkomplizierte Kündigung erschwert sowie möglicherweise das Gebot der Datensparsamkeit verletzt (a.a.O. Rn. 6). Auch die Abfrage des Kundenkennworts baue eine Hürde auf, die den Kunden von der Kündigung abhalten könne, weil er dieses nicht mehr kenne; möglich müsse auch sein, die Kündigung durch Angabe von Namen und anderen gängigen Identifizierungsmerkmalen zu erklären (Rn. 7).

cc) Nach diesen Kriterien genügt der Unternehmer seinen Verpflichtungen aus § 312k Abs. 2 S. 4 BGB auch dann, wenn der Kunde aufgrund der Gestaltung des Bestellvorgangs bereits ein Kundenkonto besitzt, nur, wenn sich die Schaltfläche auch ohne eine Anmeldung auf dieses Konto erreichen lässt.

(1) In tatsächlicher Hinsicht muss der Senat allerdings den Vortrag der Beklagten zugrunde legen, demzufolge bei ihr das D.-ticket nur bei gleichzeitiger Anlegung eines Accounts erworben werden kann.

Der Kläger hat zwar in der Klageschrift behauptet, man könne das D.-ticket bei der Beklagten nicht nur über die N[…]-App und den Onlineshop der Beklagten erwerben, sondern auch über weitere Apps, das gegenteilige Vorbringen der Beklagten und deren Behauptung, bei der Bestellung werde zwingend ein Nutzerkonto angelegt, aber lediglich mit Nichtwissen bestritten. Darlegungs- und beweisbelastet dafür, dass eine tatsächliche Situation vorliegt, aus der sich aktuell und in der Vergangenheit (was für die Frage der Wiederholungsgefahr relevant wird) ein Verstoß ergab, ist die Klagepartei. Dem Kläger hätte es daher oblegen, aufzuzeigen, dass bei der Beklagten die Bestellung eines D.-tickets auch außerhalb der beiden Wege, die die Beklagte einräumt, möglich ist und jedenfalls nicht zwingend ein Nutzerkonto angelegt wird. Eine entsprechende Bestellmöglichkeit geht aber weder aus den vom Kläger vorgelegten Anlagen noch den Einblendungen in dem Schriftsatz der Beklagten hervor. Der Kläger hätte sich jedenfalls substantiiert zum Einwand der Beklagten verhalten müssen, über die anderen Apps erfolge lediglich eine Weiterleitung auf den Online-Shop.

Unerheblich ist daher, dass die Beklagte eingeräumt hat, dass sich dem Kunden zunächst solche weiteren Bestellmöglichkeiten präsentieren, da sie zugleich behauptet hat, auch auf diesem Weg komme es im nachfolgenden Bestellprozess zwingend zur Anlegung eines Nutzerkontos.

Die Situation entspricht damit der Konstellation, dass eine beklagte Partei einen Vertragsschluss einräumt, jedoch zugleich die Vereinbarung einer Bedingung behauptet, die nicht eingetreten sei. Hier ist die sog. Leugnungstheorie vorherrschend und zutreffend, nach der das Behaupten eines Vertragsschlusses unter einer noch nicht eingetretenen Bedingung dem Bestreiten des Vertragsschlusses überhaupt gleichsteht (vgl. MüKoBGB/ Westermann, 9. Aufl. 2021, BGB § 158 Rn. 49).

(2) Auch bei einer solchen Sachlage wird aber den Vorgaben aus § 312k Abs. 2 BGB dann, wenn das D.-ticket als E-Ticket über die N[…]-App oder den Onlineshop bei gleichzeitiger Anlegung eines Nutzerkontos erworben wurde, nicht entsprochen.

(a) Im Zentrum der gesetzgeberischen Absicht bei der Einführung von § 312k BGB stand, dass für eine Kündigung mittels des Kündigungsbuttons keine hohen Hürden aufgestellt werden dürfen. Mit der Verpflichtung zur Einrichtung eines Kündigungsbuttons sollte darauf reagiert werden, dass die Kündigung von im elektronischen Geschäftsverkehr abgeschlossenen Verträgen Verbraucher oft vor besondere Herausforderungen stelle, weil im Vergleich zum einfachen Abschluss eines solchen Vertrags dessen Kündigung direkt über eine Webseite teilweise gar nicht möglich sei oder häufig durch die Webseitengestaltung erschwert werde (BT-Drs. 19/30840, S. 17).

(b) Nach Auffassung des Senats sprechen zwar gute Argumente dafür, es als unschädlich anzusehen, dass der Kündigungsbutton erst nach einem Login sichtbar und nutzbar ist, wenn die Nutzung des Dienstes, welcher Gegenstand des Dauerschuldverhältnisses ist, seiner Natur nach ohnehin ein Login erfordert. Der Gesetzgeber dürfte solche Fallgestaltungen nicht vor Augen gehabt und berücksichtigt haben. Muss der Nutzer sich ohnehin regelmäßig einloggen, kann bei typisierender Betrachtung, davon ausgegangen werden, dass er die notwendigen Anmeldedaten stets parat hat. Die Eingabe derselben, um seine Identität und das Vertragsverhältnis, auf welches die Kündigung sich beziehen soll, anzugeben, bereitet dann nicht weniger Mühe und Schwierigkeiten als die nach § 312k Abs. 2 Nr. 1 lit. c) BGB gesetzlich geforderte eindeutige Bezeichnung des Vertrags auf der nachfolgend einzublendenden Bestätigungsseite. Der Button ist dann jedenfalls „unmittelbar und leicht zugänglich“. Auch die ständige Verfügbarkeit und Sichtbarkeit ist, ein regelmäßiges Login zwecks Nutzung unterstellt, dann gegeben.

(c) Eine derartige Fallgestaltung ist aber vorliegend nicht gegeben; vielmehr stellt sich das Erfordernis, sich zunächst in den eigenen geschützten Kundenbereich einzuloggen, als Hürde dar, die der Gesetzgeber dem Kunden nicht zumuten wollte.

Wie der Senat in der mündlichen Verhandlung ausgeführt hat, muss bei dem von der Beklagten etabliertem technischen Prozess zwar im Zuge der Bestellung ein Nutzerkonto angelegt werden und dieses auch nochmals zum Abruf des E-Tickets nach Abschluss der Bearbeitung durch die Beklagte aufgesucht werden, jedoch in der Folgezeit nicht mehr besucht werden. Die Nutzung des D.-tickets als Fahrausweis verlangt mithin nicht ein permanentes oder regelmäßiges Login. Einwände gegen dieses Verständnis der schriftsätzlichen Ausführungen der Beklagten sind in der mündlichen Verhandlung nicht erfolgt; umgekehrt ist aus den Anlagen der Hinweis erkennbar, dass das D.-ticket auch offline verfügbar sei. Damit besteht ebenfalls die Möglichkeit, das D.-ticket konform mit den Beförderungsbedingungen zu nutzen, ohne permanent eingeloggt zu sein.

Da somit ein häufigeres oder gar regelmäßiges Login nicht erforderlich ist, hat der Kunde typischerweise keinen Anlass, das eigene Nutzerkonto regelmäßig aufzurufen.

Dies führt zum einen dazu, dass die Gefahr besteht, dass der Kunde sein Passwort im Lauf der Zeit vergisst, weshalb er dann, wenn er später mittels des Kündigungsbuttons das Abonnement beenden will, dieses erst z.B. anhand von Unterlagen recherchieren oder sich ein neues übersenden lassen muss. Beides setzt Zeit und Mühe voraus, jedenfalls mehrere Schritte am Smartphone oder am PC, weil er den Prozess des Zurücksetzens des Passworts durchlaufen muss.

Zum anderen kann der Kunde, solange er noch nicht eingeloggt ist, bei dem ursprünglich von der Beklagten praktizierten Vorgehen überhaupt nicht erkennen, dass er die Kündigung auch bequem auf elektronischem Wege über einen solchen Button erklären kann. Es war dem Gesetzgeber aber wichtig, dass dem Verbraucher gezeigt wird, dass eine derartige niederschwellige Möglichkeit offensteht.

(d) Die Beklagte kann daher auch nicht mit ihrer Argumentation durchdringen, der Gesetzgeber habe lediglich gleich hohe Schwierigkeiten für den Vertragsschluss und die Vertragskündigung aufstellen wollen.

Wie ausgeführt, bedarf es für die Kündigung bei der von der Beklagten zunächst ausschließlich eingerichteten technischen Lösung eines Einloggens in den persönlichen Account, der beim Bestellvorgang noch nicht erforderlich war; für jenen genügte die Angabe der persönlichen Daten. Insoweit ist das nachfolgende Einloggen unter Nutzung des Passworts, welches nach allgemeinen Grundsätzen individuell gewählt werden sollte, zwangsläufig mit einer zusätzlichen Komplikation gegenüber dem ursprünglichen Vertragsabschluss verbunden.

Zudem mag die Überlegung, die Kündigung solle nicht schwerer sein als der Vertragsschluss, Motiv des Gesetzgebers für die Schaffung der Regelung gewesen sein, für online abschließbare Dauerschuldverhältnisse überhaupt eine Online-Kündigungsmöglichkeit verpflichtend vorzusehen. Eine Vergleichbarkeit oder Gleichwertigkeit mit der Abschlussmöglichkeit hat jedenfalls keinen unmittelbaren Niederschlag im Gesetz gefunden, mag die Beurteilung, was „leicht zugänglich“ ist, auch situationsabhängig sein und eine Berücksichtigung, wie der Dienst genutzt werden kann, erlauben. Insoweit ist auch zu bedenken, dass § 312k BGB tatbestandlich voraussetzt, dass der Vertrag im elektronischen Geschäftsverkehr geschlossen werden kann; das im Gesetz enthaltene Erfordernis würde daher schnell leerlaufen, wenn die Anforderungen zu niedrig angesetzt werden.
37
(3) Erst recht gelten diese Überlegungen, wenn der Kunde das D.-ticket im Onlineshop als Chipkarte erworben hat.
38
Der Kunde, der sich für eine Chipkarte entscheidet, will gerade unabhängig von Online-Angeboten sein; er hat jedenfalls keinen Anlass, sich regelmäßig in den geschützten Kundenbereich einzuloggen. Damit besteht wiederum die greifbare Gefahr, dass er die Anmeldedaten vergisst und die deshalb erforderliche Rekonstruktion eine Hürde darstellt, die der Gesetzgeber dem Kunden nicht auferlegen wollte. Ebenso wird dem Kunden, der sich zur Information über die Kündigungsmöglichkeiten auf die Homepage der Beklagten begibt, nicht deutlich gemacht, dass es eine bequeme Möglichkeit zur Erklärung der Kündigung über einen entsprechenden Button gibt.
39
c) Dahinstehen kann, ob sich hieraus zwingend das Erfordernis ergibt, bereits auf einer Eingangsseite des Internetauftritts oder einer App den Kündigungsbutton zu präsentieren oder auf die Kündigungsmöglichkeit hinzuweisen. Der Klageantrag verlangt einen Kündigungsbutton nur auf Webseiten und in Apps, die den Abschluss entsprechender Verträge ermöglichen; auch die Anlage K1 zeigt eine Unterseite, die unmittelbar den Bestellprozess einleitet. Aus den wiedergegebenen Erwägungen muss zumindest dort auch auf die Kündigungsmöglichkeit hingewiesen werden.

d) Auch die übrigen Voraussetzungen des Unterlassungsanspruchs liegen vor. Insbesondere wird die notwendige Wiederholungsgefahr durch das vorangegangene Verhalten der Beklagten indiziert, soweit sie außerhalb des geschützten Kundenbereichs einen Kündigungsbutton überhaupt nicht vorgesehen hat. Umstände, die geeignet wären, eine Ausnahmesituation zu begründen, hat die Beklagte nicht aufgezeigt. Die Beendigung des angegriffenen Verhaltens lässt nach allgemeinen Grundsätzen die einmal begründete Wiederholungsgefahr nicht entfallen.

e) Darauf, dass die Zusage der Beklagten, bis Ende Oktober 2023 einen Kündigungsbutton auch auf der Homepage selbst einzurichten (wie zwischenzeitlich geschehen), kein tatsächliches Anerkenntnis einer Zuwiderhandlung gegen die Verbraucherschützer Bestimmung des § 312k BGB darstellt, kommt es somit nicht mehr entscheidend an.

Den Volltext der Entscheidung finden Sie hier:

OLG Düsseldorf: Online-Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr nach § 312k BGB muss auch ohne Login möglich sein

OLG Düsseldorf
Urteil vom 23.05.2024
I-20 UKl 3/23


Das OLG Düsseldorf hat entschieden, dass die Online-Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr nach § 312k BGB auch ohne Login möglich sein muss.

Die Pressemitteilung des Gerichts:
Oberlandesgericht Düsseldorf: Online-Kündigungsprozess von Verbraucherverträgen soll möglichst einfach sein

Der 20. Zivilsenat des Oberlandesgerichts Düsseldorf unter Leitung des Vorsitzenden Richters am Oberlandesgericht Erfried Schüttpelz hat heute einer Unterlassungsklage eines Verbraucherschutzverbands stattgegeben und einem Versorgungsunternehmen untersagt, online eine Kündigungsbestätigungsseite vorzuhalten, die erst durch Eingabe von Benutzername und Passwort oder Eingabe von Vertragskontonummer und Postleitzahl der Verbrauchsstelle erreichbar und damit nicht unmittelbar und leicht zugänglich ist.

Die Beklagte bietet auf ihrer Website Verbraucherinnen und Verbrauchern den Abschluss von verschiedenen Strom- und Gasverträgen an. Auf ihrer Homepage findet sich am unteren Ende der Rubrik "Kontakt" eine Schaltfläche "Verträge kündigen". Wählen Verbraucherinnen und Verbraucher diese aus, gelangen sie zu einer Anmeldemaske, mithilfe derer sie sich zunächst identifizieren sollen, bevor sie in den Kündigungsbereich gelangen. Hierfür können sich registrierte Kundinnen und Kunden mit ihrem Benutzernamen und dem zugehörigen Passwort anmelden. Nicht registrierte Kundinnen und Kunden müssen zunächst die Vertragskontonummer und die Postleitzahl der Verbrauchsstelle angeben, um sich zu legitimieren. Die Identifizierung, ob per Benutzername oder Vertragskontonummer, wird erst mit Bestätigung des Buttons "Anmelden" abgeschlossen. Eine Möglichkeit, den Vertrag direkt über eine Kündigungsschaltfläche zu kündigen, ohne sich auf eine der zwei vorgenannten Alternativen anmelden zu müssen, existiert nicht. Nach erfolgloser vorgerichtlicher Abmahnung beantragt der Verbraucherschutzverband u.a. die Untersagung des so gestalteten Kündigungsprozesses.

Der 20. Zivilsenat hat in seiner heute verkündeten Entscheidung ausgeführt, der von der Beklagten über ihre Website gestaltete Kündigungsprozess verstoße gegen die den Verbraucher schützende Regelung des § 312k Abs. 2 S. 3 BGB. Nach dieser gesetzlichen Regelung sei ein Kündigungsprozess zweistufig aufgebaut: Er beginne mit einer "Kündigungsschaltfläche", nach deren Betätigung der Verbraucher unmittelbar auf eine "Bestätigungsseite" geführt werde, auf der der Verbraucher Angaben zu seiner Kündigung machen könne und die wiederum einen Bestätigungsbutton mit einer eindeutigen Formulierung wie "jetzt kündigen" enthalte.

Die Beklagte habe die "Bestätigungsseite" nicht entsprechend dieser gesetzlichen Vorgaben gestaltet. Vielmehr sei diese dergestalt aufgespalten, dass Kundinnen und Kunden zunächst auf eine Website geleitet würden, auf der sie bestimmte Anmeldeinformationen zum Kundenkonto oder zu der sie identifizierenden Vertragskontonummer angegeben müssten. Diese Seite enthalte jedoch nicht die weiteren gesetzlich vorgeschriebenen Angaben und insbesondere keine Bestätigungsschaltfläche mit einer Formulierung wie "jetzt kündigen". Auf eine diese Merkmale enthaltende gesonderte Website würden die Verbraucherinnen und Verbraucher vielmehr erst dann weitergeleitet, wenn sie sich erfolgreich angemeldet hätten. Eine solche Gestaltung der Website zur Kündigung des Versorgungsvertrages sei nicht zulässig. Die Betätigung der Kündigungsschaltfläche müsse vielmehr unmittelbar zu der Bestätigungsseite mit sämtlichen vorgeschriebenen Merkmalen - insbesondere der Bestätigungsschaltfläche "jetzt kündigen" führen. Dies setze voraus, dass die Bestätigungsseite aus einer einheitlichen Webseite bestehe. Die Kündigung würde momentan dadurch erschwert, dass eine weitere – im Gesetz nicht vorgesehene – Schaltfläche eingebaut werde. Diese Aufspaltung der Bestätigungsseite in (zumindest) zwei unabhängige Webseiten führe zu einem (zumindest) dreistufigen Kündigungsprozess und laufe dem Bestreben des Gesetzgebers zugegen, eine möglichst einfache Kündigung zu ermöglichen.

Das Urteil ist nicht rechtskräftig. Der Senat hat die Revision zugelassen, weil bislang höchstrichterliche Rechtsprechung zu § 312k BGB fehlt.

Infobox:

§ 312 k (in der Fassung vom 10.08.2021)

(1) […]

(2) Der Unternehmer hat sicherzustellen, dass der Verbraucher auf der Webseite eine Erklärung zur ordentlichen oder außerordentlichen Kündigung eines auf der Webseite abschließbaren Vertrags nach Absatz 1 Satz 1 über eine Kündigungsschaltfläche abgeben kann. 2Die Kündigungsschaltfläche muss gut lesbar mit nichts anderem als den Wörtern „Verträge hier kündigen“ oder mit einer entsprechenden eindeutigen Formulierung beschriftet sein. 3Sie muss den Verbraucher unmittelbar zu einer Bestätigungsseite führen, die

1. den Verbraucher auffordert und ihm ermöglicht Angaben zu machen

a) zur Art der Kündigung sowie im Falle der außerordentlichen Kündigung zum Kündigungsgrund,

b) zu seiner eindeutigen Identifizierbarkeit,

c) zur eindeutigen Bezeichnung des Vertrags,

d) zum Zeitpunkt, zu dem die Kündigung das Vertragsverhältnis beenden soll,

e) zur schnellen elektronischen Übermittlung der Kündigungsbestätigung an ihn und

2. eine Bestätigungsschaltfläche enthält, über deren Betätigung der Verbraucher die Kündigungserklärung abgeben kann und die gut lesbar mit nichts anderem als den Wörtern "jetzt kündigen" oder mit einer entsprechenden eindeutigen Formulierung beschriftet ist.

Die Schaltflächen und die Bestätigungsseite müssen ständig verfügbar sowie unmittelbar und leicht zugänglich sein.

(3) Der Verbraucher muss seine durch das Betätigen der Bestätigungsschaltfläche abgegebene Kündigungserklärung mit dem Datum und der Uhrzeit der Abgabe auf einem dauerhaften Datenträger so speichern können, dass erkennbar ist, dass die Kündigungserklärung durch das Betätigen der Bestätigungsschaltfläche abgegeben wurde.

AG München: Kein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO gegen Anbieter von Treuepunktesystem für Punkteverlust mangels Substantiierung der Kausalität

AG München
Urteil vom 03.08.2022
211 C 578/22

Das AG München hat in diesem Fall einen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO gegen den Anbieter eines Treuepunktesystems für Punkteverlust mangels Substantiierung der Kausalität einer behaupteten unzureichenden Zugangssicherung abgelehnt.

Aus den Entscheidungsgründen:
2. Der Kläger hat gegen die Beklagte keinen Anspruch auf Zahlung von immateriellem Schadensersatz in Höhe von 4.500,00 € aus Art. 82 Abs. 1 DSGVO in Verbindung mit Art. 32 Abs. 1 DSGVO.

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.

Zwischen den Parteien ist strittig, ob die Beklagte gegen die Datenschutzgrundverordnung verstoßen hat. Der Kläger trägt nach den allgemeinen zivilprozessualen Grundsätzen die Darlegungsund Beweislast für die haftungsbegründenden Voraussetzungen (mwN Paulus in: BeckOK, Datenschutzrecht, 37. Ed., Art. 82 DSGVO, Rn. 51; LG München I, Urt. v. 9.12.2021 – 31 O 16606/20; zu weitgehend LAG Baden-Württemberg, Urt. v. 25.02.2021 - 17 Sa 37/20, Rz. 99, die dort angeführte Rechenschaftspflicht bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde). Aus Art. 82 Abs. 3 DSGVO ergibt sich lediglich hinsichtlich des Verschuldens eine Beweislastumkehr. Damit trägt der Kläger die Darlegungs- und Beweislast hinsichtlich eines Verstoßes der Beklagten gegen die Datenschutzgrundverordnung und eines daraus kausal entstandenen Schadens.

b) Der Kläger behauptet, dass die Beklagte die gemäß § 32 Abs. 1 DSGVO erforderlichen Maßnahmen hinsichtlich des Zugangs des Klägers zu dem Kundenkonto nicht getroffen habe.

Der Kläger macht geltend, dass eine Zwei-Faktor-Authentifizierung Stand der Technik gewesen sei. Er bezieht sich in der Klageschrift zunächst darauf, dass es sich bei dem Kundenkonto um E-Geld handeln würde. Das vom Kläger vorgelegte Privatgutachten (Anlage K13 zum Schriftsatz vom 08.06.2022) stellt hinsichtlich der Zwei-Faktor-Authentifizierung ebenfalls auf das Vorliegen eines E-Geld-Kontos ab. Die Beklagte ist jedoch kein Zahlungsdienstleister. Der Kläger hat nicht ausreichend dargelegt, dass die Zwei-Faktor-Authentifizierung auch bei bloßen Kundenbindungsprogrammen Stand der Technik ist und die vorliegende Authentifizierung beim Programm der Beklagten diesen nicht erfüllt. Danach sind zwar die einzelnen zum Kunden-Login erforderlichen Informationen teilweise nicht geheim, sondern gegenüber einzelnen Vertragspartnern anzugeben oder im näheren Umfeld des Kunden bekannt. Für die Kombination der verschiedenen Merkmale beim Login wurde dies aber nicht vorgetragen. Auch hat die Beklagte ein dokumentiertes Informationssicherheits- Managementsystem im Unternehmen umgesetzt und unterliegt einer regelmäßigen Auditierung durch unabhängige Dritte. Dies erfolgt am ISO-Standard 27001 und den Sicherheitslinien des Bundesamtes für Sicherheit in der Informationstechnik. Zudem hat die Beklagte ein sogenanntes Security Information and Event Management zur Überwachung implementiert. Ein Verstoß hiergegen wurde seitens des Klägers nicht vorgetragen. Darüber hinaus ist der Stand der Technik nur ein Gesichtspunkt in der von § 32 Abs. 1 und Abs. 2 DSGVO vorgeschrieben Abwägung. Danach sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Umstände für die Gesamtabwägung aller genannten Faktoren, die danach gegen ein angemessenes Schutzniveau sprechen, werden von dem Kläger nicht vorgetragen. Ein Verstoß gegen Art. 32 DSGVO liegt danach nicht vor. Aus Art. 32 DSGVO folgt kein Anspruch auf eine Zwei-Faktor-Authentifizierung im vorliegenden Fall.

c) Der Kläger macht insbesondere geltend, dass die von der Beklagten vorgegebenen Regelungen zum Passwort unzureichend seien und nicht dem Stand der Technik entsprechen würden. Die Einlog-Modalitäten sehen vor, dass Kunden sich mit der Eingabe der Kartennummer in Verbindung mit der Angabe des Geburtsdatums und der Postleitzahl in das Kundenkonto einloggen können oder mit der Eingabe der Kartennummer und einer vierstelligen PIN, die aus einer vierstelligen Zahlenkombination besteht. Der Kläger führt aus, dass als Stand der Technik eine Mindestlänge von 10 Zeichen anzusehen sei und eine Einschränkung der verwendbaren Zeichen nicht zum Stand der Technik gehöre. Insoweit übersieht die Argumentation, dass darüber hinaus auch die Kartennummer als zusätzliche Anforderung erforderlich ist.

Ein etwaiger Verstoß der Beklagten gegen Art. 32 DSGVO – wie hier nicht – wäre jedenfalls auch nicht kausal für den behaupteten Punkteklau. Nach Vortrag der Beklagten in der Klageerwiderung (S. 9 f.) ist es technisch zwingend notwendig für die Einlösung der [...] Punkte in einen Warengutschein für [...] die [...] App zu nutzen und diese mit dem [...] Konto zu verbinden. Eine Möglichkeit [...] Gutscheine im Prämienshop der Beklagten mit Punkten zu erwerben besteht nicht (Anlage B6 zum Schriftsatz vom 23.06.2022). Auf diese [...] App hat die Beklagte keinen Einfluss. Inwieweit durch die Verknüpfung des Programms der Beklagten mit der App ein Verstoß gegen Art. 32 DSGVO vorliegen soll, hat der darlegungs- und beweisbelastete Kläger nicht substantiiert vorgetragen. Es liegt damit kein Verstoß der Beklagten gegen Art. 32 DSGVO vor.


Den Volltext der Entscheidung finden Sie hier:


LG Köln: 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Verantwortlicher Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah löscht

LG Köln
Urteil vom 18.05.2022
28 O 328/21


Das LG Köln hat in diesem Fall entschieden, dass der Betroffene einen Anspruch auf 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO hat, da der Verantwortliche die Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah gelöscht hatte.

Aus den Entscheidungsgründen:

Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Beklagte hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt.

Das der Beklagten anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. LG München I a.a.O. Rn. 39).

Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).

Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die Beklagte ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (LG München I a.a.O. Rn. 44 m.w.N.).

Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. C. sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst. Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.


Den Volltext der Entscheidung finden Sie hier:


BGH-Urteil zur Haftung des Bankkunden bei Pharming- und Phishing-Angriffen beim Online-Banking liegt im Volltext vor

BGH
Urteil vom 24.04.2012
XI ZR 96/11
BGB § 276 Cc


Die Entscheidung des BGH zur Haftung des Bankkunden bei Pharming- und Phishing-Angriffen beim Online-Banking liegt im Volltext vor. Wir hatten bereits über die Entscheidung berichtet.

Leitsatz des BGH:
Ein Bankkunde, der im Online-Banking Opfer eines Pharming-Angriffs wird, handelt
fahrlässig, wenn er beim Log-In-Vorgang trotz ausdrücklichen Warnhinweises gleichzeitig zehn TAN eingibt.

BGH, Urteil vom 24. April 2012 - XI ZR 96/11 - LG Düsseldorf - AG Düsseldorf

Den Volltext der Entscheidung finden Sie hier:

BGH: Bankkunden können gegenüber der Bank für Schäden durch Pharming oder Phishing beim Online-Banking haften

BGH
Urteil vom 24.04.2012
XI ZR 96/11

Der BGH hat entschieden, dass Bankkunden gegenüber der Bank für Schäden durch Pharming oder Phishing beim Online-Banking haften können. Im vorliegenden Fall war ein Schaden vom 5.000 EURO entstanden, nachdem ein Bankkunde auf einer gefälschten Online-Banking-Seite seine Daten nebst TAN-Nummern eingegeben hatte.

Aus der Pressemitteilung des BGH:

"Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist."


Die Pressemitteilung des BGH finden Sie hier: "BGH: Bankkunden können gegenüber der Bank für Schäden durch Pharming oder Phishing beim Online-Banking haften" vollständig lesen