Skip to content

EU-Kommission: TEMU ist eine sehr große Online-Plattform im Sinne des Digital Services Act (DSA) - Gesetz über digitale Dienste

Die EU-Kommission hat entschieden, dass TEMU eine sehr große Online-Plattform im Sinne des Digital Services Act (DSA) - Gesetz über digitale Dienste ist.

Die Pressemitteilung der EU-Kommission:
Kommission benennt Temu als sehr große Online-Plattform gemäß dem Gesetz über digitale Dienste

Die Kommission hat Temu heute offiziell als sehr große Online-Plattform (VLOP) im Rahmen des Gesetzes über digitale Dienste (DSA) benannt.

Temu ist ein Online-Marktplatz mit durchschnittlich mehr als 45 Millionen monatlichen Nutzern in der Europäischen Union. Diese Nutzernummer, die Temu der Kommission mitgeteilt hat, liegt über dem Schwellenwert des Gesetzes über digitale Dienste für die Benennung als VLOP.

Nach der heutigen Benennung als VLOP muss Temu innerhalb von vier Monaten nach seiner Mitteilung (d. h. bis Ende September 2024) die strengsten Vorschriften des Gesetzes über digitale Dienste einhalten, wie etwa die Verpflichtung, alle systemischen Risiken, die sich aus seinen Dienstleistungen ergeben, einschließlich der Listung und des Verkaufs von gefälschten Waren, unsicheren oder illegalen Produkten und Gegenständen, die Rechte des geistigen Eigentums verletzen, ordnungsgemäß zu bewerten und zu mindern.

Zu diesen zusätzlichen Verpflichtungen gehören insbesondere:

Sorgfältigere Überwachung illegaler Produkte

-Temu muss die spezifischen systemischen Risiken im Zusammenhang mit der Verbreitung illegaler Inhalte und Produkte sowie aus der Konzeption oder dem Funktionieren seines Dienstes und der damit verbundenen Systeme sorgfältig analysieren. Die Risikobewertungsberichte sind der Kommission vier Monate nach der Mitteilung der förmlichen Benennung und danach ein Jahr vorzulegen.

- Temu muss Risikominderungsmaßnahmen ergreifen, um Risiken zu begegnen, z. B. durch die Aufnahme und den Verkauf von nachgeahmten Waren, unsicheren Produkten und Gegenständen, die Rechte des geistigen Eigentums verletzen. Diese Maßnahmen können die Anpassung der Nutzungsbedingungen, die Verbesserung der Gestaltung der Benutzerschnittstellen im Hinblick auf eine bessere Meldung und Aufdeckung verdächtiger Listen, die Verbesserung der Moderationsverfahren zur raschen Entfernung illegaler Gegenstände und die Verfeinerung der Algorithmen umfassen, um die Förderung und den Verkauf verbotener Waren zu verhindern.

- Temu muss seine internen Prozesse, Ressourcen, Tests, Dokumentation und Überwachung aller Tätigkeiten im Zusammenhang mit der Erkennung systemischer Risiken verstärken.

Verstärkte Verbraucherschutzmaßnahmen

- In den jährlichen Risikobewertungsberichten von Temu müssen insbesondere mögliche negative Auswirkungen auf die Gesundheit und Sicherheit der Verbraucher bewertet werden, wobei der Schwerpunkt auf dem körperlichen und geistigen Wohlbefinden minderjähriger Nutzer liegen sollte.

- Temu ist verpflichtet, seine Plattform, einschließlich Benutzerschnittstellen, Empfehlungsalgorithmen und Nutzungsbedingungen, zu strukturieren, um Risiken für die Sicherheit und das Wohlbefinden der Verbraucher zu mindern und zu verhindern. Es müssen Maßnahmen ergriffen werden, um die Verbraucher vor dem Kauf unsicherer oder illegaler Waren zu schützen, wobei ein besonderer Schwerpunkt darauf liegen sollte, den Verkauf und Vertrieb von Produkten, die für Minderjährige schädlich sein könnten, zu verhindern. Dazu gehört auch die Einführung robuster Alterssicherungssysteme, um den Kauf altersbegrenzter Güter zu beschränken.

Mehr Transparenz und Rechenschaftspflicht

- Temu muss sicherstellen, dass seine Risikobewertungen und die Einhaltung aller Verpflichtungen aus dem Gesetz über digitale Dienste jedes Jahr extern und unabhängig geprüft werden.

-Temu muss Repository aller Anzeigen veröffentlichen, die auf seiner Schnittstelle angezeigt werden.

- Temu muss Forschern, einschließlich zugelassener Forscher, die von den Koordinatoren für digitale Dienste benannt wurden, Zugang zu öffentlich zugänglichen Daten gewähren.

- Temu muss die Transparenzanforderungen erfüllen, einschließlich der Veröffentlichung von Transparenzberichten über Entscheidungen zur Moderation von Inhalten und des Risikomanagements alle sechs Monate zusätzlich zu den Berichten über die Systemrisiken und den Prüfungsergebnissen einmal jährlich.

- Temu muss eine Compliance-Funktion benennen und jedes Jahr einer externen unabhängigen Prüfung unterzogen werden.

Allgemeine Anwendbarkeit des Gesetzes über digitale Dienste auf Online-Plattformen und -Marktplätze

Seit dem 17. Februar 2024 müssen alle Online-Plattformen, einschließlich Temu, bereits die allgemeinen Verpflichtungen aus dem Gesetz über digitale Dienste erfüllen. Diese allgemeinen Bestimmungen umfassen die Verpflichtung von Online-Marktplätzen,

- Gewährleistung der Rückverfolgbarkeit von Händlern auf ihren Plattformen;
- Ihre Schnittstelle so zu gestalten, dass den Unternehmern die Einhaltung ihrer rechtlichen Verpflichtungen nach dem EU-Recht erleichtert wird;
- Die Verbraucher über den Kauf eines illegalen Produkts informieren, sobald sie von der Illegalität des Produkts Kenntnis erlangen.


Seit dem 17. Februar 2024 sind alle Online-Plattformen, einschließlich Marktplätze, nach dem Gesetz über digitale Dienste außerdem verpflichtet,

- Bereitstellung benutzerfreundlicher Mechanismen, die es Nutzern oder Stellen ermöglichen, illegale Inhalte zu melden;
- Der Behandlung von Meldungen, die von sogenannten „vertrauenswürdigen Hinweisgebern“ übermittelt werden, Vorrang einzuräumen;
- Den Nutzern Begründungen zur Verfügung zu stellen, wenn ihre Inhalte eingeschränkt oder entfernt werden;
- Bereitstellung eines internen Beschwerdemanagementsystems für Nutzer, um Entscheidungen über die Moderation von Inhalten anzufechten;
- Ihre Systeme neu gestalten, um ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu gewährleisten;
- Sicherstellen, dass ihre Schnittstellen nicht so gestaltet sind, dass die Nutzer getäuscht oder manipuliert werden;
- Werbung auf ihren Schnittstellen deutlich kennzeichnen;
- Die Anzeige gezielter Werbung auf der Grundlage von Profilen sensibler Daten (z. B. ethnische Herkunft, politische Meinungen oder sexuelle Ausrichtung) oder die sich an Minderjährige richtet, einzustellen;
- Klare Bedingungen haben und bei ihrer Anwendung sorgfältig, objektiv und verhältnismäßig handeln;
- Sie veröffentlichen einmal jährlich Transparenzberichte über ihre Verfahren zur Moderation von Inhalten.

Nächste Schritte

Nach ihrer Benennung als VLOP wird die Kommission befugt sein, die Einhaltung des Gesetzes über digitale Dienste durch Temu in Zusammenarbeit mit dem irischen Koordinator für digitale Dienste zu überwachen.

Die Kommissionsdienststellen werden die Anwendung der Vorschriften und Verpflichtungen des Gesetzes über digitale Dienste durch die Plattform sorgfältig überwachen, insbesondere in Bezug auf Maßnahmen zur Gewährleistung des Verbraucherschutzes und zur Bekämpfung der Verbreitung illegaler Produkte. Die Kommissionsdienststellen sind bereit, eng mit Temu zusammenzuarbeiten, um sicherzustellen, dass diese angemessen angegangen werden.

Hintergrund

Diese Bezeichnung veranschaulicht, wie die Kommission die Marktentwicklungen weiterhin aufmerksam verfolgt. Die Kommission hat nun 24 sehr große Online-Plattformen und Suchmaschinen im Rahmen des Gesetzes über digitale Dienste benannt.

Am 25. April 2023 benannte die Kommission die ersten 19 sehr großen Betriebsplattformen (VLOP) und sehr große Online-Suchmaschinen (VLOSE). Ab Ende August mussten diese sehr großen Online-Plattformen und sehr großen Online-Plattformen die zusätzlichen Verpflichtungen gemäß Abschnitt 5 des Gesetzes über digitale Dienste erfüllen. Am 20. Dezember 2023 wurden drei weitere sehr große Online -Plattformen benannt. Am 26. April 2024 benannte die Kommission Shein als VLOP, für das die zusätzliche Verpflichtung im August 2024 verbindlich wird.

Die Überwachung und Durchsetzung des Gesetzes über digitale Dienste wird von der Kommission und den Koordinatoren für digitale Dienste geteilt, die von den Mitgliedstaaten bis zum 17. Februar 2024 benannt werden mussten.

EU-Kommission: Verfahren nach dem Digital Markets Act (DMA) wegen möglicher Verstöße gegen Alphabet / Google, Apple and Meta eingeleitet

Die EU-Kommission hat Verfahren nach dem Digital Markets Act (DMA) wegen möglicher Verstöße gegen Alphabet / Google, Apple and Meta eingeleitet.

Die Pressemitteilung der EU-Kommission:
Commission opens non-compliance investigations against Alphabet, Apple and Meta under the Digital Markets Act

Today, the Commission has opened non-compliance investigations under the Digital Markets Act (DMA) into Alphabet's rules on steering in Google Play and self-preferencing on Google Search, Apple's rules on steering in the App Store and the choice screen for Safari and Meta's “pay or consent model”.

The Commission suspects that the measures put in place by these gatekeepers fall short of effective compliance of their obligations under the DMA.

In addition, the Commission has launched investigatory steps relating to Apple's new fee structure for alternative app stores and Amazon's ranking practices on its marketplace. Finally, the Commission has ordered gatekeepers to retain certain documents to monitor the effective implementation and compliance with their obligations.

Alphabet's and Apple's steering rules

The Commission has opened proceedings to assess whether the measures implemented by Alphabet and Apple in relation to their obligations pertaining to app stores are in breach of the DMA. Article 5(4) of the DMA requires gatekeepers to allow app developers to “steer” consumers to offers outside the gatekeepers' app stores, free of charge.

The Commission is concerned that Alphabet's and Apple's measures may not be fully compliant as they impose various restrictions and limitations. These constrain, among other things, developers' ability to freely communicate and promote offers and directly conclude contracts, including by imposing various charges.

Alphabet's measures to prevent self-preferencing

The Commission has opened proceedings against Alphabet, to determine whether Alphabet's display of Google search results may lead to self-preferencing in relation to Google's vertical search services (e.g., Google Shopping; Google Flights; Google Hotels) over similar rival services.

The Commission is concerned that Alphabet's measures implemented to comply with the DMA may not ensure that third-party services featuring on Google's search results page are treated in a fair and non-discriminatory manner in comparison with Alphabet's own services, as required by Article 6(5) of the DMA.

Apple's compliance with user choice obligations

The Commission has opened proceedings against Apple regarding their measures to comply with obligations to (i) enable end users to easily uninstall any software applications on iOS, (ii) easily change default settings on iOS and (iii) prompt users with choice screens which must effectively and easily allow them to select an alternative default service, such as a browser or search engine on their iPhones.

The Commission is concerned that Apple's measures, including the design of the web browser choice screen, may be preventing users from truly exercising their choice of services within the Apple ecosystem, in contravention of Article 6(3) of the DMA.

Meta's “pay or consent” model

Finally, the Commission has opened proceedings against Meta to investigate whether the recently introduced “pay or consent” model for users in the EU complies with Article 5(2) of the DMA which requires gatekeepers to obtain consent from users when they intend to combine or cross-use their personal data across different core platform services.

The Commission is concerned that the binary choice imposed by Meta's “pay or consent” model may not provide a real alternative in case users do not consent, thereby not achieving the objective of preventing the accumulation of personal data by gatekeepers.

Other investigatory and enforcement steps

The Commission is also taking other investigatory steps to gather facts and information to clarify whether:

Amazon may be preferencing its own brand products on the Amazon Store in contravention of Article 6(5) of the DMA, and
Apple's new fee structure and other terms and conditions for alternative app stores and distribution of apps from the web (sideloading) may be defeating the purpose of its obligations under Article 6(4) of the DMA.
The Commission has also adopted five retention orders addressed to Alphabet, Amazon, Apple, Meta, and Microsoft, asking them to retain documents which might be used to assess their compliance with the DMA obligations, so as to preserve available evidence and ensure effective enforcement.

Finally, the Commission has granted Meta an extension of 6 months to comply with the interoperability obligation (Article 7 DMA) for Facebook Messenger. The decision is based on a specific provision in Article 7(3)DMA and follows a reasoned request submitted by Meta. Facebook Messenger remains subject to all other DMA obligations.

Next steps

The Commission intends to conclude the proceedings opened today within 12 months. If warranted following the investigation, the Commission will inform the concerned gatekeepers of its preliminary findings and explain the measures it is considering taking or the gatekeeper should take in order to effectively address the Commission's concerns.

In case of an infringement, the Commission can impose fines up to 10% of the company's total worldwide turnover. Such fines can go up to 20% in case of repeated infringement. Moreover, in case of systematic infringements, the Commission may also adopt additional remedies such as obliging a gatekeeper to sell a business or parts of it, or banning the gatekeeper from acquisitions of additional services related to the systemic non-compliance.

Background

The DMA aims to ensure contestable and fair markets in the digital sector. It regulates gatekeepers, which are large digital platforms that provide an important gateway between business users and consumers, whose position can grant them the power to create a bottleneck in the digital economy.

Alphabet, Amazon, Apple, ByteDance, Meta and Microsoft, the six gatekeepers designated by the Commission in September 2023, had to fully comply with all DMA obligations by 7 March 2024. The Commission has assessed the compliance reports setting out gatekeepers' compliance measures, and gathered feedback from stakeholders, including in the context of workshops.

Today's formal non-compliance proceedings against Alphabet, Apple and Meta have been opened pursuant to Article 20 DMA in conjunction with Articles 13 and 29 DMA for breach of Articles 5(2), 5(4), 6(3) and 6(5) DMA respectively.



Präsiden des EuG lehnt Eilantrag von TikTok / Bytedance gegen Einordnung als Gatekeeper im Sinn des Digital Markets Act (DMA) durch EU-Kommission ab

Präsiden des EuG
Beschluss vom 09.20.2024
T-1077/23
Bytedance / EU-Kommission

Der Präsident des EuG hat den Eilantrag von TikTok / Bytedance gegen die Einordnung als Gatekeeper im Sinn des Digital Markets Act (DMA) durch die EU-Kommission abgelehnt.

Die Pressemitteilung des Gerichts:
Verordnung über digitale Märkte: Der Antrag von ByteDance (TikTok) auf Aussetzung des Beschlusses der Kommission, mit dem ByteDance als Torwächter benannt wird, wird zurückgewiesen

ByteDance hat die Dringlichkeit einer vorläufigen Entscheidung zur Verhinderung eines schweren und nicht wiedergutzumachenden Schadens nicht dargetan.

Die ByteDance Ltd ist eine 2012 in China gegründete nicht operative Holdinggesellschaft, die über lokale Tochtergesellschaften die Unterhaltungsplattform TikTok bereitstellt.

Mit Beschluss vom 5. September 2023 benannte die Kommission ByteDance als Torwächter gemäß der Verordnung über digitale Märkte.

Im November 2023 erhob ByteDance Klage auf Nichtigerklärung dieses Beschlusses. Mit gesondertem Schriftsatz hat sie einen Antrag auf vorläufigen Rechtsschutz gestellt, mit dem sie die Aussetzung des Kommissionsbeschlusses begehrt. Mit seinem heutigen Beschluss weist der Präsident des Gerichts den Antrag von ByteDance auf vorläufigen Rechtsschutz zurück.

ByteDance hat danach nicht dargetan, dass es erforderlich wäre, den streitigen Beschluss bis zum Abschluss des Verfahrens zur Hauptsache auszusetzen, um zu verhindern, dass sie einen schweren und nicht wiedergutzumachenden Schaden erleidet.

ByteDance machte u. a. geltend, dass bei sofortiger Durchführung des streitigen Beschlusses die Gefahr bestehe, dass sonst nicht öffentliche, hochstrategische Informationen über die Praktiken von TikTok bei der Erstellung von Nutzerprofilen verbreitet würden. Diese Informationen würden es, so ByteDance, den Wettbewerbern von TikTok und sonstigen Dritten ermöglichen, über die TikTok betreffenden Geschäftsstrategien in einer Weise informiert zu sein, die ihren Tätigkeiten erheblich abträglich wäre. Ausweislich des heutigen Beschlusses hat ByteDance jedoch weder das Bestehen einer tatsächlichen Gefahr der Verbreitung vertraulicher Informationen noch einen etwaigen schweren und nicht wiedergutzumachenden Schaden infolge einer solchen Gefahr dargetan.

Den Volltext des Beschlusses finden Sie hier:

EU-Kommission: Liste der sehr großen Online-Plattformen und sehr großen Online-Suchmaschinen im Sinne des Digital Services Act (DSA) - Gesetz über digitale Dienste

Die EU-Kommission hat nach den entsprechenden Benennungsbeschlüssen eine Liste der sehr großen Online-Plattformen und sehr großen Online-Suchmaschinen im Sinne des Digital Services Act (DSA - Gesetz über digitale Dienste) veröffentlicht.

Die Pressemitteilung der EU-Kommission vom 25.04.2023:

Die Kommission hat heute die ersten Benennungsbeschlüsse im Rahmen des Gesetzes über digitale Dienste angenommen, in denen 17 sehr große Online-Plattformen (very large online platforms, VLOPs) und 2 sehr große Online-Suchmaschinen (very large online search engines, VLOSEs) benannt wurden, die monatlich mindestens 45 Millionen aktive Nutzer erreichen. Dazu gehören folgende:

Sehr große Online-Plattformen:

Alibaba AliExpress
Amazon Store
Apple AppStore
Booking.com
Facebook
Google Play
Google Maps
Google Shopping
Instagram
LinkedIn
Pinterest
Snapchat
TikTok
Twitter
Wikipedia
YouTube
Zalando
Sehr große Online-Suchmaschinen:

Bing
Google Search
Die Plattformen wurden auf der Grundlage der Nutzerdaten benannt, die sie bis zum 17. Februar 2023 veröffentlichen mussten.

Nächste Schritte für benannte Plattformen und Suchmaschinen
Nach ihrer Benennung müssen die Unternehmen nun innerhalb von vier Monaten allen neuen Verpflichtungen aus dem Gesetz über digitale Dienste nachkommen. Diese zielen darauf ab, die Handlungsfähigkeit der Nutzer, auch Minderjähriger, im Internet zu stärken und sie zu schützen, indem den benannten Diensten die Pflicht auferlegt wird, ihre systemischen Risiken zu bewerten und zu mindern sowie robuste Instrumente zur Moderation von Inhalten bereitzustellen. Dies beinhaltet Folgendes:

Stärkung der Handlungsfähigkeit der Nutzerinnen und Nutzer:
Die Nutzer erhalten klare Informationen darüber, warum ihnen bestimmte Inhalte empfohlen werden, und haben das Recht, sich gegen auf Profiling beruhende Empfehlungssysteme zu entscheiden.
Die Nutzerinnen und Nutzer werden illegale Inhalte leicht melden können, und die Plattformen müssen solchen Meldungen sorgfältig nachgehen.
Werbung darf nicht auf der Grundlage sensibler Daten des Nutzers angezeigt werden (z. B. ethnische Herkunft, politische Meinungen oder sexuelle Ausrichtung).
Die Plattformen müssen jegliche Werbung kennzeichnen und die Nutzer darüber informieren, wer sie finanziert.

Die Plattformen müssen eine leicht verständliche und klare Zusammenfassung ihrer allgemeinen Geschäftsbedingungen in allen Sprachen der Mitgliedstaaten, in denen sie tätig sind, bereitstellen.
Starker Schutz Minderjähriger:

Die Plattformen müssen ihre Systeme umgestalten, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu sorgen.

Gezielte Werbung auf der Grundlage des Profilings von Kindern sind nicht mehr zulässig.
Besondere Risikobewertungen, auch in Bezug auf negative Auswirkungen auf die psychische Gesundheit, sind der Kommission vier Monate nach der Benennung vorzulegen und spätestens ein Jahr später zu veröffentlichen.

Die Plattformen müssen ihre Dienste, einschließlich ihrer Schnittstellen, Empfehlungssysteme und allgemeinen Geschäftsbedingungen, neu gestalten, um diese Risiken zu mindern.
Sorgfältigere Moderation von Inhalten, weniger Desinformation:

Plattformen und Suchmaschinen müssen Maßnahmen ergreifen, um den Risiken im Zusammenhang mit der Verbreitung illegaler Inhalte im Internet und den negativen Auswirkungen auf die Meinungs- und Informationsfreiheit entgegenzuwirken.

Die Plattformen müssen über klare allgemeine Geschäftsbedingungen verfügen und sie sorgfältig und ohne Willkür durchsetzen.

Plattformen müssen über einen Mechanismus verfügen, über den Nutzer illegale Inhalte melden können, und müssen auf die Meldungen zügig reagieren.
Plattformen müssen ihre besonderen Risiken analysieren und Risikominderungsmaßnahmen ergreifen – beispielsweise um die Verbreitung von Desinformation und die unauthentische Nutzung ihres Dienstes zu bekämpfen.

Ein höheres Maß an Transparenz und Rechenschaftspflicht:

Die Plattformen müssen sicherstellen, dass ihre Risikobewertungen und die Einhaltung aller Verpflichtungen aus dem Gesetz über digitale Dienste einer unabhängigen externen Prüfung unterzogen werden.

Sie müssen Forschenden Zugang zu öffentlich verfügbaren Daten gewähren. Zu einem späteren Zeitpunkt wird ein spezieller Mechanismus für zugelassene Forschende eingerichtet.
Die Plattformen müssen Archive aller auf ihrer Schnittstelle dargestellten Werbeanzeigen veröffentlichen.

Die Plattformen müssen Transparenzberichte über Moderationsentscheidungen zu Inhalten und über das Risikomanagement veröffentlichen.
Spätestens vier Monate nach der Mitteilung der Benennungsbeschlüsse müssen die benannten
Plattformen und Suchmaschinen ihre Systeme, Ressourcen und Verfahren zur Einhaltung der Bestimmungen anpassen und ein unabhängiges Compliance-System einrichten sowie ihre erste jährliche Risikobewertung durchführen und der Kommission übermitteln.

Risikobewertung
Die Plattformen müssen ein breites Spektrum an systemischen Risiken ermitteln und analysieren – von der Frage, wie illegale Inhalte und Desinformation durch ihre Dienste verstärkt werden können, bis hin zu den Auswirkungen auf die Freiheit der Meinungsäußerung und die Medienfreiheit – und entsprechende Risikominderungsmaßnahmen ergreifen. Ebenso müssen spezifische Risiken im Zusammenhang mit geschlechtsspezifischer Gewalt im Internet und dem Schutz Minderjähriger und ihrer psychischen Gesundheit im Internet bewertet und gemindert werden. Die Risikominderungspläne der benannten Plattformen und Suchmaschinen werden einer unabhängigen Prüfung durch die Kommission unterzogen und von ihr beaufsichtigt.

Eine neue Aufsichtsstruktur
Das Gesetz über digitale Dienste wird mithilfe einer europaweiten Aufsichtsstruktur durchgesetzt. Zwar ist die Kommission für die Beaufsichtigung der benannten Plattformen und Suchmaschinen zuständig, jedoch arbeitet sie innerhalb des mit dem Gesetz über digitale Dienste errichteten Aufsichtsrahmens eng mit den Koordinatoren für digitale Dienste zusammen. Diese nationalen Behörden, die auch für die Beaufsichtigung kleinerer Plattformen und Suchmaschinen zuständig sind, müssen von den EU-Mitgliedstaaten bis zum 17. Februar 2024 eingerichtet werden. Zu derselben Frist müssen auch alle anderen Plattformen ihren Verpflichtungen aus dem Gesetz über digitale Dienste nachkommen und ihren Nutzerinnen und Nutzern den im Gesetz über digitale Dienste festgelegten Schutz bieten sowie die entsprechenden Schutzvorkehrungen einrichten.

Um das Gesetz über digitale Dienste durchzusetzen, stärkt die Kommission auch ihr internes und externes multidisziplinäres Fachwissen. Außerdem hat sie vor Kurzem ein Europäisches Zentrum für die Transparenz der Algorithmen (ECAT) eröffnet. Dieses wird die Bewertung der Frage unterstützen, ob die Funktionsweise der algorithmischen Systeme mit den Risikomanagementverpflichtungen im Einklang steht. Darüber hinaus richtet die Kommission ein Ökosystem für die digitale Durchsetzung ein, in dem Fachwissen aus allen einschlägigen Sektoren zusammengeführt wird.

Datenzugang für Forschende
Die Kommission hat heute auch eine Aufforderung zur Stellungnahme zu den Bestimmungen des Gesetzes über digitale Dienste in Bezug auf den Datenzugang für Forschende veröffentlicht. Diese Bestimmungen dienen dazu, die Maßnahmen der Plattformanbieter zur Bekämpfung illegaler Inhalte wie illegaler Hassreden sowie in Bezug auf andere gesellschaftliche Risiken wie die Verbreitung von Desinformation und Risiken, die sich auf die psychische Gesundheit der Nutzerinnen und Nutzer auswirken können, besser zu überwachen. Zugelassene Forschende werden auf die Daten von VLOPs und VLOSEs zugreifen können, um Untersuchungen zu systemischen Risiken in der EU durchzuführen. Dies bedeutet, dass sie beispielsweise die Entscheidungen der Plattformen darüber analysieren könnten, was Nutzer im Internet sehen und womit sie in Kontakt kommen, und dass sie Zugang zu zuvor nicht offengelegten Daten haben. Unter Berücksichtigung der eingegangenen Rückmeldungen wird die Kommission einen delegierten Rechtsakt vorlegen, um ein einfaches, praktisches und klares Verfahren für den Datenzugang zu konzipieren und gleichzeitig angemessene Schutzmaßnahmen zur Vermeidung von Missbrauch zu treffen. Die Konsultation läuft bis zum 25. Mai.

Hintergrund
Am 15. Dezember 2020 legte die Kommission ihren Vorschlag für ein Gesetz über digitale Dienste zusammen mit dem Vorschlag für ein Gesetz über digitale Märkte als umfassenden Rahmen zur Gewährleistung eines sichereren und faireren digitalen Raums für alle vor. Nach der politischen Einigung der gesetzgebenden Organe der EU im April 2022 trat das Gesetz über digitale Dienste am 16. November 2022 in Kraft.

Das Gesetz über digitale Dienste gilt für alle digitalen Dienste, die den Verbrauchern Waren, Dienstleistungen oder Inhalte vermitteln. Es schafft umfassende neue Pflichten für Online-Plattformen in Bezug auf die Schadensbegrenzung und Risikobewältigung im Internet, sieht wirksame Schutzvorkehrungen für die Nutzerrechte im Internet vor und unterwirft digitale Plattformen einem einzigartigen neuen Rahmen, der für Transparenz und Rechenschaftspflicht sorgt. Diese Vorschriften sind als einheitliches gemeinsames Regelwerk für die gesamte EU konzipiert und bieten neue Schutzmöglichkeiten für die Nutzer und Rechtssicherheit für die Unternehmen im gesamten Binnenmarkt. Das Gesetz über digitale Dienste ist das erste Regulierungsinstrument seiner Art weltweit und setzt auch international Maßstäbe für die Regulierung im Bereich der Online-Vermittler.



EU-Kommission: Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft sind Gatekeeper im Sinn des Digital Markets Act (DMA)

Die EU-Kommission hat festgestellt, dass Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft Gatekeeper im Sinn des Digital Markets Act (DMA) sind.

Die Pressemitteilung der EU-Kommission:
Die Europäische Kommission hat heute im Rahmen des Gesetzes über digitale Märkte erstmals sechs Torwächter (Gatekeeper) benannt: Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft. Insgesamt wurden 22 zentrale Plattformdienste, die von Torwächtern bereitgestellt werden, benannt. Die sechs Torwächter haben nun sechs Monate Zeit, um die vollständige Einhaltung der Verpflichtungen gemäß dem Gesetz über digitale Märkte für jeden ihrer benannten zentralen Plattformdienste sicherzustellen.

Im Rahmen des Gesetzes über digitale Märkte kann die Europäische Kommission digitale Plattformen als „Torwächter“ benennen, wenn diese für Unternehmen über zentrale Plattformdienste ein wichtiges Zugangstor zu Verbraucherinnen und Verbrauchern darstellen. Die heutigen Benennungsbeschlüsse sind das Ergebnis einer Überprüfung durch die Kommission über 45 Tage, nachdem Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft und Samsung ihren potenziellen Torwächter-Status mitgeteilt hatten. Insbesondere hat die Kommission den Torwächter-Status für die folgenden zentralen Plattformdienste festgestellt:

Parallel dazu hat die Kommission vier Marktuntersuchungen eingeleitet, um die eingereichten Mitteilungen von Microsoft und Apple weiter zu prüfen, denen zufolge einige ihrer zentralen Plattformdienste nicht als Zugangstore anzusehen sind, obwohl sie die Schwellenwerte erreichen:

Microsoft: Bing, Edge und Microsoft Advertising
Apple: iMessage
Nach dem Gesetz über digitale Märkte soll im Rahmen dieser Untersuchungen festgestellt werden, ob durch eine hinreichend stichhaltige Widerlegung durch die Unternehmen nachgewiesen wird, dass die betreffenden Dienste nicht benannt werden sollten. Die Untersuchung sollte innerhalb von fünf Monaten abgeschlossen werden.

Darüber hinaus hat die Kommission eine Marktuntersuchung eingeleitet, um weiter zu prüfen, ob Apples iPadOS zu den Torwächtern gezählt werden sollte, obwohl es die Schwellenwerte nicht erreicht. Diese Untersuchung im Rahmen des Gesetzes über digitale Märkte sollte innerhalb von höchstens 12 Monaten abgeschlossen werden.

Darüber hinaus kam die Kommission zu dem Schluss, dass Gmail, Outlook.com und Samsung Internet Browser zwar die Schwellenwerte des Gesetzes über digitale Märkte für die Einstufung ihrer Betreiber als Torwächter erreichen, Alphabet, Microsoft und Samsung jedoch hinreichend begründete Argumente dafür vorgelegt haben, dass diese Dienste nicht als Zugangstor für die jeweiligen zentralen Plattformdienste anzusehen sind. Daher beschloss die Kommission, Gmail, Outlook.com und Samsung Internet Browser nicht als zentrale Plattformdienste zu benennen. Dementsprechend wurde Samsung nicht als Torwächter in Bezug auf einen zentralen Plattformdienst eingestuft.

Nächste Schritte für benannte Torwächter
Nach ihrer Benennung haben die Torwächter nun sechs Monate Zeit, um sich an die vollständige Liste der Gebote und Verbote zu halten, die im Gesetz für digitale Märkte vorgesehen sind, sodass Endnutzern und gewerblichen Nutzern der Dienste des Torwächters eine größere Auswahl geboten und mehr Freiheit eingeräumt wird. Einige der Verpflichtungen gelten jedoch direkt ab dem Zeitpunkt der Benennung, z. B. die Verpflichtung, die Kommission über jeden geplanten Zusammenschluss zu unterrichten. Es liegt bei den benannten Unternehmen, die wirksame Einhaltung der Vorschriften zu gewährleisten und nachzuweisen. Zu diesem Zweck müssen sie innerhalb von sechs Monaten einen ausführlichen Compliance-Bericht vorlegen, in dem sie darlegen, wie sie die einzelnen Verpflichtungen des Gesetzes über digitale Märkte erfüllen.

Die Kommission wird die wirksame Umsetzung und Einhaltung dieser Verpflichtungen überwachen. Kommt ein Torwächter den im Gesetz über digitale Märkte festgelegten Verpflichtungen nicht nach, kann die Kommission Geldbußen bis zu einem Höchstbetrag von 10 % des weltweit erzielten Gesamtumsatzes des Unternehmens verhängen, der bei wiederholter Zuwiderhandlung auf bis zu 20 % hochgesetzt werden kann. Im Falle systematischer Zuwiderhandlungen ist die Kommission auch befugt, zusätzliche Abhilfemaßnahmen aufzuerlegen. Beispielsweise kann sie einen Torwächter dazu verpflichten, ein Unternehmen oder Teile davon zu verkaufen, oder sie kann dem Torwächter verbieten, zusätzliche Dienste zu erwerben, die mit der systematischen Nichteinhaltung in Verbindung stehen.

In Zukunft könnten weitere Unternehmen der Kommission auf der Grundlage ihrer Selbstbeurteilung Mitteilungen im Rahmen des Gesetzes über digitale Märkte in Bezug auf die einschlägigen Schwellenwerte übermitteln. In diesem Zusammenhang führt die Kommission konstruktive Gespräche mit allen relevanten Unternehmen.



Hintergrund
Das Gesetz über digitale Märkte soll verhindern, dass Torwächter den Unternehmen und Endnutzern unfaire Bedingungen aufzwingen, und so die Offenheit wichtiger digitaler Märkte gewährleisten.

Zusammen mit dem Gesetz über digitale Märkte schlug die Kommission im Dezember 2020 das Gesetz über digitale Dienste vor, um die negativen Folgen bestimmter Verhaltensweisen von Online-Plattformen, die als digitale Torwächter fungieren, für den EU-Binnenmarkt anzugehen.

Das Gesetz über digitale Märkte, das seit November 2022 in Kraft ist und seit Mai 2023 angewendet wird, zielt darauf ab, bestreitbare und faire Märkte im digitalen Sektor zu gewährleisten. Es reguliert die sogenannten Torwächter: große Online-Plattformen, die gewerblichen Nutzern als wichtiges Zugangstor zu Verbrauchern dienen und die aufgrund dieser Stellung die Macht haben, den Marktzugang in der digitalen Wirtschaft zu kanalisieren.

Unternehmen, die mindestens einen der zehn im Gesetz über digitale Märkte aufgeführten zentralen Plattformdienste betreiben, werden als Torwächter angesehen, wenn sie die nachstehenden Kriterien erfüllen. Zu diesen zentralen Plattformdiensten gehören Online-Vermittlungsdienste wie Dienste zum Herunterladen von Computer- oder Handy-Apps, Online-Suchmaschinen, soziale Netzwerke, bestimmte Kommunikationsdienste, Video-Sharing-Plattform-Dienste, virtuelle Assistenten, Webbrowser, Cloud-Computing-Dienste, Betriebssysteme, Online-Marktplätze und Online-Werbedienste. Ein Unternehmen kann dabei auch für mehrere zentrale Plattformdienste als Torwächter benannt werden.

Es gibt drei quantitative Hauptkriterien, die die Annahme begründen, dass ein Unternehmen ein Torwächter im Sinne des Gesetzes über digitale Märkte ist: i) Das Unternehmen erzielt einen bestimmten Jahresumsatz im Europäischen Wirtschaftsraum und erbringt in mindestens drei EU-Mitgliedstaaten einen zentralen Plattformdienst, ii) das Unternehmen betreibt einen zentralen Plattformdienst mit monatlich mehr als 45 Millionen aktiven Endnutzern, die in der EU niedergelassen sind oder sich dort aufhalten, und mit jährlich mehr als 10 000 aktiven gewerblichen Nutzern mit Niederlassung in der EU und iii) das Unternehmen hat das zweite Kriterium in den drei vorhergehenden Geschäftsjahren erfüllt.

Im Gesetz über digitale Märkte ist eine Reihe spezifischer Verpflichtungen festgelegt, die Torwächter einhalten müssen, und bestimmte Verhaltensweisen werden ihnen untersagt mithilfe einer Liste von Geboten und Verboten.

Mit dem Gesetz über digitale Märkte wird der Kommission auch die Befugnis übertragen, Marktuntersuchungen durchzuführen, um i) Unternehmen aus qualitativen Gründen als Torwächter zu benennen, ii) die Verpflichtungen für Torwächter erforderlichenfalls zu aktualisieren, iii) Abhilfemaßnahmen zu konzipieren, mit denen gegen systematische Zuwiderhandlungen gegen die Vorschriften des Gesetzes über digitale Märkte vorgegangen wird.


Weitere Informationen finden Sie hier:

LG Tübingen: Zur Einstandspflicht einer Cyberversicherung bei einem Angriff auf IT-Infrastruktur eines Unternehmens

LG Tübingen
Urteil vom 26.05.2023
4 O 193/21


Das LG Tübingen hat sich in diesem Verfahren mit der Einstandspflicht einer Cyberversicherung bei einem Angriff auf die IT-Infrastruktur eines Unternehmens befasst.

Aus den Entscheidungsgründen:

Dem Feststellungsantrag fehlt das erforderliche Feststellungsinteresse (§ 256 ZPO).

1. Nach der Rechtsprechung des BGH hängt die Zulässigkeit einer Feststellungsklage bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts ab (BGH, Urt. v. 15.10.1992 – IX ZR 43/92 , MDR 1993, 693 = WM 1993, 251 [259 f.]; v. 24.1.2006 – XI ZR 384/03 – Rz. 27, BGHZ 166, 84 = MDR 2006, 940 m.w.N.; v. 20.3.2008 – IX ZR 104/05 – Rz. 8, MDR 2008, 799 = WM 2008, 1042). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH MDR 2014, 1341, 1342).

2. Dies ist vorliegend zu verneinen. Die Schadensentwicklung bei der Klägerin selbst ist abgeschlossen. Diesen Schaden hat die Klägerin in Klageantrag Ziffer 1 beziffert. Der Feststellungsantrag betrifft nur potentielle Versicherungsfälle im Falle einer Verletzung der DSGVO bzw. den möglicherweise bei Dritten entstandenen Schaden, wenn die bei dem Cyber-Angriff erlangten Daten veröffentlicht werden, und die daraus folgende mögliche Inanspruchnahme der Klägerin durch diese Dritten. Dazu hat der Geschäftsführer der Klägerin im Zuge der letzten mündlichen Verhandlung mitgeteilt, dass bislang keine Kunden oder dritte Firmen mit entsprechenden Forderungen an die Klägerin herangetreten seien und auch sonst nicht bekannt geworden sei, dass Daten veröffentlicht bzw. im Internet auffindbar seien (Protokoll vom 28.04.2023, Bl. 584 d.A.). Nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge ist angesichts des langen Zeitablaufs jetzt auch nicht mehr mit einer derartigen Inanspruchnahme der Klägerin zu rechnen, so dass es an der hinreichenden Wahrscheinlichkeit eines Schadenseintritts fehlt.

II. Die Klägerin kann von der Beklagten aus § 1 VVG i.V.m. A1-1, A1-4, A2-2, A4 ff. AVB Zahlung von 2.858.923,54 € zuzüglich Zinsen wie aus dem Tenor ersichtlich verlangen. Im Übrigen war die Klage abzuweisen.

1. Zwischen den Parteien ist ein wirksamer Versicherungsvertrag über verschiedene Cyber-Deckungsbausteine zustande gekommen, der das Risiko einer Betriebsunterbrechung mit einschließt.

2. Mit dem Cyber-Angriff vom 29./30.05.2020 ist der Versicherungsfall eingetreten, A1-4 AVB i.V.m. A1-1 AVB. Dies wird von der Beklagten nicht in Abrede gestellt.

3.. Die Beklagte ist weder wegen Verletzung einer vorvertraglichen Anzeigepflicht nach B3-1.2.1 Abs. 1 Satz 2 AVB (a) noch wegen Gefahrerhöhung nach B3-2.5 AVB leistungsfrei geworden (b).

a. Zur Verletzung einer vorvertraglichen Anzeigepflicht

Es kann dahin stehen, ob die Klägerin die ihr gestellten Risikofragen vorsätzlich oder grob fahrlässig falsch beantwortet und insofern ihre vorvertragliche Anzeigepflicht nach B3-1.1 AVB verletzt hat. Jedenfalls hat die Klägerin gem. § 21 Abs. 2 S. 1 VVG nachgewiesen, dass eine möglicherweise falsche Beantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich gewesen ist (sog. Kausalitätsgegenbeweis), so dass die Beklagte nach B3-1.2.1 Abs. 4 Satz 1 AVB den Versicherungsschutz nicht versagen darf (dazu unter aa.). Eine arglistige Verletzung der Anzeigepflicht (B3-1.2.1 Abs. 4 Satz 2 AVB) liegt nicht vor (dazu unter bb.). Daher bedarf auch die von der Klägerin aufgeworfene Frage keiner abschließenden Entscheidung, ob es sich bei den im Tatbestand wiedergegebenen Risikofragen überhaupt um zulässige Fragen gehandelt hat.

aa. Kausalitätsgegenbeweis

Der Sachverständige Dr. [...] hat - für die Kammer nachvollziehbar und überzeugend - ausgeführt, dass zwar eine Vielzahl der von der Klägerin eingesetzten Server nicht über aktuelle Sicherheits-Updates verfügten und damit veraltet waren, sich dies aber weder auf den Eintritt des Versicherungsfalls noch auf das Ausmaß des hierdurch ausgelösten Schadens ausgewirkt hat. Der Sachverständige ist seit 20 Jahren selbständig beratend im IT-Bereich tätig und arbeitet gegenwärtig überwiegend für eine Bank (Protokoll vom 28.04.2023 Seite 19, Bl. 601 d.A.), weshalb er insbesondere für den Bereich der IT-Sicherheit über eine große Expertise verfügt. Die Einholung eines Obergutachtens nach § 412 Abs. 1 ZPO, wie von der Beklagten beantragt, war daher nicht veranlasst.

Nach dem Cyber-Angriff konnten die Daten von insgesamt 21 der von der Klägerin teils betriebsintern, teils extern bei dem IT-Dienstleister Bechtle eingesetzten Servern forensisch gesichert werden. Von diesen 21 Servern verfügten nach den Feststellungen des Sachverständigen lediglich 10 über die erforderlichen Sicherheits-Updates; dagegen waren 11 Server nicht auf dem aktuellen Stand (Gutachten S. 27, Bl. 464 d.A.). Der Cyber-Angriff verlief jedoch bei insgesamt 16 der 21 Server erfolgreich (Gutachten S. 22, Bl. 459 d.A.) und betraf Systeme mit allen Betriebssystemversionen, darunter auch die - aktuellen - Windows Server 2019 (Gutachten S. 24, Bl. 461 d.A.). Verschlüsselt wurden sogar die bei der Fa. B. AG ausgelagerten Server. Dies erklärt sich daraus, dass über die Phishing-Mail an den Nutzer „[...]“ letztendlich die Administratorrechte u.a. für die Domäne Paradigma erbeutet wurden (Gutachten S. 27, Bl. 464 d.A.). Diese Administratorrechte erlaubten den Angreifern - was insbesondere auch für das Ausmaß des eingetretenen Schadens maßgeblich ist -, mit dem System „alles [...] zu machen“ (Protokoll vom 28.04.2023 Seite 18, Bl. 600 d.A.). Den Angreifern war es dadurch ohne Weiteres möglich, vorhandene Schutzmaßnahmen wie etwa den Virenscanner und die Firewall zu deaktivieren (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Dies ergibt sich ebenso aus dem von Beklagtenseite vorgelegten Parteigutachten [...] vom 24.06.2020 (Anlage BLD 1), wonach bei der Analyse verschiedener Server festgestellt wurde, dass der Antivirenscanner Trend Micro Apex ONE NT, der Windows Defender und die Windows Firewall zu jeweils unterschiedlichen Zeitpunkten am 30.05.2023, also zeitlich nach dem Pass-the-Hash-Angriff, deaktiviert wurden (a.a.O. Seite 22, 42 und 51). Der auf dem betroffenen Notebook „[...]“ installierte Virenscanner Trend Micro OfficeScan hatte am 29.05.2020 noch einen Schadsoftwarebefall festgestellt, der sich jedoch augenscheinlich nicht bereinigen ließ (a.a.O. Seite 8).

Soweit die Beklagte nun erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 vorträgt, dass die Firewalls bereits zum Schadenzeitpunkt deaktiviert gewesen seien (dort Seite 4, Bl. 555 d.A.), und mit (ebenfalls nicht nachgelassenem) Schriftsatz vom 15.05.2023 (dort Seite 6, Bl. 610 d.A.) in Frage stellt, ob der Anti-Virus-Verwaltungsserver im Zeitpunkt des Angriffs aktiviert war, kann offenbleiben, ob dies zutrifft oder sogar in Widerspruch zu dem Gutachten der [...] vom 24.06.2020 (Anlage BLD 1) und damit zum eigenen bisherigen Vortrag der Beklagten steht; jedenfalls ist dieser Vortrag verspätet und aus diesem Grund prozessual unbeachtlich, § 296a Satz 1 ZPO.

Nach den Feststellungen des Sachverständigen Dr. [...], denen sich das Gericht nach eigener Überzeugungsbildung anschließt, wurde bei dem streitgegenständlichen Cyber-Angriff eine vorhandene Schwachstelle (sog. „Design-Schwäche“) von Windows ausgenutzt (Gutachten S. 33, Bl. 470 d.A.), die unabhängig von der Aktualität des betroffenen Systems besteht. Der Sachverständige kommt daher nachvollziehbar und überzeugend zu dem Ergebnis, dass auch ein Einspielen der versäumten Updates weder den Angriff selbst abgewehrt noch das Ausmaß des angerichteten Schadens hätte beeinflussen können. Weder die Anzahl der betroffenen Server noch der Schaden wären verringert worden (Gutachten S. 27 und 33, Bl. 464 und 470 d.A.).

Soweit die Beklagte bezüglich des Schadensumfangs (sog. „lateral movement“) auf denkbare weitere Sicherheitsmaßnahmen seitens der Klägerin verweist, etwa eine Zwei-Faktoren-Authentifizierung oder ein Monitoring-System, so verkennt sie den Bezugspunkt der Regelung in B3-1.2.1 AVB. Diese Regelung knüpft (allein) an die Verletzung der vorvertraglichen Anzeigepflicht durch Falschbeantwortung der Risikofragen an (B3-1.1 AVB). Die von der Beklagten vermissten weiteren Sicherheitsmaßnahmen waren jedoch nicht Gegenstand der bei Antragstellung von der Klägerin zu beantwortenden Risikofragen. Dies gilt auch für die Risikofrage 5, deren Falschbeantwortung die Beklagte erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 gerügt hat. Die Risikofrage 5 ist derart weit formuliert, dass sie bereits zu bejahen ist, wenn lediglich grundlegende Regelungen wie etwa über die Nicht-Weitergabe von Login-Daten und -Passwörtern existieren und überwacht werden. Spezifische Sicherheitsmaßnahmen zur Abwehr von Pass-the-Hash- bzw. Verschlüsselungs-Angriffen sind hiervon nicht zwingend erfasst.

bb. keine Arglist

Von einer arglistigen Verletzung der Anzeigepflicht seitens der Klägerin bzw. der Maklerin konnte sich die Kammer nicht überzeugen.

(1) Die bewusste Falsch- oder Nichtbeantwortung von Fragen genügt für sich genommen nicht für Arglist. Vielmehr muss in subjektiver Hinsicht hinzukommen, dass der Versicherungsnehmer auf die Entschließung des Versicherers Einfluss nehmen will und sich daher bewusst ist, dass der Versicherer möglicherweise (bedingter Vorsatz genügt) seinen Antrag nicht oder nur unter erschwerten Bedingungen annehmen werde, wenn er die Wahrheit sage (BGH VersR 2007, 785 Rn. 8; 2011, 337 Rn. 19; OLG Koblenz VersR 2013, 1113, 1114; OLG Karlsruhe NJW 2014, 3733; OLG Hamm VersR 2018, 282, 283; 2020, 538, 539). Eine Vermögensschädigung braucht aber nicht geplant zu sein (RGZ 96, 345, 346; BGH VersR 1957, 351, 352; 2007, 785 Rn. 8; 2008, 809 Rn. 8; OGH VersR 1978, 954). Unkenntnis entlastet den Versicherungsnehmer nicht, wenn er im Bewusstsein seiner Unkenntnis „ins Blaue hinein“ Angaben macht (OLG Hamm VersR 1990, 765; OLG München VersR 2000, 711, 712; OLG Koblenz VersR 2004, 849, 851; KG VersR 2007, 381, 382; OLG Frankfurt/M. ZfS 2009, 269; OLG Saarbrücken VersR 2020, 91 (Ls.) = BeckRS 2019, 23766 Rn. 35; OLG Hamm VersR 2020, 538, 539). Dasselbe gilt, wenn er sich sehenden Auges der Kenntnis verschließt (BGH VersR 1993, 170, 171). Dass Arglist vorgelegen hat, muss der Versicherer darlegen und beweisen (BeckOK VVG/Spuhl, 18. Ed. 1.2.2023, VVG § 21 Rn. 55).

(2) Nach B3-1.1 Absatz 2 und 3 AVB kommt es sowohl auf die Kenntnis des Versicherungsnehmers selbst als auch auf die Kenntnis seines Vertreters an.

Die Klägerin hat sich beim Vertragsschluss durch den von ihr eingeschalteten Makler L. vertreten lassen, welcher die Antworten auf die Risikofragen in das Online-Portal der Beklagten eingegeben hat (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A., und Seite 7, Bl. 220 d.A.). Wie die einzelnen Fragen zu beantworten waren, hatte dem Makler der Zeuge G. vorgegeben, welcher die Risikofragen zuvor mit dem IT-Manager U. der Klägerin durchgesprochen hatte (Protokoll vom 04.02.2022 Seite 8, Bl. 221 d.A., Seite 17, Bl. 230 d.A., und Seite 34f, Bl. 247f d.A.).

(3) Nach dem Ergebnis der Beweisaufnahme lässt sich weder bei den verantwortlichen Mitarbeitern der Klägerin noch beim Zeugen L. eine vorsätzliche, erst recht keine arglistige Falschbeantwortung der Risikofragen - konkret der Fragen 3, 4 und 6 - feststellen.

Trotz des Einsatzes von zumindest 11 veralteten Servern (siehe oben) ist allenfalls die Frage 4 bei der Antragstellung im April 2020 falsch beantwortet worden. Der Klägerin ist zuzugeben, dass die Risikofrage 3 sich auf stationäre und mobile Arbeitsrechner und eben nicht auf Server bezieht. Die Risikofrage 6 ist derart weit formuliert, dass die Klägerin sie richtig beantwortet hat, denn dass überhaupt „Hard- und Software zum Schutz des Unternehmensnetzwerks“ eingesetzt wurde in Form eines Virenscanners sowie einer Firewall, stellt auch die Beklagte nicht in Abrede.

Auch bezüglich der Risikofrage 4 ist jedoch nicht von einer vorsätzlich und erst recht nicht von einer arglistig falschen Beantwortung auszugehen. Unabhängig von der rechtlichen Einordnung der Veranstaltung am 13.02.2020 und der genauen Rolle des Zeugen B. hat die Beweisaufnahme ergeben, dass für die Mitarbeiter der Klägerin durch diese Veranstaltung übereinstimmend der Eindruck entstanden ist, dass seitens der Beklagten keine hohen Anforderungen hinsichtlich der IT-Sicherheit gestellt werden. So haben mehrere Zeugen unabhängig voneinander die Äußerung des Zeugen B. bestätigt, dass hinsichtlich der Firewall „jede Fritzbox“ ausreichen würde. Diese Äußerung war sowohl dem Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.) als auch den Zeugen U. (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.) und M. (Protokoll vom 06.05.2022 Seite 11, Bl. 343 d.A.) im Gedächtnis. Der Zeuge B. konnte sich an Details nicht mehr erinnern, hat jedoch nicht ausgeschlossen, dass die Firewall Thema der Besprechung gewesen sei; eine Risikobewertung würde er jedoch generell nicht vornehmen (Protokoll vom 06.05.2022 Seite 24, Bl. 237 d.A.). Die Rückmeldung seitens des Zeugen B. scheint insofern jedoch auch nicht ausschlaggebend gewesen zu sein. Auffallend ist nämlich, dass sich die Zeugen teils gar nicht an die konkreten Antworten des Zeugen B. erinnern, dennoch aber den Eindruck gewonnen haben, die Anforderungen an die IT-Sicherheit seien nicht besonders hoch. Der Zeuge S. hat ausdrücklich angegeben, er habe sich gewundert, welche geringen Anforderungen gestellt würden (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.). Ähnlich habe sich seiner Erinnerung nach auch die Zeugin M. später im Lenkungskreis Digitalisierung geäußert (Protokoll vom 06.05.2022 Seite 16, Bl. 348 d.A.). Der Zeuge G. gab an, sie seien alle etwas verwundert darüber gewesen, dass die Anforderungen offenbar letztlich nicht viel höher seien als im privaten Bereich (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.). Maßgeblich für diesen kollektiven Eindruck erscheint vor allem die offenbar ausbleibende Reaktion von B. auf die Mitteilung des Zeugen U., dass die Klägerin auch ältere Server einsetze, die nicht mehr upgedatet werden könnten. Diese Mitteilung haben neben dem Zeugen U. selbst (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.) die Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.), M. (Protokoll vom 06.05.2022 Seite 10, Bl. 342 d.A.) und S. (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.) bestätigt. Der Zeuge B. selbst hat ausgesagt, sich generell nicht zu Anforderungen an die IT-Infrastruktur zu äußern (Protokoll vom 04.02.2022 Seite 23, 24 und 25, Bl. 236, 237 und 238 d.A.). Herr U. war sich nicht mehr sicher, ob der Zeuge B. ihm überhaupt auf diese Mitteilung geantwortet hatte, glaubte aber, er habe keine Antwort bekommen (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.). Entsprechend hat der Zeuge U. angegeben, die Risikofrage 4 trotz der vorhandenen veralteten Server bejaht zu haben, da er dem Zeugen B. ja in der Veranstaltung am 13.02.2020 über „unsere Situation mit den älteren Servern“ berichtet habe (Protokoll vom 04.02.2022 Seite 35, Bl. 248 d.A.). Unabhängig davon, welche rechtliche Bedeutung einer derartigen mündlichen Äußerung zukommt, so schließt die entsprechende Vorstellung doch Vorsatz und erst recht Arglist aus.

Dem Zeugen L. war nicht mehr erinnerlich, ob am 13.02.2020 seitens der Mitarbeiter der Klägerin die Rede davon war, dass ältere Server eingesetzt werden, die aus technischen Gründen nicht mehr upgedatet werden können (Protokoll vom 04.02.2022 Seite 16, Bl. 229 d.A.). Vor dem Vertragsschluss, so der Zeuge L. weiter, habe er sich zu keinem Zeitpunkt mit seinem Ansprechpartner bei der Klägerin, dem Zeugen G., zu diesem Thema ausgetauscht (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A.). Demnach handelte auch der Zeuge L. nicht erwiesenermaßen arglistig.

b. Gefahrerhöhung

Es kann offen bleiben, ob nach Vertragsschluss eine Gefahrerhöhung eingetreten ist, indem die Klägerin weitere Software-Updates nicht durchgeführt bzw. anders als in der Veranstaltung am 13.02.2020 angekündigt die veralteten Server (noch) nicht ausgetauscht hat. Da der Klägerin der Kausalitätsgegenbeweis gelingt (siehe oben), wäre die Beklagte selbst bei einer solchen Gefahrerhöhung nicht leistungsfrei; auch eine Kürzung des Anspruchs ist ausgeschlossen (§ 26 Abs. 3 Nr. 1 VVG i.V.m. B3-2.5.3 lit. a AVB).

4. Der erstattungsfähige Schaden der Klägerin beläuft sich insgesamt auf 2.858.923,54 €.

a. Betriebsunterbrechungsschaden

Die Klägerin hat einen zu ersetzenden Betriebsunterbrechungsschaden in Höhe von 2.507.809 € erlitten. Eine Betriebsunterbrechung gem. Ziffer A4-1.1.1 ist fraglos eingetreten, weil bei der Klägerin infolge unbefugter Nutzung von IT-Systemen elektronische Daten und informationsverarbeitende Systeme nicht zur Verfügung standen bzw. nicht die übliche Leistung erbrachten, was zu einem Schaden der Klägerin geführt hat.

aa. Der Unterbrechungsschaden wird in Ziffer A4-1.1.2 AVB definiert und stellt sich danach letztlich als der Betriebsgewinn zuzüglich der trotz der Unterbrechung fortlaufenden Kosten dar. Unter Ziffer A4-1.3.6 lit. d enthalten die AVB Vorgaben zur Feststellung der Schadenshöhe; allerdings betreffen diese das dort geregelte Sachverständigenverfahren und sind außerhalb dieses Verfahrens nicht anwendbar.

Es sind daher - neben Ziffer A4-1.3.1 - die allgemeinen Grundsätze zur Schadensermittlung heranzuziehen. Nach der Rechtsprechung muss ein Geschädigter, der Schadensersatz in Form eines Betriebsunterbrechungsschadens geltend macht, wie bei der Geltendmachung des entgangenen Gewinns gemäß § 252 Satz 1 BGB alle konkreten Umstände darlegen und gegebenenfalls beweisen, aus denen sich die Erlöserwartung ergibt. Es ist somit darzulegen, welche konkreten betriebsbezogenen Erlöse nicht erwirtschaftet werden konnten und welche konkreten betriebsbezogenen Kosten erspart wurden (vgl. OLG Hamm RuS 2013, 440). Dabei genügt entsprechend § 252 Satz 2 BGB die bloße Wahrscheinlichkeit der Erwartung des Erlöses anstelle des positiven Nachweises, sofern die Vorkehrungen und Anstalten, aus denen die Erlöserwartung hergeleitet wird, in der geschilderten Weise dargetan werden. Erforderlich ist mithin die schlüssige Darlegung von Ausgangs- bzw. Anknüpfungstatsachen, die geeignet sind, dem Ermessen bei der Wahrscheinlichkeitsprüfung eine Grundlage zu geben und eine Schadensschätzung gemäß § 287 ZPO zu ermöglichen (vgl. zum entgangenen Gewinn BGH WM 1998, S. 1787; BGH WuM 1991, S. 545). Während der Versicherungsnehmer den Eintritt des Versicherungsfalles und die hierdurch verursachte Betriebsunterbrechung auf der Grundlage von § 286 ZPO darzulegen und zu beweisen hat, kommt ihm beim Kausalzusammenhang zwischen der Betriebsunterbrechung und dem eingetretenen Schaden die Beweiserleichterung des § 287 ZPO zugute (BGH VersR 2014,104).

bb. Vor diesem Hintergrund kann der Schadensberechnung der Klägerin, welche einen Rohertrag je geleisteter Personenstunde zugrunde legt und diesen mit den angeblich ausgefallenen Personenstunden multipliziert, nicht gefolgt werden. Denn die Annahme, dass das wegen der Betriebsunterbrechung nicht eingesetzte Personal den gleichen Rohertrag erwirtschaftet hätte wie das zum Einsatz gelangte Personal, ist nicht nachvollziehbar und nicht einmal für eine Schätzung nach § 287 ZPO geeignet.

cc. Die Schätzung hat anhand der von der Klägerin vorgelegten betriebswirtschaftlichen Auswertungen zu erfolgen, somit auf Grundlage der Anlagen K 13 (Jahresabschluss für 2019), K 14 (betriebswirtschaftliche Auswertung für 2020) und K 15 (betriebswirtschaftliche Auswertung für 2021). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 die Richtigkeit dieser betriebswirtschaftlichen Auswertungen bestreitet, ist dieser nach der letzten mündlichen Verhandlung am 28.04.2023 mit nicht nachgelassenem Schriftsatz erfolgte Vortrag verspätet und nach § 296a Satz 1 ZPO aus prozessualen Gründen unbeachtlich. Die Klägerin hat mit ebenfalls nicht nachgelassenem Schriftsatz vom 19.05.2023 die Jahresabschlüsse für 2020 (Anlage K21) und für 2021 (Anlage K 22) nachgereicht, welche ebenfalls nach § 296a Satz 1 ZPO unbeachtlich sind. Allerdings weichen die Kennzahlen in den Jahresabschlüssen ohnehin nur ganz geringfügig von den Werten in den betriebswirtschaftlichen Auswertungen ab.

dd. Der Schadensschätzung sind die Geschäftszahlen der Jahre 2020 (mit Betriebsunterbrechung) und 2021 (ohne Betriebsunterbrechung), nicht auch diejenigen des Jahres 2019 zugrunde zu legen.

Nach § 252 Satz 2 BGB gilt als entgangen der Gewinn, welcher nach dem gewöhnlichen Lauf der Dinge oder nach den besonderen Umständen, insbesondere nach den getroffenen Anstalten und Vorkehrungen, mit Wahrscheinlichkeit erwartet werden konnte.

Solche besonderen Umstände liegen vorliegend in Form des von der Bundesregierung im Oktober 2019 beschlossenen Klimaschutzprogramms 2030 vor, für das für klimaschutzrelevante Maßnahmen für den Zeitraum 2020 bis 2023 Mittel in Höhe von etwa 54 Milliarden Euro bereitgestellt wurden. Soweit die Beklagte die Existenz eines solchen Förderprogramms mit Nichtwissen bestritten hat, lässt sich die Behauptung der Klägerin durch eine einfache Internetrecherche verifizieren (https://www.bmwk.de/Redaktion/DE/Textsammlungen/Industrie/klimaschutz.html?cms_artId=9df37a6e-49dc-4c07-955d-f80ea3503730, zuletzt abgerufen am 23.05.2023). Die Tatsache ist daher allgemein bekannt; einer Beweiserhebung bedurfte es nicht.

Zusätzlich geht die Kammer davon aus, dass die Corona-Pandemie keinen „besonderen Umstand“ im Sinne des § 252 Satz 2 BGB darstellt. Bezüglich der gesamtwirtschaftlichen Entwicklung ist der Beklagten zuzustimmen, dass es im Jahr 2020 infolge der Auswirkungen der COVID-19-Pandemie allgemein zu Umsatzeinbrüchen kam. Dabei ist auch nicht auszuschließen, dass auch die Klägerin, welche u.a. in der Produktion von Heizungskomponenten tätig ist, betroffen war, insbesondere was Lieferengpässe betrifft. Solche Effekte bestanden aber für das Jahr 2020 ebenso wie für das Jahr 2021, da die Corona-Pandemie weiterhin andauerte. Indem eben die Jahre 2020 und 2021 miteinander verglichen werden, wirken sich mögliche Umsatzeinbrüche infolge der Pandemie rechnerisch nicht in relevanter Weise aus.

ee. Entgegen der Auffassung der Klägerin sind jedoch die Werte aller 12 Monate eines Jahres gleichermaßen heranzuziehen. Die Klägerin beruft sich auf zyklische Schwankungen der Geschäftsentwicklung im Jahresverlauf. Solche außergewöhnlichen Schwankungen lassen sich den vorgelegten betriebswirtschaftlichen Auswertungen jedoch nicht entnehmen. Soweit die Klägerin mit (nicht nachgelassenem) Schriftsatz vom 19.05.2023 als Anlagen K 23 und K 24 die betriebswirtschaftlichen Auswertungen für 2019 und 2022 vorlegt und ihren Vortrag zusätzlich auf diese Unterlagen stützt (Bl. 674f d.A.), ist dies verspätet und gemäß § 296a Satz 1 ZPO unbeachtlich.

ff. Bei der Berechnung des Deckungsbeitrags folgt die Kammer im Ansatz der - zweiten - Berechnungsweise der Klägerin, wobei vom erzielten jährlichen Gesamtumsatz als Kosten ein Teil des Materialaufwands abgezogen wird. Diese Berechnungsmethode erscheint der Kammer plausibel und entspricht im Übrigen der Definition des Betriebsunterbrechungsschadens in A4-1.1.2 AVB i.V.m. A469 des Glossars. Soweit die Klägerin meint, auf das so ermittelte Ergebnis sei zusätzlich ein prozentualer Aufschlag vorzunehmen (Schriftsatz vom 30.03.2022 Seite 18f, Bl. 279f d.A.), ist dies dagegen nicht nachvollziehbar.

Auf den weiteren Vortrag der Beklagten zum Betriebsunterbrechungsschaden in den Schriftsätzen vom 04.05.2023 und vom 17.05.2023, insbesondere das als Anlage BLD 13 vorgelegte Parteigutachten der [...] GmbH vom 16.05.2023, welches (erst) am 09.05.2023 in Auftrag gegeben worden ist, ist wegen § 296a Satz 1 ZPO nicht einzugehen. Soweit die Beklagte einwendet, die Berechnung der Klägerin sei aus betriebswirtschaftlicher Sicht falsch, da Bestandsveränderungen sehr wohl zu berücksichtigen seien, findet dies jedenfalls keinen Niederschlag in den Regelungen der AVB und ist für die Kammer daher nicht nachvollziehbar.

Der in den betriebswirtschaftlichen Auswertungen ausgewiesene Materialaufwand ist nicht nur zur Erwirtschaftung der Umsatzerlöse, sondern auch für die Erhöhung bzw. Verminderung des Bestandes an fertigen und unfertigen Produkten angefallen, welcher nach den AVB aber unberücksichtigt zu bleiben hat, da dort allein an den Umsatz angeknüpft wird. Der Anteil der auf die Bestandsveränderungen entfallenden Materialkosten ist daher herauszurechnen. Im Wege der Schätzung nach § 287 ZPO setzt die Kammer zunächst die Gesamtmaterialkosten ins Verhältnis zur Gesamtleistung der Klägerin, welche sich aus der Summe der Umsatzerlöse und der Bestandsveränderungen, ggf. auch der aktivierten Eigenleistungen ergibt, und geht sodann davon aus, dass der Anteil von Gesamtmaterialkosten zur Gesamtleistung dem Anteil der Materialkosten, die zur Erwirtschaftung allein der Umsatzerlöse erforderlich waren, zu den Umsatzerlösen entspricht.

Für 2020 ergibt sich gemäß Anlage K 14 danach folgende Berechnung:

Umsatzerlöse: 57.863.135 €

Anteil Gesamtmaterialkosten 26.967.378 € zur Gesamtleistung 58.041.198 € (= Umsatzerlöse 57.863.135 € + Bestandsveränderung (Lagerleistung) 162.130 € + aktivierte Eigenleistungen 15.930 €): 46,46%

somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 57.863.135 € x 46,46% = 26.883.212,52 €, gerundet: 26.883.213 €

somit Deckungsbeitrag für 2020: Umsatzerlöse 57.863.135 € - diesbezügliche Materialkosten 26.883.213 € = 30.979.922 €.

Für 2021 ergibt sich gemäß Anlage K 15 folgende Berechnung:

Umsatzerlöse: 70.837.492 €

Anteil Gesamtmaterialkosten 35.223.076 € zur Gesamtleistung 73.924.577 € (= Umsatzerlöse 70.837.492 € + Bestandsveränderung (Lagerleistung) 3.087.082 € + aktivierte Eigenleistungen 0 €): 47,65%

somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 70.837.492 € x 47,65% = 33.754.064,94 €, gerundet: 33.754.065 €

somit Deckungsbeitrag für 2021: Umsatzerlöse 70.837.492 € - diesbezügliche Materialkosten 33.754.065 € = 37.083.427 €.

Der erstattungsfähige Betriebsunterbrechungsschaden errechnet sich damit wie folgt:

Deckungsbeitrag pro Jahr

Deckungsbeitrag pro Monat

2020

30.979.922 €

2.581.660 €

2021

37.083.427 €

3.090.286 €

Einbuße pro Monat


508.626 €

Einbuße Juni 2020 bis
Oktober 2020 (5 Monate)


2.543.130 €

abzüglich Sub-Selbstbehalt
12 Stunden
gemäß Police Seite 3
(2.543.130 € : 108
Arbeitstage Juni bis Okt.
2020 = 23.547,50 €, bei
achtstündigem Arbeitstag,
12 Std daher 23.547,50 € x 1,5)


- 35.321 €

Ergibt


2.507.809 €

Infolge des Cyberangriffs vom 29./30.05.2020 war der Betrieb der Klägerin von Juni 2020 bis Oktober 2020 unterbrochen (5 Monate) und somit für einen Zeitraum, der innerhalb der Haftzeit von 12 Monaten liegt. Soweit die Beklagte erstmals mit Schriftsatz vom 04.05.2023 mit Nichtwissen bestreitet, dass die Betriebsunterbrechung erst im Oktober 2020 endete (Bl. 570 d.A.), ist dies wegen Verspätung nach § 296a Satz 1 ZPO wiederum aus prozessualen Gründen unbeachtlich.

Bezüglich des Sub-Selbstbehalts von 12 Stunden (vgl. Seite 3 der Police, Anlage K 1) ist der im Unterbrechungszeitraum eingebüßte Betrag (2.543.130 €) durch die Anzahl der Arbeitstage im betreffenden Zeitraum zu teilen. Abzüglich Wochenenden und gesetzlicher Feiertage, die nicht auf das Wochenende fielen, gab es im Zeitraum Juni bis Oktober 2020 insgesamt 108 Arbeitstage. Wenn man von einem achtstündigen Arbeitstag ausgeht, ist der so ermittelte Betrag auf 12 Stunden hochzurechnen.

Insgesamt ergibt sich unter Berücksichtigung des Sub-Selbstbehalts ein zu erstattender Betriebsunterbrechungsschaden von 2.507.809 €.

b. Sachschaden an IT-Geräten, Daten und Software

Die Klägerin hat Anspruch auf Ersatz des geltend gemachten Sachschadens an IT-Geräten, Daten und Software (vgl. Tabelle auf Seite 11f der Klageschrift, Bl. 11f d.A., Anlagenkonvolut K 3) in Höhe von 322.040,58 €.

aa. Der Erstattungsanspruch folgt aus A4-2.1 AVB (bzgl. Daten) bzw. A4-3.1 AVB (bzgl. Sachen). Versicherungsschutz besteht danach für notwendige Aufwendungen zur Wiederherstellung der betroffenen Daten sowie für die Entfernung der Schadsoftware bzw. zur Reparatur, Wiederherstellung oder Wiederbeschaffung der versicherten Sachen.

bb. Es kann dahin stehen, ob die Regelungen in C2.3.3 AVB (bzgl. IT-Geräten), C2.4.3 AVB (bzgl. Maschinen und technischen Anlagen), C2.5.3 AVB (bzgl. Betriebseinrichtung), C3.3.3 und C3.4.3 (bzgl. Reparatur oder Austausch von mitversicherten Sachen als Folge aus der Beeinträchtigung, Beschädigung oder Unbrauchbarmachung von Software und Daten), wonach Voraussetzung eines Erstattungsanspruchs ist, dass die Leistungen durch die [...] GmbH beauftragt und gesteuert wurden, den Versicherungsnehmer entgegen den Geboten von Treu und Glauben unangemessen benachteiligen im Sinne des § 307 Abs. 1 Satz 1 BGB oder überraschend im Sinne des § 305c Abs. 1 BGB sind, wenn - wie hier - eine Regulierung durch den Versicherer abgelehnt wird. Denn die Klägerin hat unwidersprochen vorgetragen, dass die Maßnahmen von der [...] GmbH (mit-)initiiert und koordiniert wurden.

cc. Entgegen der Auffassung der Beklagten ist weder eine Sachsubstanzschädigung erforderlich, noch dass die beschädigten Sachen im Eigentum der Klägerin standen.

Der Begriff der Beschädigung wird in A460 des Glossars als jede Einwirkung auf eine Sache, die ihre stoffliche Zusammensetzung negativ verändert oder ihre bestimmungsgemäße Brauchbarkeit nicht nur geringfügig beeinträchtigt, definiert. Ausdrücklich ist dort bestimmt, dass eine Substanzverletzung nicht erforderlich ist.

Gemäß A4-3.2 Absatz 2 AVB werden geleaste oder gemietete IT-Geräte beziehungsweise Maschinen und technische Anlagen solchen Sachen gleichgestellt, die sich im Eigentum des Versicherungsnehmers befinden.

dd. Der Einwand der Beklagten, die geltend gemachten Aufwendungen seien teils nicht notwendig, da die Klägerin insoweit nicht nur den Zustand vor dem Cyber-Angriff wiederhergestellt, sondern darüber hinaus Verbesserungen vorgenommen habe, greift nicht durch.

Die diesbezügliche Darlegungs- und Beweislast liegt bei der Beklagten. Nach der Formulierung der Ziffer A4-2.4.2 Satz 2 AVB (“Der Versicherer leistet keine Entschädigung für: a. Mehrkosten (A231) durch Änderungen oder Verbesserungen, die über die Wiederherstellung hinausgehen“) handelt es sich um eine Ausnahme von Satz 1, welcher die grundsätzliche Erstattungspflicht des Versicherers statuiert (“Der Versicherer leistet Entschädigung in Höhe der notwendigen Aufwendungen ...“).

Dem Vortrag der Klägerin, soweit Verbesserungen erfolgt seien, seien diese technisch nicht vermeidbar gewesen, ist die Beklagte erst mit nicht nachgelassenen Schriftsätzen nach der letzten mündlichen Verhandlung entgegengetreten, welche nach § 296a Satz 1 ZPO unbeachtlich sind.

ee. Der Anspruch der Klägerin ist auch nicht auf den Zeitwert begrenzt. Zwar ist nach A4-3.5 Ziff. 1 lit. a AVB der Neuwertanteil nur geschuldet, wenn die Wiederbeschaffung der vom Schaden betroffenen, versicherten Sachen innerhalb von zwölf Monaten nach Eintritt des Versicherungsfalles erfolgt. Sämtliche von der Klägerin im Anlagenkonvolut K 3 vorgelegten Rechnungen wurden jedoch innerhalb eines Jahres ab dem Versicherungsfall (29./30.05.2020) gestellt, so dass die abgerechneten Leistungen ebenfalls innerhalb Jahresfrist erfolgt sind.

ff. Gemäß A4-3.5 Ziff. 1 lit. c AVB macht die Klägerin jeweils (nur) den Rechnungsbetrag ohne Umsatzsteuer geltend.

gg. Weiterer Vortrag der Beklagten, mit welchem einzelne Rechnungen/ Rechnungspositionen sowie die Bezahlung der vorgelegten Rechnungen bestritten und deren Prüffähigkeit gerügt wird, insbesondere auch die Vorlage der gutachterlichen Stellungnahmen zur Rechnungsprüfung gem. den Anlagen BLD 11 und BLD 12, ist nach der letzten mündlichen Verhandlung mit nicht nachgelassenen Schriftsätzen erfolgt und daher nach § 296a Satz 1 ZPO unbeachtlich.

hh. Insgesamt ist ein Betrag in Höhe von 322.540,58 € grundsätzlich erstattungsfähig. Hiervon ist allerdings gemäß Seite 3 der Police (Anlage K1) der vereinbarte Sub-Selbstbehalt von 500 € abzuziehen. Zu erstatten ist daher ein Schaden in Höhe von 322.040,58 €.

c. Schadensminderungsmaßnahmen

Die Klägerin kann gemäß §§ 83 Abs. 1 Satz 1, 82 Abs. 1 VVG Ersatz in Höhe von 29.073,96 € für diejenigen Aufwendungen verlangen, welche sie unter Anleitung der [...] GmbH getätigt hat, um die Betriebsunterbrechung so rasch wie möglich zu beenden (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A., Rechnungen in Anlage K 5). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 (dort Seite 20, Bl. 571 d.A.) mit Nichtwissen bestritten hat, dass die aufgeführten Arbeiten zur Schadenminimierung objektiv erforderlich waren und die Kosten angemessen und ortsüblich sind, ist dieser Vortrag einerseits verspätet gemäß § 296a Satz 1 ZPO und anderseits prozessual unzulässig, da diese Aufwendungen gemäß den Schadenmanagementklauseln der AVB (siehe oben unter b. bb.) unter Mitwirkung der [...] GmbH erfolgt sind. Die Tätigkeit der [...] GmbH ist der Beklagten zuzurechnen, so dass ein Bestreiten mit Nichtwissen gemäß § 138 Abs. 4 ZPO ausscheidet.

d. Kosten der Schadensfeststellung

Dagegen hat die Klägerin keinen Anspruch auf Erstattung der geltend gemachten Kosten der Schadensfeststellung (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A.).

Es fehlt hierzu an hinreichendem Vortrag bzw. an einem Beweisantritt seitens der darlegungs- und beweisbelasteten Klägerin. Die Klägerin trägt vor, ihr Geschäftsführer sowie zwei Mitarbeiter aus dem Bereich Controlling seien mehrere Tage im Einsatz gewesen, um den Schaden festzustellen, und verweist auf eine Tabelle der ausgefallenen Personentage (Anlage K4), welche die Klägerin bereits der (ersten) Berechnung des Betriebsunterbrechungsschadens zugrunde gelegt hat. Die Beklagte hat diesen Vortrag als unsubstantiiert zurückgewiesen und die Anzahl der Mitarbeiter und der Ausfalltage bestritten, insbesondere dass diesbezüglich auch noch ein Jahr nach dem Schadensfall Personentage angefallen sein sollen. Weiterer Vortrag der Klägerin ist nicht erfolgt. Im Übrigen ist darauf hinzuweisen, dass ausgefallene Personentage bereits in die Ermittlung des Unterbrechungsschadens eingeflossen sind. Dass dem Geschäftsführer oder den Mitarbeitern der Klägerin schadensbedingt über das normale Gehalt hinaus eine zusätzliche Vergütung bezahlt worden wäre, wird von der Klägerin nicht behauptet.

e. Kosten für Gutachten der [...] GmbH

Schließlich hat die Klägerin keinen Anspruch auf Erstattung der Kosten des vorgerichtlich eingeholten Gutachtens der [...] GmbH (vgl. Rechnungen Anlage K 6). Es fehlt an einer Anspruchsgrundlage.

Zwar ist gemäß Seite 2 der Police (Anlage K1) der Baustein „Kosten eigener Sachverständiger“ mitversichert. Nach C5.1.1 AVB betrifft dies allerdings nur die im Rahmen des Sachverständigenverfahrens gemäß AVB anfallenden Gutachterkosten. Es bleibt daher bei der allgemeinen Regelung des § 85 Abs. 2 VVG. Danach hat der Versicherer Kosten, die dem Versicherungsnehmer durch die Zuziehung eines Sachverständigen entstehen, nicht zu erstatten, es sei denn, der Versicherungsnehmer ist zu der Zuziehung vertraglich verpflichtet oder vom Versicherer aufgefordert worden. Da die genannten Ausnahmen nicht vorliegen, bleibt es bei dem Grundsatz, dass diese Kosten nicht erstattungsfähig sind.

f. allgemeiner Selbstbehalt

Ein weiterer Selbstbehalt ist nicht abzuziehen. Zwar ist gemäß Seite 2 der Police (Anlage K1) ein allgemeiner Selbstbehalt (sog. Policen-Selbstbehalt) von 25.000 € vereinbart. Aus A1-15.2 AVB ergibt sich jedoch, dass es sich dabei um einen Mindest-Selbstbehalt handelt. Die bisherigen zu berücksichtigenden Sub-Selbstbehalte addieren sich auf 35.821 € (= Betriebsunterbrechung 35.321 € + Sachschaden 500 €), so dass der allgemeine Selbstbehalt aufgrund dieser speziellen Selbstbehalte bereits abgegolten ist.

5. Der Anspruch der Klägerin ist nicht wegen grob fahrlässiger Herbeiführung des Versicherungsfalls zu kürzen.

Nach § 81 Abs. 2 VVG, auf welchen sich die Beklagte berufen hat, ist der Versicherer berechtigt, seine Leistung in einem der Schwere des Verschuldens des Versicherungsnehmers entsprechenden Verhältnis zu kürzen, wenn der Versicherungsnehmer den Versicherungsfall grob fahrlässig herbeigeführt hat.

a. Der gerichtliche Sachverständige hat mehrere denkbare Maßnahmen aufgeführt, durch welche der Cyber-Angriff verhindert oder zumindest erschwert worden wäre. Hier sind insbesondere die Zwei-Faktoren-Authentifizierung und das sog. Monitoring zu nennen. Bei der Zwei-Faktoren-Authentifizierung ist neben dem Passwort eine weitere Komponente für die Anmeldung beim Netzwerk erforderlich. Diese weitere Komponente wird etwa über einen USB-Stick oder aber über eine App für das Handy bereitgestellt (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Das Monitoring schlägt Alarm, wenn Unregelmäßigkeiten auftreten, also etwa alle Server zeitgleich angegriffen werden, indem ein Mitarbeiter der Firma verständigt wird, etwa per SMS über das Handy. Dieser Mitarbeiter ist dann verpflichtet, sich beim System anzumelden und Überprüfungen vorzunehmen. Sollte dabei ein Angriff entdeckt werden, können, falls notwendig, alle Server vom Netz genommen werden, um Schlimmeres zu verhindern (Protokoll vom 28.04.2023 Seite 5, Bl. 587 d.A.).

b. Die Norm des § 81 Abs. 2 VVG ist vorliegend jedoch bereits nicht anwendbar, weshalb eine Kürzung ausscheidet.

Der Anwendungsbereich des § 81 Abs. 2 VVG ist dann nicht eröffnet, wenn die betreffende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; ähnlich BGH NJW 1965, 156, 157). So liegt der Fall hier. Bei der Klägerin hat sich die Risikolage bis zum 29./30.05.2020 gegenüber dem Zustand bei Vertragsschluss im April 2020 nicht geändert. Denn bereits damals verfügte die Klägerin weder über eine Zwei-Faktoren-Authentifizierung noch über ein Monitoring oder eine andere vergleichbare Maßnahme zur Vermeidung von Cyber-Angriffen. Die Beklagte hätte es selbst in der Hand gehabt, die Existenz solcher zusätzlichen Sicherheitsmaßnahmen durch passende Risikofragen abzuklären. Indem die Beklagte hierauf verzichtete, hat sie die Klägerin als Versicherungsnehmerin mit der bestehenden Risikolage akzeptiert und kann von Beginn an bestehende Risiken nicht über § 81 Abs. 2 VVG (ganz oder teilweise) der Versicherungsnehmerin aufbürden. Zu einer Abänderung, insbesondere Verbesserung der bei Vertragsschluss bestehenden Risikolage ist der Versicherungsnehmer nämlich nicht verpflichtet (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.). Diese Überlegungen gelten auch nach der VVG-Reform fort und finden daher auf § 81 VVG ebenso Anwendung wie auf § 61 VVG a.F. (vgl. zum neuen Recht: BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; anders wohl Langheid/Wandt/Looschelders, 3. Aufl. 2022, VVG § 81 Rn. 26).

6. Der Anspruch ist nach §§ 286 Abs. 1, Abs. 2 Nr. 3, 288 Abs. 1 BGB ab dem 05.06.2020 mit dem gesetzlichen Zinssatz zu verzinsen. Die Beklagte hat mit dem Rücktrittsschreiben vom 04.06.2020 (Anlage K 7) die Leistung aus dem Versicherungsvertrag ernsthaft und endgültig verweigert und befindet sich daher ab dem Folgetag im Verzug (BGH, 27.09.1989 – IVa ZR 156/88, VersR 1990, 153; Armbrüster, in Prölss/Martin, Versicherungsvertragsgesetz, 31. Auflage 2021, § 14 Rn. 29 m.w.N.).


Den Volltext der Entscheidung finden Sie hier:


Bundeskartellamt: Prüfung ob Microsoft eine überragende marktübergreifenden Bedeutung für den Wettbewerb nach § 19a GWB hat

Das Bundeskartellamt prüft, ob Microsoft eine überragende marktübergreifenden Bedeutung für den Wettbewerb nach § 19a GWB hat.

Die Pressemitteilung des Bundeskartellamtes:
Prüfung Microsofts marktübergreifender Bedeutung
Das Bundeskartellamt hat am 28. März 2023 ein Verfahren gegen Microsoft eingeleitet, um zu prüfen, ob dem Unternehmen eine überragende marktübergreifende Bedeutung für den Wettbewerb zukommt.

Grundlage des Verfahrens sind die Befugnisse, die das Bundeskartellamt im Rahmen der erweiterten Missbrauchsaufsicht über große Digitalkonzerne Anfang 2021 erhalten hat (§ 19a GWB). Danach kann die Behörde in einem zweistufigen Verfahren Unternehmen, die eine überragende marktübergreifende Bedeutung für den Wettbewerb haben, bestimmte wettbewerbsgefährdende Praktiken untersagen.

Eingeleitet hat das Bundeskartellamt gegen Microsoft zunächst die erste Stufe, d.h. ein Verfahren zur Feststellung der marktübergreifenden Bedeutung. Ein Anhaltspunkt für eine solche Position kann das Vorliegen eines digitalen Ökosystems sein, das sich über verschiedene Märkte erstreckt. Damit verbundene Machtstellungen sind von anderen Unternehmen oft nur schwer angreifbar.

Andreas Mundt, Präsident des Bundeskartellamtes: „Microsoft hat mit Windows und den Office-Produkten traditionell eine sehr starke Stellung bei Betriebssystemen und Büro-Software. Darauf aufbauend hat es sein Produktangebot sowohl für Unternehmenskunden als auch für Verbraucherinnen und Verbraucher ständig erweitert. In jüngerer Zeit sehen wir eine stark gewachsene Bedeutung der Cloud-Dienste Azure und OneDrive, die vielfach mit anderen Microsoft-Anwendungen verbunden sind, sowie den durchschlagenden Erfolg von Teams, einer Software für Videokonferenzen und zum gemeinsamen Arbeiten. Darüber hinaus ist Microsoft in weiteren Bereichen wie dem Gaming durch die Xbox, Karrierenetzwerken mit dem Dienst LinkedIn oder der Internet-Suche mit der Suchmaschine Bing tätig und machte zuletzt mit der Integration von KI-Anwendungen auf sich aufmerksam. Angesichts dessen gibt es gute Gründe zu prüfen, ob Microsoft eine überragende marktübergreifende Bedeutung zukommt. Eine solche Feststellung würde es uns erlauben, etwaige wettbewerbsgefährdende Verhaltensweisen frühzeitig aufzugreifen und zu untersagen.“

Ein Verfahren zur Untersuchung konkreter Verhaltensweisen Microsofts ist mit der heutigen Entscheidung zur Verfahrenseinleitung noch nicht verbunden. Soweit sich aufgrund von Beschwerden oder sonstigen Hinweisen Anhaltspunkte für potentiell wettbewerbsgefährdende Praktiken Microsofts ergeben, wird hierüber – auch in Abstimmung mit der Europäischen Kommission und ggf. weiteren Wettbewerbsbehörden – gesondert zu entscheiden sein.

Das Bundeskartellamt hat eine überragende marktübergreifende Bedeutung für den Wettbewerb bereits in Bezug auf die Unternehmen Alphabet/Google (vgl. Pressemitteilung vom 5. Januar 2022) und Meta rechtskräftig festgestellt (vgl. Pressemitteilung vom 4. Mai 2022). Amazon hat die Verfügung, mit der das Bundeskartellamt eine entsprechende Feststellung getroffen hat, angefochten. Das Beschwerdeverfahren ist vor dem Bundesgerichtshof anhängig (vgl. Pressemitteilung vom 14. November 2022). Die Prüfung, ob dem Apple-Konzern eine solche Stellung zukommt, ist weit fortgeschritten (vgl. Pressemitteilung vom 21. Juni 2021).



LAG Köln: Einführung von Microsoft Office 365 unterliegt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG

LAG Köln
Beschluss vom 21.05.2021
9 TaBV 28/20


Das LAG Köln hat entschieden, dass die Einführung vo Microsoft Office 365 der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG unterliegt.

Aus den Entscheidungsgründen:

"2.) Der Hauptantrag und die Hilfsanträge sind nicht begründet, da das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung von Microsoft Office 365 nicht dem Antragsteller, sondern dem Gesamtbetriebsrat der d -d GmbH & Co. KG zusteht, und sich insoweit eine Differenzierung zwischen den einzelnen Modulen verbietet.

a) Die Einführung von Microsoft Office 365 unterliegt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, da es sich um eine technische Einrichtung handelt, die dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dies ist nach der Rechtsprechung des BAG dann der Fall, wenn die Einrichtung objektiv geeignet ist, Verhaltens- oder Leistungsinformationen über den Arbeitnehmer zu erheben und aufzuzeichnen; auf die subjektive Überwachungsabsicht des Arbeitgebers kommt es nicht an (BAG, Beschluss vom 11. Dezember 2018– 1 ABR 13/17, juris Rn. 24).

b) Diese Voraussetzung liegen hier vor, da bei der Verwendung der verschiedenen Module von Microsoft Office 365 das Nutzungsverhalten wie etwa die Nutzungszeit erfasst und Nutzungsanalysen erstellt werden. Auf die diesbezüglichen Ausführungen des Arbeitsgerichts, denen die Kammer sich anschließt, wird Bezug genommen (Bl. 297 d.A.).

c) Zuständig für die Ausübung des Mitbestimmungsrechtes nach § 87 Abs. 1Nr. 6 BetrVG ist gemäß § 50 Abs. 1 Satz 1 BetrVG der Gesamtbetriebsrat der d -d GmbH & Co. KG, da es sich bei der unternehmensweiten Einführung von Microsoft Office 365 um eine Angelegenheit handelt, die das Gesamtunternehmen oder mehrere Betriebe der d -d GmbH & Co. KG betrifft und nicht durch die einzelnen Betriebsräte innerhalb ihrer Betriebe geregelt werden kann, weil objektiv ein zwingendes Erfordernis für eine unternehmenseinheitliche oder betriebsübergreifende Regelung besteht (vgl. BAG, Beschluss vom 18. Juli 2017 – 1 ABR 59/15, BAGE 159, 360-367, juris Rn. 19). Diese Zuständigkeitsregelung ist zwingend (Fitting, 30. Aufl. 2020, § 50 BetrVG, Rn. 3) und kann weder durch einen Tarifvertrag noch durch eine Betriebsvereinbarung und erst recht nicht durch eine Regelungsabrede, wie sie der Antragsteller behauptet hat, abgedungen werden

aa) Das Vorliegen eines zwingenden Erfordernisses bestimmt sich nach Inhalt und Zweck des Mitbestimmungstatbestands, der einer zu regelnden Angelegenheit zu Grunde liegt. Maßgeblich sind stets die konkreten Umstände des Unternehmens und der einzelnen Betriebe (BAG, Beschluss vom 18. Juli 2017 – 1 ABR 59/15, BAGE 159, 360-367, juris Rn. 19). Dieses Erfordernis kann sich aus technischen oder rechtlichen Gründen ergeben (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161, juris Rn. 22). Eine technische Notwendigkeit zu einer betriebsübergreifenden Regelung kann ua. dann bestehen, wenn im Wege der elektronischen Datenverarbeitung in mehreren Betrieben Daten erhoben und verarbeitet werden, die auch zur Weiterverwendung in anderen Betrieben bestimmt sind (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161 Rn. 30). In einem solchen Fall kann es aus arbeitstechnischen Gründen erforderlich sein, in den Betrieben auf den dortigen Rechnern dieselbe Software zu implementieren. Die Verwendung derselben Programme, Eingabemasken und Formate sorgt in solchen Fällen dafür, dass die in den Betrieben erhobenen und verarbeiteten Daten exportiert und importiert und sodann in anderen Betrieben ohne zusätzlichen technischen Aufwand genutzt werden können. Dies gilt auch dann, wenn die Betriebe nicht unmittelbar miteinander vernetzt sind, sondern der Datentransfer über einen gemeinsamen Server stattfindet. In einem solchen Fall ist eine unterschiedliche Ausgestaltung des elektronischen Datenverarbeitungssystems in den einzelnen Betrieben mit dessen einheitlicher Funktion nicht vereinbar (BAG, Beschluss vom 14. November 2006 – 1 ABR 4/06, BAGE 120, 146-161 Rn. 30). Ein zwingendes Erfordernis für eine unternehmensübergreifende Regelung aus technischen Gründen liegt auch dann vor, wenn wegen der bestehenden zentralen Nutzungs- und Überwachungsmöglichkeiten eine betriebsindividuelle Regelung ausscheidet (vgl. zum Konzernbetriebsrat BAG, Beschluss vom 25. September 2012 – 1 ABR 45/11, juris Rn. 26). Dies ist der Fall, wenn die technische Einrichtung erhobene Daten betriebsübergreifend verknüpfen kann und hierdurch die von den Arbeitnehmern erhobenen Leistungs- und Verhaltensdaten unternehmensweit erhoben, gefiltert und sortiert werden können (vgl. zum Konzernbetriebsrat BAG, Beschluss vom25. September 2012 – 1 ABR 45/11, juris Rn. 27). Eine technische Notwendigkeit liegt hingegen dann nicht vor, wenn keine Weitergabe erhobener Daten an andere Betriebe erfolgt und unternehmensübergreifende Nutzungs- und Überwachungsmöglichkeiten fehlen (vgl. BAG, Beschluss vom 26.01.2016 – 1 ABR 68/13, juris Rn. 26). Das ist hier aber nicht der Fall.

bb) Wie das Arbeitsgericht zutreffend erkannt hat, kann der Einsatz von Microsoft Office 365 auf Grund der Datenspeicherung auf einer sog. cloud und der zentralen Administration des Systems durch in K ansässige Administratoren aus technischen Gründen nur unternehmenseinheitlich geregelt werden. Es handelt sich insofern um eine zentrale Datenverarbeitung, weil die Administratoren am Standort K über Zugriffs- und Auswertungsmöglichkeiten in Bezug auf die für Arbeitnehmer anderer Betriebe erfassten Daten verfügen. Die zentrale Administra-tion stellt keine Beeinflussung der Zuständigkeitsebene durch die Arbeitgeberseite dar. Die zentrale Vergabe von Administrationsrechten ist der Entscheidung für die 1-Tenant-Lösung geschuldet, die von Seiten des Systems eine zentrale Administration vorsieht. Die Entscheidung für die 1-Tenant-Lösung wurde aber nicht durch die Arbeitgeberinnen alleine, sondern auf Grund der Verwerfung der Multi-Tenant-Lösung in der 1. Sitzung der Einigungsstelle gemeinsam mit dem Antragsteller getroffen. Zudem besteht keine Möglichkeit, die verschiedenen Module von Microsoft Office 365 derart unterschiedlich zu administrieren, dass das technisch zwingende Erfordernis einer unternehmenseinheitlichen Regelung entfiele.

cc) Im Hinblick auf die Module Yammer, Sway, Planner und PowerApps besteht bereits nach dem Vortrag des Antragstellers lediglich die Möglichkeit, diese für verschiedene Nutzergruppen durch den zentralen Administrator ein- oder auszuschalten, wodurch eine örtliche Regelbarkeit entfällt.

dd) Auch hinsichtlich der Module Teams, Office ProPlus, Stream und ToDo bestehen keine unterschiedlichen Administrationsmöglichkeiten, die das technisch zwingende Erfordernis einer unternehmenseinheitlichen Regelung entfallen ließen.

(1) Für das Modul Teams besteht zwar die Möglichkeit, unterschiedliche Einstellungen für unterschiedliche Gruppen vorzunehmen, indem diesbezüglich Richtlinien definiert werden. Auch diese können jedoch auf Grund der zentralen Administrierung nicht durch Einräumung von Administrationsrechten gegenüber dem lokalen Anwender erstellt werden, sondern müssen durch die zentralen Administratoren definiert und einzelnen Benutzern oder Gruppen zugewiesen werden. Die Einstellungsmöglichkeit zur Bildung von Nutzergruppen führt nicht dazu, dass die dabei entstehenden Daten im lokalen Betrieb verbleiben, weil die Speicherung und Verarbeitung über die cloud erfolgt, sodass weiterhin Zugriffs- und Auswertungsmöglichkeiten für die Administratoren in K bestehen.

(2) Gleiches gilt im Ergebnis hinsichtlich der Module Office ProPlus, ToDo und Stream. Zwar können diese Module nach Download aus der cloud und lokaler Installation grundsätzlich auch unabhängig von der cloud genutzt werden. Eine betriebsübergreifende Zugriffs- und Überwachungsmöglichkeit würde dann nicht mehr bestehen. Dies ist aber für die Frage nach der Zuständigkeit für die Ausübung des Mitbestimmungsrechtes unerheblich, weil hier nicht die Zuständigkeit im Hinblick auf die einzelnen Module und ihre unterschiedlichen Einsatzmöglichkeiten in Frage steht, sondern die Zuständigkeit im Hinblick auf die Einführung von Microsoft Office 365 als Gesamtpaket einschließlich der damit verbundenen cloud -Nutzung. Die Tatsache, dass einzelne Module auch separat auf dem Markt angeboten und in dieser Form erworben bzw. genutzt werden können, ist insofern für den hier vorliegenden Fall der cloud-basierten Nutzung als Gesamtsystem ohne Belang. Denn es handelt sich um unterschiedliche Produkte und damit auch unterschiedliche Mitbestimmungsgegenstände. Das fehlende technisch zwingende Erfordernis kann nicht damit begründet werden, dass eine andere technische Einrichtung keine Zugriffs- und Überwachungsmöglichkeiten bietet. Gleiches gilt für die durch den Antragsteller vorgeschlagenen Möglichkeiten zur Nutzung von betriebslokalen Exchange Servern und der Anmietung weiterer Tenants.

ee) Dem steht nicht entgegen, dass das zwingende Erfordernis nicht durch das reine Interesse an einer unternehmenseinheitlichen Lösung begründet werden darf. Im Vordergrund steht, dass die Arbeitgeberinnen ein cloud-basiertes System unternehmensweit einführen wollen. Diesem Regelungsgegenstand ist auf Grund der damit verbundenen Zugriffs- und Überwachungsmöglichkeiten das Erfordernis einer unternehmenseinheitlichen Einführung inhärent. Insoweit kann der Antragsteller der Zuständigkeit des Gesamtbetriebsrates nicht entgegenhalten, dass das Vorliegen eines technischen Erfordernisses lediglich im Hinblick auf einzelne Module bestehe und der Arbeitgeberseite die Möglichkeit eröffnet werde, die Zuständigkeit der örtlichen Betriebsräte durch die Verknüpfung unterschiedlicher IT-Module auszuschließen. Denn der Mitbestimmungstatbestand ist einheitlich zu betrachten. Eine Aufteilung kommt insofern nicht in Betracht.

f) Unerheblich für die Zuständigkeit für die Ausübung des Mitbestimmungsrechtes ist hingegen die von den Arbeitgeberinnen vorgebrachte Befürchtung, dass separate Nutzungsverweigerungen in einem Betrieb einen Nachteil der Mitarbeiterinnen dieses Betriebs gegenüber den Mitarbeiterinnen aller anderen Betriebe darstellen würden. Denn der Gleichbehandlungsgrundsatz bestimmt die Regelungsmacht der Betriebsparteien bei der Ausübung der Mitbestimmungsrechte, er hat jedoch keinen Einfluss auf die gesetzliche Zuständigkeitsverteilung zwischen den Betriebsverfassungsorganen (BAG, Beschluss vom 23. August 2016 – 1 ABR 43/14, juris Rn. 21; BAG, Beschluss vom 23. März 2010 – 1 ABR 82/08, BAGE 133, 373-379 Rn. 17). Es handelt sich um eine reine Zweckmäßigkeitserwägung des Arbeitgebers (BAG, Beschluss vom 23. August 2016 – 1 ABR 43/14, juris Rn. 21). Die Verpflichtung zur Gleichbehandlung ist vielmehr kompetenzakzessorisch. Erst die jeweiligen Betriebsvereinbarungen sind am Maßstab des Gleichbehandlungsgrundsatzes des § 75 Abs. 1 BetrVG zu messen (Beschluss vom 23. März 2010 – 1 ABR 82/08, BAGE 133, 373-379 Rn. 17). Ob separate Nutzungsverweigerungen in einem Betrieb einen Nachteil der Mitarbeiterinnen dieses Betriebs gegenüber den Mitarbeiterinnen aller anderen Betriebe darstellen, ist insofern erst bei der Ausübung des Mitbestimmungsrechts durch den zuständigen Gesamtbetriebsrat erheblich. Auf die dieser vorgelagerten Zuständigkeitsfrage haben etwaige Ungleichbehandlungen ebenso wenig Einfluss wie die datenschutzrechtlichen Bedenken des Betriebsrats, welche die Frage betreffen, ob der zuständige Gesamtbetriebsrat der d -d GmbH & Co. KG sein Mitbestimmungsrecht wirksam ausgeübt hat.

d) Hingegen kann der Gesamtbetriebsrat der d T GmbH für die Einführung von Microsoft Office 365 in dem Betrieb des Antragstellers nicht zuständig sein. Für einen Gemeinschaftsbetrieb, wie es zwischen der d -d GmbH & Co. KG und der d T GmbH bestand, können zwar auf Grund der Verpflichtung der Unternehmen zur Bildung jeweils betriebsübergreifender Gesamtbetriebsräte ggf. mehrere Gesamtbetriebsräte zuständig sein, wobei diese jeweils ausschließlich für die Arbeitnehmer desjenigen Unternehmens Regelungen treffen können, für die der Gesamtbetriebsrat gebildet wurde (so Hoffmann/Alles NZA 2014, 757, 758). Eine Zuständigkeit des Gesamtbetriebsrates der d T GmbH kommt für den Betrieb des Antragstellers aber nicht mehr in Betracht, nachdem die d T GmbH im Juni 2020 eine eigene selbstständige Betriebsstätte in W eröffnet hat, für die unangefochten ein eigener Betriebsrat gewählt wurde. Die Zuständigkeit des Gesamtbetriebsrats der d -d markt GmbH & Co. KG für die Einführung von Microsoft Office 365 besteht zudem unabhängig davon, ob in ihn unternehmensfremde Betriebsräte eines Gemeinschaftsbetriebs entsandt sind. Denn die Frage nach der gesetzlichen Zuständigkeit ist von der der Thematik der wirksamen Bildung des Mitbestimmungsorgans zu trennen."


Den Volltext der Entscheidung finden Sie hier:


EuG: Verwechslungsgefahr zwischen Wortmarke Sky und Wort-/Bildmarke Skype - Markeneintragung der Skype-Marke vom HABM zu Recht abgelehnt

EuG
Urteile vom 05.05.2015
T-423/12, T-183/13 und T-184/13
Skype Ultd/HABM



Das Gericht der Europäischen Union (und nicht der EuGH wie fälschlicherweise an vielen Stellen berichtet wird, so z.B. bei tagesschau.de ) hat entschieden, dass zwischen der Wortmarke Sky und Wort-/Bildmarke Skype Verwechslungsgefahr besteht.

Die Pressemitteilung des EuG:

"Das Gericht der EU bestätigt, dass zwischen den Wort- und Bildzeichen SKYPE und der Wortmarke SKY Verwechslungsgefahr besteht

In den Jahren 2004 und 2005 meldete die Gesellschaft Skype beim Harmonisierungsamt für den Binnenmarkt (HABM) die Wort- und Bildzeichen SKYPE als Gemeinschaftsmarke für Waren im Bereich der Ausstattung von Audio- und Videogeräten, der Telefonie und der Fotografie sowie für IT-Dienstleistungen im Zusammenhang mit Software, der Einrichtung von Websites oder WebsiteHosting an.

In den Jahren 2005 und 2006 erhob die Gesellschaft British Sky Broadcasting Group, nunmehr Sky und Sky IP International, Widerspruch und machte geltend, dass Verwechslungsgefahr mit ihrer im Jahr 2003 für die gleichen Waren und Dienstleistungen angemeldeten Gemeinschaftswortmarke SKY bestehe.

Mit Entscheidungen aus den Jahren 2012 und 2013 hat das HABM dem Widerspruch stattgegeben und entschieden, dass zwischen den einander gegenüberstehenden Zeichen u. a. aufgrund ihrer bildlichen, klanglichen und begrifflichen Ähnlichkeit mittleren Grades Verwechslungsgefahr bestehe und dass die Voraussetzungen für die Feststellung einer Verringerung dieser Gefahr nicht vorlägen. Skype beantragt beim Gericht der Europäischen Union die Aufhebung dieser Entscheidungen.
Mit seinen heutigen Urteilen weist das Gericht die Klagen von Skype ab und bestätigt damit, dass zwischen den Wort- und Bildzeichen SKYPE und der Wortmarke SKY Verwechslungsgefahr besteht.

In Bezug auf die bildliche, klangliche und begriffliche Ähnlichkeit der einander gegenüberstehenden Zeichen bestätigt das Gericht, dass der Vokal „y“ im Wort „skype“ nicht kürzer ausgesprochen wird als im Wort „sky“. Darüber hinaus bleibt das Wort „sky“, das zum Grundwortschatz der englischen Sprache gehört, im Wort „skype“ trotz dessen Zusammenschreibung klar erkennbar. Schließlich sind die relevanten Verkehrskreise ohne Weiteres in der Lage, den Bestandteil „sky“ im Wort „skype“ zu erkennen, auch wenn der verbleibende Bestandteil „pe“ keine eigenständige Bedeutung hat. Der Umstand, dass der Wortbestandteil „skype“ im angemeldeten Bildzeichen von einer Umrandung in Wolken- oder Sprechblasenform umgeben ist, stellt den mittleren Grad bildlicher, klanglicher und begrifflicher Ähnlichkeit nicht in Frage. In bildlicher Hinsicht beschränkt sich der Bildbestandteil auf die Hervorhebung des Wortbestandteils und wird daher nur als bloße Umrandung wahrgenommen. In klanglicher Hinsicht ist der Bildbestandteil in Form einer Umrandung nicht geeignet, einen klanglichen Eindruck zu erzeugen; dieser bleibt ausschließlich dem Wortbestandteil vorbehalten. Begrifflich lässt der Bildbestandteil allenfalls an eine Wolke
denken, was geeignet wäre, die Wahrscheinlichkeit, dass im Wortbestandteil „skype“ das Element „sky“ erkannt wird, noch zu erhöhen, da sich Wolken „im Himmel“ befinden und daher leicht mit dem Wort „sky“ in Verbindung gebracht werden können.
In Bezug auf das Argument, die Unterscheidungskraft der Zeichen „skype“ sei aufgrund ihrer Bekanntheit in der Öffentlichkeit erhöht, stellt das Gericht fest, dass es sich bei dem Wort „skype“, selbst wenn es für die Erfassung der von der Gesellschaft Skype angebotenen Telekommunikationsdienstleistungen eine eigenständige Bedeutung erlangt haben sollte, um einen allgemeinen und folglich beschreibenden Begriff für diese Art von Dienstleistungen handelt. Schließlich bestätigt das Gericht, dass es nicht möglich ist, die friedliche Koexistenz der einander im Vereinigten Königreich gegenüberstehenden Zeichen als einen zur Verringerung der Verwechslungsgefahr geeigneten Faktor zu berücksichtigen, weil die Voraussetzungen dafür nicht
vorliegen. Die friedliche Koexistenz dieser Zeichen im Vereinigten Königreich betrifft nämlich nur eine isolierte und ganz spezifische Leistung (die Punkt-zu-Punkt-Kommunikationsdienstleistungen) und ist daher nicht geeignet, die Verwechslungsgefahr für die zahlreichen anderen beanspruchten Waren und Dienstleistungen zu verringern. Darüber hinaus bestand diese Koexistenz nicht lange genug, um annehmen zu können, dass sie auf der fehlenden Verwechslungsgefahr in der
Wahrnehmung der relevanten Verkehrskreise beruhte.

HINWEIS: Gegen die Entscheidung des Gerichts kann innerhalb von zwei Monaten nach ihrer Zustellung ein
auf Rechtsfragen beschränktes Rechtsmittel beim Gerichtshof eingelegt werden.

HINWEIS: Eine Nichtigkeitsklage dient dazu, unionsrechtswidrige Handlungen der Unionsorgane für nichtig
erklären zu lassen. Sie kann unter bestimmten Voraussetzungen von Mitgliedstaaten, Organen der Union
oder Einzelnen beim Gerichtshof oder beim Gericht erhoben werden. Ist die Klage begründet, wird die
Handlung für nichtig erklärt. Das betreffende Organ hat eine durch die Nichtigerklärung der Handlung etwa
entstehende Regelungslücke zu schließen.

HINWEIS: Die Gemeinschaftsmarke gilt in der gesamten Europäischen Union und besteht neben den
nationalen Marken. Gemeinschaftsmarken werden beim HABM angemeldet. Dessen Entscheidungen
können beim Gericht angefochten werden."


LG Berlin: Verbraucherschützer vs Google - Zahlreichen Klauseln in Datenschutzerklärung und Nutzungsbedingungen von Google unzulässig

LG Berlin
Urteil vom 19.11.2013
15 O 402/12
nicht rechtskräftig


Das LG Berlin hat zahlreiche Klauseln in der Datenschutzerklärung sowie den Nutzungsbedingungen von Google für unzulässig erklärt. Der Verbraucherzentrale Bundesverbands (vzbv) hatte auf Unterlassung geklagt.

Das Ergebnis überrascht nicht. Im Regelfall sind die Bedingungen der großen Anbieter wie z.B. Apple, Facebook, Microsoft & Co. ein Sammelsurium unzulässiger Klauseln. Die im Regelfall aus dem anglo-amerkanischen Rechtsraum stammenden Vertragsbedingungen sind häufig mit dem deutschen Recht schlicht nicht zu vereinbaren. Nach zutreffender Ansicht müssen auch ausländische Unternehmen die deutsche Rechtslage beachten, sofern sie ihre Dienste bestimmungsgmäß in Deutschland anbieten.

Aus der Pressemitteilung des vzbv:

"Das Landgericht Berlin hat heute nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) zahlreiche Vertragsklauseln des Internetkonzerns Google für rechtswidrig erklärt. Betroffen sind insgesamt 25 Klauseln aus den Nutzungs- und Datenschutzbestimmungen, die zu unbestimmt formuliert waren oder die Rechte der Verbraucher unzulässig einschränkten.
[...] Google hatte sich in der Datenschutzerklärung unter anderem das Recht vorbehalten, „möglicherweise“ gerätespezifische Informationen und Standortdaten zu erfassen oder „unter Umständen“ personenbezogene Daten aus den verschiedenen Google-Diensten miteinander zu verknüpfen. Für Verbraucher blieb unklar, wozu sie ihre Zustimmung genau erteilen sollten. Zudem konnten personenbezogene Daten auch ohne aktive Einwilligung erfasst, ausgewertet und weiterverarbeitet werden.
[...]
Zwölf Nutzungsbedingungen enthielten Formulierungen, die die Rechte der Verbraucher einschränkten. Der Konzern behielt sich auch vor, sämtliche in den Diensten eingestellte Daten zu überprüfen, zu ändern und zu löschen, Anwendungen sogar durch direkten Zugriff auf das Gerät zu entfernen sowie Funktionen und Features der Dienste nach Belieben komplett einzustellen. Nur sofern es „vernünftigerweise möglich“ sei, werde der Nutzer vorab über die Änderung des Dienstes informiert. Eine Erläuterung, was darunter zu verstehen ist, fehlte. Zudem nahm sich Google das Recht, die Nutzungsbestimmungen einseitig ohne Einwilligung des Verbrauchers zu ändern. Der vzbv hielt das für unangemessen benachteiligend. Das Landgericht schloss sich im Ergebnis dieser Auffassung an und erklärte die eingeklagten Bedingungen für rechtswidrig."


Verbraucherzentrale mahnt rechtswidrige AGB und Nutzungsbedingungen der App-Stores von Apple, Google, Microsoft & Co. ab

Der Verbraucherzentrale Bundesverband (vzbv) weist in einer Pressemitteilung auf rechtswidrige Klauseln in den AGB und Nutzungenbedingungen der App-Stores von Apple, Google, Microsoft & Co. hin. Der vzbv hat nach eigenen Angaben 10 Abmahnungen versandt und die Betreiber zur Unterlassung aufgefordert.

LG Hamburg: Gebrauchtsoftware-Anbieter software-billiger.de erwirkt einstweilige Verfügung gegen Microsoft wegen Warnung vor angeblich gefälschter Software

LG Hamburg
Beschluss vom 02.04.2012
327 O 141/12
softwarebilliger.de ./. Microsoft

Der Anbieter von Gebrauchtsoftware softwarebilliger.de hat eine einstweilige Verfügung gegen Microsoft erwirkt. Das LG Hamburg hat Microsoft u.a. verboten, in einer Pressemitteilung vor dem "Kauf gefälschter Software auf www.software-billiger.de" zu warnen. Die Entscheidung zeigt wieder einmal, dass bei der Formulierung von Pressemitteilungen große Vorsicht geboten ist.

Den Volltext der Entscheidung finden Sie hier:

BGH-Entscheidung zur Markenrechtsverletzung durch Verkauf von Recovery-CD´s liegt im Volltext vor - Echtheitszertifikat

BGH
Urteil vom 06.10.2011
I ZR 6/10 -
Echtheitszertifikat
MarkenG § 14 Abs. 2 Nr. 1, § 24 Abs. 1 und 2


Leitsatz des BGH:
Bringt ein Wiederverkäufer mit der Marke des Softwareherstellers versehene Sicherungs-CDs eines Computerprogramms in den Verkehr, die er mit Echtheitszertifikaten des Herstellers versehen hat, die zuvor nicht auf den CDs, sondern auf Computern angebracht waren, kann sich der Softwarehersteller dem
Vertrieb der Datenträger aus berechtigten Gründen im Sinne von § 24 Abs. 2
MarkenG widersetzen.

BGH, Urteil vom 6. Oktober 2011 - I ZR 6/10 - OLG Frankfurt am Main- LG Frankfurt am Main

Den Volltext der Entscheidung finden Sie hier:

BGH: Markenrechtsverletzung, wenn ursprünglich an einem Computer angebrachte Echtheitszertifikate zusammen mit der Recovery-CD verkauft werden

BGH
Urteil vom 06.10.2011
I ZR 6/10
Echtheitszertifikat


Der BGH hat entschieden, dass eine Markenrechtsverletzung vorliegt, wenn ursprünglich an einem Computer angebrachte Echtheitszertifikate zusammen mit der Recovery-CD ohne die ursprüngliche Hardware verkauft werden.

Aus der Pressemitteilung des BGH:

"Der für das Markenrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat die Revision der Beklagten zurückgewiesen. Dem Unterlassungsanspruch der Klägerin steht nicht der Erschöpfungsgrundsatz gemäß § 24 Markengesetz* entgegen. Zwar sind die von der Beklagten vertriebenen Datenträger und die Computer, an denen die von der Beklagten verwendeten Echtheitszertifikate angebracht waren, mit Zustimmung der Klägerin im Europäischen Wirtschaftsraum in den Verkehr gelangt. Die Klägerin kann sich aber aus berechtigten Gründen dem Vertrieb der mit den Echtheitszertifikaten versehenen Sicherungs-CDs widersetzen. Der Verbraucher wird einem mit dem Echtheitszertifikat versehenen Datenträger die Aussage entnehmen, dass dieser von der Klägerin selbst oder mit ihrer Zustimmung als echt gekennzeichnet wurde. Er wird die Verbindung des Datenträgers mit dem Zertifikat der Klägerin als Markeninhaberin zuschreiben und erwarten, dass diese durch die Verbindung die Gewähr dafür übernommen hat, dass die so gekennzeichnete Ware unter ihrer Kontrolle hergestellt wurde und sie für die Echtheit einsteht, was jedoch nicht der Fall ist."

Die vollständige Pressemitteilung des BGH finden Sie hier:

"BGH: Markenrechtsverletzung, wenn ursprünglich an einem Computer angebrachte Echtheitszertifikate zusammen mit der Recovery-CD verkauft werden" vollständig lesen