BECKMANN UND NORDA - Rechtsanwälte Bielefeld

LG Köln
Beschluss vom 29.07.2022
33 O 355/22

Das LG Köln hat entschieden, dass die Kündigungsmöglichkeit durch eine Schaltfläche auf einer Website nach § 312k Abs. 2 BGB auch ohne Eingabe von Kundennummer und Kundenkennwort möglich sein muss.

Aus dem Tenor:
[...]
Die Antragsgegnerin wird verpflichtet, es bei Meidung eines Ordnungsgeldes von bis zu 250.000,00 EUR, ersatzweise Ordnungshaft oder Ordnungshaft bis zu sechs Monaten, Ordnungshaft zu vollstrecken an den Mitgliedern der Geschäftsführung, es im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern künftig zu unterlassen, auf der Webseite www.o.de die den Abschluss von entgeltlichen Telekommunikationsverträgen in Form von Dauerschuldverhältnissen auf elektronischem Wege ermöglicht, keine unmittelbar und leicht zugängliche, insbesondere nicht erst nach Einloggen mit Kundennummer und Kundenkennwort erreichbare, Bestätigungsseite, sowie Schaltfläche für die Bestätigung einer Kündigung vorzuhalten, wenn dies geschieht, wie nachfolgend abgebildet [...]

Aus den Günden:
Der Anspruch auf Unterlassung ergibt sich aus § 2 Abs. 1, Abs. 2 Satz 1 Nr. 1 lit. b) UKlaG i.V.m. § 312k Abs. 2 BGB.

Die Antragsgegnerin, die über ihre Website den Abschluss von Dauerschuldverhältnissen ermöglicht, verletzt ihre Pflicht aus § 312k Abs. 2 Satz 2 BGB, den Verbraucher nach Betätigung der Kündigungsschaltfläche unmittelbar zu einer Bestätigungsseite zu führen, die den Verbraucher auffordert und ihm ermöglicht, die in § 312k Abs. 2 Satz 2 BGB genannten Angaben zu machen.

Die nach dem Gesetz abzufragenden Angaben sind ausweislich der Gesetzesbegründung zugleich als Minimalvorgabe und als Maximalvorgabe zu verstehen. Die Beschränkung der zu verlangenden Angaben soll Ausgestaltungen verhindern, bei denen der Unternehmer weitere, für den Verbraucher nicht ohne Weiteres verfügbare Daten abfragt und so eine einfache und unkomplizierte Kündigung erschwert. Zugleich soll die Abfrage dem Grundsatz der Datensparsamkeit nach der DS-GVO Rechnung tragen (BT-Drs. 19/30840, S. 15, 18; MüKoBGB/Wendehorst, 9. Aufl. 2022, BGB § 312k Rn. 16).

Durch die Abfrage des Kundenkennworts baut die Antragsgegnerin eine Hürde auf, die in der genannten Vorschrift nicht vorgesehen und geeignet ist, ihn von der Kündigung abzuhalten, weil ihm das Kennwort möglicherweise nicht zugänglich ist. Wenn derartige Identifizierungsmöglichkeiten angeboten werden, muss zugleich eine Möglichkeit bestehen, durch Angabe von Namen und weiteren gängigen Identifizierungsmerkmalen (Wohnanschrift, E-Mail-Adresse und dergleichen) eine Kündigung zu erklären (MüKoBGB/Wendehorst, 9. Aufl. 2022, BGB § 312k Rn. 18). Dies ist hier nicht der Fall.

Den Volltext der Entscheidung finden Sie hier:

LG Frankfurt
Urteil vom 18.09.2020
2-27 O 100/20

Das LG Frankfurt hat entschieden, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO voraussetzt, dass ein Rechtsgut der betroffenen Person infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert wurde.

Aus den Entscheidungsgründen:

Ein Anspruch des Klägers gegen die Beklagte auf Zahlung von 8400,00 € nach Art. 82 DSGVO besteht nicht.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Dem Kläger ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl aber ein immaterieller Schaden. Dieser liegt darin, dass seine personenbezogenen Daten Dritten ohne sein Einverständnis zugänglich wurden. Die Kompensation einer solchen öffentlichen "Bloßstellung" fällt unter Art. 82 Abs. 1 DSGVO (Ehmann/Selmayr, DSGVO, 2. Aufl., Art. 82 Rn. 13; Sydow, DSGVO, 2. Aufl., Art. 82 Rn. 6). Die Beklagte ist auch tauglicher Anspruchsgegner. Sie war Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, da sie über die Zwecke und Mittel der - unstreitig - stattgefundenen Verarbeitung der Daten des Klägers entschied.

Der Schaden muss jedoch wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein (Ehmann/Selmayr, DS-GVO 2. Aufl. Art. 82 Rn. 11).

Die Veröffentlichung der Daten, für die der Kläger einen Schadensersatz von 2000,00 € geltend macht, stellt an sich keinen Verstoß der Beklagten gegen die DSGVO dar. Die Veröffentlichung könnte nur dann als Verstoß gegen Art. 5 Abs, 1 a) oder f) DSGVO eingeordnet werden, wenn die Beklagte bzw, BB sie unberechtigt vorgenommen hätte. Dies lässt sich aber nicht feststellen und wird auch von dem Kläger nicht konkret vorgetragen. Der Kläger ist jedoch für den Verstoß gegen die DSGVO darlegungs- und beweisbelastet; erst hinsichtlich der Verantwortlichkeit für den Verstoß sieht Art, 82 Abs, 3 DSGVO eine Vermutung zu Lasten des Anspruchsgegners vor. Hat die Beklagte bzw. BB die Veröffentlichung nicht selbst vorgenommen, so kann sie lediglich die Folge einer Verletzung der Pflichten aus der DSGVO durch die Beklagte bzw. BB sein, nicht aber der Verstoß an sich.

Der Schadensersatzanspruch folgt weiter nicht daraus, dass die Beklagte die BB GmbH nicht nach Art. 28 Abs. 1 DSGVO ordnungsgemäß ausgewählt oder überwacht hat. Dass dies nicht geschehen ist, lässt sich nach dem Sach- und Streitstand schon nicht feststellen. Ein entsprechendes Beweisangebot des Klägers fehlt, ebenso entsprechende Indizien. Insbesondere kann der Kläger sich nicht darauf berufen, es sei offensichtlich, dass die BB GmbH ihr auferlegte Sicherheitsvorkehrungen nicht einhalten könne, weil es sich bei dem Firmensitz um ein Einfamilienhaus in einer Wohnsiedlung handele. Dass sich der Firmensitz dort befindet, sagt nichts darüber aus, wo die Datenverarbeitung erfolgt. Darüber hinaus lässt sich die Kausalität eines etwaigen Verstoßes gegen Pflichten der Beklagten aus der DSGVO für den Datenvorfall und damit für den Schaden des Klägers nicht feststellen. Denn letztlich ist - auch nach dem zuletzt gehaltenen und bestrittenen Vortrag des Klägers hinsichtlich des nicht geänderten Initialpassworts - letztlich unklar geblieben, wodurch das Datenleck verursacht wurde. Dass es durch ein anderes Auswahlverfahren, andere Sicherheitsvorkehrungen oder andere Überwachungen verhindert hätte werden können, bleibt danach Spekulation, Hinzu kommt, dass ein werkseitig individuell voreingestelltes Passwort im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort sein muss (BGH, Urteil vom 24. November 2016 - I ZR 220/15 —, Rn. 16, juris).

Soweit der Kläger seinen Anspruch in Höhe von 700,00 € darauf stützt, dass seine Daten nach dem 19.08.2019 noch verfügbar gewesen seien und jedenfalls während eines IT-Checks am 29.08.2019 jedermann habe auf sie zugreifen können, vermag dies ebenfalls keinen Schadensersatzanspruch zu begründen. Es kann dahinstehen, ob überhaupt ein Verstoß gegen die DSGVO vorliegt. Denn jedenfalls ist dem Kläger kein Schaden entstanden. Der Kläger behauptet nicht, dass nach dem 19,08.2019 seine Daten nochmals veröffentlicht worden seien oder sie von Unbefugten etwa während des Checks tatsächlich zur Kenntnis genommen worden wären. Dann aber steht dem Kläger kein Schadensersatzanspruch zu. Denn nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden (vgl. etwa Wybitul, NJW 2019, 3265 mwN), Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (Wybitul, aaO), Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet wird (sowohl Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 13), widerspricht der Systematik des deutschen Rechts. Die mitgliedsstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (Wytibul, aaO). Das ist jedoch in Deutschland nicht der Fall.

Aus dem identischen Grund steht dem Kläger kein Anspruch in Höhe von 700,00 € wegen Änderung des Administratorenpasswortes im Mai 2019 zu.

Ferner kann der Kläger nicht damit gehört werden, die Beklagte habe gegen Art. 28 DSGVO verstoßen, weil ein Vertrag nach dieser Norm mit BB fehle. Ein Schadensersatzanspruch in Höhe von 800,00 € besteht insofern nicht. Die Beklagte hat einen Datenverarbeitungsvertrag mit der BB GmbH geschlossen. Zwar ist in dem Vertrag kein Rechtsformzusatz für die dort bezeichnete "B..." genannt. Allerdings ergibt sich aus den weiteren zu ihr genannten Daten, dass es sich um die GmbH handelte. Dass der Vertrag nicht von sämtlichen Parteien unterzeichnet wurde, ist unerheblich. Nach Art. 28 Abs. 9 DSGVO bedarf es einer schriftlichen Abfassung, auch in elektronischem Format. Danach ist keine Unterzeichnung erforderlich (vgl. Ehmann/Semayr, DS-GVO, 2. Aufl., Art. 28 Rn. 12); es genügt die Abfassung in Textform nach § 126b BGB. Diesem Erfordernis genügt der Vertrag. Ferner ist nicht ersichtlich, dass der Vertrag den Anforderungen des Art. 28 DSGVO nicht genügen würde. Dass mit der BB Ltd. kein gesonderter Vertrag geschlossen wurde, ist ebenfalls unschädlich. Denn es war vertraglich unter Ziffer 7 des Vertrages geregelt, dass die BB GmbH bei einem Einsatz von Unterverarbeitern diesen gegenüber mindestens dieselben Datenschutzverpflichtungen festzulegen hatte, wie sie der Vertrag zwischen der Beklagten und der BB GmbH vorsah. Dies entspricht Art. 28 Abs. 4 DSGVO. Auch der hierfür geltend gemachte Anspruch in Höhe von 1000,00 € besteht nicht.

Auf die unterlassene Verwendung von Hashes kann der Kläger gleichfalls keinen Schadensersatzanspruch stützen, weil ein Verstoß gegen die DSGVO nicht vorliegt. Bei der Verarbeitung der personenbezogenen Daten muss eine angemessene Sicherheit gewährleistet sein, Art. 5 Abs. 1 f) DSGVO, Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung, wobei die Anforderungen in Art. 32 DSGVO festgelegt werden. Art, 32 Abs. 1 a) DSGVO erwähnt zwar Verschlüsselung als technisches Maßnahme, fordert die Anwendung von Hashes aber gerade nicht. Selbiges gilt für die PCC-DSS-Standards. Für seine Behauptung, es sei auch keine anderweitige Kryptografie erfolgt bietet der Kläger keinen Beweis an.

Der Kläger hat gegen die Beklagte keinen Anspruch auf Schadensersatz in Höhe von 1000,00 €, weil Daten gegenüber der M... International inc. ohne Rechtsgrundlage zugänglich gemacht worden wären. Dass der M... International Inc. im Rahmen des Priceless Specials Programms erhobene Daten von Kunden preisgegeben wurden, trägt der Kläger schon nicht substantiiert vor. Erst recht gilt dies für seine konkreten Daten. Dass die M... International Inc. an der Datenverarbeitung beteiligt war, ist aufgrund des als Anlage B 5 vorgelegten Vertrages auch keineswegs zwingend. Dies gilt auch dann, wenn die M... Inc. gemeinsame Verantwortliche nach Art, 26 DSGVO gewesen sein sollte. Denn der Verantwortliche hat die Entscheidungsgewalt über Zweck und Mittel der Verarbeitung; diese kann auch ausgeübt werden, ohne dass der Verantwortliche selbst an der Durchführung der Verarbeitung beteiligt ist (Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 4 Rn. 36). Es fehlt danach an einem Schaden des Klägers.

Die Behauptung des Klägers, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, rechtfertigt keinen Schadensersatzanspruch in Höhe von insgesamt 1200,00 €. Erneut fehlt es an einem Schaden des Klägers, weil nicht ersichtlich ist, dass seine Daten der M... International Inc. überhaupt zugänglich gemacht wurden. Überdies regelt Art. 26 DSGVÖ lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO. Schließlich kann der Kläger keinen Schadensersatz in Höhe von 1000,00 € deswegen gegen die Beklagte geltend machen, weil keine ausreichende Vereinbarung von Binding Corporate Rules für Zugriffsmöglichkeiten durch ein US-Unternehmen auf Daten erfolgt sei. Erneut ist schon eine Beeinträchtigung des Klägers nicht feststellbar (s.o.). Ungeachtet dessen lag für die M... International Inc. eine geeignete Garantie in Form von verbindlichen internen Datenschutzvorschriften nach Art. 46 Abs. 1, Abs. 2b), 47 DSGVO vor. Aus dem Datenverarbeitungsvertrag ergibt sich, dass durch die zuständige Aufsichtsbehörde genehmigte Binding Corporate Rules existierten, was ausreichend ist. Für seinen das in Abrede stellenden Vortrag ist der Kläger beweisfällig geblieben.

Für andere deliktische Ansprüche besteht eine Sperrwirkung der DSGVO (Sydow, DSGVO, 2. Aufl., Art. 82 Rn.27).

Ein Anspruch aus § 280 Abs. 1 BGB besteht gleichfalls nicht, weil sich nach den obigen Ausführungen nicht feststellen lässt, dass die Beklagte eine Vertragspflichtverletzung begangen hat, die kausal zu einem Schaden, nämlich der Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers, geführt hat.
Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 27.08.2020
III ZB 30/20
ZPO § 888 Abs. 1 Satz 1

Wir hatten bereits in dem Beitrag BGH: Facebook muss Erben eines verstorbenen Nutzers vollständigen Zugang zum Facebook-Konto gewähren - Übersendung einer PDF-Datei mit ausgelesenen Daten nicht ausreichend über die Entscheidung berichtet.

Leitsatz des BGH:
Zur Auslegung eines Vollstreckungstitels (siehe BGH, Urteil vom 12. Juli 2018 - III ZR 183/17, BGHZ 219, 243), der die - ein soziales InternetNetzwerk betreibende - Schuldnerin verpflichtet, den Erben einer verstorbenen Teilnehmerin an dem Netzwerk Zugang zu dem vollständigen Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten der Erblasserin zu gewähren.

BGH, Beschluss vom 27. August 2020 - III ZB 30/20 - KG Berlin - LG Berlin

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 27.08.2020
III ZB 30/20

Der BGH hat entschieden, dass Facebook den Erben eines verstorbenen Nutzers vollständigen Zugang zum Facebook-Konto gewähren muss. Die Übersendung einer PDF-Datei mit allen ausgelesenen Daten auf einem USB-Stick genügt nicht.

Die Pressemitteilung des BGH:

Zur Auslegung eines Urteils, das die Betreiberin eines sozialen Netzwerks verpflichtet, den Erben der Berechtigten eines Benutzerkontos Zugang zum vollständigen Konto zu gewähren

Der III. Zivilsenat des Bundesgerichtshofs hat entschieden, dass die Betreiberin eines sozialen Netzwerks, die verurteilt worden ist, den Erben einer Netzwerk-Teilnehmerin Zugang zu deren vollständigen Benutzerkonto zu gewähren, den Erben die Möglichkeit einräumen muss, vom Konto und dessen Inhalt auf dieselbe Weise Kenntnis zu nehmen und sich - mit Ausnahme einer aktiven Nutzung - darin so "bewegen" zu können wie zuvor die ursprüngliche Kontoberechtigte.

Sachverhalt

Die Schuldnerin betreibt ein soziales Netzwerk. Sie ist durch - vom Bundesgerichtshof (Urteil vom 12. Juli 2018 – III ZR 183/17 – Pressemitteilung 115/18) bestätigtes – rechtskräftig gewordenes Urteil des Landgerichts Berlin vom 17. Dezember 2015 verurteilt worden, den Eltern einer verstorbenen Teilnehmerin an dem Netzwerk als Erben Zugang zu dem vollständigen Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten ihrer Tochter zu gewähren. Die Schuldnerin hat daraufhin der Gläubigerin, der Mutter der Verstorbenen, einen USB-Stick übermittelt, der eine PDF-Datei mit mehr als 14.000 Seiten enthält, die nach den Angaben der Schuldnerin eine Kopie der ausgelesenen Daten aus dem von der Verstorbenen geführten Konto enthält. Zwischen den Parteien ist streitig, ob hierdurch die Verpflichtung der Schuldnerin aus dem Urteil des Landgerichts vom 17. Dezember 2015 erfüllt worden ist.

Prozessverlauf

Das Landgericht hat auf Antrag der Gläubigerin gegen die Schuldnerin wegen Nichterfüllung ihrer Verpflichtung aus dem Urteil vom 17. Dezember 2015 ein Zwangsgeld von 10.000 € festgesetzt. Das Kammergericht hat den Beschluss des Landgerichts auf die sofortige Beschwerde der Schuldnerin aufgehoben und den Antrag der Gläubigerin auf Festsetzung eines Zwangsmittels gegen die Schuldnerin zurückgewiesen. Hiergegen richtet sich die vom Kammergericht zugelassene Rechtsbeschwerde der Gläubigerin.

Entscheidung des Bundesgerichtshofs

Der III. Zivilsenat des Bundesgerichtshofs hat den Beschluss des Kammergerichts aufgehoben und die erstinstanzliche Entscheidung wiederhergestellt.

Bereits die Auslegung des Tenors des Urteils des Landgerichts Berlin vom 17. Dezember 2015 ergibt, dass der Gläubigerin nicht nur Zugang zu den im Benutzerkonto vorgehaltenen Kommunikationsinhalten zu gewähren, sondern darüber hinaus auch die Möglichkeit einzuräumen ist, vom Benutzerkonto selbst und dessen Inhalt auf dieselbe Art und Weise Kenntnis nehmen zu können, wie es die ursprüngliche Kontoberechtigte konnte.

Dies folgt zudem aus den Entscheidungsgründen des vorgenannten Urteils sowie des Urteils des Bundesgerichtshofs vom 12. Juli 2018. Beide Entscheidungen haben den von der Schuldnerin zu erfüllenden Anspruch der Gläubigerin erbrechtlich hergeleitet. Der Bundesgerichtshof hat ausgeführt, der Nutzungsvertrag zwischen der Tochter der Gläubigerin und der Schuldnerin sei mit seinen Rechten und Pflichten im Wege der Gesamtrechtsnachfolge auf die Erben übergegangen. Letztere seien hierdurch in das Vertragsverhältnis eingetreten und hätten deshalb als Vertragspartner und neue Kontoberechtigte einen Primärleistungsanspruch auf Zugang zu dem Benutzerkonto ihrer Tochter sowie den darin enthaltenen digitalen Inhalten. Aus dieser Stellung der Erben und dem auf sie übergegangenen Hauptleistungsanspruch der Erblasserin aus dem mit der Schuldnerin bestehenden Vertragsverhältnis folgt ohne weiteres, dass den Erben auf dieselbe Art und Weise Zugang zu dem Benutzerkonto zu gewähren ist wie zuvor ihrer Tochter. Das ergibt sich zudem aus zahlreichen weiteren Ausführungen des Bundesgerichtshofs und des Landgerichts Berlin in ihren vorgenannten Urteilen.

Die Schuldnerin hat ihre Verpflichtung aus dem Urteil des Landgerichts Berlin vom 17. Dezember 2015 nicht erfüllt. Durch die Überlassung des USB-Sticks mit einer umfangreichen PDF-Datei wurde kein vollständiger Zugang zum Benutzerkonto gewährt. Die PDF-Datei bildet das Benutzerkonto nicht vollständig ab. Letzteres erfordert nicht nur die Darstellung der Inhalte des Kontos, sondern auch die Eröffnung aller seiner Funktionalitäten - mit Ausnahme derer, die seine aktive Weiternutzung betreffen - und der deutschen Sprache, in der das Benutzerkonto zu Lebzeiten der Erblasserin vertragsgemäß geführt wurde. Diese Voraussetzungen erfüllt die von der Gläubigerin übermittelte Datei nicht.

Vorinstanzen:

LG Berlin – Beschluss vom 13. Februar 2019 – 20 O 172/15

Kammergericht – Beschluss vom 3. Dezember 2019 – 21 W 11/19

Die maßgeblichen Vorschriften lauten

§ 888 ZPO - Nicht vertretbare Handlungen

(1) Kann eine Handlung durch einen Dritten nicht vorgenommen werden, so ist, wenn sie ausschließlich von dem Willen des Schuldners abhängt, auf Antrag von dem Prozessgericht des ersten Rechtszuges zu erkennen, dass der Schuldner zur Vornahme der Handlung durch Zwangsgeld und für den Fall, dass dieses nicht beigetrieben werden kann, durch Zwangshaft oder durch Zwangshaft anzuhalten sei. Das einzelne Zwangsgeld darf den Betrag von 25 000 Euro nicht übersteigen. Für die Zwangshaft gelten die Vorschriften des Zweiten Abschnitts über die Haft entsprechend.

Die Pressemitteilung des BaFin

PSD 2: BaFin ermöglicht Erleichterungen bei Kundenauthentifizierung

Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird dies zunächst nicht beanstanden. Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) ermöglichen.

Ab dem 14. September 2019 ist bei Online-Zahlungen eine starke Kundenauthentifizierung notwendig. Diese soll das Einkaufen im Internet sicherer machen. Bei Kreditkartenzahlungen reicht es dann nicht mehr aus, lediglich die Kreditkartennummer und Prüfziffer einzugeben. Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen.

Nach Einschätzung der BaFin sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf. Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt. Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt erhalten. Zivilrechtliche Haftungsregelungen, etwa zwischen dem Kreditkarteninhaber und dem Zahlungsdienstleister, bleiben von der Maßnahme unberührt, so dass für Verbraucher und andere Zahler im Internet kein Nachteil entsteht.

Die Erleichterungen sind zeitlich befristet. Wann sie auslaufen, wird die BaFin festlegen, nachdem sie die Markteilnehmer konsultiert und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt hat. In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine Starke Kundenauthentifizierung ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten. Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet.

Hintergrund zur PSD2
Die PSD 2 verpflichtet Zahlungsdienstleister, ab dem 14. September 2019 eine Starke Kundenauthentifizierung durchzuführen, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Die Vorgaben gelten in der gesamten Europäischen Union.

Bei der Starken Kundenauthentifizierung werden zwei voneinander unabhängige Elemente verwendet. Diese müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Beispiele dafür sind ein Passwort (Wissen), ein Mobiltelefon (Besitz) oder ein persönlicher Fingerabdruck (Inhärenz).

Die Vorgaben zur Starken Kundenauthentifizierung gelten auch bei Kreditkartenzahlungen im Internet. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Vielmehr sind auch hier zusätzlich zwei Elemente aus den erwähnten Kategorien zu verwenden. Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen beispielsweise bestimmte Kleinbetragszahlungen.

(Weitere Informationen zur Starken Kundenauthentifizierung und den Ausnahmen davon finden sich auf der Webseite der BaFin unter https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2018/fa_bj_1806_Starke_Kundenauthentifizierung.html).

LG Münster
Versäumnisurteil vom 16.04.2019
014 O 565/18

Das LG Münster hat mit Versäumnisurteil entschieden, dass Apple den Erben eines verstorbenen iCloud-Nutzers Zugriff auf die iCloud-Daten des Verstorbenen gewähren muss.

Siehe auch zum Thema: Volltext BGH: Erben erhalten Zugriff auf Facebook-Konto von Verstorbenen - Vertrag über Benutzerkonto bei einem sozialen Netzwerk vererbbar

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

BGH
Urteil vom 12.07.2018
III ZR 183/17
BGB § 1922 Abs. 1; § 307 Abs. 1 und 2; TKG § 88; DS-GVO Art. 6 Abs. 1

Wir hatten bereits in dem Beitrag BGH: Erben erhalten Zugriff auf Facebook-Konto von Verstorbenen - Vertrag über Benutzerkonto bei einem sozialen Netzwerk vererbbar - Digitaler Nachlass über die Entscheidung berichtet

Leitsatz des BGH:

Beim Tod des Kontoinhabers eines sozialen Netzwerks geht der Nutzungsvertrag grundsätzlich nach § 1922 BGB auf dessen Erben über. Dem Zugang zu dem Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten stehen weder das postmortale Persönlichkeitsrecht des Erblassers noch das Fernmeldegeheimnis oder das Datenschutzrecht entgegen.

BGH, Urteil vom 12. Juli 2018 - III ZR 183/17 - KG - LG Berlin

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 12.07.2018
III ZR 183/17


Der BGH hat zutreffend entschieden, dass die Eltern verstorbener Tochter als Erben Zugriff auf das Facebook-Konto erhalten. Der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk its grundsätzlich vererbbar. Werder das Fernmeldegeheimnis noch der Datenschutz stehen dem Übergang des Vertragsverhältnisses auf die Erben entgegen.

Die Pressemitteilung des BGH:

Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk ist vererbbar

Der III. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk grundsätzlich im Wege der Gesamtrechtsnachfolge auf die Erben des ursprünglichen Kontoberechtigten übergeht und diese einen Anspruch gegen den Netzwerkbetreiber auf Zugang zu dem Konto einschließlich der darin vorgehaltenen Kommunikationsinhalte haben.

Der Sachverhalt:

Die Klägerin ist die Mutter der im Alter von 15 Jahren verstorbenen L. W. und neben dem Vater Mitglied der Erbengemeinschaft nach ihrer Tochter. Die Beklagte betreibt ein soziales Netzwerk, über dessen Infrastruktur die Nutzer miteinander über das Internet kommunizieren und Inhalte austauschen können.

2011 registrierte sich die Tochter der Klägerin im Alter von 14 Jahren im Einverständnis ihrer Eltern bei dem sozialen Netzwerk der Beklagten und unterhielt dort ein Benutzerkonto. 2012 verstarb das Mädchen unter bisher ungeklärten Umständen infolge eines U-Bahnunglücks.

Die Klägerin versuchte hiernach, sich in das Benutzerkonto ihrer Tochter einzuloggen. Dies war ihr jedoch nicht möglich, weil die Beklagte es inzwischen in den sogenannten Gedenkzustand versetzt hatte, womit ein Zugang auch mit den Nutzerdaten nicht mehr möglich ist. Die Inhalte des Kontos bleiben jedoch weiter bestehen.

Die Klägerin beansprucht mit ihrer Klage von der Beklagten, den Erben Zugang zu dem vollständigen Benutzerkonto zu gewähren, insbesondere zu den darin vorgehaltenen Kommunikationsinhalten. Sie macht geltend, die Erbengemeinschaft benötige den Zugang zu dem Benutzerkonto, um Aufschluss darüber zu erhalten, ob ihre Tochter kurz vor ihrem Tod Suizidabsichten gehegt habe, und um Schadensersatzansprüche des U-Bahn-Fahrers abzuwehren.

Der Prozessverlauf:

Das Landgericht hat der Klage stattgegeben. Auf die Berufung der Beklagten hat das Kammergericht das erstinstanzliche Urteil abgeändert und die Klage abgewiesen. Hiergegen richtet sich die vom Berufungsgericht zugelassene Revision der Klägerin.

Die Entscheidung des Bundesgerichtshofs:

Der III. Zivilsenat des Bundesgerichtshofs hat das Urteil des Kammergerichts aufgehoben und das erstinstanzliche Urteil wiederhergestellt.

Die Erben haben gegen die Beklagte einen Anspruch, ihnen den Zugang zum Benutzerkonto der Erblasserin und den darin vorgehaltenen Kommunikationsinhalten zu gewähren. Dies ergibt sich aus dem Nutzungsvertrag zwischen der Tochter der Klägerin und der Beklagten, der im Wege der Gesamtrechtsnachfolge nach § 1922 Abs. 1 BGB auf die Erben übergegangen ist. Dessen Vererblichkeit ist nicht durch die vertraglichen Bestimmungen ausgeschlossen. Die Nutzungsbedingungen enthalten hierzu keine Regelung. Die Klauseln zum Gedenkzustand sind bereits nicht wirksam in den Vertrag einbezogen. Sie hielten überdies einer Inhaltskontrolle nach § 307 Abs. 1 und 2 BGB nicht stand und wären daher unwirksam.

Auch aus dem Wesen des Vertrags ergibt sich eine Unvererblichkeit des Vertragsverhältnisses nicht; insbesondere ist dieser nicht höchstpersönlicher Natur. Der höchstpersönliche Charakter folgt nicht aus im Nutzungsvertrag stillschweigend vorausgesetzten und damit immanenten Gründen des Schutzes der Persönlichkeitsrechte der Kommunikationspartner der Erblasserin. Zwar mag der Abschluss eines Nutzungsvertrags mit dem Betreiber eines sozialen Netzwerks in der Erwartung erfolgen, dass die Nachrichten zwischen den Teilnehmern des Netzwerks jedenfalls grundsätzlich vertraulich bleiben und nicht durch die Beklagte dritten Personen gegenüber offengelegt werden. Die vertragliche Verpflichtung der Beklagten zur Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten ist jedoch von vornherein kontobezogen. Sie hat nicht zum Inhalt, diese an eine bestimmte Person zu übermitteln, sondern an das angegebene Benutzerkonto. Der Absender einer Nachricht kann dementsprechend zwar darauf vertrauen, dass die Beklagte sie nur für das von ihm ausgewählte Benutzerkonto zur Verfügung stellt. Es besteht aber kein schutzwürdiges Vertrauen darauf, dass nur der Kontoinhaber und nicht Dritte von dem Kontoinhalt Kenntnis erlangen. Zu Lebzeiten muss mit einem Missbrauch des Zugangs durch Dritte oder mit der Zugangsgewährung seitens des Kontoberechtigten gerechnet werden und bei dessen Tod mit der Vererbung des Vertragsverhältnisses.

Eine Differenzierung des Kontozugangs nach vermögenswerten und höchstpersönlichen Inhalten scheidet aus. Nach der gesetzgeberischen Wertung gehen auch Rechtspositionen mit höchstpersönlichen Inhalten auf die Erben über. So werden analoge Dokumente wie Tagebücher und persönliche Briefe vererbt, wie aus § 2047 Abs. 2 und § 2373 Satz 2 BGB zu schließen ist. Es besteht aus erbrechtlicher Sicht kein Grund dafür, digitale Inhalte anders zu behandeln.

Einen Ausschluss der Vererblichkeit auf Grund des postmortalen Persönlichkeitsrechts der Erblasserin hat der III. Zivilsenat ebenfalls verneint.

Auch das Fernmeldegeheimnis steht dem Anspruch der Klägerin nicht entgegen. Der Erbe ist, da er vollständig in die Position des Erblassers einrückt, jedenfalls nicht "anderer" im Sinne von § 88 Abs. 3 TKG.

Schließlich kollidiert der Anspruch der Klägerin auch nicht mit dem Datenschutzrecht. Der Senat hat hierzu die seit 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) anzuwenden. Diese steht dem Zugang der Erben nicht entgegen. Datenschutzrechtliche Belange der Erblasserin sind nicht betroffen, da die Verordnung nur lebende Personen schützt. Die der Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten immanente Verarbeitung der personenbezogenen Daten der Kommunikationspartner der Erblasserin ist sowohl nach Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO als auch nach Art. 6 Abs. 1 Buchst. f DS-GVO zulässig. Sie ist sowohl zur Erfüllung der vertraglichen Verpflichtungen gegenüber den Kommunikationspartnern der Erblasserin erforderlich (Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO) als auch auf Grund berechtigter überwiegender Interessen der Erben (Art. 6 Abs. 1 Buchst. f DS-GVO).

Die maßgeblichen Vorschriften lauten:

§ 1922 Abs. 1 BGB Gesamtrechtsnachfolge

(1) Mit dem Tode einer Person (Erbfall) geht deren Vermögen (Erbschaft) als Ganzes auf eine oder mehrere andere Personen (Erben) über.

§ 307 BGB Inhaltskontrolle

(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.

(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung

1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder

2. wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.

(3) Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen können nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1 unwirksam sein.

§ 2047 BGB Verteilung des Überschusses

(1) Der nach der Berichtigung der Nachlassverbindlichkeiten verbleibende Überschuss gebührt den Erben nach dem Verhältnis der Erbteile.

(2) Schriftstücke, die sich auf die persönlichen Verhältnisse des Erblassers, auf dessen Familie oder auf den ganzen Nachlass beziehen, bleiben gemeinschaftlich.

§ 2373 BGB Dem Verkäufer verbleibende Teile

Ein Erbteil, der dem Verkäufer nach dem Abschluss des Kaufs durch Nacherbfolge oder infolge des Wegfalls eines Miterben anfällt, sowie ein dem Verkäufer zugewendetes Vorausvermächtnis ist im Zweifel nicht als mitverkauft anzusehen. Das Gleiche gilt von Familienpapieren und Familienbildern.

§ 88 TKG Fernmeldegeheimnis

(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.

(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.

(4) Befindet sich die Telekommunikationsanlage an Bord eines Wasser- oder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person, die das Fahrzeug führt oder gegenüber ihrer Stellvertretung.

Art. 6 Abs. 1 DS-GVO Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Vorinstanzen:

Landgericht Berlin – Entscheidung vom 17. Dezember 2015 - 20 O 172/15

Kammergericht – Entscheidung vom 31. Mai 2017 - 21 U 9/16

KG Berlin
Urteil vom 31. Mai 2017
21 U 9/16

Das KG Berlin hat entschieden, dass Erben keinen Zugriff auf das Facebook-Account des verstorbenen Account-Inhabers haben. Sie können von Facebook nicht die Herausgabe der Zugangsdaten verlangen. Nach Ansicht des KG Berlin steht das Fernmeldegeheimnis der Herausgabe der Daten entgegen. Die gesetzlichen Ausnahmen im TKG greifen nach Ansicht des Gerichts nicht.

Die Revision wurde zugelassen, so dass sich voraussichtlich der BGH mit der Sache befassen wird,

Die Pressemitteilung des KG Berlin:

Kammergericht: Urteil zu Lasten der klagenden Mutter - kein Zugriff der Eltern auf Facebook-Account ihrer verstorbenen Tochter

Das Kammergericht hat in zweiter Instanz zu Gunsten von Facebook entschieden und die Klage einer Mutter, die den Zugang zu dem Facebook-Account ihres verstorbenen Kindes zusammen mit dem Kindesvater aus Erbrecht durchsetzen wollte, abgewiesen und damit zugleich das Urteil des Landgerichts Berlin abgeändert. Der Schutz des Fernmeldegeheimnisses stehe dem Anspruch der Erben entgegen, Einsicht in die Kommunikation der Tochter mit Dritten zu erhalten.

Das Kammergericht ließ offen, ob die Klägerin und der Kindesvater als Erben in den Vertrag eingerückt seien, den die verstorbene Tochter mit Facebook geschlossen hatte. Es sei zwar grundsätzlich möglich, dass die Erben in die Rechte und Pflichten dieses Vertrages eingetreten seien, und zwar nicht im Sinne der aktiven Fortführung dieses Vertrages, sondern um passive Leserechte zu erhalten. In den von Facebook gestellten Nutzungsbedingungen sei nicht geregelt, ob Rechte aus dem Vertrag im Falle des Todes des Nutzers auf seine Erben übergehen könnten. Auch der Grundgedanke des Vertrages spreche nicht generell dagegen, dass er nicht vererblich sei. Facebook wolle den Nutzern nur eine Kommunikationsplattform zur Verfügung stellen und Inhalte vermitteln. Durch eine Änderung in der Person des Vertragspartners würden die Leistungen in ihrem Charakter nicht verändert.

Andererseits regele das Bürgerliche Gesetzbuch nicht, ob höchstpersönliche Rechtspositionen (ohne vermögensrechtliche Auswirkungen) vererbbar seien, sondern setze für eine Vererbung voraus, dass sie in irgendeiner Form im Eigentum des Verstorbenen verkörpert seien und nicht nur virtuell existierten. Um zu klären, ob es sich bei – nicht verkörperten – E-Mails um solche handele, die aufgrund ihres höchstpersönlichen Inhalts nicht vererbbar seien, oder um solche, die aufgrund ihres wirtschaftlichen Bezuges vererbbar seien, würde man in der Praxis auf erhebliche Probleme und Abgrenzungsschwierigkeiten stoßen.

Der Senat müsse jedoch die Frage der Vererbbarkeit des Facebook-Accounts nicht entscheiden. Selbst wenn man davon ausgehe, dass dieser Account in das Erbe falle und die Erbengemeinschaft Zugang zu den Account-Inhalten erhalten müsse, stehe das Fernmeldegeheimnis nach dem Telekommunikationsgesetz entgegen. Dieses Gesetz sei zwar ursprünglich für Telefonanrufe geschaffen worden. Das Fernmeldegeheimnis werde jedoch in Art. 10 Grundgesetz geschützt und sei damit eine objektive Wertentscheidung der Verfassung. Daraus ergebe sich eine Schutzpflicht des Staates und auch die privaten Diensteanbieter müssten das Fernmeldegeheimnis achten. Nach einer Entscheidung des Bundesverfassungsgerichts (Urteil vom 16.6.2009, 2 BvR 902/06, BVErfGE 124, 43) erstrecke sich das Fernmeldegeheimnis auch auf E-Mails, die auf den Servern von einem Provider gespeichert seien. Denn der Nutzer sei schutzbedürftig, da er nicht die technische Möglichkeit habe, zu verhindern, dass die E-Mails durch den Provider weitergegeben würden. Dies gelte entsprechend für sonstige bei Facebook gespeicherten Kommunikationsinhalte, die nur für Absender und Empfänger oder jedenfalls einen beschränkten Nutzerkreis bestimmt sind.

Die nach dem Telekommunikationsgesetz vorgesehenen Ausnahmen würden entgegen der Auffassung des Landgerichts nicht greifen. Zwar sehe das Gesetz vor, dass einem Dritten Kenntnisse vom Inhalt der Kommunikation verschafft werden dürfe, wenn dies erforderlich sei. Als erforderlich könne jedoch nur angesehen werden, was dazu diene, den Dienst technisch zu ermöglichen oder aufrecht zu erhalten. Da Facebook jedoch seine Dienste nur beschränkt auf die Person des Nutzers angeboten habe, sei es auch aus der Sicht der ebenfalls schutzbedürftigen weiteren Beteiligten am Kommunikationsvorgang (Chat) in technischer Hinsicht nicht erforderlich, einem Erben nachträglich Zugang zum Inhalt der Kommunikation zu verschaffen.

Ebenso wenig existiere eine andere gesetzliche Vorschrift, die erlaube, von dem Schutz des Fernmeldegeheimnisses eine Ausnahme zu machen (sogenanntes „kleines Zitiergebot“). Insbesondere das Erbrecht nach dem BGB lasse nicht erkennen, dass der Gesetzgeber den Willen gehabt habe, das Fernmeldegeheimnis einzuschränken. Auch aus sonstigen Gründen sei es nicht geboten, ohne gesetzliche Regelung Ausnahmen zuzulassen und von dem so genannten “kleinen Zitiergebot“ abzuweichen.

Schließlich komme nicht in Betracht, von einem Verzicht auf den Schutz des Fernmeldegeheimnisses auszugehen, indem die klagende Mutter sich darauf berufen hatte, die Zugangsdaten von der Tochter überlassen bekommen zu haben. Dieser Umstand war zwischen den Parteien streitig. Eine Beweisaufnahme sei jedoch nicht erforderlich gewesen, da nicht nur die Verstorbene als Nutzerin des Accounts und Vertragspartnerin von Facebook, sondern zumindest auch alle diejenigen, die in einem Zwei-Personen-Verhältnis mit der Verstorbenen kommuniziert haben, auf den Schutz des Fernmeldegeheimnisses verzichtet haben müssten. Aus der Rechtsprechung des Bundesverfassungsgerichts (vgl. insb. Urteil vom 27.2.2008, 1 BvR 370/07, BVerfGE 120,274, Rz 290 bis 293) folge für den vorliegenden Fall im Endergebnis nichts Abweichendes. Die somit erforderliche Zustimmung dieser anderen Kommunikationspartner liege jedoch nicht vor.

Der Senat hat ferner geprüft, ob zu Gunsten der Klägerin außerhalb des Erbrechts ein Anspruch auf Zugang zu dem Account bestehe. Dies sei zu verneinen. Insbesondere das Recht der elterlichen Sorge verhelfe nicht zu einem solchen Anspruch. Dieses Recht erlösche mit dem Tode des Kindes. Das den Eltern noch zufallende Totenfürsorgerecht könne nicht dazu dienen, einen Anspruch auf Zugang zu dem Social-Media-Account des verstorbenen Kindes herzuleiten. Auch das eigene Persönlichkeitsrecht der Mutter sei nicht geeignet, einen Anspruch auf diesen Zugang zu begründen. Als ein Teilbereich des Persönlichkeitsrechts sei z.B. anerkannt, seine eigene Abstammung zu kennen. Trotz des verständlichen Wunsches der Eltern, die Gründe für den tragischen Tod ihres Kindes näher zu erforschen, lasse sich hieraus kein Recht auf Zugang zu dem Account ableiten. Auch wenn eine verbleibende Unkenntnis darüber die Persönlichkeitsentfaltung der Eltern massiv beeinträchtigen könne, gebe es auch vielfältige andere Ereignisse, die die gleiche Wirkung zeigen könnten. Dadurch würde das allgemeine Persönlichkeitsrecht zu einem konturenlosen und nicht mehr handhabbaren Grundrecht führen.

Das Urteil des Kammergerichts ist nicht rechtskräftig, da der Senat die Revision zum Bundesgerichtshof zugelassen hat.

Die schriftlichen Urteilsgründe werden in Kürze nachfolgend veröffentlicht.

Landgericht Berlin, Urteil vom 17. Dezember 2015, Aktenzeichen 20 O 172/15
Kammergericht, Urteil vom 31. Mai 2017, Aktenzeichen 21 U 9/16

BGH
Urteil vom 24.11.2016
I ZR 220/15
WLAN-Schlüssel
UrhG § 97 Abs. 1 Satz 1


Wir hatten bereits in dem Beitrag "BGH: Anschlussinhaber haftet nicht als Störer für Filesharing bei WPA2-Verschlüsselung des WLAN-Routers auch wenn werkseitiges individuelles Passwort vewendet wird" über die Entscheidung berichtet.

Leitsätze des BGH:

a) Der Inhaber eines Internetanschlusses mit WLAN-Funktion ist nach den Grundsätzen der Störerhaftung zur Prüfung verpflichtet, ob der verwendete Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen verfügt. Hierzu zählt der im Kaufzeitpunkt aktuelle Verschlüsselungsstandard sowie die Verwendung eines individuellen, ausreichend langen und sicheren Passworts (Festhaltung an BGH, Urteil vom 12. Mai 2010 - I ZR 121/08, BGHZ 185, 330 Rn. 34 - Sommer unseres Lebens).

b) Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig für das Gerät individuell voreingestelltes Passwort genügt den Anforderungen an die Passwortsicherheit. Sofern keine Anhaltspunkte dafür bestehen, dass das Gerät schon im Kaufzeitpunkt eine Sicherheitslücke aufwies, liegt in der Beibehaltung eines solchen werkseitig eingestellten Passworts kein Verstoß gegen die den Anschlussinhaber treffende Prüfungspflicht (Fortführung von BGHZ 185, 330 Rn. 34 - Sommer unseres Lebens).

c) Dem vom Urheberrechtsinhaber gerichtlich in Anspruch genommenen Anschlussinhaber obliegt eine sekundäre Darlegungslast zu den von ihm bei der Inbetriebnahme des Routers getroffenen Sicherheitsvorkehrungen, der er durch Angabe des Routertyps und des Passworts genügt. Für die Behauptung, es habe sich um ein für eine Vielzahl von Geräten voreingestelltes Passwort gehandelt, ist der Kläger darlegungs- und beweispflichtig.

BGH, Urteil vom 24. November 2016 - I ZR 220/15 - LG Hamburg - AG Hamburg

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 24.11.2016
I ZR 220/15
WLAN-Schlüssel

Der BGH hat zutreffend entschieden, dass der Inhaber eines Internetanschlusses nicht als Störer für Filesharing bei WPA2-Verschlüsselung des WLAN-Routers haftet, auch wenn das werkseitig eingestellte Passwort verwendet wird. Es darf sich jedoch nicht um ein Passwort handeln, welches vom Router-Hersteller für eine Vielzahl von Geräten verwendet wird.



Der unter anderem für das Urheberrecht zuständige I. Zivilsenat hat sich im Zusammenhang mit der Haftung für Urheberrechtsverletzungen mit den Anforderungen an die Sicherung eines Internetanschlusses mit WLAN-Funktion befasst.

Die Klägerin ist Inhaberin von Verwertungsrechten an dem Film "The Expendables 2". Sie nimmt die Beklagte wegen des öffentlichen Zugänglichmachens dieses Filmwerks im Wege des "Filesharing" auf Ersatz von Abmahnkosten in Anspruch. Der Film ist im November und Dezember 2012 zu verschiedenen Zeitpunkten über den Internetanschluss der Beklagten durch einen unbekannten Dritten öffentlich zugänglich gemacht worden, der sich unberechtigten Zugang zum WLAN der Beklagten verschafft hatte. Die Beklagte hatte ihren Internet-Router Anfang 2012 in Betrieb genommen. Der Router war mit einem vom Hersteller vergebenen, auf der Rückseite des Routers aufgedruckten WPA2-Schlüssel gesichert, der aus 16 Ziffern bestand. Diesen Schlüssel hatte die Beklagte bei der Einrichtung des Routers nicht geändert. Das Amtsgericht hat die Klage abgewiesen. Die Berufung der Klägerin ist ohne Erfolg geblieben.

Der Bundesgerichtshof hat die Revision der Klägerin zurückgewiesen. Er hat angenommen, dass die Beklagte nicht als Störerin haftet, weil sie keine Prüfungspflichten verletzt hat. Der Inhaber eines Internetanschlusses mit WLAN-Funktion ist zur Prüfung verpflichtet, ob der eingesetzte Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen, also einen aktuellen Verschlüsselungsstandard sowie ein individuelles, ausreichend langes und sicheres Passwort, verfügt. Die Beibehaltung eines vom Hersteller voreingestellten WLAN-Passworts kann eine Verletzung der Prüfungspflicht darstellen, wenn es sich nicht um ein für jedes Gerät individuell, sondern für eine Mehrzahl von Geräten verwendetes Passwort handelt. Im Streitfall hat die Klägerin keinen Beweis dafür angetreten, dass es sich um ein Passwort gehandelt hat, das vom Hersteller für eine Mehrzahl von Geräten vergeben worden war. Die Beklagte hatte durch Benennung des Routertyps und des Passworts sowie durch die Angabe, es habe sich um ein nur einmal vergebenes Passwort gehandelt, der ihr insoweit obliegenden sekundären Darlegungslast genügt. Da der Standard WPA2 als hinreichend sicher anerkannt ist und es an Anhaltspunkten dafür fehlt, dass im Zeitpunkt des Kaufs der voreingestellte 16-stellige Zifferncode nicht marktüblichen Standards entsprach oder Dritte ihn entschlüsseln konnten, hat die Beklagte ihre Prüfungspflichten nicht verletzt. Sie haftet deshalb nicht als Störerin für die über ihren Internetanschluss von einem unbekannten Dritten begangenen Urheberrechtsverletzungen. Eine bei dem Routertyp bestehende Sicherheitslücke ist in der Öffentlichkeit erst im Jahr 2014 bekannt geworden.

Vorinstanzen:

AG Hamburg - Urteil vom 9. Januar 2015 - 36a C 40/14

LG Hamburg - Urteil vom 29. September 2015 - 310 S 3/15

EuGH
Urteil vom 15.09.2016
C-484/14
Tobias Mc Fadden / Sony Music Entertainment Germany GmbH

Der EuGH hat entschieden, dass ein Geschäftsinhaber, welcher der Öffentlichkeit kostenlos einen WLAN-Hotspot zur Verfügung stellt, nicht für Urheberrechtsverletzungen der Nutzer haftet. Allerdings darf dem Betreiber des WLAN-Netzes aufgegeben werden das Netz durch ein Passwort zu sichern, um Rechtsverletzungen zu beenden oder ihnen vorzubeugen. Der EuGH führt weiter aus, dass nach Art. 12 der EU-E-Commerce-Richtlinie nicht ausgeschlossen ist, dass der Geschädigte in einem solchen Fall die Erstattung der Abmahnkosten und Gerichtskosten verlangen kann.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:

1. Art. 12 Abs. 1 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) in Verbindung mit Art. 2 Buchst. a dieser Richtlinie und mit Art. 1 Nr. 2 der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft in der durch die Richtlinie 98/48/EG des Europäischen Parlaments und des Rates vom 20. Juli 1998 geänderten Fassung ist dahin auszulegen, dass eine Leistung wie die im Ausgangsverfahren fragliche, die von dem Betreiber eines Kommunikationsnetzes erbracht wird und darin besteht, dass dieses Netz der Öffentlichkeit unentgeltlich zur Verfügung gestellt wird, einen „Dienst der Informationsgesellschaft“ im Sinne von Art. 12 Abs. 1 der Richtlinie 2000/31 darstellt, wenn diese Leistung von dem Anbieter zu Werbezwecken für von ihm verkaufte Güter oder angebotene Dienstleistungen erbracht wird.

2. Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass der in dieser Bestimmung genannte Dienst, der darin besteht, Zugang zu einem Kommunikationsnetz zu vermitteln, bereits dann als erbracht anzusehen ist, wenn dieser Zugang den Rahmen des technischen, automatischen und passiven Vorgangs, der die erforderliche Übermittlung von Informationen gewährleistet, nicht überschreitet, ohne dass eine zusätzliche Anforderung erfüllt sein müsste.

3. Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass die in Art. 14 Abs. 1 Buchst. b der Richtlinie vorgesehene Voraussetzung nicht im Rahmen von Art. 12 Abs. 1 der Richtlinie entsprechend gilt.

4. Art. 12 Abs. 1 in Verbindung mit Art. 2 Buchst. b der Richtlinie 2000/31 ist dahin auszulegen, dass es keine anderen Anforderungen als die in dieser Bestimmung genannte gibt, denen ein Diensteanbieter, der Zugang zu einem Kommunikationsnetz vermittelt, unterläge.

5. Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass es ihm zuwiderläuft, dass derjenige, der durch eine Verletzung seiner Rechte an einem Werk geschädigt worden ist, gegen einen Anbieter, der Zugang zu einem Kommunikationsnetz vermittelt, Ansprüche auf Schadensersatz und auf Erstattung der für sein Schadensersatzbegehren aufgewendeten Abmahnkosten oder Gerichtskosten geltend machen kann, weil dieser Zugang von Dritten für die Verletzung seiner Rechte genutzt worden ist. Hingegen ist diese Bestimmung dahin auszulegen, dass es ihr nicht zuwiderläuft, dass der Geschädigte die Unterlassung dieser Rechtsverletzung sowie die Zahlung der Abmahnkosten und Gerichtskosten von einem Anbieter, der Zugang zu einem Kommunikationsnetz vermittelt und dessen Dienste für diese Rechtsverletzung genutzt worden sind, verlangt, sofern diese Ansprüche darauf abzielen oder daraus folgen, dass eine innerstaatliche Behörde oder ein innerstaatliches Gericht eine Anordnung erlässt, mit der dem Diensteanbieter untersagt wird, die Fortsetzung der Rechtsverletzung zu ermöglichen.

6. Art. 12 Abs. 1 in Verbindung mit Abs. 3 der Richtlinie 2000/31 ist unter Berücksichtigung der Erfordernisse des Grundrechtsschutzes und der Regelungen der Richtlinien 2001/29 und 2004/48 dahin auszulegen, dass er grundsätzlich nicht dem Erlass einer Anordnung wie der im Ausgangsverfahren fraglichen entgegensteht, mit der einem Diensteanbieter, der Zugang zu einem Kommunikationsnetz, das der Öffentlichkeit Anschluss an das Internet ermöglicht, vermittelt, unter Androhung von Ordnungsgeld aufgegeben wird, Dritte daran zu hindern, der Öffentlichkeit mittels dieses Internetanschlusses ein bestimmtes urheberrechtlich geschütztes Werk oder Teile davon über eine Internettauschbörse („peer-to-peer“) zur Verfügung zu stellen, wenn der Diensteanbieter die Wahl hat, welche technischen Maßnahmen er ergreift, um dieser Anordnung zu entsprechen, und zwar auch dann, wenn sich diese Wahl allein auf die Maßnahme reduziert, den Internetanschluss durch ein Passwort zu sichern, sofern die Nutzer dieses Netzes, um das erforderliche Passwort zu erhalten, ihre Identität offenbaren müssen und daher nicht anonym handeln können, was durch das vorlegende Gericht zu überprüfen ist.

Die Pressemitteilung des Gerichts:

"Ein Geschäftsinhaber, der der Öffentlichkeit kostenlos ein WiFi-Netz zur Verfügung stellt, ist für Urheberrechtsverletzungen eines Nutzers nicht verantwortlich Jedoch darf ihm durch eine Anordnung aufgegeben werden, sein Netz durch ein Passwort zu sichern, um diese Rechtsverletzungen zu beenden oder ihnen vorzubeugen

Herr Tobias Mc Fadden betreibt ein Geschäft für Licht- und Tontechnik, in dem er kostenlos ein öffentlich zugängliches WiFi-Netz bereitstellt, um die Aufmerksamkeit potenzieller Kunden auf seine Waren und Dienstleistungen zu lenken. Über dieses Netz wurde im Jahr 2010 ein musikalisches Werk, für das Sony die Rechte innehat, rechtswidrig zum Herunterladen angeboten.
Das mit dem Rechtsstreit zwischen Sony und Herrn Mc Fadden befasste Landgericht München I ist der Ansicht, dass Herr Mc Fadden selbst die betreffenden Urheberrechtsverletzungen nicht begangen habe. Es hält jedoch seine mittelbare Haftung für diese Rechtsverletzung für denkbar, da er sein WiFi-Netz nicht gesichert habe. Da es Zweifel hat, ob die Richtlinie über den
elektronischen Geschäftsverkehr einer solchen mittelbaren Haftung entgegensteht, hat es dem
Gerichtshof eine Reihe von Fragen vorgelegt.

Die Haftung von Vermittlern, die Dienste der reinen Durchleitung von Daten anbieten, für eine von einem Dritten begangene rechtswidrige Handlung wird nämlich durch die Richtlinie beschränkt. Diese Haftungsbeschränkung greift, wenn drei kumulative Voraussetzungen erfüllt sind: 1. Der Anbieter von Diensten hat die Übermittlung nicht veranlasst. 2. Er hat den Adressaten der
Übertragung nicht ausgewählt. 3. Er hat die übermittelten Informationen nicht ausgewählt oder verändert.

In seinem heutigen Urteil stellt der Gerichtshof zunächst fest, dass ein Anbieter, der der Öffentlichkeit unentgeltlich ein WiFi-Netz zur Verfügung stellt, um die Aufmerksamkeit potenzieller Kunden auf die Waren oder Dienstleistungen eines Geschäfts zu lenken, damit einen „Dienst der Informationsgesellschaft“ im Sinne der Richtlinie erbringt.

Der Gerichtshof bestätigt weiter, dass dann, wenn die drei genannten Voraussetzungen erfüllt sind, keine Haftung eines Anbieters bestehen kann, der wie Herr Mc Fadden Zugang zu einem Kommunikationsnetz vermittelt. Daher hat der Urheberrechtsinhaber gegen diesen Anbieter keinen Anspruch auf Schadensersatz, weil Dritte das WiFi-Netz zur Verletzung seiner Rechte benutzt haben. Da ein solcher Schadensersatzanspruch nicht besteht, kann der Urheberrechtsinhaber auch keine Erstattung der für sein Schadensersatzbegehren aufgewendeten Abmahn- oder Gerichtskosten verlangen.

Hingegen läuft es der Richtlinie nicht zuwider, dass der Urheberrechtsinhaber bei einer innerstaatlichen Behörde oder einem innerstaatlichen Gericht eine Anordnung beantragt, mit der dem Anbieter aufgegeben wird, jeder Urheberrechtsverletzung durch seine Kunden ein Ende zu setzen oder solchen Rechtsverletzungen vorzubeugen.

Der Gerichtshof stellt schließlich fest, dass eine Anordnung, mit der dem Anbieter die Sicherung des Internetanschlusses durch ein Passwort aufgegeben wird, geeignet erscheint, ein Gleichgewicht zwischen den Rechten von Rechtsinhabern an ihrem geistigen Eigentum einerseits und dem Recht der Anbieter von Internetzugangsdiensten auf unternehmerische Freiheit und dem
Recht der Internetnutzer auf Informationsfreiheit andererseits herzustellen. Der Gerichtshof weist insbesondere darauf hin, dass eine solche Maßnahme dazu angetan ist, Nutzer eines Kommunikationsnetzes von Urheberrechtsverletzungen abzuhalten. Um diesen Abschreckungseffekt zu gewährleisten, ist es allerdings erforderlich, dass die Nutzer, um nicht anonym handeln zu können, ihre Identität offenbaren müssen, bevor sie das erforderliche Passwort erhalten.

Dagegen schließt die Richtlinie ausdrücklich Maßnahmen aus, die auf eine Überwachung der durch ein Kommunikationsnetz übermittelten Informationen abzielt. Auch eine Maßnahme, die in der vollständigen Abschaltung des Internetanschlusses bestünde, ohne dass die unternehmerische Freiheit des Anbieters weniger beschränkende Maßnahmen in Betracht gezogen würden, wäre nicht geeignet, die einander widerstreitenden Rechte in Einklang zu bringen."

LG Berlin
Urteil vom 17.12.2015
20 O 172/15

Das LG Berlin hat entschieden, dass die Erben Zugriff auf das Facebook-Account des verstorbenen Account-Inhabers haben. Sie können von Facebook die Herausgabe der Zugangsdaten verlangen.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des LG Berlin:

Landgericht Berlin: Eltern einer minderjährig Verstorbenen haben Anspruch auf Zugang zu deren Facebook-Account

Die Zivilkammer 20 des Landgerichts hat mit einem Urteil vom 17. Dezember 2015 entschieden, dass die Eltern einer minderjährig Verstorbenen als deren Erben von Facebook die Zugangsdaten zu dem Benutzerkonto herausverlangen können.

Die Tochter der Klägerin war mit 15 Jahren unter ungeklärten Umständen durch eine in einen Bahnhof einlaufende U-Bahn tödlich verletzt worden. Die Klägerin erhoffte, über den Facebook-Account ihrer Tochter und die dort ausgetauscht Nachrichten und Posts mehr über den Tod ihrer Tochter zu erfahren und zu klären, ob es sich um einen Selbstmord gehandelt haben könnte. Dies war auch deshalb von Bedeutung, als der Fahrer der U-Bahn, die die Verstorbene erfasst hatte, gegen die Erben ein Schmerzensgeld und Schadensersatz wegen Verdienstausfalls geltend machte. Facebook Ireland Limited (im Folgenden: Facebook) verweigerte der Klägerin die Zugangsdaten zu dem in einen Gedenkzustand versetzten Account, so dass diese Klage erhob.

Das Landgericht gab der Klage statt und verpflichtete Facebook, den Eltern der Verstorbenen als deren Erben Zugang zu dem Benutzerkonto und dessen Kommunikationsinhalten zu gewähren. Der Vertrag zur Nutzung der Facebook-Dienste, den die Tochter abgeschlossen hatte, sei wie jeder andere schuldrechtliche Vertrag auf die Erben übergegangen. Eine unterschiedliche Behandlung des digitalen und des „analogen“ Vermögens des Erblassers sei nicht gerechtfertigt. Denn eine Ungleichbehandlung würde dazu führen, dass persönliche Briefe und Tagebücher unabhängig von ihrem Inhalt vererblich wären, E-Mails oder private Facebook-Nachrichten hingegen nicht.

Schutzwürdige Interessen von Facebook seien nicht gegeben. Der Nutzungsvertrag werde regelmäßig ohne nähere Prüfung des Nutzers abgeschlossen werde und dessen Identität kontrolliere Facebook nur in Ausnahmefällen. Ebenso stehe das postmortale Persönlichkeitsrecht der Verstorbenen einer Zugangsgewährung nicht entgegen. Denn die Erziehungsberechtigten seien für den Schutz des Persönlichkeitsrechtes ihrer minderjährigen Kinder zuständig. Dies gelte nicht nur zu deren Lebzeiten. Jedenfalls dann, wenn besondere Umstände wie hier die ungeklärte Todesursache der Tochter vorlägen, seien die Eltern als Erben berechtigt, sich Kenntnis darüber zu verschaffen, was ihre Tochter im Internet geäußert habe.

Die Gedenkzustands-Richtlinie, wie sie Facebook vor 2014 verwandt habe, sei unwirksam. Es stelle eine unangemessene Benachteiligung der Nutzer bzw. deren Erben dar, wenn eine beliebige Person der Facebook-Freundesliste veranlassen könnte, dass das Profil des Nutzers in den Gedenkzustand versetzt werde, und wenn dies auch von den Erben nicht rückgängig gemacht werden könne.

Auch das Datenschutzrecht stehe dem Anspruch auf Zugangsgewährung nicht entgegen. Vertrauliche Briefe, die ein Dritter verschickt habe, würden nach dem Tod des Empfängers von den Erben gelesen werden können, ohne dass ein Eingriff in die Rechte dieser Dritten vorliege. Nichts Anderes gelte für digitale Daten.

Das Urteil des Landgerichts Berlin liegt vor und ist unter http://www.berlin.de/gerichte/presse/pressemitteilungen-der-ordentlichen-gerichtsbarkeit/2016/ verfügbar. Das Urteil ist nicht rechtskräftig; dagegen kann Berufung beim Kammergericht innerhalb eines Monats ab förmlicher Zustellung des Urteils eingelegt werden.

Landgericht Berlin, Urteil vom 17. Dezember 2015 - 20 O 172/15 -

LG Hamburg
Urteil vom 29.09.2015
310 S 3/15

Das LG Hamburg hat entschieden, dass der Inhaber eines Internet-Anschlusses nicht automatisch in Filesharing-Fällen als Störer haftet, wenn dieser den werkseitig eingestellter WPA2-Schlüssel des Routers nicht ändert.

Aus den Entscheidungsgründen:

"Der Beklagten ist aber auch keine Prüfpflichtverletzung vorzuwerfen, den (nach vorstehend 2.) hier anzunehmenden individuellen WLAN-Schlüssel des Herstellers nicht noch einmal selbst geändert zu haben.

a)
Eine solche generelle Pflicht zur Änderung eines werkseitig voreingestellten individuellen Schlüssels lässt sich nicht schon der BGH-Entscheidung „Sommer unseres Lebens“ entnehmen.

Zwar war nach den Entscheidungsgründen, (BGH, Urteil vom 12. Mai 2010, I ZR 121/08, zit. nach juris-Rn. 33 und 34) der Router des dortigen Beklagten

„bei aktivierter WLAN-Unterstützung werkseitig durch eine WPA-Verschlüsselung geschützt, die für die Einwahl in das Netzwerk des Beklagten einen 16-stelligen Authentifizierungsschlüssel erfordert. […] Der Beklagte hat es nach dem Anschluss des WLAN-Routers bei den werkseitigen Standardsicherheitseinstellungen belassen und für den Zugang zum Router kein persönliches, ausreichend langes und sicheres Passwort vergeben. Der Schutz von Computern, Kundenkonten im Internet und Netzwerken durch individuelle Passwörter gehörte auch Mitte 2006 bereits zum Mindeststandard privater Computernutzung und lag schon im vitalen Eigeninteresse aller berechtigten Nutzer. Sie war auch mit keinen Mehrkosten verbunden.“

Es ist jedoch der Kammer nicht nachvollziehbar, dass im dortigen Sachverhalt ein individuell vergebenes Passwort streitgegenständlich war. Dem Tatbestand der BGH-Entscheidung lässt sich dies nicht entnehmen, er verweist insofern auf die Feststellungen der ersten Instanz. Der Tatbestand des voraufgegangenen oberlandesgerichtlichen Urteils (OLG Frankfurt, Urteil vom 01. Juli 2008 - 11 U 52/07 -, vgl. dort juris-Rn 18) lässt den Sachverhalt insofern ebenfalls nicht erkennen. Das voraufgegangene landgerichtliche Urteil (LG Frankfurt, 5. Oktober 2007, Az: 2/3 O 19/07) ist - soweit der Kammer bekannt - nicht in Fachzeitschriften oder -publikationen veröffentlicht, wird aber teilweise in Volltextauszügen im Internet zitiert; danach soll die einschlägige Passage in den Entscheidungsgründen wie folgt lauten (zit. nach http://www. f.- a..de/rechtsanwalt/it-recht/gewichtige-anderung-in-sachen-bgh-und-storerhaftung/1734/, abgerufen am 28.09.2015, Unterstreichungen hinzugefügt):

„Schließlich sorgte der Beklage auch nicht dadurch für eine hinreichende Sicherung seines Routers, dass der Zugang auf diesen Router bei aktivierter WLAN-Funktion werkseitig mit einer WPA-Verschlüsselung gesichert worden war. Dabei kann dahinstellt bleiben, ob eine WPA-Verschlüsselung nach derzeitigem Standard noch als sicher und zuverlässig angesehen werden kann oder bereits - wie die Klägerin behauptet - gängige Methode die Verwendung von WPA2 ist.

Denn der Beklagte hat seinem eigenen Vorbringen zufolge es nach dem Anschluss des WLAN-Routers bei den Standardsicherheitseinstellungen belassen, die der Hersteller vorgegeben hat. Dies stellt nach Auffassung der Kammer indes keinen ausreichend sicheren WPA-Netzwerkschlüssel dar. Zum einen sind solche Standardsicherheitseinstellungen bei vielen Herstellern auf allen ausgelieferten Geräten gleich und damit auch den Internet-Kriminellen bekannt.

Zum anderen befindet sich auf der Fritz-Box, wie sie auch von dem Beklagten genutzt wird; ein Aufkleber, auf welchem sich neben der Seriennummer auch der werkseitig voreingestellte Code befindet. Für eine ausreichende Sicherung seines WLAN-Anschlusses gegen Passwort-Attacken hätte der Beklagte daher das Standard-Passwort für die Fritz Box durch ein persönliches, ausreichend langes Passwort aus einer losen Kombination von Buchstaben, Ziffern und Sonderzeichen ändern müssen.“

Danach ist der Kammer jedenfalls nicht nachvollziehbar, dass dem Urteil „Sommer unseres Lebens“ ein Sachverhalt zugrunde gelegen haben soll, bei dem ein werkseitig individualisiertes Passwort vergeben worden sein soll.

b)

Ob eine Änderung des werkseitig-individuellen Passworts notwendig sein kann, weil der vergebene Schlüssel auf der Rückseite des Gerätes aufgedruckt ist und daher für einen unberechtigten Dritten sichtbar ist, wenn er Zutritt zum Routergerät hat, kann hier offen bleiben, weil sich ein entsprechender Kausalzusammenhang vorliegend nicht feststellen lässt (so dass ebenfalls offen bleiben kann, inwieweit dieser Gefahr durch andere Maßnahmen, z.B. Zugangsbeschränkungen, ausreichend vorgebeugt werden kann).

Der Kausalzusammenhang wäre vorliegend nur gegeben gewesen, wenn der unberechtigte Dritte die Kenntnis des WPA2-Schlüssels der Beklagten gerade dadurch erlangt hätte, dass er die Möglichkeit gehabt hätte, von der Aufschrift auf dem Gerät der Beklagten Kenntnis zu nehmen.

Davon ist aber im vorliegenden Verfahren keine der Parteien ausgegangen; vielmehr sehen beide Parteien die Ursache für den unberechtigten Drittzugriff in einer Entschlüsselung des Codes von außen wegen der in Anlagen B 4 und B 5 beschriebenen Sicherheitslücke des werkseitig vergebenen individuellen Passworts. Zu diesem Geschehensverlauf besteht jedoch kein Schutzzweckzusammenhang bzgl. einer Pflicht zur Verhinderung eines Ausspähens des Aufdrucks auf der Rückseite des Gerätes.

c)
Der Beklagten ist auch nicht vorzuwerfen, den werkseitig vergebenen individuellen 16-stelligen Zahlencode nicht zur Erschwerung eines über das WLAN erfolgenden Ausspähens überhaupt und möglichst in einen Code unter Verwendung auch von Buchstaben und/oder Sonderzeichen geändert zu haben.

Wie gesehen, hatte der BGH in der Entscheidung „Sommer unseres Lebens“ (a.a.O., vgl. oben 1.) eine Prüfpflicht des privaten Internetanschlussbetreibers angenommen, „jedenfalls die im Kaufzeitpunkt des Routers für den privaten Bereich marktüblichen Sicherungen ihrem Zweck entsprechend wirksam einzusetzen“. Der BGH begründete seine Annahme einer insofern anlasslosen Prüfpflicht damit, das „hoch zu bewertende, berechtigte Interesse, über WLAN leicht und räumlich flexibel Zugang zum Internet zu erhalten, [werde] nicht dadurch in Frage gestellt, dass die zum Zeitpunkt der Installation des WLAN-Routers auch im Privatbereich verkehrsüblich vorhandenen Sicherungsmaßnahmen gegen unbefugte Nutzung angewandt [würden]“ (a.a.O., zit. nach juris-Rz. 24). Die Anknüpfung an „für den privaten Bereich marktübliche Sicherungen“ und „verkehrsüblich vorhandene Sicherungsmaßnahmen“ lässt erkennen, dass der BGH dem privaten Anschlussinhaber die im privaten Verkehr gebotene, letztlich in seinem eigenen Interesse liegende Sorgfalt abverlangt und ihm diesem Rahmen - aber auch nur diesem - entsprechende Erkundigungspflichten zumutet.

Nach dem Sach- und Streitstand im vorliegenden Verfahren ist nicht erkennbar, dass ein 16-stelliger reiner Zahlenschlüssel schon generell oder auch hier im Besonderen nicht als ausreichend sicher hätte beurteilt werden müssen:

Zwar ist es auch für einen mathematisch nur durchschnittlich vorgebildeten Anschlussinhaber leicht nachvollziehbar, dass ein 16-stelliger Zahlenschlüssel bei Verwendung allein der zehn Ziffern 0-9 weniger Kombinationsmöglichkeiten eröffnet als ein 16-stelliger Schlüssel unter Einbeziehung auch von Buchstaben und Sonderzeichen.

Andererseits eröffnet ein 16-stelliger reiner Zahlenschlüssel bereits 1016 Kombinationsmöglichkeiten. Zudem ist dem von außen zugreifenden Dritten auch nicht bekannt, ob der Anschlussinhaber sich auf einen reinen Zahlencode beschränkt hat; das gilt zumindest im vorliegenden Fall, in welchem die Beklagte unbestritten vorgetragen hat, den Modem-Namen, der bei der Anzeige des WLAN-Netzes angegeben wird, in „O.“ geändert zu haben, so dass der verwendete Routertyp einem außenstehenden Dritten nicht erkennbar war und er daher keinen Rückschluss auf einen reinen Zahlencode vornehmen konnte.

d)
Bei dieser Ausgangslage wäre der Beklagten eine Prüfpflichtverletzung nur dann vorzuwerfen gewesen, wenn sie Anhaltspunkte dafür gehabt hätte, dass ein 16-stelliger Zahlenschlüssel generell oder der auf ihrem Gerät spezielle verwendete Schlüssel im Besonderen ausspähbar gewesen wäre. Solche Anhaltspunkte lagen aber nach Sach- und Streitstand im vorliegenden Verfahren nicht vor.

Insbesondere hat die Beklagte unbestritten geltend gemacht, dass die dem Gerät beigefügte Betriebsanleitung den Erwerber nicht dazu aufforderte, den voreingestellten 16-stelligen Code durch einen eigenen Code mit Ziffern, Buchstaben und Sonderzeichen (oder überhaupt durch ein eigenes Passwort) zu ersetzen (die entsprechenden Empfehlungen in der Kundenwarnung der T. G. GmbH & Co OHG gem. Anlage B 4 erfolgten vorliegend erst nach Inbetriebnahme des Routers und den streitgegenständlichen Verletzungshandlungen); anderes hätte von der Klägerin substanziiert dargelegt und ggf. bewiesen werden müssen. Es ist auch nicht erkennbar, dass die Beklagte über besondere persönliche Kenntnisse verfügt hätte, die sie sich hätte entgegen halten lassen müssen.

Anhaltspunkte dafür, dass der auf dem Router voreingestellte konkrete 16-stellige Zahlencode „2...4“ eine für einen solchen Code unsichere Kombination aufwies, bestanden für die Beklagte ebenfalls nicht. Weder folgte der Code einem bestimmten für den Laien erkennbaren Muster noch hatte er irgendeinen Bezug zur Beklagten und deren sonstigen persönlichen Daten (Geburtstag, Hausnummer, Telefonnummer o.ä.), aus denen ein außenstehender bei Kenntnis auf den Code hätte rückschließen können. Auch die späteren Veröffentlichungen zur Sicherheitslücke gem. Anlagen B 4 und B 5 geben keinen Anhaltspunkt, inwiefern der Beklagten bei Inbetriebnahme des Routers eine Unsicherheit des voreingestellten individuellen Passworts hätte auffallen müssen.

Dass der Code in einer offenbar unsicheren Weise vom Hersteller generiert worden war, war der Beklagten ebenfalls nicht erkennbar. Sie hatte keine Möglichkeit, das Generierungsverfahren zu kontrollieren, und die späteren Mitteilungen B 4 und B 5, mit denen die Sicherheitslücke öffentlich bekannt wurde, wurden erst im März 2014 veröffentlicht und damit nach dem Zeitpunkt der hier streitgegenständlichen Verletzungshandlungen."


Den Volltext der Entscheidung finden Sie hier: