BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Urteil vom 08.10.2025
IV ZR 161/24
BGB §§ 242, 270 Abs. 3

Der BGH hat entschieden, dass eine Forderung nicht erölischt, wenn bei einer "Man-in-the-Middle"-Attacke die Bankverbindung auf einer Rechnung manipuliert wird und der Schuldner auf das falsche Konto überweist.

Leitsatz des BGH:
Die Gefahr des Verlusts bei einer Geldüberweisung geht bei einem unwahrscheinlichen Kausalverlauf (hier: Fälschung einer Kontobezeichnung durch einen unbekannten Dritten) nicht nach dem Rechtsgedanken des § 270 Abs. 3 BGB i.V.m. § 242 BGB auf den Gläubiger über.

BGH, Urteil vom 8. Oktober 2025 - IV ZR 161/24 - OLG Köln - LG Köln

Den Volltext der Entcheidung finden Sie hier:

OLG Frankfurt am Main
Beschluss vom 08.09.2025,
2 ORbs 95/25

Das OLG Frankfurt hat entschieden, dass die Gewährung von Akteneinsicht in elektronisch geführte Akten durch Übersendung der Akte als PDF-Datei rechtlich nicht zu beanstanden ist.

Die Pressemitteilung des Gerichts:
Beschwerde zurückgewiesen - Akteneinsicht in elektronische Bußgeldakten über PDF/A

Akteneinsicht in elektronisch geführte Bußgeldakten erfolgt in Hessen durch die Übermittlung der Akte als PDF/A an den Verteidiger des Betroffenen. Das Oberlandesgericht Frankfurt am Main (OLG) führte mit heute veröffentlichtem Beschluss im Rahmen der Zurückweisung einer Rechtsbeschwerde eines Betroffenen wegen Überschreitung der zulässigen Höchstgeschwindigkeit grundsätzlich dazu aus, wie Akteneinsicht in elektronisch geführte Bußgeldakten zu erfolgen hat.

Gegen den Betroffenen war ein Bußgeld von 1.000 € festgesetzt sowie ein Fahrverbot von drei Monaten verhängt wegen fahrlässiger Überschreitung der zulässigen Höchstgeschwindigkeit außerhalb geschlossener Ortschaften um 86 km/h worden. Sein Verteidiger hatte auf Antrag Einsicht in die elektronisch geführte Bußgeldakte durch Übersendung einer PDF-Datei der Akte erhalten. Auf seinen Einspruch hin hatte das Amtsgericht den Betroffenen wegen vorsätzlicher Geschwindigkeitsüberschreitung eine Geldbuße von 1.700 Euro festgesetzt und ein Fahrverbot von drei Monaten verhängt.

Hiergegen richtet sich die Rechtsbeschwerde des Betroffenen. Er rügt u.a., dass ihm im Rahmen der Akteneinsicht nicht die bei der Akte befindliche Bilddatei des Fahrerfotos im „jpg-Format“ übermittelt worden sei, sondern im „PDF-Format“. Der zuständige 2. Strafsenat hat die Rechtsbeschwerde als unbegründet verworfen. Der Senat hat das Verfahren zum Anlass genommen die Grundsätze zur Akteneinsicht in elektronisch geführte Bußgeldakten darzulegen:

Die Akteneinsicht in elektronischer Form erfolge durch Bereitstellung eines „Repräsentats“ der Akte zum Abruf oder durch Übersendung über einen sicheren Übermittlungsweg (§§ 49 Abs. 1, 110c S. 1 OWiG, § 32f StPO i.V.m. mit § 2 Abs. 2 BBußAktEinV, § 9 JustlTV). Das „Repräsentat“ bilde dabei als elektronische Akte im PDF-Format die Ermittlungsakte ab. Hintergrund der Umwandlung sei „die Standardisierung und Vereinfachung der Gewährung von Akteneinsicht“, erläuterte der Senat. Die Reduzierung auf ein Dateiformat erhöhe die Kompatibilität unter den Systemen. Das PDF-Format habe sich im Rechts- und Geschäftsverkehr als kostenloser und allgemein anerkannter Standard durchgesetzt. Es könne auf allen Computersystemen gelesen werden, ohne das ursprüngliche Erscheinungsbild zu verändern.

Wenn Bilddateien aus einer Bußgeldakte in ein PDF-„Repräsentat“ umgewandelt werden, bleibe die Bildqualität ohne Qualitätsverlust erhalten. Die Bildinformationen werden direkt und vollständig in die PDF-Datei integriert. Dies gewährleiste, dass die visuelle Information im „Repräsentat“ exakt der Originaldatei entspreche.

Sollte Einsicht in Dateien der elektronischen Akte begehrt werden, die nicht in das „Repräsentat übernommen worden seien (§ 2 Abs.2 BBußAktFV), sei dafür ein begründeter Antrag erforderlich. Das System der Akteneinsicht in die elektronische Bußgeldakte folge damit den verfassungsmäßigen Vorgaben zum Anspruch auf „Informationsparität des Betroffenen in Ordnungswidrigkeitenverfahren“, resümierte der Senat. Zudem sei die Entscheidung der Bußgeldbehörde über die Form der Akteneinsicht nicht anfechtbar.

OLG Frankfurt am Main, Beschluss vom 8.9.2025, Az. 2 ORbs 95/25
(vorausgehend Amtsgericht Wiesbaden, Urteil vom 16.1.2025, Az. 78 OWi 5781 Js 43606/24)

LG Koblenz
Urteil vom 26.03.2025
8 O 271/22

Das LG Koblenz hat sich in diesem Verfahren mit einem etwaigen Mitverschulden eines Unternehmens bei einem Hackerangriff auf dessen E-Mail-Account und Manipulation der Bankverbindung in den von ihm versandten Rechnungen befasst.

Die Pressemitteilung des Gerichts:
Muss ein Werkunternehmer sich Zahlungen seines Kunden auf das Konto eines Betrügers anrechnen lassen, wenn dieser seinen E-Mail Account hackt und gegenüber dem Kunden manipuliert, so dass er Zahlungen auf ein Fremdkonto leistet? Diese Frage hatte das Landgericht Koblenz zu entscheiden.

Sachverhalt:

Die Parteien streiten über die Zahlung von Werklohn für Zaunbauarbeiten auf dem Grundstück des Beklagten in B., die durch die Firma des Klägers ausgeführt worden sind. Die Parteien vereinbarten die Ausführung von Zaunbauarbeiten zu einem Pauschalpreis in Höhe von 11.000,00 € einschließlich Umsatzsteuer. Der Kläger stellte dem Beklagten die Arbeiten unter dem 09.07.2022 in Rechnung. Die Rechnung weist die Kontoverbindung des Klägers aus. Die Parteien kommunizierten im Rahmen der Auftragsabwicklung sowohl per e-Mail als auch per WhatsApp. Am 15.07.2022 übersandte der Beklagte dem Kläger per WhatsApp einen Screenshot einer Überweisung über einen Betrag in Höhe von 6.000,00 €. Der Screenshot weist eine IBAN aus, die nicht diejenige des Klägers ist und den Namen des Begünstigten als Ronald Serge B. Am 17.07.2022 übersandte der Beklagte dem Kläger einen weiteren Screenshot einer Überweisung auf das gleiche Konto über einen Betrag von 5.000,00 €. Im Folgenden konnte der Kläger auf seinem Konto keinen Zahlungseingang feststellen und erkundigte sich dementsprechend bei dem Beklagten. Am 20.07.2022 teilte der Kläger dem Beklagten mit, dass es sich bei dem auf den Screenshots ausgewiesenen Konto nicht um sein Bankkonto handele. Er verfolgt mit seinem Klagebegehren weiterhin die Zahlung des Werklohns von 11.000 €.

Der Beklagte behauptet, unter dem 09.07.2022 von der e-Mail-Adresse des Klägers eine e-Mail mit der Rechnung wie Anlage K 1 im Anhang erhalten zu haben. Am 11.07.2022 habe er um 11:03 Uhr eine e-Mail von diesem Account erhalten, in der ihm sinngemäß mitgeteilt wurde, den Rechnungsbetrag noch nicht anzuweisen, da sich die Bankverbindung geändert habe. Man werde ihm die richtige Bankverbindung zusenden, sobald er den Erhalt der Nachricht bestätige. Unter dem 15.07.2022 um 9:28 Uhr habe der Beklagte sodann eine weitere e-Mail erhalten, in der ihm die auf den Screenshots ersichtliche Bankverbindung mitgeteilt worden sei und auf die er gezahlt habe. Hätte der Kläger die Screenshots sogleich überprüft, wäre es der Bank möglich gewesen, die veranlassten Zahlungen wieder rückgängig zu machen.

Die Entscheidung:

Die 8. Zivilkammer des Landgerichts Koblenz hat der Klage in einem Umfang 8.250 € (75 %) stattgegeben und im Übrigen (25%) abgewiesen.

Der Kläger habe nach wie vor einen Anspruch auf Zahlung aufgrund des zwischen den Parteien geschlossenen Werkvertrages, denn der Beklagte könne sich vorliegend nicht mit Erfolg darauf berufen, dass er seine Schuld bereits durch Zahlung erfüllt habe. Allein der Umstand, dass die entsprechende Mitteilung des Kontos vorliegend mutmaßlich von dem e-Mail-Account des Klägers versandt worden ist, genüge insofern nicht um eine Vermutung dahingehend aufzustellen, dass die e-Mail auch tatsächlich von dem Kläger stammt oder mit dessen Einverständnis verschickt wurde. Indes sei allgemein bekannt, dass e-Mail-Accounts immer wieder unbefugt von Dritten gehackt werden und sich diese im Anschluss der entsprechenden e-Mail-Adresse bemächtigten. Den Parteien, die sich darauf einigen, ihre Korrespondenz über e-Mail zu führen, sei daher bekannt, dass es sich dabei um einen unsicheren und damit fälschungsanfälligen Kommunikationsweg handele. Dieses Risiko nähmen die Parteien damit, zum Zwecke der Vereinfachung ihrer Geschäftsbeziehungen, bewusst in Kauf.

Der Beklagte könne indes erfolgreich mit einem eigenen gegen den Kläger bestehenden Schadensersatzanspruch teilweise aufrechnen. Ein solcher Anspruch folge aus Art. 82 DSGVO (Datenschutzgrundverordnung). Danach sei der Kläger als Unternehmer verpflichtet, sensible Daten gegen Datenschutzverletzungen zu sichern. Zu diesen Daten gehörten sowohl die in der Rechnung enthaltenen personenbezogenen Angaben des Beklagten, als auch seine e-Mail-Adresse. Eine solche Absicherung habe der Kläger nicht vorgenommen.

Der Beklagte müsse sich aber ein erhebliches Mitverschulden anrechnen lassen. Vor dem oben aufgezeigten Hintergrund wäre es auch an dem Beklagten gewesen, kritisch zu hinterfragen, ob die ihm per e-Mail übersandten Kontodaten tatsächlich von dem Kläger stammen, zumal eine Bankverbindung mit einem vollkommen fremden Zahlungsempfänger mitgeteilt wurde. Spätestens in diesem Moment hätte der Beklagte sich bei dem Kläger rückversichern müssen. Der Beklagte könne sich nicht mit Erfolg darauf berufen, dem Kläger per WhatsApp Screenshots der von ihm getätigten Überweisungen geschickt zu haben. Zwar hätte auch anhand dieser Screenshots der Kläger bei sorgfältigerer Durchsicht erkennen können, dass die Zahlung an einen falschen Empfänger getätigt worden ist, eine entsprechende Prüfungspflicht obliege ihm allerdings nicht, das Risiko der Zahlung liege vielmehr beim Beklagten. Erschwerend trete hinzu, dass der Beklagte die Screenshots lediglich per WhatsApp übersandt habe. Dabei handelt es sich indes in der Regel um kurze Nachrichten, die unmittelbar auf dem Mobilgerät eingehen und dafür konzipiert seien, dort auch direkt gelesen zu werden. Es sei daher damit zu rechnen, dass sie auch in einer Situation zur Kenntnis genommen werden können, in der der Fokus nicht primär auf dem Schriftverkehr liege und die eine sorgfältige Prüfung - etwa den Abgleich von Zahlen - gar nicht ermögliche.

Mit Blick auf die zuvor gemachten Ausführungen sei deshalb ein überwiegendes Mitverschulden beim Beklagten zu sehen, was eine Quotelung des Schadens 25 : 75 zu Lasten des Beklagten rechtfertige. Mit Blick auf sein überwiegendes Mitverschulden steht ihm daher lediglich ein Anspruch auf Ersatz von 25 % seines Schadens gegen den Kläger zu, so dass er lediglich in Höhe eines Betrages von 2.750,00 € mit Erfolg aufrechnen könne.

Auszug aus dem Bürgerlichen Gesetzbuch

§ 631 Vertragstypische Pflichten beim Werkvertrag
(1) Durch den Werkvertrag wird der Unternehmer zur Herstellung des versprochenen Werkes, der Besteller zur Entrichtung der vereinbarten Vergütung verpflichtet.
(2) Gegenstand des Werkvertrags kann sowohl die Herstellung oder Veränderung einer Sache als auch ein anderer durch Arbeit oder Dienstleistung herbeizuführender Erfolg sein.

§ 254 Mitverschulden
(1) Hat bei der Entstehung des Schadens ein Verschulden des Beschädigten mitgewirkt, so hängt die Verpflichtung zum Ersatz sowie der Umfang des zu leistenden Ersatzes von den Umständen, insbesondere davon ab, inwieweit der Schaden vorwiegend von dem einen oder dem anderen Teil verursacht worden ist.
……

§ 270 Zahlungsort
(1) Geld hat der Schuldner im Zweifel auf seine Gefahr und seine Kosten dem Gläubiger an dessen Wohnsitz zu übermitteln.

OVG Münster
Beschluss vom 20.02.2025
16 B 288/23

Das OVG Münster hat entschieden, dass Behörden nicht verpflichtet sind, Daten mit Ende-zu-Ende-Verschlüsselung zu versenden.

Aus den Entscheidungsgründen:
II. Der Antragsteller stellt die Annahme des Verwaltungsgerichts, er habe keinen Anordnungsanspruch glaubhaft gemacht, mit seinem Beschwerdevorbringen nicht durchgreifend in Frage.

1. Das Verwaltungsgericht hat zutreffend angenommen, dass Art. 18 Abs. 1 Buchstabe d DSGVO keine Anspruchsgrundlage für das Begehren des Antragstellers darstellt. Nach dieser Vorschrift hat die betroffene Person das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die betroffene Person Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden (Art. 18 Abs. 2 DSGVO). Das Verwaltungsgericht hat dazu ausgeführt, dem Antragsteller gehe es nicht nur um die Einschränkung der Datenverarbeitung für die Dauer des bereits abgeschlossenen Überprüfungsverfahrens, sondern um eine Verpflichtung der Antragsgegnerin, zukünftig eine Ende-zu-Ende-Verschlüsselung bei der Verarbeitung der personenbezogenen Daten des Antragstellers zu verwenden.

Dem setzt der Antragsteller ohne Erfolg den Hinweis entgegen, der Betroffene könne ausdrücklich auf Basis einer Einwilligung die Einschränkung der Verarbeitung teilweise aufheben und damit sei nach Art. 18 Abs. 2 DSGVO jede Verarbeitung auch solcher Daten zulässig, deren Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt worden sei. Dieses Vorbringen versteht der Senat dahingehend, dass der Antragsteller meint, aufgrund seines Widerspruchs gegen die Verarbeitung seiner personenbezogenen Daten durch die Antragsgegnerin sei die Datenverarbeitung mit der in Art. 18 Abs. 2 DSGVO beschriebenen Rechtsfolge eingeschränkt und er könne diese Einschränkung dadurch wieder teilweise aufheben, dass er in eine Übermittlung unter den in seinem Antrag genannten Voraussetzungen (Ende-zu-Ende-Verschlüsselung bzw. eine dem Stand der Technik und dem Risiko entsprechende Verschlüsselung) einwillige.


Unabhängig vom Stand des in Art. 18 Abs. 1 Buchstabe d DSGVO i. V. m. Art. 21 Abs. 1 DSGVO vorgesehenen Überprüfungsverfahrens bleibt dieses Vorbringen ohne Erfolg. Die Einschränkungen für die Datenverarbeitung unter den in Art. 18 Abs. 1 Buchstabe d DSGVO genannten Voraussetzungen gelten nach dem Wortlaut der Vorschrift in zeitlicher Hinsicht nur, „solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen“. Dem Antragsteller geht es im vorliegenden Verfahren jedoch nicht um den Zeitraum während des Überprüfungsverfahrens nach Art. 21 DSGVO, sondern um eine von diesem Zeitraum unabhängige Regelung für die Übermittlung seiner personenbezogenen Daten. Dem steht nicht entgegen, dass er seinen Antrag im Verfahren auf Gewährung einstweiligen Rechtsschutzes zeitlich „bis zu einer Entscheidung in der Hauptsache“ begrenzt hat. Diese zeitliche Begrenzung ist lediglich dem Charakter des Verfahrens auf Gewährung einstweiligen Rechtsschutzes geschuldet.

Da der Antragsteller die geltend gemachten Ansprüche nicht aus Art. 18 Abs. 1 Buchstabe d DSGVO herleiten kann und es nicht auf das in dieser Vorschrift in Bezug genommene Überprüfungsverfahren gemäß Art. 21 Abs. 1 DSGVO ankommt, musste das Verwaltungsgericht dem Antrag auch nicht deswegen stattgeben, weil nach Ansicht des Antragstellers nicht ersichtlich sei, welche in Art. 21 Abs. 1 Satz 2 DSGVO angeführten zwingenden Gründe hier gegen eine Ende-zu-Ende-Verschlüsselung sprächen.

2. Der Antragsteller stellt weiter die Annahme des Verwaltungsgerichts, er könne einen Anspruch auf Datenübermittlung im Wege einer Ende-zu-Ende-Verschlüsselung oder einer sonstigen Verschlüsselung, die über die von der Antragsgegnerin verwendete hinausgehe, nicht aus Art. 32 DSGVO herleiten, nicht durchgreifend in Frage.

Das Verwaltungsgericht hat diese Ansicht mit einer Gesamtbetrachtung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien begründet. Es hat ausgeführt, nach dieser Vorschrift sei die Antragsgegnerin bei der Verarbeitung personenbezogener Daten verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Erforderlich seien eine Risikoeinschätzung und darauf basierend die Feststellung des Schutzbedarfs der Daten. Die in Art. 32 Abs. 1 Buchstabe a DSGVO genannte Maßnahme der Verschlüsselung personenbezogener Daten müsse den in Art. 5 Abs. 1 Buchstabe f DSGVO genannten Zielsetzungen der Integrität und Vertraulichkeit genügen sowie dem Stand der Technik entsprechen; darüber hinausgehende spezifische Anforderungen für das einzusetzende Verschlüsselungsverfahren ließen sich Art. 32 DSGVO aber nicht entnehmen. Der Antragsteller habe nicht hinreichend glaubhaft gemacht, dass die Datenverarbeitung der Antragsgegnerin für ihn ein besonderes Risiko darstelle. Seinen Ausführungen lasse sich nicht entnehmen, dass ein erhöhtes Risiko mit Blick auf die Datenverarbeitung der Antragsgegnerin bestehe, diese etwa einem gesteigerten Risiko ausgesetzt sei, Opfer von Hackerangriffen zu werden. Ebenso wenig sei die Antragsgegnerin in der Vergangenheit durch Sicherheitslücken aufgefallen. Vielmehr erfolge die Datenübertragung bei der Antragsgegnerin stets unter TLS-Verschlüsselung und werde im Kommunikationsprozess mit anderen staatlichen Stellen zusätzlich gesichert (SINA-Box, Client-Zertifikate). Zudem hat das Verwaltungsgericht auf das von der Antragsgegnerin vorgelegte (und bei positivem Abschluss der jährlichen Überwachungsaudits bis zum 17. Juni 2025 gültige) IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 Bezug genommen und ausgeführt, es seien keine Anhaltspunkte dafür ersichtlich, dass die Antragsgegnerin ihr IT-Sicherheitskonzept nicht oder nicht hinreichend umsetze.

Die gegen diese Ausführungen gerichteten Einwände des Antragstellers betreffen einzelne Aspekte der Gesamtbetrachtung. Sie führen auch bei gemeinsamer Würdigung nicht zum Erfolg der Beschwerde. Dies liegt insbesondere daran, dass der Antragsteller mit seinem Beschwerdevorbringen die für die Gesamtbetrachtung nach Art. 32 Abs. 1 DSGVO wesentliche Einschätzung des Verwaltungsgerichts nicht durchgreifend in Zweifel zieht, wonach er das von der Datenverarbeitung der Antragsgegnerin für ihn ausgehende besondere Risiko nicht glaubhaft gemacht habe, und sich die von ihm begehrte Art der Datenübermittlung jedenfalls ohne ein solches erhöhtes Risiko nicht aus Art. 32 Abs. 1 DSGVO ableiten lasse. Dabei besteht Einigkeit darüber, dass es sich bei den in Rede stehenden Daten des Antragstellers nicht um personenbezogene Daten i. S. v. Art. 9 und 10 DSGVO handelt.

a) Das Verwaltungsgericht hat zu der behaupteten Gefährdung für Leib, Leben und Freiheit des Antragstellers ausgeführt, dessen Hinweis auf den ihn betreffenden Beschluss des Bundesverwaltungsgerichts vom 10. Juni 2021 ‑ 3 B 19.20 ‑ genüge nicht, um einen derart erhöhten Schutzbedarf glaubhaft zu machen, der eine Ende-zu-Ende-Verschlüsselung gebiete, weil es sich bei der vom Antragsteller in Bezug genommenen Passage lediglich um eine Wiedergabe der Ausführungen des Berufungsgerichts handele. Die dort wiedergegebene Einschätzung des Berufungsgerichts beruhe auf konkreten und durch Belege gestützten Angaben des Antragstellers im dortigen Verfahren sowie ergänzend auf einer im Zusammenhang mit § 41 Abs. 2 StVG stehenden Gefährdungsbewertung der Polizeidirektion. Vorliegend habe der Antragsteller keine konkreten Angaben oder Belege eingereicht, die ein besonderes Risiko für ihn durch die Datenverarbeitung der Antragsgegnerin belegen könnten. Der Umstand, dass der Antragsteller in einem Verfahren zur Eintragung einer Übermittlungssperre erfolgreich dargelegt habe, dass durch die Übermittlung von in das Fahrzeugregister eingetragenen Daten schutzwürdige Interessen beeinträchtigt würden, reiche nicht aus, um dies auch für eine Datenverarbeitung durch die Antragsgegnerin anzunehmen. Gleiches gelte für den Hinweis des Antragstellers auf die zu seiner Person eingetragene Auskunftssperre nach § 51 BMG.

Der dagegen gerichtete Vorwurf des Antragstellers, das Verwaltungsgericht sei rechtswidrig davon ausgegangen, er müsse den erhöhten Schutzbedarf zweifelsfrei nachweisen, trifft nicht zu. Das Verwaltungsgericht hat ausdrücklich ausgeführt, der Antragsteller müsse seine Gefährdung glaubhaft machen (Seite 8, 11 des Beschlusses), und näher erläutert, aus welchen Gründen dies nicht erfolgt sei.

Die Einwände des Antragstellers, seine Gefährdung sei in anderen Gerichtsverfahren festgestellt worden und ein individuell-konkreterer Vortrag könne nicht verlangt werden, greifen nicht durch. Sie genügen schon nicht den Darlegungsanforderungen des § 146 Abs. 4 Satz 3 VwGO. Danach muss der Beschwerdeführer u. a. die Gründe darlegen, aus denen die Entscheidung abzuändern oder aufzuheben ist, und sich mit der angefochtenen Entscheidung auseinandersetzen. Die – hier erfolgte – bloße Wiederholung des erstinstanzlichen Vorbringens reicht dazu grundsätzlich nicht aus; Entsprechendes gilt für die Bezugnahme auf die bereits erstinstanzlich vorgelegte eidesstattliche Versicherung des Antragstellers vom 29. August 2022, in der der Antragsteller geltend macht – allerdings ohne dafür Nachweise vorzulegen –, aufgrund seines beruflichen Umgangs mit […] bestehe für ihn die Gefahr, Opfer einer Entführung oder eines Raubes zu werden […]. Der Antragsteller geht nicht auf die zutreffende Argumentation des Verwaltungsgerichts ein, dass das Bundesverwaltungsgericht in der vom Antragsteller in Bezug genommenen Passage nicht Tatsachen betreffend diesen selbst festgestellt, sondern lediglich Ausführungen der Vorinstanz wiedergegeben hat, und aus welchen Gründen ein Verweis auf Gefährdungseinschätzungen anderer Gerichte oder Behörden in anderen rechtlichen Zusammenhängen (Fahrzeug-, Melderegister) keine belastbaren Rückschlüsse auf die vorliegende Fallkonstellation zulässt. Unabhängig vom Vorstehenden hat der Antragsteller auch im Beschwerdeverfahren keine konkreten Belege für die von ihm geltend gemachte besondere Gefährdung vorgelegt.

b) Aus den vorgenannten Gründen kann der Antragsteller auch nicht mit Erfolg rügen, die Datenverarbeitung der Antragsgegnerin sei im Lichte von Art. 5 DSGVO formell rechtswidrig, weil diese keine Einzelfallprüfung bezogen auf seine besonders schutzbedürftigen personenbezogenen Daten vorgenommen habe. Daher kommt auch die vom Antragsteller thematisierte Sperrung seiner Daten für eine nicht hinreichend verschlüsselte Übermittlung als „Sanktionswirkung für ein Unterlassen nach Art. 5 DSGVO“ nicht in Betracht.

c) Die Ausführungen des Verwaltungsgerichts, wonach für die Antragsgegnerin kein gesteigertes Risiko erkennbar sei, Opfer von Hackerangriffen zu werden, und diese in der Vergangenheit auch nicht durch Sicherheitslücken aufgefallen sei, betreffen der Sache nach den Aspekt „Eintrittswahrscheinlichkeit“ in Art. 32 Abs. 1 DSGVO. Sie werden vom Antragsteller mit seinem Beschwerdevorbringen inhaltlich nicht in Frage gestellt. Das Verwaltungsgericht hat mit diesen Ausführungen nicht vom Antragsteller einen Nachweis für das Gegenteil verlangt.

d) Die Rüge des Antragstellers, die Antragsgegnerin habe keine ausreichende Transportverschlüsselung glaubhaft gemacht, greift nicht durch. Das Verwaltungsgericht hat zur Transportverschlüsselung ausgeführt, die von der Antragsgegnerin verwendete Transportverschlüsselung sei datenschutzrechtlich ausreichend. Zur Begründung hat es sich u. a. auf das von der Antragsgegnerin vorgelegte IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 gestützt. Außerdem hat es die Angaben der Antragsgegnerin angeführt, wonach jede Datenübermittlung verschlüsselt erfolge, etwa durch TLS-Verschlüsselungen, und im Kommunikationsprozess mit anderen staatlichen Stellen zusätzliche Sicherungen beständen (SINA-Box, Client-Zertifikate). Konkrete Anhaltspunkte dafür, dass diese Angaben der Antragsgegnerin nicht zutreffen könnten oder die im IT-Sicherheitszertifikat angeführten Maßnahmen nicht umgesetzt würden, zeigt der Antragsteller nicht auf.


Soweit er die von der Antragsgegnerin verwendete Verschlüsselungstechnik für zu unsicher hält und meint, TLS 1.2 entspreche nicht mehr dem aktuellen Stand der Technik, vielmehr gebe es bereits seit 2018 TLS 1.3, jedenfalls aber sei jede TLS-Verschlüsselung zu unsicher, führt dies nicht zum Erfolg seiner Beschwerde. Denn die Verschlüsselung über TLS stellt, wie vom Verwaltungsgericht ausgeführt, nicht die einzige Sicherheitsmaßnahme der Antragsgegnerin dar. Im Beschwerdeverfahren hat die Antragsgegnerin zudem ergänzt, die Transportverschlüsselung sei so konzipiert, dass sie vom Browser-Client der Anfragenden bis zur Firewall der Antragsgegnerin reiche; es gebe also keine „Zwischenstationen“, auf denen die Inhalte unverschlüsselt abgelegt wären; die Netzkomponenten auf dem Routing-Weg im Internet könnten keinen Einblick in die Kommunikationsinhalte gewinnen. Konkrete Anhaltspunkte dafür, dass diese Angaben wahrheitswidrig sein könnten, sind weder substantiiert vorgetragen noch sonst ersichtlich. Abgesehen davon kann der Antragsteller im Rahmen der nach Art. 32 Abs. 1 DSGVO erforderlichen Gesamtbetrachtung ohne besondere, in seiner Person liegende Umstände, die hier nicht glaubhaft gemacht sind, nicht von der Antragsgegnerin verlangen, dass die ihn betreffenden personenbezogenen Daten nur unter höheren Sicherheitsanforderungen elektronisch übermittelt werden dürfen, als dies bei personenbezogenen Daten anderer Personen, die bei der Antragsgegnerin gespeichert sind, der Fall ist. Dies gilt auch für etwaige Übermittlungen durch Telefax, E-Mail oder Telefon, die vom Baustein „CON.9 Informationsaustausch“ des IT-Grundschutzes der Antragsgegnerin erfasst werden, der nach seiner Nr. 1.1. unterschiedliche Kommunikationswege wie z. B. persönliche Gespräche, Telefonate, Briefe u. a. in den Blick nimmt.


e) Weiter ohne Erfolg macht der Antragsteller mit seiner Beschwerdebegründung vom 3. April 2023 geltend, den vom Verwaltungsgericht angenommenen Prüfungsmaßstab „sozialadäquat“ kenne die Datenschutz-Grundverordnung nicht. Im Schriftsatz vom 27. Mai 2023 versteht der Antragsteller diesen Begriff dahingehend, dass damit eine Transportverschlüsselung gemeint sei, die dem üblichen Stand der Technik entspreche. In diese Richtung geht auch die Formulierung des Verwaltungsgerichts, das in Anlehnung an die entsprechende Wortwahl des insoweit zitierten Verwaltungsgerichts Mainz,

Urteil vom 17. Dezember 2020 - 1 K 778/19.MZ -, juris, Rn. 40: „Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest‑)Stand der Technik einzustufen“,

die von der Antragsgegnerin verwendete Transportverschlüsselung mit diesem Begriff bezeichnet hat. Der Sache nach stellen die Ausführungen des Verwaltungsgerichts in diesem Zusammenhang eine zusammenfassende Bewertung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien dar und ist als solche rechtlich nicht zu beanstanden.

f) Die Ausführungen des Antragstellers dazu, dass Art. 2 Abs. 2 Buchstabe d DSGVO den geltend gemachten Anspruch nicht ausschließe, führen nicht zum Erfolg der Beschwerde, weil auch das Verwaltungsgericht von dieser Rechtsauffassung ausgegangen ist.

Den Volltext der Entscheidung finden Sie hier:

OLG Schleswig-Holstein
Urteil vom 18.12.2024
12 U 9/24

Das OLG Schleswig-Holstein hat entschieden, dass Unternehmen E-Mail-Rechnungen mit Ende-zu-Ende-Verschlüsselung versenden müssen. Andernfalls kann bei einem Man-in-the-Middle-Angriff ein Schadensersatzanspruch aus Art. 82 DSGVO bestehen.

Das Gericht hat zum Glück die Revision zugelassen, so dass der BGH hoffentlich die Gelegenheit erhält, diese völlig praxisuntaugliche Entscheidung zu korrigieren.

Aus den Entscheidungsgründen:
2. Anders als das Landgericht meint, steht der Beklagten allerdings ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung des streitgegenständlichen Betrags zu, den die Beklagte der Klagforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten kann.

a) Ein solcher Anspruch resultiert vorliegend jedenfalls aus Art. 82 DSGVO.

Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z.B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Als Datenschutzverletzungen werden versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten definiert. Um solche Sicherheitsvorfälle zu vermeiden, werden Unternehmen dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. Nach Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (...) Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Art. 82 Abs. 1 DSGVO eröffnet einen direkten eigenen deliktischen Schadensersatzanspruch mit Verschuldensvermutung, wobei der Verantwortliche nach Abs. 3 den Entlastungsbeweis führen kann.

Dass die Beklagte sich nicht ausdrücklich auf Art. 82 Abs. 1 DSGVO berufen hat, hindert eine Anwendbarkeit nicht, denn die Subsumtion des unterbreiteten Sachverhalts obliegt allein dem Gericht. Insoweit hat die Beklagte alle erforderlichen Voraussetzungen für einen solchen Schadensersatzanspruch vorgetragen.

aa) Der Anwendungsbereich der DSGVO ist in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet.

Gemäß Art. 2 Abs. 1 DSGVO gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Personenbezogene Daten sind Daten, über die sich ein konkreter Personenbezug herstellen lässt. Demnach geht es um Daten, die konkreten Personen zuzuordnen sind. Die in der streitgegenständlichen Email als Anhang enthaltenen Angaben zur Beklagten (Name, Anschrift, Kunde der Klägerin, offene Rechnung über eine Werkleistung) sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Die Versendung der Rechnung mit den enthaltenen Daten per E-Mail an die Beklagte über den streitverkündeten Zeugen A. stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar ("Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung"). Daran ändert sich auch nichts dadurch, dass nicht die personenbezogenen Daten der Beklagten, sondern die Kontoverbindung der Klägerin durch einen Dritten unbefugt manipuliert wurde, denn ohne den gleichzeitigen unbefugten Zugriff auf die Daten der Beklagten wäre diese durch die abgewandelte, an die Email angehängte Rechnung nicht dazu veranlasst worden, auf ein falsches Bankkonto zu zahlen.

Das sog. Haushaltsprivileg des Art. 2 Abs. 2 lit. c DSGVO, wonach die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten findet, greift nicht, da die Verarbeitung vorliegend durch ein Unternehmen im Rahmen des geschäftlichen Betriebs stattgefunden hat.

Die Beklagte ist für den geltend gemachten Anspruch aktivlegitimiert. Denn anspruchsberechtigt ist nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist. Die Klägerin ist als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO passivlegitimiert im Sinne von Art. 82 Abs. 1 DSGVO.

bb) Im Übrigen hat Art. 82 Abs. 2 DSGVO - der die in Art. 82 Abs. 1 DSGVO grundsätzlich normierte Haftungsregelung präzisiert - drei Voraussetzungen für die Entstehung eines Schadensersatzanspruchs, nämlich

- erstens eine Verarbeitung personenbezogener Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 UnterAbs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 1 und 2 DSGVO unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO,

- zweitens einen der betroffenen Person entstandenen Schaden und

- drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden

(vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 58; EuGH, Urteil v. 04.05.2023 – C-300/21 -, juris Rn. 36).

(1) Vorliegend hat nach Ansicht des Senats die Klägerin - anders als das Landgericht meint – im Zuge der Verarbeitung der personenbezogenen Daten der Beklagen bei Versand der streitgegenständlichen Email mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.

(aa) Ein Verstoß gegen die Vorschriften der Datenschutzgrundverordnung kann in diesem Zusammenhang nicht schon allein deswegen angenommen werden, weil – was unstreitig ist – ein unbefugter Zugriff auf personenbezogene Daten durch Dritte im Sinne von Art. 4 Nr. 10 DSGVO stattgefunden hat. Denn dies allein reicht nach der Rechtsprechung des Europäischen Gerichtshofs nicht aus, um gleichzeitig davon auszugehen, dass die technischen und organisatorischen Maßnahmen des für die Verarbeitung Verantwortlichen nicht "geeignet" im Sinne von Art. 24 und 32 DSGVO waren, vgl. EuGH, Urteil v. 25.01.2024 - C-687/21 -, juris Rn. 45; EuGH, Urteil v. 14.12.2023 - C-340/21, juris Rn. 22ff., 31-39).

(bb) Umgekehrt ist nach der Rechtsprechung des Europäischen Gerichtshofs der Verantwortliche aber auch nicht gem. Art. 82 Abs. 3 DSGVO von seiner nach Art. 82 Abs. 1 und 2 DSGVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens allein deswegen befreit, weil dieser Schaden die Folge eines unbefugten Zugangs zu personenbezogenen Daten durch einen Dritten ist (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 65ff., 74).

(cc) Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen (vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 40Ff; ebenso EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 48ff., 57). Das ist der Klägerin vorliegend nicht gelungen, da der Senat die Transportverschlüsselung, die sie beim Versand der streitgegenständlichen Email – von der Beklagten bestritten – verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält. Es kann damit auch dahinstehen, ob eine solche Transportverschlüsselung tatsächlich erfolgt ist. Das von der Klägerin zum Beweis dafür und für die Frage, ob eine Transportverschlüsselung dem üblichen Sicherungsmaß entspricht oder sogar darüber hinausgeht, angebotene Sachverständigengutachten ist insoweit nicht einzuholen.

(aaa) Der Senat verkennt dabei nicht, dass es konkrete gesetzliche Anforderungen an eine Verschlüsselung von Emails nicht gibt.

Auch in der Datenschutzgrundverordnung ist eine Verschlüsselung nicht zwingend vorgeschrieben. Sie wird jedoch mehrfach im Text der Verordnung erwähnt, jedes Mal als Empfehlung. In Artikel 32 heißt es, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken und der Schwere der Folgen für die Rechte und Freiheiten natürlicher Personen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen müssen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wozu unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten gehören. Da die DSGVO die Verschlüsselung jedoch nicht zwingend vorschreibt, bietet sie keine Klarheit darüber, wann die Verschlüsselung verwendet werden sollte und welche Standards dabei angewendet werden müssen.

Nach der „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“, die von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder entwickelt wurde und die Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DSGVO zum Ziel hat, sind ausgehend vom Stand der Technik, den typischen Implementierungskosten und deren Verhältnis zu den Risiken einer Übermittlung personenbezogener Daten per E-Mail Anforderungen an die Maßnahmen, die Verantwortliche und Auftragsverarbeiter zur ausreichenden Minderung der Risiken zu treffen haben, zu bestimmen. Die Verantwortlichen und Auftragsverarbeiter sind verpflichtet, die Besonderheiten ihrer Verarbeitungen, darunter insbesondere den Umfang, die Umstände und die Zwecke der vorgesehenen Übermittlungsvorgänge zu berücksichtigen, die ggf. in abweichenden Anforderungen resultieren können (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf).

Danach muss es im Ausgangspunkt heute jedem Unternehmen, das Daten seiner privaten Kunden computertechnisch verarbeitet, bewusst sein, dass der Schutz dieser Daten hohe Priorität – auch beim Versenden von Emails - genießt. Es ist daher zur Überzeugung des Senats auch verpflichtet, diesen Schutz durch entsprechende Maßnahmen so weit wie möglich zu gewährleisten.

Der Europäische Gerichtshof hat die Anforderungen des Art. 32 DSGVO dahingehend ausgelegt, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen vor den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbunden Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind (vgl. EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 40ff., 47).

(bbb) Tastet man sich an die Frage einer „geeigneten“ Verschlüsselung „von unten“ heran, ist es nach Ansicht des Senats für einen Geschäftsbetrieb wie den der Klägerin ausgeschlossen, geschäftliche Emails mit personenbezogenen Daten völlig ohne jede Verschlüsselung zu versenden.

Nach einer Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu aktuell möglichen und gebräuchlichen Verschlüsselungsmethoden kommen für den Email-Versand die folgenden Verfahren in Betracht:

„Bei E-Mail-Verschlüsselung gibt es grundsätzlich zwei verschiedene Arten: die Punkt-zu-Punkt- beziehungsweise Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung.

Wo der entscheidende Unterschied liegt, wird im Folgenden erklärt:

Transportverschlüsselung

Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird inzwischen von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. E-Mails werden beim Versand allerdings über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.

Internetkriminelle könnten einen "Man-in-the-Middle-Angriff" durchführen, der auf diese Punkte ausgerichtet ist. Bei diesem Angriff platziert sich ein Angreifer "in der Mitte" der Kommunikation zwischen zwei Kommunikationspartnerinnen oder -partnern und kann ohne deren Wissen Daten (z.B. E-Mails) abfangen, kopieren oder verändern.

Ende-zu-Ende-Verschlüsselung

Zwar ist eine Transportverschlüsselung einer unverschlüsselten Kommunikation vorzuziehen, doch gerade bei sensiblen oder persönlichen Inhalten empfiehlt es sich, auf den Einsatz einer Ende-zu-Ende-Verschlüsselung Wert zu legen. Bisher gestaltete sich der Einsatz dieser Kryptografietechnik noch als mühsam. Anwenderinnen und Anwender müssen bei der Ende-zu-Ende-Verschlüsselung oft selbst aktiv werden und zusätzliche Plugins in den meisten E-Mail-Clients aktivieren, um die Technologie nutzen zu können. Eine weitere Hürde ist der Austausch der öffentlichen Schlüssel. Allerdings ist dies unter anderem mit einem vom Bundesamt für Sicherheit in der Informationstechnik entwickelten Protokoll richtungsweisend vereinfacht und so Anwenderinnen und Anwendern zugänglicher gemacht worden.“

(https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationenund-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschlu esselung/e-mail-verschluesselung_node.html)

In der bereits zitierten Orientierungshilfe der Datenschutzkonferenz (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf) heißt es weiter zu dem von einem Verarbeiter danach zu verlangenden Schutzniveau, dass sowohl End-to-End-Verschlüsselung als auch Transportverschlüsselung für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten mindern. Daher müssten Verantwortliche beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen. Der durchgreifendste Schutz der Vertraulichkeit der Inhaltsdaten werde durch End-to-End-Verschlüsselung erreicht. End-to-End-Verschlüsselung schütze nicht nur den Transportweg, sondern auch ruhende Daten; der Einsatz von Transportverschlüsselung biete einen Basis-Schutz und stelle eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Die Verantwortlichen müssten die Risiken sorgfältig einschätzen, die mit dem Bruch der Vertraulichkeit und Integrität von E-Mail-Nachrichten verbunden seien, die sie versendeten oder gezielt empfingen.

(ccc) Nach Ansicht des Senats ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.

Soweit in der Orientierungshilfe der Datenschutzkonferenz zur Einzelfallentscheidung darauf abgestellt wird, dass in Verarbeitungssituationen mit normalen Risiken bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht wird, zeigt der zu entscheidende Fall nach Ansicht des Senats deutlich, dass hier keine „Verarbeitungssituation mit normalen Risiken“ vorliegt. Er ist zwar anders gelagert als die üblicherweise für die Annahme eines hohen Risikos herangezogenen Emails z.B. mit Arztbriefen oder Rechtsanwaltsschreiben im Anhang, die vor allem wegen des hohen Umfangs und der Intensität der persönlichen Daten besonders schutzwürdig sein sollen. Bei der hier streitgegenständlichen Email mit der Rechnung der Klägerin im Anhang sind die persönlichen Daten der Beklagten als Privatkundin wie Name und Adresse und die Tatsache, dass die Beklagte einen Werkvertrag abgeschlossen hat, nicht in dem Maße tiefgreifend persönlich. Der Zugriff durch einen unbefugten Dritten darauf führte aber im konkreten Fall in Verbindung mit der ebenfalls „gehackten“ und unberechtigt veränderten Kontoverbindung der Klägerin dazu, dass die Beklagte auf ein falsches Konto gezahlt hat und ‒ wie die Ausführungen unter 1. zeigen ‒ den Werklohn nunmehr erneut zahlen soll, so dass ihr ein massiver finanzieller Schaden von über 15.000,-- € entstanden ist. Dass Kunden von Unternehmen bei einem Datenhacking solche Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per Email immanent ist, von der Klägerin bei ihrer Planung zur Emailsicherheit erkannt werden musste und bei ihren Überlegungen zu Schutzmaßnahmen beim Versand von Rechnungen per Email mit einzubeziehen war. Anders, als das Landgericht meint, kommt es darauf, dass bei der Klägerin bislang ein Hackerangriff noch nicht vorgekommen war, nicht an. Die stetig wachsende Gefahr von Hackerangriffen auf Unternehmen ist allgemein bekannt und die hohe Schadensträchtigkeit des Versands von Rechnungen per Email verlangt von einem Unternehmen wie der Klägerin eine entsprechende Voraussicht und ein entsprechendes proaktives Handeln.

Der Senat verkennt dabei nicht, dass die hier für einen Email-Versand mit angehängter Rechnung verlangte End-to-End-Verschlüsselung für ein Unternehmen wie die Klägerin einen gewissen technischen Aufwand erfordert, der sich möglicherweise nicht darauf beschränkt, in dem benutzten Standard-Email-Programm lediglich eine Aktivierung vorzunehmen. Vielmehr dürfte hier vielfach eine technische Beratung und der Einsatz von gesonderten Programmen erforderlich sein. Dies ändert aber nach Ansicht des Senats die an die Verschlüsselung von geschäftlichen Emails mit angehängten Rechnungen zu stellenden Anforderungen nicht. Angesichts der allgemein bekannten und vielfältig veröffentlichten Hackermöglichkeiten, des gerichtsbekannt rasanten Anstiegs von Hackerangriffen und den im Einzelfall weitreichenden finanziellen Folgen für den einzelnen Kunden, dessen Rechnung verfälscht wird und der selbst keinen Einfluss auf die Verarbeitung seiner Daten hat, ist daher auch von einem kleineren Unternehmen – wie der Klägerin als mittelständischem Handwerksbetrieb – zu erwarten, dass es sich zum Schutz der Daten seiner Kunden zu computertechnischen Sicherheitsanforderungen informiert und sich diesbezüglich beraten, fortbilden und mit der notwendigen Software ausstatten lässt. Die Klägerin kann sich nicht darauf berufen, dass es sich bei der End-to-End-Verschlüsselung im Geschäftsleben um eine unübliche Verschlüsselung handeln würde, die von ihr nicht verlangt werden könne. Vielmehr beschäftigen sich vielfache, allgemein zugängliche Empfehlungen und Informationen aktuell mit den entsprechenden Möglichkeiten, so auch die Information des BSI zur Praxis der Emailverschlüsselung unter Nennung verschiedener Email-Tools, die eine solche Verschlüsselung ermöglichen (s. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dass einer End-to-End-Verschlüsselung im konkreten Fall technische, organisatorische und/oder finanzielle Hindernisse im Weg gestanden hätten, hat die Klägerin nach entsprechendem Hinweis des Senats in der mündlichen Verhandlung, welche Schutzmaßnahmen er erwarte, nicht vorgetragen.

Soweit dieser zu erwartende hohe Standard zum Schutz der personenbezogenen Daten beim Versand von Emails mit angehängten Rechnungen nicht sichergestellt werden kann, bleibt für ein Unternehmen – ohne dass hierfür größerer technischer und/oder finanzieller Aufwand betrieben werden müsste – wie eh und je der Versand von Rechnungen per Post das Mittel der Wahl.

(dd) Die Klägerin trifft auch ein Verschulden.

Nach der Rechtsprechung des Europäischen Gerichtshofs ist einer kombinierten Analyse der verschiedenen Bestimmungen von Art. 82 DSGVO zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (EuGH, Urteil v. 21.12.2023 - C-667/21, juris Rn. 92 ff.).

Gemäß Art. 82 Abs. 3 DSGVO wird der Anspruchsverpflichtete von der Haftung – hier für unzureichende Schutzmaßnahmen in Bezug auf die Versendung personenbezogener Daten - befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist dabei das Verschulden im Sinne der deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung (LG Mainz, Urteil vom 12.11.2021 - 3 O 12/20, juris Rn. 73; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 50. Edition, Stand 01.08.2024, Art. 82 DSGVO Rn. 17 und 17.2; Geissler/Ströbel, in: NJW 2019, 3414 (3415)). Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Um die Feststellung treffen zu können, der Verantwortliche sei "in keinerlei Hinsicht" verantwortlich, hat dieser nachzuweisen, dass er alle Sorgfaltspflichten erfüllt hat und ihm damit nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, a.a.O., Art. 82 DSGVO Rn. 18). Diesen Nachweis hat die Klägerin nicht zu führen vermocht. Ihr ist insofern – wie oben dargestellt - der Vorwurf eines unzureichenden Schutzniveaus für den Versand von Emails mit personenbezogenen Daten – insbesondere mit der hier angehängten Rechnung - zu machen.

Die Klägerin kann sich auch nicht darauf berufen, dass sie sich ausreichend hätte beraten lassen und auch ihr IT-Berater, der Zeuge C., im Rahmen zu treffender Schutzmaßnahmen lediglich eine Transportverschlüsselung vorgeschlagen habe. Da es keine gesetzlich festgelegten Schutzmaßnahmen gibt, obliegt es letztlich allein der Klägerin zu entscheiden, wie sie ihren Email-Versand mit personenbezogenen Daten sichern will und muss. Ihr IT-Berater konnte insofern lediglich die Optionen nennen; die Entscheidung hatte sie zu treffen. Diesbezüglich hat sie zumindest fahrlässig nicht auf ein ausreichendes Schutzniveau geachtet.

(2) Der Beklagten ist unstreitig ein Schaden entstanden, der in dem – wie oben dargestellt – mangels Erfüllung erneut zu zahlenden Werklohn liegt.

(3) Dieser von der Beklagten geltend gemachte Schaden ist auch eine kausale Folge des Verstoßes gegen die Datenschutzgrundverordnung.

Da nach den obigen Darlegungen die Klägerin bei Versand ihrer Email mit der angehängten Rechnung kein ausreichendes Schutzniveau zur Sicherung der personenbezogenen Daten der Beklagten eingehalten hat, obliegt ihr der Beweis dafür, dass der der Beklagten entstandene Schaden nicht durch ihr Fehlverhalten entstanden ist (EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 72). Dies ist ihr vorliegend nicht gelungen.

Unstreitig ist bei der von der Klägerin (maximal) verwendeten Transportverschlüsselung ein Zugriff durch unbefugte Dritte auf ihrem Computer, ihrem Server oder auf weiteren Servern auf dem Weg zum streitverkündeten Zeugen A. ohne Weiteres möglich; die Email ist definitionsgemäß nur auf dem Transport verschlüsselt. Einen Beweis dafür, dass im konkreten Fall der Zugriff nicht im Bereich der Klägerin, sondern erst im Bereich der Beklagten bzw. des Zeugen A. erfolgt ist, hat die Klägerin, der – wie ausgeführt und auch in der mündlichen Verhandlung erörtert – die Darlegungs- und Beweislast dafür obliegt, nicht angeboten. Die Einholung eines Sachverständigengutachtens von Amts wegen scheidet aus, da es sich mangels Anknüpfungstatsachen um einen Ausforschungsbeweis handeln würde. Auch die bei dem Zeugen A. vorhandenen Schutzmaßnahmen sind aus diesem Grund nicht weiter aufzuklären.

Im Übrigen wäre der Klägerin – selbst wenn der unbefugte Zugriff im Bereich des Zeugen A. und nicht schon im Bereich der Klägerin erfolgt sein sollte – weiterhin anzulasten, dass sie einen solchen Zugriff durch den von ihr gewählten Versand der Daten per Email lediglich mit Transportverschlüsselung und damit mit unzureichender Sicherung erst ermöglicht hätte, denn auch bei einem von der Klägerin angesprochenen Datenhacking im Bereich des Zeugen A. wäre die streitgegenständliche Email samt Anhang aufgrund der End-to-End-Verschlüsseluung wegen des eigenen erforderlichen Schlüssels bei Einhaltung entsprechender Standards auch auf dem Server/Computer des Zeugen jedenfalls ganz weitgehend geschützt gewesen.

(4) Ein Mitverschulden an der Schadensentstehung gem. § 254 BGB trifft die Beklagte nicht.

Anders als das Landgericht meint, oblag der Beklagten bzw. dem Zeugen A., dessen Verschulden ihr möglicherweise gem. § 278 BGB zuzurechnen wäre, nach Ansicht des Senats keine genaue Überprüfung der letztlich auf dem Computer des Zeugen verfälscht, da hinsichtlich der Kontoverbindung manipuliert vorliegenden Rechnung. Die von der Klägerin aufgezeigten Unterschiede zu früheren (Abschlags-)Rechnungen betreffend die Farbe, Angaben zum Geschäftsführer, fehlenden QR-Code der Bankverbindung und fehlendes Siegel stellen geringfügige äußere Abweichungen dar, die weder der Beklagten noch dem Zeugen A. bei oberflächlicher Betrachtung auffallen mussten. Etwas anderes folgt auch nicht daraus, dass die Beklagte erkannt hat, dass die Kontoverbindung verändert war. Angesichts der Tatsache, dass im Geschäftsleben die Kontoverbindung eines Unternehmens aus diversen Gründen geändert wird, kann einer privaten Kundin wie der Beklagten nicht vorgeworfen werden, dass sie vor der Überweisung des offenen Werklohns keine Rücksprache mit der Klägerin genommen hat.

Den Volltext der Entscheidung finden Sie hier:

OLG Köln
Beschluss vom 22.06.2023
17 U 42/22

Das OLG Köln hat entschieden, dass eine Berufung nach § 2 Abs. 1 Satz 1 ERVV zwingend als PDF-Datei an das Gericht übermittelt werden muss.

Aus den Entscheidungsgründen:
2. Eine formgerechte Berufungseinlegung bis zum 25.03.2022 ist nicht feststellbar.

Ausgangspunkt ist § 519 ZPO, wonach die Berufungseinlegung der Einreichung einer Berufungsschrift bedarf. Auf diese finden die Vorschriften der §§ 129 ff. ZPO und damit § 130 a ZPO Anwendung. Danach bedarf es ab dem 01.01.2020 (§ 130 d ZPO) zwingend der Einreichung als elektronisches Dokument. Unter elektronischen Dokumenten im Sinne von § 130a ZPO sind solche Erklärungen zu verstehen, die dem Empfänger in einer dauerhaften, aber nicht unmittelbar, sondern nur maschinell lesbaren, digitalen Form zugehen (Zöller/Greger, ZPO, 34. A., § 130a ZPO Rn 3). Sie müssen den in § 130a Abs. 2 bis 4 ZPO genannten Voraussetzungen entsprechen. Nach § 2 Abs. 1 Satz 1 ERVV ist das elektronische Dokument „in druckbarer, kopierbarer und, soweit technisch möglich, durchsuchbarer Form im Dateiformat PDF zu übermitteln“. Bei bildlichen Darstellungen darf das elektronische Dokument zusätzlich im Dateiformat TIFF übermittelt werden (Satz 2). Gemäß § 2 Absatz 2 ERVV soll der Dateiname den Inhalt des elektronischen Dokuments schlagwortartig umschreiben und bei der Übermittlung mehrerer elektronischer Dokumente eine logische Nummerierung enthalten. Schließlich soll dem elektronischen Dokument nach Absatz 3 „ein strukturierter maschinenlesbarer Datensatz im Dateiformat XML beigefügt werden“, der mindestens folgende Angaben enthält:
"1. die Bezeichnung des Gerichts;
2. sofern bekannt das Aktenzeichen des Verfahrens;
3. die Bezeichnung der Parteien oder Verfahrensbeteiligten;
4. die Angabe des Verfahrensgegenstandes:
5. sofern bekannt, das Aktenzeichen eines denselben Verfahrensgegenstand

betreffenden Verfahrens und die Bezeichnung der die Akten führenden Stelle."

a) Bei der am 24.03.2022 per „Prüfvermerk“ eingegangenen bloßen „Nachricht“ handelt es sich bereits nicht um ein elektronisches Dokument iSv § 130a Abs. 1 ZPO. Es ist nur der Bericht über die „technische Prüfung“ der einzelnen elektronischen Dokumente, die „unten aufgeführt“ sind. Die Betreff-Zeile der Nachricht ist gerade nicht das Dokument als solches. Vielmehr beschreibt es nur den Inhalt der als Dokumente übermittelten Dateien. Allein diese stellen die bei Gericht eingereichten elektronischen Dokumente dar. Mit dem „Prüfvermerk“ wird nur der sichere Übermittlungsweg aus einem besonderen Anwaltspostfach bestätigt. Es handelt sich um den vertrauenswürdigen Herkunftsnachweis aus einem besonderen elektronischen Anwaltspostfach (vgl. BGH, Beschluss vom 20. September 2022 – IX ZR 118/22 -, ZinsO 2022, 2579 f. = juris Rn 7 f.). Bei dem „Prüfvermerk“ mit dem Nachrichtenbetreff handelt es sich nicht um das elektronische Dokument bzw. die Datei selbst.

Zudem wird vom Gesetzgeber die Einreichung von elektronischen Dokumenten im PDF-Format zwingend vorausgesetzt (BGH, Beschluss vom 3. Mai 2022 – 3 StR 89/22 –, NJW-Spezial 2022, 408 f. = juris Rn 12; MK-ZPO/Fritsche,6. A., §130a ZPO Rn 4). Bei § 2 Abs. 1 Satz 1 ERVV handelt es sich nicht um eine in das Belieben des Einreichers gestellte technische Vorgabe und die Nichtbeachtung des PDF-Formats begründet mehr als einen rein formalen Verstoß gegen technische Vorschriften. Dem Einreicher ist daher kein Wahlrecht einzuräumen, in welcher Form er ein elektronisches Dokument bei Gericht einreicht (OLG Koblenz, Beschluss vom 7. Juni 2022 – 4 OLG 4 Ss 67/22 –, juris Rn 14 mwN).

b) Auch bei der übersandten Datei „xjustiz_nachricht.xml“ (vgl. § 5 Nr. 2 ERVB 2022, abgedruckt bei Anders in Anders/Gehle, ZPO, 81. A., §130a ZPO vor Rn 1) handelt es sich nicht um das elektronische Dokument als solches. Es ist vielmehr der von dem Übermittlungssystem erzeugte „Datensatz“ mit den nach § 2 Abs. 3 ERRV vorgeschriebenen Angaben. Außerdem handelt es sich auch bei dieser Datei nicht um eine solche im PDF-Format. Die in § 2 Abs. 1 ERVV genannten Dateiformate sind abschließend (Seiler in Thomas/Putzo, ZPO, 43. A., § 130a ZPO Rn 3).

Selbst wenn man die einzelnen Angaben („Berufung“ / „Urteil LG Köln“ / „Zurek, Jakob (53111 Bonn)“ in dieser XML-Datei zusammennimmt, bliebe unklar, wer für wen Berufung hätte einlegen wollen. Die Bezeichnung des Rechtsmittelführers muss eindeutig sein; an dessen Bezeichnung sind strenge Anforderungen zu stellen (vgl. BGH, Beschluss vom 22. November 2005 – XI ZB 43/04 –, MDR 2006, 589 = juris Rn 8). Zwar könnte sich aus dem beigefügten Urteil, wonach die Klage abgewiesen wurde, noch ergeben, dass die Klägerin Berufung hätte einlegen wollen (vgl. BGH, Beschluss vom 24.02.2021 – VII ZB 8/21 -, BauR 2021, 1008 = juris Rn 13; a.A. Heßler in Zöller, a.a.O., § 519 Rn 30a mwN). Der Name F. (und dessen Zuordnung zu den Prozessparteien) ergibt sich aus dem beigefügten Urteil jedoch nicht. Die Gerichtsakte mit den erstinstanzlich gewechselten Schriftsätzen stand dem Senat bis zu dem – insoweit maßgeblichen (vgl. BGH, Beschluss vom 15. Februar 2022 – VI ZB 20/20 -, NJW-RR 2022, 784 = juris Rn 11) - Zeitpunkt noch nicht zur Verfügung. Der beigefügte Schriftsatz bezog sich nicht auf das hiesige Verfahren, sondern betraf eine außergerichtliche Korrespondenz unter Anwälten.

3. Die formwirksam am 28. März 2022 eingegangene Berufungsschrift vom 23.03.2022 (8 – 9 OLGeA), die qualifiziert signiert und entsprechend geprüft war (4 = 7 OLGeA), ist nicht mehr innerhalb der Einlegungsfrist beim OLG eingegangen.

Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe
Urteil vom 27.07.2023
19 U 83/22

Das OLG Karlsruhe hat entschieden, dass unzureichende Sicherheitsvorkehrungen im Zusammenhang mit dem Versand geschäftlicher E-Mails Schadensersatzansprüche auslösen können.

Leitsätze des Gerichts:
1. Mangels gesetzlicher Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich Art und Umfang der erforderlichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit.

2. Verstößt der Gläubiger einer Geldforderung gegen von ihm geschuldete Sicherheitsvorkehrungen im Zusammenhang mit dem Versand einer geschäftlichen E-Mail und hat dieser Verstoß zur Folge, dass der Schuldner der Forderung den geschuldeten Geldbetrag auf das Konto eines deliktisch handelnden Dritten überweist, führt dies nicht zum Erlöschen der Forderung gem. § 362 BGB, sondern begründet allenfalls einen Schadensersatzanspruch des Schuldners, den dieser gem. § 242 BGB der Forderung entgegenhalten kann (dolo-agit-Einwendung).

Aus den Entscheidungsgründen:
Die Berufung der Klägerin ist begründet. Die Klägerin hat gegen die Beklagte gem. § 433 Abs. 2 BGB einen Anspruch auf Kaufpreiszahlung in Höhe von 13.500 EUR, gem. § 280 Abs. 2, § 286 BGB auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von 953,40 EUR und gem. §§ 286, 288 BGB auf Zahlung der zugesprochenen Verzugszinsen.

1. Zwischen den Parteien ist unstreitig, dass sie einen Kaufvertrag über einen gebrauchten Pkw zum Preis von 13.500 EUR abgeschlossen haben und dass eine Zahlung dieses Betrages auf das Konto eines Dritten erfolgt ist. Durch diese Zahlung ist indes der Anspruch der Klägerin auf Kaufpreiszahlung nicht gem. § 362 BGB erloschen.

a) Eine Leistung an die Klägerin gem. § 362 Abs. 1 BGB ist nicht erfolgt, da es sich bei dem Konto, auf das die Beklagte den Kaufpreis überwiesen hat, um das Konto eines Dritten und nicht der Klägerin handelt und daher der geschuldete Leistungserfolg nicht eingetreten ist. Die gegenteilige Auffassung des Landgerichts ist nicht frei von Rechtsfehlern. Die Voraussetzungen, unter denen eine Leistung an einen Dritten Erfüllungswirkung hat, sind in § 362 Abs. 2 BGB geregelt und liegen hier nicht vor (dazu nachstehend b]).

Eine Zurechnung „des unbefugten Zugriffs des Dritten in Bezug auf die unerlaubte Handlung“ an die Klägerin, wie vom Landgericht angenommen, erfolgt nicht. Soweit das Landgericht insoweit auf eine Entscheidung des I. Zivilsenats des Bundesgerichtshofs (Urteil vom 11. März 2009 - I ZR 114/06, BGHZ 180, 134 Rn. 16) Bezug nimmt, ging es dort um die Frage der deliktischen Haftung für eine Verletzung von Immaterialgüter- und Leistungsschutzrechten; eine bei der Verwahrung der Zugangsdaten für das ebay-Mitgliedskonto dort bejahte Pflichtverletzung wurde als zusätzlicher selbständiger Zurechnungsgrund neben die Grundsätze der Störerhaftung und die Verkehrspflichten im Bereich des Wettbewerbsrechts gestellt (BGH a.a.O.). Vorliegend steht aber nicht eine deliktische Verantwortlichkeit der Klägerin im Streit, sondern die vertragliche Frage der Erfüllungswirkung einer Zahlung an einen Dritten; die für den Bereich der deliktischen Haftung vom I. Zivilsenat entwickelten Grundsätze lassen sich nicht auf die Zurechnung von Erklärungen im Rahmen von vertraglichen Verhältnissen übertragen (vgl. BGH, Urteil vom 11. Mai 2011 - VIII ZR 289/09, BGHZ 189, 346 Rn. 19). Es ist daher ohne Bedeutung, dass im angefochtenen Urteil auch Feststellungen dazu fehlen, inwieweit die vom Landgericht bejahte Pflichtverletzung der Klägerin in Gestalt unterlassener Ende-zu-Ende-Verschlüsselung, Transportverschlüsselung und Verschlüsselung der als pdf-Datei versandten Rechnung für den Zugang der ge- oder verfälschten Rechnung bei der Beklagten kausal geworden sein soll.

Hätte ein etwaig schuldhaftes Verhalten der Klägerin dazu geführt, dass es dem Dritten ermöglicht wurde, die Rechnung mit veränderten Kontodaten der Beklagten wie geschehen zuzuleiten und die Beklagte so über die von der Klägerin verlangte Zahlung zu täuschen, könnte dies Schadensersatzansprüche der Beklagten wegen Verletzung einer vertraglichen Nebenpflicht gem. § 280 Abs. 1 BGB begründen (vgl. OLG München, Urteil vom 21. Dezember 2016 - 7 U 3206/16, juris Rn. 5, 7 ff.; so im Übrigen auch das von der Beklagten im Rechtsstreit in Bezug genommene Urteil des LG Lüneburg [n.v.] vom 16. Februar 2017 - 7 O 71/16, Seite 4 f.; zum Schadensersatzanspruch siehe nachstehend 2.), führte aber nicht dazu, dass eine nicht vorliegende Leistung an die Klägerin zu fingieren wäre.

b) Die Leistung an einen Dritten hat nur unter den Voraussetzungen des § 362 Abs. 2 BGB befreiende Wirkung, die im Streitfall nicht erfüllt sind.

Unter anderem hat die Leistung an einen Dritten dann befreiende Wirkung, wenn dieser vom Gläubiger rechtsgeschäftlich ermächtigt ist, die Leistung im eigenen Namen in Empfang zu nehmen. Statt einen Dritten zum Empfang der Leistung zu ermächtigen (§ 362 Abs. 2, § 185 BGB), kann der Gläubiger auch dem Schuldner nach § 362 Abs. 2, § 185 BGB die Ermächtigung erteilen, die Leistung an einen Dritten zu erbringen.Die Ermächtigung braucht nicht ausdrücklich erteilt zu werden; schlüssiges Verhalten kann selbst dann genügen, wenn der Ermächtigende kein Erklärungsbewusstsein hat, aber der redliche Empfänger hiervon ausgehen darf. Die Leistung an einen nichtberechtigten Dritten erlangt - von gesetzlich besonders geregelten Fällen (vgl. etwa §§ 169, 370, 407, 408 BGB) abgesehen - nur dann befreiende Wirkung, wenn der Gläubiger sie nachträglich genehmigt oder wenn einer der beiden anderen Fälle des § 185 Abs. 2 BGB eintritt. Dass der Schuldner den Nichtberechtigten gutgläubig für empfangsberechtigt hält, führt also - sofern keine gesetzlichen Sonderregelungen bestehen - allein nicht zum Freiwerden des Schuldners. Vielmehr tritt Erfüllungswirkung in einem solchen Fall erst dann ein, wenn der nicht empfangsbefugte Dritte die Leistung entsprechend den Weisungen des Schuldners an den Gläubiger weiterleitet oder der Gläubiger die Leistungserbringung an den Dritten ausdrücklich oder schlüssig genehmigt (BGH, Urteil vom 14. Februar 2023 - XI ZR 537/21, juris Rn. 29).

Diese Voraussetzungen liegen hier nicht vor. Zwischen den Parteien ist unstreitig, dass die um 11:46 Uhr von der Beklagten empfangene zweite E-Mail nebst Anlage tatsächlich nicht von der Klägerin stammt, so dass durch die Angabe des Namens P. D. nebst Bankverbindung bei der S-Bank in der angehängten Rechnung keine Ermächtigung im vorgenannten Sinne erfolgt ist. Eine nachträgliche Genehmigung durch die Klägerin ist ebensowenig erfolgt wie eine Weiterleitung der 13.500 EUR durch den Dritten an die Klägerin.

c) Schließlich ergibt sich auch nicht aus einer entsprechenden Anwendung des § 370 BGB, dass die tatsächlich nicht von der Klägerin stammende zweite E-Mail, in deren Anhang der Inhaber des dort genannten Kontos bei der S-Bank - möglicherweise - als zum Leistungsempfang ermächtigt bezeichnet wird, als tatsächlich ermächtigt gilt mit der Folge, dass die Leistung an diesen Dritten gem. § 362 Abs. 2 BGB zum Erlöschen der Kaufpreisforderung geführt hätte. Das Landgericht missversteht die von ihm nicht wortgetreu zitierte Kommentarstelle (Dennhardt in BeckOK BGB, 66. Edition, § 370 Rn. 1) dahin, dass die Regelung in entsprechender Anwendung eine allgemeine Haftung für die Enttäuschung berechtigten Vertrauens begründe. Tatsächlich ist an der angegebenen Stelle lediglich formuliert, die Vorschrift werde heute allgemein als Ausprägung des Vertrauensschutzes im Rechtsverkehr verstanden.

Bei der streitgegenständlichen Rechnung handelt es sich bereits nicht um eine Quittung im Sinne von § 368 BGB. Selbst wenn man mit dem Landgericht - was sonst, soweit ersichtlich, nirgends vertreten wird - eine entsprechende Anwendung des § 370 BGB auf Rechnungen bejahen wollte, lägen die übrigen Voraussetzungen der Vorschrift nicht vor. Hierzu gehört, dass eine echte Quittung - bzw. Rechnung - überbracht werden muss (vgl. BGH, Urteil vom 5. März 1968 - 1 StR 17/68, juris Rn. 3; BAG, Urteil vom 11. November 1960 - 4 AZR 361/58, juris Rn. 22). Dies war vorliegend nicht der Fall, nachdem die als Anhang zur zweiten E-Mail übersandte Rechnung unstreitig gerade nicht von der Klägerin, sondern von einem Dritten erstellt oder die von der Klägerin zuvor erstellte Rechnung von einem Dritten verfälscht worden war.

2. Die Beklagte hat gegen die Klägerin keinen Schadensersatzanspruch gem. § 280 Abs. 1, § 241 Abs. 2 BGB in einer der auf das Drittkonto getätigten Überweisung von 13.500 EUR entsprechenden Höhe, den sie der Klageforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten könnte (vgl. zu letzterem OLG München, Urteil vom 21. Dezember 2016 - 7 U 3206/16, juris Rn. 5).

a) Es liegt keine Nebenpflichtverletzung der Klägerin dergestalt vor, dass sie schuldhaft eine Ursache dafür gesetzt hätte, dass der Beklagten im Nachgang zur Übersendung der vorgenannten E-Mail um 10:46 Uhr die zweite E-Mail mit der angehängten ge- oder verfälschten Rechnung zuging, die neben der nach wie vor richtigen Angabe der Bankverbindung der Klägerin im Kopfbereich im Fußzeilenbereich auch die Bankverbindung des P. D. bei der S-Bank auswies. Für den dadurch verursachten Schaden, der darin besteht, dass die Beklagte durch Überweisung auf ein nicht der Klägerin zugeordnetes Konto die Forderung der Klägerin nicht zum Erlöschen bringen konnte (s.o. 1.), schuldet die Klägerin der Beklagten deshalb keinen Schadensersatz.

aa) Die Darlegungs- und ggf. Beweislast für das Vorliegen einer Pflichtverletzung im Sinne des § 280 Abs. 1 BGB sowie für die Kausalität dieser Pflichtverletzung für den eingetretenen Schaden liegt bei der Beklagten als derjenigen, die den Anspruch geltend macht.

bb) Das Vertragsverhältnis der Parteien kam ohne schriftliche Willenserklärung in einem Telefonat der beiden Geschäftsführer zustande. Dementsprechend wurde der Vertrag auch ohne ein Schreiben der Klägerin auf Geschäftspapier mit Angabe der Bankverbindung abgeschlossen. Die Parteien haben nachträglich vereinbart, dass die Zahlung durch Überweisung auf ein von der Klägerin mitzuteilendes Bankkonto erfolgen sollte (E-Mail der Beklagten vom 8. Oktober 2021, 10:15 Uhr, Anlage K 2, und der Klägerin vom 8. Oktober 2021, 10:44 Uhr, Anlage K 3). Die Klägerin traf dabei gem. § 241 Abs. 2 BGB die Nebenpflicht, sich bei der Abwicklung des Schuldverhältnisses so zu verhalten, dass Person, Eigentum und sonstige Rechtsgüter - auch das Vermögen - des anderen Teils nicht verletzt werden (vgl. BGH, Urteil vom 10. März 1983 - III ZR 169/81, juris Rn. 12).

cc) Die Beklagte behauptet, es sei zum Versand der zweiten E-Mail an sie durch einen Dritten dadurch gekommen, dass auf das E-Mail-Konto der Klägerin eine Hacking-Attacke ausgeführt worden sei, die das Ausspionieren der Geschäftsbeziehung der Parteien und der Rechnungs-E-Mail ermöglicht habe. Dies sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche; konkret nennt die Beklagte insoweit die nicht erfolgte Verwendung des „sender policy framework (SPF)“ bei der Kommunikation sowie eine unterlassene Verschlüsselung der pdf-Datei. Nach den Ausführungen im angefochtenen Urteil, die die Beklagte sich im Berufungsverfahren zu Eigen gemacht hat, sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Die Beklagte macht sinngemäß geltend, die Verwendung der genannten Verfahren sei im Geschäftsverkehr zwischen Unternehmen wie den Parteien des Rechtsstreits üblich und zu erwarten.

dd) Eine Pflichtverletzung der Klägerin liegt insoweit schon deshalb nicht vor, weil sie zur Verwendung dieser Verfahren und Maßnahmen nicht verpflichtet war.

Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht; insbesondere ist der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art. 4 Nr. 1 DS-GVO). Auch eine ausdrückliche Vereinbarung zwischen den Parteien ist insoweit nicht erfolgt; insbesondere hat die Beklagte, von der die Initiative dafür ausging, dass die Rechnung überhaupt per E-Mail verschickt wurde, anlässlich der Äußerung ihrer entsprechenden Bitte in der E-Mail ihres Geschäftsführers vom 8. Oktober 2021, 10:15 Uhr (Anlage K 2) keinerlei Sicherheitsvorkehrungen, die sie für erforderlich halte, ausdrücklich erwähnt. Welches Maß an Sicherheitsvorkehrungen von der Klägerin zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (vgl. Riem/Meier, MMR 2020, 571, 573).

Nicht maßgeblich für die berechtigten Sicherheitserwartungen des Verkehrs ist dabei die vom Landgericht herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“. Ausweislich deren Zielstellung dient sie zur Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DS-GVO. Letztere ist aber, wie soeben ausgeführt, im Verhältnis der Parteien zueinander überhaupt nicht anwendbar. Ohnehin wird hierin die Verwendung einer Ende-zu-Ende-Verschlüsselung anders als vom Landgericht dargestellt nicht als stets erforderlich angesehen, sondern sollte „in der Abwägung der notwendigen Maßnahmen berücksichtigt“ werden und wird nur für den Fall, dass „der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt“, als „Muss“ bezeichnet.

(1) Sender Policy Framework (SPF)

Die Beklagte hält die Klägerin für verpflichtet, das Verfahren Sender Policy Framework (SPF) anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll, hat die Beklagte dabei schon nicht gemacht.

Laut öffentlich zugänglichen Quellen - die Informationen des Bundesamts für Sicherheit in der Informationstechnik (im Folgenden: BSI), abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_server_studie_pdf.pdf?__blob=publicationFile&v=1 - handelt es sich beim Verfahren Sender Policy Framework um ein Verfahren, mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu verschicken. Endnutzer wie die Klägerin, die selbst keinen E-Mail-Server betreiben, haben mithin auf die Verwendung des Verfahrens überhaupt keinen Einfluss. Eine berechtigte Sicherheitserwartung des Verkehrs an ein Unternehmen wie die Klägerin, das seinen E-Mail-Verkehr über einen Diensteanbieter wie hier W. abwickelt, auf Anwendung des SPF-Verfahrens kann schon deshalb nicht bestehen.

(2) Verschlüsselung der pdf-Datei

Dass eine Verschlüsselung von pdf-Dateien im geschäftlichen Verkehr außerhalb des Austauschs besonders sensibler Dateien, die beispielsweise Betriebs- oder Geschäftsgeheimnisse enthalten, üblich wäre, behauptet die Beklagte schon selbst nicht. Auf dieser Grundlage kann nicht angenommen werden, dass insoweit eine berechtigte Sicherheitserwartung des Verkehrs besteht. Hinzu kommt, dass im Fall der Verschlüsselung der Datei Klägerin und Beklagte ein Passwort hierzu hätten austauschen müssen, was nicht geschehen ist. Die Beklagte hatte also bei Erhalt der ge- oder verfälschten Rechnung Kenntnis davon, dass die Datei nicht durch Verschlüsselung gesichert war. Bereits dieser Umstand, dass erkennbar eine derartige Sicherheitsmaßnahme nicht getroffen war, steht der Annahme einer insoweit vorliegenden Pflichtverletzung der Klägerin entgegen.

(3) Ende-zu-Ende-Verschlüsselung

Auch zu diesem Verfahren hat die Beklagte nicht vorgetragen, woraus folgen soll, dass es in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll. Das BSI empfiehlt zwar für E-Mails die Ende-zu-Ende-Verschlüsselung, äußert aber gleichzeitig die Einschätzung, dass diese bisher nur sehr selten eingesetzt werde (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/E-Mail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dies steht einer entsprechenden allgemeinen Sicherheitserwartung des Verkehrs entgegen und bei den vorliegend versendeten Daten handelt es sich auch nicht um solche, bei deren Versand - wie etwa im Fall von Geschäfts- und Betriebsgeheimnissen - ohne gesonderte Absprache erhöhte Anforderungen zu stellen wären. Hinzu kommt, dass die Verwendung der Ende-zu-Ende-Verschlüsselung nicht vom Versender einer E-Mail allein durchgeführt werden kann. Die Beklagte hat schon nicht vorgetragen, dass ihr eigenes System die Voraussetzungen für den Empfang von Ende-zu-Ende-verschlüsselten Nachrichten erfüllt hätte.

(4) Transportverschlüsselung

Die Beklagte hält die Klägerin schließlich für verpflichtet, das Verfahren der Transportverschlüsselung anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll, hat die Beklagte allerdings auch insoweit nicht gemacht.

Ausweislich der öffentlich zugänglichen Informationen des BSI handelt es sich bei der Transportverschlüsselung um einen Prozess, bei dem der Inhalt der Übermittlung zwischen Absender und E-Mail-Anbieter, zwischen zwei E-Mail-Anbietern und zwischen E-Mail-Anbieter und Empfänger verschlüsselt wird, wobei dieser automatisiert abläuft und in der Regel keine Aktion des Absenders oder Empfängers erfordert (https://www.bsi.bund.de/SharedDocs/Glossareintraege/DE/T/Transportverschluesselung.html). Die Klägerin hat ihren im erstinstanzlichen Verfahren gehaltenen Vortrag, wonach W. alle Vorkehrungen zum Schutz seiner Kunden, einschließlich der Klägerin, trifft und getroffen hat, im Berufungsverfahren unter Angabe einer URL von W. dahin vertieft, dass bei der Übertragung der E-Mails das sogenannte SSL/TLS-Protokoll zum Einsatz komme. Dabei handele es sich um einen Verschlüsselungsstandard, der die E-Mails auf dem Transportweg sichere. Hierbei handelt es sich um Transportverschlüsselungen der vorstehend beschriebenen Art. Den Angaben von W. ist weiter zu entnehmen, dass die Transportverschlüsselung nur im Verbund der dort genannten Anbieter zur Anwendung kommt, also bei E-Mails, die zwischen E-Mail-Konten dieser Anbieter versendet werden. Die Beklagte, die soweit ersichtlich kein Konto bei einem dieser Anbieter unterhält, sondern einen eigenen Server betreiben lässt, hat weder vorgetragen noch ist sonst ersichtlich, dass eine Transportverschlüsselung an Umständen gescheitert wäre, die in der Sphäre der Klägerin liegen.

Der Berücksichtigung des Vortrags der Klägerin zum Vorhandensein einer Transportverschlüsselung beim Anbieter W. steht zwar zunächst die Tatbestandswirkung des angefochtenen Urteils entgegen (§ 314 ZPO), in dem festgestellt ist, die Klägerin habe keine Transportverschlüsselung verwendet. Der neue Vortrag der Klägerin im Berufungsverfahren ist aber gem. § 531 Abs. 2 Nr. 2 ZPO zuzulassen, weil er infolge eines Verfahrensmangels in Gestalt eines Gehörsverstoßes des Landgerichts im ersten Rechtszug nicht geltend gemacht wurde. Das Landgericht hätte die Parteien darauf hinweisen müssen, dass es beabsichtige, die „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“ zur Bestimmung der die Klägerin beim E-Mail-Versand treffenden Pflichten heranzuziehen und ihnen insoweit Gelegenheit zur Stellungnahme geben müssen. Indem es dies unterlassen hat, hat es den Anspruch der Klägerin auf rechtliches Gehör aus Art. 103 Abs. 1 GG verletzt.

Soweit die Beklagte meint, die Klägerin habe zur Verwendung einer Transportverschlüsselung schon nicht vorgetragen, und derartigen Vortrag „höchstfürsorglich“ mit Nichtwissen bestreitet, ist Folgendes zu berücksichtigen: Soweit eine Partei ihr günstige Tatsachen darzulegen und notfalls zu beweisen hat, nützt ihr das Bestreiten nichts, sondern sie hat die Tatsachen unabhängig davon vorzutragen, ob sie eigene Handlungen betreffen oder Gegenstand ihrer eigenen Wahrnehmung waren (BGH, Urteil vom 8. Juni 1988 - IVb ZR 51/87, juris Rn. 25). Hier trägt die Beklagte, wie ausgeführt, für das Vorliegen einer Pflichtverletzung der Klägerin die Beweislast und damit auch die Darlegungslast. Der zugrundeliegende Vortrag ist daher prozessuales Behaupten, für das § 138 Abs. 4 ZPO nicht gilt (BGH a.a.O.).

(5) Auch andere, von der Beklagten nicht ausdrücklich geltend gemachte Pflichtverletzungen der Klägerin sind nicht ersichtlich. Im unstreitigen Tatbestand des angefochtenen Urteils sind Feststellungen zur Art des von der Klägerin verwendeten Passwortes fürs E-Mail-Konto, dem Personenkreis, der davon Kenntnis hat und deren regelmäßiger Änderung sowie der Nutzung einer aktuellen Virensoftware und Firewall getroffen, die von der Klägerin im Berufungsverfahren - von der Beklagten unbestritten - vertieft wurden und die der Annahme einer Pflichtverletzung im Bereich des Passwortschutzes sowie des allgemeinen Schutzes der von der Klägerin verwendeten Computer entgegenstehen.

(6) Auf welcher Grundlage genau sich das Landgericht Lüneburg (Urteil vom 16. Februar 2017 - 7 O 71/16) - auf dessen unveröffentlichte Entscheidung sich die Beklagte beruft - die Überzeugung gebildet hat, dass die dortige Gläubigerin der Schuldnerin durch nicht hinreichende Sicherung ihrer EDV einen Schaden zugefügt hat, ist dem übersandten Urteilsumdruck nicht zu entnehmen. Der Senat vermag sich im vorliegenden Fall aus dem vorgetragenen Tatsachenmaterial bereits nicht die von vernünftigen Zweifeln freie Überzeugung davon zu verschaffen, dass der zugrunde liegende Angriff in der von der Klägerin beherrschbaren Sphäre geschehen ist. Soweit dem Urteil des Landgerichts Lüneburg im Übrigen der Rechtssatz entnommen werden könnte, dass der Verwender einer E-Mail-Adresse jeden Missbrauch durch Dritte vollständig ausschließen müsse, ist dies nach der Überzeugung des Senats schon wegen der zahlreichen und sich ständig weiter entwickelnden Angriffsmöglichkeiten zu weitgehend.

b) Selbst wenn man in einem der vorstehend behandelten Umstände eine Pflichtverletzung der Klägerin sehen wollte, fehlte es am Nachweis der Kausalität dieser Pflichtverletzung für den eingetretenen Schaden. Nach dem übereinstimmenden Vortrag der Parteien ist nicht geklärt, wie es tatsächlich dazu kam, dass die zweite E-Mail mit der ge- oder verfälschten Rechnung die Beklagte erreichte. Ein erfolgreicher Angriff auf die Sphäre der Klägerin liegt im Hinblick darauf zwar nahe, dass zwischen den Parteien unstreitig ist, dass auch andere Kunden der Klägerin entsprechend veränderte Rechnungen empfingen. Wodurch dieser Angriff ermöglicht worden sein könnte, ist aber im Hinblick auf die unbekannte Vorgehensweise des oder der unbekannten Dritten gänzlich unklar. Entgegen der Auffassung der Beklagten spricht für eine hierfür kausale Pflichtverletzung der Klägerin auch kein Beweis ersten Anscheins.

c) Schließlich wäre ein unterstellter Schadensersatzanspruch der Beklagten nach § 254 BGB zu kürzen, weil ein erhebliches Mitverschulden zu berücksichtigen wäre. Die zweite E-Mail vom 8. Oktober 2021 wie auch die als Anhang hierzu übersandte Rechnung selbst enthalten auffällige Unstimmigkeiten, die der Beklagten Anlass dazu geben mussten, bei der Klägerin nachzufragen, auf welches Bankkonto der Kaufpreis tatsächlich gezahlt werden sollte. In der E-Mail selbst wird die förmliche Anrede „Sie“ verwendet, obwohl die beiden Geschäftsführer sich duzen und dies auch in den kurz zuvor gewechselten E-Mails getan hatten. Hinzu kommen sprachliche Fehler („ausgestelltes“ Bankkonto), die sich bis zu einem inhaltlich vollkommen unverständlichen Satz hin steigern („Bitte senden Sie uns nach der Herstellung der Decke eine Kopie nach der Banküberweisung“). Soweit der Geschäftsführer der Beklagten im Rahmen seiner informatorischen Anhörung angegeben hat, die Nachricht nicht vollständig gelesen und diesen Satz nicht wahrgenommen zu haben, wäre ein unvollständiges Lesen einer Nachricht, in der es immerhin um die Änderung der Kontoverbindung geht, auf die ein fünfstellige Kaufpreis gezahlt werden soll, auch für sich betrachtet unsorgfältiges Handeln. Dazu kommen die widersprüchliche Gestaltung der mit der zweiten E-Mail übersandten Rechnung selbst, in der zwei Bankverbindungen angegeben sind, sowie der Umstand, dass bei der von der Beklagten hernach verwendeten Bankverbindung eine natürliche Person als Kontoinhaber angegeben war, die in keinerlei erkennbarem Zusammenhang mit dem Geschäftsbetrieb der Klägerin stand.

3. Die von der Beklagten gegen den Anspruch der Klägerin auf Kaufpreiszahlung hilfsweise erklärte Aufrechnung mit einem Zahlungsanspruch in Höhe von 13.500 EUR gegen den Inhaber des Bankkontos, auf das sie die 13.500 EUR überwiesen hat, geht schon deshalb ins Leere, weil es sich hierbei nicht um eine Forderung der Beklagten gegen die Klägerin handelt. Dies ist gem. § 387 BGB aber Voraussetzung für eine Aufrechnung.

4. Die von der Beklagten gegen den Anspruch der Klägerin auf Kaufpreiszahlung weiter hilfsweise erklärte Aufrechnung mit einem eigenen Schadensersatzanspruch in Höhe von 13.500 EUR wegen der Verletzung von IT-Sicherheitspflichten verhilft ihrer Rechtsverteidigung ebenfalls nicht zum Erfolg. Ein entsprechender Schadensersatzanspruch der Klägerin besteht nicht, auf die vorstehenden Ausführungen unter 2. wird zur Vermeidung von Wiederholungen Bezug genommen.

5. Die Klägerin hat gem. § 280 Abs. 2, § 286 BGB einen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von 953,40 EUR entsprechend einer 1,3-Gebühr gem. Nr. 2300 VV RVG aus einem Gegenstandswert von 13.500 EUR zuzüglich Auslagenpauschale. Sie hat - von der Beklagten unbestritten - vorgetragen, dass deren Geschäftsführer am 19. Oktober 2021 die Zahlung des Kaufpreises abgelehnt hat, so dass die Beklagte gem. § 286 Abs. 2 Nr. 3 BGB in Verzug geraten ist.

BGH
Urteil vom 12.01.2023
I ZR 49/22
Unterwerfung durch PDF
BGB § 126 Abs. 1, § 150 Abs. 2; HGB § 343 Abs. 1, § 350; ZPO § 93

Der BGH hat entschieden, dass ein Kaufmann eine Unterlassungserklärung auch wirksam als PDF-Datei per E-Mail abgegeben kann. Es ist in einem solchen fall nicht erforderlich, ein Original per Post zu schicken.

Leitsätze des BGH:
a) Eine von einem Kaufmann im Rahmen seines Handelsgewerbes abgegebene Unterlassungsverpflichtungserklärung unterliegt der Formfreiheit (§ 343 Abs. 1, § 350 HGB).

b) Es fehlt im Regelfall nicht an der Ernstlichkeit der Unterlassungsverpflichtungserklärung, wenn der Unterlassungsschuldner dem Verlangen des Unterlassungsgläubigers nicht nachkommt, innerhalb der gesetzten Frist eine unterschriebene Unterlassungsverpflichtungserklärung im Original zu übersenden, sondern er stattdessen fristgemäß eine unterschriebene Erklärung als PDF-Datei per E-Mail übersendet.

BGH, Urteil vom 12. Januar 2023 - I ZR 49/22 - LG Stuttgart - AG Kirchheim unter Teck

Den Volltext der Entscheidung finden Sie hier:

OLG Hamm
Beschluss vom 09.30.2022
4 W 119/20

Das OLG Hamm hat entschieden, dass eine per E-Mail als PDF-Anhang verschickte Abmahnung erst zugegangen ist, wenn der Empfänger den Dateianhang tatsächlich geöffnet hat.

Aus den Entscheidungsgründen:

Die Parteien sind Internetversandhändler.

Am 19.03.2020 versandte der Prozessbevollmächtigte des Verfügungsklägers eine E-Mail an den Verfügungsbeklagten mit der Betreffzeile „Unser Zeichen: A ./. B 67/20-EU“. Die E-Mail enthielt folgenden Text:

„Sehr geehrter Herr B,

bitte beachten Sie anliegende Dokumente, die wir Ihnen situationsbedingt zur Entlastung der angespannten Infrastruktur im Versandwesen nur auf elektronischem Wege zur Verfügung stellen.

MfG

C“
Unterhalb dieses Textes befanden sich die Kontaktdaten des Prozessbevollmächtigten des Verfügungsklägers. Als Dateianhänge waren der E-Mail zwei PDF-Dateien beigefügt: Eine PDF-Datei mit dem Dateinamen „2020000067EU12984.pdf“ enthielt ein auf den 19.03.2020 datiertes anwaltliches Abmahnschreiben wegen der im vorliegenden Verfahren verfahrensgegenständlichen lauterkeitsrechtlichen Vorwürfe, eine PDF-Datei mit dem Dateinamen „Unterlassungs.pdf“ enthielt den Entwurf für eine strafbewehrte Unterlassungserklärung.

Am 01.04.2020 versandte der Prozessbevollmächtigte des Verfügungsklägers eine weitere E-Mail mit der Betreffzeile „Unser Zeichen: A ./. B 67/20-EU“ an den Verfügungsbeklagten. Diese E-Mail enthielt folgenden Text:

„Sehr geehrter Herr B,

zur Erfüllung diesseitiger Ansprüche setzen wir eine Nachfrist bis zum 03.04.20.

MfG

C"

Auf Antrag des Verfügungsklägers erließ das Landgericht am 07.04.2020 im Beschlusswege eine einstweilige Verfügung gegen den Verfügungsbeklagten mit einer Kostenentscheidung zum Nachteil des Verfügungsbeklagten. Nach der Zustellung dieser einstweiligen Verfügung an den Verfügungsbeklagten am 16.04.2020 gab dieser unter dem 08.05.2020 eine Abschlusserklärung ab, wobei er sich die Erhebung eines Kostenwiderspruches vorbehielt. Von diesem Vorbehalt hat der Verfügungsbeklagte auch Gebrauch gemacht und mit anwaltlichem Schriftsatz vom 08.05.2020 einen auf die getroffene Kostenentscheidung beschränkten Widerspruch gegen die einstweilige Verfügung erhoben. Der Verfügungsbeklagte hat behauptet, er habe von den beiden E-Mails des Prozessbevollmächtigten des Verfügungsklägers keine Kenntnis erlangt. Er könne nicht ausschließen, dass die beiden E-Mails im sogenannten „Spam-Ordner“ seines E-Mail-Postfaches eingegangen seien, könne dies allerdings nicht mehr überprüfen, weil E-Mails in diesem „Spam-Ordner“ bereits nach jeweils zehn Tagen wieder gelöscht würden.

Mit dem angefochtenen, am 04.11.2020 verkündeten Urteil hat die 15. Zivilkammer – Kammer für Handelssachen – des Landgerichts Bochum die einstweilige Verfügung im Kostenpunkt bestätigt und dem Verfügungsbeklagten auch die weiteren Kosten des Rechtsstreits auferlegt.

Gegen dieses Urteil wendet sich der Verfügungsbeklagte mit seiner form- und fristgerecht eingelegten sofortigen Beschwerde.

B. Die – nach § 99 Abs. 2 Satz 1 ZPO (analog) statthafte und auch im Übrigen zulässige – sofortige Beschwerde des Verfügungsbeklagten ist begründet.

Die Kosten des Rechtsstreits sind in entsprechender Anwendung des § 93 ZPO dem Verfügungskläger aufzuerlegen. Der Verfügungsbeklagte hat dem Verfügungskläger durch sein Verhalten keine Veranlassung zur Anbringung des Antrages auf Erlass einer einstweiligen Verfügung gegeben. Dem Verfügungsbeklagten kann in diesem Zusammenhang insbesondere nicht der Vorwurf gemacht werden, er habe auf die Abmahnung des Verfügungsklägers nicht reagiert. Denn das anwaltliche Abmahnschreiben vom 19.03.2020 ist dem Verfügungsbeklagten nicht zugegangen: Wird – wie im vorliegenden Falle – ein Abmahnschreiben lediglich als Dateianhang zu einer E-Mail versandt, ist es nur und erst dann zugegangen, wenn der E-Mail-Empfänger den Dateianhang auch tatsächlich geöffnet hat (Köhler/Bornkamm/Feddersen, UWG, 40. Aufl. [2022], § 13 Rdnr. 47). Denn im Hinblick darauf, dass wegen des Virenrisikos allgemein davor gewarnt wird, Anhänge von E-Mails unbekannter Absender zu öffnen, kann von dem Empfänger in einem solchen Fall nicht verlangt werden, den Dateianhang zu öffnen (Köhler/Bornkamm/Feddersen, a.a.O.). Es kann mithin im vorliegenden Fall dahinstehen, ob die in Rede stehenden E-Mails überhaupt im E-Mail-Postfach des Verfügungsbeklagten (dort möglicherweise im „Spam-Ordner“) eingegangen sind. Der Verfügungsbeklagte hat durch Vorlage seiner eidesstattlichen Versicherung vom 08.05.2020 jedenfalls glaubhaft gemacht, dass er von den beiden E-Mails des – ihm zuvor nicht bekannten – Prozessbevollmächtigten des Verfügungsklägers keine Kenntnis erlangt und dementsprechend auch den Dateianhang mit dem Abmahnschreiben nicht geöffnet hat.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 27.08.2020
III ZB 30/20
ZPO § 888 Abs. 1 Satz 1

Wir hatten bereits in dem Beitrag BGH: Facebook muss Erben eines verstorbenen Nutzers vollständigen Zugang zum Facebook-Konto gewähren - Übersendung einer PDF-Datei mit ausgelesenen Daten nicht ausreichend über die Entscheidung berichtet.

Leitsatz des BGH:
Zur Auslegung eines Vollstreckungstitels (siehe BGH, Urteil vom 12. Juli 2018 - III ZR 183/17, BGHZ 219, 243), der die - ein soziales InternetNetzwerk betreibende - Schuldnerin verpflichtet, den Erben einer verstorbenen Teilnehmerin an dem Netzwerk Zugang zu dem vollständigen Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten der Erblasserin zu gewähren.

BGH, Beschluss vom 27. August 2020 - III ZB 30/20 - KG Berlin - LG Berlin

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 27.08.2020
III ZB 30/20

Der BGH hat entschieden, dass Facebook den Erben eines verstorbenen Nutzers vollständigen Zugang zum Facebook-Konto gewähren muss. Die Übersendung einer PDF-Datei mit allen ausgelesenen Daten auf einem USB-Stick genügt nicht.

Die Pressemitteilung des BGH:

Zur Auslegung eines Urteils, das die Betreiberin eines sozialen Netzwerks verpflichtet, den Erben der Berechtigten eines Benutzerkontos Zugang zum vollständigen Konto zu gewähren

Der III. Zivilsenat des Bundesgerichtshofs hat entschieden, dass die Betreiberin eines sozialen Netzwerks, die verurteilt worden ist, den Erben einer Netzwerk-Teilnehmerin Zugang zu deren vollständigen Benutzerkonto zu gewähren, den Erben die Möglichkeit einräumen muss, vom Konto und dessen Inhalt auf dieselbe Weise Kenntnis zu nehmen und sich - mit Ausnahme einer aktiven Nutzung - darin so "bewegen" zu können wie zuvor die ursprüngliche Kontoberechtigte.

Sachverhalt

Die Schuldnerin betreibt ein soziales Netzwerk. Sie ist durch - vom Bundesgerichtshof (Urteil vom 12. Juli 2018 – III ZR 183/17 – Pressemitteilung 115/18) bestätigtes – rechtskräftig gewordenes Urteil des Landgerichts Berlin vom 17. Dezember 2015 verurteilt worden, den Eltern einer verstorbenen Teilnehmerin an dem Netzwerk als Erben Zugang zu dem vollständigen Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten ihrer Tochter zu gewähren. Die Schuldnerin hat daraufhin der Gläubigerin, der Mutter der Verstorbenen, einen USB-Stick übermittelt, der eine PDF-Datei mit mehr als 14.000 Seiten enthält, die nach den Angaben der Schuldnerin eine Kopie der ausgelesenen Daten aus dem von der Verstorbenen geführten Konto enthält. Zwischen den Parteien ist streitig, ob hierdurch die Verpflichtung der Schuldnerin aus dem Urteil des Landgerichts vom 17. Dezember 2015 erfüllt worden ist.

Prozessverlauf

Das Landgericht hat auf Antrag der Gläubigerin gegen die Schuldnerin wegen Nichterfüllung ihrer Verpflichtung aus dem Urteil vom 17. Dezember 2015 ein Zwangsgeld von 10.000 € festgesetzt. Das Kammergericht hat den Beschluss des Landgerichts auf die sofortige Beschwerde der Schuldnerin aufgehoben und den Antrag der Gläubigerin auf Festsetzung eines Zwangsmittels gegen die Schuldnerin zurückgewiesen. Hiergegen richtet sich die vom Kammergericht zugelassene Rechtsbeschwerde der Gläubigerin.

Entscheidung des Bundesgerichtshofs

Der III. Zivilsenat des Bundesgerichtshofs hat den Beschluss des Kammergerichts aufgehoben und die erstinstanzliche Entscheidung wiederhergestellt.

Bereits die Auslegung des Tenors des Urteils des Landgerichts Berlin vom 17. Dezember 2015 ergibt, dass der Gläubigerin nicht nur Zugang zu den im Benutzerkonto vorgehaltenen Kommunikationsinhalten zu gewähren, sondern darüber hinaus auch die Möglichkeit einzuräumen ist, vom Benutzerkonto selbst und dessen Inhalt auf dieselbe Art und Weise Kenntnis nehmen zu können, wie es die ursprüngliche Kontoberechtigte konnte.

Dies folgt zudem aus den Entscheidungsgründen des vorgenannten Urteils sowie des Urteils des Bundesgerichtshofs vom 12. Juli 2018. Beide Entscheidungen haben den von der Schuldnerin zu erfüllenden Anspruch der Gläubigerin erbrechtlich hergeleitet. Der Bundesgerichtshof hat ausgeführt, der Nutzungsvertrag zwischen der Tochter der Gläubigerin und der Schuldnerin sei mit seinen Rechten und Pflichten im Wege der Gesamtrechtsnachfolge auf die Erben übergegangen. Letztere seien hierdurch in das Vertragsverhältnis eingetreten und hätten deshalb als Vertragspartner und neue Kontoberechtigte einen Primärleistungsanspruch auf Zugang zu dem Benutzerkonto ihrer Tochter sowie den darin enthaltenen digitalen Inhalten. Aus dieser Stellung der Erben und dem auf sie übergegangenen Hauptleistungsanspruch der Erblasserin aus dem mit der Schuldnerin bestehenden Vertragsverhältnis folgt ohne weiteres, dass den Erben auf dieselbe Art und Weise Zugang zu dem Benutzerkonto zu gewähren ist wie zuvor ihrer Tochter. Das ergibt sich zudem aus zahlreichen weiteren Ausführungen des Bundesgerichtshofs und des Landgerichts Berlin in ihren vorgenannten Urteilen.

Die Schuldnerin hat ihre Verpflichtung aus dem Urteil des Landgerichts Berlin vom 17. Dezember 2015 nicht erfüllt. Durch die Überlassung des USB-Sticks mit einer umfangreichen PDF-Datei wurde kein vollständiger Zugang zum Benutzerkonto gewährt. Die PDF-Datei bildet das Benutzerkonto nicht vollständig ab. Letzteres erfordert nicht nur die Darstellung der Inhalte des Kontos, sondern auch die Eröffnung aller seiner Funktionalitäten - mit Ausnahme derer, die seine aktive Weiternutzung betreffen - und der deutschen Sprache, in der das Benutzerkonto zu Lebzeiten der Erblasserin vertragsgemäß geführt wurde. Diese Voraussetzungen erfüllt die von der Gläubigerin übermittelte Datei nicht.

Vorinstanzen:

LG Berlin – Beschluss vom 13. Februar 2019 – 20 O 172/15

Kammergericht – Beschluss vom 3. Dezember 2019 – 21 W 11/19

Die maßgeblichen Vorschriften lauten

§ 888 ZPO - Nicht vertretbare Handlungen

(1) Kann eine Handlung durch einen Dritten nicht vorgenommen werden, so ist, wenn sie ausschließlich von dem Willen des Schuldners abhängt, auf Antrag von dem Prozessgericht des ersten Rechtszuges zu erkennen, dass der Schuldner zur Vornahme der Handlung durch Zwangsgeld und für den Fall, dass dieses nicht beigetrieben werden kann, durch Zwangshaft oder durch Zwangshaft anzuhalten sei. Das einzelne Zwangsgeld darf den Betrag von 25 000 Euro nicht übersteigen. Für die Zwangshaft gelten die Vorschriften des Zweiten Abschnitts über die Haft entsprechend.

OLG Frankfurt
Urteil vom 28.02.2019
6 U 181/17

Das OLG Frankfurt hat entschieden, dass die nach § 3 Abs. 4 ProdSG erforderliche Beidenungsanleistung dem Produkt nicht zwingend in Papierform beigefügt werden muss. Die Übersendung einer deutschsprachigen PDF-Datei per Email vor Lieferung ist ausreichend.

Aus den Entscheidungsgründen:

3. Die Klägerin hat gegen den Beklagten auch einen Anspruch auf Unterlassung aus §§ 3, 3a, 8 I UWG i.V.m. § 3 IV ProdSG, das Produkt in den Verkehr zu bringen, ohne eine deutschsprachige Bedienungsanleitung beizufügen.

a) Sind bei der Verwendung, Ergänzung oder Instandhaltung eines Produkts bestimmte Regeln zu beachten, um den Schutz von Sicherheit und Gesundheit zu gewährleisten, ist bei der Bereitstellung auf dem Markt hierfür eine Gebrauchsanleitung in deutscher Sprache mitzuliefern (§ 3 IV ProdSG). Wie sich aus der vom Beklagten vorgelegten Gebrauchsanweisung (S. 15) ergibt, sind beim Betrieb des Elektroautos konkrete Sicherheitsbestimmungen zu beachten. Die Gebrauchsanleitung enthält auch zahlreiche Warnhinweise. Eine Gebrauchsanleitung in deutscher Sprache ist daher mitzuliefern.

b) Unstreitig hat der Beklagte dem Produkt zunächst keine deutsche Gebrauchsanleitung in Papierform beigefügt. Dies ist auch nicht erforderlich. In welcher Form eine Bedienungsanleitung mitzuliefern ist, ist in § 3 Abs. 4 Satz 1, 1. Halbsatz ProdSG nicht geregelt. Eine Verpflichtung, die Bedienungsanleitung in auf Papier gedruckter Form beizufügen, lässt sich aus dem ProdSG nicht ableiten (LG Potsdam, Urt. v. 26.6.2014 - 2 O 188/13, Rn. 31 - juris; Czernik, MMR 2015, 338). Eine andere Auslegung ergibt sich auch nicht aus der RL 95/2001/EG, welche durch das Produktsicherheitsgesetz umgesetzt wurde. Nach Art. 5 Abs. 1 sind dem Verbraucher lediglich einschlägige Informationen zu erteilen, damit er die Gefahren, die von dem Produkt während der üblichen oder vernünftigerweise vorhersehbaren Gebrauchsdauer ausgehen und die ohne entsprechende Warnhinweise nicht unmittelbar erkennbar sind, beurteilen und sich dagegen schützen kann. Auch aus den Erwägungsgründen lässt sich nichts anderes ableiten. Aus § 7 II Nr. 2 der Zweiten Verordnung zum Produktsicherheitsgesetz (Verordnung über die Sicherheit von Spielzeug) ergibt sich ebenfalls nur, dass dem Spielzeug die Gebrauchsanleitung und Sicherheitsinformationen in deutscher Sprache "beigefügt" sein müssen.

c) Es genügt daher, wenn der Beklagte dem Käufer vor der Lieferung eine deutschsprachige Bedienungsanleitung per Email als PDF-Datei zur Verfügung stellt. Davon kann jedoch im Streitfall nicht ausgegangen werden. Die Klägerin hat konkret vorgetragen, dass bei dem Testkauf keine deutsche Betriebsanleitung versendet wurde. Damit war auch das elektronische Versenden gemeint. Der Beklagte hat erstinstanzlich vorgetragen, den Kunden sei anfänglich eine Bedienungsanleitung in deutscher Sprache per Email zugeleitet worden. Dass dies auch bei dem Testkauf der Fall war, hat er erstinstanzlich nicht konkret dargelegt. In der Klageerwiderung verwendet er lediglich das Präsens ("den Kunden wird … zugeleitet"). Im Schriftsatz vom 8.12.2016 heißt es, "anfänglich" habe er sie den Kunden per E-Mail als PDF zugeleitet, mittlerweile füge er sie der Verpackung bei. Auch dies sagt über den Zeitpunkt des Testkaufs nichts aus. Ein Muster der angeblichen Email hat er auch nicht vorgelegt.

Ohne Erfolg bestreitet der Beklagte mit Schriftsatz vom 20.2.2019 erstmals, dass überhaupt ein Testkauf stattgefunden hat. Insoweit handelt es sich um ein neues Verteidigungsmittel, da der Testkauf in erster Instanz - wie auch im Tatbestand des angefochtenen Urteils festgestellt - unstreitig war. Dieses neue Verteidigungsmittel kann nach § 531 II Nr. 3 ZPO keine Berücksichtigung mehr finden.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 15.05.2014
III ZR 368/13
BGB § 242, § 309 Nr. 12 Buchst. b, § 312d Abs. 1 [F: 2.1.2002], § 355 [F: 29.7.2009]


Der BGH hat wenig überraschend entschieden, dass die bloße Abrufbarkeit der Widerrufsbelehrung auf einer Webseite bei Fernabsatzgeschäften nicht ausreichend ist. Vielmehr muss der Shopbetreiber dem Verbraucher die Belehrung über das Widerrufsrecht in Textform (Email, Brief, Fax) zur übersendet.

Leitsätze des BGH:

a) Die bloße Abrufbarkeit einer Widerrufsbelehrung auf einer gewöhnlichen Webseite ("ordinary website") des Unternehmers reicht für die formgerechte Mitteilung der Widerrufsbelehrung an den Verbraucher nach § 355 Abs. 2 Satz 1 und Abs. 3 Satz 1, § 126b BGB nicht aus (Anschluss an BGH, Urteil vom 29. April 2010 - I ZR 66/08, NJW 2010, 3566).

b) Die vom Unternehmer in einem Online-Anmeldeformular vorgegebene, vom Kunden (Verbraucher) bei der Anmeldung zwingend durch Anklicken mit einem Häkchen im Kontrollkasten zu versehende Bestätigung "Widerrufserklärung □ Widerrufsbelehrung zur Kenntnis genommen und ausgedruckt oder abgespeichert?" ist gemäß § 309 Nr. 12 Buchst. b BGB sowie deshalb unwirksam, weil sie von den verbraucherschützenden Regelungen in § 355 Abs. 2 und 3, § 360 Abs. 1 BGB zum Nachteil des Verbrauchers abweicht.

c) Ist eine vom Unternehmer vorformulierte Bestätigung des Kunden unwirksam, so kann der Unternehmer dem Widerruf des Kunden nicht den Einwand unzulässiger Rechtsausübung entgegenhalten und gegen den Kunden auch keinen Schadensersatzanspruch wegen arglistiger Täuschung oder sonstiger Treuepflichtverletzung geltend machen, indem er den Vorwurf erhebt, dass der Kunde diese Bestätigung wahrheitswidrig erteilt habe.

BGH, Urteil vom 15. Mai 2014 - III ZR 368/13 - LG Karlsruhe - AG Ettlingen

Den Volltext der Entscheidung finden Sie hier:

Wir möchten uns ganz herzlich für die zahlreichen aufmerksamen Teilnehmer der Veranstaltung "Social Media und Recht: Was Unternehmen wissen müssen - Rechtliche Risiken erkennen und vermeiden" im Rahmen der IHK-Praxiswoche "Sicher ist sicher! IT-Recht und Datenschutz in der Praxis" bedanken.

Die Vortragspräsentation von Rechtsanwalt Marcus Beckmann finden Sie bei Slideshare

"Social Media und Recht: Was Unternehmen wissen müssen" bei Slideshare

und zusätzlich als PDF-Download

"Social Media und Recht: Was Unternehmen wissen müssen" als PDF

Wir möchten uns ganz herzlich bei allen Teilnehmern und Zuhörern unseres CeBIT-Vortrags "Cloud Computing und der sichere Hafen: Was Unternehmen bei der Nutzung cloudbasierter Dienste beachten müssen" bedanken. Die Unterlagen können Sie als PDF-Datei herunterladen:
"Cloud Computing und der sichere Hafen: Was Unternehmen bei der Nutzung cloudbasierter Dienste beachten müssen"