Das LG Karlsruhe hat entscheiden, das Eltern für In-App-Käufe ihrer minderjährigen Kinder nach den Grundsätzen der Anscheinsvollmacht haften können. Vorliegend ging es um 33.748,00 Euro.
Aus den Entscheidungsgründen: 1. Es ist gem. Art. 10 Abs. 1 Rom-II-VO i. V. m. Art. 6 Abs. 1 Rom-I-VO deutsches Sachrecht anzuwenden.
Der Kläger macht Ansprüche aus ungerechtfertigter Bereicherung geltend. Nach Art. 10 Abs. 1 Rom-II-VO ist insoweit das Recht maßgeblich, das für das Rechtsverhältnis gilt, mit dem der Bereicherungsanspruch in enger Verbindung steht. Als Rechtsverhältnis in diesem Sinne kommen selbst lediglich vermeintliche Vertragsbeziehungen in Betracht (vgl. MüKoBGB/Junker, 9. Aufl. 2025, Rom II-VO, Art. 10 Rn. 26; BeckOGK/Schinkels, Stand: 01.08.2018, Rom II-VO, Art. 10 Rn. 23), auch solche, deren Zustandekommen nach Rechtsscheingrundsätzen zwischen den Parteien in Streit steht.
Eine enge Verbindung besteht hier zu der Vertragsbeziehung für das Nutzerkonto, von dem aus die gegenständlichen Transaktionen unstreitig stattgefunden haben. Dieses Rechtsverhältnis zur Beklagten zu 2) ist der Kläger eingegangen, indem er das Nutzerkonto auf der digitalen Vertriebsplattform unter Annahme der Vertragsbedingungen eröffnete und die ersten acht Einkäufe selbst tätigte. Hinsichtlich der weiteren, nach dem Vortrag des Klägers durch seinen Sohn veranlassten Transaktionen beruft sich der Kläger zwar darauf, die Verträge nicht abgeschlossen zu haben. Insoweit liegt jedoch ein zumindest vermeintliches Vertragsverhältnis zugrunde.
Da das nach Art. 10 Abs. 1 Rom-II-VO maßgebliche Vertragsstatut nach Art. 6 Abs. 1 Rom-I-VO zu bestimmen ist, unterliegen diese Rechtsverhältnisse dem Recht des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, sofern der Unternehmer seine Tätigkeit auf diesen Staat ausrichtet. Der Kläger hatte im maßgeblichen Zeitraum seinen gewöhnlichen Aufenthalt in Deutschland und die Beklagte zu 2) richtete den Betrieb ihrer digitalen Vertriebsplattform auch auf den deutschen Markt aus.
2. Der Kläger hat keinen Anspruch auf Rückzahlung von 33.748,00 Euro aus § 812 Abs. 1 Satz 1 Alt. 1 BGB.
a) Hinsichtlich der für den Zeitraum vom 30.08.2019 bis zum 22.07.2020 getätigten acht Käufe im Gesamtwert von 47,92 Euro liegt der Rechtsgrund für die Leistungen in dem jeweiligen Kaufvertrag über die digitalen Inhalte. Der Kläger hat insoweit eingeräumt, diese Käufe selbst getätigt zu haben.
b) Für die vom 02.02.2021 bis zum 21.09.2022 getätigten weiteren 1.210 Einkäufe geleisteten mindestens 33.748,00 Euro besteht der Rechtsgrund ebenfalls in dem jeweiligen Kaufvertrag über digitale Inhalte. Zwischen dem Kläger und der Beklagten zu 2) ist in Bezug auf diese In-App-Käufe nach den Grundsätzen der Anscheinsvollmacht ein Kaufvertrag zustandegekommen, indem der Sohn des Klägers die Käufe über dessen Nutzerkonto auf der Vertriebsplattform der Beklagten zu 2) getätigt hat.
aa) Eine Anscheinsvollmacht ist gegeben, wenn der Vertretene das Handeln des Scheinvertreters nicht kennt, er es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können, und wenn der Geschäftspartner annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters (BGH, Urteil vom 11. Mai 2011 – VIII ZR 289/09 –, BGHZ 189, 346-356, Rn. 16, juris m. w. N.). Allerdings greifen die Rechtsgrundsätze der Anscheinsvollmacht in der Regel nur dann ein, wenn das Verhalten des einen Teils, aus dem der Geschäftsgegner auf die Bevollmächtigung des Dritten glaubt schließen zu können, von einer gewissen Dauer und Häufigkeit ist (BGH a. a. O., Rn. 18 m. w. N.), selbst wenn das jeweilige genutzte Konto – wie hier – an sich auch so eindeutig zugeordnet und durch Passwort gesichert ist (BGH a. a. O.; vgl. zum teilweise herangezogenen § 172 BGB analog bei Oechsler, AcP 208 (2008), 565 (577 ff.)).
bb) So liegt es hier.
(1) Das Gericht ist nach der durchgeführten Beweisaufnahme davon überzeugt, dass der Sohn des Klägers die Bestellungen über das Nutzerkonto des Klägers vorgenommen hat.
Der Kläger hat die jeweiligen kostenpflichtigen digitalen Inhalte zur Überzeugung des Gerichts nicht selbst erworben. Er hat auch weder seinen Sohn als Stellvertreter gem. §§ 164 ff. BGB bevollmächtigt noch die Geschäfte gem. § 184 Abs. 1 BGB nachträglich genehmigt. Vielmehr hat der im Zeitraum dieser Käufe zwischen sieben und achteinhalb Jahre alte Sohn des Klägers nach Überzeugung des Gerichts ohne Wissen und Bevollmächtigung des Vaters die digitalen Inhalte erworben.
Diese Überzeugung stützt sich auf die glaubhafte Aussage des Sohnes des Klägers sowie auf die informatorische Anhörung des Klägers.
Die Aussage des Sohnes ist glaubhaft, auch wenn er im maßgeblichen Zeitraum noch sehr jung war und die Vorgänge bereits lange zurücklagen. Der Sohn räumte Wissenslücken offen ein, schilderte einzelne Vorgänge erlebnisbasiert und verband sie mit eigenen starken Emotionen in Schlüsselmomenten. Auch Nebensächlichkeiten gab er frei und ohne erkennbaren Zweck wieder.
Die Glaubhaftigkeit der Angaben in der informatorischen Anhörung des Klägers folgt auch daraus, dass dieser die Vorgänge lebensnah beschrieben hat und seine Darstellung mit prägenden äußeren Ereignissen wie der Trennung von seiner damaligen Ehefrau und den damit verbundenen Umständen wie dem Umzug seiner Familie verknüpfte.
Das Gericht ist auch von der Glaubwürdigkeit beider Personen überzeugt. Hierfür spricht, dass sowohl der Sohn als auch der Kläger jeweils auch für sie selbst erkennbar potenziell nachteilige Umstände oder Erinnerungslücken selbst einräumten und beide in ihrer freien Schilderung zu keinem Zeitpunkt prozesstaktisch motiviert wirkten.
Der Einwand der Beklagten, die Uhrzeiten der dargelegten Belastungen der Kreditkarte, unter anderem zur Nachtzeit, sprächen dagegen, dass eine Person im Alter des Sohnes des Klägers die Käufe getätigt habe, steht dem nicht entgegen. Denn zum einen ist offengeblieben, ob die Belastung der hinterlegten Zahlungsmethode zu derselben Uhrzeit erfolgte wie der Erwerb der digitalen Inhalte. Zum anderen wäre bei der überschaubaren Anzahl an Käufen zu ungewöhnlichen Zeiten denkbar, dass sich der Sohn des Klägers punktuell auch zu untunlichen Zeiten Zugriff auf das Tablet verschafft hat.
(2) Die abgegebenen Erklärungen des Sohnes des Klägers im Rahmen der Benutzung des Kontos sind dem Kläger nach den Grundsätzen der Anscheinsvollmacht zuzurechnen.
(aa) Der Kläger hat gegenüber der Beklagten zu 2) jedenfalls den Rechtsschein gesetzt, dass der jeweilige Kontonutzer des gegenständlichen Nutzerkontos auf der Vertriebsplattform für digitale Inhalte der Beklagten zu 2) auf dem Tablet mit der Kreditkarte als hinterlegtem Zahlungsmittel Käufe im Namen des Klägers veranlassen darf.
Der Kläger hat selbst den Zugang zu Käufen unter seinem Namen bei der Beklagten zu 2) ermöglicht, indem er bei dieser zunächst ein Nutzerkonto für die App-Einkäufe eingerichtet und seine Kreditkartendaten dort hinterlegt sowie zusätzlich auch noch die ersten acht Käufe selbst mit seinem Sohn getätigt hat. Der Rechtsschein ergibt sich auch aus der Gestaltung der Nutzungsbedingungen der Beklagten zu 2), die vollständig an die Inhaberschaft des Kontos anknüpfen.
Den Rechtsschein hat der Kläger auch nicht dadurch entkräftet, dass er mittels Guthaben als Zahlungsmittel oder mittels eingerichtetem Budget zumindest die Beschränkung der rechtsgeschäftlichen Verwendung des Nutzerkontos offenkundig gemacht hätte. Der Rechtsschein, die Transaktionen würden durch den Kläger vorgenommen, wurde auch dadurch gesetzt, dass sowohl die Quittungen für Käufe als auch die Abbuchungen im gesamten Zeitraum gegenüber der Beklagten zu 2) unbeanstandet blieben.
Dem gesetzten Rechtsschein steht nicht entgegen, dass der Sohn des Klägers durch Nutzung des Kontos des Klägers bei der Beklagten zu 2) den Eindruck erweckt hat, nicht er als Bevollmächtigter des Klägers, sondern der Kläger selbst würde die Käufe tätigen. Wird bei der Nutzung eines fremden Namens beim Geschäftspartner der Anschein erweckt, es solle mit dem Namensträger ein Geschäft abgeschlossen werden, und wird dabei eine falsche Vorstellung über die Identität des Handelnden hervorgerufen, sind unverändert die Regeln über die Stellvertretung und auch die Grundsätze der Anscheinsvollmacht anzuwenden (vgl. BGH, Urteil vom 11. Mai 2011 – VIII ZR 289/09 –, BGHZ 189, 346-356, Rn. 12 m. w. N., juris). Dieser von der Rechtsprechung entwickelte Grundsatz ist ohne Weiteres auf die Verwendung von Nutzerkonten bei Marktplätzen für digitale Inhalte durch Dritte übertragbar, da in diesen Fällen regelmäßig eine falsche Vorstellung über die Identität des unter einem fremden Nutzerkonto Handelnden erzeugt wird.
(bb) Das dem Rechtsschein zugrundeliegende Verhalten war auch von gewisser Dauer und Häufigkeit.
Der Sohn des Klägers hat über den ungewöhnlich langen Zeitraum von rund 20 Monaten mehr als tausend Einzelkäufe mit einem Volumen von mitunter mehreren tausend Euro monatlich über das Konto des Klägers getätigt. Dieser Fall ist nicht mit der bloß kurzzeitigen unautorisierten Verwendung von Nutzerkonten für App-Käufe durch Dritte zu vergleichen, die regelmäßig noch keinen zurechenbaren Rechtsschein zu Lasten des Inhabers des Nutzerkontos begründet. Denn die unbeanstandete Verwendung eines Nutzerkontos auf einer Vertriebsplattform für digitale Inhalte über einen so langen Zeitraum und mit einer derart hohen Anzahl an Transaktionen und Transaktionsvolumen wie hier begründet zweifellos einen Rechtsschein gegenüber dem Plattformbetreiber.
(cc) Der Kläger hat den Rechtsschein auch schuldhaft mitverursacht. Dies setzt voraus, dass der Vertretene das Handeln des Scheinvertreters bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können (st. Rspr., BGH, Urteil vom 6. April 2017 – III ZR 368/16 –, BGHZ 214, 324-340, Rn. 35, juris; BGH, Urteil vom 16. März 2006 – III ZR 152/05 –, BGHZ 166, 369-383, Rn. 17, juris m. w. N.).
Der Kläger ist selbst seit vielen Jahren im Bereich der Softwareentwicklung tätig und mit den Diensten der Beklagten auch beruflich vertraut. Gleichwohl hat er seinem Sohn ursprünglich Zugang zu seinem Nutzerkonto mit hinterlegter Kreditkarte verschafft, anstatt auf ein begrenztes Guthaben zurückzugreifen, ein Budget einzurichten oder weitere Sicherheitsmerkmale einzurichten. Zudem tätigte der Kläger selbst die ersten Einkäufe mit seinem Sohn und hätte dabei erkennen müssen, dass der Erwerb digitaler Inhalte dann auch für seinen Sohn ohne Schwierigkeiten durchzuführen war.
Der Kläger hat zwar nach eigenen Angaben darauf vertraut, sein Sohn werde die vereinbarten Nutzungsregeln einhalten. Angesichts der Gesamtumstände hätte er dessen Handeln jedoch bei pflichtgemäßer Sorgfalt ohne Weiteres erkennen und verhindern können.
Denn es kommt hinzu, dass der Kläger die für das Konto hinterlegte E-Mail-Adresse über Jahre nicht überprüfte, obwohl nach den glaubhaften Angaben der Beklagten in der mündlichen Verhandlungen Quittungen für sämtliche Käufe dorthin versandt wurden. Damit ließ er eine weitere elementare Kontrollmöglichkeit ungenutzt. Auch die nach den Geschäftsbedingungen der Beklagten zu 2) aktivierbares Budget für Einkäufe nutzte er nicht. Ebenso wenig nutzte er die Möglichkeit, für seinen Sohn ein eigenes Kinderkonto im Rahmen einer Familiengruppe einzurichten, in dem Kaufgenehmigungen und Jugendschutzeinstellungen vorgesehen sind.
Schließlich unterließ er es, seine Kreditkartenabrechnungen regelmäßig zu prüfen, obwohl dieses Zahlungsmittel über fast 20 Monate hinweg mehrfach mit jeweils mehrere tausend Euro belastet wurde. Der Einwand, es seien parallel auch Zahlungen für Werbeanzeigen bei der Beklagten zu 2) für sein Unternehmen erfolgt, weswegen er bei entsprechenden Abbuchungen nicht misstrauisch geworden sei, greift nicht durch. Diese Zahlungen für Werbeanzeigen lagen selbst nach seinen eigenen Angaben allenfalls über den gesamten Zeitraum im Bereich weniger hundert Euro insgesamt.
Auch die vom Kläger vorgebrachten persönlichen Umstände im maßgeblichen Zeitraum, wie das Vertrauen auf die Absprache mit seinem Sohn, die Trennung von seiner Ehefrau mit dem Umzug der Kinder und seine wiederkehrenden beruflichen Auslandsaufenthalte, ändern nichts an der schuldhaften Mitverursachung des Rechtsscheins. Die versäumten Kontroll- und Sicherungsmaßnahmen hätten keine ständige Anwesenheit des Klägers bei seinem Sohn erfordert. Mit einem einzelnen Zugriff auf das Tablet wäre es möglich gewesen, Zahlungsmittel zu entfernen oder Sicherungsmaßnahmen einzurichten. Die E-Mail-Quittungen und Kreditkartendaten hätte der Kläger selbst im Ausland einsehen können. Ebenso wenig genügt es, dass er seinen Sohn nach seinem Vortrag anwies, ohne Erlaubnis keine Käufe mehr zu tätigen. Bei einem sieben- bis achteinhalbjährigen Kind ist das allein erkennbar keine hinreichende Sicherungsmaßnahme, zumal unter den vom Kläger selbst dargelegten familiären Umständen im gegenständlichen Zeitraum. Schließlich kann sich der Kläger auch nicht darauf berufen, er sei von einer stets erforderlichen Sicherheitsabfrage vor dem Erwerb digitaler Inhalte ausgegangen. Er hatte selbst die ersten Käufe mit seinem Sohn getätigt und wusste daher, dass eine solche Abfrage nicht erfolgte.
(dd) Die Beklagte zu 2) durfte auch darauf vertrauen, dass die Käufe vom Kläger gebilligt waren.
Nach Treu und Glauben darf ein Geschäftsgegner annehmen, der Handelnde sei bevollmächtigt, sofern er keine Anhaltspunkte für das Gegenteil hat (BGH, Urteil vom 6. April 2017 – III ZR 368/16 –, BGHZ 214, 324-340, Rn. 35, juris; MüKoBGB/Schubert, 10. Aufl. 2025, § 167 Rn. 143 unter Verweis auf § 173 BGB analog). Gutgläubig ist er, wenn er weder wusste noch wissen musste, dass das Geschäft nicht vom Kontoinhaber oder einem Bevollmächtigten vorgenommen wurde.
Bei anonymen Massengeschäften wie solchen auf Online-Marktplätzen für digitale Inhalte können Anbieter nicht erkennen, welche Person tatsächlich hinter einem Nutzerkonto handelt. Maßgeblicher Anknüpfungspunkt für den Rechtsschein ist bei derartigen Diensten daher richtigerweise ohnehin nicht das Vertrauen des Plattformbetreibers auf die Vertretungsmacht des handelnden Nutzers, sondern die Annahme, dass die jeweilige Person, unter deren Nutzerkennung gehandelt wird, die Einkäufe und damit einhergehende Verbindlichkeiten autorisiert (vgl. ähnlich zu Telefondiensten Zimmermann, MMR 2017, 470 (473)).
Im Übrigen deuteten weder die Art der heruntergeladenen Spiele noch die Inhalte der In-App-Käufe hier auf eine Nutzung ausschließlich durch Minderjährige hin. Für die Beklagte war daher objektiv nicht erkennbar, dass ein Kind statt des volljährigen Kontoinhabers handelte. Selbst wenn dem anders gewesen wäre, hätte die Beklagte zu 2) allein aus typischen digitalen Inhalten für Minderjährige auch noch nicht schließen können, dass deren Sorgeberechtigte den Erwerb nicht billigten.
(ee) Der Rechtsschein war auch für die jeweiligen Vertragsabschlüsse ursächlich. Die Beklagte zu 2) hat die erworbenen digitalen Inhalte dem Nutzerkonto zur Verfügung gestellt und den jeweils zugrunde liegenden Kaufvertrag zuvor nur abgeschlossen, weil die Bestellungen vom mit seinem Zahlungsmittel hinterlegten Nutzerkonto des Klägers aus erfolgten.
cc) Die Minderjährigkeit des Sohnes des Klägers veranlasst nicht, im vorliegenden Fall von den dargelegten Grundsätzen abzuweichen.
Zwar kann die Zurechnung des Rechtsscheins ausscheiden, wenn es dem Vertretenen an der Geschäftsfähigkeit fehlt (MüKoBGB/Schubert, 10. Aufl. 2025, BGB § 167 Rn. 130). Im maßgeblichen Zeitraum seines nicht vom Kläger gebilligten Handelns war der Sohn des Klägers jedoch bereits älter als sieben Jahre und damit zumindest beschränkt geschäftsfähig i. S. d. § 104 Nr. 1 BGB. Entscheidend ist außerdem nicht die Geschäftsfähigkeit des Vertreters, sondern die des Vertretenen. Dies folgt aus dem allgemeinen Grundsatz des § 165 BGB, wonach die Wirksamkeit von Erklärungen im Stellvertretungsrecht nicht davon abhängt, ob der Vertreter unbeschränkt geschäftsfähig ist. Auch im Rahmen der Rechtsscheingrundsätze belastet die Zurechnung allein den volljährigen Vertretenen, hier den Kläger, und der Schutz des minderjährigen Vertreters, hier des Sohnes, wird dadurch nicht beeinträchtigt.
Das AG Wesel hat entschieden, dass ein Anspruch auf Schadensersatz in Höhe von 500 Euro aus Art. 82 DSGVO besteht, wenn ein Steuerberater eine Steuererklärung versehentlich an die alte Adresse seines Mandanten schickt.
Aus den Entscheidungsgründen: Die Kläger haben gegen die Beklagten als Gesamtschuldner einen Anspruch auf Zahlung eines immateriellen Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO, dies jedoch nur in Höhe von jeweils 500,00 EUR.
Die sachliche, räumliche und zeitliche Anwendbarkeit der DSGVO ergibt sich aus den Art. 2 Abs. 1, 3 Abs. 1 und 99 Abs. 2 DSGVO.
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Die Beklagte zu 1) ist als juristische Person, die im Rahmen ihrer Tätigkeit über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Haftung der Beklagten zu 2) bis 6) als Gesellschafter der Beklagten zu 1) ergibt sich aus § 721 BGB.
Die Beklagte zu 1) hat jedenfalls gegen Art. 5 Abs. 1 lit. d) DSGVO verstoßen. Nach dieser Vorschrift müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“). Gegen diese Vorgabe haben die Beklagten verstoßen, indem sie die ehemalige Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht haben. Hierbei ist unerheblich, dass die Adresse durch ein Programm automatisch eingefügt wurde. Nach Maßgabe des Art. 5 Abs. 1 lit. d) DSGVO hatte die Beklagte gerade dafür Sorge zu tragen, dass die Adresse im System überhaupt nicht mehr hinterlegt ist. Ein Verstoß gegen diesen Grundsatz der Datenverarbeitung stellt zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht gemäß Art. 82 DSGVO auszulösen (BGH, Urteil vom 18.11.2024 - VI ZR 10/24 m.w.N.).
Den Klägern ist infolge des Verstoßes auch ein Schaden entstanden.
Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (stRspr, BGH a.a.O. m.w.N.). Der Begriff ist mit Blick auf die Zielsetzung der Verordnung weit auszulegen und nicht von dem Überschreiten einer Bagatell-Grenze abhängig (EuGH, Urteil vom 20.06.2024 - C-590/22; BGH a.a.O.).
Dennoch stellt der Schaden ein eigenständiges Tatbestandsmerkmal des Art. 82 Abs. 1 DSGVO dar, der nicht mit dem Verstoß gegen die Verordnung gleichgesetzt werden kann und über den reinen Verstoß hinausgehen muss (EuGH a.a.O., BGH a.a.O.).
Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH a.a.O., BH a.a.O.). Dies wird insbesondere auf den ersten Satz des 85. Erwägungsgrunds der DSGVO gestützt, in dem es heißt, dass „(e)ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen (kann), wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten.“ Diese Formulierung spiegelt auch die zu unterscheidenden Tatbestandsmerkmale des Art. 82 DSGVO: Die in Art. 82 Abs. 1 DSGVO vorausgesetzte Datenschutzverletzung, kann, muss aber nicht zu einem die Ersatzpflicht auslösenden Schaden führen; dieser ist gesondert festzustellen, kann aber beispielsweise in dem Kontrollverlust, der mögliche, aber nicht zwingende Folge des Verstoßes ist, liegen. Der Anspruchsteller muss aus diesem Grund lediglich den eingetretenen Kontrollverlust, diesen aber vollumfänglich, beweisen.
Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten. Das Gericht ist nach dem Ergebnis der Beweisaufnahme davon überzeugt, dass die von der Beklagten abgesandte Erklärung an der ehemaligen Adresse der Kläger eingegangen und von den Zeugen A in Empfang genommen worden ist. Dies ergibt sich aus den übereinstimmenden und glaubhaften Bekundungen der Zeugen im Rahmen ihrer Vernehmung.
Infolge der durch die Beklagte vorgenommenen und kausal durch den Verstoß gegen Art. 5 Abs. 1 lit. d) DSGVO erfolgten, irrtümlichen Versendung war den Klägern die Kontrolle darüber entzogen, welchem Personenkreis die den Beklagten zur Verfügung gestellten und in der Steuererklärung aufgegriffenen personenbezogenen Daten zugänglich waren. Ob die Zeugen den von der Beklagten in Gang gesetzten Kausalverlauf durch das eigenmächtige Öffnen des Briefs unterbrochen haben, ist für den Schadenseintritt unerheblich, da dieser bereits zuvor mit der Versendung des Briefs eingetreten war. Bereits in diesem Zeitpunkt waren die Daten dem Verfügungskreis der Kläger entzogen. Aus diesem Grund ist für das Vorliegen des Schadens nach Maßgabe der vom Gerichtshof aufgestellten und vom BGH aufgegriffenen Grundsätze auch unerheblich, ob und inwieweit die Zeugen von dem Inhalt des Briefs Kenntnis genommen haben. Dieser Umstand ist für den Umfang des Schadens relevant, nicht aber für den Eintritt des Schadens als solcher. Die Kläger hatten mit der Versendung des Briefs nicht mehr in der Hand, welcher Personenkreis von ihren Daten Kenntnis nehmen und diese verwenden kann. Dies allein stellt eine negative Folge des Datenschutzverstoßes dar, die einen immateriellen Schaden begründet.
Der Umfang des eingetretenen Schadens liegt aber erheblich unterhalb der von den Klägern angegebenen Größenordnung.
Die Ausgleichsfunktion des Art. 82 DSGVO gebietet eine vollständige und wirksame Entschädigung in Geld, eine Abschreckungs- oder Straffunktion soll der Anspruch aber gerade nicht erfüllen (EuGH a.a.O., BGH a.a.O.). Weder die Schwere des Verstoßes noch die Anzahl der Verstöße gegen die Verordnung oder ein diesbezüglicher Vorsatz des Verantwortlichen finden bei der Bemessung des Schadens Berücksichtigung (EuGH, Urteil vom 20.06.2024 - C-182/22, C-189/22; BGH a.a.O.).
Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle in den Blick zu nehmen (BGH a.a.O.).
Unter Berücksichtigung dieser Maßstäbe hält das Gericht ein Schmerzensgeld in Höhe von jeweils 500,00 EUR für angemessen, aber auch ausreichend, § 287 ZPO. Auf Seiten der Kläger ist allein der oben genannte Kontrollverlust bei der Ermittlung der Schadenshöhe zu berücksichtigen und anhand der vorgenannten Kriterien zu bemessen. Denn der Beweis eines darüberhinausgehenden Nachteils ist den Klägern nicht gelungen. Die Aussagen der Zeugen waren insofern unergiebig, da sich aus diesen gerade nicht positiv ergibt, dass die Zeugen von Details der Steuerklärung und den hierin enthaltenen Daten Kenntnis genommen haben. Erst recht bestehen keine Anhaltspunkte dafür, dass die Daten, wie die Kläger befürchten, über die Zeugen einen noch größeren Personenkreis erreicht haben.
Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind. Die Sensibilität der Daten erfordert den zugesprochenen Ausgleich, ein Schmerzensgeld von mehr als 500,00 EUR ist aber nicht gerechtfertigt, da nicht festgestellt werden konnte, dass überhaupt ein Dritter von den Daten Kenntnis genommen hat.
Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastruktur, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor eine Vielzahl von Herausforderungen gestellt. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit gegenüber externen, vielfach nicht steuerbaren Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zur Entsorgung von Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung gerade der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund gestiegenen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen. 2024 bestätigte sich die Erfahrung der Vorjahre, dass geopolitische und zwischenstaatliche Konflikte oftmals mit einer ganzen Bandbreite an Phänomenen im Cyberraum einhergehen: Desinformation, Hacktivismus, Spionage und Sabotage waren sowohl im russischen Angriffskrieg gegen die Ukraine als auch in der Folge des Terrorangriffs der Hamas auf Israel zu beobachten. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-SabotageAngriffen im Rahmen des Krieges. Zudem haben Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch in Folge der Zeitenwende zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind Teil des unternehmerischen Alltags geworden. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland und den Binnenmarkt der Europäischen Union insgesamt robust und leistungs- und funktionsfähig zu halten.
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Dieser Entwurf steht im Kontext der Bestrebungen der Europäischen Union und ihrer Mitgliedstaaten zur Erhöhung der Wirtschaftssicherheit und Verbesserung der Resilienz als Antwort auf neue geopolitische Rahmenbedingungen. Mit der am 20. Juni 2023 veröffentlichten Europäischen Strategie für wirtschaftliche Sicherheit identifiziert die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft.
Dieser Entwurf steht außerdem im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.
B. Lösung, Nutzen
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz auf den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:
– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro, im Jahr 2023 bei 205,9 Milliarden Euro und im Jahr 2024 bei 266,6 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigte. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.
Das BAG hat entschieden, dass dem Betroffenen im vorliegenden Fall 200 EURO Schadensersatz aus Art. 82 DSGVO zusteht, da der Arbeitgeber datenschutzwidrig personenbezogene Echtdaten an eine Konzerngesellschaft für die Personalverwaltung übertragen hatte. Insbesondere war die Datenweitergabe nach Art. 6 Abs. 1 Satz 1 lit.. f DSGVO nicht zur Wahrung berechtigter Interessen erforderlich.
Die Pressemitteilung des Gerichts: Schadenersatz nach Datenschutz-Grundverordnung (DSGVO) - Betriebsvereinbarung - Workday
Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen.
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, ua. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung iHv. 3.000,00 Euro zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22. September 2022 (- 8 AZR 209/21 (A) – BAGE 179, 120) hatte der Senat das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19. Dezember 2024 (- C-65/23 – [K GmbH]) beantwortet.
Die Revision des Klägers hatte vor dem Achten Senat des Bundesarbeitsgerichts teilweise Erfolg. Der Kläger hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO iHv. 200,00 Euro. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutz-Grundverordnung. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.
Bundesarbeitsgericht, Urteil vom 8. Mai 2025 – 8 AZR 209/21 –
Vorinstanz: Landesarbeitsgericht Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20 –
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
…
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
BGH
Urteil vom 11.02.2025 VI ZR 365/22
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO wegen Kontrollverlustes besteht. wenn eine Behörde die Personalakten nicht selbst verwaltet.
Leitsatz des BGH:
Zum Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bei der Verwaltung von Personalakten durch hierzu nicht befugte Dritte.
BGH, Urteil vom 11. Februar 2025 - VI ZR 365/22 - OLG Celle LG Hannover
Aus den Entscheidungsgründen: 2. Der geltend gemachte Feststellunganspruch ist auch begründet, Art. 82 Abs. 1 DSGVO. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteile vom 4. Oktober 2024 - C-507/23, K&R 2024, 730 Rn. 24 - Patērētāju tiesību aizsardzības centrs; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 34 - juris; vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 58 - MediaMarktSaturn). Diese Voraussetzungen sind vorliegend erfüllt.
a) Ein Verstoß gegen die Datenschutz-Grundverordnung liegt nach den getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Beklagten bis zum Erlass der Organisationsverfügung vom 22. August 2019 geübte Praxis, die Verwaltung der Personalakten von Bundesbeamten wie der Klägerin durch Bedienstete des Landes Niedersachsen vornehmen zu lassen, als von § 111a BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckte Verarbeitung personenbezogener Daten durch Dritte und damit als Verstoß gegen die Datenschutz-Grundverordnung (der Sache nach: gegen Art. 5 Abs. 1 Buchst. a, Art. 28 DSGVO) gewertet. Die Beklagte sei selbst von der offensichtlichen Rechtswidrigkeit dieser Praxis ausgegangen und habe weder näher zu den Einzelheiten der geübten Personalaktenverwaltung vorgetragen noch eine vorherige Zustimmung der obersten Dienstbehörde behauptet. Hiergegen wendet die Beklagte auch mit der Revisionserwiderung nichts ein; Rechtsfehler sind insoweit auf der Grundlage der vom Berufungsgericht getroffenen und nicht mit Gegenrügen angegriffenen Feststellungen im Übrigen nicht ersichtlich.
b) Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die Datenschutz-Grundverordnung verursachten Schaden der Klägerin verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.
aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der jüngeren Rechtsprechung des Gerichtshofs (Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42 - juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 66 - MediaMarktSaturn; vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, NJW 2024, 1091 Rn. 82 - Natsionalna agentsia za prihodite) entschieden hat, einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (Senat, Urteil vom 18. November 2024 - VI ZR 10/24, WM 2024, 2301 Rn. 30 mwN). Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt" (vgl. Senat, aaO Rn. 29 mwN).
bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25. Mai 2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein (s. zu den Bemessungskriterien weiterführend Senat, aaO Rn. 92 ff., insb. 99).
BGH
Urteil vom 28.01.2025 VI ZR 183/22
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass eim Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungsfunktion noch eine Straffunktion sondern ausschließlich eine Ausgleichsfunktion hat. Aus diesem Grund dürfen - so der BGH - auch die Schwere des Verstoßes und Verschuldensfragen bei der Bestimmung der Höhe des Anspruchs nicht berücksichtigt werden.
Aus den Entscheidungsgründen: Die zulässige Revision der Beklagten hat keinen Erfolg. Zwar sind die Erwägungen, mit denen das Berufungsgericht den immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO mit 500 € bemessen hat, rechtsfehlerhaft. Entgegen der Ansicht der Revision hätte das Berufungsgericht bei der Bemessung des Schadensersatzes einer abschreckenden Wirkung aber nicht noch größeres Gewicht einräumen müssen. Es hätte diese vielmehr überhaupt nicht, sondern ausschließlich eine Ausgleichsfunktion des Schadensersatzes berücksichtigen dürfen. Dass sich dieser Rechtsfehler zum Nachteil der Beklagten ausgewirkt hätte, ist aber nicht ersichtlich.
1. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 31 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28).
Nach der Rechtsprechung des Gerichtshofes der Europäischen Union kommt dem in Art. 82 Abs. 1 DSGVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu. Er erfüllt - entgegen der Ansicht des Berufungsgerichts und der Revision - keine Abschreckungs- oder gar Straffunktion (EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 23 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 18; jeweils mwN).
In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs, wie sie in ErwG 146 Satz 6 DSGVO zum Ausdruck kommt, ist eine auf Art. 82 DSGVO gestützte Entschädigung in Geld als "vollständig und wirksam" anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 24 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN). Da der Anspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungs- noch eine Straffunktion erfüllt, darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob schuldhaft gehandelt wurde (vgl. Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN).
Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.
BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22 - OLG Koblenz LG Koblenz
OLG Nürnberg
Hinweisbeschluss vom 18. November 2024 14 U 2275/22
Das OLG Nürnberg hat in einem Hinweisbeschluss ausgeführt, dass eine Bank nicht für den Vermögensschaden nach einer vom Geschädigten veranlasste Auszahlung infolges eines Enkeltrick-Betrugs haftet..
Die Pressemitteilung des Gerichts: Bank haftet nicht für einen durch Enkeltrick-Betrug entstandenen Vermögenschaden
Eine gegen die auszahlende Bank gerichtete Schadensersatzklage eines 84-jährigen Mannes, der infolge eines Trickbetrugs 83.000 € an Unbekannte gezahlt hatte, blieb erfolglos. Warn- und Hinweispflichten der Geldinstitute bestehen nur bei einem massiven Verdacht auf eine Vermögensgefährdung des Kunden. Eine solche vorwerfbare Pflichtverletzung konnte das Landgericht Nürnberg-Fürth im konkreten Fall nicht feststellen.
Der Kläger hatte am Schalter in einer Bankfiliale in Nürnberg innerhalb von 1 ½ Stunden zweimal Bargeld von seinem Konto abgehoben, insgesamt 83.000 Euro. Er begründete seine Schadensersatzklage gegen die Bank damit, dass diese durch Auszahlung des Geldes trotz offenkundiger Anhaltspunkte für einen Enkeltrick-Betrug gegen ihre vertraglichen Schutz- und Warnpflichten verstoßen habe. Die Bank hatte im Zivilprozess vorgebracht, dass ihre Mitarbeiter bezüglich des sogenannten Enkeltricks geschult seien und den Kläger entsprechend angesprochen hätten, der ruhig gewirkt und plausible Erklärungen abgegeben habe.
Das Landgericht Nürnberg-Fürth hat in erster Instanz mit Urteil vom 22. Juli 2022 die Klage abgewiesen. Das Gericht führte aus, dass eine Aufklärungs- und Warnpflicht der Bank nur ausnahmsweise bei Vorliegen objektiver massiver Verdachtsmomente anzunehmen ist. Einen massiven Verdacht auf einen drohenden Schaden beim Kläger konnte die Kammer im vorliegenden Fall nicht feststellen. Die Kammer war nach Einvernahme der Bankangestellten als Zeugin davon überzeugt, dass der Kläger sachlich, ruhig und unauffällig in der Bank auftrat. Weder aus dem Alter des Klägers und der Höhe des Bargeldbetrages noch aus dem Umstand, dass erst eine Übertragung von dem Sparkonto auf das Girokonto erfolgte, drängte sich der Verdacht einer Straftat auf. Bei beiden Barabhebungen hatte die Bankangestellte beim Kläger mehrfach nachfragt, ob ihm der sogenannte Enkeltrick bekannt sei, was dieser bejahte und damit entkräftete, dass er direkt mit seiner Enkeltochter gesprochen habe. Eine weitere Nachfragepflicht war von den Mitarbeitern der Bank nicht zu verlangen, so das Landgericht in seiner Entscheidung.
Gegen das klageabweisende Urteil des Landgerichts hatte der Kläger Berufung zum Oberlandesgericht Nürnberg eingelegt. Auch das Oberlandesgericht verneinte eine Verletzung von Warn- und Hinweispflichten der Beklagten, gerade nachdem die Möglichkeit eines Enkeltricks von der Bankangestellten angesprochen worden war. Die Bank ist vertraglich zur Auszahlung des Kontoguthabens verpflichtet und der Kunde hat über die Verwendung der ihm zustehenden Beträge keine Rechenschaft abzulegen, führte das Berufungsgericht ergänzend aus.
Auf den Hinweis des Oberlandesgerichts zur Erfolgslosigkeit der Berufung hat der Kläger sein Rechtsmittel zurückgenommen. Das Urteil des Landgerichts Nürnberg-Fürth ist damit rechtskräftig.
Die Strafbarkeit der Trickbetrüger und etwaige zivilrechtliche Ansprüche gegen diese Personen waren nicht Gegenstand des Verfahrens.
(Urteil des Landgerichts Nürnberg-Fürth vom 22. Juli 2022, Az. 10 O 1384/22,
Hinweisbeschluss des Oberlandesgerichts Nürnberg vom 18. November 2024, Az. 14 U 2275/22)
Leisatz des BGH:
Zur Haftung des Betreibers einer Portalwaschanlage für die Beschädigung eines mit einem serienmäßigen Heckspoiler ausgestatteten Fahrzeugs.
BGH, Urteil vom 21. November 2024 - VII ZR 39/24 - LG Münster - AG Ibbenbüren
Der BGH hat entschieden, dass der Betreiber einer Auto-Waschanlage für einen beschädigten Heckspoiler jedenfalls dann haftet, wenn dieser zur Serienausstattung des Fahrzeugs gehört.
Die Pressemitteilung des BGH: Bundesgerichtshof zur Haftung des Betreibers einer Waschanlage
Der unter anderem für das Werkvertragsrecht zuständige VII. Zivilsenat des Bundesgerichtshofs hat über die Haftung des Betreibers einer Autowaschanlage für einen Fahrzeugschaden entschieden.
Sachverhalt und bisheriger Prozessverlauf
Der Kläger verlangt Schadensersatz wegen der Beschädigung seines Fahrzeugs in einer von der Beklagten betriebenen Autowaschanlage, einer sogenannten Portalwaschanlage.
In der Waschanlage befindet sich ein Hinweisschild, das auszugsweise wie folgt lautet:
Die Reinigung der Fahrzeuge in der Waschanlage erfolgt unter Zugrundelegung der nachfolgenden Bedingungen: (…).
Die Haftung des Anlagenbetreibers entfällt insbesondere dann, wenn ein Schaden durch nicht ordnungsgemäß befestigte Fahrzeugteile oder durch nicht zur Serienausstattung des Fahrzeugs gehörende Fahrzeugteile (z.B. Spoiler, Antenne, Zierleisten o.ä.) sowie dadurch verursachte Lackkratzer verursacht worden ist, außer den Waschanlagenbetreiber oder sein Personal trifft grobe Fahrlässigkeit oder Vorsatz."
Unter diesem Hinweisschild befindet sich ein Zettel mit der Aufschrift:
"Achtung Keine Haftung für Anbauteile und Heckspoiler!".
Der Kläger fuhr Ende Juli 2021 mit seinem Pkw der Marke Land Rover in die Waschanlage ein, stellte das Fahrzeug ordnungsgemäß ab, verließ die Waschhalle und startete den Waschvorgang. Während des Waschvorgangs wurde der zur serienmäßigen Fahrzeugausstattung gehörende, an der hinteren Dachkante angebrachte Heckspoiler abgerissen, wodurch das Fahrzeug beschädigt wurde. Deswegen verlangt der Kläger von der Beklagten Schadensersatz in Höhe von insgesamt 3.219,31 €, eine Nutzungsausfallentschädigung (119 €) für den Tag der Fahrzeugreparatur sowie die Freistellung von Rechtsanwaltskosten.
Das Amtsgericht hat die Beklagte antragsgemäß verurteilt. Auf die Berufung der Beklagten hat das Landgericht die Klage abgewiesen.
Entscheidung des Bundesgerichtshofs:
Die Revision des Klägers war erfolgreich. Sie führte zur Wiederherstellung des amtsgerichtlichen Urteils.
Dem Kläger steht wegen der Beschädigung seines Fahrzeugs gegen die Beklagte ein vertraglicher Schadensersatzanspruch in der geltend gemachten Höhe zu. Der Vertrag über die Reinigung eines Fahrzeugs umfasst als Nebenpflicht die Schutzpflicht des Waschanlagenbetreibers, das Fahrzeug des Kunden vor Beschädigungen beim Waschvorgang zu bewahren. Geschuldet sind diejenigen Maßnahmen, die ein umsichtiger und verständiger, in vernünftigen Grenzen vorsichtiger Anlagenbetreiber für notwendig und ausreichend halten darf, um andere vor Schäden zu bewahren. Hierbei trägt grundsätzlich der Gläubiger die Beweislast dafür, dass der Schuldner eine ihm obliegende Pflicht verletzt und diese Pflichtverletzung den Schaden verursacht hat. Abweichend davon hat sich allerdings der Schädiger nicht nur hinsichtlich seines Verschuldens zu entlasten, sondern muss er auch darlegen und gegebenenfalls beweisen, dass ihn keine Pflichtverletzung trifft, wenn die für den Schaden in Betracht kommenden Ursachen allein in seinem Obhuts- und Gefahrenbereich liegen.
Ein solcher Fall ist hier gegeben. Die Ursache für die Beschädigung des klägerischen Fahrzeugs liegt allein im Obhuts- und Gefahrenbereich der Beklagten. Nach den außer Streit stehenden Feststellungen des Berufungsgerichts kam es zu der Beschädigung, weil die Waschanlage konstruktionsbedingt nicht für das serienmäßig mit einem Heckspoiler ausgestattete Fahrzeug des Klägers geeignet war. Das Risiko, dass eine Autowaschanlage für ein marktgängiges Fahrzeug wie dasjenige des Klägers mit einer serienmäßigen Ausstattung wie dem betroffenen Heckspoiler konstruktionsbedingt nicht geeignet ist, fällt in den Obhuts- und Gefahrenbereich des Anlagenbetreibers.
Daneben kommt keine aus dem Obhuts- und Gefahrenbereich des Klägers stammende Ursache für den Schaden in Betracht. Nach den Feststellungen des Berufungsgerichts war das Fahrzeug des Klägers vor dem Einfahren in die Waschanlage unbeschädigt und der serienmäßige Heckspoiler ordnungsgemäß angebracht sowie fest mit dem Fahrzeug verbunden. Der Kläger, dem mit seinem marktgängigen, serienmäßig ausgestatteten und in ordnungsgemäßem Zustand befindlichen Fahrzeug von der Beklagten als Betreiberin die Nutzung der Waschanlage eröffnet wurde, konnte berechtigt darauf vertrauen, dass sein Fahrzeug so, wie es ist, also mitsamt den serienmäßig außen angebrachten Teilen, unbeschädigt aus dem Waschvorgang hervorgehen werde. Dieses Vertrauen war insbesondere unter dem Gesichtspunkt der Risikobeherrschung gerechtfertigt, weil nur der Anlagenbetreiber Schadensprävention betreiben kann, wohingegen der Kunde regelmäßig sein Fahrzeug der Obhut des Betreibers überantwortet, ohne die weiteren Vorgänge selbst beeinflussen zu können. Anders als der Betreiber, der es in der Hand hat, bestimmte Fahrzeugmodelle, die er für schadensanfällig hält, von der Benutzung seiner Anlage auszuschließen und dadurch das Risiko einer Beschädigung zu verringern, ist es dem Kunden regelmäßig nicht möglich, solche Waschanlagen von vornherein zu identifizieren und zu meiden, die konstruktionsbedingt nicht geeignet sind, sein Fahrzeug ohne ein erhöhtes Schadensrisiko zu reinigen.
Die hiernach gegen sie streitende Vermutung der Pflichtverletzung hat die Beklagte nicht widerlegt und den ihr obliegenden Nachweis fehlenden Verschuldens nicht geführt. Ihr Vortrag, die Gefahr der Schädigung des serienmäßig angebrachten Heckspoilers sei ihr nicht bekannt gewesen, weil sich ein solcher Vorfall bislang in der Waschanlage nicht ereignet habe, sie habe diese Gefahr auch nicht kennen müssen und hierfür keine konkreten Anhaltspunkte gehabt, eine hypothetische Erkundigung hätte zudem an dem konkreten Schadensereignis nichts geändert, genügt zu ihrer Entlastung nicht. Es fehlt schon an der Darlegung, ob die Beklagte - die sich ausweislich der in der Waschanlage angebrachten Schilder der Gefahr einer Beschädigung insbesondere von Heckspoilern grundsätzlich bewusst war - sich darüber informiert hat, für welche Fahrzeuge ihre Anlage konstruktionsbedingt ungeeignet ist und daher ein erhöhtes Schadensrisiko besteht. Ebenso wenig ist dargetan, dass sie keine Informationen bekommen hätte, auf deren Grundlage die Beschädigung des klägerischen Fahrzeugs vermieden worden wäre.
Die Beklagte hat sich ferner nicht durch einen ausreichenden Hinweis auf die mit dem Waschvorgang verbundenen Gefahren entlastet. Das in der Waschanlage angebrachte, mit "Allgemeine Geschäftsbedingungen Autowaschanlagen/Portalwaschanlagen" überschriebene Schild reicht als Hinweis schon deshalb nicht aus, weil es ausdrücklich nur "nicht ordnungsgemäß befestigte Fahrzeugteile oder (…) nicht zur Serienausstattung des Fahrzeugs gehörende Fahrzeugteile (z.B. Spoiler…)" erwähnt. Nicht nur fällt der Heckspoiler des klägerischen Fahrzeugs nicht hierunter, weil er zur Serienausstattung gehört und ordnungsgemäß befestigt war, sondern die ausdrückliche Beschränkung auf nicht serienmäßige Fahrzeugteile ist sogar geeignet, bei dem Nutzer das Vertrauen zu begründen, mit einem serienmäßig ausgestatteten Pkw die Anlage gefahrlos benutzen zu können. Ebenso wenig stellt der darunter befindliche Zettel mit der Aufschrift "Keine Haftung für Anbauteile und Heckspoiler!" einen ausreichenden Hinweis dar. Angesichts des darüber befindlichen Schildes mit der ausdrücklichen Beschränkung auf nicht zur Serienausstattung gehörende Teile wird für den Waschanlagennutzer schon nicht hinreichend klar, dass - gegebenenfalls - von diesem Hinweis auch die Nutzung der Waschanlage durch Fahrzeuge mit serienmäßigem Heckspoiler erfasst sein soll.
Vorinstanzen:
AG Ibbenbüren - Urteil vom 20. Dezember 2022 - 3 C 268/21
LG Münster - Urteil vom 14. Februar 2024 - 1 S 4/23
Das Bundeskabinett hat das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) verabschiedet.
Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastrukturen, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen.
In Folge des völkerrechtswidrigen russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicherheit in Deutschland 2022 die IT-Sicherheitslage insgesamt zugespitzt. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rahmen des Krieges. Zudem haben auch Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren der digitalen Welt ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Dieser Entwurf steht im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.
B. Lösung, Nutzen
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:
– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro und im Jahr 2023 voraussichtlich bei 205,9 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigten. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.
EuGH
Urteil vom 05.03.2024 C-755/21 P
Kočner ./. Europol
Der EuGH hat entschieden, dass Europol und der jeweilige Mitgliedstaat bei Zusammenarbeit gesamtschuldnerisch für Schäden aufgrund widerrechtlicher Datenverarbeitung auf Schadensersatz haften.
Die Pressemitteilung des EuGH: Datenverarbeitung: Europol und der Mitgliedstaat, in dem aufgrund einer widerrechtlichen Datenverarbeitung im Rahmen der Zusammenarbeit zwischen Europol und diesem Mitgliedstaat ein Schaden eingetreten ist, haften für diesen Schaden gesamtschuldnerisch
Die betroffene Person, die von Europol oder dem betreffenden Mitgliedstaat vollständigen Ersatz ihres Schadens begehrt, muss lediglich nachweisen, dass anlässlich der Zusammenarbeit zwischen diesen beiden Stellen eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Es ist nicht erforderlich, dass sie darüber hinaus nachweist, welcher dieser Stellen die widerrechtliche Verarbeitung zuzurechnen ist.
Nach der Ermordung des slowakischen Journalisten Ján Kuciak und von dessen Verlobter Martina Kušnírová am 21. Februar 2018 in der Slowakei führten die slowakischen Behörden umfangreiche Ermittlungen durch. Auf Ersuchen dieser Behörden extrahierte die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) die Daten, die auf zwei mutmaßlich Herrn Marian Kočner gehörenden Mobiltelefonen gespeichert waren. Europol übermittelte den genannten Behörden sodann ihre wissenschaftlichen Berichte und übergab eine Festplatte mit den extrahierten verschlüsselten Daten. Im Mai 2019 veröffentlichte die slowakische Presse Informationen betreffend Herrn Kočner, die aus dessen Mobiltelefonen stammten, darunter Transkriptionen seiner intimen Kommunikation. Zudem wies Europol in einem ihrer Berichte darauf hin, dass Herr Kočner seit 2018 wegen des Verdachts einer Finanzstraftat in Haft sei und dass sein Name u. a. unmittelbar mit den sogenannten „Mafia-Listen“ und den „Panama Papers“ in Zusammenhang stehe.
Herr Kočner erhob beim Gericht der Europäischen Union gegen Europol Klage auf eine Entschädigung in Höhe von 100 000 Euro als Ersatz des immateriellen Schadens, den er seiner Ansicht nach aufgrund der rechtswidrigen Verarbeitung seiner Daten erlitten hat. Mit Urteil vom 29. September 20211 wies das Gericht die Klage ab. Es kam zu dem Ergebnis, dass Herr Kočner zum einen keinen Beweis für einen Kausalzusammenhang zwischen dem behaupteten Schaden und dem Verhalten von Europol erbracht habe und zum anderen nicht nachgewiesen habe, dass die sogenannten „Mafia-Listen“ von Europol erstellt und geführt worden seien. Herr Kočner hat daraufhin beim Gerichtshof ein Rechtsmittel eingelegt.
Der Gerichtshof stellt in seinem Urteil fest, dass das Unionsrecht eine Regelung der gesamtschuldnerischen Haftung Europols und des Mitgliedstaats, in dem der Schaden infolge einer widerrechtlichen Datenverarbeitung im Rahmen einer Zusammenarbeit zwischen Europol und diesem Mitgliedstaat eingetreten ist, einführt. In einer ersten Stufe kann die gesamtschuldnerische Haftung Europols bzw. des betreffenden Mitgliedstaats vor dem Gerichtshof der Europäischen Union bzw. vor dem zuständigen nationalen Gericht geltend gemacht werden. Gegebenenfalls kann eine zweite Stufe vor dem Verwaltungsrat von Europol zur Klärung der Frage folgen, ob „letztlich“ Europol und/oder der betreffende Mitgliedstaat für den einer natürlichen Person gewährten Schadensersatz „zuständig“ sind bzw. ist.
Zur Geltendmachung dieser gesamtschuldnerischen Haftung muss die betroffene natürliche Person lediglich im Rahmen der ersten Stufe nachweisen, dass anlässlich der Zusammenarbeit zwischen Europol und dem betreffenden Mitgliedstaat eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Anders als das Gericht entschieden hat, ist es nicht erforderlich, dass diese Person darüber hinaus nachweist, welcher dieser beiden Stellen die widerrechtliche Verarbeitung zuzurechnen ist. Folglich hebt der Gerichtshof das Urteil des Gerichts in diesem Punkt auf.
Der Gerichtshof entscheidet den Rechtsstreit selbst und urteilt, dass die widerrechtliche Datenverarbeitung, die in der Weitergabe von Daten betreffend intime Gespräche zwischen Herrn Kočner und seiner Freundin an Unbefugte zum Ausdruck kam, dazu führte, dass diese Daten durch die slowakische Presse der Öffentlichkeit zugänglich gemacht wurden. Er stellt fest, dass diese widerrechtliche Verarbeitung das Recht von Herrn Kočner auf Achtung seines Privat- und Familienlebens sowie seiner Kommunikation verletzt hat und seine Ehre und sein Ansehen beeinträchtigt hat, wodurch ihm ein immaterieller Schaden entstanden ist. Der Gerichtshof spricht Herrn Kočner eine Entschädigung in Höhe von 2 000 Euro als Ersatz dieses Schadens zu.
