BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH
Urteil vom 08.09.2025
C-413/23 P
EDSB ./. SRB (Begriff der personenbezogenen Daten)

Der EuGH hat entschieden, dass pseudpseudonymisierte Daten personenbezogene Daten sein können, wenn der Betroffene nach den Umständen des Einzelfalls identifizierbar ist

Die Pressemitteilung des EuGH:
Der Gerichtshof hebt das Urteil des Gerichts, mit dem die Entscheidung des Europäischen Datenschutzbeauftragten für nichtig erklärt wurde, auf.

Nach der Abwicklung von Banco Popular Español erließ der Einheitliche Abwicklungsausschuss (Single Resolution Board, SRB) am 7. Juni 2017 eine vorläufige Entscheidung darüber, ob ehemaligen Anteilseignern und Gläubigern dieser Bank aufgrund ihrer Abwicklung eine Entschädigung gewährt werden müsse. Da die betroffenen Personen vor Erlass dieser Entscheidung nicht gehört wurden, führte der SRB zu einem späteren Zeitpunkt ein Verfahren durch, in dem diese Personen zu seiner vorläufigen Entscheidung Stellung nehmen konnten. Im Rahmen dieses Verfahrens übermittelte der SRB bestimmte Stellungnahmen als pseudonymisierte Daten an Deloitte, eine Wirtschaftsprüfungs- und Beratungsgesellschaft, die er mit der Durchführung einer Bewertung der Auswirkungen der Abwicklung auf die Anteilseigner und Gläubiger beauftragt hatte.

Mehrere betroffene Anteilseigner und Gläubiger legten beim Europäischen Datenschutzbeauftragten (EDSB) Beschwerden ein, da der SRB sie nicht darüber informiert habe, dass sie betreffende Daten an Dritte, nämlich an Deloitte, übermittelt würden. Der EDSB vertrat die Auffassung, dass Deloitte im vorliegenden Fall eine Empfängerin personenbezogener Daten der Beschwerdeführer sei. Er stellte außerdem fest, dass der SRB gegen die in der Verordnung 2018/17251 vorgesehene Informationspflicht verstoßen habe. Daraufhin erhob der SRB beim Gericht der Europäischen Union Nichtigkeitsklage gegen die Entscheidung des EDSB. Das Gericht gab dieser Klage teilweise statt und erklärte die in Rede stehende Entscheidung für nichtig.

Der Gerichtshof, der mit einem Rechtsmittel des EDSB befasst ist, hebt das Urteil des Gerichts auf und verweist die Sache an dieses zurück.

Als Erstes gelangt der Gerichtshof zu dem Ergebnis, dass das Gericht einen Rechtsfehler begangen hat, als es festgestellt hat, dass der EDSB für die Schlussfolgerung, dass sich die Informationen, die sich aus den an Deloitte übermittelten Stellungnahmen ergäben, im Sinne der Verordnung 2018/1725 auf die Personen „bezögen“, die diese Stellungnahmen abgegeben hätten, den Inhalt, den Zweck und die Auswirkungen dieser Stellungnahmen hätte prüfen müssen, obwohl unstreitig war, dass diese die persönliche Meinung oder Sichtweise ihrer Verfasser zum Ausdruck brachten. Die Auslegung des Gerichts verstößt nämlich gegen den besonderen Charakter von persönlichen Meinungen oder Sichtweisen, die als Ausdruck der Gedanken einer Person zwangsläufig eng mit dieser Person verknüpft sind.

Als Zweites bestätigt der Gerichtshof die Feststellung des Gerichts, dass pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 nicht in jedem Fall und für jede Person als personenbezogene Daten zu betrachten sind. Aus den Bestimmungen dieser Verordnung in der Auslegung durch die Rechtsprechung ergibt sich nämlich, dass die Pseudonymisierung – je nach den Umständen des Falles – andere Personen als den Verantwortlichen tatsächlich daran hindern kann, die betroffene Person zu identifizieren, so dass diese für sie nicht oder nicht mehr identifizierbar ist. In diesem Zusammenhang verweist der Gerichtshof ausdrücklich auf die Lehren aus der Rechtsprechung zur Beurteilung der Identifizierbarkeit der betroffenen Person in Situationen, in denen sich die zur Identifizierung dieser Person erforderlichen Informationen nicht in den Händen verschiedener Personen befanden.

Als Drittes gelangt der Gerichtshof zu dem Ergebnis, dass das Gericht mit der Feststellung, dass der EDSB für die Beurteilung, ob der SRB seine Informationspflicht erfüllt habe, hätte prüfen müssen, ob die an Deloitte übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten, einen Rechtsfehler begangen hat. Dem Gerichtshof zufolge ergibt sich aus der Rechtsprechung, dass sich die maßgebliche Sicht für die Beurteilung der Identifizierbarkeit der betroffenen Person wesentlich nach den Umständen der Datenverarbeitung im Einzelfall richtet. Zu dieser Informationspflicht weist der Gerichtshof darauf hin, dass sie im Rechtsverhältnis zwischen der betroffenen Person und dem Verantwortlichen besteht und ihr Gegenstand daher in den mit dieser Person zusammenhängenden Informationen in der Form besteht, wie sie dem Verantwortlichen übermittelt wurden, also vor einer möglichen Übermittlung an Dritte. Folglich ist die Identifizierbarkeit der betroffenen Person aus der Sicht des Gerichtshofs zu dem Zeitpunkt des Erhebens der Daten und aus der Sicht des Verantwortlichen zu beurteilen. Die dem SRB obliegende Informationspflicht entstand somit vor der Übermittlung der fraglichen Stellungnahmen und unabhängig davon, ob es sich dabei aus der Sicht von Deloitte nach ihrer etwaigen Pseudonymisierung um personenbezogene Daten handelte oder nicht.

Den Volltext der Entscheidung finden Sie hier:

OLG Oldenburg,
Urteil vom 24.04.2025
8 U 103/23

Das OLG Oldenburg hat entschieden, dass kein Anspruch gegen die Bank aus § 675u Satz 2 BGB nach einem Phishing-Vorfall besteht, wenn sich dem Kontoinhaber die betrügerische Absicht einer Phishing-E-Mail aufdrängen musste.

Die Pressemitteilungt des Gerichts:
OLG Oldenburg zur Haftung einer Bank nach einem sogenannten Phishing-Vorfall

Vorsicht vor sogenannten Phishing E-Mails! Dies hat wiederum ein Fall gezeigt, den der 8. Zivilsenat des Oberlandesgerichts Oldenburg in zweiter Instanz zu entscheiden hatte.

Geklagt hatte ein Ehepaar aus dem Ammerland, von dessen Konto ein mittlerer fünfstelliger Betrag verschwunden war. Diesen Betrag verlangten die Klägerin und der Kläger von der kontoführenden Bank mit der Begründung zurück, dass die entsprechenden Zahlungsvorgänge von ihnen nicht autorisiert worden seien. Bei nicht autorisierten Zahlungsvorgängen sieht § 675u Satz 2 BGB grundsätzlich eine Erstattungspflicht des Zahlungsdienstleisters – hier also der Bank – vor.

Passiert war nach den gerichtlichen Feststellungen Folgendes: Die Ehefrau, die spätere Klägerin, hatte eines Tages im Jahr 2021 eine E-Mail erhalten, die scheinbar von dem Bankinstitut stammte, bei dem die Eheleute ihr gemeinsames Konto hatten. In dieser E-Mail wurde sie aufgefordert, binnen zwei Tagen ihre PushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung erforderlich sein würde. Die Klägerin klickte auf den in der E-Mail angegebenen Link, der sie zu einer – wie sich später herausstellte – gefälschten Website führte. Dort gab sie zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTAN-Verfahren auf ihr Mobiltelefon. Am nächsten Tag bemerkte die Klägerin, dass durch zwei Echtzeit-Überweisungen insgesamt knapp 41.000 Euro von ihrem Gemeinschaftskonto auf ein Konto in Estland transferiert worden waren.

Das in erster Instanz zuständige Landgericht Oldenburg wies die Zahlungsklage der Eheleute gegen die Bank im Jahr 2023 ab. Zwar war das Landgericht davon überzeugt, dass die Eheleute die Zahlungsvorgänge in der Tat nicht autorisiert hatten; vielmehr seien die Überweisungen und auch die im Vorfeld erfolgte Erhöhung des Tageslimits durch unbekannte Täter ohne Wissen und Wollen der Kläger ausgelöst worden. Allerdings bestehe im Ergebnis dennoch kein Anspruch der Eheleute auf Erstattung der Zahlungsbeträge gemäß § 675u Satz 2 BGB gegen die Bank, weil diese den Eheleuten wiederum einen Schadensersatzanspruch entgegenhalten könne; denn die Ehefrau habe grob fahrlässig im Sinne von § 675v Abs. 3 Nr. 2 BGB gehandelt, was sich der Ehemann gemäß § 278 BGB zurechnen lassen müsse. Nach der durchgeführten Beweisaufnahme sei, so das Landgericht, nämlich davon auszugehen, dass die Klägerin auf der gefälschten Website nicht nur ihr Geburtsdatum und ihre EC-Karten-Nummer, sondern auch ihren Anmeldenamen und ihre PIN eingegeben habe. Laut dem gerichtlich bestellten Sachverständigen sei es weder technisch möglich noch plausibel, dass die unbekannten Täter ohne diese Angaben die Überweisungen hätten vornehmen können. Damit aber habe die Klägerin die Sorgfaltspflichten aus dem Vertrag mit der Bank grob verletzt, nach denen sie die zur Authentifizierung bereitgestellten personalisierten Merkmale vor unbefugtem Zugriff zu schützen hatte.

Auf die Berufung der Eheleute hat der 8. Zivilsenat des Oberlandesgerichts die Entscheidung des Landgerichts bestätigt. Die Klägerin hatte in ihren Anhörungen vor dem Oberlandesgericht wiederum nicht zu 100 Prozent ausschließen können, dass sie neben ihrem Geburtsdatum und ihrer EC-Karten-Nummer noch weitere Daten auf der gefälschten Website eingegeben hatte. Auch aufgrund der Ausführungen des in zweiter Instanz erneut angehörten Sachverständigen erachtete das Oberlandesgericht die Folgerung des Landgerichts, die Klägerin habe auf der gefälschten Website auch ihren Anmeldenamen und ihre PIN eingegeben, als in jeder Hinsicht plausibel. Der Senat stellte darüber hinaus eine weitere Sorgfaltspflichtverletzung der Ehefrau fest, weil diese nach dem Ergebnis der ergänzenden Beweisaufnahme auch den ihr per SMS zugeschickten Registrierungs-Link beziehungsweise den entsprechenden Registrierungs-Code für die Neuregistrierung zum PushTAN-Verfahren entweder weitergeleitet oder auf sonstige Weise an die Täter weitergegeben hatte. Zumindest dies sei als grob fahrlässig zu bewerten. Darüber hinaus hätten sich der Klägerin aus mehreren Gründen Zweifel an der Seriosität der E-Mail aufdrängen müssen; unter anderem wurden die Kläger hierin nicht namentlich adressiert, sondern mit „Sehr geehrter Kunde“ angesprochen. Außerdem enthielt die E-Mail mehrere Rechtschreibfehler. Schließlich müsse sich die Bank auch kein Mitverschulden zurechnen lassen; insbesondere sei es zum damaligen Zeitpunkt nicht geboten gewesen, in die Registrierungs-SMS einen – inzwischen von der Beklagten verwendeten – Warnhinweis aufzunehmen, wonach die SMS nicht an dritte Personen weitergeleitet werden darf.

Mithin erhalten die Kläger ihre verlorenen Gelder nicht von ihrer Bank zurück.

Die Entscheidung des Oberlandesgerichts ist rechtskräftig.

Oberlandesgericht Oldenburg, 24.04.2025 – 8 U 103/23

AG München
Urteil vom 08.01.2025
271 C 16677/24

Das AG München hat entschieden, dass kein Anspruch auf Schadensersatz nach einer Phishing-Attacke im Zusammenhang mit dem Mastercard 3D-Secure-Verfahren besteht, wenn eine Weitergabe der SMS-Tan an Dritte erfolgte.

Die Pressemitteilung des Gerichts:
Phishing bei Reisebuchung - Kein Anspruch auf Rückzahlung abgebuchter Kreditkartenbeträge

Der Ehemann der Münchner Klägerin wollte am Samstag, den 06.01.2024 für seine Ehefrau und sich eine Reise im Internet buchen. Hierzu gab er auf einer Homepage „Check24“ die Daten der Kreditkarte seiner Ehefrau ein. Kurz darauf erschien eine Mitteilung, dass ein Betrag in Höhe von 318,99 € vorgemerkt sei, ehe weitere Mitteilungen über vergleichbare Vormerkungen erschienen. Die Münchnerin veranlasste noch am selben Abend telefonisch die Sperrung der Kreditkarte. Am Montag, den 08.01.2024 sind sechs unberechtigte Abbuchungen zu je 318,99 € für Giftcards vom Konto der Klägerin erfolgt, insgesamt 1.953,29 €.

Zur Autorisierung der Transaktionen fand das Mastercard 3D-Secure-Verfahren Anwendung. Zur Aktivierung dieses Verfahrens auf einem weiteren Gerät, übersandte die beklagte Bank am 06.01.2024 eine SMS-TAN an die von der Klägerin bei der Beklagten hinterlegte Mobilfunknummer. Die an die Klägerin versandte SMS-TAN wurde dann auf dem weiteren mobilen Endgerät, auf dem auch die Banking-App freigeschaltet wurde, am 06.01.2024 eingegeben und damit das Secure-Verfahren aktiviert.

Die Münchnerin behauptete, dass sie diese Abbuchungen nicht autorisiert habe. Bei der Buchung sei sie nicht nach PIN oder Passwort gefragt worden, sie habe auch nirgendwo eine SMS-Tan eingegeben. Es sei nicht erkannt worden, dass es sich möglicherweise um eine Fake-Website handelte.

Die beklagte Bank ging davon aus, dass die Münchnerin die SMS-Tan an einen Dritten weitergegeben haben muss, da eine Freigabe der Buchungen anders technisch nicht möglich gewesen sei und verweigerte die Zahlung. Die Münchnerin verklagte die Bank daher vor dem Amtsgericht München auf Rückzahlung der 1.953,29 €.

Das Amtsgericht München wies die Klage mit Urteil vom 08.01.2025 ab. Das Gericht ging zwar davon aus, dass die Abbuchungen nicht von der Klägerin autorisiert waren, sondern von Dritten getätigt wurden. Aufgrund der Beweisaufnahme war das Gericht jedoch davon überzeugt, dass die Klägerin die SMS-Tan grob fahrlässig an Dritte weitergegeben haben muss, weshalb ein Schadensersatzanspruch der Bank gegen die Klägerin in gleicher Höhe bestehe, mit dem die Bank aufgerechnet habe. Insoweit führte es u.a. aus:

„Der Vortrag der Beklagten, dass diese in ihren Systemen feststellen konnte, dass das Mastercard 3D-Secure Verfahren per Banking App für die Kreditkarte der Klägerin am 06.01.2024 um 13:30 Uhr aktiviert wurde, und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Klägerin […] versandt wurde, wurde durch Inaugenscheinnahme des Mobiltelefons der Klägerin bestätigt. Dort befindet sich […] eine SMS vom 06.01.2024 13:29 Uhr mit dem Inhalt: „[…] ist Ihre TAN für die Aktivierung von Mastercard Identity Check vom 06.01.2024 13:44 Uhr.“ Der Eingang der SMS um 3:29 Uhr war im eingesehenen Nachrichtenverlauf […] um 13:29 Uhr dokumentiert und wird auch durch das als […] vorgelegte IT-Protokoll belegt. Der Vortrag der Klägerin, keine SMS-TAN erhalten zu haben und dass ihr Mobiltelefon nicht in die Freigabe involviert war, erwies sich damit als widerlegt.

Die Beklagte hat unbestritten vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Klägerin versandten SMS-Tan ein Fremdzugriff technisch ausgeschlossen ist. Es wurde ein neues Gerät im Online-Banking der Klägerin als Freigabeinstrument im Rahmen des 2-Faktor-Authentifizierungsverfahrens hinterlegt. Hierzu war – technisch zwingend – die Eingabe der SMS-Tan erforderlich. […] Das Gericht ist daher davon überzeugt, dass die Klägerin durch Preisgabe der SMS-Tan Dritten eine Registrierung eines Geräts ermöglicht hat, wobei die Preisgabe persönlicher Sicherheitsmerkmale an Dritte gemäß den vertraglichen Bestimmungen untersagt war. […]

Das Verhalten der Klägerin bewertet das Gericht als grob fahrlässig. Es ist eine Sache, wenn man seine Kreditkartendaten offenbart. Diese werden bei jeder Verwendung offenbart und können auch von der Karte abgelesen werden. […] Die Weitergabe eines im Rahmen einer Zwei-Faktor-Autorisierung erhaltenden Zugangscodes kann nicht damit gleichgesetzt werden. Mit dieser Weitergabe hilft der Nutzer (Kläger) die Sicherheitsarchitektur grundlegend auszuhebeln. Es muss jedem verständigen Nutzer solcher Kreditkarten klar sein, welches Risiko er mit der Weitergabe derartiger Daten schafft. Die Klägerin mag dies nicht bewusst getan haben und es mag […] auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären.“

Urteil des Amtsgerichts München vom 08.01.2025
Aktenzeichen: 271 C 16677/24
Das Urteil ist nicht rechtskräftig.

AG München
Urteil vom 21.01.2025
222 C 15098/24

Das AG München hat entschieden, dass kein Erstattungsanspruch gegen die Bank nach Besuch einer Phishing-Seite besteht, wenn der Bankkunde grob fahrlässig gehandelt hat.

Die Pressemitteilung des Gerichts:
Phishing bei Kleinanzeigen

Kein Anspruch gegen die Bank auf Ersatz nicht autorisierter Abbuchungen bei grober Fahrlässigkeit
Der Kläger bot Anfang August 2023 über das Portal Kleinanzeigen.de einen Gegenstand zum Verkauf an, woraufhin der Kläger von einem vermeintlichen Kaufinteressenten kontaktiert wurde. Dieser veranlasste den Kläger dazu, seine Kreditkartendaten auf einer Phishing-Seite einzugeben.

Am 02.08.2023 um 15:08 Uhr erhielt der Kläger auf seinem Handy schließlich eine mobileTAN per SMS für die Aktivierung eines neuen Geräts. Dieses Gerät wurde von dem Betrüger bei der beklagten Bank per Banking-App kurz darauf auch registriert.

Am 02.08.2023 um 15:11 Uhr und 21:16 Uhr erfolgten zwei Abbuchungen in Höhe von 2.200 € und 207,25 €. Der Kläger veranlasste sofort eine Kartensperrung und verlangte von der Bank die Rückbuchung der beiden Abbuchungen. Da die Bank dies verweigerte, verklagte der Kläger sie vor dem Amtsgericht München auf Zahlung von 2.407,25 € nebst Zinsen.

Der Kläger behauptete, die mit der SMS erhaltene mobileTAN nicht weitergegeben zu haben und auch sonst nirgendwo eingegeben zu haben.

Das Amtsgericht wies die Klage mit Urteil vom 21.01.2025 ab. Insoweit führte es aus:

„Es liegt zur Überzeugung des Gerichts eine grob fahrlässige Sorgfaltspflichtverletzung [des Klägers] vor. Der Kläger hat in grober Weise die im (Zahlungs-)Verkehr zu fordernde Sorgfalt nicht an den Tag gelegt, indem er seine Kreditkartendaten sowie seine persönlichen Sicherheitsmerkmale an Dritte herausgegeben hat. Jeder auch nur durchschnittlich aufmerksame Marktteilnehmer weiß, dass Kreditkartendaten und persönliche Sicherheitsmerkmale wie SMS-TANs keinen Dritten, insbesondere keinen Kaufinteressenten auf Kleinanzeigen, mitgeteilt werden dürfen. […]

Das Gericht geht davon aus, dass der Kläger auf der Phishing-Seite „sicher bezahlen“ die erhaltene SMS-TAN zur Freigabe eines neuen Endgeräts eingegeben hat. Mit Hilfe dieser TAN konnte der Täter dann ein neues Endgerät registrieren und die streitgegenständlichen Verfügungen ausführen.

Der Kläger war unstreitig auf der Phishing-Seite „sicher bezahlen“ und wurde dort aufgefordert zur Eingabe seiner Kreditkartendetails. Der Kläger hat auch unstreitig am 02.08.2023 um 15:08 Uhr per SMS eine TAN erhalten zur Registrierung eines neuen Endgeräts. Daher sieht das Gericht in dieser Konstellation eine sekundäre Darlegungslast auf der Klägerseite dazu, wie die TAN zeitnah an den Täter gelangt ist, wenn nicht dadurch, dass der Kläger sie auf der Phishing-Seite angegeben hat. […] Der Kläger ist als Verkäufer auf der Plattform [Kleinanzeigen.de] aufgetreten. Warum man als Verkäufer und damit als Person, die Geld erhalten soll, eine (vorgetäuschte) Zwei-Faktor-Freigabe erteilt, erschließt sich dem Gericht nicht. Der Kläger mag ggfs. nicht bewusst die per SMS erhaltene TAN auf der Phishing-Seite eingegeben haben und es mag ihm auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären. […] Es darf von jedem verständigen Nutzer der Bezahlstruktur im Internet erwartet werden, dass er die grundlegende Bedeutung derartiger Freigabecodes versteht.“

Urteil des Amtsgerichts München vom 21.01.2025
Aktenzeichen: 222 C 15098/24
Das Urteil ist rechtskräftig.

LG Traunstein
Urteil vom 08.07.2024
9 O 173/24

Das LG Traunstein hat entschieden, dass der Nutzer eines weltweit agierenden sozialen Netzwerks nach der DSGVO keinen Anspruch auf Unterlassung der Weitergabe und Übermittlung personenbezogener Daten in die USA hat.

Aus den Entscheidungsgründen:
Die Klage ist nur teilweise zulässig.

I. Das Landgericht Traunstein ist sachlich nach §§ 1 ZPO, 71 Abs. 1, 23 GVG, international nach Art. 79 Abs. 2 S. 2, 82 Abs. 6 DSGVO und örtlich nach § 44 Abs. 1 S. 2 BDSG zuständig.

II.Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der auf die Feststellung der Ersatzpflicht der Beklagten gegenüber der Klagepartei für künftige Schäden gerichtete Antrag ist nicht hinreichend bestimmt gern. § 253 Abs. 2 Nr. 2 ZPO. Der Antrag bezieht sich auf „künftige Schäden“, „die der Klägerseite (…) entstanden sind und/oder noch entstehen werden.„Auch unter Berücksichtigung des gesamten klägerischen Vorbringens ist für das Gericht nicht zu erkennen, ob sich der Antrag nur auf künftige Schäden oder auch bereits entstandene, aber ggfs. noch nicht bekannte Schäden erstrecken soll.

III. Hinsichtlich des Feststellungsantrags besteht auch kein ausreichendes Feststellungsinteresse (§ 256 Abs. 1 ZPO). Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH NJW-RR 2007, 601). Welcher Schaden der Klagepartei dadurch entstehen soll, dass die Beklagte rechtswidrig ihre MessengerNachrichten überwacht, OffF Daten verarbeitet und Daten in die USA übermitteln sollte, ist für das Gericht nicht ersichtlich und wird auch nicht plausibel dargelegt.

IV. Der Unterlassungsantrag zu Ziff. 4 a) der Klageanträge ist nicht hinlänglich bestimmt, § 253 Abs. 2 Nr. 2 ZPO. Das Wort „anlasslos“ schränkt das Unterlassungsbegehren in objektiv nicht abgrenzbarer Weise ein. Ein entsprechender Ausspruch wäre nicht vollstreckungsfähig.

V. Hinsichtlich des Unterlassungsantrags zu Ziff. 4b) fehlt der Klagepartei das Rechtsschutzbedürfnis. Die Klagepartei hat die Möglichkeit, über die Einstellungen die Behandlung der „Off-...- Daten“ bzw. „Aktivitäten außerhalb der ...-Technologien“ selbst zu steuern. Dies muss der Klagepartei spätestens aufgrund des Beklagtenvortrags im Rechtsstreit auch bekannt sein. Da ihr ein einfacherer Weg zur Erreichung ihres Rechtsschutzziels zur Verfügung steht, fehlt ihr für eine Unterlassungsklage das Rechtsschutzbedürfnis.

VI. Der Antrag auf Löschung „anlasslos gespeicherter“ Daten (Ziff. 5a und b der Klageanträge) ist aus den oben unter Ziff. IV genannten Erwägungen wegen Unbestimmtheit unzulässig.

VII. Im Übrigen ist die Klage zulässig.
B.

Die Klage ist – soweit sie unzulässig ist, jedenfalls auch – unbegründet.
23
I. Der Klagepartei stehen keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich des ...-Messenger-Dienstes zu. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO.

Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speichert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht.

II. Der Klagepartei stehen auch keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen hinsichtlich der “Off-...-Daten“ zu.

1. Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden. Die Klagepartei ist bei „...“ angemeldet, so dass sie selbst die entsprechenden Einstellungen vornehmen kann. Wie es sich bei Personen verhält, die nicht bei „...“ angemeldet sind, kann dahinstehen, weil die Klagepartei nicht zu diesem Personenkreis gehört. Dass die Schaltfläche „Alle Cookies erlauben“ blau eingefärbt ist, stellt keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (datenschutzfreundliche Voreinstellung) dar. Denn es handelt sich um keine „Voreinstellung“, sondern um eine übliche und erlaubte optische Hervorhebung, die die aktive Entscheidungsmöglichkeit des Nutzers unberührt lässt. Soweit die Beklagte Informationen von Cookies und ähnlichen Technologien von Dritten erhält, verarbeitet sie diese nach eigenen Angaben ohne Zustimmung des Nutzers nur zu Sicherheits- und Integritätszwecken, was durch Art. 6 Abs. 1 Buchst. b ff. DSGVO bzw. Art. 9 Abs. 2 Buchst. B ff. DSGVO gedeckt ist. Substanziell Entgegenstehendes wurde durch die Klagepartei nicht in den Rechtsstreit getragen.

2. Soweit die Beklagte bis zum Beschluss des Bundeskartellamts vom 06.02.2019 (s. Pressemitteilung vom 07.02.2019, Anlage KE-4) die „Off-...-Daten“ ohne eine erforderliche Einwilligung verarbeitet haben sollte, wird schon nicht vorgetragen, dass die Beklagte „Off ... Daten“ aus diesem Zeitraum bezogen auf die Klagepartei überhaupt noch vorhält. Im Übrigen wären daraus resultierende Ansprüche der Klagepartei jedenfalls verjährt, §§ 195, 199 Abs. 1, 214 Abs. 1 BGB. Die Klagepartei musste jedenfalls infolge der vorgenannten Pressemitteilung die tatsächlichen Anspruchsvoraussetzungen kennen oder sich dem Vorwurf grob fahrlässiger Unkenntnis aussetzen. Verjährung wäre somit zum Ende des Jahres 2022 eingetreten.

III. Der Klagepartei stehen schließlich keine Ansprüche gegen die Beklagte im Zusammenhang mit den behaupteten Vorwürfen im Zusammenhang mit der Datenübermittlung in die USA zu.

1. Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen.

2. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 Buchst. b DSGVO. Dafür dass die Beklagte, was die Klagepartei letztlich behauptet, darüber hinaus ihren gesamten Datenbestand dem amerikanischen Auslandsgeheimdienst voraussetzungslos zur freien Verfügung stellt, gibt es keine hinreichenden tatsächlichen Anhaltspunkte. Was die USamerikanische Regierung insoweit „zugegeben“ haben soll, wird klägerseits nicht konkret dargelegt. Die Beklagte jedenfalls hat solches bestritten und Beweis wurde klägerseits nicht geführt.

3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.

a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.

b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.

c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.

d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend.

4. Für eine Verletzung von Art. 5 Abs. 1 Buchst. f bzw. Art. 32 DSGVO ist schlüssig nichts vorgetragen. Wieso Anlass zur Annahme bestehen sollte, dass die Beklagte die Daten der Klagepartei in technischer oder organisatorischer Hinsicht nicht hinlänglich schützt, ergibt sich aus dem Klagevortrag nicht.

5. Eine Verletzung von Art. 13 DSGVO kann das Gericht ebenfalls nicht erkennen. Die Beklagte hat die Fundstellen genannt, unter denen sich der Nutzer über die Notwendigkeit der Datenübermittlung an ausländische Unternehmen, namentlich die .., Inc., wie auch über die Beauskunftung von Regierungsanfragen informieren kann. Dass die Beklagte ihrer Informationspflicht nicht nachgekommen wäre, ist nicht ersichtlich.

6. Soweit US-Regierungsbehörden einschließlich der Geheimdienste von .., Inc., nach USamerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika. Diese Möglichkeit steht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 Buchst. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre.

IV. Für einen Schadensersatzanspruch aus Art. 82 DSGVO fehlt es zudem an einem kausalen Schaden der Klagepartei. Diese gab im Rahmen ihrer informatorischen Anhörung lediglich an, dass sie erst durch die Klägervertreter auf etwaige Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten bzw. dem Messenger gebracht worden sei. Erst auf Hinweis des Gerichtes wurde ihr offenbar, dass die hiesige Klage sich nicht auf die Scraping-Fälle bezieht. Schließlich wird Bezug genommen auf die Entscheidung des OLG München, Az. 14 U 3359/23 e, Verfügung vom 19.12.23, in welcher folgendes ausgeführt wird:
„Die Befürchtung (noch deutlicher: englisch „fear“ und französisch „crainte“), in der der EuGH einen materiellen Schaden erblickt, kann nur etwas sein, was der Geschädigte (a) persönlich erlebt und was ihn (b) seelisch belastet, mithin psychisch beeinträchtigt. Vermag das Tatgericht nichts dergleichen zu erkennen, so ist der Eintritt des immateriellen Schadens nicht überwiegend wahrscheinlich im Sinne von § 287 Abs. 1 ZPO.“

So liegt der Fall hier: allein die im Rahmen der informatorischen Anhörung (erst) auf Vorhalt ihres Prozessbevollmächtigten angegebene „große Sorge“ (nachdem zunächst angegeben wurde, dass man es „auch schlimm findet“) stellt keinen immateriellen Schaden dar.

V. Auskunftsansprüche nach Art. 15 DSGVO stehen der Klagepartei gegen die Beklagte nicht zu.

1. Soweit begehrt wird Auskunft bezüglich der Daten „aus der Überwachung des FMessengers“ zu erteilen, „ChatProtokolle vorzulegen und deren interne Bewertung offenzulegen“, können die Chat-Verläufe durch die Klagepartei selbst heruntergeladen werden. Der Auskunftsanspruch ist dadurch erfüllt, § 362 Abs. 1 BGB. Was unter einer „internen Bewertung“ zu verstehen sein soll, erschließt sich dem Gericht nicht; eine Subsumtion unter eine der Kategorien des Art. 15 Abs. 1 DSGVO ist insoweit nicht möglich.

2. Soweit Auskunft begehrt wird, welche „Off-...-Daten“ durch die Beklagte an der IP-Adresse der Klägerseite gesammelt und zu welchem Zweck sie gespeichert und verwendet wurden, verweist die Beklagte zu Recht auf die von ihr zur Verfügung gestellte Selbstauskunftsmöglichkeit und hinsichtlich der Verarbeitungszwecke auf eine bestimmte Seite im Hilfebereich. Die Auskunft ist damit erteilt, § 362 Abs. 1 BGB.

3. Hinsichtlich etwaiger an die NSA übermittelter Daten kann die Beklagte die Auskunft verweigern, weil zum einen eine Geheimhaltungspflicht nach USamerikanischem Rechts besteht und es sich zum anderen um ihrem Wesen nach geheimhaltungsbedürftige Informationen handelt, Art. 23 DSGVO i.V.m. § 29 Abs. 1 S. 2 BDSG, wobei sich letztgenannte Vorschrift entgegen der Auffassung der Klagepartei schon dem Wortlaut nach nicht auf Berufsgeheimnisträger beschränkt. Es versteht sich von selbst, dass die Information, ob und welche Auskünfte an Geheimdienste erteilt werden, ihrem Wesen nach geheimhaltungsbedürftig ist. Im Übrigen erfolgt die Beauskunftung an die NSA nicht durch die Beklagte, sondern durch die .., Inc., so dass die Beklagte hinsichtlich eines Auskunftsanspruchs auch nicht passivlegitimiert wäre.

VI. Die Löschungsanträge nach Art. 17 DSGVO (Ziff. 5 b und c der Klageanträge) gehen ins Leere, weil sie unter der Voraussetzung gestellt sind, dass die Datenverarbeitung „anlasslos“ erfolgt. Selbst wenn man diesem Begriff die Bedeutung „nicht notwendig“ (Art. 17 Abs. 1 Buchst. a DSGVO), „ohne Rechtsgrundlage“ (Art. 17 Abs. 1 Buchst. b DSGVO), oder „unrechtmäßig“ (Art. 17 Abs. 1 Buchst. d DSGVO) beimessen wollte, liegen diese Voraussetzungen, wie unter Ziffer I. bis II. ausgeführt, nicht vor.

VII. Sämtliche Unterlassungsansprüche scheitern am Fehlen eines Verstoßes gegen die DSGVO, s.o. Ziff. I bis III. Bezüglich der „Off-...-Daten“ tritt hinzu, dass es der Nutzer selbst in der Hand hat, die diesbezüglichen Einstellungen zu verwalten. Die Klagepartei handelt widersprüchlich, wenn sie die Einstellungen so belässt, wie sie sind, und andererseits von der Beklagten verlangt, die Daten nicht auf Grundlage dieser Einstellungen zu verarbeiten.

Den Volltext der Entscheidung finden Sie hier:

LG Köln
Urteil vom 20.11.2023
22 O 43/23

Das LG Köln hat entschieden, dass eine Sparkasse seinem Kunden nach einem Phishing-Angriff per Call-ID Spoofing gemäß § 675u BGB den Schaden durch nicht autorisierte Zahlungsvorgänge ersetzen muss.

Aus den Entscheidungsgründen;
Der Klageantrag zu 1.) ist begründet. Der Kläger hat einen Anspruch gegen die Beklagte, das bei ihr geführte Girokonto des Klägers Nr. N01 auf den Stand zu bringen, auf dem es sich ohne die Belastungen durch die nicht autorisierten Zahlungsvorgänge in Höhe von insgesamt EUR 9.933,38 am 23.09.2022 befunden hätte.

1. Nach § 675u S. 1 BGB hat der Zahlungsdienstleister (hier die Beklagte) des Zahlers (hier des Klägers) im Fall eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist nach § 675u S. 2 BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

2. Diese Voraussetzungen sind vorliegend erfüllt, da die streitgegenständlichen Zahlungsvorgänge nicht durch den Kläger autorisiert waren. Dies ist bereits deshalb der Fall, weil sie nicht durch den Berechtigten, nämlich den Kläger, ausgeführt worden sind; eine Stellvertretung für den Kläger ist ausgeschlossen (vgl. BGH, Urteil vom 26.01.2016 – XI ZR 91/14, BGHZ 208, 331 Rn. 58 m.w.N.). Dass der Kläger die Zahlungsvorgänge mittels ApplePay nicht selbst autorisiert hat, steht nach dem Vortrag der Parteien fest. Während die Beklagte zunächst die Autorisierung jedenfalls konkludent bestritten hat („sofern er die Freigabe einer digitalen Debitkarte nicht wissentlich veranlasst hat“, Bl. 73 d. A.), ging sie zuletzt von „durch den Betrüger vorgenommenen Zahlungen“ (Bl. 157 d. A.) aus. Jedenfalls wäre auch ein einfaches Bestreiten der Beklagten, die nach Maßgabe des § 675w BGB vorrangig im Hinblick auf den Nachweis der Authentifizierung darlegungs- und beweisbelastet ist, nicht geeignet gewesen, um den substantiierten Ausführungen des Klägers entgegenzutreten (vgl. § 138 Abs. 3 ZPO).

Die Beklagte kann dem klägerischen Anspruch auch keinen Schadensersatzanspruch gemäß § 675v BGB nach § 242 BGB entgegenhalten (sog. dolo-agit-Einwendung). Der Beklagten steht unter keinem erdenklichen rechtlichen Gesichtspunkt ein solcher Schadensersatzanspruch zu. Ein solcher Anspruch ergibt sich insbesondere nicht aus § 675v Abs. 3 Nr. 2 BGB.

Nach § 675v Abs. 3 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler entweder in betrügerischer Absicht gehandelt hat (§ 675v Abs. 3 Nr. 1 BGB) oder er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB (§ 675v Abs. 3 Nr. 2 a) BGB) oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments nach § 675l Abs. 2 BGB (§ 675v Abs. 3 Nr. 2 b) BGB) herbeigeführt hat.

Im Hinblick auf den allein in Betracht kommenden Anspruch gemäß § 675v Abs. 3 Nr. 2 BGB ist die Beklagte ihrer diesbezüglichen Darlegungs- und Beweislast nicht nachgekommen.

Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (vgl. BGH, Urteil vom 26.01.2016, XI ZR 91/44, Rn. 71 m.w.N.). Dabei kommt dem Zahlungsdienstleister auch kein Anscheinsbeweis zu Gute, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt (BGH, a.a.O. Rn.68).

Schon nach dem Vortrag der Beklagten fehlt es hier allerdings beim Kläger an einer grob fahrlässigen Verletzung der Pflichten eines Zahlungsdienstnutzers. Das Verhalten des Klägers ist danach jedenfalls nicht als subjektiv schlechthin unentschuldbar zu werten.

Diese Einschätzung stützt das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde infolgedessen die Nummer der Beklagten angezeigt, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand. In einer großen Organisation wie der der Beklagten herrscht regelmäßig eine gewisse Fluktuation bzw. es findet eine Arbeitsteilung statt, sodass die Bankkunden nicht mehr zwingend nur mit einem Mitarbeiter in Kontakt stehen.

Etwas anderes gilt auch nicht aufgrund der Bezeichnung des Auftrags in der pushTAN App als „Registrierung Karte“. Zwar gab der Anrufer vor, er wolle die Karte des Klägers entsperren, nicht registrieren. Allerdings ist die Bezeichnung „Registrierung“ derart weit, dass für den Kläger – vor allem in der Überrumpelungssituation, in der er sich befand und auch bei der durch die Beklagte mit einem Sicherheitshinweis angemahnten sorgfältigen Prüfung – überhaupt nicht erkennbar war, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt. Dabei wäre es der Beklagten ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ersichtlich zu machen, dass es um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht (vgl. LG Köln, Urteil vom 09.03.2023 - 15 O 267/22). Bei der hier vorliegenden Gestaltung konnte der Kläger den Text in der pushTAN App dem eigentlichen Vorgang nicht zuordnen. Im Übrigen ergibt sich aus der Formulierung des Warntextes, es sei „kein Auftrag“ freizugeben, der nicht „explizit beauftragt“ wurde, nach seinem natürlichen Wortsinn nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein muss. Der Kläger durfte davon ausgehen, dass sein – vermeintlich − telefonisch erteilter „Auftrag“ diese Voraussetzungen ebenso erfülle. Der Vorgang und auch der Pflichtenverstoß des Klägers ist daher bereits nicht allein dessen Verantwortungsbereich anzulasten.
Auf die Fragen, ob eine starke Kundenauthentifizierung verlangt wurde (§ 675v Abs. 4 BGB) oder der Beklagten ein Mitverschulden anzulasten ist, kommt es insofern nicht mehr an.

II. Der Klageantrag zu 2.) ist ebenfalls begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten in Höhe von EUR 973,66 nebst Zinsen in Höhe von fünf Prozentpunkten seit dem 23.05.2023.

Der Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten ergibt sich aus §§ 280 Abs. 1, 2, 286 BGB i.V.m. § 675u Satz 3 BGB. Die Beklagte befand sich mit der gemäß § 675u Sätze 2, 3 BGB „unverzüglich“ geschuldeten Erstattung in Verzug (vgl. OLG Celle Hinweisbeschluss v. 17.11.2020 – 3 U 122/20, BeckRS 2020, 33608 Rn. 44 ff.).

Der Zinsanspruch folgt aus §§ 291, 288 Abs. 1 BGB i.V.m. § 187 Abs. 1 BGB analog.

Den Volltext der Entscheidung finden Sie hier:

KG Berlin
Beschluss vom 22.01.2024
3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 - 161 AR 84/21

Das KG Berlin hat entschieden, dass auch unittelbar gegen juristische Person ein DSGVO-Bußgeld verhängt werden kann.

Aus den Entscheidungsgründen:
Mit Bußgeldbescheid vom 30. Oktober 2019 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: BlnBDI) gegen das betroffene Unternehmen (im Folgenden: Betroffene) Geldbußen festgesetzt. Mit dem Bußgeldbescheid ist der Betroffenen vorgeworfen worden, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.

Auf den Einspruch der Betroffenen hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO durch den angefochtenen Beschluss eingestellt. Das Landgericht hat die Auffassung vertreten, der Bußgeldbescheid habe unter so gravierenden Mängeln gelitten, dass er nicht Grundlage des Verfahrens sein könne. Namentlich ist das Landgericht der Auffassung gewesen, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne, könne diese in einem Bußgeldverfahren nur als Nebenbeteiligte fungieren. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Die in § 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

Hiergegen hat die Staatsanwaltschaft Berlin sofortige Beschwerde eingelegt. Der Senat hat das Verfahren durch Beschluss vom 6. Dezember 2021 ausgesetzt und nach Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union u.a. zu der Frage eingeholt, ob Art. 83 Abs. 4-6 DS-GVO dahin auszulegen sei, „dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“. Der EuGH hat durch Urteil vom 5. Dezember 2023 (C-807/21 – [juris]) wie folgt entschieden: „Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSG-VO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“. In einem weiteren Ausspruch desselben Urteils heißt es, dass „eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat“.

Mit Beschluss vom Folgetag hat der Senat angeordnet, dass das Verfahren fortgesetzt wird.

Die sofortige Beschwerde der Staatsanwaltschaft hat Erfolg. Nach Maßgabe des in dieser Sache ergangenen Urteils des Europäischen Gerichtshofs ist die Betroffene unbeschadet ihrer Eigenschaft als juristische Person taugliche Adressatin eines Bußgeldbescheids (1.). Das durch das Landgericht angenommene Verfahrenshindernis eines unwirksamen Bußgeldbescheids besteht nicht (2.).

1. Dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Rn. 44). Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Die hierdurch – und zwar unabhängig von einem individualisierbaren Organisationsdefizit oder einer Aufsichtspflichtverletzung – möglich gewordene unmittelbare Bebußung von juristischen Personen wird auch durch die Verteidigung, soweit aus ihrem Schriftsatz vom 15. Januar 2024 ersichtlich, nicht mehr in Frage gestellt.

2. Der Bußgeldbescheid der BlnBDI erfüllt die Wirksamkeitsvoraussetzungen des § 66 Abs. 1 OWiG und stellt eine ausreichende Verfahrensgrundlage dar. Ein Verfahrenshindernis besteht insoweit nicht.

a) Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).

b) Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.

Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.

c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten.

Der Bußgeldbescheid wirft der Betroffenen vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihr vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.

Diese – hier nur kursorisch zusammengefassten – Vorwürfe sind im Bußgeldbescheid ausgesprochen konkret und ausführlich dargestellt. Der Bußgeldbescheid bezeichnet die insgesamt 16 Tathandlungen auf mehr als 17 Seiten in einer ausdifferenzierten und nachgerade ziselierten Weise. Die Ausführungen vermitteln der Betroffenen präzise, was ihr vorgeworfen wird, und sie ermöglichen es ihr, sich hiergegen zu verteidigen. Dabei ist auch zu beachten, dass es sich bei den vorgeworfenen Handlungen (oder Unterlassungen) ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handelt. Gegenstand des Bußgeldverfahrens bildet die Speicherung bzw. Archivierung (oder Nichtlöschung) von Kundendaten. Es geht um einfach gelagerte und verständliche Sachverhalte und im Letzten um gewöhnliche Vorgänge in einem operativen Unternehmensbereich.

d) Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren. Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts.

Dass der Verband (materiell-rechtlich) allein datenschutzrechtlich Verantwortlicher ist (vgl. Wünschelbaum, DSB 2024, 15), wirkt sich damit unmittelbar auf die verfahrensrechtlich gebotene Darstellungsdichte im Bußgeldbescheid aus. Insbesondere muss dieser gerade nicht bezeichnen, welchem Repräsentanten oder welchem „Organ“ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Im Übrigen bleibt es aber auch insoweit dabei, dass der hier zu beurteilende Bußgeldbescheid die Tathandlungen bemerkenswert und – gemessen an den vom EuGH formulierten materiell-rechtlichen Haftungsvoraussetzungen ersichtlich – überobligatorisch konkret darstellt.

e) Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar. Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.

f) Folgerichtig ist der Verteidigung schließlich auch darin zu widersprechen, die Bezeichnung der dem Organ vorwerfbaren Tat sei unerlässliche Voraussetzung des Bußgeldbescheids. Dieses ehedem bestehende Erfordernis, das dem limitierten Haftungsregime des nationalen Rechts folgte, ist durch die im hiesigen Verfahren ergangene Vorabentscheidung des EuGH zu einer umfassenden Verbandsverantwortung nach kartellrechtlichem Vorbild obsolet. In dieser heißt es, „dass die Anwendung von Art. 83 DSG-VO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ voraussetzt (Rn. 77).

3. Da kein Verfahrenshindernis besteht, war der angefochtene Beschluss aufzuheben, und die Sache ist an das Landgericht zurückzuverweisen. Funktional zuständig ist nicht die große Strafkammer (Wirtschaftskammer), sondern die Kammer für Bußgeldsachen (§ 47 Abs. 7 OWiG). Der Senat kann nachvollziehen, dass die Kammer entgegen einer analogen Anwendung des § 68 Abs. 1 Satz 2 OWiG nicht durch Einzelrichter entschieden hat, sondern – wohl entsprechend §§ 46 Abs. 1 OWiG, 76 Abs. 1 GVG – zuletzt eine Besetzung gewählt hat, die der einer großen Strafkammer entspricht (vgl. zur funktionalen Zuständigkeit und zur Besetzungsfrage Brodowski/Nowak in BeckOK Datenschutzrecht, 46. Edition, § 41 BDSG Rn. 16). Hierfür spricht, dass sich die sachliche Zuständigkeit des Landgerichts (§ 41 Abs. 1 Satz 3 BDSG) aus dem Streben nach einer verbesserten Kontrolle ableiten dürfte, die sich jedenfalls im Leitbild aus der Beteiligung mehrerer (Berufs-) Richter ergibt.

4. Eine Kostenentscheidung ist in Bezug auf das Rechtsmittel nicht veranlasst (ex arg. BGH WuW 2020, 615). Über die Kosten des Vorabentscheidungsverfahrens hat an sich das vorlegende Gericht zu entscheiden (Art. 102 EuGHVerfO). Das Vorabentscheidungsverfahren erweist sich aber lediglich als Zwischenverfahren des gleichfalls unselbständigen Beschwerdeverfahrens, durch dessen Entscheidung das Bußgeldverfahren nicht abgeschlossen wird. Da das Bußgeldverfahren beim Landgericht Berlin fortgesetzt und durch dieses entschieden wird, ist es angemessen, dass die Kammer für Bußgeldsachen in der abschließenden Kostengrundentscheidung über die Kosten des Vorabentscheidungsverfahrens mitentscheidet (vgl. bei ähnlicher Konstellation BGH WM 1996, 1889 unter Bezug auf EuGH GRUR Int. 1996, 147).

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt
Urteil vom 06.12.2023
3 U 3/23

Das OLG Frankfurt hat entschieden, dass kein Erstattungsanspruch gegen die Bank nach einem Phishing-Angriff per SMS besteht, wenn der Kunde grob fahrlässig gehandelt hat (hier; Mehrmalige Bestätigung per PushTAN auf Anforderung eines Anrufers).

Die Pressemitteilung des Gerichts:
Phishing-Angriff - Keine Haftung der Bank
Die Bank haftet nicht für einen aufgrund Phishing-Angriffs vom Kunden grob fahrlässig freigegebenen Überweisungsbetrag.

Gibt ein Kunde mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung frei, handelt er grob fahrlässig. Die Bank schuldet in diesem Fall nicht die Rückerstattung des überwiesenen Betrags, bestätigte das Oberlandesgericht Frankfurt am Main mit heute veröffentlichter Entscheidung das klageabweisende Urteil des Landgerichts.

Der Kläger, Rechtsanwalt und Steuerberater in einer internationalen Sozietät, führt bei der Beklagten ein Girokonto. Online-Transaktionen bestätigt er mit dem sog. PushTAN-Verfahren. Sobald in seinem Online-Banking ein Auftrag erteilt wird, erhält er über die auf seinem Smartphone installierte PushTAN-App eine Benachrichtigung und wird zur Freigabe des Auftrags aufgefordert. Zusätzlich hat er eingestellt, dass seine Identität über die Gesichtserkennung des Smartphones bestätigt werden muss. Sein Überweisungslimit lag bei 10.000 €.

Der Kläger erhielt im September 2021 eine SMS mit dem Hinweis, dass sein Konto eingeschränkt worden sei. Es solle sich für ein neues Verfahren anmelden und hierzu einem Weblink folgen, der das Wort „Sparkasse“ enthielt. Die im Absender der SMS genannte Telefonnummer hatte die Beklagte in der Vergangenheit bereits verwendet, um den Kläger über vorrübergehende Sperrungen nach Sicherheitsvorfällen zu informieren. Der Kläger folgte dem in der SMS angegebenen Link. Anschließend wurde er von einer männlichen Person angerufen und bestätigte auf Anweisung des Anrufers seinen Angaben nach „etwas“ in der PushTAN-App der Beklagten. Am selben Tag wurde das Konto des Klägers mit einer Überweisung i.H.v. 49.999,99 € belastet und als Empfänger eine männliche Person mit Vor- und Nachnamen angegeben.

Mit seiner Klage begehrt der Kläger von der Beklagten die Gutschrift dieses Betrags. Das Landgericht hat die Klage abgewiesen. Die hiergegen gerichtete Berufung hatte auch vor dem OLG keinen Erfolg. Die Beklagte schulde im Ergebnis nicht die Gutschrift des Betrags, da der Kläger grob fahrlässig seine Pflichten verletzt habe, bestätigte das OLG die landgerichtliche Entscheidung.

Für die Limitänderung fordere die Beklagte eine starke Kundenauthentifizierung mit PIN und PushTAN. Gemäß den Aufzeichnungen der Beklagten sei am Tag der Überweisung eine PushTAN-Freigabe für ein temporäres Tageslimit von 50.000 € angefordert worden, die per Gesichtserkennung auch erteilt worden sei. Von derselben IP-Adresse aus sei nachfolgend eine PushTAN-Freigabe für die streitgegenständliche Überweisung über 49.999,99 € angefordert und ebenfalls per Gesichtserkennung erteilt worden.

Damit sei der Vortrag des Klägers, nur einmal „etwas“ in seiner PushTAN-App mittels Gesichtskennung bestätigt zu haben, nicht glaubhaft. Aufgrund der beruflichen Qualifikation des Klägers könne unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei. Er habe auch selbst berichtet, Online-und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- bzw. TAN-Apps vertraut zu sein. Da die Erinnerung des Klägers an Nebendetails des Ablaufs sehr ungenau gewesen seien, spreche eine sehr hohe Wahrscheinlichkeit dafür, dass auch seine Erinnerung an die Anzahl der von ihm abgegebenen PushTAN-Bestätigungen unzuverlässig sei.

Der Kläger habe durch die Bestätigung von PushTANs auf Anforderung des Anrufers hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheits­merkmal gewährt. Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt.

Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Bei der Freigabeaufforderung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang – etwa eine Überweisung in konkreter Höhe – die TAN geschaffen wurde. “Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr“, betont das OLG, „Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist“.

Soweit sich der Kläger auf einen atypischen Ablauf in der App berufe, auf die er durch den Klick auf den in der SMS angegebenen Link geraten sei, könne ihm nicht entgangen sein, dass sämtliche Banken seit Jahren vor so genannten Phishing-Nachrichten warnten. Diese erweckten den ersten Eindruck, von einem Zahlungsdiensteanbieter zu stammen, führten typischerweise aber zu gefälschten Websites. Dieses kriminelle Phänomen werde seit 2006 öffentlich breit diskutiert. Hier handele es sich offensichtlich um eine derartige Phishing-Nachricht. Dies habe der Kläger auch spätestens nach der Aufforderung, persönliche Sicherheitsmerkmale im Rahmen einer von ihm selbst als „atypisch“ wahrgenommenen Umgebung freizugeben, erkennen müssen. „Spätestens an diesem Punkt hätte die Überlegung ganz nahegelegen, dass er einem Betrugsversuch aufgesessen war.“

Die Entscheidung ist nicht rechtskräftig. Mit der Nichtzulassungsbeschwerde hat der Kläger die Zulassung der Revision beim BGH begehrt.

Oberlandesgericht Frankfurt am Main, Urteil vom 06.12.2023, Az. 3 U 3/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 09.12.2022, Az. 2-25 O 41/22)

EuGH
Urteil vom 05.12.2023, C-683/21 (Nacionalinis visuomenės sveikatos centras)
Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)

Der EuGH hat entschieden, dass eine Geldbuße gegen ein Unternehmen durch die Datenschutzbehörde wegen eines DSGVO-Verstoßes einen schuldhaften Verstoß voraussetzt. Die Höhe richtet sich bei Unternehmen, die einem Konzern angehören, nach dem Jahresumsatz des Konzerns.

Die Pressemitteilung des Gerichts:
Nur ein schuldhafter Verstoß gegen die Datenschutz-Grundverordnung kann zur Verhängung einer Geldbuße führen

Gehört der Adressat der Geldbuße zu einem Konzern, bemisst sich die Geldbuße nach dem Jahresumsatz des Konzerns

Der Gerichtshof präzisiert die Voraussetzungen, unter denen die nationalen Aufsichtsbehörden eine Geldbuße gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstoßes gegen die DatenschutzGrundverordnung (DSGVO) verhängen können. Insbesondere stellt er fest, dass die Verhängung einer solchen Geldbuße ein schuldhaftes Verhalten voraussetzt, der Verstoß also vorsätzlich oder fahrlässig begangen worden sein muss. Gehört der Adressat der Geldbuße zu einem Konzern, ist bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen

Ein litauisches und ein deutsches Gericht haben den Gerichtshof ersucht, die Datenschutz- Grundverordnung (DSGVO)1 auszulegen, und zwar im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen diese Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.

Im litauischen Fall wendet sich das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium gegen eine Geldbuße in Höhe von 12 000 Euro, die ihm im Zusammenhang mit der Entwicklung (mit Unterstützung durch ein privates Unternehmen) einer mobilen Anwendung auferlegt wurde, die der Erfassung und Überwachung der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte.

Im deutschen Fall wendet sich das Immobilienunternehmen Deutsche Wohnen, das mittelbar rund 163 000 Wohneinheiten und 3 000 Gewerbeeinheiten hält, u. a. gegen eine Geldbuße von über 14 Mio. Euro, die ihm auferlegt wurde, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte.

Der Gerichtshof entscheidet, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.

Außerdem kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.

Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen führt der Gerichtshof aus, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setzt keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen.

Schließlich muss sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen. Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.

Den Volltext der Entscheidung finden Sie hier:
EuGH, Urteil vom 05.12.2023, C-683/12 (Nacionalinis visuomenės sveikatos centras)
EuGH, Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)

BGH
Beschluss vom 26.09.2023
VI ZR 97/22
Verordnung (EU) 2016/679 Art. 17, Art. 18, Art. 79, Art. 82 Abs. 1, Art. 84; GG Art. 2 Abs. 1; BGB §§ 253, 823, § 1004 Abs. 1

Wir hatten bereits in dem Beitrag BGH legt EuGH vor: Voraussetzungen und Höhe des Anspruchs auf immateriellen Schadensersatz aus Art. 82 DSGVO - Unterlassungsanspruch des Betroffenen bei DSGVO-Verstoß über die Entscheidung berichtet.

Leitsatz des BGH:
Vorlagefragen an den Gerichtshof der Europäischen Union zur Auslegung von Art. 17, Art. 18, Art. 79, Art. 82 Abs. 1 und Art. 84 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) zur Frage des Bestehens eines unionsrechtlichen Unterlassungsanspruchs der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, bzw. zu der insoweit bestehenden Möglichkeit eines Rückgriffs auf das nationale Recht und zum Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO.

BGH, Beschluss vom 26. September 2023 - VI ZR 97/22 - OLG Frankfurt in Darmstadt - LG Darmstadt

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung, DSGVO, ABl. EU L 119 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a) Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?

b) Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?

2. Falls Fragen 1a) und/oder 1b) bejaht werden:

a) Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?

b) Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?

3. Falls Fragen 1a) und 1b) verneint werden:

Sind Art. 84 i.V.m. Art. 79 DSGVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

4. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

5. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt? 6. Falls Fragen 1a), 1b) oder 3 bejaht werden: Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

6. Falls Fragen 1a), 1b) oder 3 bejaht werden:

Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

Den Volltext der Entscheidung finden Sie hier: