Das LG Köln hat dem Betroffenen in diesem Fall 4.000 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber einem Vorgesetzten zugesprochen. Der Betroffene hatte mit seiner Klage 100.000 EURO Schadensersatz verlangt. Die Klage wurde daher überwiegend abgewiesen.
Aus den Entscheidungsgründen: Der Kläger hat gegen die Beklagte zu 1) einen Anspruch auf Zahlung eines Schadensersatzes in Höhe von 4.000 € aus Art. 82 Datenschutz-Grundverordnung (im Folgenden: DS-GVO).
1. Die Beklagte zu 1) hat personenbezogene Daten des Klägers im Sinne des Art. 4 Nr. 2 DS-GVO dadurch verarbeitet, dass sie die streitgegenständliche E-Mail an Herrn K. versandt hat. Sie muss sich dabei die Handlung ihres Angestellten, des Beklagten zu 2), zurechnen lassen. Zur Verarbeitung im Sinne der DS-GVO zählt auch die „Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“.
Die Offenlegung der Vertragsverhältnisse zwischen der Beklagten zu 1) und dem Kläger an den Vorgesetzten des Klägers war auch rechtswidrig. Sie unterfällt keinem Rechtfertigungstatbestand nach Art. 6 Abs. 1 DS-GVO. Insbesondere ist sie nicht zur Erfüllung des Vertrags mit dem Kläger „erforderlich“, Art. 6 Abs. 1 lit. b) DS-GVO. Erforderlichkeit setzt voraus, dass ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht. Ein solcher Zusammenhang ist hier nicht ersichtlich. Der Vorgesetzte des Klägers ist in keiner Weise in den Vertrag involviert und für die private Lebensführung des Klägers auch offensichtlich in keiner Weise verantwortlich. Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass der Kläger ebenfalls als Autoverkäufer in einem Konkurrenzunternehmen tätig ist. Gerade in diesem Fall drängt sich der Gedanke förmlich auf, dass dem Kläger aus einer Offenlegung seiner Geschäftsbeziehungen zu einem Konkurrenzunternehmen Probleme erwachsen können, was für die Erfüllung des Vertrags nicht förderlich sein dürfte.
Die Beklagte zu 1) ist für den Verstoß gegen Art. 6 Abs. 1 DS-GVO auch verantwortlich und muss sich das Verhalten ihres Mitarbeiters zurechnen lassen. Eine Exkulpation nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Soweit die Beklagte zu 1) schlicht darauf abstellt, dass der Beklagte zu 2) dem Kläger keinen Schaden habe zufügen wollen, verfängt dies nicht. Die Versendung der E-Mail erfolgte vorsätzlich. Eine Schädigungsabsicht setzt Art. 82 DS-GVO nicht voraus.
2. Der Verstoß ist auch derart gravierend, dass er eine Schadensersatzpflicht der Beklagten zu 1) auslöst, allerdings nur in tenorierter Höhe.
Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe, a.a.O.). Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, sodass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13).Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe, a.a.O.). Die Ermittlung des Schadens obliegt nach § 287 ZPO dem Gericht.
Der Verstoß der Beklagten zu 1) gegen die Regeln der DS-GVO ist bereits für sich derart gravierend, dass er eine entschädigungspflichtige Persönlichkeitsrechtsverletzung des Klägers begründet. Dass sich der Beklagte zu 2) hier an den Vorgesetzten des Klägers gewandt haben, ist nicht nur unangebracht und ein Verstoß gegen die DS-GVO, sondern für den Kläger auch peinlich und mit erheblichen Unannehmlichkeiten verbunden, weil er sich – unabhängig von der tatsächlichen Reaktion seines Vorgesetzten – genötigt fühlen könnte, sich gegenüber seinem Arbeitgeber dafür rechtfertigen zu müssen, bei der Konkurrenz ein Auto gekauft zu haben. Dies ist mit einem erheblichen Gefühl der Scham verbunden. Es handelt sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kläger hatte jedoch ein offensichtliches Geheimhaltungsinteresse. Der Verstoß führt insoweit auch zu einem völligen Verlust der Kontrolle über die Daten, auch wenn die Information nur an eine Person geleitet wurde. Zudem erfolgte der Verstoß vorsätzlich, auch wenn der Beklagte zu 2), wie die Beklagte zu 1) unbestritten vorgetragen hat, keine Schädigungsabsicht gehabt hat.
Für die Frage der Schadensbemessung ist von Bedeutung, dass die Kammer die von dem Kläger behaupteten Folgen des Datenschutzverstoßes ihrer Entscheidung nicht zu Grunde legen kann.
Der Vortrag des Klägers zur Zerrüttung seines Arbeitsverhältnisses ist unsubstantiiert und prozessual unbeachtlich. Die Beklagte zu 1) hat sich offenbar im Betrieb des Klägers informiert und in ihrem Schriftsatz vom 23.08.2022 detailliert vorgetragen, dass es zu keiner Zerrüttung des Arbeitsverhältnisses gekommen ist. Dabei hat sie auch auf Ungereimtheiten im Vortrag des Klägers hingewiesen, die dieser selbst nicht entkräften konnte. So erfolgte die erste Krankschreibung des Klägers nicht unmittelbar nach dem streitgegenständlichen Vorfall, sondern erst einige Wochen später. Soweit der Kläger im April 2022 vorgetragen hat, seine Stelle sei neu besetzt worden und sein Vertrag ende „bald“, fehlt es an Vortrag dazu, wann dieser Zeitpunkt konkret sein soll. Da der Kläger noch mit Schriftsatz vom 02.08.2022 eine aktuelle Arbeitsunfähigkeitsbescheinigung bis zum 15.08.2022 vorgelegt hat, scheinen deutliche Zweifel angebracht, ob das Arbeitsverhältnis überhaupt in absehbarer Zeit enden wird. Auch fehlt es an substantiiertem Vortrag zu einer dauerhaften Arbeitsunfähigkeit des Klägers, da dieser nach den vorliegenden Unterlagen lediglich im Zeitraum Ende August bis Anfang Oktober 2021 und im Zeitraum um die Replik im August 2022 krankgeschrieben gewesen ist, somit lediglich für wenige Wochen. Da der Kläger auf den Vortrag der Beklagten zu 1) in ihrem Schriftsatz vom 23.08.2022 nicht mehr reagiert hat, gilt der Vortrag der Beklagten zu 1) als zugestanden.
Auch soweit der Kläger vorgetragen hat, an einer Depression zu leiden, ist sein Vortrag unbeachtlich. Ein ärztliches Attest, das diese Diagnose belegen könnte, hat er nicht vorgelegt. Sein Hausarzt hat ihm am 24.09.2021 lediglich eine „depressive Episode“ diagnostiziert. Substantiierter Sachvortrag zu seinen konkreten Symptomen, die es erlauben würden, die Diagnose einer Depression, egal in welcher Form, zu stellen, ist nicht erfolgt. Etwas anderes ergibt sich auch nicht aus dem Schreiben des Prof. X (Anlage K020). Hierbei handelt es sich nicht etwa um ein Privatgutachten, das geeignet wäre, den klägerischen Vortrag zu substantiieren, sondern um ein in einem reißerischen Tonfall geschriebenes Gefälligkeitsschreiben, das für die Kammer insgesamt unbeachtlich war. Nicht nur lässt es Prof. X an jeglicher Neutralität in Bezug auf den hier anhängigen Rechtsstreit vermissen. Es ergibt sich aus dem Schreiben noch nicht einmal, ob der Kläger bei Prof. X überhaupt in Behandlung war, so dass für die Kammer nicht ersichtlich ist, auf welcher therapeutischen Grundlage sich der Prof. X überhaupt ein Urteil zum Gesundheitszustand des Klägers anmaßt.
Die Kammer will nicht in Abrede stellen, dass der Kläger tatsächlich unter hohem psychischen Druck steht. Er war in der mündlichen Verhandlung sichtlich angefasst und schien deutlich zu leiden. Dieses Leiden ist jedoch nicht derart substantiiert im Prozess vorgetragen worden, dass es für die Kammer prozessual verwertbar wäre und für die Einholung eines psychologischen Sachverständigengutachtens gereicht hätte. Dies gilt nicht nur für den Vortrag des Klägers hinsichtlich des Vorliegens einer Depression, sondern auch für die Frage, ob gerade der Datenschutzverstoß der Beklagten für die Krankheit des Klägers kausal geworden ist. Die Einholung eines Sachverständigengutachtens würde vor diesem Hintergrund einem Ausforschungsbeweis gleichkommen.
Bei der Bemessung des Schmerzensgelds war weiterhin zu berücksichtigen, dass die Beklagte zu 1) eine strafbewehrte Unterlassungserklärung abgegeben und sich bereits mit E-Mail vom 20.07.2021 beim Kläger entschuldigt hat. Weiterhin war zu berücksichtigen, dass nach Sinn und Zweck von Art. 82 DS-GVO das Schmerzensgeld so zu bemessen ist, dass es eine abschreckende Wirkung auf die Beklagte ausübt. Dabei war jedoch auch darauf zu achten, dass auch nach der Konzeption des Art. 82 DS-GVO der Schadensersatz nicht in einen Strafschadensersatz ausartet, sondern in erster Linie der Kompensation tatsächlich entstandener Schäden beim Kläger dient (vgl. Erwägungsgrund (146) S. 5 DS-GVO: „erlittener Schaden“). In diesem Zusammenhang war für die Kammer entscheidend auf die finanzielle Situation der Beklagten zu 1) abzustellen, nicht hingegen auf die Finanzkraft des „V-Konzern s“ insgesamt. Die Beklagte zu 1) mag zum V-Konzern gehören, sie ist aber rechtlich unabhängig. Der Kläger hat nicht die Volkswagen AG verklagt, so dass der Vortrag zu deren Umsätzen unbeachtlich ist. Vortrag zur finanziellen Situation der Beklagten zu 1) fehlt indes. Daher verbietet sich auch eine Orientierung an einem möglicherweise von der Aufsichtsbehörde noch zu verhängendem Bußgeld gegen die Beklagte zu 1). Der Vortrag des Klägers zur Höhe dieses Bußgelds, insbesondere dass dieses die Höchstgrenze des Art. 83 Abs. 4 DS-GVO von 10 Milliarden EUR erreichen könnte, stellt sich vor diesem Hintergrund nicht als eine ernsthafte Prognose dar.
Unter Berücksichtigung sämtlicher dieser zuvor genannten Umstände hält die Kammer gemäß § 287 ZPO insgesamt einen Schadensersatz von 4.000 EUR für notwendig, aber auch ausreichend zur Kompensation des dem Kläger entstandenen Schadens.
Das LG Köln hat in diesem Fall entschieden, dass der Betroffene einen Anspruch auf 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO hat, da der Verantwortliche die Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah gelöscht hatte.
Aus den Entscheidungsgründen:
Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Die Beklagte hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt.
Das der Beklagten anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. LG München I a.a.O. Rn. 39).
Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).
Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die Beklagte ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.
Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (LG München I a.a.O. Rn. 44 m.w.N.).
Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. C. sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst. Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.
Das LG München hat in diesem Verfahren dem Betroffenen 2.500 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf das Dokumentenarchiv durch Unbefugte zugesprochen.
Aus den Entscheidungsgründen:
Der Kläger hat gegenüber der Beklagten einen Anspruch auf Zahlung von 2.500, - Euro gem. Art. 82 Abs. 1 DSGVO als immateriellen Schadensersatz.
Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Nach Art. 82 Abs. 3 DSGVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden (Quaas BeckOK Datenschutzrecht, Wolff/Brink; 36. Edition Stand: 01.05.2021 § 82 Rn. 51; 9 U 34/21 OLG Stuttgart Urteil vom 31.03.2021; LG Frankfurt vom 18.01.2021 — 2-30 O 147/20).
Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.
Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.
Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.
Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).
So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen CS. nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens CS. gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn - wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.
Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es - entgegen der Ansicht des Beklagten - nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen CS. hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte - und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen.
Wenn die Beklagte außerdem betont, dass es sich bei CS. um ein unabhängiges Uhnternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es lag eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei CS. zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen.
Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2; Paal, MMR 2020, 14, 17 m.w.N.), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre (vgl. Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Ed., 01.08.2020, Art. 82 DSGVO Rn. 51; 26 - Mitursächlichkeit genügt).
Sofern die Beklagte das Urteil das LG München I vom 02.09.2021, 23 O 10931/20 angeführt, sprechen dessen Entscheidungsgründe gerade dafür, dass im vorliegenden Fall ein Schaden gegeben ist. So weist das Landgericht zutreffend darauf hin, dass nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden kann sowie dass in den Erwägungsgründen (Nr. 75) (insbesondere) auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt sind (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Im dortigen Verfahren hat das Gericht seine Entscheidung insbesondere darauf gestützt, dass der Kläger sich darauf beschränkt hat, vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten (was aber auch im Erwägungsgrund Nr. 75 genannt ist!). Während dort ein Angriff auf den Account der E-Mail-Adresse zugrunde liegt, sind im vorliegenden Fall wesentlich umfangreichere und sensiblere Daten abgegriffen worden. Entgegen der Ansicht des LG Essen, Urteil vom 23.9.2021 - 6 O 190/21 liegt darin eine nicht nur „unbedeutende oder empfundene Verletzung von Persönlichkeitsrechten“. Im Übrigen erwähnt das LG Essen auch, dass ein Schmerzensgeldanspruch nach Art. 82 DS-GVO nicht auf schwere Schäden beschränkt ist, sodass sich ein genereller Ausschluss von Bagatellfällen verbietet. Das Gericht geht zudem offensichtlich (und zutreffend) auch davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreichen würde.
Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 Ill EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts — und damit auch der DS-GVO — gewährleistet (Wybitul/Haß/Albrecht: NJW 2018, 113, beck-online; vgl. auch Korch, NJW 2021, 978 - „Aus Erwägungsgrund 146 S. 3 ergibt sich, dass der Begriff des Schadens weit zu verstehen ist“).
Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.
So hat die Beklagte mit Schreiben vom 19.10.2020 (Anlage K 7) den betroffenen Kunden, somit auch dem Kläger mitgeteilt, dass die folgenden Daten von dem Vorfall betroffen sind wie „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“ und dass der Versuch unternommen werden könnte, Dritte mit der Identität des Kunden zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).
Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten (vgl. Quaas BeckOK Datenschutzrecht, Wolff/Brink 37. Edition Stand: 01.08.2021 Rn. 31), wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).
Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch - wie oben angesprochen - die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen.
Sofern die Beklagte meint, es sei eine Vorabentscheidung des EuGH zwingend erforderlich, was jüngst das BVerfG, Beschluss von 14.1.2021 - 1 BvR 2853/19 festgestellt hat, so übersieht sie Art. 267 Abs. 3 AEUV. Während nämlich bei dem, der genannten Entscheidung zugrunde liegenden Sachverhalt weder die Berufungsbeschwer erreicht war, noch das Amtsgericht die Berufung zugelassen hatte, ist diese vorliegend unzweifelhaft gegeben (vgl. § 511 Abs. 1, 2 Ziff. 1 ZPO), so dass keine letztinstanzliche Entscheidung gegeben ist.
Das LG Frankfurt hat entschieden, dass das Vorstandsmitglied eines Vereins, welches für den Verein eine Facebook-Seite erstellt hat, nach § 27 Abs. 3 S. 1 i.V.m. § 667 BGB die Administratorenrechte an der Facebook-Seite an den Verein herausgeben muss, auch wenn die Facebook-Seite unter Nutzung des privaten Accounts eingerichtet wurde.
Aus den Entscheidungsgründen:
Dem Kläger stand, wie das Amtsgericht zu Recht und mit überzeugender Begründung angenommen hat, ein Anspruch gegen die Beklagte auf Herausgabe der Facebook-Seite zu, und zwar in der Weise wie beantragt, d.h. durch Übertragung der Administrationsrechte auf den von dem Kläger bezeichneten Mitglied seines Vorstands.
aa) Zu Recht hat das Amtsgericht diesen Anspruch auf § 27 Abs. 3 S. 1 i.V.m. § 667 BGB gestützt. Danach hat das Vorstandsmitglied eines Vereins wie ein Beauftragter dasjenige herauszugeben, was es zur Ausführung seines Amtes erhält oder daraus erlangt (vgl. BeckOGK/Segna, 01.07.2020, § 27 BGB Rn. 102). Die Herausgabepflicht erstreckt sich auf jeden erlangten Vorteil, einschließlich solcher Gegenstände, die der Beauftragte selbst hervorgebracht, d.h. angefertigt oder erworben hat (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 17).
Auch Online-Konten, beispielsweise ein Facebook-Account, zählen dazu, wenn sie in Ausübung des Amtes geschaffen worden sind (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 21 m.w.N.). Hiervon abzugrenzen sind privat genutzte, aber mit Bezügen zu dem Auftraggeber angelegte Facebook-Konten, die von der Herausgabepflicht dann ausgenommen sind, wenn sie einen substanziellen privaten Anteil aufweisen (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 21 unter Verweis auf AG Brandenburg, NZA-RR 2018, 364).
In Anwendung dieser Grundsätze sind Administrationsrechte an einer Facebook-Seite jedenfalls dann von der Herausgabepflicht umfasst, wenn ein Vorstandsmitglied, wenn auch systembedingt unter Nutzung eines privaten Accounts, im Auftrag des Vereins für diesen einen Facebook-Auftritt geschaffen hat.
bb) Um einen solchen Fall handelt es sich hier.
Dies ist in tatsächlicher Hinsicht freilich streitig. Das Amtsgericht hat aber zu Recht das wechselseitige Parteivorbringen, die vorgelegten Unterlagen und die Angaben der Beklagten im Rahmen ihrer persönlichen Anhörung in der Gesamtschau in diesem Sinne ausgewertet.
(1) Die genannten Angaben der Beklagten sprechen am stärksten für diese Wertung. Sie hat in der mündlichen Verhandlung vor dem Amtsgericht Folgendes erklärt: „Ich habe für den Verein die Facebook-Seite errichtet und habe meine Vorstandskollegen in der Sitzung darüber informiert. Da diese keine Ahnung von Facebook haben, haben sie mir vertraut und haben dem sozusagen zugestimmt“ (Sitzungsniederschrift vom 28.10.2019, S. 2; Bl. 455 R d.A.). Aus diesen Worten spricht das Verständnis, eine Tätigkeit in der Eigenschaft als Vorstandsmitglied ausgeübt zu haben. Inwieweit die Beklagte durch einen förmlichen Beschluss hiermit im engeren Sinne beauftragt wurde, ist nicht entscheidend. Denn § 27 Abs. 3 S. 1 verweist zwar auf das Auftragsrecht, setzt für Herausgabeansprüche aus § 667 BGB aber nicht voraus, dass das einzelne Vorstandsmitglied i.S.v. § 662 BGB beauftragt wurde, sondern allein, dass es aus der Ausübung seines Amtes etwas erlangt hat (vgl. BeckOGK/Segna, 01.07.2020, § 27 BGB Rn. 102).
Mit diesen Angaben hat die Beklagte eine zentrale Behauptung der Klägerseite wirksam zugestanden. Dass diese Behauptung in Widerspruch zu dem schriftsätzlichen Vorbringen steht, ist unschädlich, denn die Partei kann auch im Anwaltsprozess Tatsachen zugestehen, die ihr Anwalt vorher bestritten hatte (Zöller/Althammer, ZPO, 33. Aufl. 2020, § 85 Rn. 9).
(2) Dass die Facebook-Seite, zunächst von der Beklagten allein gepflegt, eine Seite des Vereins sein sollte und es nach ihrem Verständnis auch war, wird zusätzlich daran anschaulich, dass sämtliche Posts in der Wir-Form gehalten sind und vielfach auf diese oder andere Weise ausdrücklich auf Veranstaltungen des Vereins oder auf den Verein selbst hinweisen, z.B. am 23.10.2011: „Es ist wichtig, daß diese Seite bekannter wird. …“ (vgl. dazu und zu weiteren Beispielen Anlage K 11; Bl. 128 ff. d.A.).
(3) Ohne den Beweisantritten des Klägers zu Inhalt und Verlauf von Vorstandssitzungen nachgehen zu müssen, ergeben sich aus den vorgelegten Unterlagen weitere Hinweise darauf, dass es dem Verständnis sämtlicher Vorstandsmitglieder entsprach, dass es sich bei der Seite um den Facebook-Auftritt des Vereins handeln sollte, namentlich die Tagesordnung vom 06.01.2011 („Facebook-Bearbeitung X…“; Anlage K 10; Bl. 127 d.A.) und die Verweise auf die Facebook-Seite in dem Flyer des Vereins (Anlage K 12; Bl. 400 f. d.A.) und in der von der Beklagten erstellten Vereinschronik (Anlage K 13; Bl. 402 f. d.A.).
(4) Auch die Äußerungen der Beklagten nach ihrem Ausscheiden aus dem Vorstand bilden ein wichtiges Indiz in diesem Sinne. So spricht sie im Jahr 2019 davon, auf Facebook eine „Vereinsseite“ eingerichtet zu haben (Anlage K 7; Bl. 66 f. d.A.) und von dem Wunsch, „mit der Facebook-Seite des Vereins“ jetzt nichts mehr zu tun zu haben (Anlage K 17; Bl. 407 d.A.), weil sie sich in die passive Mitgliedschaft zurückziehen wolle und kein Interesse mehr an der Kontrolle der Seite habe (Anlage K 16; Bl. 406 d.A.). Diese Äußerungen sind mit der Annahme, es habe sich bei der Seite um die eigene und private Seite der Beklagten gehandelt, unvereinbar.
Dass die Äußerungen aus dem Zusammenhang gerissen seien, wie die Beklagte pauschal vorträgt, ist bei der Lektüre der Äußerungen im Zusammenhang, wie er durch die vorgelegten Anlagen ermöglicht wird, nicht nachvollziehbar.
Es stimmt zwar, dass solche nachträglichen Äußerungen die rechtliche Qualifikation des damaligen Vorstandshandelns nicht beeinflussen können. Doch ergibt sich aus ihnen, dass die Beklagte nachträglich nicht in Zweifel zog, dass sie die Seite seinerzeit als Vorstandsmitglied für den Verein angelegt und betrieben hatte. Deshalb legen sie den Schluss sehr nahe, dass dem zu dem relevanten Zeitpunkt tatsächlich so war.
(5) Dass im Profil der Facebook-Seite zunächst nicht, wie von 2016 oder 2017 an, der Vereinsname erschien, sondern das Schlagwort „…“, ist unter diesen Umständen unschädlich.
Vielmehr ergibt sich aus der Umgestaltung der Seite ab 2016 ein weiteres Indiz dafür, dass es sich nach dem Verständnis aller Beteiligten um die Seite des Vereins handelte. Die Beklagte erklärt hierzu selbst, sie habe den stellvertretenden Vorsitzenden Y… „als Hilfsperson“ bei der Administration der Seite zugelassen, der nun ebenfalls dort gepostet, den Verein (ohne ihr Wissen) als Verantwortlichen in das Impressum aufgenommen und die Seite (was sie hingenommen habe) in „…“ umbenannt habe. Zunächst entspricht die Stellung, die Herr Y… damit übernahm, nicht derjenigen einer „Hilfsperson“. An anderer Stelle spricht die Beklagte auch zutreffender von der eines „Mitadministrators“. Vor allem aber wäre dann, wenn es sich nach dem Verständnis der Beklagten um ihre eigene private Facebook-Seite gehandelt hätte, nicht zu erwarten gewesen, dass die Beklagte einem Dritten diese Befugnisse einräumt und dessen Eingriffe in die Gestaltung einfach hinnimmt.
(6) Die Facebook-Seite „…“, auch wenn sie ebenfalls – ab dem Jahr 2018 – von dem Verein betrieben wurde, ändert an der Qualifikation der streitgegenständlichen Seite nichts. Jedenfalls ist es nicht so, dass diese neue Facebook-Seite die alte Facebook-Seite abgelöst hätte und der Verein eigene Posts nunmehr nur noch auf der neuen Seite eingestellt hätte. Da dem nicht so war, kann nicht der Schluss gezogen werden, es hätte nach der Vorstellung der Verantwortlichen des Klägers keine vereinseigene Seite existiert und diese sei mit der neuen Seite erst geschaffen worden.
cc) Datenschutzrechtliche Bedenken bestehen nicht. Es ist schon nicht ersichtlich, welche personenbezogenen Daten Dritter mit der Übertragung der Administrationsrechte den Verantwortlichen des Klägers bekannt werden könnten. Soweit dem aber so wäre, träte deren Schutz im Rahmen der Abwägung nach § 24 Abs. 1 Nr. 2 BDSG hinter das Informationsrecht des Anspruchsinhabers des Herausgabeanspruchs zurück (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 666 Rn. 17; BGH, NJW 2012, 58).
Der Verweis auf die EuGH-Entscheidung zur Verantwortlichkeit des Betreibers einer Facebook-Seite für die Verarbeitung personenbezogener Daten (EuZW 2018, 534) rechtfertigt keine andere Bewertung. Denn darin geht es um die von Facebook auf den Endgeräten der Besucher einer Seite gesetzten Cookies und die Möglichkeit der Seitenbetreiber, daraus anonymisierte statistische Daten betreffend die Nutzer dieser Seiten von Facebook erhalten. Hieraus kann sich eine Belehrungspflicht des Seitenbetreibers ergeben. Einem Betreiberwechsel steht diese Pflicht nicht entgegen.
dd) Der Anspruch war nicht verjährt. Die Verjährung des Herausgabeanspruchs beginnt mit seinem Fälligwerden zu laufen. Dieses ist hier auf das Ausscheiden aus dem Vorstand zu datieren (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 23 zum Auftragsrecht).
c) In der Löschung der Facebookseite nach Klageerhebung, die dazu führte, dass die Seite unwiederbringlich verloren ist, liegt schließlich das erledigende Ereignis, welches die Klage unbegründet machte. Denn nunmehr ist die Herausgabe unmöglich und von der Beklagten deshalb nicht geschuldet (§ 275 BGB).
Leitsatz des BGH: Zur Auslegung eines Vollstreckungstitels (siehe BGH, Urteil vom 12. Juli 2018 - III ZR 183/17, BGHZ 219, 243), der die - ein soziales InternetNetzwerk betreibende - Schuldnerin verpflichtet, den Erben einer verstorbenen Teilnehmerin an dem Netzwerk Zugang zu dem vollständigen Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten der Erblasserin zu gewähren.
BGH, Beschluss vom 27. August 2020 - III ZB 30/20 - KG Berlin - LG Berlin
Der BGH hat entschieden, dass Facebook den Erben eines verstorbenen Nutzers vollständigen Zugang zum Facebook-Konto gewähren muss. Die Übersendung einer PDF-Datei mit allen ausgelesenen Daten auf einem USB-Stick genügt nicht.
Die Pressemitteilung des BGH:
Zur Auslegung eines Urteils, das die Betreiberin eines sozialen Netzwerks verpflichtet, den Erben der Berechtigten eines Benutzerkontos Zugang zum vollständigen Konto zu gewähren
Der III. Zivilsenat des Bundesgerichtshofs hat entschieden, dass die Betreiberin eines sozialen Netzwerks, die verurteilt worden ist, den Erben einer Netzwerk-Teilnehmerin Zugang zu deren vollständigen Benutzerkonto zu gewähren, den Erben die Möglichkeit einräumen muss, vom Konto und dessen Inhalt auf dieselbe Weise Kenntnis zu nehmen und sich - mit Ausnahme einer aktiven Nutzung - darin so "bewegen" zu können wie zuvor die ursprüngliche Kontoberechtigte.
Sachverhalt
Die Schuldnerin betreibt ein soziales Netzwerk. Sie ist durch - vom Bundesgerichtshof (Urteil vom 12. Juli 2018 – III ZR 183/17 – Pressemitteilung 115/18) bestätigtes – rechtskräftig gewordenes Urteil des Landgerichts Berlin vom 17. Dezember 2015 verurteilt worden, den Eltern einer verstorbenen Teilnehmerin an dem Netzwerk als Erben Zugang zu dem vollständigen Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten ihrer Tochter zu gewähren. Die Schuldnerin hat daraufhin der Gläubigerin, der Mutter der Verstorbenen, einen USB-Stick übermittelt, der eine PDF-Datei mit mehr als 14.000 Seiten enthält, die nach den Angaben der Schuldnerin eine Kopie der ausgelesenen Daten aus dem von der Verstorbenen geführten Konto enthält. Zwischen den Parteien ist streitig, ob hierdurch die Verpflichtung der Schuldnerin aus dem Urteil des Landgerichts vom 17. Dezember 2015 erfüllt worden ist.
Prozessverlauf
Das Landgericht hat auf Antrag der Gläubigerin gegen die Schuldnerin wegen Nichterfüllung ihrer Verpflichtung aus dem Urteil vom 17. Dezember 2015 ein Zwangsgeld von 10.000 € festgesetzt. Das Kammergericht hat den Beschluss des Landgerichts auf die sofortige Beschwerde der Schuldnerin aufgehoben und den Antrag der Gläubigerin auf Festsetzung eines Zwangsmittels gegen die Schuldnerin zurückgewiesen. Hiergegen richtet sich die vom Kammergericht zugelassene Rechtsbeschwerde der Gläubigerin.
Entscheidung des Bundesgerichtshofs
Der III. Zivilsenat des Bundesgerichtshofs hat den Beschluss des Kammergerichts aufgehoben und die erstinstanzliche Entscheidung wiederhergestellt.
Bereits die Auslegung des Tenors des Urteils des Landgerichts Berlin vom 17. Dezember 2015 ergibt, dass der Gläubigerin nicht nur Zugang zu den im Benutzerkonto vorgehaltenen Kommunikationsinhalten zu gewähren, sondern darüber hinaus auch die Möglichkeit einzuräumen ist, vom Benutzerkonto selbst und dessen Inhalt auf dieselbe Art und Weise Kenntnis nehmen zu können, wie es die ursprüngliche Kontoberechtigte konnte.
Dies folgt zudem aus den Entscheidungsgründen des vorgenannten Urteils sowie des Urteils des Bundesgerichtshofs vom 12. Juli 2018. Beide Entscheidungen haben den von der Schuldnerin zu erfüllenden Anspruch der Gläubigerin erbrechtlich hergeleitet. Der Bundesgerichtshof hat ausgeführt, der Nutzungsvertrag zwischen der Tochter der Gläubigerin und der Schuldnerin sei mit seinen Rechten und Pflichten im Wege der Gesamtrechtsnachfolge auf die Erben übergegangen. Letztere seien hierdurch in das Vertragsverhältnis eingetreten und hätten deshalb als Vertragspartner und neue Kontoberechtigte einen Primärleistungsanspruch auf Zugang zu dem Benutzerkonto ihrer Tochter sowie den darin enthaltenen digitalen Inhalten. Aus dieser Stellung der Erben und dem auf sie übergegangenen Hauptleistungsanspruch der Erblasserin aus dem mit der Schuldnerin bestehenden Vertragsverhältnis folgt ohne weiteres, dass den Erben auf dieselbe Art und Weise Zugang zu dem Benutzerkonto zu gewähren ist wie zuvor ihrer Tochter. Das ergibt sich zudem aus zahlreichen weiteren Ausführungen des Bundesgerichtshofs und des Landgerichts Berlin in ihren vorgenannten Urteilen.
Die Schuldnerin hat ihre Verpflichtung aus dem Urteil des Landgerichts Berlin vom 17. Dezember 2015 nicht erfüllt. Durch die Überlassung des USB-Sticks mit einer umfangreichen PDF-Datei wurde kein vollständiger Zugang zum Benutzerkonto gewährt. Die PDF-Datei bildet das Benutzerkonto nicht vollständig ab. Letzteres erfordert nicht nur die Darstellung der Inhalte des Kontos, sondern auch die Eröffnung aller seiner Funktionalitäten - mit Ausnahme derer, die seine aktive Weiternutzung betreffen - und der deutschen Sprache, in der das Benutzerkonto zu Lebzeiten der Erblasserin vertragsgemäß geführt wurde. Diese Voraussetzungen erfüllt die von der Gläubigerin übermittelte Datei nicht.
Vorinstanzen:
LG Berlin – Beschluss vom 13. Februar 2019 – 20 O 172/15
Kammergericht – Beschluss vom 3. Dezember 2019 – 21 W 11/19
(1) Kann eine Handlung durch einen Dritten nicht vorgenommen werden, so ist, wenn sie ausschließlich von dem Willen des Schuldners abhängt, auf Antrag von dem Prozessgericht des ersten Rechtszuges zu erkennen, dass der Schuldner zur Vornahme der Handlung durch Zwangsgeld und für den Fall, dass dieses nicht beigetrieben werden kann, durch Zwangshaft oder durch Zwangshaft anzuhalten sei. Das einzelne Zwangsgeld darf den Betrag von 25 000 Euro nicht übersteigen. Für die Zwangshaft gelten die Vorschriften des Zweiten Abschnitts über die Haft entsprechend.
LG Münster
Versäumnisurteil vom 16.04.2019 014 O 565/18
Das LG Münster hat mit Versäumnisurteil entschieden, dass Apple den Erben eines verstorbenen iCloud-Nutzers Zugriff auf die iCloud-Daten des Verstorbenen gewähren muss.
Beim Tod des Kontoinhabers eines sozialen Netzwerks geht der Nutzungsvertrag grundsätzlich nach § 1922 BGB auf dessen Erben über. Dem Zugang zu dem Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten stehen weder das postmortale Persönlichkeitsrecht des Erblassers noch das Fernmeldegeheimnis oder das Datenschutzrecht entgegen.
BGH, Urteil vom 12. Juli 2018 - III ZR 183/17 - KG - LG Berlin
Der BGH hat zutreffend entschieden, dass die Eltern verstorbener Tochter als Erben Zugriff auf das Facebook-Konto erhalten. Der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk its grundsätzlich vererbbar. Werder das Fernmeldegeheimnis noch der Datenschutz stehen dem Übergang des Vertragsverhältnisses auf die Erben entgegen.
Die Pressemitteilung des BGH:
Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk ist vererbbar
Der III. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk grundsätzlich im Wege der Gesamtrechtsnachfolge auf die Erben des ursprünglichen Kontoberechtigten übergeht und diese einen Anspruch gegen den Netzwerkbetreiber auf Zugang zu dem Konto einschließlich der darin vorgehaltenen Kommunikationsinhalte haben.
Der Sachverhalt:
Die Klägerin ist die Mutter der im Alter von 15 Jahren verstorbenen L. W. und neben dem Vater Mitglied der Erbengemeinschaft nach ihrer Tochter. Die Beklagte betreibt ein soziales Netzwerk, über dessen Infrastruktur die Nutzer miteinander über das Internet kommunizieren und Inhalte austauschen können.
2011 registrierte sich die Tochter der Klägerin im Alter von 14 Jahren im Einverständnis ihrer Eltern bei dem sozialen Netzwerk der Beklagten und unterhielt dort ein Benutzerkonto. 2012 verstarb das Mädchen unter bisher ungeklärten Umständen infolge eines U-Bahnunglücks.
Die Klägerin versuchte hiernach, sich in das Benutzerkonto ihrer Tochter einzuloggen. Dies war ihr jedoch nicht möglich, weil die Beklagte es inzwischen in den sogenannten Gedenkzustand versetzt hatte, womit ein Zugang auch mit den Nutzerdaten nicht mehr möglich ist. Die Inhalte des Kontos bleiben jedoch weiter bestehen.
Die Klägerin beansprucht mit ihrer Klage von der Beklagten, den Erben Zugang zu dem vollständigen Benutzerkonto zu gewähren, insbesondere zu den darin vorgehaltenen Kommunikationsinhalten. Sie macht geltend, die Erbengemeinschaft benötige den Zugang zu dem Benutzerkonto, um Aufschluss darüber zu erhalten, ob ihre Tochter kurz vor ihrem Tod Suizidabsichten gehegt habe, und um Schadensersatzansprüche des U-Bahn-Fahrers abzuwehren.
Der Prozessverlauf:
Das Landgericht hat der Klage stattgegeben. Auf die Berufung der Beklagten hat das Kammergericht das erstinstanzliche Urteil abgeändert und die Klage abgewiesen. Hiergegen richtet sich die vom Berufungsgericht zugelassene Revision der Klägerin.
Die Entscheidung des Bundesgerichtshofs:
Der III. Zivilsenat des Bundesgerichtshofs hat das Urteil des Kammergerichts aufgehoben und das erstinstanzliche Urteil wiederhergestellt.
Die Erben haben gegen die Beklagte einen Anspruch, ihnen den Zugang zum Benutzerkonto der Erblasserin und den darin vorgehaltenen Kommunikationsinhalten zu gewähren. Dies ergibt sich aus dem Nutzungsvertrag zwischen der Tochter der Klägerin und der Beklagten, der im Wege der Gesamtrechtsnachfolge nach § 1922 Abs. 1 BGB auf die Erben übergegangen ist. Dessen Vererblichkeit ist nicht durch die vertraglichen Bestimmungen ausgeschlossen. Die Nutzungsbedingungen enthalten hierzu keine Regelung. Die Klauseln zum Gedenkzustand sind bereits nicht wirksam in den Vertrag einbezogen. Sie hielten überdies einer Inhaltskontrolle nach § 307 Abs. 1 und 2 BGB nicht stand und wären daher unwirksam.
Auch aus dem Wesen des Vertrags ergibt sich eine Unvererblichkeit des Vertragsverhältnisses nicht; insbesondere ist dieser nicht höchstpersönlicher Natur. Der höchstpersönliche Charakter folgt nicht aus im Nutzungsvertrag stillschweigend vorausgesetzten und damit immanenten Gründen des Schutzes der Persönlichkeitsrechte der Kommunikationspartner der Erblasserin. Zwar mag der Abschluss eines Nutzungsvertrags mit dem Betreiber eines sozialen Netzwerks in der Erwartung erfolgen, dass die Nachrichten zwischen den Teilnehmern des Netzwerks jedenfalls grundsätzlich vertraulich bleiben und nicht durch die Beklagte dritten Personen gegenüber offengelegt werden. Die vertragliche Verpflichtung der Beklagten zur Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten ist jedoch von vornherein kontobezogen. Sie hat nicht zum Inhalt, diese an eine bestimmte Person zu übermitteln, sondern an das angegebene Benutzerkonto. Der Absender einer Nachricht kann dementsprechend zwar darauf vertrauen, dass die Beklagte sie nur für das von ihm ausgewählte Benutzerkonto zur Verfügung stellt. Es besteht aber kein schutzwürdiges Vertrauen darauf, dass nur der Kontoinhaber und nicht Dritte von dem Kontoinhalt Kenntnis erlangen. Zu Lebzeiten muss mit einem Missbrauch des Zugangs durch Dritte oder mit der Zugangsgewährung seitens des Kontoberechtigten gerechnet werden und bei dessen Tod mit der Vererbung des Vertragsverhältnisses.
Eine Differenzierung des Kontozugangs nach vermögenswerten und höchstpersönlichen Inhalten scheidet aus. Nach der gesetzgeberischen Wertung gehen auch Rechtspositionen mit höchstpersönlichen Inhalten auf die Erben über. So werden analoge Dokumente wie Tagebücher und persönliche Briefe vererbt, wie aus § 2047 Abs. 2 und § 2373 Satz 2 BGB zu schließen ist. Es besteht aus erbrechtlicher Sicht kein Grund dafür, digitale Inhalte anders zu behandeln.
Einen Ausschluss der Vererblichkeit auf Grund des postmortalen Persönlichkeitsrechts der Erblasserin hat der III. Zivilsenat ebenfalls verneint.
Auch das Fernmeldegeheimnis steht dem Anspruch der Klägerin nicht entgegen. Der Erbe ist, da er vollständig in die Position des Erblassers einrückt, jedenfalls nicht "anderer" im Sinne von § 88 Abs. 3 TKG.
Schließlich kollidiert der Anspruch der Klägerin auch nicht mit dem Datenschutzrecht. Der Senat hat hierzu die seit 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) anzuwenden. Diese steht dem Zugang der Erben nicht entgegen. Datenschutzrechtliche Belange der Erblasserin sind nicht betroffen, da die Verordnung nur lebende Personen schützt. Die der Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten immanente Verarbeitung der personenbezogenen Daten der Kommunikationspartner der Erblasserin ist sowohl nach Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO als auch nach Art. 6 Abs. 1 Buchst. f DS-GVO zulässig. Sie ist sowohl zur Erfüllung der vertraglichen Verpflichtungen gegenüber den Kommunikationspartnern der Erblasserin erforderlich (Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO) als auch auf Grund berechtigter überwiegender Interessen der Erben (Art. 6 Abs. 1 Buchst. f DS-GVO).
(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.
(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung
1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder
2. wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.
(3) Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen können nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1 unwirksam sein.
(1) Der nach der Berichtigung der Nachlassverbindlichkeiten verbleibende Überschuss gebührt den Erben nach dem Verhältnis der Erbteile.
(2) Schriftstücke, die sich auf die persönlichen Verhältnisse des Erblassers, auf dessen Familie oder auf den ganzen Nachlass beziehen, bleiben gemeinschaftlich.
Ein Erbteil, der dem Verkäufer nach dem Abschluss des Kaufs durch Nacherbfolge oder infolge des Wegfalls eines Miterben anfällt, sowie ein dem Verkäufer zugewendetes Vorausvermächtnis ist im Zweifel nicht als mitverkauft anzusehen. Das Gleiche gilt von Familienpapieren und Familienbildern.
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.
(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.
(4) Befindet sich die Telekommunikationsanlage an Bord eines Wasser- oder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person, die das Fahrzeug führt oder gegenüber ihrer Stellvertretung.
Art. 6 Abs. 1 DS-GVO Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Vorinstanzen:
Landgericht Berlin – Entscheidung vom 17. Dezember 2015 - 20 O 172/15
Kammergericht – Entscheidung vom 31. Mai 2017 - 21 U 9/16
Das KG Berlin hat entschieden, dass Erben keinen Zugriff auf das Facebook-Account des verstorbenen Account-Inhabers haben. Sie können von Facebook nicht die Herausgabe der Zugangsdaten verlangen. Nach Ansicht des KG Berlin steht das Fernmeldegeheimnis der Herausgabe der Daten entgegen. Die gesetzlichen Ausnahmen im TKG greifen nach Ansicht des Gerichts nicht.
Die Revision wurde zugelassen, so dass sich voraussichtlich der BGH mit der Sache befassen wird,
Die Pressemitteilung des KG Berlin:
Kammergericht: Urteil zu Lasten der klagenden Mutter - kein Zugriff der Eltern auf Facebook-Account ihrer verstorbenen Tochter
Das Kammergericht hat in zweiter Instanz zu Gunsten von Facebook entschieden und die Klage einer Mutter, die den Zugang zu dem Facebook-Account ihres verstorbenen Kindes zusammen mit dem Kindesvater aus Erbrecht durchsetzen wollte, abgewiesen und damit zugleich das Urteil des Landgerichts Berlin abgeändert. Der Schutz des Fernmeldegeheimnisses stehe dem Anspruch der Erben entgegen, Einsicht in die Kommunikation der Tochter mit Dritten zu erhalten.
Das Kammergericht ließ offen, ob die Klägerin und der Kindesvater als Erben in den Vertrag eingerückt seien, den die verstorbene Tochter mit Facebook geschlossen hatte. Es sei zwar grundsätzlich möglich, dass die Erben in die Rechte und Pflichten dieses Vertrages eingetreten seien, und zwar nicht im Sinne der aktiven Fortführung dieses Vertrages, sondern um passive Leserechte zu erhalten. In den von Facebook gestellten Nutzungsbedingungen sei nicht geregelt, ob Rechte aus dem Vertrag im Falle des Todes des Nutzers auf seine Erben übergehen könnten. Auch der Grundgedanke des Vertrages spreche nicht generell dagegen, dass er nicht vererblich sei. Facebook wolle den Nutzern nur eine Kommunikationsplattform zur Verfügung stellen und Inhalte vermitteln. Durch eine Änderung in der Person des Vertragspartners würden die Leistungen in ihrem Charakter nicht verändert.
Andererseits regele das Bürgerliche Gesetzbuch nicht, ob höchstpersönliche Rechtspositionen (ohne vermögensrechtliche Auswirkungen) vererbbar seien, sondern setze für eine Vererbung voraus, dass sie in irgendeiner Form im Eigentum des Verstorbenen verkörpert seien und nicht nur virtuell existierten. Um zu klären, ob es sich bei – nicht verkörperten – E-Mails um solche handele, die aufgrund ihres höchstpersönlichen Inhalts nicht vererbbar seien, oder um solche, die aufgrund ihres wirtschaftlichen Bezuges vererbbar seien, würde man in der Praxis auf erhebliche Probleme und Abgrenzungsschwierigkeiten stoßen.
Der Senat müsse jedoch die Frage der Vererbbarkeit des Facebook-Accounts nicht entscheiden. Selbst wenn man davon ausgehe, dass dieser Account in das Erbe falle und die Erbengemeinschaft Zugang zu den Account-Inhalten erhalten müsse, stehe das Fernmeldegeheimnis nach dem Telekommunikationsgesetz entgegen. Dieses Gesetz sei zwar ursprünglich für Telefonanrufe geschaffen worden. Das Fernmeldegeheimnis werde jedoch in Art. 10 Grundgesetz geschützt und sei damit eine objektive Wertentscheidung der Verfassung. Daraus ergebe sich eine Schutzpflicht des Staates und auch die privaten Diensteanbieter müssten das Fernmeldegeheimnis achten. Nach einer Entscheidung des Bundesverfassungsgerichts (Urteil vom 16.6.2009, 2 BvR 902/06, BVErfGE 124, 43) erstrecke sich das Fernmeldegeheimnis auch auf E-Mails, die auf den Servern von einem Provider gespeichert seien. Denn der Nutzer sei schutzbedürftig, da er nicht die technische Möglichkeit habe, zu verhindern, dass die E-Mails durch den Provider weitergegeben würden. Dies gelte entsprechend für sonstige bei Facebook gespeicherten Kommunikationsinhalte, die nur für Absender und Empfänger oder jedenfalls einen beschränkten Nutzerkreis bestimmt sind.
Die nach dem Telekommunikationsgesetz vorgesehenen Ausnahmen würden entgegen der Auffassung des Landgerichts nicht greifen. Zwar sehe das Gesetz vor, dass einem Dritten Kenntnisse vom Inhalt der Kommunikation verschafft werden dürfe, wenn dies erforderlich sei. Als erforderlich könne jedoch nur angesehen werden, was dazu diene, den Dienst technisch zu ermöglichen oder aufrecht zu erhalten. Da Facebook jedoch seine Dienste nur beschränkt auf die Person des Nutzers angeboten habe, sei es auch aus der Sicht der ebenfalls schutzbedürftigen weiteren Beteiligten am Kommunikationsvorgang (Chat) in technischer Hinsicht nicht erforderlich, einem Erben nachträglich Zugang zum Inhalt der Kommunikation zu verschaffen.
Ebenso wenig existiere eine andere gesetzliche Vorschrift, die erlaube, von dem Schutz des Fernmeldegeheimnisses eine Ausnahme zu machen (sogenanntes „kleines Zitiergebot“). Insbesondere das Erbrecht nach dem BGB lasse nicht erkennen, dass der Gesetzgeber den Willen gehabt habe, das Fernmeldegeheimnis einzuschränken. Auch aus sonstigen Gründen sei es nicht geboten, ohne gesetzliche Regelung Ausnahmen zuzulassen und von dem so genannten “kleinen Zitiergebot“ abzuweichen.
Schließlich komme nicht in Betracht, von einem Verzicht auf den Schutz des Fernmeldegeheimnisses auszugehen, indem die klagende Mutter sich darauf berufen hatte, die Zugangsdaten von der Tochter überlassen bekommen zu haben. Dieser Umstand war zwischen den Parteien streitig. Eine Beweisaufnahme sei jedoch nicht erforderlich gewesen, da nicht nur die Verstorbene als Nutzerin des Accounts und Vertragspartnerin von Facebook, sondern zumindest auch alle diejenigen, die in einem Zwei-Personen-Verhältnis mit der Verstorbenen kommuniziert haben, auf den Schutz des Fernmeldegeheimnisses verzichtet haben müssten. Aus der Rechtsprechung des Bundesverfassungsgerichts (vgl. insb. Urteil vom 27.2.2008, 1 BvR 370/07, BVerfGE 120,274, Rz 290 bis 293) folge für den vorliegenden Fall im Endergebnis nichts Abweichendes. Die somit erforderliche Zustimmung dieser anderen Kommunikationspartner liege jedoch nicht vor.
Der Senat hat ferner geprüft, ob zu Gunsten der Klägerin außerhalb des Erbrechts ein Anspruch auf Zugang zu dem Account bestehe. Dies sei zu verneinen. Insbesondere das Recht der elterlichen Sorge verhelfe nicht zu einem solchen Anspruch. Dieses Recht erlösche mit dem Tode des Kindes. Das den Eltern noch zufallende Totenfürsorgerecht könne nicht dazu dienen, einen Anspruch auf Zugang zu dem Social-Media-Account des verstorbenen Kindes herzuleiten. Auch das eigene Persönlichkeitsrecht der Mutter sei nicht geeignet, einen Anspruch auf diesen Zugang zu begründen. Als ein Teilbereich des Persönlichkeitsrechts sei z.B. anerkannt, seine eigene Abstammung zu kennen. Trotz des verständlichen Wunsches der Eltern, die Gründe für den tragischen Tod ihres Kindes näher zu erforschen, lasse sich hieraus kein Recht auf Zugang zu dem Account ableiten. Auch wenn eine verbleibende Unkenntnis darüber die Persönlichkeitsentfaltung der Eltern massiv beeinträchtigen könne, gebe es auch vielfältige andere Ereignisse, die die gleiche Wirkung zeigen könnten. Dadurch würde das allgemeine Persönlichkeitsrecht zu einem konturenlosen und nicht mehr handhabbaren Grundrecht führen.
Das Urteil des Kammergerichts ist nicht rechtskräftig, da der Senat die Revision zum Bundesgerichtshof zugelassen hat.
Die schriftlichen Urteilsgründe werden in Kürze nachfolgend veröffentlicht.
Landgericht Berlin, Urteil vom 17. Dezember 2015, Aktenzeichen 20 O 172/15
Kammergericht, Urteil vom 31. Mai 2017, Aktenzeichen 21 U 9/16
In Ausgabe 4/16, S. 23 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Wem gehören die Daten ? Wenn Mitarbeiter Social Media Accounts pflegen, müssen Vereinbarungen her".
Das LG Berlin hat entschieden, dass die Erben Zugriff auf das Facebook-Account des verstorbenen Account-Inhabers haben. Sie können von Facebook die Herausgabe der Zugangsdaten verlangen.
Landgericht Berlin: Eltern einer minderjährig Verstorbenen haben Anspruch auf Zugang zu deren Facebook-Account
Die Zivilkammer 20 des Landgerichts hat mit einem Urteil vom 17. Dezember 2015 entschieden, dass die Eltern einer minderjährig Verstorbenen als deren Erben von Facebook die Zugangsdaten zu dem Benutzerkonto herausverlangen können.
Die Tochter der Klägerin war mit 15 Jahren unter ungeklärten Umständen durch eine in einen Bahnhof einlaufende U-Bahn tödlich verletzt worden. Die Klägerin erhoffte, über den Facebook-Account ihrer Tochter und die dort ausgetauscht Nachrichten und Posts mehr über den Tod ihrer Tochter zu erfahren und zu klären, ob es sich um einen Selbstmord gehandelt haben könnte. Dies war auch deshalb von Bedeutung, als der Fahrer der U-Bahn, die die Verstorbene erfasst hatte, gegen die Erben ein Schmerzensgeld und Schadensersatz wegen Verdienstausfalls geltend machte. Facebook Ireland Limited (im Folgenden: Facebook) verweigerte der Klägerin die Zugangsdaten zu dem in einen Gedenkzustand versetzten Account, so dass diese Klage erhob.
Das Landgericht gab der Klage statt und verpflichtete Facebook, den Eltern der Verstorbenen als deren Erben Zugang zu dem Benutzerkonto und dessen Kommunikationsinhalten zu gewähren. Der Vertrag zur Nutzung der Facebook-Dienste, den die Tochter abgeschlossen hatte, sei wie jeder andere schuldrechtliche Vertrag auf die Erben übergegangen. Eine unterschiedliche Behandlung des digitalen und des „analogen“ Vermögens des Erblassers sei nicht gerechtfertigt. Denn eine Ungleichbehandlung würde dazu führen, dass persönliche Briefe und Tagebücher unabhängig von ihrem Inhalt vererblich wären, E-Mails oder private Facebook-Nachrichten hingegen nicht.
Schutzwürdige Interessen von Facebook seien nicht gegeben. Der Nutzungsvertrag werde regelmäßig ohne nähere Prüfung des Nutzers abgeschlossen werde und dessen Identität kontrolliere Facebook nur in Ausnahmefällen. Ebenso stehe das postmortale Persönlichkeitsrecht der Verstorbenen einer Zugangsgewährung nicht entgegen. Denn die Erziehungsberechtigten seien für den Schutz des Persönlichkeitsrechtes ihrer minderjährigen Kinder zuständig. Dies gelte nicht nur zu deren Lebzeiten. Jedenfalls dann, wenn besondere Umstände wie hier die ungeklärte Todesursache der Tochter vorlägen, seien die Eltern als Erben berechtigt, sich Kenntnis darüber zu verschaffen, was ihre Tochter im Internet geäußert habe.
Die Gedenkzustands-Richtlinie, wie sie Facebook vor 2014 verwandt habe, sei unwirksam. Es stelle eine unangemessene Benachteiligung der Nutzer bzw. deren Erben dar, wenn eine beliebige Person der Facebook-Freundesliste veranlassen könnte, dass das Profil des Nutzers in den Gedenkzustand versetzt werde, und wenn dies auch von den Erben nicht rückgängig gemacht werden könne.
Auch das Datenschutzrecht stehe dem Anspruch auf Zugangsgewährung nicht entgegen. Vertrauliche Briefe, die ein Dritter verschickt habe, würden nach dem Tod des Empfängers von den Erben gelesen werden können, ohne dass ein Eingriff in die Rechte dieser Dritten vorliege. Nichts Anderes gelte für digitale Daten.
Das Urteil des Landgerichts Berlin liegt vor und ist unter http://www.berlin.de/gerichte/presse/pressemitteilungen-der-ordentlichen-gerichtsbarkeit/2016/ verfügbar. Das Urteil ist nicht rechtskräftig; dagegen kann Berufung beim Kammergericht innerhalb eines Monats ab förmlicher Zustellung des Urteils eingelegt werden.
Landgericht Berlin, Urteil vom 17. Dezember 2015 - 20 O 172/15 -
Das LG Wiesbaden hat entschieden, dass ein Anspruch auf Herausgabe von Adminstrationszugangsdaten zur Verwaltung von Domains / Webseiten und zu Email-Postfächern auch im Wege der einstweiligen Verfügung durchgesetzt werden kann.
Aus den Entscheidungsgründen:
"Der Antrag auf Erlass einer einstweiligen Verfügung ist begründet. Der Antragstellerin steht ein entsprechender Verfügungsanspruch aus dem Gesellschaftsvertrag sowie aus § 823 Abs. 1 BGB in Verbindung mit dem Recht am eingerichteten und ausgeübten Gewerbebetrieb bzw. § 823 Abs. 2 BGB i.V.m. § 88 TKG zu.
[...]
Der Verfügungsgrund ergibt sich aus dem Umstand, dass die Antragstellerin den Zugang zu Ihrer Homepage und den maßgeblichen Einfluss auf deren Gestaltung unter Ausschluss einer im Gesellschaftsvertrag nicht vorgesehenen Veränderungsmöglichkeit des Antragsgegners dringend benötigt und insoweit eine Entscheidung im Hauptsacheverfahren nicht ausreichend ist."
