Das OLG Jena hat entschieden, dass für den Fall, dass die private Nutzung eines betrieblichen E-Mail-Accounts gestattet ist, das Unternehmen im Regelfall nicht darauf zugreifen darf.
Aus den Entscheidungsgründen: 2. Der Verfügungskläger kann seine auf eine Unterlassung des Zugriffs der Verfügungsbeklagten auf Daten seines dienstlichen E-Mail-Postfaches gerichteten Eilanträge auf §§ 44 Abs. 1, 88 TKG stützen. Denn die Verfügungsbeklagte hat mit ihrer Einsichtnahme in das dienstliche E-Mail Postfach des Verfügungsklägers, für welches auch die private Nutzung erlaubt war, sowie mit der Verarbeitung der dortigen Daten - wie mit dem Schreiben ihrer Bevollmächtigten vom 15.04.2020 an den Verfügungskläger aufgeführt - gegen das Fernmeldegeheimnis verstoßen. Sie muss sich dabei als Diensteanbieter iSd §§ 88 Abs. 2, 3 Nr. 6 TKG behandeln lassen.
Der Senat ist sich dabei bewusst, dass die Frage der Anwendbarkeit des § 88 TKG auf die betriebsinterne private Nutzung von E-Mails stark umstritten ist. Die wohl (noch) herrschende Auffassung in der Fachliteratur und der Datenschutzbehörden (s. DSK, Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, abrufbar unter https://www.....de/....pdf) sieht dessen Anwendungsbereich eröffnet (zum Streitstand u.a.: Braun in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl., Kap. 7 (Stand: 01.06.2021), Rn. 141ff.; Jenny in: Plath, DSGVO/BDSG, 3. Aufl. 2018, § 88 TKG, Rn. 15f.; Härting in: Härting, Internetrecht, 6. Aufl. 2017, Datenschutzrecht, Rn. 351f., Geppert/Schütz/Bock, 4. Aufl. 2013, TKG § 88 Rn. 24ff., Spindler/Schuster/Eckhardt, 4. Aufl. 2019, TKG § 88 Rn. 26ff.; dagegen MHdB ArbR, § 96 Beschäftigtendatenschutz Rn. 298ff., beck-online).
a) Gemäß § 88 Abs. 2 TKG ist jeder Diensteanbieter zur Wahrung des Fernmeldegeheimnisses verpflichtet. Diensteanbieter nach § 3 Nr. 6 TKG ist jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste für Dritte erbringt oder an der Erbringung solcher Dienste mitwirkt. Die geschäftsmäßige Erbringung von Telekommunikationsdiensten ist nach § 3 Nr. 10 TKG das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht. Die Einordnung als Diensteanbieter im Verhältnis des Arbeitgebers zu seinen Mitarbeitern bei Gestattung der Nutzung des dienstlichen E-Mail-Postfachs oder Internetzuganges zu privaten Zwecken wird in Literatur und Rechtsprechung streitig diskutiert.
aa) In der arbeitsgerichtlichen und verwaltungsgerichtlichen Rechtsprechung ist in den vergangenen Jahren eine Tendenz zu beobachten, wonach die Einstufung des Arbeitgebers als Telekommunikationsdienstleister eher abgelehnt wird. Danach unterliege der Zugriff auf E-Mails eines Arbeitnehmers durch den Arbeitgeber auch dann nicht dem Fernmeldegeheimnis gemäß § 88 TKG, wenn die private Nutzung der dienstlichen E-Mails gestattet bzw. geduldet sei, da der Arbeitgeber in dieser Situation keine geschäftsmäßigen Telekommunikationsdienstleistungen erbringe (u.a. LAG Niedersachsen, Urteil vom 31.05.2010 - 12 Sa 875/09, BeckRS 2010, 70504; LAG Berlin-Brandenburg, Urteil vom 16.02.2011 – 4 Sa 2132/10, NZA-RR 2011, 342, beck-online; dem entgegen jedoch in diesem Punkt unter Hinweis auf die h.M. Hessisches Landesarbeitsgericht, Urteil vom 21.09.2018 – 10 Sa 601/18 –, Rn. 72, juris).
Die Fachliteratur hat diese Rechtsprechung teilweise aufgegriffen und Argumente nachgeliefert. Das TKG diene unter anderem der Umsetzung der sog. ePrivacy-Richtlinie RL 2002/58/EG, die die Regulierung öffentlicher Kommunikationsnetze bezwecke. Die Kommunikationsdienste eines Arbeitgebers seien jedoch nicht öffentlich, sondern nur für Beschäftigte während der Arbeitszeit zugänglich. Sie seien daher nicht im gleichen Maße schutzbedürftig wie die Nutzer öffentlicher Kommunikationsnetze. Beschäftigte könnten nicht darauf vertrauen, dass die Inhalte der Kommunikation stets vertraulich blieben, da bekanntermaßen berechtigte Interessen des Arbeitgebers dem entgegenstehen würden, wie z.B. Archivierungspflichten nach § 238 Abs. 2 HGB. Die Vertraulichkeit der innerbetrieblichen Kommunikation werde dagegen im hinreichenden Maße durch das Datenschutzrecht sichergestellt. Zudem setze § 3 Nr. 10 TKG voraus, dass der Diensteanbieter Telekommunikationsdienstleistungen geschäftsmäßig erbringe. Gemäß § 3 Nr. 24 TKG werden Telekommunikationsdienste „in der Regel gegen Entgelt” erbracht. Diese Regel werde jedoch in ihr Gegenteil verkehrt, wenn man den unentgeltlich leistenden Arbeitgeber als Telekommunikationsanbieter ansehe. Bei der Auslegung des Tatbestandsmerkmals „geschäftsmäßig” sei der Gesetzeszweck des § 1 TKG zu beachten. Dieser soll den Wettbewerb im Bereich der Telekommunikation fördern. Die Zielsetzung der Arbeitgeber sei aber gerade nicht die Teilnahme am freien Markt. Zudem erfordere die Praxis, dass Arbeitgeber in bestimmten Fällen die Kommunikation innerhalb des Betriebes auswerten. So müssten beispielsweise E–Mails zur Durchführung von Compliance-Maßnahmen ausgewertet werden, um der Aufsichtspflicht des Arbeitgebers nach §§ 30, 130 OWiG nachzukommen. Dies könne ebenso der Fall sein, um Anordnungen von Aufsichts- und Strafbehörden zur Sachverhaltsaufklärung zu erfüllen. Die Einordnung als Telekommunikationsanbieter führe für den Arbeitgeber daher zu unauflösbaren Konflikten mit seinen gesetzlichen Verpflichtungen. Darüber hinaus beeinträchtige das Verbot der Auswertung innerbetrieblicher Kommunikation die wesentlichen Geschäftsinteressen der Unternehmen in unangemessener Weise. Beispiele seien Fälle längerer Abwesenheiten von Beschäftigten, die wichtige Informationen in Form von E–Mails abgespeichert hätten, auf die der Arbeitgeber bzw. Arbeitskollegen keinen Zugriff hätten. Diese Beschränkung der Kontrollmöglichkeiten führe daher auf verfassungsrechtlicher Ebene zu einem unverhältnismäßigen Eingriff in berufs- und eigentumsrechtliche Grundrechte des Arbeitgebers (MHdB ArbR, § 96 Beschäftigtendatenschutz Rn. 301, 302, beck-online).
Auch wird gegen eine Anwendbarkeit des § 88 TKG aufgeführt, dass ein derartiges pauschales Verarbeitungsverbot ohne Abwägung betroffener Interessen höchst untypisch für das Datenschutzrecht sei. Dies zeigten beispielsweise die B.-Entscheidung des EuGH und das sog. Detektivurteil des BAG (MHdB ArbR, § 96 Beschäftigtendatenschutz Rn. 298, beck-online).
bb) Hingegen wird in der überwiegenden Literatur eine Anwendbarkeit des TKG in vorliegender Konstellation - auch unter Hinweis auf die Auffassung der Datenschutzbehörden - bejaht. Wer als Arbeitgeber seinen Beschäftigten die Nutzung von Telekommunikation für private Zwecke gestattet, biete damit Dritten nachhaltig (d.h. auf Dauer) Telekommunikation an. Ein Arbeitgeber sei dann als Diensteanbieter i.S.v. § 88 TKG bzw. als geschäftsmäßig Telekommunikationsdienste erbringendes Unternehmen i.S.d. § 206 StGB anzusehen und an das Fernmeldegeheimnis gebunden. Diese Ansicht könne sich auf die Entstehungsgeschichte der Norm stützen. In den Gesetzesmaterialien zu der Vorläufervorschrift (§ 85 TKG-1996) heiße es wörtlich: „Dem Fernmeldegeheimnis unterliegen damit [...] Nebenstellenanlagen in Betrieben und Behörden, soweit sie den Beschäftigten zur privaten Nutzung zur Verfügung gestellt sind.“. Neuere Stimmen in der Literatur, die in diesen Konstellationen die Geltung des Fernmeldegeheimnisses anzweifeln, seien daher nicht mit einer historischen Auslegung des Gesetzes in Einklang zu bringen. Soweit sich diese Stellungnahmen auf eine teleologische Auslegung und den Gesetzeszweck des TKG beriefen, sei dem zu entgegnen, dass erstens das TKG in § 2 weitere Ziel- und Zweckbestimmungen enthalte, zu denen gerade auch die Wahrung des Fernmeldegeheimnisses gehöre und zweitens der gesamte siebte Teil des Gesetzes sich nicht mit Wettbewerbsaspekten befasse, sondern mit öffentlicher Sicherheit, Datenschutz und dem Fernmeldegeheimnis. Die Anwendung und Auslegung dieser Bestimmungen wirke sich auf die übergeordneten Gesetzesziele der Wettbewerbsförderung und der Gewährleistung flächendeckender angemessener und ausreichender Telekommunikationsdienstleistungen allenfalls indirekt aus. Auf die Erreichung dieser Gesetzesziele dürfte es keinen spürbaren Einfluss haben, ob und inwieweit Arbeitgeber das Fernmeldegeheimnis beachten müssen (J. in: Plath, DSGVO/BDSG, 3. Aufl. 2018, § 88 TKG, Rn. 15).
Zudem sei für eine Anwendung maßgeblich, dass sonst dem Umstand, dass bei erlaubter bzw. geduldeter privater Nutzung eines E-Mail-Accounts der Anschluss nicht mehr ausschließlich nur für eigene Zwecke des Arbeitgebers bereitgestellt werde, nicht ausreichend Rechnung getragen werde. Denn durch die erlaubte bzw. geduldete Privatnutzung bestehe für den privat nutzenden Mitarbeiter dieselbe Schutzbedürftigkeit wie sie auch gegenüber einem „klassischen“ Telekommunikationsunternehmen bestehe und diesem Schutzbedürfnis werde gerade durch §§ 88 TKG, 206 StGB Rechnung getragen. Insbesondere greife auch nicht das zur Stützung der Entscheidungen der Landesarbeitsgerichte vorgebrachte Argument, dass ein Telekommunikationsdienst gem. § 3 Nr. 24 „in der Regel gegen Entgelt“ erbracht werde. Denn damit werde verkannt, dass die §§ 88 TKG, 206 StGB, 91 ff. TKG nicht auf die Legaldefinition in § 3 Nr. 24 Bezug nähmen und damit dieses Merkmal für deren Anwendung irrelevant sei. Soweit argumentiert werde, dass der Beschäftigte kein Dritter im Sinne von Datenschutzbestimmungen sei, werde ungerechtfertigt ausgeblendet, dass das Datenschutzrecht sehr wohl auch den Beschäftigten schütze, was der Gesetzgeber jedenfalls in der BDSG-Novelle zum 01.09.2009 und durch § 26 BDSG nF klargestellt habe. Möge auch das TKG kein „Arbeitnehmerschutzgesetz“ sein, müsse der Schutz der Vertraulichkeit gegenüber einem Anbieter der Telekommunikation auch in diesen Konstellationen gewährleistet werden (Spindler/Schuster/Eckhardt, 4. Aufl. 2019, TKG § 88 Rn. 31).
cc) Der Senat sieht mit der letztgenannten Auffassung derzeit die besseren Argumente für die Einordnung des Arbeitgebers als Diensteanbieter iSd §§ 88 Abs. 2, 3 Nr. 6 TKG bei Gestattung einer privaten Nutzung des dienstlichen E-Mail-Accounts. Insbesondere sind die teilweise vorgebrachten Zweckmäßigkeitserwägungen der Gegenauffassung hinsichtlich eines aus dienstlichen Gründen erforderlichen Zugriffsrechts des Arbeitgebers auf ein persönliches E-Mail-Postfach des Mitarbeiters nicht überzeugend. Denn sofern ein Zugriff zu der dienstlichen Kommunikation des Mitarbeiters für den Arbeitgeber erforderlich ist, kann er u.a. durch Veranlassung sog. Funktionspostfächer eine Abgrenzung zu der Privatsphäre des Mitarbeiters schaffen und organisatorische Maßnahmen zur Eingliederung in den betrieblichen Ablauf ergreifen.
dd) Letztlich bedarf es jedoch vorliegend keiner Entscheidung des Senats in Hinblick auf den vorgenannten Streit. Denn unabhängig von der vorgenannten Auseinandersetzung zur Frage der grundsätzlichen Anwendbarkeit des § 88 TKG liegt im streitgegenständlichen Fall eine Selbstbindung der Verfügungsbeklagten mit Schaffung eines entsprechenden Vertrauenstatbestandes infolge der eigenen Einordnung als Diensteanbieter im Rahmen ihrer Richtlinie zur Nutzung von Internet und E-Mail vor. Hierin führt diese unter 4.1 aus, dass sie durch das Angebot der privaten Nutzung des Internetzuganges und des E-Mail Anschlusses zum Anbieter von Telekommunikationsdienstleistungen werde und somit das Fernmeldegeheimnis zu wahren habe.
(1) Zwar steht die von der Verfügungsbeklagten selbst vorgetragene konkrete Anwendbarkeit dieser Richtlinie auf den Verfügungskläger zwischen den Parteien im Streit und hat die Verfügungsbeklagte hierzu weder hinreichend vorgetragen noch glaubhaft gemacht. Bei einer nur (einfachen) außervertragliche Genehmigung des Arbeitgebers hinsichtlich einer privaten Nutzung des E-Mail-Postfachs kann dieser aufgrund seines Direktionsrechts die Erlaubnis zwar jederzeit ohne Angabe von Gründen für die Zukunft aufheben. Im Falle einer betrieblichen Übung - wie von Seiten des Verfügungsklägers unbestritten vorgetragen - bestehen dagegen nur eingeschränkte Rücknahmemöglichkeiten (Braun in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl., Kap. 7 (Stand: 01.06.2021), Rn. 89), welche vorliegend nicht ersichtlich sind. Daher kommt auch eine Fiktion einer Einwilligung des Verfügungsklägers nach Ziff. 4.2 in die in der Richtlinie geregelten Kontrollrechte der Verfügungsbeklagten infolge privater Nutzung des E-Mail Anschlusses nicht in Betracht.
(2) Der Vortrag der Verfügungsbeklagten im hiesigen Verfahren zur Einordnung als Diensteanbieter im Sinne des TKG steht jedoch im Widerspruch zu der gegenüber ihren Mitarbeitern mitgeteilten eigenen Auffassung. Unabhängig von der Frage der Geltung der Richtlinien zwischen den Parteien hat die Verfügungsbeklagte mit ihrer Richtlinie zum Ausdruck gebracht, sich an die Vorgaben des TKG gebunden und zur Einhaltung des Fernmeldegeheimnisses für die auch zur privaten Nutzung gestatteten dienstlichen E-Mail-Accounts verpflichtet zu sehen. Sie hat damit einen Vertrauenstatbestand für ihre Mitarbeiter geschaffen, wonach auch der Verfügungskläger davon ausgehen konnte, dass ohne seine ausdrückliche Zustimmung die Verfügungsbeklagte keinen Zugriff auf sein dienstliches E-Mail-Postfach nehmen wird. Denn als Konsequenz einer fehlenden Zustimmung des Mitarbeiters zur Geltung der Richtlinie sieht diese lediglich dessen Ausschluss von der privaten E-Mail- bzw. Internetnutzung des dienstlichen Accounts vor. An der gegenüber allen Mitarbeitern - so auch gegenüber dem Verfügungskläger - dargestellten eigenen Einordnung der Verfügungsbeklagten als Diensteanbieter mit Bindung an das Fernmeldegeheimnis ändert eine fehlende Zustimmung des Mitarbeiters zu der Richtlinie jedoch nichts.
b) Zutreffend rügt die Berufung auch, das Landgericht habe vorliegend die Reichweite des insoweit geltenden Fernmeldegeheimnisses verkannt, indem es die Daten im E-Mail-Postfach nicht mehr als Teil des Telekommunikationsvorganges ansah, weil die E-Mails in die Unternehmensabläufe einzubeziehen seien.
Streitig ist, ob das Fernmeldegeheimnis nach Art. 10 I GG dann noch einschlägig ist, wenn der eigentliche Übertragungsvorgang abgeschlossen ist und die E-Mail lediglich auf dem Providerserver „ruht“. (LAG Hessen, Urteil vom 21.09.2018 – 10 Sa 601/18, NZA-RR 2019, 130 Rn. 57ff., beck-online m.w.N.).
Zunächst zutreffend schützt das Fernmeldegeheimnis die private Fernkommunikation und gewährleistet deren Vertraulichkeit, wenn die Beteiligten wegen der räumlichen Distanz auf eine Übermittlung durch andere angewiesen sind und deshalb in besonderer Weise einem Zugriff Dritter ausgesetzt sein können. Das Fernmeldegeheimnis schützt insoweit in erster Linie die Vertraulichkeit der ausgetauschten Informationen und damit den Kommunikationsinhalt gegen unbefugte Kenntniserlangung durch Dritte (Braun in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl., Kap. 7 (Stand: 01.06.2021), Rn. 164; BVerfG, Urteil vom 02.03.2006 – 2 BvR 2099/04 –, BVerfGE 115, 166-204).
Der Auffassung, dass der Schutz des Fernmeldegeheimnisses grundsätzlich in dem Moment ende, in dem die Nachricht bei dem Empfänger angekommen und der Übertragungsvorgang beendet sei, ist das Bundesverfassungsgericht jedoch in einer neueren Entscheidung relativierend entgegen getreten. Danach ist der zugangsgesicherte Kommunikationsinhalt in einem E-Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann, durch Art. 10 Abs. 1 GG geschützt. Das Fernmeldegeheimnis knüpft an das Kommunikationsmedium an und will jenen Gefahren für die Vertraulichkeit begegnen, die sich gerade aus der Verwendung dieses Mediums ergeben, das einem staatlichem Zugriff leichter ausgesetzt ist als die direkte Kommunikation unter Anwesenden. Die auf dem Mailserver des Providers vorhandenen E-Mails sind nicht im Herrschaftsbereich des Kommunikationsteilnehmers, sondern des Providers gespeichert. Sie befinden sich nicht auf in den Räumen des Nutzers verwahrten oder in seinen Endgeräten installierten Datenträgern (BVerfG, Urteil vom 16.06.2009 - 2 BvR 902/06 -, NJW 2009, 2431, beck-online).
Das LAG Hessen verneint in seiner Entscheidung vom 21.09.2018 (a.a.O.) deshalb eine Anwendbarkeit des § 88 TKG, sofern der Sendevorgang abgeschlossen ist und die E-Mails auf einem Ordner abgelegt sind, auf den der Arbeitgeber ohne Zugriff auf das Internet zugreifen kann.
Derartige Feststellungen sind im erstinstanzlichen Urteil jedoch weder getroffen noch ist vorliegend ein solcher Vortrag der Verfügungsbeklagten ersichtlich. Vielmehr ist nach dem Vortrag der Verfügungsbeklagten zum vermeintlichen Ausnutzen von Sicherheitslücken durch den Verfügungskläger im System O. W. A. (u.a. Berufungserwiderung Seite 3, Bl. 480 Bd. III d.A.) davon auszugehen, dass die E-Mails im O.-S. gespeichert und daher nur über das Internet abzurufen waren. Hierfür spricht auch der Umstand, dass der Verfügungskläger von mobilen Endgeräten auf das E-Mail-Postfach zugreifen konnte.
c) Entgegen der Auffassung der Verfügungsbeklagten kommt es auch nicht darauf an, dass nach ihrem Vortrag lediglich dienstliche E-Mails bzw. deren Zu- und Abgangsdaten im E-Mail-Postfach des Verfügungsklägers kontrolliert wurden. Die fehlende Gestattung der Kontrolle privater E-Mails im dienstlichen E-Mail-Postfach verhindert mittelbar auch die Überwachung dienstlicher E-Mails. Zwar erstreckt sich die Verpflichtung zur Wahrung des Fernmeldegeheimnisses nur auf E-Mails, für die der Arbeitgeber als Diensteanbieter gilt, also nur auf die privaten E-Mails. Wenn sich aber private E-Mails im E-Mail-System nicht klar von dienstlichen E-Mails unterscheiden lassen, müssen auch dienstliche E-Mails wie private behandelt werden. Der Arbeitgeber kann keine Kontrolle der gesamten E-Mails mit der Begründung durchführen, diese richte sich nur auf dienstliche E-Mails. Vielmehr müsste der Arbeitgeber vor jeder Kontrollmaßnahme entscheiden, ob eine dienstliche E-Mail vorliegt. Dies kann allenfalls anhand der Adresse und/oder des Betreffs, oft aber erst durch Prüfung des Inhalts ermittelt werden. Dieses Vorgehen ist indes ohne Einwilligung grundsätzlich unzulässig, so dass bei einer Mischnutzung keine zulässige Differenzierung möglich ist. Bei erlaubter Privatnutzung des dienstlichen E-Mail-Accounts dürfen also auch dienstliche E-Mails nicht kontrolliert werden, es sei denn, der Arbeitnehmer hat sich hiermit einverstanden erklärt, wobei ein solches Einverständnis auch zur Bedingung für eine Erlaubnis der Privatnutzung gemacht werden kann (Braun in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl., Kap. 7 (Stand: 01.06.2021), Rn. 150).
d) Eine Einwilligung des Verfügungsklägers in die Kontrolle seines E-Mail-Postfachs liegt auch nicht vor. Die Verfügungsbeklagte beruft sich hinsichtlich einer Einwilligung des Verfügungsklägers in mögliche Kontrollmaßnahmen auf Ziffer 4.1 RL, welche durch Privatnutzung erfolgt sein soll. Dies würde jedoch zunächst voraussetzen, dass die Anwendung der Richtlinie zwischen den Parteien so vereinbart worden ist. Allein aus dem Direktionsrecht des Arbeitgebers folgt die Anwendbarkeit nicht. Vortrag zu einer konkreten Vereinbarung hat die Verfügungsbeklagte nicht erbracht. Es wird auf obige Ausführungen verwiesen.
e) Ebenso kann sich die Verfügungsbeklagte nicht auf eine ausnahmsweise Rechtfertigung ihres Verhaltens wegen eines konkreten Missbrauchsverdachtes berufen. Eine solche Kontrollmöglichkeit des Arbeitgebers wird zwar in der überwiegenden Literatur vertreten, wenn der konkrete Verdacht einer Straftat oder des Verrats von Geschäftsgeheimnissen besteht. Allerdings ist dieses Ergebnis nach gegenwärtiger Rechtslage kaum schlüssig begründbar. Es fehlt an einem Erlaubnistatbestand i.S.d. § 88 Abs. 3 TKG. § 100 Abs. 3 TKG greift nicht, denn die Verwendung von „Verkehrsdaten zur Aufklärung der Verletzung geschäftlicher Interessen“ des Arbeitgebers als Diensteanbieter ist gem. § 100 Abs. 3 TKG auf telekommunikationsspezifische Missbräuche beschränkt (Braun in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl., Kap. 7 (Stand: 01.06.2021), Rn. 158).
Darüber hinaus ist vorliegend jedoch auch ein konkreter Missbrauchsverdacht im Vorfeld des hier streitgegenständlichen Eingriffs für die Verfügungsbeklagte nicht ersichtlich. Vielmehr hat sich diese erst durch den unzulässigen Zugriff auf den E-Mail-Account selbst mögliche Verdachtsmomente geschaffen. Die Ableitung eines konkreten Missbrauchsverdachtes zuvor wegen der Umstände um die fehlende Herausgabe des USB-Sticks durch den Verfügungskläger trägt hingegen nicht. Denn dieser hatte hierzu unbestritten vorgetragen, dass sich auf dem USB-Stick Daten zu seinen persönlichen finanziellen Verhältnissen befanden, die wiederum seine Privatsphäre betrafen.
f) Aufgrund des bestehenden Anspruchs des Verfügungsklägers aus §§ 44, 88 TKG bedarf es einer weiteren Auseinandersetzung des Senats mit möglichen Ansprüchen des Verfügungsklägers gem. §§ 1004, 823 Abs. 2 BGB i.V.m. §§ 202a, 206 StGB bzw. DSGVO und BDSG nicht.
3. Auch der erforderliche Verfügungsgrund ist vorliegend gegeben.
Bei der Frage, ob der Erlass einer einstweiligen Verfügung zur Abwendung wesentlicher Nachteile erforderlich ist, sind die schutzwürdigen Interessen beider Seiten im Rahmen des gerichtlichen Beurteilungsspielraums gegeneinander abzuwägen. Es muss eine Dringlichkeit gegeben sein, die bei zu langem Zuwarten des Erlassantrages widerlegt werden kann. In persönlichkeitsrechtlichen Streitigkeiten ist ein Verfügungsgrund für eine auf Unterlassung gerichtet einstweilige Verfügung regelmäßig zu bejahen, wenn keine Selbstwiderlegung der Dringlichkeit, insbesondere durch Zuwarten, gegeben ist. (OLG Dresden, Beschluss vom 06. Januar 2021 – 4 U 1928/20 –, Rn. 7, juris m.w.N.).
Der Antrag auf einstweilige Verfügung ist durch den Verfügungskläger unmittelbar nach Bekanntwerden der Einsichtnahme in sein E-Mail-Postfach durch Schriftsatz der Verfügungsbeklagten vom 15.04.2020 am 11.05.2020 gestellt worden. Diese Frist ist nach Auffassung des Senats noch ausreichend, zumal der Verfügungskläger bereits mit Schreiben vom 23.04.2020 sein Rechtsschutzziel gegenüber der Verfügungsbeklagten mit Geltendmachung seiner Rechte nach DSGVO deutlich machte. Auf die Frage einer fehlenden Vollstreckung der zunächst erlassenen einstweiligen Verfügung kommt es nicht an.
Das LG Köln hat dem Betroffenen in diesem Fall 4.000 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen der Offenlegung einer Geschäftsbeziehung zu einem Konkurrenzunternehmen gegenüber einem Vorgesetzten zugesprochen. Der Betroffene hatte mit seiner Klage 100.000 EURO Schadensersatz verlangt. Die Klage wurde daher überwiegend abgewiesen.
Aus den Entscheidungsgründen: Der Kläger hat gegen die Beklagte zu 1) einen Anspruch auf Zahlung eines Schadensersatzes in Höhe von 4.000 € aus Art. 82 Datenschutz-Grundverordnung (im Folgenden: DS-GVO).
1. Die Beklagte zu 1) hat personenbezogene Daten des Klägers im Sinne des Art. 4 Nr. 2 DS-GVO dadurch verarbeitet, dass sie die streitgegenständliche E-Mail an Herrn K. versandt hat. Sie muss sich dabei die Handlung ihres Angestellten, des Beklagten zu 2), zurechnen lassen. Zur Verarbeitung im Sinne der DS-GVO zählt auch die „Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“.
Die Offenlegung der Vertragsverhältnisse zwischen der Beklagten zu 1) und dem Kläger an den Vorgesetzten des Klägers war auch rechtswidrig. Sie unterfällt keinem Rechtfertigungstatbestand nach Art. 6 Abs. 1 DS-GVO. Insbesondere ist sie nicht zur Erfüllung des Vertrags mit dem Kläger „erforderlich“, Art. 6 Abs. 1 lit. b) DS-GVO. Erforderlichkeit setzt voraus, dass ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht. Ein solcher Zusammenhang ist hier nicht ersichtlich. Der Vorgesetzte des Klägers ist in keiner Weise in den Vertrag involviert und für die private Lebensführung des Klägers auch offensichtlich in keiner Weise verantwortlich. Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass der Kläger ebenfalls als Autoverkäufer in einem Konkurrenzunternehmen tätig ist. Gerade in diesem Fall drängt sich der Gedanke förmlich auf, dass dem Kläger aus einer Offenlegung seiner Geschäftsbeziehungen zu einem Konkurrenzunternehmen Probleme erwachsen können, was für die Erfüllung des Vertrags nicht förderlich sein dürfte.
Die Beklagte zu 1) ist für den Verstoß gegen Art. 6 Abs. 1 DS-GVO auch verantwortlich und muss sich das Verhalten ihres Mitarbeiters zurechnen lassen. Eine Exkulpation nach Art. 82 Abs. 3 DS-GVO kommt nicht in Betracht. Soweit die Beklagte zu 1) schlicht darauf abstellt, dass der Beklagte zu 2) dem Kläger keinen Schaden habe zufügen wollen, verfängt dies nicht. Die Versendung der E-Mail erfolgte vorsätzlich. Eine Schädigungsabsicht setzt Art. 82 DS-GVO nicht voraus.
2. Der Verstoß ist auch derart gravierend, dass er eine Schadensersatzpflicht der Beklagten zu 1) auslöst, allerdings nur in tenorierter Höhe.
Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe, a.a.O.). Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, sodass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13).Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe, a.a.O.). Die Ermittlung des Schadens obliegt nach § 287 ZPO dem Gericht.
Der Verstoß der Beklagten zu 1) gegen die Regeln der DS-GVO ist bereits für sich derart gravierend, dass er eine entschädigungspflichtige Persönlichkeitsrechtsverletzung des Klägers begründet. Dass sich der Beklagte zu 2) hier an den Vorgesetzten des Klägers gewandt haben, ist nicht nur unangebracht und ein Verstoß gegen die DS-GVO, sondern für den Kläger auch peinlich und mit erheblichen Unannehmlichkeiten verbunden, weil er sich – unabhängig von der tatsächlichen Reaktion seines Vorgesetzten – genötigt fühlen könnte, sich gegenüber seinem Arbeitgeber dafür rechtfertigen zu müssen, bei der Konkurrenz ein Auto gekauft zu haben. Dies ist mit einem erheblichen Gefühl der Scham verbunden. Es handelt sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kläger hatte jedoch ein offensichtliches Geheimhaltungsinteresse. Der Verstoß führt insoweit auch zu einem völligen Verlust der Kontrolle über die Daten, auch wenn die Information nur an eine Person geleitet wurde. Zudem erfolgte der Verstoß vorsätzlich, auch wenn der Beklagte zu 2), wie die Beklagte zu 1) unbestritten vorgetragen hat, keine Schädigungsabsicht gehabt hat.
Für die Frage der Schadensbemessung ist von Bedeutung, dass die Kammer die von dem Kläger behaupteten Folgen des Datenschutzverstoßes ihrer Entscheidung nicht zu Grunde legen kann.
Der Vortrag des Klägers zur Zerrüttung seines Arbeitsverhältnisses ist unsubstantiiert und prozessual unbeachtlich. Die Beklagte zu 1) hat sich offenbar im Betrieb des Klägers informiert und in ihrem Schriftsatz vom 23.08.2022 detailliert vorgetragen, dass es zu keiner Zerrüttung des Arbeitsverhältnisses gekommen ist. Dabei hat sie auch auf Ungereimtheiten im Vortrag des Klägers hingewiesen, die dieser selbst nicht entkräften konnte. So erfolgte die erste Krankschreibung des Klägers nicht unmittelbar nach dem streitgegenständlichen Vorfall, sondern erst einige Wochen später. Soweit der Kläger im April 2022 vorgetragen hat, seine Stelle sei neu besetzt worden und sein Vertrag ende „bald“, fehlt es an Vortrag dazu, wann dieser Zeitpunkt konkret sein soll. Da der Kläger noch mit Schriftsatz vom 02.08.2022 eine aktuelle Arbeitsunfähigkeitsbescheinigung bis zum 15.08.2022 vorgelegt hat, scheinen deutliche Zweifel angebracht, ob das Arbeitsverhältnis überhaupt in absehbarer Zeit enden wird. Auch fehlt es an substantiiertem Vortrag zu einer dauerhaften Arbeitsunfähigkeit des Klägers, da dieser nach den vorliegenden Unterlagen lediglich im Zeitraum Ende August bis Anfang Oktober 2021 und im Zeitraum um die Replik im August 2022 krankgeschrieben gewesen ist, somit lediglich für wenige Wochen. Da der Kläger auf den Vortrag der Beklagten zu 1) in ihrem Schriftsatz vom 23.08.2022 nicht mehr reagiert hat, gilt der Vortrag der Beklagten zu 1) als zugestanden.
Auch soweit der Kläger vorgetragen hat, an einer Depression zu leiden, ist sein Vortrag unbeachtlich. Ein ärztliches Attest, das diese Diagnose belegen könnte, hat er nicht vorgelegt. Sein Hausarzt hat ihm am 24.09.2021 lediglich eine „depressive Episode“ diagnostiziert. Substantiierter Sachvortrag zu seinen konkreten Symptomen, die es erlauben würden, die Diagnose einer Depression, egal in welcher Form, zu stellen, ist nicht erfolgt. Etwas anderes ergibt sich auch nicht aus dem Schreiben des Prof. X (Anlage K020). Hierbei handelt es sich nicht etwa um ein Privatgutachten, das geeignet wäre, den klägerischen Vortrag zu substantiieren, sondern um ein in einem reißerischen Tonfall geschriebenes Gefälligkeitsschreiben, das für die Kammer insgesamt unbeachtlich war. Nicht nur lässt es Prof. X an jeglicher Neutralität in Bezug auf den hier anhängigen Rechtsstreit vermissen. Es ergibt sich aus dem Schreiben noch nicht einmal, ob der Kläger bei Prof. X überhaupt in Behandlung war, so dass für die Kammer nicht ersichtlich ist, auf welcher therapeutischen Grundlage sich der Prof. X überhaupt ein Urteil zum Gesundheitszustand des Klägers anmaßt.
Die Kammer will nicht in Abrede stellen, dass der Kläger tatsächlich unter hohem psychischen Druck steht. Er war in der mündlichen Verhandlung sichtlich angefasst und schien deutlich zu leiden. Dieses Leiden ist jedoch nicht derart substantiiert im Prozess vorgetragen worden, dass es für die Kammer prozessual verwertbar wäre und für die Einholung eines psychologischen Sachverständigengutachtens gereicht hätte. Dies gilt nicht nur für den Vortrag des Klägers hinsichtlich des Vorliegens einer Depression, sondern auch für die Frage, ob gerade der Datenschutzverstoß der Beklagten für die Krankheit des Klägers kausal geworden ist. Die Einholung eines Sachverständigengutachtens würde vor diesem Hintergrund einem Ausforschungsbeweis gleichkommen.
Bei der Bemessung des Schmerzensgelds war weiterhin zu berücksichtigen, dass die Beklagte zu 1) eine strafbewehrte Unterlassungserklärung abgegeben und sich bereits mit E-Mail vom 20.07.2021 beim Kläger entschuldigt hat. Weiterhin war zu berücksichtigen, dass nach Sinn und Zweck von Art. 82 DS-GVO das Schmerzensgeld so zu bemessen ist, dass es eine abschreckende Wirkung auf die Beklagte ausübt. Dabei war jedoch auch darauf zu achten, dass auch nach der Konzeption des Art. 82 DS-GVO der Schadensersatz nicht in einen Strafschadensersatz ausartet, sondern in erster Linie der Kompensation tatsächlich entstandener Schäden beim Kläger dient (vgl. Erwägungsgrund (146) S. 5 DS-GVO: „erlittener Schaden“). In diesem Zusammenhang war für die Kammer entscheidend auf die finanzielle Situation der Beklagten zu 1) abzustellen, nicht hingegen auf die Finanzkraft des „V-Konzern s“ insgesamt. Die Beklagte zu 1) mag zum V-Konzern gehören, sie ist aber rechtlich unabhängig. Der Kläger hat nicht die Volkswagen AG verklagt, so dass der Vortrag zu deren Umsätzen unbeachtlich ist. Vortrag zur finanziellen Situation der Beklagten zu 1) fehlt indes. Daher verbietet sich auch eine Orientierung an einem möglicherweise von der Aufsichtsbehörde noch zu verhängendem Bußgeld gegen die Beklagte zu 1). Der Vortrag des Klägers zur Höhe dieses Bußgelds, insbesondere dass dieses die Höchstgrenze des Art. 83 Abs. 4 DS-GVO von 10 Milliarden EUR erreichen könnte, stellt sich vor diesem Hintergrund nicht als eine ernsthafte Prognose dar.
Unter Berücksichtigung sämtlicher dieser zuvor genannten Umstände hält die Kammer gemäß § 287 ZPO insgesamt einen Schadensersatz von 4.000 EUR für notwendig, aber auch ausreichend zur Kompensation des dem Kläger entstandenen Schadens.
Das LG Köln hat in diesem Fall entschieden, dass der Betroffene einen Anspruch auf 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO hat, da der Verantwortliche die Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah gelöscht hatte.
Aus den Entscheidungsgründen:
Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Die Beklagte hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt.
Das der Beklagten anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. LG München I a.a.O. Rn. 39).
Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).
Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die Beklagte ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.
Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (LG München I a.a.O. Rn. 44 m.w.N.).
Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. C. sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst. Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.
Das LG München hat in diesem Verfahren dem Betroffenen 2.500 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf das Dokumentenarchiv durch Unbefugte zugesprochen.
Aus den Entscheidungsgründen:
Der Kläger hat gegenüber der Beklagten einen Anspruch auf Zahlung von 2.500, - Euro gem. Art. 82 Abs. 1 DSGVO als immateriellen Schadensersatz.
Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Nach Art. 82 Abs. 3 DSGVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden (Quaas BeckOK Datenschutzrecht, Wolff/Brink; 36. Edition Stand: 01.05.2021 § 82 Rn. 51; 9 U 34/21 OLG Stuttgart Urteil vom 31.03.2021; LG Frankfurt vom 18.01.2021 — 2-30 O 147/20).
Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.
Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.
Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.
Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).
So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen CS. nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens CS. gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn - wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.
Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es - entgegen der Ansicht des Beklagten - nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen CS. hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte - und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen.
Wenn die Beklagte außerdem betont, dass es sich bei CS. um ein unabhängiges Uhnternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es lag eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei CS. zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen.
Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2; Paal, MMR 2020, 14, 17 m.w.N.), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre (vgl. Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Ed., 01.08.2020, Art. 82 DSGVO Rn. 51; 26 - Mitursächlichkeit genügt).
Sofern die Beklagte das Urteil das LG München I vom 02.09.2021, 23 O 10931/20 angeführt, sprechen dessen Entscheidungsgründe gerade dafür, dass im vorliegenden Fall ein Schaden gegeben ist. So weist das Landgericht zutreffend darauf hin, dass nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden kann sowie dass in den Erwägungsgründen (Nr. 75) (insbesondere) auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt sind (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Im dortigen Verfahren hat das Gericht seine Entscheidung insbesondere darauf gestützt, dass der Kläger sich darauf beschränkt hat, vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten (was aber auch im Erwägungsgrund Nr. 75 genannt ist!). Während dort ein Angriff auf den Account der E-Mail-Adresse zugrunde liegt, sind im vorliegenden Fall wesentlich umfangreichere und sensiblere Daten abgegriffen worden. Entgegen der Ansicht des LG Essen, Urteil vom 23.9.2021 - 6 O 190/21 liegt darin eine nicht nur „unbedeutende oder empfundene Verletzung von Persönlichkeitsrechten“. Im Übrigen erwähnt das LG Essen auch, dass ein Schmerzensgeldanspruch nach Art. 82 DS-GVO nicht auf schwere Schäden beschränkt ist, sodass sich ein genereller Ausschluss von Bagatellfällen verbietet. Das Gericht geht zudem offensichtlich (und zutreffend) auch davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreichen würde.
Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 Ill EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts — und damit auch der DS-GVO — gewährleistet (Wybitul/Haß/Albrecht: NJW 2018, 113, beck-online; vgl. auch Korch, NJW 2021, 978 - „Aus Erwägungsgrund 146 S. 3 ergibt sich, dass der Begriff des Schadens weit zu verstehen ist“).
Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.
So hat die Beklagte mit Schreiben vom 19.10.2020 (Anlage K 7) den betroffenen Kunden, somit auch dem Kläger mitgeteilt, dass die folgenden Daten von dem Vorfall betroffen sind wie „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“ und dass der Versuch unternommen werden könnte, Dritte mit der Identität des Kunden zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).
Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten (vgl. Quaas BeckOK Datenschutzrecht, Wolff/Brink 37. Edition Stand: 01.08.2021 Rn. 31), wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).
Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch - wie oben angesprochen - die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen.
Sofern die Beklagte meint, es sei eine Vorabentscheidung des EuGH zwingend erforderlich, was jüngst das BVerfG, Beschluss von 14.1.2021 - 1 BvR 2853/19 festgestellt hat, so übersieht sie Art. 267 Abs. 3 AEUV. Während nämlich bei dem, der genannten Entscheidung zugrunde liegenden Sachverhalt weder die Berufungsbeschwer erreicht war, noch das Amtsgericht die Berufung zugelassen hatte, ist diese vorliegend unzweifelhaft gegeben (vgl. § 511 Abs. 1, 2 Ziff. 1 ZPO), so dass keine letztinstanzliche Entscheidung gegeben ist.
Das LG Frankfurt hat entschieden, dass das Vorstandsmitglied eines Vereins, welches für den Verein eine Facebook-Seite erstellt hat, nach § 27 Abs. 3 S. 1 i.V.m. § 667 BGB die Administratorenrechte an der Facebook-Seite an den Verein herausgeben muss, auch wenn die Facebook-Seite unter Nutzung des privaten Accounts eingerichtet wurde.
Aus den Entscheidungsgründen:
Dem Kläger stand, wie das Amtsgericht zu Recht und mit überzeugender Begründung angenommen hat, ein Anspruch gegen die Beklagte auf Herausgabe der Facebook-Seite zu, und zwar in der Weise wie beantragt, d.h. durch Übertragung der Administrationsrechte auf den von dem Kläger bezeichneten Mitglied seines Vorstands.
aa) Zu Recht hat das Amtsgericht diesen Anspruch auf § 27 Abs. 3 S. 1 i.V.m. § 667 BGB gestützt. Danach hat das Vorstandsmitglied eines Vereins wie ein Beauftragter dasjenige herauszugeben, was es zur Ausführung seines Amtes erhält oder daraus erlangt (vgl. BeckOGK/Segna, 01.07.2020, § 27 BGB Rn. 102). Die Herausgabepflicht erstreckt sich auf jeden erlangten Vorteil, einschließlich solcher Gegenstände, die der Beauftragte selbst hervorgebracht, d.h. angefertigt oder erworben hat (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 17).
Auch Online-Konten, beispielsweise ein Facebook-Account, zählen dazu, wenn sie in Ausübung des Amtes geschaffen worden sind (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 21 m.w.N.). Hiervon abzugrenzen sind privat genutzte, aber mit Bezügen zu dem Auftraggeber angelegte Facebook-Konten, die von der Herausgabepflicht dann ausgenommen sind, wenn sie einen substanziellen privaten Anteil aufweisen (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 21 unter Verweis auf AG Brandenburg, NZA-RR 2018, 364).
In Anwendung dieser Grundsätze sind Administrationsrechte an einer Facebook-Seite jedenfalls dann von der Herausgabepflicht umfasst, wenn ein Vorstandsmitglied, wenn auch systembedingt unter Nutzung eines privaten Accounts, im Auftrag des Vereins für diesen einen Facebook-Auftritt geschaffen hat.
bb) Um einen solchen Fall handelt es sich hier.
Dies ist in tatsächlicher Hinsicht freilich streitig. Das Amtsgericht hat aber zu Recht das wechselseitige Parteivorbringen, die vorgelegten Unterlagen und die Angaben der Beklagten im Rahmen ihrer persönlichen Anhörung in der Gesamtschau in diesem Sinne ausgewertet.
(1) Die genannten Angaben der Beklagten sprechen am stärksten für diese Wertung. Sie hat in der mündlichen Verhandlung vor dem Amtsgericht Folgendes erklärt: „Ich habe für den Verein die Facebook-Seite errichtet und habe meine Vorstandskollegen in der Sitzung darüber informiert. Da diese keine Ahnung von Facebook haben, haben sie mir vertraut und haben dem sozusagen zugestimmt“ (Sitzungsniederschrift vom 28.10.2019, S. 2; Bl. 455 R d.A.). Aus diesen Worten spricht das Verständnis, eine Tätigkeit in der Eigenschaft als Vorstandsmitglied ausgeübt zu haben. Inwieweit die Beklagte durch einen förmlichen Beschluss hiermit im engeren Sinne beauftragt wurde, ist nicht entscheidend. Denn § 27 Abs. 3 S. 1 verweist zwar auf das Auftragsrecht, setzt für Herausgabeansprüche aus § 667 BGB aber nicht voraus, dass das einzelne Vorstandsmitglied i.S.v. § 662 BGB beauftragt wurde, sondern allein, dass es aus der Ausübung seines Amtes etwas erlangt hat (vgl. BeckOGK/Segna, 01.07.2020, § 27 BGB Rn. 102).
Mit diesen Angaben hat die Beklagte eine zentrale Behauptung der Klägerseite wirksam zugestanden. Dass diese Behauptung in Widerspruch zu dem schriftsätzlichen Vorbringen steht, ist unschädlich, denn die Partei kann auch im Anwaltsprozess Tatsachen zugestehen, die ihr Anwalt vorher bestritten hatte (Zöller/Althammer, ZPO, 33. Aufl. 2020, § 85 Rn. 9).
(2) Dass die Facebook-Seite, zunächst von der Beklagten allein gepflegt, eine Seite des Vereins sein sollte und es nach ihrem Verständnis auch war, wird zusätzlich daran anschaulich, dass sämtliche Posts in der Wir-Form gehalten sind und vielfach auf diese oder andere Weise ausdrücklich auf Veranstaltungen des Vereins oder auf den Verein selbst hinweisen, z.B. am 23.10.2011: „Es ist wichtig, daß diese Seite bekannter wird. …“ (vgl. dazu und zu weiteren Beispielen Anlage K 11; Bl. 128 ff. d.A.).
(3) Ohne den Beweisantritten des Klägers zu Inhalt und Verlauf von Vorstandssitzungen nachgehen zu müssen, ergeben sich aus den vorgelegten Unterlagen weitere Hinweise darauf, dass es dem Verständnis sämtlicher Vorstandsmitglieder entsprach, dass es sich bei der Seite um den Facebook-Auftritt des Vereins handeln sollte, namentlich die Tagesordnung vom 06.01.2011 („Facebook-Bearbeitung X…“; Anlage K 10; Bl. 127 d.A.) und die Verweise auf die Facebook-Seite in dem Flyer des Vereins (Anlage K 12; Bl. 400 f. d.A.) und in der von der Beklagten erstellten Vereinschronik (Anlage K 13; Bl. 402 f. d.A.).
(4) Auch die Äußerungen der Beklagten nach ihrem Ausscheiden aus dem Vorstand bilden ein wichtiges Indiz in diesem Sinne. So spricht sie im Jahr 2019 davon, auf Facebook eine „Vereinsseite“ eingerichtet zu haben (Anlage K 7; Bl. 66 f. d.A.) und von dem Wunsch, „mit der Facebook-Seite des Vereins“ jetzt nichts mehr zu tun zu haben (Anlage K 17; Bl. 407 d.A.), weil sie sich in die passive Mitgliedschaft zurückziehen wolle und kein Interesse mehr an der Kontrolle der Seite habe (Anlage K 16; Bl. 406 d.A.). Diese Äußerungen sind mit der Annahme, es habe sich bei der Seite um die eigene und private Seite der Beklagten gehandelt, unvereinbar.
Dass die Äußerungen aus dem Zusammenhang gerissen seien, wie die Beklagte pauschal vorträgt, ist bei der Lektüre der Äußerungen im Zusammenhang, wie er durch die vorgelegten Anlagen ermöglicht wird, nicht nachvollziehbar.
Es stimmt zwar, dass solche nachträglichen Äußerungen die rechtliche Qualifikation des damaligen Vorstandshandelns nicht beeinflussen können. Doch ergibt sich aus ihnen, dass die Beklagte nachträglich nicht in Zweifel zog, dass sie die Seite seinerzeit als Vorstandsmitglied für den Verein angelegt und betrieben hatte. Deshalb legen sie den Schluss sehr nahe, dass dem zu dem relevanten Zeitpunkt tatsächlich so war.
(5) Dass im Profil der Facebook-Seite zunächst nicht, wie von 2016 oder 2017 an, der Vereinsname erschien, sondern das Schlagwort „…“, ist unter diesen Umständen unschädlich.
Vielmehr ergibt sich aus der Umgestaltung der Seite ab 2016 ein weiteres Indiz dafür, dass es sich nach dem Verständnis aller Beteiligten um die Seite des Vereins handelte. Die Beklagte erklärt hierzu selbst, sie habe den stellvertretenden Vorsitzenden Y… „als Hilfsperson“ bei der Administration der Seite zugelassen, der nun ebenfalls dort gepostet, den Verein (ohne ihr Wissen) als Verantwortlichen in das Impressum aufgenommen und die Seite (was sie hingenommen habe) in „…“ umbenannt habe. Zunächst entspricht die Stellung, die Herr Y… damit übernahm, nicht derjenigen einer „Hilfsperson“. An anderer Stelle spricht die Beklagte auch zutreffender von der eines „Mitadministrators“. Vor allem aber wäre dann, wenn es sich nach dem Verständnis der Beklagten um ihre eigene private Facebook-Seite gehandelt hätte, nicht zu erwarten gewesen, dass die Beklagte einem Dritten diese Befugnisse einräumt und dessen Eingriffe in die Gestaltung einfach hinnimmt.
(6) Die Facebook-Seite „…“, auch wenn sie ebenfalls – ab dem Jahr 2018 – von dem Verein betrieben wurde, ändert an der Qualifikation der streitgegenständlichen Seite nichts. Jedenfalls ist es nicht so, dass diese neue Facebook-Seite die alte Facebook-Seite abgelöst hätte und der Verein eigene Posts nunmehr nur noch auf der neuen Seite eingestellt hätte. Da dem nicht so war, kann nicht der Schluss gezogen werden, es hätte nach der Vorstellung der Verantwortlichen des Klägers keine vereinseigene Seite existiert und diese sei mit der neuen Seite erst geschaffen worden.
cc) Datenschutzrechtliche Bedenken bestehen nicht. Es ist schon nicht ersichtlich, welche personenbezogenen Daten Dritter mit der Übertragung der Administrationsrechte den Verantwortlichen des Klägers bekannt werden könnten. Soweit dem aber so wäre, träte deren Schutz im Rahmen der Abwägung nach § 24 Abs. 1 Nr. 2 BDSG hinter das Informationsrecht des Anspruchsinhabers des Herausgabeanspruchs zurück (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 666 Rn. 17; BGH, NJW 2012, 58).
Der Verweis auf die EuGH-Entscheidung zur Verantwortlichkeit des Betreibers einer Facebook-Seite für die Verarbeitung personenbezogener Daten (EuZW 2018, 534) rechtfertigt keine andere Bewertung. Denn darin geht es um die von Facebook auf den Endgeräten der Besucher einer Seite gesetzten Cookies und die Möglichkeit der Seitenbetreiber, daraus anonymisierte statistische Daten betreffend die Nutzer dieser Seiten von Facebook erhalten. Hieraus kann sich eine Belehrungspflicht des Seitenbetreibers ergeben. Einem Betreiberwechsel steht diese Pflicht nicht entgegen.
dd) Der Anspruch war nicht verjährt. Die Verjährung des Herausgabeanspruchs beginnt mit seinem Fälligwerden zu laufen. Dieses ist hier auf das Ausscheiden aus dem Vorstand zu datieren (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 23 zum Auftragsrecht).
c) In der Löschung der Facebookseite nach Klageerhebung, die dazu führte, dass die Seite unwiederbringlich verloren ist, liegt schließlich das erledigende Ereignis, welches die Klage unbegründet machte. Denn nunmehr ist die Herausgabe unmöglich und von der Beklagten deshalb nicht geschuldet (§ 275 BGB).
Leitsatz des BGH: Zur Auslegung eines Vollstreckungstitels (siehe BGH, Urteil vom 12. Juli 2018 - III ZR 183/17, BGHZ 219, 243), der die - ein soziales InternetNetzwerk betreibende - Schuldnerin verpflichtet, den Erben einer verstorbenen Teilnehmerin an dem Netzwerk Zugang zu dem vollständigen Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten der Erblasserin zu gewähren.
BGH, Beschluss vom 27. August 2020 - III ZB 30/20 - KG Berlin - LG Berlin
Der BGH hat entschieden, dass Facebook den Erben eines verstorbenen Nutzers vollständigen Zugang zum Facebook-Konto gewähren muss. Die Übersendung einer PDF-Datei mit allen ausgelesenen Daten auf einem USB-Stick genügt nicht.
Die Pressemitteilung des BGH:
Zur Auslegung eines Urteils, das die Betreiberin eines sozialen Netzwerks verpflichtet, den Erben der Berechtigten eines Benutzerkontos Zugang zum vollständigen Konto zu gewähren
Der III. Zivilsenat des Bundesgerichtshofs hat entschieden, dass die Betreiberin eines sozialen Netzwerks, die verurteilt worden ist, den Erben einer Netzwerk-Teilnehmerin Zugang zu deren vollständigen Benutzerkonto zu gewähren, den Erben die Möglichkeit einräumen muss, vom Konto und dessen Inhalt auf dieselbe Weise Kenntnis zu nehmen und sich - mit Ausnahme einer aktiven Nutzung - darin so "bewegen" zu können wie zuvor die ursprüngliche Kontoberechtigte.
Sachverhalt
Die Schuldnerin betreibt ein soziales Netzwerk. Sie ist durch - vom Bundesgerichtshof (Urteil vom 12. Juli 2018 – III ZR 183/17 – Pressemitteilung 115/18) bestätigtes – rechtskräftig gewordenes Urteil des Landgerichts Berlin vom 17. Dezember 2015 verurteilt worden, den Eltern einer verstorbenen Teilnehmerin an dem Netzwerk als Erben Zugang zu dem vollständigen Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten ihrer Tochter zu gewähren. Die Schuldnerin hat daraufhin der Gläubigerin, der Mutter der Verstorbenen, einen USB-Stick übermittelt, der eine PDF-Datei mit mehr als 14.000 Seiten enthält, die nach den Angaben der Schuldnerin eine Kopie der ausgelesenen Daten aus dem von der Verstorbenen geführten Konto enthält. Zwischen den Parteien ist streitig, ob hierdurch die Verpflichtung der Schuldnerin aus dem Urteil des Landgerichts vom 17. Dezember 2015 erfüllt worden ist.
Prozessverlauf
Das Landgericht hat auf Antrag der Gläubigerin gegen die Schuldnerin wegen Nichterfüllung ihrer Verpflichtung aus dem Urteil vom 17. Dezember 2015 ein Zwangsgeld von 10.000 € festgesetzt. Das Kammergericht hat den Beschluss des Landgerichts auf die sofortige Beschwerde der Schuldnerin aufgehoben und den Antrag der Gläubigerin auf Festsetzung eines Zwangsmittels gegen die Schuldnerin zurückgewiesen. Hiergegen richtet sich die vom Kammergericht zugelassene Rechtsbeschwerde der Gläubigerin.
Entscheidung des Bundesgerichtshofs
Der III. Zivilsenat des Bundesgerichtshofs hat den Beschluss des Kammergerichts aufgehoben und die erstinstanzliche Entscheidung wiederhergestellt.
Bereits die Auslegung des Tenors des Urteils des Landgerichts Berlin vom 17. Dezember 2015 ergibt, dass der Gläubigerin nicht nur Zugang zu den im Benutzerkonto vorgehaltenen Kommunikationsinhalten zu gewähren, sondern darüber hinaus auch die Möglichkeit einzuräumen ist, vom Benutzerkonto selbst und dessen Inhalt auf dieselbe Art und Weise Kenntnis nehmen zu können, wie es die ursprüngliche Kontoberechtigte konnte.
Dies folgt zudem aus den Entscheidungsgründen des vorgenannten Urteils sowie des Urteils des Bundesgerichtshofs vom 12. Juli 2018. Beide Entscheidungen haben den von der Schuldnerin zu erfüllenden Anspruch der Gläubigerin erbrechtlich hergeleitet. Der Bundesgerichtshof hat ausgeführt, der Nutzungsvertrag zwischen der Tochter der Gläubigerin und der Schuldnerin sei mit seinen Rechten und Pflichten im Wege der Gesamtrechtsnachfolge auf die Erben übergegangen. Letztere seien hierdurch in das Vertragsverhältnis eingetreten und hätten deshalb als Vertragspartner und neue Kontoberechtigte einen Primärleistungsanspruch auf Zugang zu dem Benutzerkonto ihrer Tochter sowie den darin enthaltenen digitalen Inhalten. Aus dieser Stellung der Erben und dem auf sie übergegangenen Hauptleistungsanspruch der Erblasserin aus dem mit der Schuldnerin bestehenden Vertragsverhältnis folgt ohne weiteres, dass den Erben auf dieselbe Art und Weise Zugang zu dem Benutzerkonto zu gewähren ist wie zuvor ihrer Tochter. Das ergibt sich zudem aus zahlreichen weiteren Ausführungen des Bundesgerichtshofs und des Landgerichts Berlin in ihren vorgenannten Urteilen.
Die Schuldnerin hat ihre Verpflichtung aus dem Urteil des Landgerichts Berlin vom 17. Dezember 2015 nicht erfüllt. Durch die Überlassung des USB-Sticks mit einer umfangreichen PDF-Datei wurde kein vollständiger Zugang zum Benutzerkonto gewährt. Die PDF-Datei bildet das Benutzerkonto nicht vollständig ab. Letzteres erfordert nicht nur die Darstellung der Inhalte des Kontos, sondern auch die Eröffnung aller seiner Funktionalitäten - mit Ausnahme derer, die seine aktive Weiternutzung betreffen - und der deutschen Sprache, in der das Benutzerkonto zu Lebzeiten der Erblasserin vertragsgemäß geführt wurde. Diese Voraussetzungen erfüllt die von der Gläubigerin übermittelte Datei nicht.
Vorinstanzen:
LG Berlin – Beschluss vom 13. Februar 2019 – 20 O 172/15
Kammergericht – Beschluss vom 3. Dezember 2019 – 21 W 11/19
(1) Kann eine Handlung durch einen Dritten nicht vorgenommen werden, so ist, wenn sie ausschließlich von dem Willen des Schuldners abhängt, auf Antrag von dem Prozessgericht des ersten Rechtszuges zu erkennen, dass der Schuldner zur Vornahme der Handlung durch Zwangsgeld und für den Fall, dass dieses nicht beigetrieben werden kann, durch Zwangshaft oder durch Zwangshaft anzuhalten sei. Das einzelne Zwangsgeld darf den Betrag von 25 000 Euro nicht übersteigen. Für die Zwangshaft gelten die Vorschriften des Zweiten Abschnitts über die Haft entsprechend.
LG Münster
Versäumnisurteil vom 16.04.2019 014 O 565/18
Das LG Münster hat mit Versäumnisurteil entschieden, dass Apple den Erben eines verstorbenen iCloud-Nutzers Zugriff auf die iCloud-Daten des Verstorbenen gewähren muss.
Beim Tod des Kontoinhabers eines sozialen Netzwerks geht der Nutzungsvertrag grundsätzlich nach § 1922 BGB auf dessen Erben über. Dem Zugang zu dem Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten stehen weder das postmortale Persönlichkeitsrecht des Erblassers noch das Fernmeldegeheimnis oder das Datenschutzrecht entgegen.
BGH, Urteil vom 12. Juli 2018 - III ZR 183/17 - KG - LG Berlin
Der BGH hat zutreffend entschieden, dass die Eltern verstorbener Tochter als Erben Zugriff auf das Facebook-Konto erhalten. Der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk its grundsätzlich vererbbar. Werder das Fernmeldegeheimnis noch der Datenschutz stehen dem Übergang des Vertragsverhältnisses auf die Erben entgegen.
Die Pressemitteilung des BGH:
Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk ist vererbbar
Der III. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk grundsätzlich im Wege der Gesamtrechtsnachfolge auf die Erben des ursprünglichen Kontoberechtigten übergeht und diese einen Anspruch gegen den Netzwerkbetreiber auf Zugang zu dem Konto einschließlich der darin vorgehaltenen Kommunikationsinhalte haben.
Der Sachverhalt:
Die Klägerin ist die Mutter der im Alter von 15 Jahren verstorbenen L. W. und neben dem Vater Mitglied der Erbengemeinschaft nach ihrer Tochter. Die Beklagte betreibt ein soziales Netzwerk, über dessen Infrastruktur die Nutzer miteinander über das Internet kommunizieren und Inhalte austauschen können.
2011 registrierte sich die Tochter der Klägerin im Alter von 14 Jahren im Einverständnis ihrer Eltern bei dem sozialen Netzwerk der Beklagten und unterhielt dort ein Benutzerkonto. 2012 verstarb das Mädchen unter bisher ungeklärten Umständen infolge eines U-Bahnunglücks.
Die Klägerin versuchte hiernach, sich in das Benutzerkonto ihrer Tochter einzuloggen. Dies war ihr jedoch nicht möglich, weil die Beklagte es inzwischen in den sogenannten Gedenkzustand versetzt hatte, womit ein Zugang auch mit den Nutzerdaten nicht mehr möglich ist. Die Inhalte des Kontos bleiben jedoch weiter bestehen.
Die Klägerin beansprucht mit ihrer Klage von der Beklagten, den Erben Zugang zu dem vollständigen Benutzerkonto zu gewähren, insbesondere zu den darin vorgehaltenen Kommunikationsinhalten. Sie macht geltend, die Erbengemeinschaft benötige den Zugang zu dem Benutzerkonto, um Aufschluss darüber zu erhalten, ob ihre Tochter kurz vor ihrem Tod Suizidabsichten gehegt habe, und um Schadensersatzansprüche des U-Bahn-Fahrers abzuwehren.
Der Prozessverlauf:
Das Landgericht hat der Klage stattgegeben. Auf die Berufung der Beklagten hat das Kammergericht das erstinstanzliche Urteil abgeändert und die Klage abgewiesen. Hiergegen richtet sich die vom Berufungsgericht zugelassene Revision der Klägerin.
Die Entscheidung des Bundesgerichtshofs:
Der III. Zivilsenat des Bundesgerichtshofs hat das Urteil des Kammergerichts aufgehoben und das erstinstanzliche Urteil wiederhergestellt.
Die Erben haben gegen die Beklagte einen Anspruch, ihnen den Zugang zum Benutzerkonto der Erblasserin und den darin vorgehaltenen Kommunikationsinhalten zu gewähren. Dies ergibt sich aus dem Nutzungsvertrag zwischen der Tochter der Klägerin und der Beklagten, der im Wege der Gesamtrechtsnachfolge nach § 1922 Abs. 1 BGB auf die Erben übergegangen ist. Dessen Vererblichkeit ist nicht durch die vertraglichen Bestimmungen ausgeschlossen. Die Nutzungsbedingungen enthalten hierzu keine Regelung. Die Klauseln zum Gedenkzustand sind bereits nicht wirksam in den Vertrag einbezogen. Sie hielten überdies einer Inhaltskontrolle nach § 307 Abs. 1 und 2 BGB nicht stand und wären daher unwirksam.
Auch aus dem Wesen des Vertrags ergibt sich eine Unvererblichkeit des Vertragsverhältnisses nicht; insbesondere ist dieser nicht höchstpersönlicher Natur. Der höchstpersönliche Charakter folgt nicht aus im Nutzungsvertrag stillschweigend vorausgesetzten und damit immanenten Gründen des Schutzes der Persönlichkeitsrechte der Kommunikationspartner der Erblasserin. Zwar mag der Abschluss eines Nutzungsvertrags mit dem Betreiber eines sozialen Netzwerks in der Erwartung erfolgen, dass die Nachrichten zwischen den Teilnehmern des Netzwerks jedenfalls grundsätzlich vertraulich bleiben und nicht durch die Beklagte dritten Personen gegenüber offengelegt werden. Die vertragliche Verpflichtung der Beklagten zur Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten ist jedoch von vornherein kontobezogen. Sie hat nicht zum Inhalt, diese an eine bestimmte Person zu übermitteln, sondern an das angegebene Benutzerkonto. Der Absender einer Nachricht kann dementsprechend zwar darauf vertrauen, dass die Beklagte sie nur für das von ihm ausgewählte Benutzerkonto zur Verfügung stellt. Es besteht aber kein schutzwürdiges Vertrauen darauf, dass nur der Kontoinhaber und nicht Dritte von dem Kontoinhalt Kenntnis erlangen. Zu Lebzeiten muss mit einem Missbrauch des Zugangs durch Dritte oder mit der Zugangsgewährung seitens des Kontoberechtigten gerechnet werden und bei dessen Tod mit der Vererbung des Vertragsverhältnisses.
Eine Differenzierung des Kontozugangs nach vermögenswerten und höchstpersönlichen Inhalten scheidet aus. Nach der gesetzgeberischen Wertung gehen auch Rechtspositionen mit höchstpersönlichen Inhalten auf die Erben über. So werden analoge Dokumente wie Tagebücher und persönliche Briefe vererbt, wie aus § 2047 Abs. 2 und § 2373 Satz 2 BGB zu schließen ist. Es besteht aus erbrechtlicher Sicht kein Grund dafür, digitale Inhalte anders zu behandeln.
Einen Ausschluss der Vererblichkeit auf Grund des postmortalen Persönlichkeitsrechts der Erblasserin hat der III. Zivilsenat ebenfalls verneint.
Auch das Fernmeldegeheimnis steht dem Anspruch der Klägerin nicht entgegen. Der Erbe ist, da er vollständig in die Position des Erblassers einrückt, jedenfalls nicht "anderer" im Sinne von § 88 Abs. 3 TKG.
Schließlich kollidiert der Anspruch der Klägerin auch nicht mit dem Datenschutzrecht. Der Senat hat hierzu die seit 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) anzuwenden. Diese steht dem Zugang der Erben nicht entgegen. Datenschutzrechtliche Belange der Erblasserin sind nicht betroffen, da die Verordnung nur lebende Personen schützt. Die der Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten immanente Verarbeitung der personenbezogenen Daten der Kommunikationspartner der Erblasserin ist sowohl nach Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO als auch nach Art. 6 Abs. 1 Buchst. f DS-GVO zulässig. Sie ist sowohl zur Erfüllung der vertraglichen Verpflichtungen gegenüber den Kommunikationspartnern der Erblasserin erforderlich (Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO) als auch auf Grund berechtigter überwiegender Interessen der Erben (Art. 6 Abs. 1 Buchst. f DS-GVO).
(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.
(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung
1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder
2. wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.
(3) Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen können nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1 unwirksam sein.
(1) Der nach der Berichtigung der Nachlassverbindlichkeiten verbleibende Überschuss gebührt den Erben nach dem Verhältnis der Erbteile.
(2) Schriftstücke, die sich auf die persönlichen Verhältnisse des Erblassers, auf dessen Familie oder auf den ganzen Nachlass beziehen, bleiben gemeinschaftlich.
Ein Erbteil, der dem Verkäufer nach dem Abschluss des Kaufs durch Nacherbfolge oder infolge des Wegfalls eines Miterben anfällt, sowie ein dem Verkäufer zugewendetes Vorausvermächtnis ist im Zweifel nicht als mitverkauft anzusehen. Das Gleiche gilt von Familienpapieren und Familienbildern.
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.
(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.
(4) Befindet sich die Telekommunikationsanlage an Bord eines Wasser- oder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person, die das Fahrzeug führt oder gegenüber ihrer Stellvertretung.
Art. 6 Abs. 1 DS-GVO Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Vorinstanzen:
Landgericht Berlin – Entscheidung vom 17. Dezember 2015 - 20 O 172/15
Kammergericht – Entscheidung vom 31. Mai 2017 - 21 U 9/16
Das KG Berlin hat entschieden, dass Erben keinen Zugriff auf das Facebook-Account des verstorbenen Account-Inhabers haben. Sie können von Facebook nicht die Herausgabe der Zugangsdaten verlangen. Nach Ansicht des KG Berlin steht das Fernmeldegeheimnis der Herausgabe der Daten entgegen. Die gesetzlichen Ausnahmen im TKG greifen nach Ansicht des Gerichts nicht.
Die Revision wurde zugelassen, so dass sich voraussichtlich der BGH mit der Sache befassen wird,
Die Pressemitteilung des KG Berlin:
Kammergericht: Urteil zu Lasten der klagenden Mutter - kein Zugriff der Eltern auf Facebook-Account ihrer verstorbenen Tochter
Das Kammergericht hat in zweiter Instanz zu Gunsten von Facebook entschieden und die Klage einer Mutter, die den Zugang zu dem Facebook-Account ihres verstorbenen Kindes zusammen mit dem Kindesvater aus Erbrecht durchsetzen wollte, abgewiesen und damit zugleich das Urteil des Landgerichts Berlin abgeändert. Der Schutz des Fernmeldegeheimnisses stehe dem Anspruch der Erben entgegen, Einsicht in die Kommunikation der Tochter mit Dritten zu erhalten.
Das Kammergericht ließ offen, ob die Klägerin und der Kindesvater als Erben in den Vertrag eingerückt seien, den die verstorbene Tochter mit Facebook geschlossen hatte. Es sei zwar grundsätzlich möglich, dass die Erben in die Rechte und Pflichten dieses Vertrages eingetreten seien, und zwar nicht im Sinne der aktiven Fortführung dieses Vertrages, sondern um passive Leserechte zu erhalten. In den von Facebook gestellten Nutzungsbedingungen sei nicht geregelt, ob Rechte aus dem Vertrag im Falle des Todes des Nutzers auf seine Erben übergehen könnten. Auch der Grundgedanke des Vertrages spreche nicht generell dagegen, dass er nicht vererblich sei. Facebook wolle den Nutzern nur eine Kommunikationsplattform zur Verfügung stellen und Inhalte vermitteln. Durch eine Änderung in der Person des Vertragspartners würden die Leistungen in ihrem Charakter nicht verändert.
Andererseits regele das Bürgerliche Gesetzbuch nicht, ob höchstpersönliche Rechtspositionen (ohne vermögensrechtliche Auswirkungen) vererbbar seien, sondern setze für eine Vererbung voraus, dass sie in irgendeiner Form im Eigentum des Verstorbenen verkörpert seien und nicht nur virtuell existierten. Um zu klären, ob es sich bei – nicht verkörperten – E-Mails um solche handele, die aufgrund ihres höchstpersönlichen Inhalts nicht vererbbar seien, oder um solche, die aufgrund ihres wirtschaftlichen Bezuges vererbbar seien, würde man in der Praxis auf erhebliche Probleme und Abgrenzungsschwierigkeiten stoßen.
Der Senat müsse jedoch die Frage der Vererbbarkeit des Facebook-Accounts nicht entscheiden. Selbst wenn man davon ausgehe, dass dieser Account in das Erbe falle und die Erbengemeinschaft Zugang zu den Account-Inhalten erhalten müsse, stehe das Fernmeldegeheimnis nach dem Telekommunikationsgesetz entgegen. Dieses Gesetz sei zwar ursprünglich für Telefonanrufe geschaffen worden. Das Fernmeldegeheimnis werde jedoch in Art. 10 Grundgesetz geschützt und sei damit eine objektive Wertentscheidung der Verfassung. Daraus ergebe sich eine Schutzpflicht des Staates und auch die privaten Diensteanbieter müssten das Fernmeldegeheimnis achten. Nach einer Entscheidung des Bundesverfassungsgerichts (Urteil vom 16.6.2009, 2 BvR 902/06, BVErfGE 124, 43) erstrecke sich das Fernmeldegeheimnis auch auf E-Mails, die auf den Servern von einem Provider gespeichert seien. Denn der Nutzer sei schutzbedürftig, da er nicht die technische Möglichkeit habe, zu verhindern, dass die E-Mails durch den Provider weitergegeben würden. Dies gelte entsprechend für sonstige bei Facebook gespeicherten Kommunikationsinhalte, die nur für Absender und Empfänger oder jedenfalls einen beschränkten Nutzerkreis bestimmt sind.
Die nach dem Telekommunikationsgesetz vorgesehenen Ausnahmen würden entgegen der Auffassung des Landgerichts nicht greifen. Zwar sehe das Gesetz vor, dass einem Dritten Kenntnisse vom Inhalt der Kommunikation verschafft werden dürfe, wenn dies erforderlich sei. Als erforderlich könne jedoch nur angesehen werden, was dazu diene, den Dienst technisch zu ermöglichen oder aufrecht zu erhalten. Da Facebook jedoch seine Dienste nur beschränkt auf die Person des Nutzers angeboten habe, sei es auch aus der Sicht der ebenfalls schutzbedürftigen weiteren Beteiligten am Kommunikationsvorgang (Chat) in technischer Hinsicht nicht erforderlich, einem Erben nachträglich Zugang zum Inhalt der Kommunikation zu verschaffen.
Ebenso wenig existiere eine andere gesetzliche Vorschrift, die erlaube, von dem Schutz des Fernmeldegeheimnisses eine Ausnahme zu machen (sogenanntes „kleines Zitiergebot“). Insbesondere das Erbrecht nach dem BGB lasse nicht erkennen, dass der Gesetzgeber den Willen gehabt habe, das Fernmeldegeheimnis einzuschränken. Auch aus sonstigen Gründen sei es nicht geboten, ohne gesetzliche Regelung Ausnahmen zuzulassen und von dem so genannten “kleinen Zitiergebot“ abzuweichen.
Schließlich komme nicht in Betracht, von einem Verzicht auf den Schutz des Fernmeldegeheimnisses auszugehen, indem die klagende Mutter sich darauf berufen hatte, die Zugangsdaten von der Tochter überlassen bekommen zu haben. Dieser Umstand war zwischen den Parteien streitig. Eine Beweisaufnahme sei jedoch nicht erforderlich gewesen, da nicht nur die Verstorbene als Nutzerin des Accounts und Vertragspartnerin von Facebook, sondern zumindest auch alle diejenigen, die in einem Zwei-Personen-Verhältnis mit der Verstorbenen kommuniziert haben, auf den Schutz des Fernmeldegeheimnisses verzichtet haben müssten. Aus der Rechtsprechung des Bundesverfassungsgerichts (vgl. insb. Urteil vom 27.2.2008, 1 BvR 370/07, BVerfGE 120,274, Rz 290 bis 293) folge für den vorliegenden Fall im Endergebnis nichts Abweichendes. Die somit erforderliche Zustimmung dieser anderen Kommunikationspartner liege jedoch nicht vor.
Der Senat hat ferner geprüft, ob zu Gunsten der Klägerin außerhalb des Erbrechts ein Anspruch auf Zugang zu dem Account bestehe. Dies sei zu verneinen. Insbesondere das Recht der elterlichen Sorge verhelfe nicht zu einem solchen Anspruch. Dieses Recht erlösche mit dem Tode des Kindes. Das den Eltern noch zufallende Totenfürsorgerecht könne nicht dazu dienen, einen Anspruch auf Zugang zu dem Social-Media-Account des verstorbenen Kindes herzuleiten. Auch das eigene Persönlichkeitsrecht der Mutter sei nicht geeignet, einen Anspruch auf diesen Zugang zu begründen. Als ein Teilbereich des Persönlichkeitsrechts sei z.B. anerkannt, seine eigene Abstammung zu kennen. Trotz des verständlichen Wunsches der Eltern, die Gründe für den tragischen Tod ihres Kindes näher zu erforschen, lasse sich hieraus kein Recht auf Zugang zu dem Account ableiten. Auch wenn eine verbleibende Unkenntnis darüber die Persönlichkeitsentfaltung der Eltern massiv beeinträchtigen könne, gebe es auch vielfältige andere Ereignisse, die die gleiche Wirkung zeigen könnten. Dadurch würde das allgemeine Persönlichkeitsrecht zu einem konturenlosen und nicht mehr handhabbaren Grundrecht führen.
Das Urteil des Kammergerichts ist nicht rechtskräftig, da der Senat die Revision zum Bundesgerichtshof zugelassen hat.
Die schriftlichen Urteilsgründe werden in Kürze nachfolgend veröffentlicht.
Landgericht Berlin, Urteil vom 17. Dezember 2015, Aktenzeichen 20 O 172/15
Kammergericht, Urteil vom 31. Mai 2017, Aktenzeichen 21 U 9/16
In Ausgabe 4/16, S. 23 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Wem gehören die Daten ? Wenn Mitarbeiter Social Media Accounts pflegen, müssen Vereinbarungen her".
Das LG Berlin hat entschieden, dass die Erben Zugriff auf das Facebook-Account des verstorbenen Account-Inhabers haben. Sie können von Facebook die Herausgabe der Zugangsdaten verlangen.
Landgericht Berlin: Eltern einer minderjährig Verstorbenen haben Anspruch auf Zugang zu deren Facebook-Account
Die Zivilkammer 20 des Landgerichts hat mit einem Urteil vom 17. Dezember 2015 entschieden, dass die Eltern einer minderjährig Verstorbenen als deren Erben von Facebook die Zugangsdaten zu dem Benutzerkonto herausverlangen können.
Die Tochter der Klägerin war mit 15 Jahren unter ungeklärten Umständen durch eine in einen Bahnhof einlaufende U-Bahn tödlich verletzt worden. Die Klägerin erhoffte, über den Facebook-Account ihrer Tochter und die dort ausgetauscht Nachrichten und Posts mehr über den Tod ihrer Tochter zu erfahren und zu klären, ob es sich um einen Selbstmord gehandelt haben könnte. Dies war auch deshalb von Bedeutung, als der Fahrer der U-Bahn, die die Verstorbene erfasst hatte, gegen die Erben ein Schmerzensgeld und Schadensersatz wegen Verdienstausfalls geltend machte. Facebook Ireland Limited (im Folgenden: Facebook) verweigerte der Klägerin die Zugangsdaten zu dem in einen Gedenkzustand versetzten Account, so dass diese Klage erhob.
Das Landgericht gab der Klage statt und verpflichtete Facebook, den Eltern der Verstorbenen als deren Erben Zugang zu dem Benutzerkonto und dessen Kommunikationsinhalten zu gewähren. Der Vertrag zur Nutzung der Facebook-Dienste, den die Tochter abgeschlossen hatte, sei wie jeder andere schuldrechtliche Vertrag auf die Erben übergegangen. Eine unterschiedliche Behandlung des digitalen und des „analogen“ Vermögens des Erblassers sei nicht gerechtfertigt. Denn eine Ungleichbehandlung würde dazu führen, dass persönliche Briefe und Tagebücher unabhängig von ihrem Inhalt vererblich wären, E-Mails oder private Facebook-Nachrichten hingegen nicht.
Schutzwürdige Interessen von Facebook seien nicht gegeben. Der Nutzungsvertrag werde regelmäßig ohne nähere Prüfung des Nutzers abgeschlossen werde und dessen Identität kontrolliere Facebook nur in Ausnahmefällen. Ebenso stehe das postmortale Persönlichkeitsrecht der Verstorbenen einer Zugangsgewährung nicht entgegen. Denn die Erziehungsberechtigten seien für den Schutz des Persönlichkeitsrechtes ihrer minderjährigen Kinder zuständig. Dies gelte nicht nur zu deren Lebzeiten. Jedenfalls dann, wenn besondere Umstände wie hier die ungeklärte Todesursache der Tochter vorlägen, seien die Eltern als Erben berechtigt, sich Kenntnis darüber zu verschaffen, was ihre Tochter im Internet geäußert habe.
Die Gedenkzustands-Richtlinie, wie sie Facebook vor 2014 verwandt habe, sei unwirksam. Es stelle eine unangemessene Benachteiligung der Nutzer bzw. deren Erben dar, wenn eine beliebige Person der Facebook-Freundesliste veranlassen könnte, dass das Profil des Nutzers in den Gedenkzustand versetzt werde, und wenn dies auch von den Erben nicht rückgängig gemacht werden könne.
Auch das Datenschutzrecht stehe dem Anspruch auf Zugangsgewährung nicht entgegen. Vertrauliche Briefe, die ein Dritter verschickt habe, würden nach dem Tod des Empfängers von den Erben gelesen werden können, ohne dass ein Eingriff in die Rechte dieser Dritten vorliege. Nichts Anderes gelte für digitale Daten.
Das Urteil des Landgerichts Berlin liegt vor und ist unter http://www.berlin.de/gerichte/presse/pressemitteilungen-der-ordentlichen-gerichtsbarkeit/2016/ verfügbar. Das Urteil ist nicht rechtskräftig; dagegen kann Berufung beim Kammergericht innerhalb eines Monats ab förmlicher Zustellung des Urteils eingelegt werden.
Landgericht Berlin, Urteil vom 17. Dezember 2015 - 20 O 172/15 -
Das LG Wiesbaden hat entschieden, dass ein Anspruch auf Herausgabe von Adminstrationszugangsdaten zur Verwaltung von Domains / Webseiten und zu Email-Postfächern auch im Wege der einstweiligen Verfügung durchgesetzt werden kann.
Aus den Entscheidungsgründen:
"Der Antrag auf Erlass einer einstweiligen Verfügung ist begründet. Der Antragstellerin steht ein entsprechender Verfügungsanspruch aus dem Gesellschaftsvertrag sowie aus § 823 Abs. 1 BGB in Verbindung mit dem Recht am eingerichteten und ausgeübten Gewerbebetrieb bzw. § 823 Abs. 2 BGB i.V.m. § 88 TKG zu.
[...]
Der Verfügungsgrund ergibt sich aus dem Umstand, dass die Antragstellerin den Zugang zu Ihrer Homepage und den maßgeblichen Einfluss auf deren Gestaltung unter Ausschluss einer im Gesellschaftsvertrag nicht vorgesehenen Veränderungsmöglichkeit des Antragsgegners dringend benötigt und insoweit eine Entscheidung im Hauptsacheverfahren nicht ausreichend ist."
