Die einzelnen News

EuGH: Bei automatisierter Bonitätsbewertung müssen detaillierte Erläuterungen zur Berechnung gegeben werden

Automatisierte Bonitätsbeurteilung: Die betroffene Person hat das Recht, zu erfahren, wie die sie betreffende Entscheidung zustande kam

Die Erläuterung muss es ihr ermöglichen, die automatisierte Entscheidung nachzuvollziehen und sie anzufechten

In Österreich verweigerte ein Mobilfunkanbieter einer Kundin den Abschluss eines Vertrags, da sie über keine ausreichende Bonität verfüge, Er stützte sich dafür auf eine Bonitätsbeurteilung der Kundin, die von Dun & Bradstreet Austria, einem auf die Erstellung solcher Beurteilungen spezialisierten Unternehmen, automatisiert durchgeführt worden war, Der Vertrag hätte die Kundin zu einer monatlichen Zahlung von zehn Euro verpflichtet.

Im Rahmen des daran anschließenden Rechtsstreits stellte ein österreichisches Gericht rechtskräftig fest, dass Dun & Bradstreet gegen die Datenschutz-Grundverordnung (DSGVO)1 verstoßen habe, Dun & Bradstreet habe der Kundin nämlich keine „aussagekräftigen Informationen über die involvierte Logik" der betreffenden automatisierten Entscheidungsfindung übermittelt, Zumindest habe das Unternehmen nicht hinreichend begründet, weshalb es nicht in der Lage sei, solche Informationen zu übermitteln,
Das Gericht, an das sich die Kundin für die Exekution der gerichtlichen Entscheidung wandte, fragt sich, welche Handlungen Dun & Bradstreet in diesem Zusammenhang konkret vornehmen muss, Es hat den Gerichtshof daher um Auslegung der DSGVO und der Richtlinie über den Schutz von Geschäftsgeheimnissen ersucht.

Dem Gerichtshof zufolge muss der Verantwortliche das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden.

Für die Erfüllung der Erfordernisse der Transparenz und der Nachvollziehbarkeit könnte es u, a, ausreichen, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte, Die bloße Übermittlung eines Algorithmus stellt jedoch keine ausreichend präzise und verständliche Erläuterung dar.

Ist der Verantwortliche der Ansicht, dass die zu übermittelnden Informationen geschützte Daten Dritter oder Geschäftsgeheimnisse umfassen, hat er diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln, Diese müssen die einander gegenüberstehenden Rechte und Interessen abwägen, um den Umfang des Auskunftsrechts der betroffenen Person hinsichtlich dieser Informationen zu ermitteln.

Der Gerichtshof stellt in diesem Zusammenhang klar, dass die DSGVO der Anwendung einer nationalen Bestimmung entgegensteht, die das in Rede stehende Auskunftsrecht grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde.

Urteil des Gerichtshofs in der Rechtssache C-203/22 | Dun & Bradstreet Austria

Quelle: Pressemitteilung des EuGH v. 27.02.2024

EuGH: Werbeaktionen für verschreibungspflichtige Arzneimittel

Die Mitgliedstaaten dürfen Werbeaktionen für den Bezug unbestimmter verschreibungspflichtiger Arzneimittel in Gestalt von Preisnachlässen oder Zahlungen in Höhe eines genauen Betrags erlauben

Ferner dürfen die Mitgliedstaaten Werbeaktionen für den Bezug solcher Arzneimittel verbieten, wenn damit Gutscheine für nachfolgende Bestellungen nicht verschreibungspflichtiger Arzneimittel sowie von Gesundheitsund Pflegeprodukten angeboten werden

DocMorris, eine niederländische Versandapotheke, führte seit dem Jahr 2012 verschiedene Werbeaktionen für den Bezug verschreibungspflichtiger Arzneimittel durch, die auf Kunden in Deutschland abzielten.

Es handelte sich zum einen um Preisnachlässe und Zahlungen in Höhe eines genauen Betrags für die Bestellung unbestimmter verschreibungspflichtiger Arzneimittel und zum anderen um eine Prämie über einen Betrag zwischen 2,50 Euro und 20 Euro, die zu einer Zahlung führte, deren genaue Höhe jedoch im Vorhinein nicht ersichtlich war. Überdies bot DocMorris für den Bezug verschreibungspflichtiger Arzneimittel Gutscheine für nachfolgende Bestellungen weiterer Produkte an, nämlich für Bestellungen nicht verschreibungspflichtiger Arzneimittel sowie von Gesundheits- und Pflegeprodukten.

Auf Antrag der Apothekerkammer Nordrhein erließ das Landgericht Köln einstweilige Verfügungen, mit denen die Werbeaktionen von DocMorris untersagt wurden.
Da jedoch die meisten dieser einstweiligen Verfügungen in der Folge aufgehoben wurden, begehrt DocMorris vor den deutschen Gerichten von der Apothekerkammer Schadensersatz in Höhe von ca. 18,5 Mio. Euro. Nach Ansicht von DocMorris waren die einstweiligen Verfügungen von Anfang an ungerechtfertigt.

Der deutsche Bundesgerichtshof hat den Gerichtshof danach gefragt, ob das deutsche Recht, das die Werbeaktionen unter Verwendung von Preisnachlässen und Zahlungen in Höhe eines bestimmten Betrags erlaube, während es die anderen Werbeaktionen verbiete, mit der Richtlinie 2001/83 zur Schaffung eines Gemeinschaftskodexes für Humanarzneimittel vereinbar ist.

Im Zuge einer vollständigen Harmonisierung des Bereichs der Arzneimittelwerbung sieht die Richtlinie zum einen vor, dass die Mitgliedstaaten die Öffentlichkeitswerbung für verschreibungspflichtige Arzneimittel verbieten. Zum anderen kann für nicht verschreibungspflichtige Arzneimittel unter bestimmten Bedingungen und Beschränkungen Öffentlichkeitswerbung erfolgen.

Allerdings fällt nicht jede Werbeaktion für unbestimmte Arzneimittel automatisch in den Anwendungsbereich der Richtlinie. Ihre Anwendbarkeit setzt voraus, dass eine solche Aktion darauf abzielt, die ärztliche Verschreibung, die Abgabe, den Verkauf oder den Verbrauch von Arzneimitteln zu fördern. Ist dies nicht der Fall, findet die Richtlinie keine Anwendung.

Hierzu stellt der Gerichtshof fest, dass die Richtlinie auf Werbeaktionen für den Bezug unbestimmter verschreibungspflichtiger Arzneimittel in Gestalt von Preisnachlässen oder Zahlungen in Höhe eines genauen Betrags oder in Gestalt einer Prämie, deren genaue Höhe im Vorhinein nicht ersichtlich ist, nicht anwendbar ist. Solche Werbeaktionen beziehen sich tatsächlich nur auf die Entscheidung für die Apotheke und fördern nicht den Verbrauch solcher Arzneimittel. Wenn ein Kunde ein Rezept erhält, bleibt ihm im Hinblick auf das verschreibungspflichtige Arzneimittel nämlich nur noch die Entscheidung für die Apotheke, bei der er es bezieht.

Die Richtlinie verwehrt es daher nicht, dass solche Werbeaktionen in Gestalt eines bestimmten oder auf bestimmte Art zu berechnenden Geldbetrags nach deutschem Recht erlaubt sind.

Allerdings darf ein Mitgliedstaat Werbeaktionen für den Bezug unbestimmter verschreibungspflichtiger Arzneimittel, mit denen eine Prämie angeboten wird, deren genaue Höhe für den Kunden im Vorhinein nicht ersichtlich ist, auf der Grundlage anderer unionsrechtlicher Bestimmungen aus Verbraucherschutzgründen verbieten - was Deutschland offenbar getan hat3. Mit einem solchen Verbot kann nämlich verhindert werden, dass die Verbraucher die Höhe der Prämie überschätzen.

In Bezug auf Gutscheine für nachfolgende Bestellungen nicht verschreibungspflichtiger Arzneimittel sowie von Gesundheits- und Pflegeprodukten stellt der Gerichtshof fest, dass die Richtlinie anwendbar ist, soweit solche Gutscheine den Verbrauch nicht verschreibungspflichtiger Arzneimittel fördern.

Daher steht die Richtlinie nach Auffassung des Gerichtshofs einem Verbot solcher Werbeaktionen im nationalen Recht nicht entgegen. Da sich ein Verbraucher zwischen dem Kauf nicht verschreibungspflichtiger Arzneimittel und dem Kauf anderer Produkte - wie von Gesundheits- und Pflegeprodukten - entscheiden kann, stellen solche Gutscheine nicht verschreibungspflichtige Arzneimittel diesen anderen Produkten gleich und lenken den Verbraucher so von einer sachlichen Prüfung der Frage ab, ob die Einnahme dieser Arzneimittel erforderlich ist.

Urteil des Gerichtshofs in der Rechtssache C-517/23 | Apothekerkammer Nordrhein

Quelle: Pressemitteilung des EuGH v. 27.02.2025

BGH: Unerwünschte Werbe-E-Mail allein reicht für DSGVO-Schadensersatz nicht aus

Eine unerwünschte Werbe-E-Mail allein reicht nicht für einen immateriellen DSGVO-Schadensersatz aus (BGH, Urt. v. 28.01.2025 - Az.: VI ZR 109/23).

Der klägerische Verbraucher kaufte beim Beklagten ein. Einige Zeit später erhielt er von dem Beklagten eine unzulässige Werbe-E-Mail.

Der Kläger widersprach der Nutzung seiner Daten für Werbezwecke und forderte einen DSGVO-Schadensersatz in Höhe von 500,- EUR.

Zu Unrecht, wie der BGH nun entschied.

Ein Verstoß gegen die DSGVO in Form einer Werbemail allein reiche für einen Schadensersatzanspruch nicht aus.

Einen konkreten immateriellen Schaden konnte der Kläger nicht nachweisen. Weder ein Kontrollverlust über seine Daten noch eine objektiv nachvollziehbare Beeinträchtigung seines Persönlichkeitsrechts seien dargelegt worden.

Zwar gebe es keine Bagatellgrenze für Schäden, dennoch müsse der Betroffene einen konkreten Schaden nachweisen:

"Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder in auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor (…), noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt (…).

Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail (…) einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall (…)."

Und weiter:

"Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (…).

Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (…). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (…).

Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die - im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare - Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar.

Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht. "

Anmerkung von RA Dr. Bahr:

Eine überaus wichtige Grundsatzentscheidung für die tägliche Praxis. Damit ist höchstrichterlich klargestellt, dass eine Spam-Mail grundsätzlich keinen Schadensersatzanspruch nach der DSGVO auslöst.

Seit Inkrafttreten der DSGVO wurden immer wieder solche pauschalen Ansprüche geltend gemacht. Mit dem vorliegenden Urteil des BGH wird dem ein Riegel vorgeschoben.

OLG Dresden: Kein DSGVO-Schadensersatz, wenn E-Mail-Adresse bereits Teil eines früheren Datenleaks war

Ein Anspruch auf Schadensersatz nach Art. 82 DSGVO besteht nicht, wenn die betreffende E-Mail-Adresse bereits Teil eines früheren Datenleaks war (OLG Dresden, Beschl. v. 08.01.2025 - Az.: 4 U 812/24).

Die Klägerin machte datenschutzrechtliche Schadensersatzansprüche gegen die Beklagte geltend, weil es im Juni 2020 zu einem Datenschutzverstoß (u.a. ihre E-Mail-Adresse) gekommen war. Sie vertrat den Standpunkt, dassihr ein immaterieller Schaden in Form eines Kontrollverlustes und der Sorge vor Datenmissbrauch entstanden sei.

Dies ließ das OLG Dresden nicht geltend.

Es fehle an dem Nachweis eines Schadens, denn die besagte E-Mail-Adresse sei bereits mehrfach zwischen 2008 und 2019 durch andere Datenschutzverstöße von Dritten offengelegt worden. Daher sei nicht belegt, dass der aktuelle Vorfall aus dem Jahr 2020 einen neuen Kontrollverlust verursacht habe:

"Ein Schaden in Form eines Kontrollverlustes sowie in Form einer in der konkreten Person der Klagepartei begründete Befürchtung, dass seine Daten von Dritten missbräuchlich verwendet werden, liegt hier aber schon deshalb nicht vor, weil die E-Mail-Adresse der Klagepartei bereits siebenmal vor dem Datenschutz Vorfall im Juni 2020 von Datenschutz Vorfällen betroffen war.

Ausweislich dem von der Klagepartei vorgelegten Ausdruck aus der Webseite www.haveibeenpwnd.com (Anlage K1) war die e-mail Adresse (u.a. neben Benutzernamen, Passwörtern) der Klagepartei im Jahr 2008 (MySpace), im März 2012 (Last.fm), im Juni 2014 (MangaTraders), Ende 2015 (Nihonomaru), im Juni 2017 (Stracks) und Mitte 2019 (LiveJournal) von Datenschutz Vorfällen betroffen.

Zwar steht das Risiko, dass auch Dritte das Datum nicht datenschutzkonform verarbeitet haben der Darlegung eines Kontrollverlustes nicht entgegen (…).

Dies gilt jedoch nur solange sich dieses nicht unstreitig vor dem Eintritt des Datenschutz Vorfalls verwirklicht hat (….). Im vorliegenden Fall hat die Klagepartei die Kontrolle über ihre E-Mail-Adresse schon viele Jahre vor dem Datenschutz-Vorfall durch insgesamt sieben andere Datenschutz-Vorfälle verloren."

Und weiter:

"Unter diesen Umständen kann auch ohne Anhörung der Klagepartei nicht angenommen werden, dass ihre Befürchtung, ihre E-Mail-Adresse könne missbräuchlich verwendet werden, konkret auf den Datenschutzvorfall im Juni 2020 bei der Beklagten zurückzuführen ist.

Denn im Hinblick auf die bereits zwischen 2008 und 2019 eingetretenen Kontrollverluste, ist nicht plausibel, dass die Befürchtung des Missbrauches der Daten durch den Datenschutz-Vorfall im Juni 2020 ausgelöst worden sein soll."

OVG Münster: Keine grundsätzliche Ende-zu-Ende-Verschlüsselungs-Pflicht bei Datenübermittlung durch Behörde

Für eine Datenübermittlung durch Behörden besteht keine grundsätzliche Pflicht zur Ende-zu-Ende-Verschlüsselung. Im Regelfall reicht eine Transportverschlüsselung aus (OVG Münster, Beschl. v. 20.02.2025 - Az.: 16 B 288/23).

Der Kläger verlangte von einer Behörde, personenbezogene Daten nur mit einer Ende-zu-Ende-Verschlüsselung zu übermitteln. Eine reine Transportverschlüsselung entspreche nicht dem Stand der Technik und gefährde zudem seine Interessen.

Das OVG Münster wies die Berufung des Klägers zurück.

Die DSGVO verpflichte nicht generell zu einer Ende-zu-Ende-Verschlüsselung. Art. 32 DSGVO fordere hingegen lediglich “geeignete Maßnahmen”, die sich nach dem Risiko und dem Stand der Technik richten würden.

Im vorliegenden Fall habe die Behörde bereits eine Transportverschlüsselung (TLS) eingesetzt, die als ausreichend sicher eingestuft worden sei.

Der Kläger konnte auch keine konkrete Gefährdung nachweisen, die eine weitergehende Verschlüsselung erforderlich machen würde:

"Das Verwaltungsgericht hat diese Ansicht mit einer Gesamtbetrachtung unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Kriterien begründet.

Es hat ausgeführt, nach dieser Vorschrift sei die Antragsgegnerin bei der Verarbeitung personenbezogener Daten verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Erforderlich seien eine Risikoeinschätzung und darauf basierend die Feststellung des Schutzbedarfs der Daten,"

Und weiter.

"Der Antragsteller habe nicht hinreichend glaubhaft gemacht, dass die Datenverarbeitung der Antragsgegnerin für ihn ein besonderes Risiko darstelle. Seinen Ausführungen lasse sich nicht entnehmen, dass ein erhöhtes Risiko mit Blick auf die Datenverarbeitung der Antragsgegnerin bestehe, diese etwa einem gesteigerten Risiko ausgesetzt sei, Opfer von Hackerangriffen zu werden. Ebenso wenig sei die Antragsgegnerin in der Vergangenheit durch Sicherheitslücken aufgefallen.

Vielmehr erfolge die Datenübertragung bei der Antragsgegnerin stets unter TLS-Verschlüsselung und werde im Kommunikationsprozess mit anderen staatlichen Stellen zusätzlich gesichert (SINA-Box, Client-Zertifikate). Zudem hat das Verwaltungsgericht auf das von der Antragsgegnerin vorgelegte ((und bei positivem Abschluss der jährlichen Überwachungsaudits bis zum 17. Juni 2025 gültige) IT-Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik vom 18. Juni 2022 Bezug genommen und ausgeführt, es seien keine Anhaltspunkte dafür ersichtlich, dass die Antragsgegnerin ihr IT-Sicherheitskonzept nicht oder nicht hinreichend umsetze."

Und:

"Die gegen diese Ausführungen gerichteten Einwände des Antragstellers betreffen einzelne Aspekte der Gesamtbetrachtung.

Sie führen auch bei gemeinsamer Würdigung nicht zum Erfolg der Beschwerde. Dies liegt insbesondere daran, dass der Antragsteller mit seinem Beschwerdevorbringen die für die Gesamtbetrachtung nach Art.32 Abs. 1 DSGVO wesentliche Einschätzung des Verwaltungsgerichts nicht durchgreifend in Zweifel zieht, wonach er das von der Datenverarbeitung der Antragsgegnerin für ihn ausgehende besondere Risiko nicht glaubhaft gemacht habe, und sich die von ihm begehrte Art der Datenübermittlung jedenfalls ohne ein solches erhöhtes Risiko nicht aus Art. 32 Abs. 1 DSGVO ableiten lasse."

OLG Zweibrücken: Anscheinsvollmacht durch Weitergabe von E-Mail-Zugangsdaten

Wer seinem Ehepartner die Zugangsdaten zu seinem E-Mail-Konto überlässt und ihm damit ermöglicht, geschäftliche Erklärungen in seinem Namen abzugeben, muss sich diese zurechnen lassen (OLG Zweibrücken, Urt. v. 15.01.2025 - Az.: 1 U 20/24).

Die Klägerin stritt mit ihrer Versicherung über einen Wasserschaden. Die Parteien schlossen im Laufe der Verhandlungen per E-Mail einen Vergleich. Später bestritt die Klägerin, die E-Mail selbst verfasst zu haben und behauptete, ihr Ehemann habe den Vergleich ohne ihr Wissen geschlossen.

Das OLG Zweibrücken entschied, dass die Klägerin an den Vergleich gebunden sei, da sie ihrem Ehemann die Zugangsdaten zu ihrem E-Mail-Account überlassen habe und dieser den Account regelmäßig genutzt habe.

Da die Klägerin dies wusste und duldete, ging das Gericht von einer sogenannten Anscheinsvollmacht aus:

"Aus objektiver Sicht des Erklärungsempfängers lag ein Angebot der Klägerin als der materiell Berechtigten vor, welches die Beklagte angenommen hatte.

Das Angebot kam vom E-Mail-Account der Klägerin und war mit Ihrem Namen unterzeichnet.

Die Beklagte wurde dabei über die Identität des Handelnden getäuscht.

Aus ihrer Sicht wollte sie den angebotenen Abfindungsvergleich ausschließlich mit der Klägerin als ihrer Versicherungsnehmerin schließen.

Den falschen Anschein hatte die Klägerin gesetzt; dies in Form der Aushändigung von Legitimationsmerkmalen durch Preisgabe ihres Passworts für die Nutzerkennung (…)."

Und weiter:

"Allerdings steht nach der ergänzenden Anhörung der Klägerin fest, dass diese nach Rechtsscheingrundsätzen - dies in Form einer Anscheinsvollmacht - für das unter Verwendung ihres passwortgeschützten E-Mail Accounts am 13.06.2014 abgegebene Angebot ihres Ehemanns auf Abschluss eines Abfindungsvergleichs einzustehen hat.

Von einer Anscheinsvollmacht ist nach herkömmlicher Rechtsprechung auszugehen, wenn der Vertretene das Handeln des Scheinvertreters nicht kennt, er es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können, und wenn der Geschäftspartner annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters.

Dabei greifen die Rechtsgrundsätze der Anscheinsvollmacht in der Regel nur dann ein, wenn das Verhalten von gewisser Dauer und Häufigkeit ist (vgl. BGH, Urteil vom 11.05.2011, Az. VIII ZR 289/09, Rn. 16, Juris). Diese Voraussetzungen liegen für den Streitfall vor."

LG Berlin: Bei Online-Kündigungsbutton vorherige Passwort-Abfrage zur Identifikation erlaubt

Die Abfrage eines Passworts nach Betätigung des Online-Kündigungsbuttons ist zulässig, wenn dies der Identifikation des Users dient (LG Berlin II, Urt. v. 27.11.2024 - Az.: 97 O 81/23).

Ein Unternehmen bot online Verträge über die Bereitstellung von Medien an. Die Kunden mussten bei Vertragsschluss ein Passwort festlegen.

Für die Kündigung stand online ein Kündigungsbutton zur Verfügung, nach dessen Betätigung eine Bestätigungsseite erschien. Dort wurde das Passwort zur Identifizierung abgefragt.

Die Klägerin sah darin einen Verstoß gegen die gesetzlichen Vorgaben des § 312k Abs. 2 BGB, da durch die Passwortabfrage eine unzulässige Hürde aufgebaut werde.

Das LG Berlin sah darin keinen Rechtsverstoß und wies die Klage ab.

Die Berliner Richter stellten fest, dass die Gestaltung der Website den gesetzlichen Vorgaben entsprach.

Die Passwortabfrage diene lediglich der eindeutigen Identifizierung des kündigenden Verbrauchers, stelle aber kein zusätzliches Login dar.

Da der Gesetzgeber zur Identifizierung auch die Abfrage der Vertragsnummer oder anderer Daten vorgesehen habe, sei dieses Vorgehen nicht unzulässig. Die Möglichkeit, ein neues Passwort zu generieren, stelle keine unzumutbare Hürde dar:

"Insbesondere entsprechen die von der Beklagten erforderten Angaben für die Kündigung den Vorgaben der § 312k Abs. 2 S. 3 Nr. 1 b) und c), S. 4 BGB.

Die zwischen den Parteien streitige Passworteingabe dient der eindeutigen Identifizierbarkeit des Verbrauchers (Nr. 1 b) und der eindeutigen Bezeichnung des Vertrags (Nr. 1 c), mit ihr ist kein Einloggen, also keine Weiterleitung auf den Kundenbereich verbunden.

Entgegen der Annahme des Klägers schließt die gesetzliche Regelung nicht die Abfrage einer zuvor individuell generierten Dateneingabe wie eines Passworts aus. Soweit er hierzu auf die Gesetzesbegründung verweist, verkennt er, dass demzufolge die Kündigungserklärung so gestaltet sein muss, „dass für den Empfänger erkennbar ist, wer die Kündigung erklärt (...)."

Und weiter:

"Diese Daten, die der Gesetzgeber selbst in Verbindung mit dem nachfolgenden Absatz auf Seite 18 für „die zweifelsfreie Zuordnung“ als zulässig erachtet, sind Abonnenten von Dauerschuldverhältnissen häufig noch weniger präsent als das von ihnen selbst generierte Passwort.

Derartige Nummern muss der Abonnent entweder aus bei ihm ggf. nach Jahren noch vorhandenen Dateien bzw. schriftlichen Unterlagen heraussuchen oder bei der Beklagten elektronisch bzw. in anderer Weise abfragen. Es stellen sich also auf der Grundlage der Gesetzesbegründung für die Eingabe dieser Nummern die gleichen Folgen ein, die der Kläger bei Abfrage des Passworts für nicht gesetzeskonform erachtet.

Ob die individualisierte Dateneingabe zur „eindeutigen Identifizierbarkeit“ oder „eindeutigen Bezeichnung des Vertrags“ geschieht, spielt keine Rolle. Die Beklagte hat zudem unwidersprochen vorgetragen, dass die Neugenerierung eines Passworts auf verschiedenen Wegen einfach und schnell stattfindet."

LG Köln: Verlag haftet für unvollständigen Google Snippets-Text

Ein Verlag haftet für einen unvollständigen Google-Snippet-Text, wenn er diesen veranlasst (hier: Text in der Meta-Description des Artikels) (LG Köln, Urt. v. 22.01.2025 - Az.: 28 O 252/24).

Die Klägerin war Franchisegeberin einer Fast Food-Restaurantkette mit mehreren Filialen in Deutschland.

Bei einer amtlichen Lebensmittelkontrolle wurden in zwei Filialen Hygienemängel festgestellt. Die Kontrollergebnisse wurden anschließend veröffentlicht.

Eine Online-Zeitung griff das Thema auf und berichtete online über

"Schmutz und Fake-Fleisch bei X [Franchisename] Sonst macht X Schlagzeilen mit (…)-Angeboten.

Aber jetzt wird es unappetitlich: Hygienemängel bei Kontrollen aufgedeckt!".

Google indexierte diesen Artikel und erstellte einen entsprechendes Google Snippet.

Dabei stützte sich der Suchmaschinen-Riese auf den Text in der Meta Description der Verlagsseite.

Das Google Snippet erweckte den Eindruck, dass das gesamte Unternehmen und nicht nur einzelne Franchisenehmer betroffen seien.

Die Klägerin sah sich dadurch in ihrem Ruf geschädigt und klagte.

Zu Recht, wie das LG Köln nun feststellte.

Der Leser werde durch den Ausschnitt nicht darüber informiert, dass die Klägerin lediglich Franchisegeberin und nicht Betreiberin der betroffenen Filialen sei. Auch fehle der Hinweis, dass nur zwei Filialen betroffen seien.

Durch das Verschweigen dieser Informationen werde der Eindruck erweckt, dass es sich bei den Hygienemängeln um ein generelles Problem des Unternehmens handele.

Da der Verlag eine entsprechend irreführende Meta-Beschreibung auf seiner Website zum Abruf bereitgehalten habe, sei ihm auch der Suchmaschinenauszug zuzurechnen:

"Die angegriffenen Äußerungen im Google-Index-Text sind bewusst unvollständig, weil der Leser des Google-Index-Textes nicht darüber aufgeklärt wird, dass (…) ein Franchisesystem ist und sich die fraglichen Vorwürfe nur gegen zwei Franchisenehmer richten.

Die Information, dass es sich bei der Verfügungsklägerin lediglich um die Franchisegeberin und nicht um die Betreiberin der beiden beanstandeten Filialen handelt ist für die Bewertung des dargestellten Sachverhalts von wesentlicher Bedeutung. Denn wenn der Leser wüsste, dass sich die Vorwürfe betreffend „Schmutz, Fake-Fleisch und Hygienemängel" nur gegen zwei Franchisenehmer richten, wäre er weniger geneigt, aus den in zwei Filialen festgestellten Mängeln negative Schlüsse auf die Einhaltung der Hygienebestimmungen in den übrigen (…) Filialen zu ziehen als im tatsächlich vorliegenden Fall, in dem der Leser davon ausgehen muss, dass der Betreiber aller (…) Filialen für die Beanstandungen verantwortlich ist."

Und weiter:

"Auch der Einwand der Verfügungsklägerin, dass das Suchergebnis nicht getrennt von dem Bericht, zu dem es führe, betrachtet werden könne, führt zu keiner anderen rechtlichen Bewertung.

Denn zwar darf eine Zeitungsüberschrift nicht isoliert von dem dazugehörigen Zeitungsbericht betrachtet werden (…). Zwischen der Anzeige eines Suchergebnisses in einer Internetsuchmaschine und der in Bezug genommenen Internetseite besteht jedoch kein so enger Zusammenhang wie zwischen einer Zeitungsüberschrift und dem zugehörigen Bericht.

Viele Nutzer von Internetsuchmaschinen werden nicht alle ihnen angezeigten und von ihnen zur Kenntnis genommenen Suchergebnisse auch anklicken. Ein Suchergebnis ähnelt deshalb eher einer Schlagzeile auf dem Titelblatt einer Zeitung als einer gewöhnlichen Überschrift im Innenteil (…).

Für Schlagzeilen auf dem Titelblatt einer Zeitung ist anerkannt, dass ein besonderer Leserkreis der Titelseiten- und Kioskleser besteht. Enthält eine Titelseite eine in sich geschlossene, selbständige Aussage kann diese deshalb auch ohne Rücksicht auf den Inhalt der Artikel in dem Medium angegriffen werden (…)."

Die Entscheidung ist nicht rechtskräftig.

LG Rostock: Zahlungspflichtiger trägt Risiko bei Fehlüberweisung durch Phishing-Mail

Im B2B-Bereich trägt das Unternehmen, das durch eine Phishing-Mail irrtümlich den Betrag für eine Rechnung an einen falschen Dritten überweist, das Risiko hierfür (LG Rostock, Urt. v. 20.11.2024 – 2 O 450/24).

Die Klägerin, ein Bauunternehmen, hatte mit der Beklagten einen Vertrag über Maler- und Trockenbauarbeiten geschlossen. Beide Parteien waren Bauunternehmer.

Während der Bauarbeiten stellte die Klägerin Abschlagsrechnungen aus. Eine dieser Rechnungen über 37.730 EUR wurde an die Beklagte gesendet.

Später erhielt die Beklagte jedoch eine weitere E-Mail mit einer fast identischen Rechnung, jedoch mit einer geänderten Bankverbindung. Diese E-Mail war (mutmaßlich) manipuliert worden.

Die Beklagte überwies den Rechnungsbetrag auf das falsche Konto.

Die Klägerin forderte erneut zur Zahlung auf, was die Beklagte mit der Begründung verweigerte, sie habe bereits gezahlt.

Zu Unrecht, wie das LG Rostock entschied.

Denn ein treuwidriges Verhalten der Klägerin sei nicht erkennbar:

“Nach dem Einwand „dolo agit (…)” besteht kein Anspruch, wenn dasjenige, was verlangt wird, vom Gläubiger sogleich zurückgegeben werden müsste. Ein solches Verhalten wäre treuwidrig. (…)

Gegen die Verletzung einer Schutzpflicht spricht vorliegend schon die Überlegung, dass es dem beiderseitigen Parteiwillen entsprochen haben dürfte, für die Kommunikation zur Abwicklung des Vertrages E-Mails zu benutzen.

Dass E-Mails ein unsicherer Übertragungsweg und anfällig für externe Angriffe sind, ist seit Jahren allgemein bekannt. Wird E-Mail-Verkehr zwischen den Parteien genutzt, existieren grundsätzlich keine Vorgaben für Sicherheitsvorkehrungen insoweit. Zudem ist fraglich, ob es überhaupt in der Macht der Klägerin stand, ihr System weiter abzusichern und selbst, wenn das möglich gewesen sein sollte, ob nicht gleichwohl ein Angriff durch etwa Abfangen der E-Mail hätte erfolgreich durchgeführt werden können. Eine Pflichtverletzung lässt sich nach derzeitigem Stand auch nicht ohne Weiteres aus den Vorschriften der DSGVO ableiten, weil diese sich vom Anwendungsbereich auf den Schutz personenbezogener Daten bezieht. (…)"

Auch ein Mitverschulden der Klägerin schloss das Gericht aus:

“Aus § 254 Abs. 1 BGB folgt, dass in den Fällen, in denen bei der Entstehung des Schadens ein Verschulden des Beschädigten mitgewirkt hat, die Schadensersatzpflicht insbesondere davon ab, inwieweit der Schaden vorwiegend von dem einen oder dem anderen Teil verursacht worden ist.

Vorliegend ist die Verursachung für die fehlerhafte Überweisung ganz erheblich auf Seiten der Beklagten verortet, die deutlichen Hinweisen auf die Manipulation der erhaltenen E-Mail nicht nachging.

Entscheidend ist, dass die in der Anlage B1 vorgelegte E-Mail deutliche Anhaltspunkte für eine Manipulation durch Dritte erkennen lässt. So sind die Umlaute in der E-Mail nicht als Umlaut dargestellt, sondern mit der als HTML-Sonderzeichen, wie z.B. „Ü“ für „Ü“ oder „ “ für ein sog. „geschütztes Leerzeichen“. Hinzu kommt, dass der Beklagten jedenfalls hat auffallen können und müssen, dass sich die Bankverbindung im Vergleich zu den vorher – zuletzt im August desselben Jahres erfolgten – Zahlungen an die Klägerin geändert hatte.

Das gilt insbesondere für die geänderte Bank, die sich von „B ...kasse“ auf „B Bank“ änderte, bei der es sich um eine Bank mit Sitz in den Niederlanden handelt. Diese Umstände sind jedenfalls so ungewöhnlich, dass die Beklagte sich bei der Klägerin hätte vergewissern müssen, dass die Bankverbindung korrekt ist, bevor sie die Zahlung vornahm. (Vgl. OLG Karlsruhe, Urteil vom 27.7.2023 – 19 U 83/22, MMR 2023, 761, 763, Rn. 42, beck-online.)"

Anmerkung von RA Dr. Bahr:
Das LG Rostock schließt sich somit für den B2B-Bereich der Ansicht des OLG Karlsruhe an, vgl. unsere Kanzlei-News. v. 04.08.2024.

Für den B2C-Bereich hingegen soll etwas anderes gelten, siehe dazu die stark kritikbedürftige Entscheidung des OLG Schleswig, vg. unsere Kanzlei-News. v. 05.02.2025.

LG Stade: Jede noch so kleinste Werbung in Autoreply-E-Mail ist unerlaubter Spam

Jede noch so kleinste Werbung in einer Autoreply-E-Mail ist unerlaubter Spam und stellt einen Rechtsverstoß dar (LG Stade, Beschl. v. 30.10.2024 - Az.: 3 S 24/24).

Der Kläger fragte per E-Mail bei der Beklagten, einem Online-Shop für Bekleidung, an, ob er bei ihr einen Gutschein über 50 EUR erwerben könne.

Daraufhin erhielt er per E-Mail eine Autoreply-Nachricht, in der unter anderem Lieferzeiten für bestimmte Produkte angegeben waren, die Angabe enthalten war, dass das Unternehmen “nur hochwertige Produkte” versende und dass ein Umtausch kostenlos sei.

Der Kläger sah darin eine unzulässige E-Mail-Werbung und klagte auf Unterlassung.

Erste Instanz: AG Gestland verneint Anspruch

In der 1. Instanz vor dem AG Gestland (Urt. v. 29.04.2024 - Az.: 3 C 438/23) verneinte das Gericht einen solchen Anspruch, da die betreffende elektronische Nachricht keine Werbung enthalten habe:

"Das Gericht erlaubt sich aus dem Urteil des Amtsgerichtes Augsburg vom 09.06.2023 – 12 C 11/23, ebenfalls vom hiesigen Kläger erstritten, zu zitieren:

„(…) a) Der Begriff der Werbung umfasst nach dem allgemeinen Sprachgebrauch alle Maßnahmen eines Unternehmens, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Damit ist außer der unmittelbar produktbezogenen Werbung auch die mittelbare Absatzförderung – z.B. in Form der Imagewerbung oder des Sponsoring – erfasst. Werbung ist deshalb in Übereinstimmung mit Art. 2 fit. a RL 2006/114/EG des Europäischen Parlaments und des Rates v. 12.12.2006 über irreführende und vergleichende Werbung (ABl. EU L 376, S. 21) jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern (vgl. BGH, Urteil vom 15.12.2015 – VI ZR 134/15). (…)"

Dieser Definition schließt sich der Unterzeichner an. Demnach kann der Unterzeichner in dem Hinweis auf Lieferschwierigkeiten bei bestimmten Produkten, auch mit dem Verweis nur Hochwertiges versenden zu wollen, verkaufsfördernde Maßnahmen nicht erblicken.

Auch der Hinweis, ein Umtausch sei kostenlos, falls man ein falsches Produkt erhalten habe, dürfte lediglich ein Verweis auf die geltende Rechtslage gemäß § 439 Abs. 2 und Abs. 6 S. 2 BGB darstellen. Hierin ist ebenfalls
keine den Absatz fördernde Maßnahme des Beklagten zu erblicken."

Zweite Instanz: LG Stade bejaht Anspruch

In der Berufungsinstanz bewertete das LG Stade hingegen anders und sah in den Äußerungen eine Werbung, sodass die Autoreply-Nachricht unerlaubt war:

"Entgegen der Auffassung des Amtsgerichts beinhalteten die streitgegenständlichen E-Mails Werbung. Jedenfalls die Nennung einzelner Produkte in Kombination mit dem Hinweis, man würde „nur qualitativ hochwertige Produkte
versenden“, ist als Werbung einzuordnen.

Der Begriff der Werbung umfasst nach dem allgemeinen Sprachgebrauch alle Maßnahmen eines Unternehmens, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Damit ist außer der unmittelbar produktbezogenen Werbung auch die mittelbare Absatzförderung – beispielsweise in Form der Imagewerbung – erfasst.

Werbung ist deshalb in Übereinstimmung mit Art. 2 Buchst. a der Richtlinie 2006/114/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über irreführende und vergleichende Werbung (ABl. EU L 376 S. 21) jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern (BGH, Urteil vom 10. Juli
2018 – VI ZR 225/17 –, BGHZ 219, 233-242, Rn. 18, juris m.w.N.).

Der Hinweis, der Beklagte möchte nur qualitativ hochwertiger Produkte versenden, dient der Absatzförderung. Neben Serviceleistungen ist die Qualität das entscheidende Kriterium beim Kauf eines Produktes. Der Verkäufer bezweckt mit der Anpreisung der Qualität seiner Waren das Interesse beim (potentiellen) Kunden zu wecken, was dazu auch geeignet ist. Hinzu kommt, dass hier ganz konkret auf zwei Produkte des Beklagten Bezug genommen wird (…), sodass diesbezüglich auch ersichtlich das Interesse des Lesers der E-Mail an diesen speziellen Produkten geweckt wird."

Etwas anderes ergebe sich, so die Richter, auch nicht aus dem Umstand, dass die E-Mail nur teilweise Werbung enthalten habe:

"Etwas anderes ergibt sich auch nicht unter Berücksichtigung des Umstands, dass die streitgegenständlichen E-Mails nur zum Teil aus Werbung bestehen und teilweise aus der zulässigen Bestätigung des Erhalts der Anfrage des Klägers.

Dies hat nicht zur Folge, dass durch die enthaltene zulässige Bestätigung von vornherein der Werbecharakter ausgeschlossen wäre, sondern stellt lediglich eine Nutzung dieser Kontaktaufnahme in zweifacher Hinsicht dar, was aber nicht dazu führt, dass die E-Mails wegen des zulässigen Teils insgesamt nicht mehr als Werbung anzusehen wären (BGH, Urteil vom 15. Dezember 2015 – VI ZR 134/15 –, Rn. 19, juris)."