|
|
|
|
|
|
Die einzelnen News
|
|
|
|
1.
|
BGH: Unberechtigte SCHUFA-Meldung kann Schadensersatz auslösen
|
|
Eine unberechtigte Meldung an die SCHUFA kann nach einer aktuellen Grundlagen-Entscheidung des BGH grundsätzlich einen immateriellen Schaden auslösen (BGH, Urt. v. 12.05.2026 - Az.: VI ZR 375/24). Ein Zahlungsdienstleister übermittelte an die SCHUFA eine offene Forderung, obwohl diese weder gerichtlich festgestellt noch ausreichend begründet war und der Betroffene ihr ausdrücklich widersprochen hatte. In der Folge verschlechterte sich dessen Bonitätsbewertung erheblich, wodurch unter anderem Vertragsabschlüsse scheiterten. Während das OLG Schleswig einen Schadensersatzanspruch noch ablehnte, da der Kläger bereits zuvor eine eingeschränkte Bonität gehabt hätte und die Schufa-Meldung daher weder ursächlich noch hinreichend schwerwiegend gewesen sei, entschied der BGH grundlegend anders. Er hob das Urteil auf und widersprach der Rechtsauffassung der Vorinstanz. Die Datenübermittlung an die SCHUFA sei rechtswidrig gewesen, weil sie ohne Einwilligung des Klägers erfolgt sei und sich nicht auf ein berechtigtes Interesse stützen lasse. Der BGH stellte zudem klar, dass dem Kläger ein immaterieller Schaden entstanden sei, weil sein Score und damit sein wirtschaftlicher Ruf beeinträchtigt worden seien. Er habe die Kontrolle über seine Daten teilweise verloren. Eine Erheblichkeitsschwelle bestehe nicht. Ob weitere Faktoren den Score ebenfalls gesenkt hätten, betreffe allein die Höhe des Anspruchs. Über diese müsse das OLG nach Zurückverweisung neu entscheiden: "Hiernach ist dem Kläger ein immaterieller Schaden wegen der Beeinträchtigung seines wirtschaftlichen Rufes (ErwG 75 und 85 DSGVO) entstanden. Die streitgegenständlichen Einmeldungen beeinträchtigten nach den unangegriffenen Feststellungen des Berufungsgerichts den von der SCHUFA für den Kläger ermittelten Score-Wert. Dieser Score-Wert konnte von potentiellen Vertragspartnern des Klägers bei der SCHUFA abgefragt werden und ist nach den weiteren Feststellungen des Berufungsgerichts, welche die Beklagte nicht angegriffen hat, im Zuge mehrerer gescheiterter Vertragsanbahnungen von potentiellen Vertragspartnern des Klägers auch tatsächlich berücksichtigt worden."
Und weiter: "Damit steht bereits fest, dass die streitgegenständlichen Meldungen der Beklagten die Kreditwürdigkeit und damit den wirtschaftlichen Ruf des Klägers in einer den Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründenden Weise beeinträchtigt haben (…). Anders als das Berufungsgericht offenbar meint, ist hierzu wegen des Fehlens einer Erheblichkeitsschwelle nicht erforderlich, dass der niedrige Score-Wert und die dadurch verursachten Bedenken potentieller Vertragspartner des Klägers allein oder maßgeblich auf den Meldungen der Beklagten beruhten. Ob dies der Fall war, kann lediglich für die Höhe des dem Kläger zustehenden Schadensersatzanspruches eine Rolle spielen."
|
|
|
|
|
|
|
|
2.
|
OLG Celle: Online-Handler haftet für unerlaubte Produktfotos, Zusicherung von Importeur reicht nicht aus
|
|
Wer als Händler Produktfotos ohne eigene Lizenzprüfung verwendet, haftet für Urheberrechtsverletzungen, auch wenn er die Bilder vom Lieferanten erhalten hat (OLG Celle, Urt. v. 12.05.2026 – Az. 13 U 88/25). Im konkreten Fall fotografierte ein Berufsfotograf vier Parkettmotive für einen Importeur. Dieser Importeur gab die Bilddateien an verschiedene Händler weiter, darunter die spätere Beklagte. Die Beklagte verwendete die Fotos auf ihrer Website sowie in zwei Werbeflyern, ohne den Fotografen als Urheber zu nennen. Der Fotograf bemerkte dies und forderte ein Nutzungshonorar sowie Kostenersatz. Das LG Hannover wies die Klage in erster Instanz ab. Es war der Ansicht, die Beklagte habe auf die Berechtigung des Importeurs zur Weitergabe vertrauen dürfen. Das OLG gab der Berufung teilweise statt und sprach dem Fotografen rund 860,- EUR Schadensersatz zu. Nach Auffassung des OLG Celle war nicht bewiesen, dass der Importeur ein ausschließliches Nutzungsrecht oder eine ausdrückliche Erlaubnis zur Weitergabe der Fotos an Händler besessen hatte. Die Nutzung durch die Beklagte sei daher unberechtigt gewesen. Das Gericht stellte klar, dass die Beklagte die Rechtekette eigenständig hätte prüfen müssen und sich nicht auf eine bloße Zusage des Importeurs verlassen dürfen: “Im Urheberrecht gelten - wie generell im Immaterialgüterrecht - hohe Sorgfaltsanforderungen. Wer ein fremdes Werk nutzen will, muss sich sorgfältig Gewissheit über seine Befugnis dazu verschaffen (…). Dies schließt eine Überprüfung der Rechtekette mit ein, von wem der Lizenzgeber seine behauptete Rechtsposition ableitet. Begnügt sich ein Lizenznehmer gleichwohl mit einer bloßen Zusicherung des Lizenzgebers, ohne sich überprüfbare Unterlagen vorlegen zu lassen, so trägt er grundsätzlich das Risiko; ebenso, wenn er die Rechtslage falsch beurteilt (…).”
Den Schadensersatz bezifferte das OLG nach der Lizenzanalogie: Aus dem ursprünglichen Pauschalhonorar ergäben sich rund von rund 108,- EUR je Foto. Da der Fotograf als Urheber nicht genannt worden sei, sei ein Zuschlag von 100 Prozent gerechtfertigt. Dies ergebe einen Gesamtbetrag von rund 860,- EUR.
|
|
|
|
|
|
|
|
3.
|
OLG Frankfurt: Vergütungspflicht für Gewinnspiel-Leads
|
|
Eine Marketingagentur muss für vertraglich bestätigte Gewinnspiel-Leads zahlen, nicht aber für polnische Altdaten, die ohne konkrete Werbeeinwilligung geliefert wurden (OLG Frankfurt a.M., Urt. v. 13.03.2025 – Az: 19 U 109/23). Zwei Marketingagenturen stritten über die Vergütung von Datensätzen aus Gewinnspielen. Die Klägerin hatte Teilnehmerdaten über Kampagnen in Belgien, Schweden und Polen gesammelt und an die Beklagte weitergeleitet. Die Beklagte zweifelte an den Datenlieferungen selbst sowie an der Wirksamkeit der Teilnehmereinwilligungen und verweigerte weitgehend die Zahlung. Das OLG gab der Klage teilweise statt und verurteilte die Beklagte zur Zahlung von rund 108.500,- EUR. Im Übrigen wies es die Klage ab. Für mehrere Rechnungen stellten die Richter zunächst fest, dass die Beklagte die vereinbarten Datenmengen und Preise per E-Mail ausdrücklich bestätigt hatte. Diese Posten seien daher vergütungspflichtig. Soweit andere Rechnungspositionen auf Kampagnen beruhten, die vor Vertragsschluss lagen oder von der Beklagten nie bestätigt worden waren, fehle es hingegen an einer tragfähigen Vertragsgrundlage, so die Richter. Hier blieb die Klage ohne Erfolg. Für noch nicht ausdrücklich bestätigte Datensätze hätte die Beklagte die Lieferungen zeitnah hätte prüfen und konkret beanstanden müssen. Da sie dies unterlassen habe, gälten die Daten als akzeptiert. Den pauschalen Einwand, die Einwilligungen der Teilnehmer seien unwirksam, ließ das OLG nicht gelten. Die Beklagte habe hierfür keine konkreten Nachweise zu den betreffenden Ländern und Einwilligungsformulierungen vorgelegt. Anders beurteilte das Gericht die polnischen Altdaten. Hier habe die Klägerin in der mündlichen Verhandlung selbst bestätigt, dass beim Ankauf von solchen Altdaten sich die Werbeeinwilligungen nicht hinreichend konkret gewesen sei. Diese hätten ohne eine auf das konkrete Unternehmen bezogene Werbeeinwilligung nicht zu Werbezwecken genutzt werden dürfen. Der zugrunde liegende Vertrag verstoße daher gegen geltendes Recht und sei nichtig, sodass insoweit keine Vergütung geschuldet sei.
|
|
|
|
|
|
|
|
4.
|
OLG Köln: Alte Amazon-Produktnummer darf nicht beibehalten werden bei inhaltlicher Änderung
|
|
Wer auf Amazon ein Produkt austauscht, aber die alten Kundenbewertungen für das neue Angebot stehen lässt, handelt irreführend und wettbewerbswidrig (OLG Köln, Beschl. v. 18.05.2026 – Az. 6 W 30/26). Zwei Wettbewerber verkauften Balkon-Solaranlagen über Amazon. Die Antragsgegnerin bot zunächst ein Set aus Solarmodulen und einem Wechselrichter der Marke A an. Später wechselte sie auf ein Modell B. Dabei verwendete sie dieselbe ASIN weiter, sodass die Kundenbewertungen für das alte Set auch beim neuen Angebot angezeigt wurden. Das LG Köln sah im Ergebnis keinen Wettbewerbsverstoß, da selbst für den Fall, dass eine Irreführung vorläge, es an der geschäftlichen Relevanz fehle. Die Bewertungen stammten aus dem Jahr 2023 und die Produktseite zeige bereits den Wechselrichter B. Das OLG Köln änderte die Entscheidung ab und erließ die einstweilige Verfügung. Die Antragsgegnerin muss es unterlassen, Angebote mit Bewertungen zu bewerben, die sich nicht ausschließlich auf das tatsächlich angebotene Produkt beziehen. Die Richter stellten klar, dass die Parteien miteinander im Wettbewerb stehen und die Nutzung alter Bewertungen irreführend sei, weil sie über die Eigenschaften und die Resonanz des aktuellen Produkts täusche. Mehrere Kundenrezensionen nannten ausdrücklich den A-Wechselrichter. Dies spreche mit überwiegender Wahrscheinlichkeit dafür, dass dieses Modell tatsächlich früher eingesetzt worden sei. Nach Auffassung des Gerichts hätte die Antragsgegnerin hierzu klar Stellung nehmen und ihre Produktunterlagen prüfen müssen. Ein bloßes Nicht-Erinnern genüge nicht. Das Gericht wies zudem darauf hin, dass nach den Amazon-Richtlinien bei einem Wechsel eines wesentlichen Produktbestandteils ohnehin eine neue ASIN hätte vergeben werden müssen. Unabhängig davon sei die Irreführung relevant maßgeblich. Der Wechselrichter sei ein zentraler Bestandteil des Sets. Sein Austausch lasse die Vergleichbarkeit der Bewertungen entfallen. Die Zahl der angezeigten Bewertungen sei für Kaufentscheidungen von erheblicher Bedeutung, weil sie Verbreitung und Vertrauenswürdigkeit eines Produkts signalisiere. Die Irreführung sei daher auch geschäftlich relevant: “Beziehen sie sich auf ein anderes als das nunmehr mit ihnen beworbene Angebot, liegt darin eine unwahre und zur Täuschung geeignete Angabe.”
Und weiter: "Die Zahl der Bewertungen stellt kein solches Merkmal mit einer nur unwesentlichen Bedeutung dar. Für die angesprochenen Verkehrskreise - zu denen auch die Mitglieder des erkennenden Senats gehören - ist die Zahl der zu einem Angebot abgegebenen Bewertungen von erheblicher Bedeutung. Mehrere hundert Bewertungen sprechen für ein verbreitetes Produkt und für eine gewisse Zuverlässigkeit der Bewertungen. Geringere - zweistellige - Zahlen gewährleisten dies nicht und sind überdies anfälliger für Gefälligkeitsbewertungen. Dementsprechend wird in den Angeboten auf der Plattform amazon.de die Zahl der Bewertungen auch regelmäßig und an prominenter Stelle aufgeführt. Es kommt daher entgegen der Auffassung des Landgerichts nicht darauf an, dass lediglich zwölf Bewertungen den Wechselrichter „A.“ namentlich benennen, und dass diese Bewertungen als solche nicht geeignet sind, das Marktverhalten der angesprochenen Verbraucher zu beeinflussen. Entscheidend ist, dass eine überwiegende Wahrscheinlichkeit dafür spricht, dass eine unbekannte Zahl von Bewertungen zu dem Angebot mit dem Wechselrichter „A.“ abgegeben worden sind und daher nicht für die Bewerbung des Angebots mit dem Wechselrichter „B.“ hätten verwendet werden dürfen. Da die Lebenserfahrung für die geschäftliche Relevanz der Fehlvorstellung spricht, wäre es Sache der Antragsgegnerin gewesen, zu diesem Punkt näher vorzutragen - etwa zur Zahl der Bewertungen, die durch die unveränderte ASIN auf das Angebot mit dem Wechselrichter „B.“ übertragen worden sind."
|
|
|
|
|
|
|
|
5.
|
OLG Rostock: Social Media-Anbieter muss bei Hackerangriff auf Konto kurzfristig reagieren
|
|
Ein Social-Media-Anbieter muss bei einem Hackerangriff auf das Konto eines seiner Kunden kurzfristig auf Nachfragen reagieren und darf den Kunden nicht hinhalten (OLG Rostock, Beschl. v. 07.04.2026 – Az. 3 W 62/25). In dem zugrundeliegenden Fall verlor die Klägerin nach einem Hackerangriff den Zugriff auf zwei Social-Media-Konten. Auf ihre Nachfragen schickte der verklagte Anbieter lediglich eine englischsprachige E-Mail mit einer Bearbeitungsnummer und meldete sich danach nicht mehr. Auch auf die außergerichtliche anwaltliche Fristsetzung erfolgte keinerlei Rückmeldung. Daraufhin beantragte die Nutzerin eine einstweilige Verfügung und verlangte die sofortige Wiederherstellung des vollen Kontozugangs. Im Laufe der gerichtlichen Auseinandersetzung erklärten beide Parteien den Rechtsstreit für erledigt, sodass das Gericht nur noch über die Kosten zu entscheiden hatte. Das OLG Rostock legte der Klägerin ein Drittel der Kosten auf, dem Online-Portal zwei Drittel. Nach Auffassung des Gerichts sei der Anbieter verpflichtet, die Nutzerin nach einem Hackerangriff zu unterstützen, da sie den Zugriff nicht allein wiederherstellen könne. Es lägen akute Risiken vor, weil Dritte unter ihrem Namen Inhalte veröffentlichen und ihr dadurch schaden könnten. Für einen wirksamen Eilschutz genüge es jedoch, die betroffenen Konten umgehend zu sperren. Eine vollständige Wiederherstellung des Zugangs im Eilverfahren gehe hingegen zu weit und nehme die endgültige Entscheidung vorweg. Da die Klägerin genau dies beantragt habe, sei sie teilweise unterlegen und müsse einen Teil der Kosten tragen. Den größeren Kostenanteil habe jedoch der Anbieter zu tragen, weil er die Klage durch seine mangelhafte Kommunikation selbst veranlasst habe. Das OLG stellte klar, dass eine ausschließlich englischsprachige Standardmail ohne weitere Reaktion einen Inhaber eines deutschsprachigen Kontos nicht verlässlich informiere. Auch ein etwaiger interner Sicherungsschritt für die Nutzerin sei ohne Kontozugang nicht nachvollziehbar gewesen: “Nach diesen Vorgaben genügte es hier zur ausreichenden Absicherung der Antragstellerin, ihre Benutzerkonten generell, d. h. auch für die Dritten, welche sich einen Zugang mittels Hacking verschafft hatten, zu sperren, und so von diesen vorgenommene Handlungen zum Nachteil der Antragstellerin zu verhindern. Verweist sie demgegenüber darauf, dass es ihr ebenso darum gegangen sei, sich einen Überblick darüber zu verschaffen, welche Inhalte über ihre Profile veröffentlicht worden oder mit welchem ihrer Kontakte die Hacker in Interaktionen getreten seien, richtet sich dies auf die erst im Weiteren relevante Abarbeitung möglicherweise geschehener Rechtsverstöße. Jedenfalls in diesem Zusammenhang war weder dargetan noch sonst ersichtlich, warum insofern ein derartiges Eilbedürfnis vorgelegen hätte, dass ihm nur durch die sofortige Wiedereinrichtung eines Zugangs der Antragstellerin zu ihren Accounts gerecht zu werden gewesen wäre.”
Und weiter: “Eine Befriedigungsverfügung ist bloß dort gerechtfertigt, wo das Versagen einer solchen Verfügung zu einer irreparablen Schädigung des Antragstellers führt, sodass in einem anhängigen oder noch anhängig zu machenden Hauptverfahren die Rechtsverwirklichung für ihn ins Leere gehen muss; diese Prüfung verlangt zunächst die Feststellung, dass unter Beachtung von Art und Umfang der Gefahr sowie aufgrund der Interessenabwägung im Rahmen des Sicherungsbedürfnisses keine einstweilige Maßnahme in Frage kommt, die „unterhalb“ des geltend gemachten Anspruchs in der Hauptsache die Rechtsstellung sichert (…).”
|
|
|
|
|
|
|
|
6.
|
OVG Schleswig: FIN-Weitergabe durch KBA ist datenschutzrechtlich zulässig
|
|
Das Kraftfahrt-Bundesamt (KFB) darf die Fahrzeug-Identifikationsnummer (FIN) eines Fahrzeughalters, der ein angeordnetes Software-Update verweigert, an die zuständige Zulassungsstelle übermitteln. Dies gilt auch dann, wenn der Betroffene der Weitergabe aus Datenschutzgründen widerspricht (OVG Schleswig, Beschl. v. 10.06.2026 – Az. 6 LA 206/24). Der Kläger fuhr einen Mercedes und folgte trotz Aufforderung nicht dem vom KBA begleiteten Software-Update. Das KBA kündigte daraufhin an, die FIN an die zuständige Zulassungsstelle zu übermitteln. Der Kläger widersprach aus Datenschutzgründen, beantragte die Unterlassung der Übermittlung und verlangte Akteneinsicht. Das KBA lehnte beides ab. Das VG Schleswig wies die Klage ab. Es hielt den Hauptantrag für unzulässig und den Hilfsantrag für unbegründet. Akteneinsicht sei mangels eines vorherigen Antrags ebenfalls nicht zu gewähren.Das OVG lehnte die Zulassung der Berufung ab. Das Urteil des Verwaltungsgerichts bleibt damit rechtskräftig.Das Gericht prüfte den Fall ausschließlich am Maßstab des Datenschutzrechts. Die FIN sei zwar ein personenbezogenes Datum. Die Übermittlung zwischen Behörden sei jedoch zulässig, wenn sie zur Aufgabenerfüllung erforderlich sei. Nach Auffassung des Gerichts müsse die Zulassungsstelle prüfen können, ob ein Fahrzeug den Vorschriften entspreche. Dafür benötige sie die FIN. Es genüge, dass ein Anlass für Zweifel bestehe, etwa weil das Software-Update nicht durchgeführt worden sei. Ob die ursprüngliche Rückrufanordnung gegenüber dem Hersteller rechtmäßig war, müsse im vorliegenden Verfahren nicht geklärt werden. Entscheidend sei, dass die empfangende Behörde eigenständig entscheide und im Rahmen ihrer eigenen Zuständigkeit handle. Eine etwaige Rechtswidrigkeit der Rückrufanordnung schlage auf die Datenübermittlung nur dann durch, wenn gerade der Umgang mit den Daten den rechtswidrigen Teil darstellte. Dafür gebe es keine Anhaltspunkte. Das Verwaltungsgericht habe die Rückrufakten nicht beiziehen müssen, da dies aus seinem Rechtsstandpunkt heraus nicht erforderlich gewesen sei. Zudem habe der Kläger keinen hinreichend konkreten Antrag auf Einsicht in die Rückrufakten gestellt. Diese beträfen überdies ein anderes Verfahren. Besondere rechtliche Schwierigkeiten oder grundsätzliche Fragen lägen nicht vor. "… Bei der Fahrzeug-Identifizierungsnummer (FIN) handelt es sich (…) um ein auf die Antragstellerin bezogenes Datum, das vom KBA als öffentlicher Stelle des Bundes an eine andere öffentliche Stelle, nämlich die zuständige Zulassungsbehörde, übermittelt werden soll."
Und weiter: "Die Übermittlung erfolgt auch zur rechtmäßigen Aufgabenerfüllung i. S. d. Datenschutzrechtes (…). Die Nutzung der Daten aufseiten der Empfängerbehörde dient der Prüfung, ob es an der Vorschriftsmäßigkeit des betreffenden Fahrzeugs fehlt und bejahendenfalls, in welcher Weise von dem der Zulassungsbehörde (…) eingeräumten Ermessen Gebrauch gemacht werden soll."
|
|
|
|
|
|
|
|
7.
|
VG Berlin: Untersagung von Russia Today rechtmäßig
|
|
Die Medienanstalt Berlin-Brandenburg hat einer GmbH mit Sitz in Berlin im Februar 2022 zu Recht untersagt, das Fernsehprogramm RT DE (Russia Today auf Deutsch) in Deutschland zu veranstalten. Das hat das Verwaltungsgericht Berlin entschieden. Die Klägerin ist eine im Jahr 2014 nach deutschem Recht gegründete GmbH, die sich inzwischen in Liquidation befindet und keine Geschäftstätigkeit mehr entfaltet. Ihre Großmuttergesellschaft ist TV Novosti, ein staatliches Medienunternehmen der Russischen Föderation. Im Dezember 2021 startete RT DE als Fernsehprogramm über Satellit sowie im Internet. Die Medienanstalt untersagte der Klägerin die Veranstaltung und Verbreitung des Programms, weil ihr die hierfür notwendige Zulassung fehle. Die Klägerin macht geltend, nicht sie, sondern ihre Großmuttergesellschaft sei Veranstalterin von RT DE und gestalte das Programm. Sie selbst sei lediglich Produzentin und Zulieferin einzelner Sendungen. Die 32. Kammer des Verwaltungsgerichts hat die Klage abgewiesen. Die Medienanstalt habe die Klägerin zu Recht als Veranstalterin des zulassungspflichtigen Rundfunkprogramms RT DE angesehen. Die Klägerin sei vor dem Sendestart in öffentlichen Äußerungen mehrfach wie eine Programmveranstalterin aufgetreten. Sie habe verlautbaren lassen, dass bei ihr in Deutschland – und nicht in Russland – die redaktionelle Letztverantwortung für die gesendeten Inhalte liege. Auch in Stellenausschreibungen habe sie sich als TV-Sender bezeichnet und für einen solchen Sender erforderliches Personal gesucht. Es sei nicht überzeugend, dass diese Äußerungen von ungeschultem Personal getätigt worden und daher nicht maßgeblich seien. Für die Behauptung der Klägerin, nur Zulieferin von Programmbestandteilen für TV Novosti gewesen zu sein, fehle es an stichhaltigen Belegen. Gegen das Urteil kann Antrag auf Zulassung der Berufung beim Oberverwaltungsgericht Berlin-Brandenburg gestellt werden. Urteil der 32. Kammer vom 30. Juni 2026 (VG 32 K 13/23) Quelle: Pressemitteilung des VG Berlin v. 30.06.2026
|
|
|
|
|
|
|
|
8.
|
LG Frankfurt a.M.: Commercial Effects bei unerlaubter Foto-Veröffentlichung auf Instagram
|
|
Aus den äußeren Umständen (Sprache, Bekanntheit, Tätigkeit) kann sich bei Online-Urheberrechtsverletzungen auch auf einem ausländischen Instagram-Profil eine inländische Gerichtsbarkeit ergeben (LG Frankfurt a.M., Urt. v. 06.05.2026 - Az.: 2-06 O 444/25). Ein deutscher Architekturfotograf entdeckte eines seiner Fotos auf einem ausländischen Instagram-Profil. Der Account mit über 400.000 Followern zeigte einen Bildausschnitt, ohne den Fotografen oder das Architekturbüro zu nennen. Der Fotograf mahnte die Plattform ab, doch diese prüfte den Sachverhalt nicht und löschte den Beitrag nicht. Wochen später war der Beitrag noch immer online. Daraufhin beantragte der Fotograf eine einstweilige Verfügung, die die Zugänglichmachung seines Fotos in Deutschland untersagen sollte. Das LG Frankfurt a.M. bestätigte die Zuständigkeit deutscher Gerichte für den Sachverhalt. Die Richter wandten deutsches Recht an, da der Fotograf Schutz für Deutschland begehre. Er sei Urheber zumindest eines geschützten Lichtbilds. Der gezeigte Ausschnitt stamme erkennbar aus seinem Foto, wofür weder eine Erlaubnis vorliege noch eine Urheberbenennung erfolgt sei. Nach Auffassung des Gerichts war ein hinreichender Inlandsbezug gegeben: Der weltweit abrufbare Beitrag sei auch auf Deutsch übersetzbar, das abgebildete Projekt finde in Deutschland Beachtung und der Fotograf arbeite hierzulande und pflege Kundenbeziehungen. Zwar profitiere Instagram von der weltweiten Abrufbarkeit, habe jedoch die ihr mögliche regionale Beschränkung von Zugriffen nicht vorgenommen, sodass die Auswirkungen im Inland erheblich ins Gewicht fielen. Die Online-Plattfoirm sei nach einem ausreichend konkreten Hinweis verpflichtet gewesen, den Sachverhalt zu prüfen und gegebenenfalls zu handeln. Die meldende Person müsse Belege für ihre Rechteinhaberschaft nicht bereits mit der Meldung einreichen. Bei Zweifeln hätte die Betreiberin nachfragen müssen. Da sie weder geprüft noch gelöscht habe, sei sie verantwortlich: “Unter Beachtung dieser Maßstäbe hat der Kläger einen hinreichenden Inlandsbezug glaubhaft gemacht. Zwar ist der Account „S“ unstreitig fast ausschließlich in arabischer Sprache verfasst, befasst sich überwiegend oder ausschließlich mit Architekturprojekten in der Region / in Saudi-Arabien und enthält mehr als 14.000 Beiträge über Bauprojekte. Unstreitig bietet die Beklagte aber auch eine Übersetzungsmöglichkeit, auch ins Deutsche, für die Beiträge und Nutzerkommentare auf diesem Account an. Auch ist allgemein davon auszugehen, dass die Architektur-Community hinsichtlich internationaler Großprojekte über nationale Grenzen hinweg vernetzt ist und sich über die staatlichen Grenzen hinaus informiert und austauscht. Insofern hat der Kläger auch glaubhaft gemacht, dass der Account „S“ zahlreiche hochwertige Fotografien veröffentlicht hat, teilweise aufwändige Luftaufnahmen (vgl. Bl. 357 ff. d.A.) und dass dort ein Aufruf zur Bewerbung für das Vorqualifizierungsprogramm für die Umsetzung eines Stadions für die WM 2034 veröffentlicht wurde (…). Der in Deutschland ansässige Kläger hat zudem durch eidesstattliche Versicherung (…) glaubhaft gemacht, dass er hauptberuflich international als Architekturfotograf tätig ist und vor allem von Architekturbüros beauftragt wird, von denen viele bereits Preise gewonnen haben."
Und weiter: "Der Kläger hat weiter glaubhaft gemacht, dass der KACST, das Motiv der streitgegenständlichen Fotografie, von dem deutschen Architekten T, Mitgründer des L und Leiter des Berliner Büros von L (vgl. Screenshot Bl. 4 d.A.), das den KACST-Tower geplant und umgesetzt hat, entworfen wurde. Ferner hat der Kläger glaubhaft gemacht, dass über das KACST-Projekt auch in Deutschland auf der MIPIM berichtet worden ist (vgl. Anlage MK 31). Der Kläger hat auch glaubhaft gemacht, dass er für die streitgegenständliche Fotografie von L ein Honorar im fünfstelligen Bereich erhalten hat (…) und dass sein in Deutschland ansässiger Kundenstamm teilweise auf Exklusivität der erworbenen Ablichtungen bestehe bzw. Drittveröffentlichungen die Kaufentscheidungen der Auftraggeber des Klägers und seine Reputation beeinträchtigten (…). Durch Vorlage der Anlage MK3 (…) hat der Kläger glaubhaft gemacht, dass L verstärkt Projekte im arabischen Raum betreut. Weiter hat der Kläger durch Vorlage der Anlage MK13 (…) ein Indiz hervorgebracht, dass er für das Architekturbüro J in Deutschland als Fotograf tätig war. Bereits auf dieser Grundlage ist eine Beeinträchtigung der inländischen Interessen des Klägers anzunehmen."
|
|
|
|
|
|
|
|
9.
|
SG Nürnberg: Kein DSGVO-Schadensersatz nach Hackerangriff bei Zero-Day-Exploits
|
|
Die DSGVO gewährt keinen absoluten Schutz vor Datenpannen, sondern nur einen relativen. Hat das von dem Hackerangriff betroffene Unternehmen ausreichende Sicherheitsmaßnahmen ergriffen, liegt kein Verschulden vor, sodass kein Anspruch auf DSGVO-Schadensersatz besteht (SG Nürnberg, Urt. v. 10.06.2026 – Az.: S 5 SF 65/24 DS). Im Streitfall nahm die bei der Beklagten versicherte Klägerin über eine App am Bonusprogramm teil. Eine Hackergruppe nutzte eine bis dahin unbekannte Sicherheitslücke in einer Software (sog. Zero-Day-Exploit) und erbeutete dabei Name, Versicherungsnummer, Prämienbetrag und die IBAN der Mutter. Gesundheitsdaten waren nicht betroffen. Der zuständige Dienstleister spielte das Sicherheitsupdate sofort nach Bekanntwerden der Lücke ein. Die Klägerin verlangte unter anderem DSGVO-Schmerzensgeld sowie die Erstattung vorgerichtlicher Anwaltskosten. Es gab keine Vorinstanzen.Das Gericht wies die Klage vollständig ab. Die Ansprüche seien unbegründet.Die DSGVO verlange keinen absoluten Schutz, sondern lediglich angemessene technische und organisatorische Maßnahmen. Die Beklagte habe eine marktführende, aktiv gepflegte Software eingesetzt und zahlreiche Sicherheitsvorkehrungen umgesetzt. Da der Angriff über eine bis dahin unbekannte Schwachstelle (Zero-Day-Exploit) erfolgt sei, hätten weder die Beklagte noch der Dienstleister den Vorfall ohne Kenntnis des Herstellers vorhersehen oder verhindern können. Ein Verstoß gegen datenschutzrechtliche Pflichten sei daher nicht nachweisbar: "Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern (…). Gegen die Annahme, dass die Beklagten entsprechende Bedenken hätten haben müssen, spricht der Umstand, dass weltweit ca. 2.500 Unternehmen und Institutionen dem - insoweit unvorhergesehenen - sog. "zero-day-exploit" zum Opfer fielen. Die Beklagte zu 1) hatte keinen Anlass zur verstärkten Kontrolle der Beklagten zu 2), Zweifel an der Eignung der Beklagten zu 2) als Auftragsverarbeiterin wurden nicht vorgetragen."
Zudem fehle es an einem ersatzfähigen Schaden. Das Konto der Klägerin sei nicht vom Vorfall betroffen. Auch gebe es keinerlei Hinweise auf Missbrauch oder eine Veröffentlichung der Daten im Darknet. Die bloße Sorge vor künftigem Missbrauch reiche nicht aus. Ein immaterieller Schaden setze voraus, dass die Befürchtung begründet und nachvollziehbar sei: "Überdies fehlt es im vorliegenden Fall an einem ersatzfähigen immateriellen Schaden. (…) Vorliegend sind keine Umstände ersichtlich, die den Eintritt künftiger Schäden über eine bloß theoretische Befürchtung hinaus wahrscheinlich werden lassen. Abgesehen davon, dass nicht die Kontodaten der Klägerin (sondern der Mutter) betroffen waren mit der Folge, dass der Klägerin kein Schaden materieller Art entstehen kann, gilt es zu beachten, dass die Sicherheitslücke unmittelbar nach dem Hackerangriff behoben wurde. Seither kam es zu keinen Schäden materieller Art. Dabei verringert sich eine solche Möglichkeit stetig mit fortschreitendem Zeitablauf (...)."
|
|
|
|
|
|
|
|
10.
|
Datenschutzbehörde Österreich: E-Mail-Kundendaten nicht personenbezogene Daten des Listeigners
|
|
Die E-Mail-Kundendaten des Listeigners sind keine personenbezogenen Daten des Unternehmens, da diese keine Informationen über den Listeigner enthalten (Datenschutzbehörde Österreich, Bescheid v. 25.11.2025 – GZ 2025-0.320.021). Die A GmbH erwarb nach der Insolvenz der E GmbH deren Kundenkartei mit rund 500.000 E-Mail-Adressen. Der frühere Geschäftsführer der E GmbH, nun Geschäftsführer der N GmbH, hatte diese Adressen noch auf seinem Computer gespeichert. Die N GmbH versendete mehrere Werbe-E-Mails an diese Adressen für eigene Zwecke. Die A GmbH sah darin eine Verletzung ihres Rechts auf Geheimhaltung und erhob Datenschutzbeschwerde. Die Datenschutzbehörde Österreich wies die Beschwerde als unbegründet ab. Eine Verletzung im Recht auf Geheimhaltung liege nicht vor. Die Behörde stellte zunächst klar, dass juristische Personen im nationalen Rahmen grundsätzlich Geheimhaltungsrechte geltend machen könnten. Entscheidend sei hier jedoch, dass die verwendeten Kunden-E-Mail-Adressen keine personenbezogenen Daten der A GmbH seien. Die Adressen identifizierten die Beschwerdeführerin nicht und enthielten keine Aussage über sie, weshalb sie nicht unter ihr eigenes Geheimhaltungsrecht fielen. Nach Auffassung der Behörde schütze die DSGVO Daten natürlicher Personen. Angaben zu Kunden würden daher nicht automatisch zu Daten des Unternehmens. Datenschutzrechtliche Rechte seien höchstpersönlich, sodass allein die betroffenen Kunden selbst Beschwerde führen könnten. Daran ändere auch der Umstand nichts, dass die Adressen im Zuge des Unternehmenskaufs übernommen wurden. Ebenso wenig verschiebe die frühere Speicherung beim ehemaligen Geschäftsführer die datenschutzrechtliche Zuordnung zur Beschwerdeführerin: "Dies ist im vorliegenden Verfahren allerdings nicht der Fall. Der Datenschutzbehörde ist auch nicht ersichtlich, inwiefern die verfahrensgegenständlichen Kundendaten (E-Mail-Adressen der zugekauften Kunden) die Beschwerdeführerin als juristische Person identifizieren bzw. identifizierbar machen."
Und weiter: "Es handelt sich daher bei den verfahrensgegenständlichen Kundendaten nicht um personenbezogene Daten der Beschwerdeführerin."
|
|
|
|
|
|
|
|
|
|
|
|
Allgemeine Informationen zum Newsletter
|
|
|
|
|
|