#DSGVO-Beschwerde und #Schadenersatzdurchsetzung: hier Durchsetzung bei Datenpanne ist für Verletzte schwierig

Datenpannen passieren häufig im Ausland und zuständige federführende Aufsichtsbehörden nach der DSGVO sind oft ebenfalls nicht in Deutschland. Betroffene, die Auskunfts- und Schadenersatzansprüche gegen den Verantwortlichen und/oder Auftragsverarbeiter nach Art. 82 DSGVO durchsetzen wollen, bzw. Unternehmen, die nach einer solchen Panne sich fragen, was sie konkret mitteilen müssen, haben derzeit daher an 2 Fronten zu kämpfen. Einmal bei den Zivilgerichten, die die Auskunfts-, Darlegungs- und Beweisgrundsätze bisher nicht einheitlich und zum Teil entgegen Art. 82 DSGVO und den nach Erwägungsgrund 146 DSGVO zu beachtenden Effektivitätsgrundsätzen restriktiv auslegen. So hat das Landgericht Frankfurt, und zwar einmal die 27. Zivilkammer mit Urteil Landgericht Frankfurt/Main Az. 2-27 O 100/20 und in einem Parallelfall eines anderen Klägers nunmehr erneut die 30. Zivilkammer mit etwas anderem Tatbestand mit Urteil vom 18.01.2021 20210118_anonym.LG Ffm Urteil 18.01.2021 15+82 DSGVO_Geschwärzt eine Auskunfts- und Schadenersatzklage gegen die in Belgien sitzende Mastercard Europe SA im Zusammenhang mit dem Databreach aus August 2019 im Rahmen des Mastercard Priceless Specials Germany Bonusprogramms abgewiesen (nicht rechtskräftig). Der Kläger wird in die Berufung gehen. Update 6.2.2021 Letzter Stand der Klägerseite hier: Tatbestandsberichtigungsantrag ist fristgemäß gestellt, weil es hier offensichtliche Unrichtigkeiten im Tatbestand gibt. Den Auskunftsantrag (Mastercard hat verspätet und unvollständig beauskunftet und will die konkreten Serviceprovider nicht angeben, bzw. hat erst in der Klageerwiderung die Namen „Brain Behind Ltd und Brain Behind GmbH“ vorgetragen, wobei unklar blieb, bei wem genau das unsichere Administratorpasswort den unbefugten Zugriff auf die Systeme der „BB“ 2019 ermöglicht hat. Ferner ist es so, dass es eine „Brain Behind GmbH“ ausweislich des Handelsregisters weder in Deutschland und ebenso auch nicht in Österreich gibt, wie man dem amtlichen firmenbuch.at entnehmen kann). Der Streitfrage ging das Gericht damit überraschend aus dem Weg, indem es im Urteil plötzlich meinte, es sei nicht ersichtlich, wieso die GmbH nicht identifizierbar sei und eine Pflichtverletzung von Mastercard sei „nicht indiziert.“ Der Kläger hatte vorgetragen, dass diese Angaben unklar sind und deshalb in der mündlichen Verhandlung den Auskunftsantrag nicht für erledigt erklärt. Die Beklagte hatte sich auch gar nicht damit verteidigt, das sei erledigt, denn man müsse diese nicht konkret angeben. Damit war diese rechtliche Streitfrage an sich zu entscheiden, die in der Praxis auch hoch relevant ist, ob – jedenfalls nach einer Datenpanne – nach Art. 12, 15 Abs. 1 lit.c DSGVO der Serviceprovider, der als Auftragsverarbeiter und damit „Empfänger“ der Kundendaten involviert war, konkret zu benennen ist. Mit vagen Angaben wie hier, kann ein geschädigter Betroffener nichts anfangen, daher (so auch die herrschende Meinung in der für das Gericht natürlich zitierten Kommentarliteratur mit allen Argumenten) konkret anzugeben, jedenfalls spätestens nach einer Datenpanne und ausdrücklicher DSGVO-Auskunftsanfrage des betroffenen Kunden. Mal sehen, ob das Gericht die offenbaren Unrichtigkeiten nun auf Antrag im Tatbestand berichtigen wird, damit in der II. Instanz das Gericht wenigstens den Sachverhalt richtig versteht, über den es zu befinden haben wird….Puh.

Die andere Baustelle ist die Erlangung von näheren Informationen und Akteneinsichten bei den Aufsichtsbehörden, die für die Beschwerde- und Bussgeldverfahren nach einer Datenpanne zuständig sind. Auszug aus meiner Korrespondenz mit dem HBDI (Hessischer Beauftragter für Datenschutz und Informationsfreiheit):
UPDATE VOM 09.02.2021: Nun liegt eine neue Antwort des HBDI vor:

Sehr geehrte Frau Rechtsanwältin Hagendorff,

die belgischen Kollegen haben mir mitgeteilt, dass die Untersuchungen noch andauern und die Daten zum Verfahren derzeit nach belgischem Recht vertraulich sind. Entsprechend wurde auch mir keine weitere Auskunft erteilt und so kann ich Ihnen auch keine weiteren Informationen zur Verfügung stellen.

Mit freundlichen Grüßen
Im Auftrag

……….
—–Meine E-mail an das HBDI in einem Beschwerdeverfahren einer Klientin gegen Mastercard Europe SA:
Sehr geehrter Herr……,
danke für Ihre E-mail vom 20.10.2020 zum Akteneinsichtsgesuch …und ich habe die Angelegenheit inzwischen nochmals geprüft.

Wenn die Akte zum Beschwerdeverfahren zu o.g. Az. nur meine Eingaben enthält, wird auf die Akteneinsicht selbstverständlich verzichtet.
Aber ich möchte Sie bitten, gemäß Art. 77 Abs. 2 DSGVO i.V.m. § 19 Abs. 2 S.3 BDSG uns den Informationsstand und das Ergebnis oder hilfsweise das Zwischenergebnis des Beschwerdeverfahrens bei der federführenden Aufsichtsbehörde in Belgien mitzuteilen. Nach § 19 Abs. 2 S. 3 BDSG soll dann, wenn wie hier die Verantwortliche in Deutschland keinen Sitz und keine Niederlassung hat, die Aufsichtsbehörde hier als empfangende Behörde dem Beschwerdeführer über das Ergebnis des Verfahrens informieren, d.h. soweit das Verfahren abgeschlossen ist, den Beschluss der Belgischen Aufsichtsbehörde mitteilen oder falls es noch nicht abgeschlossen ist, zumindest den Zwischenstand über die Erkenntnisse, die zur Datenpanne geführt haben.

Nach § 19 Abs. 2 Satz 3 BDSG weist der deutsche Gesetzgeber die nach der DSGVO zugewiesenen Aufgaben der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, kraft Gesetzes der „empfangenden Aufsichtsbehörde“ zu. Das bedeutet, dass die Zuständigkeiten gebündelt werden, damit die Aufsichtsbehörde den Verletzten nicht an ausländische Aufsichtsbehörden verweisen kann. [Vermerk: Ausserdem ist sie zur Kooperation und Weiterleitung einer Beschwerde an die federführende Aufsichtsbehörde in der EU verpflichtet, At. 60ff DSGVO]. Damit verleiht das BDSG dem Grundgedanke der DSGVO, dass der Betroffene bei der Aufsichtsbehörde seiner Wahl in Deutschland Beschwerde einlegen kann, damit er nicht auf eine Aufsichtsbehörde im Ausland verwiesen werden kann, ihre Wirkung (vgl. sinngemäß so auch Hellmich in Taeger/Gabel, DSGVO.BDSG, 3. Auflage, Rn. 7 zu BDSG § 19 m.w.N.). Das bedeutet, dass das HBDI vorliegend die Kommunikationsaufgaben, sprich Information über das Ergebnis des Verfahrens oder bei überlanger Dauer wie hier zumindest den Stand und Zwischenergebnis des Verfahrens zu unterrichten hat. Wäre der Betroffene auf die Durchsetzung von Informations- und Akteneinsichtsersuchen bei der ausländischen federführenden Behörde angewiesen, würde dies dem Grundgedanken der DSGVO widersprechen, die aus Gründen der Fairness und des europarechtlichen Grundgedankens des effet utile die praktische Durchsetzung seiner Informations- und Abwehrrechte gegen unrechtmäßige Verarbeitungen überhaupt erst ermöglichen sollen. Dies ist gerade bei grenzüberschreitenden Datenverarbeitungen, die hier auch die Kreditkartenumsätze umfassen, die zweckentsprechend zum Gutschreiben der Coins im Bonusprogramm automatisch abgeglichen und somit miteinander vernetzt gewesen sein dürften, nur praktisch möglich, wenn § 19 Abs. 2 S. 3 BDSG wie vom Gesetzgeber beabsichtigt, dem Betroffenen die deutsche Aufsichtsbehörde sichert, auch wenn federführend eine ausländische Aufsichtsbehörde zuständig ist nach den Art. 60ff DSGVO.

Nach nochmaliger Prüfung der Sach- und Rechtslage ist es demnach nicht statthaft, die Beschwerdeführerin auf die ausländische federführende Aufsichtsbehörde vorliegend zu verweisen oder bis zum rechtskräftigen Abschluss etwaiger Zivilklagen mit dem Bericht das Verfahren auszusetzen.

Wie dargelegt, besteht der Verdacht, dass Mastercard Europe SA oder deren Auftragsverarbeiter die Datenpanne durch unzureichende Datensicherheitsmassnahmen nach Art. 32 DSGVO z.B. durch ein unsicheres Administratorpasswort eines Auftragsverarbeiters, das höchstwahrscheinlich entdeckt worden wäre, wenn die nach der PCI-DSS v3.2.4 abrufbar in Deutsch und in Englischer Sprache unter https://www.pcisecuritystandards.org/document_library auf S. 128 vorgeschriebenen Penetrationstests alle 6 Monate durchgeführt worden wären.
Auf S. 128 der vorgenannten Payment Card Informationsystem Data Security Standards heisst es unter 11.2.4.1. „Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods.“
Diese Vorgabe ist nach meinen Informationen seit Februar 2018 in Kraft und die Einhaltung der PCI-DSS waren hier wegen der Vernetzung mit dem Zahlungssystem zwischen Mastercard und Brain Behind auch vereinbart.

Mastercard hat keine Auskunft über die genauen Empfänger der Brain Behind Gruppe erteilt (also wer genau wo aus der Gruppe die Kundendaten für das Bonusprogramm verarbeitet hat), sodass Name und Anschrift des Auftragsverarbeiters, bei dem die Datenabfluss stattgefunden hat z.B. wegen unzureichender Schutzmassnahmen und Penetrationstests hier nicht vorliegen. Handelt es sich um die aus dem Imprint von brain-behind.com veröffentlichte Brain Behind Ltd?
Die Anschrift dort ist laut Impressum (Inprint):
Brain Behind Ltd.
30 Moorgate
London, EC2R 6PJ, United Kingdom
xxxxxxxxxx
Phone: +44xxxxx

Ist es korrekt, dass dort ein unsicheres Administratorpasswort den Zugriff auf die geleakten Kundendaten aus dem Mastercard Priceless Specials Databreach in 2019 durch unbekannte Dritte ermöglicht haben?
Dies müsste doch unzureichende Datensicherheitsmassnahmen indizieren, weil für das Bonusprogramm laut unseren Informationen zwischen Mastercard Inc oder Mastercard Europe SA für das Mastercard Priceless Specials die Einhaltung der Sicherheitsmassnahmen nach den Vorgaben der PCI-DSS vereinbart war. Letztere sehen alle 6 Monate Penetrationstests vor.

Die fehlende Auskunft über den Empfänger entgegen Art. 15 Abs. 1 c DSGVO dürfte ebenfalls ein Verstoß beinhalten, denn Mastercard hat dazu keine Auskünfte erteilt, weder in der Datenschutzerklärung noch in der Meldung zur Datenpanne noch nachdem sie zur Auskunft aufgefordert wurde und hat Ende 2019 nur pauschal auf die Datenschutzerklärung verwiesen und ein Verschulden zurückgewiesen. Mit vagen Auskünften, es seien die Daten in Grossbritannien von einem Auftragsverabeiter verarbeitet worden, kann der Verletzte nichts anfangen. Der Begriff des Schadens [und die Auskunftsansprüche des Betroffenen nach den 12ff. DSGVO) sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.

Der Beschwerdeführerin ist auch ein immaterieller und ein materieller Schaden i.S. von Art. 82 Abs. 1 DSGVO entstanden. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht (ErwG 146 S.3 DSGVO). Zum Schaden gehört im Lichte der Grundfreiheiten auch der Kontrollverlust, der entsteht, wenn bei einer Datenpanne nicht der Verletzte informiert wird, wie es zu der Datenpanne kam und bei wem die Daten, insbesondere Empfänger/Auftragsverarbeiter der Verantwortliche die Kundendaten hat verarbeiten lassen. Der Betroffene (Verletzte i.S. der DSGVO) hat sonst nicht die Möglichkeit, ggfs. auch gegenüber dem Auftragsverarbeiter mangels Namen und Anschrift seine Rechte geltend zu machen, z.B. eine Streitverkündung im Zivilrechtsstreit zu ermöglichen oder Auskunftsansprüche nach Art. 15 DSGVO geltend zu machen. Nach überwiegender Auffassung der Kommentarliteratur muss sinnvollerweise also der Auftragsverarbeiter konkret nach einer Datenpanne benannt werden, identifizierbar und das hat Mastercard gegenüber der Beschwerdeführerin nicht getan. Es ist auch nicht eindeutig anhand Ihrer Auskünfte ersichtlich bisher. Die Mastercard Priceless Specials Germany Bonusprogramm hinterlegte Mastercard Kreditkarte von xxxxx xxx wurde wie in der Beschwerde dargelegt von ihrem Kreditinstitut aus Anlass der streitgegenständlichen Datenpanne vorsorglich im September 2019 gesperrt und ausgewechselt. Auch der Kontrollverlust bei einer unbefugten Weitergabe oder wie hier sogar Veröffentlichung durch anonyme Dritte ist ein Schaden [Vermerk: 85 S.2 ErwG: Die Menschen sollten die Kontrolle über ihre Daten besitzen und sich effektiv gegen unrechtmäßige Datenverarbeitung schützen können vgl. ErwG 7 der DSGVO.] Hier ist der Verdacht begründet, dass neben den Kontaktdaten auch die Kreditkartenumsätze geleakt worden waren, die eine Profilbildung ermöglichen. Zudem konnte sie infolge der Kreditkartenauswechselung zwar einer möglicherweise drohenden Kreditkartenbetrug verhindern, aber wegen des inzwischen gesperrten Portals keine weiteren Coins mit der neuen
Kreditkarte sammeln, weil die neue Mastercard nunmehr nicht mehr auf der gesperrten Seite des Mastercard Priceless Specials Programms hinterlegt werden konnte.

Bitte erteilen Sie bitte daher nunmehr die Auskünfte über das Ergebnis oder zumindest Zwischenstand der Ermittlungen, wer und was zu der Datenpanne geführt hat. Rein vorsorglich rüge ich nochmals auch nach § 46 OwiG i.v.m. § 198 GVG, dass ansonsten der Beschwerdeführerin ein weiterer Schaden entsteht, wenn sie gegenüber Mastercard und Brain Behind mangels ausreichender Auskünfte nicht ihre Rechte auf Schadenersatz auf dem Zivilrechtswege durchsetzen kann.
Wegen der Vielzahl der Betroffenen und Beschwerden dürfte es hier auch nicht unverhältnismäßig sein, wenn das HBDI diese Auskunft den Betroffenen Beschwerdeführern erteilt.
Würde Mastercard sich mit pauschalen Schutzbehauptungen bei einer Datenpanne wie geschehen wehren können, ohne transparente Informationen über das Ergebnis der Ermittlungen zur Datenpanne zu leisten gegenüber den geschädigten Kunden, dann hätte das verheerende Signalwirkung.

Freundliche Grüße

Stefanie Hagendorff
Rechtsanwältin

Am Straßbach 2
(Eingang Pfingstweide)
D-61169 Friedberg (Hessen)

Am 20.10.2020 um 08:41 schrieb x@datenschutz.hessen.de:
> Sehr geehrte Frau Rechtsanwältin Hagendorff,
>
> zu der Beschwerde von xxx sind in der Akte lediglich Ihr Beschwerdeschreiben vom 20.12.2019, Ihre weitere Email vom 23.07.2020 und meine Antwort vom 28.07.2020 enthalten. Der Akteninhalt liegt Ihnen daher vollständig vor. Sollten Sie dennoch ihren Antrag auf Akteneinsicht aufrechterhalten, bitte ich um einen Hinweis.
>
> Mit freundlichen Grüßen
> Im Auftrag ….
> ——————————————————————————–
> Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
> Gustav-Stresemann-Ring 1
> 65189 Wiesbaden
————

#DSGVO #Schadenersatzansprüche betroffener Händler und Kunden bei Datenpannen?

Hier am aktuellen Beispiel zur #Datenpanne bei #Mastercard Priceless Specials vom August 2019. Jetzt nehmen die Schadenersatzverfahren Fahrt auf, weil das Programm endgültig eingestellt wurde.

Ca. 90.000 Teilnehmer des Mastercard Priceless Specials Programms waren im Sommer 2019 betroffen von einer Datenpanne, weil die Datenbank offen mit Namen, Anschrift, Mobilfunknummer, E-mail, Geburtsdatum und Kreditkartendaten im Internet abrufbar waren. Mastercard hatte die Datenpanne unweigerlich offiziell bestätigen müssen und sich entschuldigt, die Plattform mit Bonusprogramm „vorläufig“ und inzwischen endgültig deaktiviert, aber eine Verantwortlichkeit für die Datenpanne pauschal abgestritten. Die Aufsichtsbehörden in Hessen (HBDI) – hier die Pressemitteilung des HBDI vom 23.08.2019 mit den späteren updates – und die federführende Aufsichtsbehörde des datenschutzrechtlichen Untersuchungsverfahrens in Belgien DPA in Brüssel – https://www.dataprotectionauthority.be/contact-us -erhielten zahlreiche Beschwerden Betroffener über unzureichende Auskünfte. Aber bis heute hat Mastercard nicht viel zur Aufklärung über die Verantwortlichkeit beigetragen, obwohl die Datenpanne nach Art. 82 III DSGVO indiziert, dass Mastercard für den Datenschutz verantwortlich ist oder ihn ermöglicht hat, wenn und soweit Mastercard als Verantwortliche nicht nachweist, in keiner Weise für den massiven Verstoß durch diesen Datenpanne ein Verschulden zu tragen. Das ist bisher nicht geschehen und offenbar ist Mastercard weder in der Lage noch gewillt, dass Programm wie bisher angekündigt, wieder datenschutzkonform zu aktivieren. Priceless ist gekündigt und wurde zum 4.7.2020 endgültig beendet. Der Schadenersatz nach Art. 82 I DSGVO umfasst anders als nach früherem Datenschutzrecht nunmehr neben den Vermögensschäden auch immaterielle Schäden, die Betroffene durch den Datenschutzverstoß erleiden, den Mastercard – dafür sprechen einige Indizien – mitverschuldet haben dürfte. Wenn die Plattform nicht wieder aktiviert werden kann, spricht das für fundamentale Sicherheitsmängel des Bonusprogramms und der beteiligten Systeme, die einen Verstoß gegen die Pflichten nach Art. 5, 24 und 32 DSGVO durch Mastercard wahrscheinlich machen.

Am 4.6.2020 schließlich kündigte Mastercard seinen Kunden den Vertrag über das Bonusprogramm mit Wirkung zum 4.7.2020 auf und kündigte Infos an, wie die gesammelten Coins dann nun eingelöst werden können. Diese liegen bisher nach meinen Informationen noch nicht vor.

Derzeit laufen einige Auskunfts- und Schadenersatzverfahren Betroffener gegen Mastercard beim zuständigen Amts- bzw. Landgericht (je nach geforderter Summe und Streitwert). Neben den entgangenen Coins hatten einige Betroffene weitere Schäden wie gesperrte Kreditkarten, Kreditkartenbetrug, nicht blockierbare Spamanrufe mit gefakten Rufnummern, belästigende Spamnachrichten auf das Mobiltelefon oder Spammails, Identitätsdiebstahl d.h. z.B. das Erstellen von Fakeshops mit der Identität der illegal veröffentlichten Daten der Teilnehmer, Inkassorechnungen und Mahnungen von getäuschten Onlinehändlern, bei denen mit der gestohlenen Identität eingekauft wurde und weitere Folgeschäden, insbesondere auch der sog. Emotional Distress, den Opfer von solchen massiven Datenschutzverstößen erleiden. Die Betroffenen haben in vielen Fällen auch Beschwerden bei der Aufsichtsbehörde eingelegt, aber die Hessische Aufsichtsbehörde hat mit Verweis auf die anhängigen Schadenersatzklagen in den mir vorliegenden Fällen das Verfahren ausgesetzt und verweist auf die belgische federführende Aufsichtsbehörde, obwohl fast nur deutsche Kunden betroffen sind und daher die Schadenersatzklagen hier nach § 44 I BDSG am Gerichtsstand der deutschen Niederlassung in Frankfurt am Main geführt werden und hinsichtlich der Feststellung der Datenschutzverstöße und Ahndung der Verletzung u.a. der Auskunftsansprüche der Betroffenen der Hessische Datenschutzbeauftragte zuständig ist. Nach dem One-Stop-Prinzip der DSGVO für grenzüberschreitende Datenpannen hat hier die Belgische Datenaufsichtsbehörde die Federführung übernommen – vgl. deren Pressemitteilung zur Datenpanne von Mastercard Priceless Specials. Es kommt daher auch eine Untätigkeitsbeschwerde nach 3 Monaten Untätigkeit gegen die Datenschutz-Aufsichtsbehörde nach Art. 78 II DSGVO in Betracht. Wir werden in Belgien zum Stand des Verfahrens nachfragen und unseren Mandanten, die wir betreuen, berichten. Aber unklar ist, ob unter diesen Umständen diese Aussetzung des Beschwerdeverfahrens bis zum rechtskräftigem Abschluss des gegenständlichen zivilgerichtlichen Gerichtsverfahren und Verweisung auf die belgische Aufsichtsbehörde DSGVO konform ist. Der HBDI verweist auf Nachfrage als Rechtsgrundlage auf § 17 GVG analog – aber zum einen geht die DSGVO vor und ausserdem ist fraglich, ob das sinnvoll ist. Nach Art. 78 DSGVO soll nämlich unbeschadet von anderen Rechtsmitteln vor den Gerichten auch gerade verhindert werden, dass Betroffene auf ausländische Behörden und Gerichte verwiesen werden, um ihre Betroffenenrechte effektiv sowohl über Beschwerdeverfahren bei den Aufsichtsbehörden als auch Zivilklagen vor den Gerichten verfolgen zu können.
Man kann gespannt sein, ob die Betroffenen die Kündigung von Mastercard ohne Entschädigung für den Schaden so hinnehmen werden oder erfolgreich ihre Ansprüche vor den Gerichten durchsetzen können. Anders als früher sind nach der DSGVO die Bußgelder und Schadenersatzbeträge viel höher, denn nach Erwägungsgrund 146 müssen sie abschreckend und wirksam sein und müssen bei den Verbraucherrechten Wertungswidersprüche vermieden werden – so auch zuletzt der BGH mit Urteil vom 6.6.2019 – I ZR 216/17 – zu unbegründeten Zahlungsaufforderungen aufgrund unbestellten Waren wegen Identitätsdiebstahls. Allein für die Verletzung der Auskunftspflichten hatte kürzlich das Arbeitsgericht Düsseldorf den Arbeitgeber bereits 5.000 Euro Schadenersatz verurteilt. Das Urteil ist zwar nicht rechtskräftig, weil das Berufungsverfahren anhängig ist, aber die Tendenz ist klar: Die Schadenersatzklagen werden von den Unternehmen ernst zu nehmen sein. Unternehmen sollten daher DSGVO-Auskunftsanfragen pflichtgemäß beantworten und sich bei der Digitalisierung auch nachhaltig um die Einhaltung der Pflichten zur rechtmäßigen sicheren Datenverarbeitung nach der DSGVO kümmern. Nur wenn die Unternehmen das proaktiv fortlaufend tun, sind wir alle vor den massiven Schäden geschützt, die Datenpannen für Betroffene und beteiligte Unternehmen auslösen. Wertungswidersprüche würden auch zu den Bussgeldern entstehen, die die DSGVO in Höhe von bis zu 4 % des weltweiten Umsatzes der unternehmensgruppe ansetzt – diese Grundsätze und ein DSGVO Verstoß bei 500 Gewinnspielteilnehmern haben nach einer Pressemitteilung der Behörde zuletzt z.B. bei der AOK zu einem Bußgeldbescheid des Landesdatenschutzbeauftragten von Baden-Württemberg von 1.240.000 Euro geführt.
Interessant und bisher ungeklärt ist auch die Frage, ob Schadenersatzansprüche nur die betroffenen Kunden des Mastercard Priceless Specials Programm haben oder auch die in Mitleidenschaft gezogenen Händler, bei denen dann mit gefälschten Kreditkarten und Identitäten eingekauft und geliefert wurde. In Artikel 82 heißt es nämlich, dass jedermann, der durch den Datenschutzverstoß des Verantwortlichen einen Schaden erleidet, Anspruch auf Ersatz des materiellen und immateriellen Schaden gegen den Verantwortlichen hat. Dessen Verschulden ist dabei nach Art. 82 III DSGVO indiziert. Nach Erwägungsgrund 146 heißt es dazu: ….Satz 3: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. 4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. 5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. 6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. 7Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. 8Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. 9Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.“
Es spricht also auch der Wortlaut und der europarechtlich geltende Effektivitätsgrundsatz dafür, dass auch die geschädigten Händler Schadenersatzansprüche gegen Mastercard haben (vgl. z.B. so auch Paal in MMR 2020, 14f.).
Zur Höhe des Schadenersatzes für die immateriellen Schäden bei einem Datenbreach spricht nach vorherrschender Ansicht der Datenschutzexperten, dass dieser analog etwa der Faktorrechtsprechung bei Verletzung von Urheberrechten durch Filesharing (Beispiel OLG Frankfurt Az. 11 U 44/19: 50facher Wert des Einzelpreises der „Downloadversion“ des Computerspiels betrug fast 1.950 Euro und führte zu einem Schadenersatzurteil über 2.100 Euro) abhängig von der Dauer und dem Ausmaß der Datenpanne ein Vielfaches des Wertes der Daten als eine fiktive Lizenzgebühr als Schadenersatz zuzuerkennen ist. Gerade das unkontrollierbare der einfachen anonymen Weiterverbreitung über Filehoster und die enorme Ersparnis des Zeitaufwandes für die gewerblichen Betrüger durch offen im Internet erhältliche illegale Datenbanken führen ja zu den gezielten massenweisen Verwertung durch Hacking-, Erpressungs- und Betrugsattacken der Straftäter. Es ist also wichtig, daß diese Ansprüche effektiv verfolgt werden können und möglichst alle Betroffenen entschädigt werden.

#Haftung Dritter bei illegalem #Filesharing geschützter Werke von Angehörigen

BGH: Kind muß namentlich benannt werden, wenn Vater/Mutter Name des Täters bekannt wird.
Nach einer Pressemitteilung des Bundesgerichtshofes hat er heute am 30.03.2017 entschieden, daß der abgemahnte Anschlussinhaber, der wegen unerlaubter Veröffentlichung von geschützten Werken in einer Internettauschbörse (also P2P-Netzwerk, bittorrent-Netzwerk u.ä.) auf Schadenersatz in Anspruch genommen wird, bei einem Familienanschluss mit mehreren möglichen Angehörigen als Täter (hier Familie mit drei Kindern), dann den Namen des Kindes angeben muss, wenn er im Rahmen zumutbarer Nachforschungen den Namen des Täters erfahren hat (BGH, Urteil vom 30.03.2017, I ZR 19/16 – Loud).
Meine Meinung: Das Urteil ist verfassungswidrig. Es widerspricht dem verfassungsrechtlichen Schutzauftrag der Familie (Art. 6 GG), weil nach dieser Entscheidung zugunsten der besseren Durchsetzbarkeit von Schadenersatzansprüchen der Rechteinhaber die Eltern ihr Kind wegen einer Straftat denunzieren sollen und es hoher Schadenersatzforderungen der Rechteinhaber aussetzen würden. Wie schon das Landgericht Frankfurt und LG Potsdam richtig entschieden haben, geht das zu weit und würde das Vertrauensverhältnis in der Familie nachhaltig untergraben werden, wenn Kinder (und ihre Eltern) dafür bestraft werden, dass sie ehrlich zu ihren Eltern sind. Eltern möchten ihre Kinder zur Ehrlichkeit erziehen. Gute Erziehung funktioniert nur mit Vertrauen, aber in dieses Erziehungsrecht würde das Gericht nachhaltig eingreifen, wenn dieses Urteil bestandskräftig würde.

Zur Reichweite der prozessualen Wahrheitspflicht des Abgemahnten und der Frage, ob er es unterlassen darf, wenn er zwischenzeitlich Kenntnis erlangt hat, wer der Täter ist, wenn es sich hierbei um einen Familienangehörigen handelt (§§ 138, 383, 384 ZPO) hatten nämlich mit ausführlicher Begründung bereits LG Potsdam und LG Frankfurt Stellung genommen:
Insoweit muß zur Verteidigung gegen eine Schadenersatzklage wegen Urheberrechtsverletzung der Abgemahnte nicht den Ehepartner oder Kinder namentlich als Täter benennen (vgl. ausführlich LG Potsdam Urteil vom 08.01.2015 Az. 2 O 252/14. Hierzu verweise ich auch auf LG Frankfut (2-3 O 152/12):

„Die Wahrheitspflicht nach § 138 Abs. 1 ZPO der Partei endet dort, wo sie gezwungen wäre, eine ihr zur Unehre gereichende Tatsache oder eine von ihr begangene strafbare Handlung zu offenbaren (vgl. BVerfGE 56, 37, juris-Rn. 19; Baumbach/Lauterbach/Albers/Hartmann § 138 ZPO Rn. 24; Thomas/Putzo/Reichhold § 138 ZPO Rn. 7). Hier hätte sich der Beklagte, dem im einstweiligen Verfügungsverfahren das öffentliche Zugänglichmachen urheberrechtlich geschützter Musiktitel vorgeworfen wurde, bei dem von der Klägerin gewünschten aufklärenden Vortrag der Gefahr einer strafrechlichen Verfolgung nach §§ 106 Abs. 1, 15 Abs. 2, 19a UrhG ausgesetzt. Eine entsprechende Wahrheitspflicht bestand daher nicht“ Entsprechendes dürfte im Hinblick auf die Schutzpflicht des Staates für die Familie gem. Art 6 GG und aufgrund der Rechtsgedanken in §§ 383, 384 ZPO auch für den Fall gelten, dass der Beklagte im Nachhinein Kenntnis erlangt hat, dass ein Familienangehöriger die tat begangen hat und hier eben dürfte daher seine Wahrheitspflicht nicht so weitreichen, dass er diesen Familienangehörigen einer Straftat bezichtigen muß, um sich selbst als Beklagten zu verteidigen.

Fazit: Nachdem leider aber nun der BGH als höheres Gericht anders entschieden hat, gilt: Soweit der Name des Täters dem Beklagten bekannt wird, muß der Beklagte/die Beklagte ihn bekanntgeben, auch wenn es das eigene Kind oder ein sonstiger naher Angehöriger ist, der sich in der Familie anvertraut hat.

Urheberrechtliche Abmahnung mit Merkwürdigkeiten

hier: Abmahnung .rka Rechtsanwälte aus Hamburg für die Koch Media GmbH wegen Filesharing von „The Raid – Redemption“ mit Merkwürdigkeiten

Mir liegt eine Abmahnung wegen Filesharing vom 1.12.2016 vor, die meines Erachtens einige Merkwürdigkeiten enthält:

  1. Die Beweissicherung und Tatzeit liegt 4 Jahre zurück und jetzt erst wird die Urheberrechtsverletzung verfolgt. Mit keinem Wort wird das erklärt und eine nicht zweckentsprechende Rechtsverfolgung liegt nahe. Zwar hat der Bundesgerichtshof kürzlich (BGH Urt. v. 12.5.2016, I ZR 48/15) entschieden, daß der Restschadenersatzanspruch bei Filesharing erst nach 10 Jahren verjährt, aber es ist schon erstaunlich und nicht sinnvoll, wenn die Verletzung jetzt erst verfolgt wird. Ahnungslose Anschlussinhaber hätten – wenn es zutrifft – sowas gerne früher gewußt, um der Sache noch irgendwie nachgehen zu können.
  2. Es ist unklar, ob nun die deutsche oder die österreichische Koch Media GmbH Rechteinhaber ist für die digitale Veröffentlichung des Werks – denn auf Seite 1 ist die Rede von derjenigen aus Planegg bei München und in der beigefügten Unterlassungserklärung soll es eine Koch Media GmbH mit Sitz in Österreich sein, gegenüber der eine strafbewehrte Unterlassungserklärung abgegeben wird. Dabei hat bereits das AG Kassel einmal festgestellt, dass die Lizenzverträge insoweit unzureichend waren und eine Aktivlegitimation der Koch Media für ein anderes Werk im Streitfall fehlte, sodaß eine Klage abgewiesen wurde (AG Kassel, Urteil vom 14.04.2015, Az. 410 C 2230/14)
  3. Ach ja, und die Werkart ist auch unklar, denn die anwaltlichen Vertreter stellen nicht richtig klar, ob es jetzt ein Filmwerk oder ein Computerspiel ist, auf das sich Abmahnung und damit die Unterlassungserklärung beziehen soll, an manchen Stellen des Schreibens wird auf den Film und an anderer Stelle auf ein Computerspiel abgestellt. Da Koch Media sowohl Computerspiele als auch Filmwerke herstellt und vertreibt, könnte es beides sein. Damit ist aber die Unterlassungserklärung, die sich auf die konkrete Verletzungsform und das konkrete Werk, welches verwendet wurde, beziehen muß, nicht hinreichend klar auf ein bestimmtes Werk bezogen und bestehen Zweifel an der Durchsetzbarkeit. In dem Entwurf der Advokaten ist aber nur die Rede von „Werk The Raid – Redemption“.
  4. In der vorformulierten Unterlassungserklärung, die beigefügt ist, soll gleich auch noch die Verpflichtung mit unterschrieben werden, 800 € an die .rka Rechtsanwälte in der kurz bemessenen Zahlungsfrist von nur 9 Tagen zu zahlen. Denn Brief haben mitunter eine Postlaufzeit von 3 Tagen. Wer also vorschnell unterschreibt, hat dann auch gleich ein Schuldanerkenntnis unterzeichet, – landet dann in einer Vertragsfalle.

Insgesamt also scheinen der geforderte Vergleichsbetrag 800 € schon allein wegen dieser Unklarheiten, die Erstattungsansprüche gemäß § 97a Abs. 2 UrhG fraglich und damit schon allein deshalb das Angebot wohl überhöht, jedenfalls dann, wenn der Abgemahnte wie mein Mandant nicht als Täter oder Teilnehmer verantwortlich ist und daher nicht weiß, um welches Werk es sich handelt.

Zur Haftung des Webdesigners für nicht richtig lizensierte Fotos

Das Landgericht Bochum hat mit Urteil vom 16.08.2016 einen Webdesigner zur Zahlung von rund 640 € an seinen Kunden verurteilt (100 € Schadenersatz wegen Urheberrechtsverletzung plus 546,50 € Erstattung der Rechtsanwaltskosten). Sein Kunde war wegen nicht richtig lizensierter Fotos abgemahnt und auf Schadenersatz von dem Fotografen in Anspruch genommen worden und hat bei ihm Regress genommen. Hinzu kommen die Prozesskosten für 2 Instanzen. Der Webdesigner hatte Fotos für den Kunden aus seinem Fundus an Stockfotos verwendet, ohne sie extra für den Kunden lizensieren zu lassen und auch die Lizenzbedingungen für die Kennzeichnungen der Fotoagentur nicht richtig beachtet. Ob es um 2 oder mehr Fotos ging, wird aus der veröffentlichten Entscheidung nicht richtig deutlich, kann aber auch dahinstehen, da es ohnehin immer auf konkrete Umstände wie Branche, Art und Qualität des Fotos, Grösse des Fotos, Reichweite der Webseite usw. ankommt.

Lehre für die Praktiker: Nicht nur für den Webdesigner, sondern auch für den Kunden war die Sache ärgerlich – also Tipp Nr. 1: Klare Verträge machen, wer für welche Leistungen und bei Fotos auch für die Lizensierung und richtigen Urheberkennzeichnung nach dem Lizenzvertrag verantwortlich ist. Tipp Nr. 2: Lassen Sie sich entweder die Fotos vom Kunden liefern und das auch dokumentieren einschließlich der Weisung, wie die Urheberkennzeichnung richtig angebracht wird – das ist je nach Fotograf oder Agentur unterschiedlich. Oder wenn auch das Aussuchen und Einpflegen von Fotos beauftragt ist, dann legen Sie für jeden Kunden ein eigenes Account bei den jeweiligen Fotolieferanten an, um die Rechte zu verwalten und dies dokumentieren zu können und den Überblick über die richtigen Lizenzen und Lizenzbedingungen zu den jeweiligen Fotos zu behalten.

BGH: Tierarzt muß für nachlässige Untersuchung 40.000 € Schadenersatz zahlen

mare-561221_640#(Tier-)Arzthaftung
Tierärzte müssen bei einem groben Behandlungsfehler im Streitfall grundsätzlich beweisen, dass dieser Fehler nicht für einen danach entstandenen Schaden verantwortlich ist. Das hat der Bundesgerichtshof (BGH) entschieden (Urt. v. 10.05.2016, Az. VI ZR 247/15) und somit muß ein Tierarzt für ein grob fahrlässig nicht richtig untersuchtes teures Pferd mit Wert von 40 000 € Schadenersatz zahlen. Das ist eine wichtige Beweiserleichterung für geschädigte Tierhalter, deren Tier an den Folgen leidet oder gar eingeschläfert werden muss, denn die Beweisführung dafür, dass ohne den Behandlungsfehler das Tier geheilt worden wäre, wird dem Tierhalter oft schwer bis unmöglich sein. Die in der Humanmedizin entwickelten Rechtsgrundsätze zur Beweislastumkehr bei groben Behandlungsfehlern sind daher nach der Entscheidung des höchsten deutschen Zivilgerichts auch bei tierärztlichen Behandlungen anzuwenden.
Grobe Behandlungsfehler sind insbesondere Befunderhebungsfehler. Ein wertvoller Hengst musste im zugrunde liegenden Fall eingeschläfert werden, weil der Tierarzt nach einer Trittverletzung nur die Wunde versorgt hatte, aber nicht wie es nach den Regeln der ärztlichen Kunst geboten gewesen wäre, näher untersucht hatte, ob das Tier eine Fissur am Knochen erlitten hatte. Wie sich einige Tage später herausstellte, hatte das Tier eine Fissur am Knochen erlitten und brach sich beim Aufstehen schließlich das Bein. Dieser Beinbruch konnte bei diesem Pferd wohl nicht mehr geheilt werden – die näheren Details dazu gehen aus der Pressemitteilung nicht hervor, aber Beinbrüche sind bei Pferden oft nicht heilbar. Wäre die Fissur bei der Untersuchung des Tierarztes erkannt und behandelt worden, hätte das verhindert werden können. Die nachlässige Untersuchung und Behandlung führte nun zur Haftung des Tierarztes auf Schadenersatz.

#Filesharing-Klagen: Zwei verschiedene IP-Adressen gleichzeitig?!

Update 14.12.2015: Die Klägervertreter haben die Sache inzwischen erklärt: Während der Loggings war die Umstellung von mitteleuropäischer Sommerzeit (MESZ) auf Winterzeit (MEZ) und das erste Logging daher in der MESZ auch nach der Umstellung fortgemessen und angegeben. Daher sei es tatsächlich keine Überschneidung, sodass die verschiedenen IP-Adressen bei einem privaten DSL-Anschluss mit dynamischer Adressvergabe durchaus aufgetreten sein können. Das hätte die Klägerseite aber in der Klagebegründung ruhig mal gleich erläutern können!

Ich schrieb letzte Woche: In einem aktuellen mir vorliegenden Waldorf Frommer Klageverfahren, das andauert, ist die Beweisermittlung offensichtlich fehlerhaft, da für die gleiche Benutzerkennung, also der gleiche Internetanschluss, zwei verschiedene IP-Adressen vorgetragen werden und sich die Logging-Zeiträume teilweise über 20 Minuten zum Tatzeitpunkt überschneiden. Auf Nachfrage haben Techniker der Telekom mitgeteilt, dass es nicht möglich ist, dass der (private) Anschluss des Beklagten zwei verschiedene öffentliche IP-Adressen hat. Es bestehen daher ernsthafte Zweifel an der Richtigkeit der Ermittlung, weil nur die öffentliche IP-Adresse können die Ermittler der Klägerin ermittelt haben. Da die Frist zur Stellungnahme auf Antrag von Waldorf Frommer verlängert worden ist, steht die Stellungnahme und Reaktion zu der Klageerwiderung noch aus und wird natürlich mit Spannung von meinem Mandanten, der die Richtigkeit der Ermittlung bestreitet, und mir erwartet. Bislang kam aber nur der Antrag auf Fristverlängerung, den das Gericht Waldorf Frommer gewährt hat.

Da üblicherweise die Abmahnkanzleien viele Inhaber von Internetanschlüssen und ihre Anwälte gerne in der Weihnachtszeit und zwischen den Jahren mit Klageandrohungen und Mahnbescheiden viel Arbeit und Stress machen, ist zu hoffen, dass dort mehr Sorgfalt aufgewendet ist, damit nicht Unbeteiligte mit offensichtlich unberechtigte Klagen überzogen werden. Wie das zustande gekommen ist, wird die Klägerin mit Ihren Ermittlern zu klären haben, aber jedenfalls ist es erstaunlich, wie selten vor Gericht tatsächlich über die Richtigkeit der Ermittlungen Beweis erhoben wird.

Es wird in Sachen Beweisermittlungen im Internet vermehrten Expertenbedarf in 2016 geben, da die Gerichte in der Vergangenheit Beweiserhebungen zu der Richtigkeit der IP-Ermittlungen sowie des unerlaubten Angebots von bestimmten Dateien wenn nur irgendwie möglich vermieden haben, aber solche Fälle zeigen, dass diese – auch bei den von Waldorf Frommer eingeschalteten Ermittlern – offensichtlich teilweise fehlerbehaftet sind und damit auch falsche Beklagte vor Gericht gezerrt werden! Sobald hier eine Entscheidung in dieser interessanten Sache ergangen ist, werde ich berichten!

#Ebay-Recht: Verkäufer schadenersatzpflichtig, wenn Grund für Streichung des Angebots nicht ursächlich war

Der BGH hat in einer Pressemitteilung von heute 23.09.2015 (BGH, Urteil vom 23. September 2015 – VIII ZR 284/14) sich zu den Voraussetzungen geäußert, unter denen ein Verkäufer auf dem Internet-Auktionsportal EBAY ein Auktionsangebot streichen kann, ohne sich gegenüber dem zu diesem Zeitpunkt höchstbietenden Käufer schadenersatzpflichtig zu machen.

In dem vom BGH entschiedenen Fall lagen die Voraussetzungen nicht vor, sodaß der Verkäufer sich wahrscheinlich schadenersatzpflichtig gemacht hat. Der Verkäufer machte im Zuge des Rechtsstreits geltend, der Heizkörper sei nach Einstellen des Angebotes zertstört worden, blieb für diese bestrittene Behauptung jedoch anscheinend beweisfällig. Anschließend versuchte es der Verkäufer mit einem Hilsargument: Er habe nachträglich rausgefunden, dass der Käufer unseriös sei, weil er bereits 370 Kaufgebote mit seinem Bruder innerhalb von 6 Monaten zurückgezogen hatte. Auch dieses Hilfsargument ließ der BGH nicht gelten, denn zum einen könne aus der Tatsache einer häufigen Rücknahme von Kaufangeboten nicht geschlossen werden, der Käufer werde den Kaufpreis nicht zahlen, zumal es bei dem Heizkörper-Fall so wie üblich sei, dass entweder Vorauszahlung oder Zahlung Zug um Zug gegen Übergabe bei der Abholung vereinbart sei. Das Zurückziehen der anderen Kaufangebote gegenüber Dritten sei daher unerheblich. Interessant ist insbesondere folgender Hinweis des BGH: Der Grund für die Streichung des Angebotes, also Anfechtungsgrund oder Rücktrittsgrund, müsse außerdem ursächlich für das Streichen des Angebotes sein. Das ist nicht der Fall, wenn der Verkäufer den Grund erst hinterher herausgefunden hat und sozusagen nachschiebt.

Fazit: Streicht der Verkäufer einer Auktion das Angebot, obwohl er keinen berechtigten Grund hat oder diesen nicht beweisen kann (Ausreden sind hier leider häufig), macht er sich schadenersatzpflichtig gegenüber demjenigen, der bei Streichung des Angebotes jeweils der Höchstbietende war. Schadenersatz kommt hier wegen Nichterfüllung in Betracht und der ist üblicherweise der entgangene Gewinn, den der Käufer für den Fall eines Weiterverkaufes hätte generieren können. Im vorliegenden Fall war der entgangene Gewinn zwar nur 112 € oder sogar abzüglich der Fahrtkosten, die sich der Käufer für die Abholung erspart hat, sogar weniger. Aber da hier durch 3 Instanzen gestritten wurde, sind erhebliche Prozesskosten angefallen und der Rechtsstreit ist noch nicht zu Ende, da der BGH das Urteil des Landgerichts Neuruppin aufgehoben und nach dorthin zurückverwiesen hat, sodaß der Rechtsstreit möglicherweise noch weitergeht.

#Filesharing #Schadenersatz Neue BGH-Urteile vom 11.6.2015

Nach einer Pressemitteilung des Bundesgerichtshofs hat der I. Zivilsenat gestern in 3 Schadenersatzprozessen der führenden deutschen Tonträger die jeweiligen Urteile des OLG Köln gegen die Beklagten zur Zahlung von je 3.000 € Schadenersatz für jeweils über sog. Internettauschbörsen veröffentlichte Musikalben mit je 15 Musiktiteln zuzüglich der Anwaltskostenerstattung für die Abmahnungen aus 2008 bestätigt. Dabei entschied das höchste deutsche Zivilgericht, dass 200 € Schadenersatz je Musiktitel, also hier insgesamt 3.000 €, der Höhe nach nicht zu beanstanden seien. Da die vollständigen Urteilsgründe wahrscheinlich erst in einigen Wochen vorliegen werden, fehlt zwar noch die nähere Begründung und kann dies derzeit noch nicht näher analysiert werden. Aber dieses Signal aus Karlsruhe wird sicherlich dazu führen, dass die Abmahnkanzleien damit in Zukunft wieder höhere Schadenersatzansprüche bei Filesharing-Abmahnungen fordern werden.  Jedenfalls ist dies desaströs für durchschnittliche Privathaushalte, in denen oft der Familienvater oder die Mutter selbst ahnungslos sind, wenn Familienangehörige – oft Kinder – heimlich Musik über Tauschbörsen herunterladen und gleichzeitig hierbei für Dritte über das Internet zum Download zur Verfügung stellen und dann einige Wochen oder Monate später die Abmahnungen im Briefkasten landen.

Da es sich jeweils um Altfälle handelte, bei denen die Abmahnungen gegenüber Privatleuten noch bei alter Rechtslage keine explizite Beschränkung des Streitwerts für die Abmahnung auf 1.000 € enthielt (seit 2013 § 97a Abs. 3 UrhG), stritten die Parteien auch über die Höhe der geltend gemachten Anwaltskostenerstattung für die Abmahnungen. Hier hatte die Kanzlei Rasch im Jahre 2007 die jeweiligen Anschlussinhaber der ermittelten IP-Adressen für angeblich begangene Urheberrechtsverletzungen durch Filesharing im Auftrag der Tonträgerindustrie in 2008 abgemahnt, und hat der BGH für diese Altfälle auch die Höhe der beantragten Anwaltskosten von rund 932 € in einem Fall und über € 2.380,00 Anwaltskosten in einem anderen für Recht erkannt.

In allen 3 Fällen konnten sich jeweils der Vater oder die Mutter als Beklagte nicht erfolgreich verteidigen und wurden zum Schadenersatz verurteilt. In einem Fall hatte der Beklagte geltend gemacht, mit seiner Familie zur angeblichen Tatzeit auf Mallorca gewesen zu sein und seinen Rechner zuhause ausgeschaltet zu haben, dem nach einer Zeugenvernahme der Ehefrau und Kinder die Richter des Berufungsgerichtes in Köln nicht geglaubt hatten und dies wohl auch ausführlich begründet hatten. In einem anderen Fall hatte die Mutter wohl die bei der Polizei geständige 14jährige Tochter zuvor nicht ausreichend über das Verbot des illegalen Filesharings von Musikalten im Internet belehrt. Und im 3. Fall war wohl nach Ansicht der Richter widersprüchlich vorgetragen worden, sodass der Beklagte letztlich keine andere Möglichkeit als selbst der Täter zu sein, glaubhaft gemacht hatte. Wie aber nach ständiger Rechtsprechung inzwischen feststeht, ist die täterschaftliche Vermutung nur ausgeräumt, wenn die ernsthafte Möglichkeit besteht, dass ein anderer als der Beklagte Täter der Urheberrechtsverletzung war. Häufig wie wohl auch hier, wenden aber Abgemahnte ein, es könne niemand gewesen sein, die IP-Ermittlung müsse falsch sein, was also gar keine gute Verteidigungsstrategie ist, wenn wie in diesen vom BGH verhandelten Fällen umfangreiche mehrfache Ermittlungen des gleichen Anschlusses mit mehreren hundert Mp3-Dateien vorliegen.

Auch wenn die Abgemahnten in diesen Fällen verloren haben, hat immerhin die mündliche Verhandlung ein Gutes für die Gegenwehr bei Abmahnungen gebracht: Laut Terminsbericht von RA Dr. Knies hat der Senat die Ansicht (wie z.B. AG Frankfurt), dass die Verjährungsfrist 3 Jahre beträgt, bestätigt. Dies hatte er auch mit Urteil vom 15.1.2015 bereits in einem anderen Revisionsverfahren, bei dem es um Schadenersatzansprüche wegen unbefugter Veröffentlichung von Bildern auf einer Internetseite ging, entschieden und begründet (vgl. BGH Urteil vom 15.1.2015, I ZR 148/13 – Motorradteile). Die von Abmahnkanzleien oft vorgebrachte Ansicht, die Ansprüche auf Schadenersatz aus illegalen Filesharing von geschützten Werken würden erst nach 10 Jahren verjähren, scheint damit glücklicherweise der 1. Zivilsenat nicht zu folgen, denn es kam in einem der Verfahren auch darauf an, ob die Schadenersatzforderung verjährt gewesen ist, weil bei Ermittlung der Anschlussinhaber durch die Staatsanwaltschaft in 2007, Rasch erst in 2011 die Ansprüche gerichtlich für die Kläger beantragt hatte. Hier führte wohl in der mündlichen Verhandlung der Vorsitzende aus, dass eine Verjährung bei der richtigerweise anzusetzenden 3jährigen Verjährungsfrist zwar in Betracht kam, aber da die Anwälte der Kläger erst in 2008 Akteneinsicht erhalten hatten und damit Kenntnis von den Namen und Anschriften erst in 2008 vorlag, waren die Ansprüche bis Ende 2011 noch nicht verjährt.

Einen ausführlichen Terminsbericht des Münchener Rechtsanwaltes Dr. Bernhard Knies vom 11.6.2015 finden Sie hier.

#Urheberrechtsverletzung wegen #Filesharing: Erneut Klage abgewiesen; hier Verjährung

[Update 23.01.2017: Diese Entscheidung ist nicht rechtskräftig geworden, da nach Berufung von Baumgarten Brandt die Kammer beim Landgericht Frankfurt den Hinweis erteilte, daß für den Restschadenersatzanspruch ihrer Meinung nach die 10jährige Verjährung gilt und insoweit eine Beweisaufnahme in dem Fall hätte erfolgen müssen. Die 10jährige Verjährung für den Restschadenersatzanspruch nach §§ 102 S. 2 UrhG i.V.m. 852 BGB
auch für die Fälle der Urheberrechtsverletzung durch Filesharing (Veröffentlichung von geschützten Werken in sog. Internettauschbörsen) ist der Bundesgerichtshof mittlerweile leider auch gefolgt (vgl. BGH Urteil vom 12.5.2016, Az.: I ZR 48/15) . Die Beweisaufnahme wurde dann aber nicht mehr durchgeführt, da die Parteien sich dann in der Berufung vergleichsweise geeinigt haben, um den Rechtsstreit zu beenden. Update Ende]

Ich schrieb vor 2 Jahren: „Einmal muß Schluss sein!“ sagte die Richterin in der mündlichen Verhandlung gerichtet an den Klägervertreter und erläuterte, dass die Voraussetzungen wie der Lauf der Verjährung gehemmt werden kann, streng auszulegen sind, damit Rechtssicherheit herrschen kann. Der Betroffene, der einen Mahnbescheid erhält, muß eindeutig erkennen können, um welchen Sachverhalt es geht und dieser muß klar und verständlich konkretisiert sein (§ 690 Abs. 1 Nr. 3 ZPO). Dies ist nicht der Fall, wenn nur auf ein Abmahnschreiben für Schadenersatzansprüche Bezug genommen wird, das der Beklagte nicht erhalten hat.

Erneut wurde damit eine Schadenersatzklage wegen angeblichem Filesharing d.h. Veröffentlichen eines kommerziellen Films über ein Bittorrent-Netzwerk im Internet abgewiesen, diesmal vom Amtsgericht Frankfurt-Höchst (Urteil vom 06.05.2015 Az. 386 C 1813/14 (80), noch nicht rechtskräftig und update 06.07.2015: die Klägerin hat Berufung eingelegt zum Landgericht Frankfurt/Main). Geklagt hatte die Europool GmbH, vertreten durch die BaumgartenBrandt Rechtsanwälte aus Berlin, gegen einen privaten Internetanschlussinhaber wegen angeblichem Filesharing in November 2009, dem erfolglos ein sog. Abmahnschreiben in 2010 zugesendet worden war.

Der Beklagte behauptete, das Abmahnschreiben nicht erhalten zu haben und machte dies auch aufgrund näherer Umstände glaubhaft. Aus diesem Grunde war der Mahnbescheid als verjährungshemmende Maßnahme nicht geeignet, denn er nahm für die Bezeichnung der Ansprüche auf das Abmahnschreiben Bezug. Da nach inzwischen überwiegender Ansicht der deutschen Amtsgerichte (z.B. AG München, Urteil vom 26.03.2015 Az. 243 C 19271/14, LG Bielefeld, Beschl. vom 06.02.2015, 20 S 65/14; AG Frankfurt (Urteil vom 30.10.2014 – Az. 32 C 2305/14 (84) siehe Bericht von RA Karsten Gulden u.v.m. die Schadenersatzansprüche wegen Filesharing nach §§ 195, 102 S. 1 UrhG in 3 Jahren ab Kenntnis, also spätestens ab der Providerauskunft an die Rechteinhaber oder ihre Anwälte verjähren, wurde die Klage gegen meinen Mandanten daher abgewiesen.

Die Klägerin hat sich hier erfolglos gegen die Beweislast für den Zugang des Abmahnschreibens gewehrt. Es mag zwar sein, dass der Bundesgerichtshof für die Durchsetzung der Unterlassungsansprüche aus Gründen des effektiven Rechtsschutzes entschieden hat, dass die Abmahner nur die Absendung des Abmahnschreibens beweisen müssen. Anders liegt die prozessuale Situation aber wegen § 690 Abs. 1 Nr. 3 ZPO, wenn nur die Schadenersatz- und Rechtsanwaltskosten via gerichtlichem Mahnbescheid vor Gericht beantragt werden und die Rechteinhaber damit erst kurz vor Ablauf der 3-jährigen Verjährungsfrist versuchen, die Verjährung zu unterbrechen. Hier verbleibt es bei der Beweislast der Kläger für alle Voraussetzungen des ordnungsgemäßen Mahnbescheids.

Einen Auszug aus dem Urteil mit Tatbestand und Gründen finden Sie hier:

Amtsgericht Frankfurt am Main
Außenstelle Höchst

Aktenzeichen: 386 C 1813/14 (80)

verkündet laut Protokoll am 6.5.2015“ (Anmerkung von mir: in der mit Berichtigungsanordnung vom 26.6.2015 gültigen Fassung)….
Urteil

In dem Rechtsstreit

E. GmbH, ……………..80331 München
Prozessbevollmächtigte Rechtsanwälte…………10117 Berlin

gegen
X.Y.,…….65795 Hattersheim
Prozessbevollmächtigte: Rechtsanwältin Stefanie Hagendorff, Hugenottenstr. 94, 61381 Friedrichsdorf

hat das Amtsgericht Frankfurt am Main – Außenstelle Höchst
durch Richterin am Amtsgericht … aufgrund der mündlichen Verhandlung vom 06.05.2015 für Recht erkannt:

1. Die Klage wird abgewiesen.

2. Die Klägerin hat die Kosten des Rechtsstreits zu tragen.

3. Das Urteil ist vorläufig vollstreckbar.

Die Klägerin darf die Vollstreckung durch Sicherheitsleistung in Höhe von 110 Prozent…..

Tatbestand:

Die Klägerin begehrt von dem Beklagten wegen des unerlaubten Anbietens des zu ihren Gunsten urheberrechtlich geschützten Filmwerks „Niko – Ein Rentier hebt ab“ im Internet (sogenanntes „Filesharing“) Schadenersatz nach der Lizenzanalogie sowie Ersatz der durch die Abmahnung vom 19.03.2010 entstandenen Rechtsanwaltskosten.

Die Klägerin behauptet, der Beklagte habe das Filmwerk ……, das auf seinem DVD-Cover einen C-Vermerk zugunsten der Klägerin trage und dessen Coproduzentin sie sei, am 29.11.2009 um 3:50 Uhr unter der IP-Adresse 91…………zum Download im Internet im Wege des Tausches im Peer-to-Peer Netzwerk angeboten. An diesem Filmwerk habe die Klägerin, vom Beklagten ebenfalls mit Nichtwissen bestritten, die ausschließlichen Nutzungs- und Verwertungsrechte für den deutschsprachigen Raum von der U… GmbH erworben.

Mit Schreiben vom 19.03.2010 (Bl. 47-51 d.A.) forderte der Klägervertreter den Beklagten zur Unterlaassung auf und unterbreitete den Vorschlag, zur Erledigung sämtlicher in Frage stehender Schadenersatzansprüche einen Pauschalbetrag in Höhe von 850,00 € zu zahlen.

Mit Schreiben vom 10.02.2010 hat die Klägerin von der Deutschen Telekom den Namen des Beklagten erhalten.

Unter dem 27.12.2013 hat die Klägerin den Erlass eines Mahnbescheides beantragt. Der Mahnbescheid ist am 02.01.2014 erlassen worden und dem Beklagten am 08.01.2014 zugestellt worden. Im Mahnbescheid ist die Hauptforderung bezeichnet mit: „Rechtsanwalts-/Rechtsbeistandshonorar gemäß Abmahnung K 0052-……..vom 19.03.2010 “ und 2. Schadenersatz aus Lizenzanalogie (Abmahnung vom 19.3.2010 Az. K 0052-..“

Mit Klagebegründungsschriftsatz vom 09.09.2014, zugestellt am 24.09.2014, hat die Klägerin die Klage begründet.

Die Klägerin beantragt,

1. den Beklagten zu verurteilen, an die Klägerin einen angemessenen Schadenersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, der jedoch insgesamt nicht weniger als 400,00 € betragen soll, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 24.09.2014 zu zahlen.

2. Den Beklagten zu verurteilen, an die Klägerin einen Betrag in Höhe von 555,60 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 24.09.2014 zu zahlen.

Der Beklagte beantragt, die Klage abzuweisen.

Er behauptet, er habe die Abmahnung vom 19.3.2010 nicht erhalten. Er habe zu der genannten Zeit keinen Zugriff auf seinen Computer gehabt, weil er diesen zur Reparatur gegeben habe. Die Reparatur sei nicht durchgeführt; vielmehr sei der Computer einbehalten worden und ihm sei der Kaufpreis zurückgezahlt worden. Der Beklagte erhebt die Einrede der Verjährung.

Wegen des weiteren Sach- und Streitstandes wird ergänzend auf die gewechselten Schriftsätze nebst Anlagen verwiesen.

Entscheidungsgründe:

Die Klage ist unbegründet.

Es kann dahinstehen, ob der Klägerin Schadenersatzansprüche und ein Anspruch auf Erstattung von Rechtsanwaltskosten wegen der Abmahnung vom 19.3.2010 zustehen. Der Beklagte ist jedenfalls berechtigt, die Leistung zu verweigern. Eventuelle Ansprüche der Klägerin sind verjährt. Die Schadenersatzansprüche nach der Lizenzanalogie und der Anspruch auf Erstattung von Rechtsanwaltskosten nach § 97 Abs. 2 Urhebergesetz unterliegen der regelmäßigen Verjährungsfrist von 3 Jahren.

Die 10-jährige Verjährungsfrist gemäß §§ 102 Satz 2 Urhebergesetz, 852 BGB ist nicht einschlägig. Der Beklagte hat auch nach dem Vortrag der Klägerin nichts auf Kosten der Klägerin erlangt. Es bestand keine Möglichkeit für den Beklagten, mit der Klägerin einen Lizenzvertrag abzuschließen. Der Beklagte hat deshalb auch nicht als Nutzer einer Internettauschbörse eine Lizenzgebühr erspart. Es liegt keine Bereicherung auf Seiten des Beklagten, auch nach dem Vortrag der Klägerin vor. Es handelt sich vielmehr um deliktische Schadenersatzansprüche.

Die 3-jährige Verjährungsfrist war am 24.09.2014 „…(Anmerkung von mir: also zum Zeitpunkt der Zustellung der Klagebegründung)“… abgelaufen. Sie begann spätestens am 01.01.2011, da die Klägerin im Jahre 2010 Kenntnis vom Namen des Beklagten erhalten hatte. Der Lauf der Verjährung ist nicht durch die Zustellung des Mahnbescheides gehemmt worden (§ 204 Abs. 1 Nr. 3 BGB). Der geltend gemachte Anspruch ist nicht individualisierbar bezeichnet. Der Beklagte konnte nicht erkennen, welcher Anspruch ihm gegenüber geltend gemacht wird, da im Mahnbescheidsantrag sowohl für die geltend gemachten Rechtsanwaltskosten als auch für die geltend gemachte Lizenzgebühr auf das Abmahnschreiben der Klägervertreter vom 19.03.2010 Bezug genommen wird. Eine weitere Kennzeichnung des geltend gemachten Anspruchs im Mahnbescheid liegt nicht vor. Die Klägerin hat nicht nachgewiesen, dass dem Beklagten das Abmahnschreiben zugegangen ist. Der Beklagte war mithin nicht in der Lage zu erkennen, welche Ansprüche konkret gegen ihn von der Klägerin geltend gemacht werden. Dies war dem Beklagten erst mit Zugang der Klagebegründung am 24.09.2014 möglich, die Verjährungsfrist war bereits am 31.12.2013 abgelaufen.

Die Kostenentscheidung folgt aus § 91 ZPO; die Entscheidung übe die vorläufige Vollstreckbarkeit aus §§ 708 Nr. 11, 711 ZPO.

Rechtsbehelfsbelehrung

Diese Entscheidung kann mit der Berufung angefochten werden. Sie ist einzulegen innerhalb einer Notfrist von einem Monat bei dem Landgericht Frankfurt am Main, Gerichtsstraße 2, 60313 Frankfurt am Main.

Die Frist beginnt mit der Zustellung der in vollständiger Form abgefassten Entscheidung. Die Berufung ist nur zulässig, wenn der Beschwerdegegenstand 600,00 € übersteigt oder das Gericht die Berufung in diesem Urteil zugelassen hat. Zur Einlegung der Berufung ist berechtigt, wer durch diese Entscheidung in seinen Rechten beeinträchtigt ist. Die Berufung wird durch Einreichung einer Berufungsschrift eingelegt. Die Berufung kann nur durch einen Rechtsanwalt eingelegt werden.

W…..

Richterin am Amtsgericht

beglaubigt……….Urkundsbeamtin der Geschäftsstelle, 29. Juni 2015″