BECKMANN UND NORDA - Rechtsanwälte Bielefeld (Artikel mit Tag haftung)

Volltext OLG Hamm liegt vor: Falschangaben eines KI-Chatbots sind dem Unternehmen als eigene irreführende geschäftliche Handlung nach § 5 UWG zuzurechnen

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Sat, 30 May 2026 11:46:00 +0200

OLG Hamm
Urteil vom 12.05.2026
4 UKl 3/25

Wir hatten bereits in dem Beitrag OLG Hamm: Falschangaben eines KI-Chatbots sind dem Unternehmen als eigene irreführende geschäftliche Handlung nach § 5 UWG zuzurechnen über die Entscheidung berichtet.

Aus den Entscheidungsgründen:
Die zulässige Klage ist auch in vollem Umfang begründet.

1. Der Kläger hat gegenüber der Beklagten gemäß § 2 Abs. 1 Satz 1 UKlaG i. V. m. § 3 Abs. 1, § 5 Abs. 1, Abs. 2 Nr. 3 UWG einen Anspruch darauf, die in den Unterlassungsanträgen zu Ziffer 1 Buchstaben a bis c umschriebenen Handlungen zu unterlassen.

Gemäß § 2 Abs. 1 Satz 1 UKlaG kann derjenige, der in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden.

a. Bei § 5 UWG handelt es sich um ein Verbraucherschutzgesetz in diesem Sinne (vgl. BGH, Urteil vom 25.04.2019 - I ZR 93/17 - Prämiensparverträge, GRUR 2019, 754 Rn. 37, beck-online; Köhler/Feddersen/Köhler/Alexander, 44. Aufl. 2026, UKlaG § 2 Rn. 72, beck-online mwN; MüKoZPO/Micklitz/Rott, 6. Aufl. 2022, UKlaG § 2 Rn. 36, beck-online mwN).

b. Die - ohnehin zwischen den Parteien nicht umstrittene - Aktivlegitimation des Klägers als qualifizierter Verbraucherverband, der in die Liste nach § 4 UKlaG eingetragen ist, folgt aus § 3 Abs. 1 Nr. 1 UKlaG.

c. Bei den vom Kläger mit dem Klagantrag zu Ziffer 1 beanstandeten Aussagen handelt es sich auch um gemäß § 3 Abs. 1 UWG unzulässige - weil nach § 5 Abs. 1, Abs. 2 Hs. 2 Nr. 3 UWG unlautere - geschäftliche Handlungen.

Gemäß 5 Abs. 1 UWG handelt unlauter, wer eine irreführende geschäftliche Handlung vornimmt, die geeignet ist, den Verbraucher oder sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. Gemäß § 5 Abs. 2 Hs. 2 Nr. 3 UWG ist eine geschäftliche Handlung unter anderem dann irreführend, wenn sie zur Täuschung geeignete Angaben über die Person oder Eigenschaften des Unternehmers wie dessen Befähigung, Status, Zulassung oder Auszeichnungen enthält.

aa. Die vom Kläger beanstandeten Antworten des Chatbots stellen geschäftliche Handlungen der Beklagten dar.

Nach der in § 2 Abs. 1 Nr. 2 UWG enthaltenen Legaldefinition ist eine geschäftliche Handlung jedes Verhalten einer Person zugunsten des eigenen oder eines fremden Unternehmens vor, bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleistungen unmittelbar und objektiv zusammenhängt.

(1) Zunächst einmal stehen die vom Kläger beanstandeten Angaben des auf der Webseite der Beklagten implementierten Chatbots in dem von § 2 Abs. 1 Nr. 2 UWG vorausgesetzten zeitlichen und sachlichen Zusammenhang mit dem Absatz der von der Beklagten angebotenen Dienstleistungen sowie dem Abschluss oder der Durchführung von Verträgen hierüber und wirken so zugunsten des von der Beklagten betriebenen Unternehmens.

(2) Darüber hinaus stellen die Angaben des Chatbots auch jeweils ein “Verhalten” der Beklagten im Sinne von § 2 Abs. 1 Nr. 2 UWG dar.

Der Begriff des Verhaltens ist weit zu fassen und erstreckt sich auf alle menschlichen Verhaltensweisen, auf positives Tun und Unterlassen, auf Äußerungen und rein tatsächliche Handlungen. Darüber hinaus wird hiervon auch der Einsatz von technischen Mitteln erfasst. So kann eine geschäftliche Handlung nach der Rechtsprechung des Bundesgerichthofs auch - etwa mit Hilfe eines von der Person entwickelten oder genutzten Computerprogramms - technisch gestützt oder automatisiert vorgenommen werden. Unerheblich ist in diesem Zusammenhang, dass die vom Nutzer des angebotenen technischen Service abgefragten Informationen nicht von dem in Anspruch genommenen Verwender persönlich, sondern von der bereitgestellten Software generiert werden. So hat der Bundesgerichtshof bereits entschieden, dass es sich bei der rein softwarebasierten Erstellung eines Vertragsdokuments um eine geschäftliche Handlung der dahinterstehenden (juristischen) Person im Sinne des § 2 Abs. 1 RDG handelt (vgl. BGH, Urteil vom 09.09.2021 - I ZR 113/20 - Vertragsdokumentengenerator, NJW 2021, 3125 Rn. 23-26, beck-online mwN).

Für die Antworten des von der Beklagten eingesetzten Chatbots kann im Ergebnis nichts Anderes gelten. Unstreitig war die Beklagte für den Betrieb des Chatbots auf ihrer Webseite verantwortlich und hatte dabei auch entscheidenden Einfluss darauf, wie dieser mit den angesprochenen Verkehrskreisen kommuniziert, was letztlich dadurch belegt wird, dass die Beklagte nach dem in Rede stehenden Vorfall problemlos in der Lage war, den Chatbot so umprogrammieren zu lassen, dass er keine unzutreffenden Antworten über eine vermeintlich bestehende Facharztqualifikation ihrer Geschäftsführer mehr auswarf. Die (vom Kläger mit Nichtwissen bestrittene) Behauptung der Beklagten, der Chatbot arbeite als KI-System in dem ihm gesetzten Tätigkeitsrahmen weitgehend autonom und werde nicht im Einzelnen gesteuert oder kontrolliert, kann zu keinem anderen Ergebnis führen. Zwar mag daraus - die Behauptung als nachgewiesen unterstellt - folgen, dass die Beklagte nicht in die Beantwortung der einzelnen Fragen durch den Chatbot eingebunden war und diese nicht kontrollierte. Allerdings bleibt auch danach unstreitig, dass die Beklagte dem Chatbot für die Beantwortung von Nutzeranfragen gezielte Vorgaben machen konnte (und auch machte), indem sie dessen “Tätigkeitsrahmen” entsprechend festlegt, was - wie soeben bereits ausgeführt - dadurch belegt wird, dass es ihr durch die Implementierung einer Prompt-Anweisung zur neutralen Antwort bei Fragen mit dem Begriff „Facharzt“ sowie eines nachgelagerten Keyword-Filters zur automatischen Unterdrückung des unerwünschten Begriffs „Facharzt“ gelungen ist, unzutreffende Ausgaben des Chatbots betreffend die tatsächlich nicht vorhandene Facharztqualifikation ihrer Geschäftsführer zu unterbinden. In Anbetracht dessen stellt der Chatbot (lediglich) ein technisches Mittel dar, dessen sich die Beklagte zur Kommunikation mit potentiellen Kunden/Patienten bediente und über das sie hinreichende Steuerungsgewalt besaß.

Dem steht nach Auffassung des Senats auch nicht entgegen, dass der Chatbot die an ihn gerichteten Fragen gänzlich ohne menschliches Zutun und auf eine von außen nicht nachvollziehbare Weise beantwortet (sog. „Black-Box-Problem“). Zwar lässt sich deshalb die Beantwortung der einzelnen an ihn gerichteten Fragen nicht auf eine menschliche Willensentschließung im Einzelfall zurückführen. Gleichwohl unterscheidet sich der Chatbot insoweit in rechtlicher Hinsicht nicht wesentlich von dem Vertragsdokumentengenerator, über den der Bundesgerichtshof in der vorzitierten Entscheidung zu befinden hatte. Denn auch dieser generierte die betreffenden Vertragsdokumente anhand der Eingaben des Nutzers eigenständig, das heißt ohne jegliches menschliche Zutun und einen menschlichen Willensentschluss im Einzelfall. Und ebenso wie der Einsatz des Vertragsdokumentengenerators in dem vom Bundesgerichtshof entschiedenen Fall, war und ist der grundsätzliche Einsatz des Chatbots auf der Webseite der Beklagten in seiner konkreten Ausgestaltung von der Willensentschließung der Beklagten und des in ihrem Auftrag tätigen IT-Dienstleisters (§ 8 Abs. 2 UWG) getragen.

Dabei verkennt der Senat nicht, dass der Vertragsdokumentengenerator bei der Bearbeitung der an ihn gerichteten Nutzeranfragen - evtl. anders als der Chatbot im Streitfall - auf zuvor durch Menschenhand erstellte und in einer Datenbank hinterlegte Textbausteine zurückgriff, die er entsprechend den Kundenbedürfnissen zu einem Vertragstext zusammenfügte, der evtl. noch durch weitere Kundeneingaben ergänzt wurde. Jedoch ändert dies nichts daran, dass der konkrete Abfragevorgang von der Software - ebenso wie bei dem von der Beklagten eingesetzten Chatbot - gänzlich autonom bearbeitet und beantwortet wurde. Hinzu kommt, dass auch der von der Beklagten eingesetzte Chatbot, bei dem es sich letztlich (nur) um ein im Wesentlichen auf Wahrscheinlichkeitsberechnungen basierenden Algorithmus handelt, zur „Beantwortung“ der an ihn herangetragenen Kundenfragen insbesondere auf dasjenige Datenmaterial zurückgriff, das ihm hierfür zur Verfügung gestellt wurde.

Nach alldem handelt es sich nach zutreffender Auffassung, der der Senat folgt, auch bei dem Einsatz von Künstlicher Intelligenz (KI), wie etwa bei „Erklärungen“ eines lernfähigen Algorithmus und dem Verhalten von Chatbots und Socialbots, um geschäftliche Handlungen seines Betreibers, weil dieser hinreichenden Einfluss auf das System hat und es in Gang setzt. Diese Auslegung entspricht auch den Vorgaben des Art. 2 lit. d UGP-RL, die unter Geschäftspraktiken „jede Handlung, Unterlassung, Verhaltensweise oder Erklärung, kommerzielle Mitteilung einschließlich Werbung und Marketing“ erfasst (vgl. Köhler/Feddersen/Köhler, 44. Aufl. 2026, UWG § 2 Rn. 2.13, beck-online; BeckOK UWG/Alexander, 31. Ed. 1.2.2026, UWG § 2 Rn. 71, beck-online; Dornis: Lauterkeitsrecht im KI-Zeitalter - Grundlagen, Strukturen und Fallgruppen (Teil 1), GRUR 2023, 1729 [1733], beck-online).

(2) Soweit die Beklagte in diesem Zusammenhang Ausführungen zur sog. wettbewerbsrechtlichen Verkehrspflicht (Sorgfaltspflicht) macht und im Rahmen dessen insbesondere unter Verweis auf höchstrichterliche Rechtsprechung geltend macht, deren Verletzung setze zunächst das Bestehen von Prüf-, Überwachungs- und Verhinderungspflichten auf Seiten des vermeintlichen Verletzters voraus, die vorliegend schon nicht bestünden, weil die unzutreffenden Angaben des Chatbots für sie nicht voraussehbar gewesen seien, verfängt dies nicht.

Die Beklagte verkennt dabei, dass die wettbewerbsrechtliche Verkehrspflicht bzw. unternehmerische Sorgfaltspflicht nur dann greift, wenn der Verletzer durch sein Handeln im geschäftlichen Verkehr die ernsthafte Gefahr begründet, dass Dritte durch das Wettbewerbsrecht geschützte Interessen von Marktteilnehmern verletzen. Demnach muss in diesen Fällen die Erstbegehungs- oder Wiederholungsgefahr eines Wettbewerbsverstoßes in der Person des Dritten bestehen. Hiervon erfasst ist insbesondere das Betreiben einer Einrichtung (etwa eines Online-Marktplatzes), die von Dritten gegen Entgelt dazu benutzt werden kann, Waren oder Dienstleistungen an Verbraucher abzusetzen. In solchen Fällen ist der Verletzer auf Grund einer wettbewerbsrechtlichen Verkehrspflicht dazu verpflichtet, diese Gefahr im Rahmen des Möglichen und Zumutbaren zu begrenzen (vgl. Köhler/Feddersen/Köhler/Feddersen, 44. Aufl. 2026, UWG § 8 Rn. 2.6, 2.10, beck-online unter Verweis auf BGH GRUR 2007, 890 Rn. 38 - Jugendgefährdende Medien bei eBay; GRUR 2018, 203 Rn. 37 - Betriebspsychologe).

Damit umfasst die wettbewerbsrechtliche Verkehrspflicht nur Sachverhalte, die von dem zur Entscheidung vorliegenden Sachverhalt maßgeblich abweichen. Denn im Streitfall steht nicht die (täterschaftliche) Haftung aufgrund eigener Sorgfaltspflichtverletzung der Beklagten für einen von dritter Seite begangenen Wettbewerbsverstoß in Rede - insbesondere handelt es sich bei dem von der Beklagten eingesetzten KI-Chatbot nicht um einen Dritten in diesem Sinne -, sondern die Haftung der Beklagten für den von ihr selbst begangenen Wettbewerbsverstoß.

(3) Schließlich bleibt auch der Verweis der Beklagten auf die sog. Autocomplete-Entscheidung des Bundesgerichtshofs (BGH, Urteil vom 14. Mai 2013 - VI ZR 269/12 - Autocomplete-Funktion, BGHZ 197, 213-224) ohne Erfolg.

Insoweit verkennt die Beklagte, dass sich der Bundesgerichtshof in jener Entscheidung (lediglich) damit auseinandergesetzt hat, unter welchen Voraussetzungen der Betreiber einer Internet-Suchmaschine als Störer für persönlichkeitsrechtsverletzende Suchergänzungsvorschläge haftet. Eine derartige Störerhaftung kommt jedoch nach der inzwischen gefestigten Rechtsprechung des Bundesgerichtshofs im - auch hier einschlägigen - Bereich des Verhaltensunrechts nicht (mehr) in Betracht (vgl. etwa BGH, Urteil vom 12.07.2012 - I ZR 54/11 - Solarinitiative, GRUR 2013, 301 Rn. 49, beck-online mwN; Urteil vom 22.07.2010 - I ZR 139/08 -Kinderhochstühle im Internet, GRUR 2011, 152 Rn. 48, beck-online mwN; Köhler/Feddersen/Köhler/Feddersen, 44. Aufl. 2026, UWG § 8 Rn. 2.2c, beck-online mwN; Fezer/Büscher/Obergfell/Büscher, 3. Aufl. 2016, UWG § 8 Rn. 130, beck-online mwN).

(4) Doch selbst, wenn man - der unzutreffenden Ansicht der Beklagten folgend - von einer Anwendbarkeit der zur wettbewerbsrechtlichen Verkehrspflicht und/oder zur Störerhaftung entwickelten Grundsätze ausgehen wollte, würde dies zu keinem anderen Ergebnis in der Sache führen. Denn auch danach hätte die Beklagte jeweils für die unzutreffenden Antworten des Chatbots einzustehen.

(a) Die wettbewerbsrechtliche Verkehrspflicht (Sorgfaltspflicht) ist ihrem Inhalt nach darauf gerichtet, den wettbewerbswidrigen Erfolg, also die Zuwiderhandlung eines Dritten, abzuwenden. Was im Einzelnen geschuldet ist, hängt von den Umständen des Einzelfalls ab. Es kann sich insbesondere um Prüfungs-, Überwachungs- und Eingreifpflichten handeln. Dabei sind nur solche Gefahrabwendungsmaßnahmen geschuldet, deren Erfüllung dem Handelnden möglich und zumutbar ist. Die Zumutbarkeit hängt wiederum einerseits davon ab, wie groß die vom Dritten ausgehende Verletzungsgefahr und wie gewichtig das verletzte Interesse ist, andererseits davon, welches wirtschaftliche Eigeninteresse der Verpflichtete hat und welcher Aufwand für die Gefahrenabwehr erforderlich ist (vgl. statt vieler Köhler/Feddersen/Köhler/Feddersen, 44. Aufl. 2026, UWG § 8 Rn. 2.10, beck-online unter Verweis auf BGH WRP 2014, 1050 Rn. 21 - Geschäftsführerhaftung; GRUR 2016, 209 Rn. 23 - Haftung für Hyperlink; GRUR 2021, 1534 Rn. 68 f. - Rundfunkhaftung I; GRUR 2011, 152 Rn. 36 - Kinderhochstühle im Internet I; GRUR 2010, 633 Rn. 13 - Sommer unseres Lebens).

(b) Als Störer im Sinne von § 1004 BGB ist hingegen - ohne Rücksicht darauf, ob ihn ein Verschulden trifft - jeder anzusehen, der die Störung herbeigeführt hat oder dessen Verhalten eine Beeinträchtigung befürchten lässt. Sind bei einer Beeinträchtigung mehrere Personen beteiligt, so kommt es für die Frage, ob ein Unterlassungsanspruch gegeben ist, grundsätzlich nicht auf Art und Umfang des Tatbeitrags oder auf das Interesse des einzelnen Beteiligten an der Verwirklichung der Störung an. Im Allgemeinen ist ohne Belang, ob er sonst nach der Art seines Tatbeitrags als Täter oder Gehilfe anzusehen wäre. Als (Mit-)Störer kann auch jeder haften, der in irgendeiner Weise willentlich und adäquat kausal an der Herbeiführung der rechtswidrigen Beeinträchtigung mitgewirkt hat, sofern der in Anspruch Genommene die rechtliche Möglichkeit zur Verhinderung dieser Handlung hatte. Dem negatorischen Unterlassungsbegehren steht nicht entgegen, dass dem in Anspruch Genommenen die Kenntnis der die Tatbestandsmäßigkeit und die Rechtswidrigkeit begründenden Umstände fehlt. Ebenso ist Verschulden nicht erforderlich (vgl. BGH, Urteil vom 14. Mai 2013 - VI ZR 269/12 - Autocomplete-Funktion, BGHZ 197, 213-224, Rn. 24 mwN).

Auch die Verantwortlichkeit des (unterlassenden) Störers wird - ebenso wie diejenige des sorgfaltswidrig Handelnden Täters (s. o.) - durch die Kriterien der Möglichkeit und Zumutbarkeit der Erfolgsverhinderung begrenzt. Dabei kann sich die Möglichkeit der Beseitigung einer Beeinträchtigung daraus ergeben, dass der Betroffene die Quelle der Störung beherrscht oder Einfluss auf jemanden nehmen kann, der zur Beendigung der Beeinträchtigung in der Lage ist. Ist dies der Fall, kann für die Zumutbarkeit der Beseitigung der Beeinträchtigung eine dem Betroffenen obliegende Überwachungspflicht von Bedeutung sein. Voraussetzung einer Haftung des Betreibers einer entsprechenden Software ist daher eine Verletzung von Prüfungspflichten. Deren Bestehen wie deren Umfang richtet sich im Einzelfall nach einer Abwägung aller betroffenen Interessen und relevanten rechtlichen Wertungen. Überspannte Anforderungen dürfen im Hinblick darauf, dass es sich um eine erlaubte Teilnahme am geschäftlichen Verkehr handelt, nicht gestellt werden. Daher kommt es entscheidend darauf an, ob und inwieweit dem in Anspruch Genommenen nach den Umständen eine Prüfung zuzumuten ist (vgl. BGH, a.a.O., Rn. 27 - 29, juris mwN).

(c) Nach diesen Maßgaben wäre die Beklagte sowohl im Rahmen der wettbewerbsrechtlichen Verkehrspflicht, als auch nach den zur Störerhaftung entwickelten Grundsätzen gehalten gewesen, die vom Kläger beanstandeten Angaben des von ihr eingesetzten Chatbots zu unterbinden.

Zunächst einmal war und ist die Tätigkeit der Beklagten in Bezug auf den Einsatz des Chatbots nicht nur rein technischer, automatischer und passiver Art. Vielmehr verarbeitet die Beklagte die Abfragedaten der Nutzer in einem eigenen Programm - dem Chatbot -, das (vermeintlich) passende Antworten generiert. Für deren Ausgabe in Form eigener Antworten auf Nutzerfragen ist die Beklagte grundsätzlich aufgrund der ihr zuzurechnenden Erarbeitung verantwortlich. Der Beklagten könnte deshalb grundsätzlich vorgeworfen werden, keine hinreichenden Vorkehrungen getroffen zu haben, um zu verhindern, dass die von dem Chatbot generierten Antworten keine Wettbewerbsverletzungen beinhalten (vgl. BGH, a.a.O., Rn. 26, juris).

Zudem war es der Beklagten - entgegen ihrer Ansicht - auch zumutbar, bereits vor der ersten Inbetriebnahme des Chatbots sicherzustellen, dass dieser keine unzutreffenden Auskünfte zu der Facharztqualifikation der bei ihr tätigen Ärzte/innen, insbesondere ihrer Geschäftsführer, gibt.

Zunächst einmal liegt es auf der Hand, dass ein wesentlicher Teil der von der Beklagten angesprochenen Verbraucher - das sind diejenigen Personen, die sich ernsthaft für schönheitsoperative Eingriffe im weitesten Sinn interessieren - ein gesteigertes Interesse daran haben, zu erfahren, ob und ggf. welche der bei der Beklagten tätigen Mediziner/innen über einen Facharzttitel auf ihrem Tätigkeitsgebiet verfügen. Dies nicht zuletzt auch deshalb, weil - dies ist allgemein bekannt - missglückte und handwerklich unzureichend ausgeführte Schönheitseingriffe seit vielen Jahren eine breite mediale Berichterstattung erfahren und für die Betroffenen weitereichende Folgen haben. Vor diesem Hintergrund haben diejenigen Personen, die sich ernsthaft mit der Vornahme entsprechender Eingriffe auseinandersetzen, bei der Wahl des Behandlers ein besonders großes Interesse daran, dessen fachliche Qualifikation zuverlässig einschätzen zu können, wozu nach dem allgemeinen Verkehrsverständnis insbesondere auch darauf abgestellt werden kann, ob der Arzt/die Ärztin der Wahl über einen entsprechenden Facharzttitel verfügt. Dass dies grundsätzlich auch der Beklagten bewusst ist, belegt der Umstand, dass sie hinsichtlich der bei ihr tätigen und entsprechend ausgebildeten Ärzte/Ärztinnen auf ihrer Webseite mit der vorhandenen Facharztqualifikation wirbt. Soweit die Beklagte dies im Rahmen ihrer Klageerwiderung vom 29.07.2025 noch in Abrede gestellt hatte, hat sie diesen Umstand mit ihrer Duplik vom 04.05.2026 inzwischen eingeräumt.

Hinzu kommt, dass im Bereich des Gesundheitsschutzes und des Gesundheitswesens aufgrund der weitereichenden Folgen für die angesprochenen Verkehrskreise grundsätzlich besonders strenge Anforderungen an das Marktverhalten der handelnden Akteure zu stellen sind. Folglich hätte die Beklagte bei gehöriger Anstrengung - d. h. als umsichtiger und gewissenhafter Marktakteur - antizipieren können und müssen, dass sich potentielle Kunden/Patienten mit der Frage nach der Facharztqualifikation der bei ihr tätigen Behandler/innen an den von ihr bereitgestellten Chatbot wenden.

Nach alledem musste für die Beklagte bzw. ihren bei der Programmierung und Inbetriebsetzung des Chatbots zum Einsatz kommenden Beauftragten, für den die Beklagte gemäß § 8 Abs. 2 UWG einzustehen hat, bei gewissenhaftem und umsichtigem Vorgehen auf der Hand liegen, dass der Chatbot auf die naheliegende Frage nach der (tatsächlich nicht vorhandenen) Facharztqualifikation ihrer medial bekannten Geschäftsführer unzutreffende Antworten halluzinieren könnte, was er letztlich auch tat.

Da es ihr zudem ein Leichtes gewesen ist - dies belegt der Geschehensablauf nach der Kenntniserlangung von der Verletzung -, den Chatbot derart umzuprogrammieren, dass dieser keine unzutreffenden Antworten über die Facharztqualifikation der bei ihr tätigen Behandler/innen mehr ausgibt, war es ihr im Ergebnis auch zumutbar, dies bereits vor der ersten Inbetriebnahme sicherzustellen.

97
Dabei muss sich der Senat nicht mit der Frage befassen, ob etwas anderes für solche fehlerhaften „Antworten“ eines KI-Sprachmodells oder KI-Chatbots gilt, die durch eine tendenziöse Fragestellung des Nutzers provoziert werden. Denn im Streitfall waren die an den Chatbot gerichteten Fragestellungen weder tendenziös, noch suggestiv.

bb. Die danach in Rede stehenden geschäftlichen Handlungen der Beklagten sind auch irreführend, weil sie zur Täuschung geeignete Angaben über die fachliche Befähigung ihrer Geschäftsführer enthalten.

Eine Irreführung liegt vor, wenn das Verständnis, das eine Angabe bei den Verkehrskreisen erweckt, an die sie sich richtet, mit den tatsächlichen Verhältnissen nicht übereinstimmt (vgl. BGH, Urteil vom 29.07.2021 - I ZR 114/20 - Kieferorthopädie, NJW-RR 2021, 1491 Rn. 12, beck-online mwN). Dabei ist im Ausgangspunkt auf die Sicht eines durchschnittlich informierten, aufmerksamen und verständigen Verbrauchers in seiner Rolle als (potenzieller) Patient einer Arztpraxis für minimalinvasive Schönheitsbehandlungen abzustellen, wobei der Senat aufgrund eigener Sachkunde beurteilen kann, wie die Verbraucherinnen und Verbraucher die vom Kläger angegriffenen Angaben verstehen, weil seine Mitglieder selbst zu den angesprochenen Verkehrskreisen gehören (st. Rspr, vgl. nur BGH a.a.O., Rn. 18, beck-online mwN).

Wie der Bundesgerichtshof bereits entschieden hat, sind dem Durchschnittsverbraucher Facharztbezeichnungen nicht fremd. Zwar macht er sich in der Regel keine vertieften Gedanken zur Dauer und zum Inhalt einer Facharztausbildung. Jedoch stellt er sich unter einem Facharzt entsprechend der geltenden Rechtslage einen Arzt vor, der eine von der zuständigen Berufsaufsicht anerkannte Weiterbildung in dem betreffenden Fachgebiet mit bestandener Prüfung absolviert hat (vgl. BGH a.a.O., Rn. 28, beck-online; so auch Senatsurteil vom 24.07.2008 - 4 U 82/08 - Männerarzt, GRUR-RR 2008, 434, beck-online; OLG Oldenburg, Urteil vom 30. April 2021 - 6 U 263/20, Rn. 49, juris).

Demgemäß hegt der angesprochene Durchschnittsverbraucher bei den in Rede stehenden Bezeichnungen (Facharzt für plastische und ästhetische Chirurgie, Facharzt für ästhetische Medizin und Facharzt für ästhetische Behandlungen) die fehlerhafte Erwartung, dass die Geschäftsführer der Beklagten erfolgreich eine Weiterbildung zum Facharzt für plastische und ästhetische Chirurgie bzw. zum Facharzt für plastische, rekonstruktive und ästhetische Chirurgie absolviert haben.

cc. Dass die so hervorgerufene Fehlvorstellung über die fachliche Qualifikation der bei der Beklagten tätigen Ärzte, bei denen es sich zugleich auch noch um ihre Geschäftsführer und ihre medialen „Aushängeschilder“ handelt, die von § 5 UWG geforderte geschäftliche Relevanz besitzt, steht außer Frage.

Die Beklagte geht fehl in der Annahme, an der geschäftlichen Relevanz fehle es deshalb, weil der angesprochene Verbraucher um die Fehleranfälligkeiten von KI-Chatbots und deren „Antworten“ wisse und sich deshalb bewusst sei, dass die von diesem ausgegebenen Informationen stets eines Faktenchecks bedürfen, um als belastbar angesehen zu werden. Dahingehende Erfahrungssätze zeigt die Beklagte nicht auf und existieren auch nicht. Vielmehr trifft es zu, dass ein Großteil der angesprochenen Verbraucher in besonderer Weise auf die Richtigkeit der computergenerierten Antwort vertraut, da Maschinen im Allgemeinen als weniger fehleranfällig als der Mensch wahrgenommen werden. Andernfalls - d. h. bei einem grds. bestehenden Misstrauen der potentiellen Kunden gegenüber der durch die KI-Anwendung generierten Antworten - hätte sich die Beklagte sicherlich auch nicht dazu entschieden, auf ihrer Webseite einen KI-Chatbot zur Kommunikation mit den Kunden zu implementieren.

d. Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr wird durch die jeweilige Verletzungshandlung indiziert. Anhaltspunkte dafür, dass diese entfallen sein könnte, sind weder vorgebracht noch anderweitig ersichtlich. Insbesondere hat die Beklagte keine strafbewehrte Unterlassungserklärung abgegeben, die hierfür in der Regel erforderlich ist.

e. Die Unterlassungsansprüche zu Ziffer 1 Buchstaben a bis c bestehen auch sämtlich in dem geltend gemachten Umfang.

Unzutreffend ist die Annahme der Beklagten, auch die Klageanträge zu Ziffer 1 Buchstaben b und c seien um die Einschränkung „sofern diese nicht die Weiterbildung zum Facharzt für plastische und ästhetische Chirurgie bzw. Facharzt für plastische, rekonstruktive und ästhetische Chirurgie gemäß einer Weiterbildungsordnung einer Ärztekammer absolviert haben“ zu ergänzen. Vielmehr ist diese (allein) im Klageantrag zu Ziffer 1 Buchstabe a enthaltene Einschränkung auch dort obsolet, wobei der Senat insoweit wegen § 308 Abs. 1 ZPO an einer über Klageantrag hinausgehenden Titulierung gehindert ist.

Denn auch ohne den einschränkenden Zusatz erfolgt das Verbot der konkreten Verletzungsform jeweils zu Recht, da sich der Umfang und damit die Grenze des jeweiligen Verbots aus den zur Auslegung heranzuziehenden Entscheidungsgründen des zu treffenden Urteils zweifelsfrei ergibt (vgl. BGH, Urteil vom 29.05.1991 - I ZR 284/89KG “Katovit" GRUR 1991, 860 [862], beck-online). Aus diesen folgt nämlich unzweideutig, dass die Geschäftsführer der Beklagten keine Weiterbildung zum Facharzt für plastische und ästhetische Chirurgie bzw. zum Facharzt für plastische, rekonstruktive und ästhetische Chirurgie gemäß einer Weiterbildungsordnung einer Ärztekammer absolviert haben und deshalb nicht in der in den Klageanträgen zu Ziffer 1 Buchstaben a bis c beschriebenen Weise bezeichnet werden dürfen. Auf die hypothetische Frage, ob sie sich nach erfolgreicher Absolvierung einer der genannten Facharztausbildungen auch als „Fachärzte für ästhetische Medizin“ und/oder als „Fachärzte für ästhetische Behandlungen“ bezeichnen dürften, kommt es daher nicht an. Es ist grundsätzlich nicht Sache des Klägers, dem Verletzer - etwa durch eine Einschränkung des Klageantrags - einen Weg zu weisen, wie er einen Verstoß gegen § 5 Abs. 1, Abs. 2 Hs. 2 Nr. 3 UWG vermeiden kann. Vielmehr muss es dem Verletzer überlassen bleiben, auf welche Weise - etwa durch Änderung seines Werbeauftritts oder durch Absolvierung der betreffenden Facharztausbildung durch die so betitelten Ärzte - er aus dem Verletzungstatbestand herauskommen will (vgl. BGH a.a.O.).

2. In Anbetracht der vorstehenden Ausführungen ist die vom Kläger ausgesprochene Abmahnung berechtigterweise erfolgt, so dass der geltend gemachte Anspruch auf Zahlung pauschalierter Abmahnkosten in - von der Beklagten nicht beanstandeter - Höhe von 260,00 Euro aus § 5 UKlaG i. V. m. § 13 Abs. 3 UWG folgt (vgl. zur grundsätzlichen Zulässigkeit der Geltendmachung pauschalierter Abmahnkosten nach alter, jedoch sachlich identischer Rechtslage BGH, Urteil vom 16.07.2008 - VIII ZR 348/06 -, BGHZ 177, 253-272, Rn. 50, wonach die Kostenpauschale selbst dann in voller Höhe zu entrichten ist, wenn die Abmahnung nur teilweise berechtigt war).

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Keine Haftung des Kontoinhabers bei unbefugten Verfügungen infolge einer auf dem Versandweg abhandengekommenen Debitkarte

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 26 May 2026 14:49:00 +0200

OLG Frankfurt
Urteil vom 29.04.2026
17 U 62/24

Das OLG Frankfurt am Main hat entschieden, dass der Zahlungsdienstleister bei nicht autorisierten Zahlungsvorgängen infolge einer auf dem Versandweg abhandengekommenen Debitkarte zur Erstattung der Belastungen verpflichtet ist. Da der Kontoinhaber zu keinem Zeitpunkt in den Besitz der Karte oder PIN gelangt war, scheidet eine Verletzung der Schutzpflichten gemäß § 675l Abs. 1 BGB aus.

Die Pressemitteilung des Gerichts:
Rückzahlungsanspruch - Schadensersatz bei unbefugten Geldabhebungen

Kontoinhaber hat Anspruch auf Schadensersatz bei unbefugten Geldabhebungen bei auf dem Versandweg abhanden gekommener Debitkarte.

Kontobelastungen durch unbefugte Geldabhebungen sind grundsätzlich von der Bank auszugleichen, sofern nicht die gesetzlich geregelten Voraussetzungen für eine Haftung des Kontoinhabers vorliegen. Diese sind abschließend geregelt (§ 675 v Abs. 3 BGB). Das Oberlandesgericht Frankfurt am Main hat mit heute veröffentlichtem Urteil die beklagte Sparkasse zur Zahlung des unbefugt abgehobenen und noch nicht von der Sparkasse ausgeglichenen Betrags verurteilt.

Der Kläger unterhielt mit der beklagten Sparkasse eine Geschäftsverbindung. Er eröffnete Ende Juni 2019 ein weiteres Privat-Girokonto. Die Debitkarte sollte an seine Adresse in Frankfurt am Main versandt werden. Der Kläger überwies am 27.6.2019 gut 300.000 € auf dieses neue Konto. In der Zeit vom 30. Juni bis 27.08.2019 hoben zwei inzwischen strafrechtlich verurteilte Unbefugte von diesem Konto knapp 220.000 € mittels 210 Geldabhebungen an Geldautomaten und durch Kartenzahlungen bei Einkäufen unter Verwendung der Debitkarte des Klägers ab. Vom Anfang Juli bis Ende August 2019 hielt sich der Kläger im Ausland auf. Nach seiner Rückkehr teilte der Kläger mit, dass er noch immer keine Karte habe und sperrte das Konto nach Kenntnisnahme der zwischenzeitlich erfolgten Abbuchungen. Nachdem die Beklagte einen Teil des Schadens vorprozessual ausgeglichen hatte, begehrte Kläger vorliegend noch Zahlung von gut 66.000 €.

Das Landgericht hat die Klage abgewiesen. Die hiergegen vom Kläger eingelegte Berufung hatte vor dem zuständigen 17. Zivilsenat Erfolg. Dem Kläger stehe der geltend gemachte Rückzahlungsanspruch zu, führte der Senat aus.

Unstreitig lägen nicht autorisierte Zahlungsvorgänge vor. Für diese habe die Beklagte keinen Anspruch auf Erstattung ihrer Aufwendungen. Die Abbuchung auf dem Konto löse damit einen Rückzahlungsanspruch des Klägers aus.

Die Beklagte könne die Zahlung auch nicht über die Grundsätze von Treu und Glauben verweigern. Ihr stünden insbesondere ihrerseits keine Schadensersatzansprüche gegen den Kläger zu. Gemäß den gesetzlichen Regelungen wäre dies nur dann der Fall, wenn der Kläger in betrügerischer Absicht gehandelt oder den Schaden durch vorsätzliche oder grob fahrlässige Verletzung seiner gesetzlichen Schutzpflichten in Bezug auf die die Debitkarte nebst PIN herbeigeführt habe (siehe Erläuterungen). Diese Voraussetzungen lägen hier nicht vor.

Insbesondere habe der Kläger nicht seine Pflichten in Bezug auf das Zahlungsinstrument verletzt. Da der Kläger unstreitig zu keinem Zeitpunkt in den Besitz der Sparkassenkarte gelangt war, habe er insoweit auch keine Pflichten zum Schutz vor unbefugten Zugriffen zu erfüllen gehabt. Karte und PIN seien zu keinem Zeitpunkt so in den Machtbereich des Klägers gelangt, dass er unter normalen Verhältnissen die Möglichkeit gehabt habe, Kenntnis zu nehmen. Nach dem bestrittenen Vortrag der Beklagten habe die Zustellung der Karte frühestens am Tag vor der ersten missbräuchlichen Verfügung erfolgen können. Da die ersten missbräuchlichen Abhebungen bereits am Morgen des 30.06.2019 eingesetzt hätten, habe der behauptete Diebstahl nur im Laufe des 29. Juni (einem Samstag) oder den frühen Morgenstunden des 30.06.2019 (einem Sonntag) erfolgen können. Da dem Kläger der konkrete Versendungstag nicht bekannt gegeben worden und kein Briefkasteninhaber gehalten sei, über den Tag hinweg fortlaufend Ausschau zu halten, ob Sendungen in seinen Briefkasten eingelegt werden und diese unmittelbar danach herauszunehmen, läge auch keine grob fahrlässige Verwahrung vor. Im Übrigen sei die Beklagte für den Erhalt beweisfällig geblieben.

Der Kläger müsse sich auch keinen Mitverursachungsbeitrag zurechnen lassen, soweit er nach Ankündigung der Zusendung von Authentifizierungsinstrumenten bei längerem Ausbleiben der Sendung nicht bei der Bank nachgefragt habe. Die gesetzlichen Regelungen für Schadensersatzansprüche einer Bank gegen ihren Kunden (siehe Erläuterungen) seien abschließend. Nach der gesetzgeberischen Intention bestehe kein Raum für weitergehende etwa auf die leicht fahrlässige Verletzung anderer Pflichten gerichtete Schadensersatzansprüche, die die Sparkasse dem Erstattungsanspruch des Kunden entgegenhalten könne.

Gegen die Entscheidung kann die Beklagte die zugelassene Revision zum BGH einlegen.

Urteil des Oberlandesgerichts Frankfurt am Main, Urteil vom 29.4.2026, Az. 17 U 62/24
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 30.4.2024, Az. 2-07 O 123/21)

Erläuterungen
§ 675l BGB Pflichten des Zahlungsdienstnutzers in Bezug auf Zahlungsinstrumente
(1) 1Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. 2Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. 3Für den Ersatz eines verlorenen, gestohlenen, missbräuchlich verwendeten oder sonst nicht autorisiert genutzten Zahlungsinstruments darf der Zahlungsdienstleister mit dem Zahlungsdienstnutzer ein Entgelt vereinbaren, das allenfalls die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten abdeckt.

(2) Eine Vereinbarung, durch die sich der Zahlungsdienstnutzer gegenüber dem Zahlungsdienstleister verpflichtet, Bedingungen für die Ausgabe und Nutzung eines Zahlungsinstruments einzuhalten, ist nur insoweit wirksam, als diese Bedingungen sachlich, verhältnismäßig und nicht benachteiligend sind.

§ 675v Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsinstruments
(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.
(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

in betrügerischer Absicht gehandelt hat oder
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a) einer oder mehrerer Pflichten gemäß
§ 675l Absatz 1
Öffnet sich in einem neuen Fenster oder
b) einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

OLG Hamm: Falschangaben eines KI-Chatbots sind dem Unternehmen als eigene irreführende geschäftliche Handlung nach § 5 UWG zuzurechnen

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 13 May 2026 16:26:00 +0200

OLG Hamm
Urteil vom 12.05.2026
4 UKl 3/25

Das OLG Hamm hat entschieden, dass ein Unternehmen für irreführende Falschangaben seines KI-Chatbots nach § 5 Abs. 1, Abs. 2 Nr. 3 UWG haftet, weil der Chatbot kein „Dritter" im Sinne des Gesetzes ist und die Verantwortung des Unternehmens selbst dann besteht, wenn der Chatbot ausschließlich mit korrekten Datensätzen programmiert worden sein sollte. Wegen der grundsätzlichen Bedeutung der Zurechnungsfragen bei KI-generierten Inhalten hat der Senat die Revision zum BGH zugelassen.

Die Pressemitteilung des Gerichts:
Oberlandesgericht Hamm: Urteil in Verbraucherzentrale Nordrhein-Westfalen e.V. gegen Aesthetify GmbH

Mit Urteil vom heutigen Tage hat der 4. Zivilsenat des Oberlandesgerichts Hamm die Beklagte verurteilt, es zu unterlassen, bestimmte Facharztbezeichnungen zu verwenden.

Das Verfahren behandelt im Wesentlichen Zurechnungsfragen im Rahmen von Falschangaben eines KI-Chatbots. Kundinnen und Kunden bzw. Patientinnen und Patienten können auf der Webseite der Beklagten mit einem sog. Chatbot kommunizieren. Dort können Termine gebucht und Fragen in Echtzeit beantwortet werden. Auf konkrete Fragen antwortete der Chatbot unter anderem, die hinter der Beklagten stehenden beiden Ärzte seien „Fachärzte für plastische und ästhetische Chirurgie“, „Fachärzte für ästhetische Medizin“ und „Fachärzte für ästhetische Behandlungen“.

Der Kläger mahnte die Beklagte zunächst ab und forderte sie in diesem Zusammenhang unter anderem zur Unterzeichnung einer strafbewährten Unterlassungserklärung auf. Zwar wurde der Chatbot in der Folgezeit deaktiviert, die entsprechende Unterlassungserklärung aber nicht unterzeichnet. Der Senat entschied nun, dass es sich bei den in Rede stehenden Antworten des Chatbots um unzulässige geschäftliche Handlungen der Beklagten im Sinne des § 5 Abs. 1, Abs. 2 Nr. 3 UWG handele und gab der unter anderem auf Unterlassung gerichteten Klage statt. Der Auffassung der Beklagten, die unzutreffenden Antworten des Chatbots seien ihr nicht als eigene geschäftliche Handlung zurechenbar, trat der Senat nicht bei. Selbst sollte die Beklagte den Chatbot ausschließlich mit korrekten Datensätzen programmieren haben lassen, trage sie für die – unstreitigen – Falschangaben betreffend die (nicht existenten) Facharzttitel ihrer Geschäftsführer die Verantwortung. Der Chatbot sei auch kein „Dritter“ im Sinne des Gesetzes. Daher sei ein Rückgriff auf die Voraussetzungen einer Verkehrssicherungspflicht verwehrt. Da in diesem Fall neue rechtliche Fragen zur Zurechnung von Falschangaben eines KI-Chatbots entscheidend sind, hat der Senat die Revision zum Bundesgerichtshof zugelassen.

Die maßgebliche Vorschrift lautet:

§ 5 Abs. 1 UWG lautet: „Unlauter handelt, wer eine irreführende geschäftliche Handlung vornimmt, die geeignet ist, den Verbraucher oder sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte.“

Konkretisiert wird das Kriterium der Irreführung unter anderem in § 5 Abs. 2 Nr. 3 UWG: „Eine geschäftliche Handlung ist irreführend, wenn sie unwahre Angaben enthält oder sonstige zur Täuschung geeignete Angaben über folgende Umstände enthält: […]

3. die Person, Eigenschaften oder Rechte des Unternehmers wie Identität, Vermögen einschließlich der Rechte des geistigen Eigentums, den Umfang von Verpflichtungen, Befähigung, Status, Zulassung, Mitgliedschaften oder Beziehungen, Auszeichnungen oder Ehrungen, Beweggründe für die geschäftliche Handlung oder die Art des Vertriebs;“.

[...]

Für gerichtliche Verfahren nach dem Unterlassungsklagengesetz (UKlaG) ist seit dem 1. Juli 2025 für ganz NRW das Oberlandesgericht Hamm zentral zuständig. Durch die landesweite Zuständigkeit des Oberlandesgerichts Hamm werden solche Verfahren an einem Ort konzentriert. Das stärkt nicht nur die Spezialisierung und die Konsistenz der Rechtsprechung, sondern betont zugleich die Rolle des Oberlandesgerichts Hamm als zentraler Standort für verbraucherrechtliche Verfahren in Nordrhein-Westfalen.

BGH: Abschätzige Meinungsäußerung nicht allein deshalb unzulässig wenn vorherige journalistische Recherche objektiv keine ausreichenden Anhaltspunkte für diese Bewertung gibt

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 06 May 2026 14:42:00 +0200

BGH
Urteil vom 10.03.2026
VI ZR 194/23
GG Art. 1 Abs. 1, Art. 2 Abs. 1, Art. 5 Abs. 1; BGB § 823 Abs. 1, § 1004 Abs. 1 Satz 1

Der BGH hat entschieden, dass eine abschätzige Meinungsäußerung nicht allein deshalb unzulässig ist, weil sie als Ergebnis einer journalistischen Recherche präsentiert wird, die objektiv keine ausreichenden Anhaltspunkte für diese Bewertung liefert. Da Art. 5 Abs. 1 GG auch die "falsche" oder nicht begründete Meinung schützt, darf ein Kritiker seine Auffassung auch dann zum Ausdruck bringen, wenn sie einer objektiven Beurteilung nicht standhält.

Leitsatz des BGH:
Eine abschätzige, als Meinungsäußerung zu qualifizierende Kritik ist nicht deshalb unzulässig, weil sie als Ergebnis einer von einem Presseorgan durchgeführten Recherche dargestellt wird, die hierfür bei objektiver Betrachtung keine ausreichend gewichtigen tatsächlichen Anhaltspunkte bietet. Art. 5 Abs. 1 GG schützt auch die "falsche" und die nicht begründete Meinung; es gehört zu den Garantien der Meinungsfreiheit, dass ein Kritiker seine Bewertung von Vorgängen als seine (Rechts-)Auffassung zum Ausdruck bringen kann, selbst wenn diese einer objektiven Beurteilung nicht standhält.

BGH, Urteil vom 10. März 2026 - VI ZR 194/23 - OLG München LG München I

Den Volltext der Entscheidung finden Sie hier:

BGH: Erklärungsirrtum des sich Äußernden mindert das Gewicht der Meinungsäußerungsfreiheit bei der Abwägung mit dem allgemeinen Persönlichkeitsrecht

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 06 May 2026 12:37:00 +0200

BGH
Urteil vom 28.04.2026
VI ZR 113/25
GG Art. 1 Abs. 1, Art. 2 Abs. 1, Art. 5 Abs. 1; BGB § 823 Abs. 1, § 249 Abs. 2 Satz 1

Der BGH hat entschieden, dass einem Erklärungsirrtum des Äußernden eine erhebliche Bedeutung bei der Abwägung zwischen Meinungsäußerungsfreiheit und allgemeinem Persönlichkeitsrecht zukommt. Bei einem Erklärungsirrtum des sich Äußernden vergleichbar mit § 119 Abs. 1 Alt. 2 BGB hat das Grundrecht aus Art. 5 Abs. 1 GG bei der Abwägung ein deutlich geringeres Gewicht.

Leitsätze des BGH:
a) Für die Beurteilung, ob eine Wortberichterstattung das allgemeine Persönlichkeitsrecht des Betroffenen verletzt, ist grundsätzlich eine alle Umstände des Einzelfalls berücksichtigende Abwägung der widerstreitenden grundrechtlich geschützten Interessen vorzunehmen (hier: Bezeichnung als "Rechtsextremer").

b) Bei einem "Erklärungsirrtum" des sich Äußernden (vergleichbar dem in § 119 Abs. 1 Alt. 2 BGB für Willenserklärungen geregelten Erklärungsirrtum) kann dessen Grundrecht auf Meinungsfreiheit in der Abwägung ein deutlich geringeres Gewicht haben.

BGH, Urteil vom 28. April 2026 - VI ZR 113/25 - LG Berlin II AG Kreuzberg

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Stiftung Warentest muss Schadensersatz für unvertretbares Testergebnis mit der Note "mangelhaft" leisten - Rauchwarnmelder

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Fri, 24 Apr 2026 08:17:00 +0200

OLG Frankfurt
Urteil vom 23.04.2026
16 U 38/25

Das OLG Frankfurt hat entschieden, dass Stiftung Warentest für ein unvertretbares Testergebnis mit der Note "mangelhaft" bei Rauchwarnmeldern Schadensersatz leisten muss. Die Veröffentlichung der Bewertung stellt einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar, da Stiftung Warentest trotz konkreter Hinweise auf eine fehlerhafte Testmethodik nicht ihrer Prüfpflicht nachkam.

Die Pressemitteilung des Gerichts:
Rauchwarnmelder - Veröffentlichung eines Testergebnisses ohne vorherige Klärung von Zweifeln am Testergebnis

Die Veröffentlichung der Bewertung eines Produkts mit „mangelhaft“ in einem vergleichenden Wartentest stellt einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar, wenn sie auf einem nicht sachgerecht durchgeführten Testverfahren beruht. Hat die Herausgeberin der Veröffentlichung die Durchführung des Warentests einem fachlich spezialisierten und akkreditierten Prüfinstitut übertragen, so trifft sie eine Haftung auf Schadensersatz jedenfalls dann, wenn der Hersteller des Produkts konkret auf Anhaltspunkte für eine Unrichtigkeit des Testergebnisses hinweise und die Herausgeberin dem vor der Veröffentlichung nicht (ausreichend) nachgeht, entschied das Oberlandesgericht Frankfurt am Main (OLG) heute.

Die Klägerin stellt u.a. Rauchwarnmelder her. Die Beklagte veröffentlicht vergleichende Warentests nebst Bewertungen. Sie beauftragte ein externes Prüfinstitut mit der Durchführung der - stark standardisierten und durch DIN EN Vorgaben vorgegebenen - Funktionsprüfung der zu testenden Rauchwarnmelder. Drei von vier Produkten der Klägerin lösten bei den Testfeuern nicht innerhalb der Parameter ein Alarmsignal aus. Das Testfeuer hatte dabei einen von der DIN EN 14604/2005 vorgegebenen Grenzkorridor nach unten unterschritten. Gemäß einer internen Arbeitsanweisung des Prüfinstituts, die von dem vorgegebenen Prüfprogramm abwich und von der die Beklagte zu diesem Zeitpunkt noch nichts wusste, wertete das Prüfinstitut das Testfeuer als gültig und wiederholte den Test nicht. Die Beklagte übersandte der Klägerin die Ergebnisse. Diese äußerte Bedenken an der Testung, übersandte abweichende Testberichte anderer zertifizierter und akkreditierter Prüfinstitute, verwies u.a. darauf, dass alle ihre Produkte den EN-Vorgaben genügten und forderte die Beklagte auf, die Veröffentlichung der übermittelten Testergebnisse zu unterlassen.

Die Beklagte veröffentlichte nachfolgend einen Artikel über die getesteten Rauchwarnmelder sowie die tabellarische Bewertung. Das Produkt der Klägerin erhielt als Qualitätsurteil „mangelhaft“. Den geltend gemachten Unterlassungsanspruch erkannte die Beklagte im Laufe des Verfahrens ohne Anerkennung einer Rechtspflicht als endgültig an und berichtete in ihrer Zeitschrift, dass sie die streitgegenständliche Bewertung zurückziehe.

Die Parteien streiten weiterhin u.a. über einen Anspruch auf Schadensersatz in Höhe von 7,7 Mio. €. Das Landgericht hat - sachverständig beraten - dem Grunde nach einen Anspruch auf Schadensersatz zugesprochen.

Auf die hiergegen eingelegte Berufung der Beklagten bestätigte der zuständige 16. Zivilsenat (Pressesenat) des OLG, dass die Klägerin wegen des mit dem Testurteil „mangelhaft“ verbundenen Eingriffs in das Recht am eingerichteten und ausgeübten Gewerbebetrieb dem Grunde nach Schadensersatz verlangen könne. Die Bewertung sei geeignet, dem Ruf der Klägerin zu schaden und das Vertrauen in die Produkte zu schmälern. Der Eingriff sei rechtswidrig. Die von dem beauftragten Testinstitut durchgeführte und dem Bericht zugrundeliegende Testung sei nicht sachkundig durchgeführt worden. Das Testergebnis sei nicht vertretbar gewesen, da der Grenzkorridor beim Testfeuer nach unten unterschritten worden sei. In diesem Fall habe nach den Vorgaben des Prüfprogramms und der DIN EN das Testfeuer - entgegen der Handhabung des Prüfinstituts - nicht als gültig bewertet werden dürfen.

Die Beklagte habe diesen rechtswidrigen Eingriff in den Gewerbebetrieb auch zu vertreten. Auf die von der Klägerin geäußerten Bedenken hin habe die Beklagte „stichhaltige Anhaltspunkte (gehabt), die Zweifel an der ordnungsgemäßen Durchführung des Rauchwarnmeldertests“ hätten aufkommen lassen müssen. Die abweichenden Prüfergebnisse der von der Klägerin beauftragten Prüfinstitute hätten sie „aufhorchen lassen müssen“. Wenn ein ebenfalls zuverlässiges und akkreditiertes Prüfinstitut zu einem abweichenden Ergebnis komme, müsse die Beklagte jedenfalls bei dem von ihr beauftragten Institut nachfragen, wie es zu der Abweichung komme. Hätte die Beklagte entsprechend nachgefragt, hätte sie sehr wahrscheinlich erfahren, dass das von ihr beauftragte Institut - entgegen der Vorgaben im Prüfprogramm und der DIN EN - gemäß der dortigen internen Arbeitsanweisung Prüffeuer als gültig wertet, die die Grenzkurve nach unten unterschreiten.

Auch wenn die Frage letztlich nicht mehr entschieden werden musste, betonte der Senat, dass er eine Ausweitung einer sog. Fiktionshaftung ohne eigenes Verschulden für beauftragte externe Unternehmen - wie sie in dem hier zu entscheidenden Einzelfall vom Landgericht vorgenommen wurde - nicht für sachgerecht hält.

Die Entscheidung ist nicht rechtskräftig. Mit der Nichtzulassungsbeschwerde kann die Beklagte die Zulassung der Revision begehren.

Oberlandesgericht Frankfurt am Main, Urteil vom 23.4.2026, Az. 16 U 38/25
(vorausgehend LG Frankfurt am Main, Urteil vom 3.4.2025, Az. 2-03 O 430/21)

VG Ansbach: Für Schadensersatzansprüche aus Art. 82 DSGVO gegen Behörden und öffentliche Stellen ist der ordentliche Rechtsweg und nicht der Verwaltungsrechtsweg eröffnet

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 21 Apr 2026 15:59:00 +0200

VG Ansbach
Beschluss vom 01.04.2026
AN 14 K 26.1164

Das VG Ansbach hat entschieden, dass für Schadensersatzansprüche aus Art. 82 DSGVO gegen Behörden und öffentliche Stellen der ordentliche Rechtsweg und nicht der Verwaltungsrechtsweg eröffnet ist.

Aus den Enstcheidungsgründen:
Das Verfahren ist nach Anhörung der Beteiligten gemäß § 173 Satz 1 VwGO i.V.m. § 17a Abs. 2 Satz 1 GVG an das Amtsgericht Nürnberg zu verweisen.

Der Kläger fordert im Klagewege von der Beklagten Schadensersatz nach Art. 82 DS-GVO in Höhe von zuletzt mindestens 20.000 EUR wegen rechtswidriger Speicherung seiner personenbezogenen Daten durch das Bundesamt für Migration und Flüchtlinge. Diese Klage wurde mit Beschluss vom 1. April 2026 von der zeitgleich erhobenen Klage auf Löschung der personenbezogenen Daten abgetrennt.

1. Der hinsichtlich der Schadensersatzklage beschrittene Verwaltungsrechtsweg ist im Sinne des § 173 Satz 1 VwGO, § 17a Abs. 2 Satz 1 GVG unzulässig. Bei dem geltend gemachten Anspruch aus Art. 82 DS-GVO handelt es sich um einen Schadensersatzanspruch aus der Verletzung öffentlichrechtlicher Pflichten im Sinne des § 40 Abs. 2 Satz 1 Halbs. 1 VwGO, sodass demnach der ordentliche Rechtsweg gegeben ist (im Ergebnis ebenso: VG Köln U.v. 23.2.2023 – 13 K 278/21 –, BeckRS 2023, 16294 Rn. 14; VG Stade Verweisungsbeschluss v. 7.8.2025 – 10 A 624/24 –, BeckRS 2025, 22882 Rn. 3; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 –, BeckRS 2025, 36628 Rn. 3).

Eine Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DS-GVO, da diese Vorschrift nur die internationale Zuständigkeit regelt (vgl. VG Köln U.v. 23.2.2023 – 13 K 278/21 –, BeckRS 2023, 16294 Rn. 15 m.w.N.; VG Stade Verweisungsbeschluss v. 7.8.2025 – 10 A 624/24 –, BeckRS 2025, 22882 Rn. 5; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 –, BeckRS 2025, 36628 Rn. 4; Quaas in BeckOK Datenschutzrecht, 54. Ed. Stand: 1.11.2025, DS-GVO Art. 82 Rn. 46-46.3).

2. Damit ist der Rechtsstreit an das Amtsgericht Nürnberg als sachlich und örtlich zuständiges Gericht des ordentlichen Rechtswegs zu verweisen, § 173 Satz 1 VwGO i.V.m. § 17a Abs. 2 Satz 1 GVG.

Der Schadensersatzanspruch aus Art. 82 DS-GVO ist kein Amtshaftungsanspruch im Sinne des Art. 34 Satz 2 GG, sodass eine ausschließliche sachliche Zuständigkeit der Landgerichte gemäß § 71 Abs. 2 Nr. 2 GVG nicht gegeben ist (vgl. BFH, B.v. 28.6.2022 – II B 93/21 –, juris Rn. 14 ff.; BSG, B.v. 6.3.2023 – B 1 SF 1/22 R –, juris Rn. 19 ff.; VG Stuttgart, U.v. 20.6.2024 – 14 K 870/22 –, juris Rn. 23 ff.; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25, BeckRS 2025, 36628 Rn. 13 ff.).

Die sachliche Zuständigkeit richtet sich vielmehr nach § 1 ZPO i.V.m. §§ 23 Nr. 1, 71 Abs. 1 GVG, wonach Streitigkeiten über Ansprüche, deren Gegenstand an Geld oder Geldeswert die Summe von zehntausend Euro nicht übersteigt, von der Zuständigkeit der Amtsgerichte umfasst sind. Insoweit ist das mit der Klage verfolgte wirtschaftliche Interesse zu ermitteln, wobei den Wertangaben der Parteien, insbesondere des Klägers (§§ 253 Abs. 3, 495 ZPO), wenn sie nicht offensichtlich unzutreffend sind, erhebliches Gewicht zukommt, diese aber für das Gericht nicht bindend sind (vgl. Wendtland in BeckOK ZPO, 59. Ed. Stand: 1.12.2025, § 3 Rn. 1).

Der Kläger bezifferte die begehrte Schadensersatzhöhe in der Klageschrift vom 25. Dezember 2025 mit 1.000 EUR, in späteren Schriftsätzen mit mindestens 20.000 EUR. Die ausgeurteilten Schadensersatzansprüche aus Art. 82 DS-GVO bewegen sich bislang im unteren bis mittleren vier- oder dreistelligen Bereich (vgl. Quaas in BeckOK Datenschutzrecht, 54. Ed. Stand: 1.11.2025, DS-GVO Art. 82 Rn. 34 f.). Angesichts dessen erscheint die Angabe von 20.000 EUR offensichtlich unzutreffend, zumal Anhaltspunkte für eine Atypik des Falls des Klägers, die eine derart gravierend von der bisherigen Rechtsprechung abweichende Schadensersatzhöhe rechtfertigen könnten, weder vorgetragen noch erkennbar sind. Das objektive wirtschaftliche Interesse des Klagebegehrens liegt nach Auffassung des Gerichts jedenfalls unter 10.000 EUR, sodass die sachliche Zuständigkeit der Amtsgerichte eröffnet ist.

Örtlich zuständig ist vorliegend im Hinblick auf den Sitz des Bundesamts für Migration und Flüchtlinge in Nürnberg das Amtsgericht Nürnberg nach §§ 12, 17 Abs. 1 ZPO i.V.m. Art. 5 Abs. 2 Nr. 53 GerOrgG.

Die Entscheidung über die Kosten bleibt gemäß § 173 Satz 1 VwGO i.V.m. § 17b Abs. 2 Satz 1 GVG der Endentscheidung des Amtsgerichts Nürnberg vorbehalten.

Den Volltext der Entscheidung finden Sie hier:

BGH: Keine Angabe des Zahlungsempfängers im chipTAN-Display für starke Kundenauthentifizierung nach § 675v BGB erforderlich

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 24 Mar 2026 09:37:00 +0100

BGH
Urteil vom 03.03.2026
XI ZR 20/24
BGB § 675v Abs. 4 Satz 1 Nr. 1
ZAG § 1 Abs. 24, § 55
Delegierte Verordnung (EU) 2018/389 Art. 5 Abs. 1

Der Bundesgerichtshof hat klargestellt, dass eine starke Kundenauthentifizierung im Sinne von § 675v Abs. 4 Satz 1 Nr. 1 BGB im Rahmen des manuellen chipTAN-Verfahrens nicht voraussetzt, dass der Name des Zahlungsempfängers zwingend im Display des TAN-Generators angezeigt wird.

Leitsatz des BGH:
Eine starke Kundenauthentifizierung im Sinne von § 675v Abs. 4 Satz 1 Nr. 1 BGB erfordert im manuellen chipTAN-Verfahren nicht die Angabe des Namens des Zahlungsempfängers im Display des TAN-Generators.

BGH, Urteil vom 3. März 2026 - XI ZR 20/24 - OLG Naumburg LG Halle

Den Volltext der Entscheidung finden Sie hier:

BGH: Unternehmen haftet nach den Grundsätzen der Beauftragtenhaftung für Google-Ads-Kampagnen bei Übertragung der Bewerbung an Dritte

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 18 Mar 2026 18:41:00 +0100

BGH
Urteil vom 11.03.2026
I ZR 28/25
Google-Ads
UWG § 8 Abs. 2

Der BGH hat entschieden, dass ein Unternehmen nach den Grundsätzen der Beauftragtenhaftung gemäß § 8 Abs. 2 UWG für wettbewerbswidrige Werbeaktivitäten eines Dritten haftet, wenn er diesem die Bewerbung seines Angebots überträgt und durch die Bereitstellung von Produktinformationen seinen Geschäftsbetrieb erweitert.

Leitsatz des BGH:
Google-Ads Beauftragt der Betriebsinhaber einen Dritten ganz oder teilweise mit der grundsätzlich ihm obliegenden Aufgabe der Bewerbung seines Produktangebots und stellt dem Dritten die dafür erforderlichen Informationen zur Verfügung, erweitert er damit seinen Geschäftsbetrieb. Die für die Erfolgshaftung des Betriebsinhabers für Wettbewerbshandlungen Dritter kennzeichnende gewisse Beherrschung des Risikobereichs sowie der erforderliche bestimmende und durchsetzbare Einfluss ergeben sich daraus, dass der Dritte aufgrund der Beauftragung tätig wird und auf die ihm vom Betriebsinhaber zur Verfügung gestellten Informationen zu den zu bewerbenden Produkten zurückgreift.

BGH, Urteil vom 11. März 2026 - I ZR 28/25 - OLG Bamberg LG Coburg

Den Volltext der Entscheidung finden Sie hier:

LG Krefeld: Kein Schadensersatz aus Art. 82 DSGVO bei Hackerangriff (hier: Zero-Day-Exploit) ohne Nachweis unzureichender Sicherheitsmaßnahmen des Unternehmens

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 17 Mar 2026 11:51:00 +0100

LG Krefeld
Urteil vom 06.11.2025
3 O 93/24

Das LG Krefeld hat entschieden, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei einem Hackerangriff – im vorliegenden Fall ein Zero-Day-Exploit – nicht besteht, wenn der Nachweis unzureichender Sicherheitsmaßnahmen des Unternehmens fehlt und ein konkreter Schaden nicht substantiiert dargelegt wurde.

Aus den Entscheidungsgründen:
Gemäß Art. 82 Abs. 4 DSGVO haften sowohl der Verantwortliche (hier die Beklagte zu 1) gemäß Art. 4 Nr. 7 DSGVO) als auch der Auftragsverarbeiter (hier die Beklagte zu 2) gemäß Art. 4 Nr. 8 DSGVO) gesamtschuldnerisch für einen verursachten Schaden. Soweit die Klägerin ein wirksames Auftragsverarbeitungsverhältnis zwischen den Beklagten mit Nichtwissen bestreitet (Bl. 162 d. A.), ist dieses Bestreiten gemäß § 138 Abs. 4 ZPO unbeachtlich, da er im Widerspruch zu ihrem vorherigen Vortrag (z.B. auf Bl. 8 f. d. A) steht. Denn die Klägerin trägt selbst vor, dass die Daten durch die Beklagte zu 2) als Dienstleister der Beklagten zu 1) verarbeitet worden sind.

Zudem kann das Gericht keinen schuldhaften Verstoß der Beklagten gegen die DSGVO annehmen. Insbesondere kann ein schuldhafter Verstoß gegen Art. 5 Abs. 1 lit. f), 24, 32 DSGVO nicht angenommen werden.

Nach Art. 5 Abs. 1 f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, wobei dies der Verantwortliche nach Art. 5 Abs. 2 DSGVO nachzuweisen hat. Nach Art. 24 Abs. 1 S. 1 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Nach Art. 24 Abs. 2 DSGVO müssen diese Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und zwar unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Die DSGVO verlangt ein Risikomanagementsystem einzuführen, aber nicht die Beseitigung des Risikos von Verletzungen des Schutzes personenbezogener Daten (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Aus dem Wortlaut der Art. 24 und 32 DSGVO ergibt sich, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf geeignet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 30, juris). Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Dabei steht dem Verantwortlichen ein gewisser Entscheidungsspielraum zu (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 43, juris).

Die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 f) und Art. 32 DSGVO gewährleisten, obliegt dem für die betreffende Verarbeitung Verantwortlichen (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 52, juris). Wenn eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 f), Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 71, juris). Hackerangriffe oder Datenlecks entlasten (nur), wenn der Verantwortliche die übliche Sorgfalt zum Schutz der Daten angewendet hat, wobei zu berücksichtigen ist, dass die DSGVO nicht erfordert, alle theoretisch möglichen Schutzvorkehrungen vorzusehen (Quaas, in: BeckOK DatenschutzR, 51. Edition Stand: 01.02.2025, Art. 82, Rn. 18).

Ein pflichtwidriger Verstoß der Beklagten gegen die DSGVO kann vor diesem Hintergrund nicht festgestellt werden. Die Beklagten haben die Einhaltung ihrer datenschutzrechtlichen Pflichten substantiiert und ausführlich dargelegt, dies vermag die Klägerin mit ihrem bloßen Bestreiten nicht zu entkräften. Die Klägerin unterliegt vielmehr irrig der Annahme, der erfolgreiche Angriff liefere ein belastbares Indiz für unzureichende technische und organisatorische Maßnahmen im Vorfeld. Ein derartiger Rückschluss ist jedoch verfehlt (vgl. dazu OLG Stuttgart, BeckRS 2021, 6282 Rn. 52). Soweit sie darauf abstellt, dass die Beklagten weitere technische Maßnahmen hätten ergreifen können, wovon sie einige aufzählt, ergibt sich hieraus keine Umsetzungspflicht, deren Nichteinhaltung einen datenschutzrechtlichen Verstoß begründen kann. Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern (vgl. EuGH ZD 2024, 150, 152 Rn. 30 f.). Dies ist nicht gleichbedeutend mit sämtlichen, den Stand der Technik erschöpfenden Maßnahmen. Unzureichend wären die von den Beklagten beschriebenen TOM nur dann, wenn sich zuvor konkrete Anhaltspunkte für die Fehleranfälligkeit der - zum Zeitpunkt des Vorfalls - marktführenden G.-Anwendung ergeben hätten. Die Klägerin behauptet insoweit pauschal und ohne nähere Darlegung. Sie verweist hierzu auf einen unergiebigen öffentlichen Beitrag sowie auf sog. CVE-Einträge einer Fehlerdatenbank. Daraus ergibt sich indes nicht, ob die Beklagten diese Umstände vor dem Cyberangriff konkret wahrgenommen haben oder hätten wahrnehmen müssen, da insbesondere die letztgenannte Quelle vielmehr dafür spricht, dass das Programm seitens des Herstellers regelmäßig überprüft und sicherheitstechnisch weiterentwickelt wurde und wird. Gegen die Annahme, dass die Beklagten entsprechende Bedenken hätten haben müssen, spricht der Umstand, dass weltweit ca. 2.500 Unternehmen und Institutionen dem - insoweit unvorhergesehenen - sog. „zero-day-exploit“ zum Opfer fielen. Die Beklagte zu 1) hatte keinen Anlass zur verstärkten Kontrolle der Beklagten zu 2), Zweifel an der Eignung der Beklagten zu 2) als Auftragsverarbeiterin wurden nicht vorgetragen.

Selbst wenn man einen Verstoß unterstellen würde, würde dies vorliegend nicht zu einem Schmerzensgeldanspruch führen. Den der Vortrag bzgl. der Sorgen, Ängste und des Gefühls eines Kontrollverlustes bleibt vollkommen unsubstantiiert. Auch fehlt hinreichender Vortrag zur Kausalität der behaupteten Datenschutzverstöße für die Schäden. Der Anspruch auf Schadensersatz gemäß Art. 82 Art. 1, 2 DSGVO resultiert nicht allein aus einem - mit dem Vorfall eines Datenmissbrauchs stets einhergehenden - Kontrollverlust. Erforderlich ist vielmehr ein konkreter, tatsächlicher und darüberhinausgehender Schaden. Die von der Klägerin vorgetragenen Sorgen und Ängste um ihre erhöhte Risikoanfälligkeit sind innere Vorgänge, die unter Heranziehung von Beweiszeichen objektiver Art näher darzulegen sind (vgl. LG Mainz GRUR-RS 2024, 42662 Rn. 28; OLG Hamm GRUR 2023, 1791). Alltägliche, negative Empfindungen allein begründen keinen ersatzfähigen (psychischen) Schaden. Der Vortrag der Klägerin, sie erhielte seit dem Vorfall vermehrt unerwünschte Anrufe, SMS sowie Spam-E-Mails, ist unschlüssig, da sie eine Betroffenheit dieser Datentypen bereits nicht hinreichend darlegt und derartige Kontaktversuche - wie allgemein bekannt - auch anlasslose, unregelmäßige Vorkommnisse des Alltags sein können. Es entspricht der allgemeinen Lebenswirklichkeit, dass man von derartigen Kontaktversuchen betroffen ist. Im Übrigen hat die Klägerin auch nicht vorgetragen, ihre E-Mail oder Telefonnummer in Reaktion hierauf ausgetauscht, oder ihr Verhalten im Internet anderweitig angepasst zu haben, was diese Vorfälle - als objektives Beweiszeichen - hätte plausibilisieren können.

In der Folge besteht auch kein Zinsanspruch.

Der Klageantrag zu 2) ist bereits unzulässig. Er ist weder hinreichend bestimmt noch besteht ein Feststellungsinteresse.

Ein Klageantrag ist i.S.v. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, VersR 2021, 795 Rn. 15). Dabei ist die Verwendung auslegungsbedürftiger Begriffe im Klageantrag zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteile vom 2. Juni 2022 - I ZR 140/15, BGHZ 234, 56 Rn. 26; vom 9. September 2021 - I ZR 113/20, GRUR 2021, 1425 Rn. 12 mwN). Bei einem - wie vorliegend - auf Vornahme einer Handlung gerichteten Antrag muss deren Art und Umfang bestimmt bezeichnet sein (Anders, in: Anders/Gehle, ZPO, 83. Aufl. 2025, § 253 Rn. 48).

Daran gemessen ist der Klageantrag zu 1) nicht hinreichend bestimmt. Die begehrte Feststellung bezieht sich auf die Verpflichtung, den „unbefugten Zugriff Dritter (…) zu verhindern“. Es ist jedoch auch unter Zugrundelegung des Vortrages der Klägerin nicht ersichtlich, in welchen Fällen konkret von einem unbefugten Zugriff durch Dritte auszugehen ist und welche Voraussetzungen eine „geeignete Datentransfer Software“ dementsprechend zu erfüllen hätte. Dies gilt insbesondere vor dem Hintergrund, dass die DSGVO ein risikobasiertes Maßnahmenkonzept vorschreibt und gerade nicht die Beseitigung jedweden Risikos von Verletzungen der personenbezogenen Daten verlangt (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Der Klageantrag lässt sich damit nicht in einer Weise auslegen, dass die Klägerin eine nach Art und Umfang hinreichend bestimmte Handlung begehrt, was den Streit in unzulässiger Weise in die Zwangsvollstreckung verlagern würde (vgl. zum Begriff „unbefugter Dritter“ auch BGH, Urteil v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910, Rn. 56, 58).

Überdies ist der Klageantrag zu 2) auch mangels Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO unzulässig. Ein Interesse an der Feststellung einer Ersatzpflicht für künftige Schäden rein materieller Art - wie sie die Klägerin vorliegend mit dem Antrag zu 2) geltend macht - hängt von der Wahrscheinlichkeit des ausstehenden Schadenseintritts ab (OLG Brandenburg BeckRS 2020, 42937 Rn. 3). Ist hingegen bei verständiger Würdigung des Einzelfalls nicht mit dem Eintritt eines künftigen Schadens zu rechnen, so ist bereits eine derartige Möglichkeit zu verneinen (OLG Hamm GRUR 2023, 1793, 1803 Rn. 192ff.). Die Klägerin hat vorliegend keine Umstände vorgetragen, die den Eintritt künftiger Schäden über eine bloß theoretische Befürchtung hinaus wahrscheinlich werden lassen. Die Sicherheitslücke konnte durch ein Herstellerupdate am 02.06.2023 behoben werden. Seit dem knapp 2 ½ Jahre zurückliegenden Vorfall vom 31.05.2023 hat die Klägerin keine materiellen Schäden erlitten. Dabei verringert sich eine solche Möglichkeit stetig mit fortschreitendem Zeitablauf (OLG Köln GruR-RS 2023, 36757 Rn. 54). Die pauschalen Ausführungen der Klägerin zu hypothetisch erhöhten Risiken - die sich teilweise auf Daten beziehen, die dem Angriff bereits nicht anheimfielen - ändern hieran nichts. Gegen die Annahme, dass die Klägerin selbst mit künftigen Vermögensschäden rechnet, spricht auch, dass die Klägerin nicht vorträgt, entsprechende Schutzvorkehrungen getroffen zu haben, etwa durch Änderung ihrer Rufnummer, E-Mail-Adresse oder Bankverbindung. Schließlich trägt die Klägerin selbst vor, zum jetzigen Zeitpunkt noch nicht absehen zu können, welche Folgen durch die entwendeten persönlichen Daten eintreten werden.

Den Volltext der Entscheidung finden Sie hier: