Vortrag von Rechtsanwältin Sabine Sobola zum Thema "NIS-2-Schulung für Geschäftsleitung und Top-Management - Kontext der NIS-2-Regulierung, Pflichten für die Geschäftsleitung, Risikoanalyse und Risikomanagementmaßnahmen nach § 38 BSIG" im Rahmen einer Veranstaltung der Haufe Akademie am 15.01.2026.
Urteil des EuGH vom 18.12.2025, Az. C‑422/24
Sachverhalt:
SL erbringt öffentliche Personenverkehrsdienste in Stockholm. Das Unternehmen hat seine Fahrkartenkontrolleure mit Körperkameras ausgestattet, die eingesetzt werden, um Fahrgäste zu filmen, die bei der Fahrkartenkontrolle über keinen gültigen Fahrschein verfügen und denen mithin eine Strafgebühr auferlegt wird. Der Einsatz dieser Kameras hat die Verhinderung und Dokumentation von Drohungen und Gewalt gegen die Kontrolleure sowie die Feststellung der Identität von Fahrgästen, die eine Strafgebühr zahlen müssen, zum Ziel.
Im Rahmen ihrer Aufsichtstätigkeit überprüfte die Behörde, ob die von SL mit den Körperkameras vorgenommene Verarbeitung personenbezogener Daten in Übereinstimmung mit den Vorschriften der DSGVO erfolgte. Im Juni 2021 erließ die Behörde eine Entscheidung, aus der hervorgeht, dass die Kontrolleure diese Kameras während ihrer gesamten Schicht tragen und dass die Kameras durchgehend Filme mit Bild und Ton aufnehmen.
Die Kameras verfügen über einen sogenannten Ringspeicher, was bedeutet, dass automatisch nach einer bestimmten Zeit das gesamte Aufnahmematerial entfernt wird. Nach der Entfernung wird das aufgezeichnete Material gelöscht – und zwar innerhalb einer Minute. Die Fahrkartenkontrolleure können jedoch per Knopfdruck die automatische Entfernung abbrechen und so sicherstellen, dass die Aufzeichnung nicht gelöscht wird. In diesem Fall werden auch die in der Kamera gespeicherten Information mittels der Voraufzeichnungstechnik gespeichert, mit der Informationen während der dem Knopfdruck durch den Kontrolleur vorausgehenden Minute aufgezeichnet werden. Die Fahrkartenkontrolleure sind angewiesen, in allen Situationen, in denen eine Strafgebühr erhoben wird, sowie überdies in Bedrohungssituationen die automatische Entfernung zu unterbrechen.
Über diese den Einsatz und die Funktion der Körperkameras betreffenden Feststellungen führte die Behörde in ihrer Entscheidung aus, dass SL von Dezember 2018 bis zum Zeitpunkt der Entscheidung der Behörde im Juni 2021 mit dem Einsatz der Körperkameras im Rahmen der Fahrkartenkontrollen unter Verstoß gegen mehrere Bestimmungen der DSGVO personenbezogene Daten verarbeitet habe. SL habe es unter Missachtung von Art. 13 DSGVO versäumt, die betroffenen Personen hinreichend zu informieren. Deshalb verhängte die Behörde gegen SL eine Geldbuße von insgesamt 16 Mio. schwedischen Kronen (SEK) (rund 1 420 670 Euro), wobei 4 Mio. SEK (etwa 355 188 Euro) die mangelnde Unterrichtung der betroffenen Personen betrafen.
Das vorlegende Gericht wollte klargestellt haben, ob Art. 13 oder Art. 14 DSGVO anwendbar sei, wenn personenbezogene Daten mittels einer Körperkamera erhoben würden. Die Antwort hierauf sei in zweierlei Hinsicht erforderlich. Zum einen müsse bestimmt werden, welche Informationen der betroffenen Person bereitzustellen seien, zu welchem Zeitpunkt dies zu geschehen habe und welche Ausnahmen von der Informationspflicht bestünden. Zum anderen müsse festgestellt werden, ob die Behörde berechtigt gewesen sei, gegen SL eine Geldbuße wegen Verstoßes gegen die Informationspflicht aus Art. 13 DSGVO zu verhängen.
Sodann sei auch nicht klar, inwieweit die zwischen den Art. 13 und 14 DSGVO hinsichtlich des Umfangs der Informationspflicht bestehenden Unterschiede bei der Beurteilung dessen, welche dieser Vorschriften auf eine bestimmte Art der Erhebung personenbezogener Daten anzuwenden sei, berücksichtigt werden müssten. Insoweit verträten die Parteien des Rechtsstreits unterschiedliche Auffassungen dazu, welche Schlussfolgerung aus diesen Unterschieden zu ziehen ist.
Schließlich stellt sich dem vorlegenden Gericht die Frage, welche Bedeutung den Leitlinien für Transparenz gemäß der Verordnung (EU) 2016/679 vom 29. November 2017 – in ihrer von der nach Art. 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31) eingesetzten Arbeitsgruppe am 11. April 2018 überarbeiteten Fassung – beizumessen sei; nach Rn. 26 dieser Leitlinien sei Art. 13 DSGVO auf Videoüberwachungen anwendbar.
Daher hat der Högsta förvaltningsdomstol (Oberstes Verwaltungsgericht) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Frage zur Vorabentscheidung vorzulegen:
Ist Art. 13 oder Art. 14 DSGVO anwendbar, wenn personenbezogene Daten mittels einer am Körper getragenen Kamera erhoben werden?
Aus den Entscheidungsgründen: Werden die Daten bei der betroffenen Person erhoben, greift Art. 13 DGSVO. Werden die die Daten nicht bei der betroffenen Person erhoben, gilt Art. 14 DSGVO. Dann muss der Verantwortliche der betroffenen Person mitteilen, aus welcher Quelle die personenbezogenen Daten stammen. Art. 14 DSGVO gilt also, wenn die Daten bei einer anderen als der betroffenen Person „erhobenen“ werden und auch für solche Daten, die der Verantwortliche selbst aus solchen Daten erzeugt.
Auf die Erhebung personenbezogener Daten mittels einer Bodycam ist also Art. 13 DSGVO anzuwenden, da die Daten bei dieser Fallgestaltung nicht von einer anderen Quelle als der betroffenen Person, sondern unmittelbar von dieser selbst erlangt werden.
Zur konkreten Umsetzung des Art. 13 DSGVO macht der EuGH klar, dass die Infopflichten nicht alle direkt erteilt werden müssen. Um ein hohes Schutzniveau der Grundfreiheiten und der Grundrechte natürlicher Personen zu gewährleisten, ist es auch möglich, dass Informationen nach. Art 13 DSGVO auch in mehreren Ebenen erteilt werden können. Diese Umsetzung war in der Praxis bisher durchaus anerkannt. Nun hat der EuGH, mit Verweis auf die Ansicht des EDSA, dieses Vorgehen bestätigt und dieses zusätzlich als mit den Vorgaben der DGSVO vereinbar bestätigt.
„dass die Informationspflichten nach Art. 13 DSGVO, …, im Rahmen eines gestuften Verfahrens erfüllt werden.“
Ganz konkret verweist der EuGH auf die Leitlinien 3/2019 des EDSA. Gemäß diesen Leitlinien können auf einer ersten Ebene die für die betroffene Person wichtigsten Informationen auf einem Hinweisschild angezeigt werden, und auf einer zweiten Ebene können die weiteren obligatorischen Informationen in geeigneter und vollständiger Weise an einem leicht zugänglichen Ort zur Verfügung gestellt werden.
Leider ging der EuGH nicht darauf ein, welche Informationen der EuGH als zwingend für die erste Ebene ansieht. Wir meinen, dass man hier mit Verweis auf den EDSA ableiten kann, dass er dessen Vorschläge zur Aufteilung der Informationen gutheißt.
Stand: 07.01.2026
Seit dem 08.06.2000 gibt es die RICHTLINIE 2000/31/EG DES EUROPA¨ ISCHEN PARLAMENTS UND DES RATES über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere
des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen
Geschäftsverkehr“). In Art. 12 bis 15 der Richtlinie sind die Haftungsregeln für Vermittler von Online-Diensten, speziell die Haftungsprivilegien für reine Durchleitungsdienste (Art. 12), Caching-Dienste (Art. 13) und Hosting-Dienste (Art. 14) geregelt und die Klarstellung, dass es keine allgemeine Überwachungspflicht für diese Dienste gibt (Art. 15). Sie definieren, ab wann Dienstanbieter für rechtswidrige Inhalte Dritter haften. Das ist in aller Regel erst der Fall, sobald sie aktive Kenntnis davon haben und nicht schnell reagieren und die Inhalte entfernen (Notice-and-Take-Down-Verfahren)
Hierzu gibt es umfangreiche Rechtsprechung des BGH und EuGH.
Zudem wurden die großen Plattformbetreiber über den Digital Services Act (DSA) in die Pflicht genommen. Der DSA schafft EU-weit einheitliche Regeln für Online-Plattformen, um illegale Inhalte wie Hassrede und Falschinformationen effektiver zu bekämpfen, die Transparenz bei der Moderation zu erhöhen und die Rechte der Nutzer (z.B. Meinungsfreiheit, Datenschutz) zu stärken, insbesondere durch mehr Verantwortung für sehr große Plattformen und strengere Regeln für den Schutz Minderjähriger. Er verpflichtet Plattformen zu Risikobewertungen, Beschwerdemechanismen und Transparenz über Algorithmen und Werbung. Schwere Verstöße können mit hohen Bußgeldern geahndet werden.
Sachverhalt:
Russmedia Digital betreibt die rumänische Anzeigenplattform publi24.ro. Am 1. August 2018 veröffentlichte eine unbekannte Person dort eine offensichtlich falsche und rufschädigende Anzeige, in der die Klägerin fälschlich als Anbieterin sexueller Dienstleistungen dargestellt wurde. Die Anzeige enthielt Fotos und Telefonnummer der Klägerin ohne deren Einwilligung und wurde später unverändert auf anderen Websites weiterverbreitet. Russmedia löschte die Anzeige innerhalb einer Stunde nach der Meldung durch die Klägerin, konnte die weitere Verbreitung auf Drittseiten jedoch nicht verhindern.
Die Klägerin klagte wegen Verletzung ihres Rechts am eigenen Bild, ihres guten Rufs und ihrer Privatsphäre sowie wegen rechtswidriger Verarbeitung personenbezogener Daten. Das Gericht erster Instanz sprach ihr 7.000 Euro Schadensersatz zu. Die nächste Instanz hob dieses Urteil jedoch auf und gewährte Russmedia die Haftungsbefreiung für Hostingdienste nach Art. 14 des rumänischen E-Commerce-Gesetzes, da Russmedia den Inhalt nicht selbst erstellt habe und nach Kenntnisnahme rasch tätig geworden sei. Die Klägerin legte Berufung ein und argumentierte u. a., dass die DSGVO hätte angewendet werden müssen und Russmedia eine aktiv verwaltende Rolle bei der Veröffentlichung von Anzeigen spiele (u.a. lässt sie sich die Nutzungsrechte an den Inhalten einräumen!), weshalb die Haftungsprivilegierung nicht gelten könne. Zudem hafte Russmedia für eine rechtswidrige Veröffentlichung personenbezogener Daten ohne Einwilligung und dafür, dass ihre Plattform grundsätzlich die Veröffentlichung beliebiger Inhalte ermögliche, ohne deren Sicherheit oder Löschbarkeit zu gewährleisten. Russmedia stützt sich auf sein Haftungsprivileg aus der Richtlinie über den elektronischen Geschäftsverkehr.
Das Berufungsgericht legte den Fall dem EuGH vor und wollte insbesondere klären:
•wo liegen die Grenzen der Haftungsbefreiung für Online-Plattformen nach der Richtlinie 2000/31/EG (E-Commerce-Richtlinie)?
•Sind Plattformen auch ohne vorherige Meldung zur Löschung offensichtlich rechtswidriger und schwer rufschädigender Inhalte verpflichtet?
•welche Rolle spielt es, dass die Anzeige ohne Identitätsprüfung oder Einwilligung der Klägerin veröffentlicht wurde?
•wie ist es zu beurteilen, dass der Inhalt trotz Löschung auf Drittseiten weiter verbreitet blieb?
•Welche Rolle es spielt, dass Russmedia sich laut eigenen Nutzungsbedingungen weitreichende Rechte an den Anzeigeninhalten vorbehält (u. a. Kopieren, Verbreiten, Ändern, Entfernen)?
EuGH-Urteil mit Grundsatzaussage:
Betreiber von Online-Marktplätzen sind hinsichtlich der Verarbeitung personenbezogener Daten, die in auf dem Online-Marktplatz veröffentlichten Anzeigen enthalten sind, als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO anzusehen. Bei sensiblen Daten müssen die Vorgaben des Art. 9 eingehalten werden. Eine Privilegierung nach Art. 12 bis 15 der Richtlinie über den elektronischen Geschäftsverkehr greift insofern nicht.
Zusammengefasster Leitsatz:
1.Ein Online-Marktplatz ist für die in Nutzeranzeigen enthaltenen personenbezogenen Daten datenschutzrechtlich verantwortlich.
2.Er muss vor Veröffentlichung prüfen, ob Anzeigen sensible Daten enthalten, feststellen, ob der Inserent selbst die betroffene Person ist, und die Anzeige zurückweisen, wenn dies nicht zutrifft – außer der Inserent weist eine ausdrückliche Einwilligung oder eine andere Ausnahme nach Art. 9 Abs. 2 DSGVO nach.
3.Des Weiteren muss der Betreiber geeignete technische und organisatorische Maßnahmen treffen, um zu verhindern, dass Anzeigen mit sensiblen Daten kopiert und unrechtmäßig weiterverbreitet werden.
4.Der Marktplatzbetreiber kann sich bei Datenschutzverstößen nicht auf die Haftungsprivilegien der E-Commerce-Richtlinie (Art. 12–15) berufen.
Stand: 10.12.2025
Vortrag von Rechtsanwältin Sabine Sobola zum Thema "NIS-2 für die Geschäftsleitung, Management und Leitungsebene - Alles Wissenswerte für die Praxis und Theorie" im Rahmen einer Veranstaltung der Haufe Akademie am 01.12.2025.
Vortrag von Rechtsanwältin Sabine Sobola zum Thema "„KI und Recht: ChatGPT, Midjourney und Co. - Was ist rechtlich erlaubt“ im Rahmen einer Veranstaltung der VHS Regensburg am 28.11.2025 in Regensburg.
Online-Vortrag von Rechtsanwältin Sabine Sobola zum Thema „NIS-2 für Datenschutzbeauftragte und Datenschutzkoordinatoren: Die neuen gesetzlichen Vorgaben im IT-Sicherheitsrecht aus Datenschutzsicht –NIS-2, NIS2UmsuCG und CRA" im Rahmen einer Veranstaltung der TÜV Nord Akademie am 25.11.2025.
Online-Seminar von Rechtsanwältin Sabine Sobola zum Thema "NIS 2-Richtlinie und NIS2UmsuCG - Rechtliche Neuausrichtung in der IT" im Rahmen einer Veranstaltung der Haufe Akademie am 18.11.2025.
Vortrag von Rechtsanwältin Sabine Sobola im Rahmen der "Ausbildung zu zertifizierten fachkundigen IT-Sicherheitsbeauftragten (IT-Security Manager)" bei der Ulmer Akademie für Datenschutz und IT-Sicherheit (udis) am 10.-11.11.2025 in Ulm.
Urteil des BAG zu § 26 BDSG (Beschäftigtendatenschutz) vom 8. Mai 2025 – 8 AZR 209/21
Zum Sachverhalt:
Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit „Workday“ als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, ua. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.
Am 3. Juli 2017 unterzeichneten die Beklagte und der bei ihr bestehende Betriebsrat eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“ (im Folgenden BV Duldung), mit der sie den vorläufigen Betrieb von Workday regelten. Nach der BV Duldung war es ua. untersagt, die Software während des Testzeitraums für die Personalverwaltung zu verwenden. Weiter war dort vereinbart, dass vor der Einführung des Systems als Produktivsystem eine Betriebsvereinbarung abgeschlossen werden muss, die die Anwendung von Workday regelt. In der Anlage 2 zur BV Duldung wurden die zur testweisen Nutzung der Software Workday aus der Personalverwaltungs-Software zu übermittelnden Daten aufgelistet: Personalnummer, Nachname, Vorname, Eintrittsdatum, Eintrittsdatum im Konzern, Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse. Die Wirkungen der BV Duldung wurden bis zum Inkrafttreten einer unter dem 23. Januar 2019 im Rahmen eines Einigungsstellenverfahrens geschlossenen endgültigen Betriebsvereinbarung mehrfach verlängert.
Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO immaterieller Schadenersatz in einer Größenordnung von 3.000,00 Euro zu. Der Beklagten sei es nach der Datenschutz-Grundverordnung und den einschlägigen Bestimmungen des Bundesdatenschutzgesetzes nicht erlaubt gewesen, im Zeitraum vom 25. Mai 2018 bis zum Ende des ersten Quartals 2019 im cloudbasierten Personal-Informationsmanagementsystem Workday personenbezogene Echtdaten zu verarbeiten. Die Datenverarbeitung sei nicht zu Testzwecken für den späteren Betrieb von Workday als konzernweit einheitliches Personal-Informationsmanagementsystem erforderlich gewesen. Vielmehr hätten für die Testphase sog. Dummy-Versuchsdaten ausgereicht. Die Beklagte habe im Übrigen über die in der BV Duldung und deren Anlagen genannten Datenkategorien hinausgehend auch weitere Daten wie seine privaten Kontaktdaten, Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer-ID, seine Staatsangehörigkeit und seinen Familienstand übermittelt. Soweit der Kläger zunächst auch beanstandet hatte, es sei überdies nicht rechtmäßig gewesen, seine personenbezogenen Daten auf eine Sharepoint-Seite der Konzernobergesellschaft mit Server-Standort in den USA zu übertragen und er insoweit Verstöße gegen Art. 28 und Art. 44 ff. DSGVO behauptet hatte, hat er sich darauf im Revisionsverfahren ausdrücklich nicht mehr berufen. Zuletzt hat sich der Kläger ausschließlich noch darauf gestützt, dass die Beklagte personenbezogene Daten verarbeitet habe, die von der BV Duldung nicht erfasst gewesen seien.
Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22. September 2022 (- 8 AZR 209/21 (A) – BAGE 179, 120) hatte der Senat das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19. Dezember 2024 (- C-65/23 – [K GmbH]) beantwortet.
Zum Ergebnis: Die Revision des Klägers hatte vor dem Achten Senat des Bundesarbeitsgerichts teilweise Erfolg. Der Kläger hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO iHv. 200,00 Euro. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutz-Grundverordnung. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.
Ergebnis:
1. Schadensersatz in Höhe von EUR 200,- gerechtfertigt wegen Kontrollverlusts
2. Das BAG findet, § 26 Satz 1 ist DSGVO-widrig und daher „nicht anzuwenden“
3. Tests können mit echten Beschäftigtendaten vorgenommen werden, müssen sich dann aber auf Art. 6 Abs. 1 lit. f DSGVO stützen
Stand: 15.10.2025
Die Beklagte (ein Telekommunikationsunternehmen) verwendet in ihren Allgemeinen Geschäftsbedingungen unter anderem folgende Klauseln:
"7. Sperre
7.1Der Diensteanbieter darf Sprachkommunikationsdienste und Internetzugangsdienste nach Maßgabe des § 61 TKG ganz oder teilweise sperren. […]
8. Verpflichtung und Haftung des Kunden
8.5Der Kunde hat dem Diensteanbieter eine missbräuchliche Nutzung oder den Verlust der ihm vom Diensteanbieter zur Verfügung gestellten SIM unter Nennung der Rufnummer und des persönlichen Kennwortes zwecks Sperrung der SIM unverzüglich mitzuteilen. Dies kann insbesondere entweder telefonisch bei der Hotline des Diensteanbieters oder elektronisch im Kundenportal erfolgen."
Der klagende Verbraucherschutzverband hält Satz 1 der Klausel Nr. 8.5 für unzulässig. Mit seiner Klage hat er von der Beklagten unter anderem verlangt, die Verwendung dieser sowie fünf weiterer Klauseln zu unterlassen.
Das Landgericht hat der Klage im Hinblick auf zwei Klauseln stattgegeben und sie im Übrigen - auch bezüglich der Klausel Nr. 8.5 - abgewiesen. Das Oberlandesgericht hat das landgerichtliche Urteil auf die Berufung des Klägers teilweise abgeändert und der Klage unter anderem hinsichtlich der Klausel Nr. 8.5 stattgegeben.
Mit der vom Berufungsgericht beschränkt auf diese Klausel zugelassenen Revision verfolgt die Beklagte ihren insoweit gestellten Klageabweisungsantrag weiter.
Die Entscheidung des Bundesgerichtshofs, Urteil vom 23. Oktober 2025 – III ZR 147/24 : Die Revision ist unbegründet. Das Berufungsgericht hat die Klausel zu Recht als gemäß § 307 Abs. 1 Satz 1 BGB unwirksam angesehen. Sie ist so zu verstehen, dass die Beklagte eine Sperre des Anschlusses nur durchführt, wenn auch das Kennwort genannt wird. Dies führt zu einer unangemessenen Benachteiligung der Kunden der Beklagten. Zwar haben beide Seiten ein berechtigtes Interesse daran, dass sich derjenige, der eine SIM-Kartensperre verlangt, als Berechtigter authentifiziert, um Missbräuchen vorzubeugen. Jedoch wird durch das Erfordernis, für eine Sperre zwingend das Kennwort des Kunden zu nennen, dessen berechtigtes Interesse an einer zügigen und unkomplizierten Sperre unzumutbar beeinträchtigt. Vom Mobilfunkkunden kann nicht erwartet werden, angesichts der Vielzahl der im Alltag zu verwendenden Passwörter sämtliche im Gedächtnis zu behalten oder bei Abwesenheit von der Wohnung notiert mit sich zu führen. Der Beklagten ist es hingegen zuzumuten, auch andere Authentifizierungsmöglichkeiten – wie etwa die Beantwortung einer von den Kunden hinterlegten Frage nach persönlichen Umständen – zuzulassen, die einen vergleichbaren Schutz vor einer missbräuchlichen Sperre durch Dritte bewirken, jedoch nicht das Abrufen präsenten Wissens ohne Gedächtnisstütze erfordern
Ergebnis des BGH:Eine AGB-Klausel, nach der für die kundenseitige Sperre einer SIM-Karte neben der Rufnummer das Kennwort angegeben werden muss, ist unwirksam.
Stand: 29.10.2025