Mit Beschluss vom 7. April 2026 hat der 3. Zivilsenat des Oberlandesgerichts Rostock (Az. 3 W 62/25) die Konturen einstweiligen Rechtsschutzes nach einem Hackerangriff auf Social-Media-Konten in mehreren Punkten geschärft: Er bejaht den Verfügungsanspruch auf Wiedereinräumung des Zugangs aus § 241 Abs. 2 BGB, akzeptiert den Verfügungsgrund regelmäßig schon aufgrund der bloßen Tatsache des Hackerangriffs, begrenzt aber zugleich die zulässige Eilmaßnahme auf eine sichernde Sperre und schiebt das auf vollständige Zugangswiederherstellung gerichtete Begehren als unzulässige Vorwegnahme der Hauptsache beiseite.
Praktisch ebenso bedeutsam ist die Kostenentscheidung: Ein in Deutschland ansässiger Nutzer, der lediglich eine englischsprachige E-Mail mit Bearbeiternummer erhält und auf anwaltliche Fristsetzung mit Schweigen bedacht wird, hat dem Anbieter unter dem Rechtsgedanken des § 93 ZPO Veranlassung zum Eilantrag zu geben.
Sachverhalt
Die Antragstellerin, in Deutschland ansässige Nutzerin zweier Social-Media-Konten, verlor durch einen Hackerangriff am 23. August 2024 die Zugriffsmöglichkeit auf ihre Profile. Die Plattformbetreiberin versetzte eines der Konten am selben Tag in einen sogenannten Checkpoint, teilte der Antragstellerin am 30. August 2024 ausschließlich auf Englisch eine Bearbeiternummer mit und reagierte auf das anwaltliche Aufforderungsschreiben mit Fristsetzung bis zum 3. September 2024 nicht mehr.
Die Antragstellerin leitete am 9. September 2024 das Verfügungsverfahren ein, das die Parteien später übereinstimmend für erledigt erklärten. Das Landgericht Rostock hatte der Antragstellerin in seinem Beschluss vom 7. April 2025 sämtliche Kosten auferlegt; auf ihre sofortige Beschwerde quotelte der Senat sie nun zu 1/3 zu Lasten der Antragstellerin und 2/3 zu Lasten der Antragsgegnerin.
Verfügungsanspruch aus § 241 Abs. 2 BGB
Den dogmatischen Anker für den Verfügungsanspruch verortet der Senat in den Leistungssicherungs- und Schutzpflichten des § 241 Abs. 2 BGB, ohne sich auf eine bestimmte Vertragstypenzuordnung des Plattformnutzungsvertrags festzulegen. Diese Argumentation ist überzeugend, weil sie die seit Jahren ungeklärte Einordnung des Nutzungsverhältnisses – ob Dienst-, Werk- oder Vertrag sui generis – elegant umgeht: Unabhängig von der Typusfrage muss der Plattformbetreiber die Nutzbarkeit sämtlicher Funktionen sicherstellen, woraus der korrespondierende Anspruch des Nutzers folgt. Greift ein Dritter durch Hacking auf das Konto zu, kann der Nutzer das Zugriffshindernis aus tatsächlichen Gründen nicht eigenständig beheben; die Leistungssicherungspflicht des Anbieters verdichtet sich deshalb zur Mitwirkungsverpflichtung bei der Wiederherstellung.
Parallel hierzu zieht der Senat die Schutzpflichtkomponente heran: Die Übernahme eines Benutzerkontos durch einen Hacker enthebt den Nutzer der Kontrolle über die unter seiner Identität publizierten Inhalte und gefährdet damit unmittelbar seine höchstpersönlichen wie vermögensrechtlichen Rechtsgüter. Diese doppelte Verankerung – Leistungssicherung und Schutzpflicht – ist methodisch wertvoll, weil sie den Anspruch gegen jede Einwendung absichert, die einzelne Pflichtaspekte zu relativieren versuchte.
Hack als selbsttragendes Indiz?
Bemerkenswert klar positioniert sich der Senat zur Frage des Verfügungsgrundes. Anders als das Landgericht, das das Risiko der Antragstellerin als „rein spekulativ“ eingeordnet hatte, betrachtet der Senat die feindliche Übernahme eines Accounts als selbsttragendes Indiz für drohende Rechtsgüterverletzungen. Wer ein Konto kapere, handle „kaum aus lauteren Motiven“; vielmehr indiziere die Übernahme geradezu eine Nutzung zu Zwecken, mit denen der Hacker selbst nicht in Erscheinung treten wolle – sei es zur Verbreitung rechtsverletzender Inhalte, sei es zur Kontaktaufnahme mit dem Netzwerk des Opfers unter dessen Identität.
Mit dieser Bewertung verlagert der Senat den Schwerpunkt der Eilbedürftigkeitsprüfung von einem aktiven Nachweis konkret drohender Schäden hin zu einer typisierenden Risikobetrachtung, die der Eilcharakter digitaler Übergriffe verlangt. Wer als Verteidiger der Anbieter argumentieren wollte, der Nutzer könne die Hauptsacheentscheidung abwarten, muss damit künftig konkrete Anhaltspunkte für die Harmlosigkeit des Übernahmeszenarios darlegen – eine Last, die er in der Regel nicht wird tragen können.
Sicherung versus Befriedigung
Den theoretisch wie praktisch bedeutsamsten Abschnitt widmet der Senat dem Verbot der Vorwegnahme der Hauptsache. Eine Leistungsverfügung, die den vollen Zugang zum Profil wiederherstellt, ist nur zulässig, wenn das Unterbleiben zu einer irreparablen Schädigung führt und keine mildere Maßnahme die Rechtsstellung des Antragstellers ausreichend sichert. Diese subsidiäre Prüfung ergibt nach Auffassung des Senats, dass die generelle Sperrung der Benutzerkonten – auch und gerade gegenüber den Hackern – als sichernde Maßnahme genügt, um den drohenden Rechtsgüterverletzungen wirksam zu begegnen.
Das weitergehende Interesse der Antragstellerin, sich einen Überblick über die unter ihrer Identität getätigten Veröffentlichungen und Kontakte zu verschaffen, betrifft nach Auffassung des Senats die nachträgliche Aufarbeitung möglicher Rechtsverstöße und begründet kein Eilbedürfnis, das nur durch sofortige Zugangswiederherstellung gestillt werden könnte. Methodisch instruktiv ist die saubere Trennung zweier Schutzgüter: Die Verhinderung weiterer Schädigung durch Hacker erfordert lediglich Sperrung; die Aufarbeitung bereits eingetretener Schädigung kann der Hauptsache vorbehalten bleiben. Diese Differenzierung wird in der Verteidigerpraxis künftig den Schwerpunkt bilden, denn sie verlangt, das Eilbegehren von vornherein auf das Sicherungsminus zuzuschneiden, um nicht in das prozessuale Teilunterliegen hineinzulaufen.
Antragsbindung und das aliud-minus-Problem
Dogmatisch elegant löst der Senat die naheliegende Frage, ob das Gericht über § 938 Abs. 1 ZPO eigenständig auf eine mildere Sicherungsmaßnahme „umstellen“ darf. Bei einer Leistungsverfügung gilt die strenge Bindung des § 308 Abs. 1 Satz 1 ZPO an den nach § 253 Abs. 2 Nr. 2 ZPO bestimmten Antrag; die freie Ermessensausübung nach § 938 Abs. 1 ZPO ist insoweit gesperrt. Der Senat löst diesen Konflikt durch die Einordnung der Sicherungssperre als minus gegenüber der beantragten Zugangswiederherstellung, nicht als aliud. Konsequent kann das Gericht die Sperre zusprechen, muss aber im Übrigen die Antragsteilabweisung mit dem Kostenfolge des § 92 Abs. 1 ZPO verknüpfen – im Streitfall mündete dies in eine 1/3-zu-2/3-Quotelung zugunsten der Antragstellerin.
Für die Antragsformulierung folgt daraus eine deutliche Empfehlung: Wer als Verteidiger der Nutzerseite das Kostenrisiko minimieren will, sollte die Sicherungssperre primär und die Vollwiederherstellung nur hilfsweise oder als kumulativen Annexantrag stellen. Wer pauschal auf Wiedereinräumung des Zugangs klagt, riskiert die Kostenteilung, auch wenn er materiell in der Sache obsiegt.
Veranlassung durch unzureichende Kommunikation
Praktisch besonders folgenreich ist die Kostendogmatik zur Frage, wann der Anbieter dem Nutzer trotz bereits ergriffener interner Sicherungsmaßnahmen Veranlassung zum Eilantrag gibt. Der Senat überträgt den Rechtsgedanken des § 93 ZPO auf die Konstellation übereinstimmender Erledigungserklärungen und billigt eine Kostenpflicht des Anbieters, wenn dieser durch mangelnde Information die Einleitung des gerichtlichen Verfahrens veranlasst hat. Die ausschließlich englischsprachige E-Mail mit bloßer Bearbeiternummer genügt diesem Maßstab nicht: Bei einem in Deutschland ansässigen Nutzer kann kein umfassendes Verständnis englischer Texte unterstellt werden.
Hinzu kommt die fehlende Reaktion auf die anwaltliche Fristsetzung. Der Senat hält der Antragsgegnerin entgegen, dass sie die sechs Tage zwischen Fristsetzung und Antragseinreichung ungenutzt verstreichen ließ, obwohl sie das Konto bereits Tage zuvor in den Checkpoint versetzt hatte – ein Verhalten, das beim Nutzer keinerlei Anhaltspunkte für eine kurzfristige Erledigung erkennen ließ. Die feinsinnige Auseinandersetzung mit dem genauen Wortlaut der E-Mail – „you might not receive a response“ versus eine sichere Antwortzusage – verdeutlicht, dass der Senat von international agierenden Anbietern eine sprachlich und inhaltlich klare Kommunikation in der Sprache des Marktes erwartet, in dem sie ihre Dienste anbieten.
Bewertung und Praxisfolgen
Die Entscheidung verdichtet die zivilrechtliche Bewältigung von Account-Übernahmen zu einem klar konturierten Drei-Komponenten-Schema: materieller Wiedereinräumungsanspruch aus § 241 Abs. 2 BGB, dringlichkeitsindizierender Hackerangriff und subsidiäre Sicherungssperre als prozessuales Vehikel. Für die Beratungspraxis bedeutet das eine erhebliche Erleichterung des Eilrechtsschutzes, weil weder die schwierige Vertragstypenzuordnung noch der Nachweis konkret drohender Schäden zur Begründungslast wird. Zugleich verlangt die Entscheidung präzise Antragsarbeit: Das Sicherungsminus muss antragstechnisch priorisiert werden, um die § 92 ZPO-Quote zu vermeiden.
Für Plattformbetreiber resultiert daraus eine deutliche Compliance-Botschaft. Wer auf dem deutschen Markt agiert, muss bei sicherheitsrelevanten Ereignissen in deutscher Sprache und mit substantiellem Informationsgehalt kommunizieren; eine algorithmisch generierte englische Bearbeiternummer wird in der Kostenrechtsprechung künftig regelmäßig als veranlassungsbegründend gewertet werden. Die nun in mehreren Oberlandesgerichten konvergierende Linie – wer schweigt oder unverständlich antwortet, zahlt – dürfte das gerichtliche Vorgehen gegen Plattformen für Betroffene nachhaltig erleichtern und zugleich den ökonomischen Druck auf die Anbieter erhöhen, ihre Account-Recovery-Prozesse zu professionalisieren.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.