VG Berlin, Urteil vom 13.09.2013 – 10 K 333.10

August 7, 2021

Tenor
Die Klage wird abgewiesen.

Die Kosten des Verfahrens trägt die Klägerin.

Das Urteil ist wegen der Kosten gegen Sicherheitsleistung in Höhe von110% des jeweils aus dem Urteil zu vollstreckenden Betrages vorläufig vollstreckbar.

Tatbestand
Die Beteiligten streiten über die Verpflichtung der Beklagten zum Ersatz von Emissionszertifikaten, die der Klägerin in der Folge eines sog. Phishing-Angriffs abhanden gekommen sind.

Die Klägerin, ein mittelständisches Unternehmen der Papierindustrie, nimmt am europäischen Handel mit Emissionszertifikaten teil. Zu diesem Zweck unterhält sie bei der Beklagten als nationaler Registerbehörde ein Registerkonto, in dem die Ausgabe, der Besitz, die Übertragung und die Abgabe von Emissionsberechtigungen verzeichnet werden. Das Emissionshandelsregister wurde zum vorliegend maßgeblichen Zeitpunkt von der bei der Beklagten eingerichteten Deutschen Emissionshandelsstelle (DEHSt) nach Maßgabe der Verordnung (EG) Nr. 2216/2004 über ein standardisiertes und sicheres Registrierungssystem gemäß der Richtlinie 2003/87/EG sowie der Entscheidung 280/2004/EG (RegVO 2004) in der Form einer standardisierten elektronischen Datenbank geführt (§ 14 Abs. 1 S. 1 TEHG (2004)), für deren Funktionsweise im Detail auf das Anlagenkonvolut K 7 der Streitakte Bezug genommen wird. Während die Daten der Kontoinhaber in einem öffentliche Teil des Registers online einsehbar waren, erfolgte der Zugriff der jeweiligen Kontobevollmächtigten der Kontoinhaber auf das Konto sowie auf dessen Funktionen im nicht-öffentlichen Teil des Registers durch die Eingabe des Benutzernamens und eines Passworts. Nach der Anmeldung konnte u.a. online die Anweisung an die kontoführende Stelle erteilt werden, Berechtigungen vom zugehörigen Konto auf das Konto des Erwerbers derselben zu übertragen (§ 16 Abs. 1 Satz 2 TEHG (2004)). Die vorgeschlagenen Transaktionen wurden dabei von der DEHSt zunächst zur Prüfung an das Zentralregister des UN-Klimasekretariats (ITL) und an das Zentralregister der Europäischen Kommission (CITL) übermittelt; nach erfolgreicher Rückmeldung des Zielregisters wurde sodann der Befehl zur Durchführung der Transaktion empfangen und der Vorgang durch Deponierung der Zertifikate auf dem Erwerberkonto abgeschlossen. Der Ablauf erfolgte nach Eingang der Anweisung bis zur Deponierung auf dem Erwerberkonto ausschließlich in automatisierter Form. In Abweichung von diesem Verfahren verfügten die Kontoinhaber zudem über die Möglichkeit, einen sog. zusätzlichen Bevollmächtigten für ihr Konto einzurichten. In diesem Fall konnten die Kontobevollmächtigten Transaktionen lediglich vorschlagen, die vor ihrer Ausführung durch die DEHSt von Seiten des zusätzlichen Bevollmächtigten bestätigt werden mussten. Es bestand ferner die Möglichkeit, sich bei jedem Einloggen und jeder Transaktion vom eigenen Konto automatisch eine E-Mail zusenden zu lassen. Von beiden Optionen machte die Klägerin keinen Gebrauch.

Am 28. Januar 2010 um 8.44 Uhr erhielt der kontobevollmächtigte Mitarbeiter der Klägerin, Herr …, ebenso wie eine Vielzahl weiterer Registerkontoinhaber eine vermeintlich von der Beklagten, tatsächlich von einer unbekannt gebliebenen Person versandte E-Mail mit der Absenderangabe „Hans Frederick – www.register.dehst.de [hans.frederick@tradingprotec-tion.com]“ und der Betreffzeile „Emissionshandelssystem (EU ETS) – Neue Sicherheits-Maßnahme“. In der E-Mail wurde der darin persönlich angesprochene Kontobevollmächtigte der Klägerin aufgefordert, zur Etablierung neuer Sicherheitsstandards ein Sicherheitsupdate zu installieren, welches „zum Schutz des Handels“ einen „100% sicheren Zugang und Schutz für Ihren Benutzer-Account“ mittels eines „128 BIT REVOLVIERENDEN USB SICHERHEITSSCHLÜSSELS“ gewährleisten solle. Die neuen Sicherheitsstandards sollten danach durch das „hochrangige[…] Sicherheitsunternehmen http://www.tradingprotection.com“ bereitgestellt werden, dessen Dienste von der nationalen Registerbehörde in Zusammenarbeit mit der Europäischen Kommission in Anspruch genommen würden. Vermeintlich zum Zwecke der Installation des Sicherheitsupdates enthielt die E-Mail im Einzelnen die Anweisung, die darin aufgeführten Kontodaten zu überprüfen sowie einem angegebenen Link (http://www.tradingprotection.com/EUETS/requestSECURE-key/users77xh5xx6s-ger.htm) zu folgen, um den Computer sodann nach Eingabe eines 10-stelligen Sicherheitscodes auf dem Benutzer-Server zu registrieren und den Sicherheitsschlüssel mit dem Computer zu verknüpfen.

Der Kontobevollmächtigte der Klägerin folgte den in der E-Mail enthaltenen Anweisungen am selben Tag gegen 15.14 Uhr, indem er die in der E-Mail verlinkte Webseite aufrief und dort im Zuge des vermeintlichen Updates seinen Benutzernamen sowie das Passwort für das Betreiberkonto der Klägerin eingab. Gegen 16.30 Uhr desselben Tages erteilten unbekannt gebliebene Personen der Beklagten mit den dergestalt erlangten Zugangsdaten der Klägerin die Anweisung, 42.000 Emissionsberechtigungen (EUA) und 46.000 CER auf zwei dänische Konten zu transferieren. Die Beklagte führte dieses Überweisungsaufträge entsprechend dem oben dargestellten Ablauf nach erfolgter Prüfung durch ITL und CITL aus und transferierte 42.000 der Klägerin zugeteilte EUA auf das dänische Konto eines Unternehmens mit der Firma „Yantra Trading Ltd.“ sowie 46.000 CER auf das dänische Konto eines Unternehmens mit der Firma „Precious MG UG“. Von den dänischen Konten aus wurden die Emissionsberechtigungen und CER etwa drei Stunden später an das in London ansässige Unternehmen „Total Global Steel“, von dort aus über teilweise unbekannt gebliebene Stationen weitertransferiert.

Neben der Klägerin sind sechs weitere Kontoinhaber des nationalen Registers bekannt, die entsprechend den in der E-Mail enthaltenen Anweisungen unter Verwendung des darin enthaltenen Links ihr Passwort preisgaben.

Der Registerführer der DEHSt erhielt erstmals durch eine vom Kundenservice der DEHSt am 28. Januar 2010 um 8.39 Uhr weitergeleitete E-Mail eines Kontoinhabers Kenntnis von der unter dem Namen der DEHSt gesendeten Phishing-E-Mail. Auf die im Laufe des Tages an sie gerichteten Anfragen – etwa 50 per E-Mail und 81 per Telefon – anderer Kontobevollmächtigter teilte die DEHSt diesen mit, dass es sich um eine Phishing-E-Mail handele und empfahl, diese zu löschen. Gegen 10.35 Uhr informierte die DEHSt auch die EU-Kommission und entschied in Absprache mit dieser, das Register zunächst nicht abzuschalten, während das österreichische, das polnische, das norwegische und das niederländische Register nach entsprechenden Phishing-Attacken auf die Kontoinhaber dieser Ländern ab 10 bzw. 11 Uhr vorübergehend geschlossen wurden. Zu einem zwischen den Beteiligten streitigen Zeitpunkt am Nachmittag des 28. Januar 2010 versandte die DEHSt zudem eine Rund-E-Mail an alle Kontobevollmächtigten des nationalen Registers, in dem sie vor der Phishing-E-Mail warnte und auf die erforderlichen Sicherheitsvorkehrungen und mögliche Maßnahmen zur Kontosperrung hinwies.

Unabhängig von der streitgegenständlichen Phishing-Attacke hatte die Beklagte bereits in dem von ihr herausgegebene Nutzerhandbuch (dort Kapitel 32 und 33) Sicherheitshinweise gegeben und u.a. darauf hingewiesen, dass die Nutzer das Sicherheitszertifikat und die Sicherung der Website überprüfen und in E-Mails angebotenen Links generell misstrauen sollen.

Nachdem der Kontobevollmächtigte der Klägerin die Warn-E-Mail vom Nachmittag des 28. Januar am Morgen des 29. Januar 2010 zur Kenntnis genommen hatte, sperrte er um 9.15 Uhr seinen Kontozugang und teilte der DEHSt mit, die Phishing-E-Mail beantwortet zu haben. Bereits um 8.38 Uhr des 29. Januar 2010 erhielt die Beklagte über andere Kontobevollmächtigte Mitteilung über eine von Nichtberechtigten durchgeführte Transaktion von Emissionsberechtigungen. In der Folge sperrte die DEHSt gegen 9 Uhr das deutsche Register für ausgehende Transaktionen und teilte dies den Kontobevollmächtigten unter erneutem Hinweis auf die dargestellten Sicherheitsvorkehrungen mit; am Nachmittag wurde das deutsche Register zudem vom System abgekoppelt, so dass auch keine Transaktionen mehr empfangen werden konnten. Weiterhin meldete die DEHSt dem UN-Register (UNFCCC, ITL) die unberechtigt veranlassten Transaktionen und beantragte deren Rückabwicklung.

Mit ihrer Klage begehrt die Klägerin eine (Rück)Übertragung der abhanden gekommenen Zertifikate bzw. von Zertifikaten gleicher Gattung ersatzweise Geld im Wege der Folgenbeseitigung. Sie ist im Wesentlichen der Auffassung, die Beklagte habe durch die Ausführung der beiden Überweisungen in der Form eines hoheitlicher Eingriffs in ihr Eigentum einen rechtswidrigen Zustand geschaffen, da weder ein entsprechender Auftrag der Klägerin noch eine Vollmacht oder Anscheinsvollmacht zugunsten der die Überweisungsaufträge abgebenden Person vorgelegen habe. Zudem habe die Beklagte unter den gegebenen Umständen allein aufgrund der Eingabe der richtigen Zugangsdaten nicht ohne weitere Nachfrage bei der Klägerin darauf vertrauen dürfen, dass der Überweisungsauftrag von dieser selbst stamme. Dies gelte umso mehr in Anbetracht der der Beklagten seit dem Morgen des 28. Januar 2010 bekannten Phishing-Angriffe und des ungewöhnlichen Umfangs der Transaktion. Auch eine Zurechnung über Art. 66 Abs. 2 RegVO komme nicht in Betracht, da diese Norm lediglich eine Vermutungsregelung begründe, die vorliegend aufgrund der Kenntnis der Beklagten von den Phishing-Angriffen widerlegt sei.

Daneben stehe ihr ein Schadensersatzanspruch aus öffentlich-rechtlichem Benutzungsverhältnis zu, da zwischen ihr und der Beklagten aufgrund der für sie verpflichtenden Nutzung des Emissionshandelsregisters eine Sonderverbindung bestehe. Ihre daraus resultierenden Pflichten habe die Beklagte in mehrfacher Hinsicht verletzt, indem sie das Emissionshandelsregister unzureichend gegen Phishing-Attacken abgesichert und zudem ihre Aufklärungspflichten durch die verspätete Absendung einer Warn-E-Mail verletzt habe. Eine weitere Pflichtverletzung liege in der Ausführung der Transaktion ohne Rückfrage; auch habe die Beklagte im Nachgang der Transaktionen durch die Nichtausschöpfung von Hilfsmöglichkeiten und die unterlassene Rückbuchung Sorgfaltspflichten verletzt.

Die Klägerin beantragt,

die Beklagte zu verurteilen, der Klägerin 46.000 zertifizierte Emissionsreduktionseinheiten (CER) und 29.920 Emissionsberechtigungen (EUA) zu übertragen,

hilfsweise,

die Beklagte zu verurteilen, an sie 1.081.857,60 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 25. September 2010 zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte ist im Wesentlichen der Auffassung, sie habe auf der Grundlage der Zurechnungsnorm des Art. 66 Abs. 2 Satz 1 RegVO 2004 davon ausgehen dürfen, dass es sich bei dem Benutzer, der den Benutzernamen und das zugehörige Passwort eingab, um den Kontobevollmächtigten der Klägerin handelte. Auch im Falle einer wegen Einigungsmängeln unrichtigen rechtsgeschäftlichen Übertragung sei das Register aufgrund seiner Richtigkeitsfunktion ferner nicht unrichtig geworden, so dass kein rechtswidriger Zustand bestehe. Die Wiederherstellung des ursprünglichen Zustands sei zudem weder rechtlich noch tatsächlich möglich, da kein Anspruch auf Rückabwicklung der Transaktion bestehe. Sie habe eine Haftung für Schäden, die durch die Weitergabe der Kontozugangsdaten an Dritte entstehen, im Übrigen wirksam ausgeschlossen. Selbst wenn zunächst Ansprüche der Klägerin bestünden, seien diese zudem aufgrund eines überwiegenden Mitverschuldens auf Seiten der Klägerin vollständig ausgeschlossen, da diese den Absendern der Phishing-E-Mail ihre Zugangsdaten zum Register fahrlässig preisgegeben habe.

Sie ist weiter der Auffassung, dass ein Schadensersatzanspruch wegen Verletzung einer öffentlich-rechtlichen Sonderverbindung schon deshalb nicht bestehe, weil das Registerverhältnis, das sich nicht wesentlich vom Verhältnis zwischen Grundbuchamt und Grundbucheigentümer unterscheide, keine öffentlich-rechtliche Sonderverbindung begründe. Ferner habe sie keine Informations- oder Warnpflichten verletzt, da sie – insbesondere unter Berücksichtigung früher erfolgter Warnungen und Hinweise sowie der Auskunftserteilung auf Anfrage – nicht verpflichtet gewesen sei, bei Bekanntwerden der Phishing-E-Mail alle Nutzer einzelfallbezogen unverzüglich zu warnen. Auch habe sie das Register nicht verspätet gesperrt, da sie nach den Regelungen der Registerverordnung 2004 nur dann zur Aussetzung des Zugangs zu Konten ermächtigt sei, wenn eine Sicherheitsverletzung aufgetreten sei, die die Integrität des Registers gefährde. Diese Voraussetzung habe im Laufe des 28. Januar 2010, als ihr noch keine von Unbefugten vorgenommene Transaktion bekannt gewesen sei, nicht vorgelegen.

Wegen der weiteren Einzelheiten des Sachverhalts wird auf die Streitakte und den Inhalt des Verwaltungsvorgangs der Beklagten Bezug genommen.

Gründe
I. Die Klage ist zulässig.

a) Für den Hauptantrag wie den Hilfsantrag ist der Verwaltungsrechtsweg gemäß § 40 Abs.1 S. 1 VwGO gegeben. Die Sonderzuweisung des § 40 Abs.2 Satz 1 VwGO, nach der für vermögensrechtliche Ansprüche aus Aufopferung sowie für Schadensersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, der ordentliche Rechtsweg gegeben ist, ist nicht einschlägig. Die Klägerin stützt ihr Begehren – den geltend gemachten Anspruch auf Übertragung von Emissionszertifikaten ebenso wie den Zahlungsanspruch – vorrangig auf einen öffentlich-rechtlichen Folgenbeseitigungsanspruch als eigenständigen Anspruch des öffentlichen Rechts.

22Soweit die Klägerin ihre Klage mit Blick auf den Hauptantrag ergänzend auf Schadensersatzansprüche aus öffentlich-rechtlichem Benutzungsverhältnis stützt, für die nach § 40 Abs. 2 Satz 1 VwGO grundsätzlich der ordentliche Rechtsweg gegeben wäre, hat die Kammer auf der Grundlage des § 17 Abs. 2 Satz 1 GVG auch über diesen Klagegrund zu entscheiden. Nach dieser Vorschrift entscheidet das Gericht des zulässigen Rechtswegs den Rechtsstreit unter allen in Betracht kommenden rechtlichen Gesichtspunkten. Dies bedeutet nach dem Willen des Gesetzgebers, dass „das angerufene Gericht den Rechtsstreit grundsätzlich umfassend entscheidet, sofern der zu ihm beschrittene Rechtsweg für einen Klagegrund zulässig ist“ (vgl. dazu Bundestags-Drucks. 11/7030, S. 37; siehe auch Bundesgerichtshof, Urteil vom 25.02.1993 – III ZR 9/92 – Rz. 27; zitiert nach juris-). Eine auf einzelne rechtliche Gesichtspunkte beschränkte Feststellung der Unzulässigkeit des Rechtswegs mit entsprechender Teilverweisung an das zuständige Gericht des zulässigen Rechtswegs ist damit ausgeschlossen (vgl. dazu Bundesverwaltungsgericht, Beschluss vom 19.11.1997 – 2 B 178.96 – Rz. 2; zitiert nach juris). Die Kammer hat auch keinen Anlass, wegen besonderer Sachnähe des geltend gemachten Anspruchs zu einem Amtshaftungsanspruch den Rechtsweg zu den Zivilgerichten für gegeben anzusehen (vgl. dazu für Ansprüche wegen Verschuldens beim Vertragsabschluss: Bundesverwaltungsgericht, Beschluss vom 30. April 2002 – 4 B 72.01 -; zitiert nach juris).

b) Die Klage ist als allgemeine Leistungsklage zulässig. Insbesondere ist das Verwaltungsgericht Berlin sachlich und örtlich zuständig. Dabei kann vorliegend dahinstehen, ob die Sonderzuständigkeitsregelung des § 20 Abs. 3 TEHG (2004) bzw. des § 19 Abs. 2 TEHG (2011) für Anfechtungs- und Verpflichtungsklagen unter Berücksichtigung der eine weite Auslegung stützenden Gesetzesbegründung (vgl. Bundestags-Drs. 15/4243, S. 20) im Sinne einer umfassenden Zuweisung aller emissionshandelsspezifischen Verwaltungsrechtsstreitigkeiten der DEHSt an das Verwaltungsgericht Berlin zu verstehen ist und damit jedenfalls in analoger Anwendung auch allgemeine Leistungsklagen erfasst. Denn auch bei Ablehnung einer entsprechenden Anwendung ergibt sich die örtliche Zuständigkeit aufgrund des allgemeinen Gerichtsstandes gemäß § 52 Nr. 5 VwGO. Hiernach ist in allen nicht in den Nummern 1 bis 4 geregelten Fällen das Verwaltungsgericht örtlich zuständig, in dessen Bezirk der Beklagte seinen Sitz hatte. Dies ist Berlin. Zwar hat gemäß § 1 Abs. 2 des Gesetzes über die Errichtung eines Umweltbundesamtes vom 22. Juli 1974, zuletzt geändert durch Gesetz vom 11. August 2009 (BGBl. I 2009, S. 2723), das Umweltbundesamt seinen ‚Sitz‘ in Dessau. Auf diese rein formale Betrachtung ist im Rahmen des Emissionshandelsrechts indes nicht abzustellen (vgl. dazu VG Berlin, Urteil vom 24. April 2012 – VG 10 K 278.09 -).

II. Die Klage ist nicht begründet. Der Klägerin steht gegen die Beklagte kein Anspruch auf Übertragung von 46.000 zertifizierten Emissionsreduktionseinheiten (CER) und 29.920 Emissionsberechtigungen (EUA) noch auf Zahlung von 1.081.857,60 € nebst Zinsen zu.

25a) Die Klägerin hat keinen Anspruch auf Übertragung von 46.000 zertifizierten Emissionsreduktionseinheiten (CER) und 29.920 Emissionsberechtigungen (EUA) auf der Grundlage eines öffentlich-rechtlichen Folgenbeseitigungsanspruchs. Der Anspruch auf Folgenbeseitigung ist nicht anders als der Anspruch auf Unterlassung künftigen rechtswidrigen Verwaltungshandelns verfassungsrechtlichen Ursprungs und wird ebenso wie dieser aus dem jeweils berührten Grundrecht (so Bundesverwaltungsgericht, Urteile vom 25.8.1971 – 4 C 23.69 – und vom 21.09.1984 – 4 C 51.80 -), teilweise auch aus dem Rechtsstaatsprinzip hergeleitet (so Bundesverwaltungsgericht in BVerwGE 69, 366 (370)). Er entsteht, wenn durch einen hoheitlichen Eingriff in ein subjektives Recht ein rechtswidriger Zustand geschaffen worden ist, der noch andauert, und ist auf die Wiederherstellung des Zustands gerichtet, der im Zeitpunkt des Eingriffs bestand. Diese Anspruchsvoraussetzungen sind vorliegend nicht gegeben.

Es kann offen bleiben, ob die Amtshandlung der auf Anweisung von der Beklagten durchgeführten Transaktionen dieser zurechenbar im Rahmen haftungsbegründender Kausalität überhaupt unmittelbar auf rechtswidrige Folgen gerichtet war oder – bejahendenfalls – wegen des kriminellen Verhaltens Dritter ein Zurechnungszusammenhang im Rahmen haftungsausfüllender Kausalität ausscheidet (vgl. zu Beidem BVerwGE 69 a.a.O).Denn durch die Ausführung der mit den Zugangsdaten des Kontobevollmächtigten der Klägerin durch Unbekannte veranlassten Transaktionen hat die Beklagte bereits keinen andauernden rechtswidrigen Zustand geschaffen (hierzu (1)). Auch bei Annahme eines solchen rechtswidrigen Zustands wäre der Anspruch zudem jedenfalls aufgrund der fehlenden tatsächlichen und rechtlichen Möglichkeit der Wiederherstellung (hierzu (2)) bzw. aufgrund eines gänzlich überwiegenden Mitverschuldens auf Seiten der Klägerin ausgeschlossen (hierzu (3)):

(1) Dem allgemeinen Folgenbeseitigungsanspruch liegt die sowohl grundrechtlich als auch rechtsstaatlich motivierte Forderung zugrunde, einen durch hoheitliches Handeln verursachten rechtswidrigen Zustand mit der rechtsnormativen Lage zur Deckung zu bringen (vgl. Bundesverwaltungsgericht, Urteil vom 23.05.1989 – 7 C 2/87-; zitiert nach juris). Unter Zugrundelegung dieses Maßstabs begründeten die Transaktionen bereits deshalb keinen rechtswidrigen Zustand, weil die Eintragung im Emissionshandelsregister mit der rechtsnormativen Lage übereinstimmt.

28Anders als etwa beim Grundbuch führt ein Einigungsmangel zwischen Veräußerer und Erwerber bei der Übertragung von Emissionsberechtigungen nicht zu einer Unrichtigkeit des Emissionshandelsregisters. Nach § 16 Abs.2 Satz 1 TEHG (2004) gilt der Inhalt des Registers als richtig, soweit für jemanden eine Berechtigung eingetragen ist. Diese emissionshandelsrechtliche Richtigkeitsfiktion führt mit erfolgter Eintragung der Berechtigungen im neuen Register zu einem Erwerb kraft Gesetzes, der zur Folge hat, dass das Register ungeachtet einer fehlenden rechtsgeschäftlichen Übertragung nicht unrichtig geworden ist. Die Richtigkeitsfiktion gilt dabei nach ganz überwiegender Auffassung, die durch die amtliche Gesetzesbegründung gestützt wird (vgl. Bundestags-Drs. 15/2328, S.15), auch zugunsten des bösgläubigen Erwerbers (so explizit für den Fall einer Transaktion nach einem Phishing-Angriff: Ates, Der Handel mit Emissionszertifikaten, 2011, S.122; vgl. ferner Ehricke, Übertragung von Emissionshandelszertifikaten im Blick auf die zweite Handelsperiode, WM 2008, 1333 (1338 f.); Sommer, Die zivilrechtliche Ausgestaltung des Emissionsrechtehandels, WM 2006, 2029 (2034) jeweils m.w.N.). Begründet wird dieser über die Regelungen der §§ 892 ff. BGB hinausgehende Erwerberschutz mit der Gewährleistung einer möglichst hohen Umlaufsicherheit der Emissionsberechtigungen und fortbestehenden zivilrechtlichen Ansprüchen insbesondere gegenüber bösgläubigen Erwerbern (Bundestags-Drs. 15/2328, S.15).

Entgegen der Auffassung der Klägerin folgt aus der Richtigkeit des Emissionshandelsregisters auch die Rechtmäßigkeit des dort dokumentierten Zustandes. Zwar hat die Klägerin durch die nach Ausführung der Transaktionen durch die Beklagte erfolgte Eintragung der Zertifikate im neuen Register das Eigentum an den betreffenden Zertifikaten verloren. Eben diese Rechtsfolge entspricht indes der §16 Abs.2 Satz 1 TEHG (2004) zugrunde liegenden gesetzgeberischen Intention und begründet keine Rechtswidrigkeit der neuen Eigentumslage. Eine solche Rechtswidrigkeit folgt ferner nicht aus dem bloßen Bestehen etwaiger schuldrechtlicher Ansprüche der Klägerin gegenüber den unbefugten Veranlassern der Transaktionen oder den Erwerbern der Berechtigungen.

(2) Auch wenn man vom Vorliegen eines andauernden rechtswidrigen Zustands ausgehen wollte, schiede ein Anspruch der Klägerin gegenüber der Beklagten auf Übertragung der im Antrag bezeichneten Anzahl von Emissionszertifikaten aus, weil die Wiederherstellung des ursprünglichen Zustandes der Beklagten rechtlich unmöglich ist.

Ist der allgemeine Folgenbeseitigungsanspruch darauf gerichtet, „dass (nur) der vor der Amtshandlung bestanden habende Zustand wiederherzustellen ist“ ( vgl. dazu Bundesverwaltungsgericht in BVerwGE 69 a.a.O.), so folgt hieraus, dass die Klägerin nur beanspruchen könnte, die seinerzeit transferierten Zertifikate zurück zu erhalten. Dass dies möglich wäre, macht sie selbst nicht geltend. Für eine solche Möglichkeit spricht angesichts der Unauffindbarkeit der Zertifikate auch sonst nichts, zumal Zertifikate der zweiten Handelsperiode nach dem 30. April 2013 ohnehin nicht mehr existieren (§ 6 Abs. 4 Satz 4 TEHG 2004).

Sofern die Klägerin die Übertragung nicht der abhanden gekommenen, sondern einer entsprechenden Zahl anderer Zertifikate – etwa der Zuteilungsperiode 2013 bis 2020 – begehrt, kann sie auch mit diesem Begehren auf der Grundlage des öffentlich-rechtlichen Folgenbeseitigungsanspruch nicht durchdringen. Zwar werden im Schrifttum ausgewählte höchstrichterliche Entscheidungen teilweise dahingehend interpretiert, dass die Wiederherstellung eines gleichwertigen Zustands genügen soll, wenn es nicht auf die Sache als solche, sondern auf die Erfüllung bestimmter Zwecke ankommt (so etwa die Darstellung von Gerhardt, in: Schoch/Schneider/Bier, VwGO, 24. EL 2012, §113, Rn.9 unter Verweis auf BVerwGE 69, 366 (371); vgl. auch Detterbeck/ Windthorst/ Sproll, Staatshaftungsrecht, 2000, § 12 Rz. 52 unter Verweis auf Bundesverwaltungsgericht in BVerwGE 38, 336). Unter Berücksichtigung dieses Ansatzes wäre vorliegend angesichts des identischen Zwecks die Übertragung anderer als der ursprünglich zugeteilten Zertifikate denkbar. Nach Auffassung der Kammer trägt die dargestellte Interpretation der angeführten Entscheidungen indes die Gefahr einer Nivellierung des öffentlich-rechtlichen Anspruchssystems durch eine Verwischung der Unterschiede zwischen dem verschuldensunabhängigen Folgenbeseitigungsanspruchs und Schadenersatzansprüchen bzw. einem allgemeinen Wiedergutmachungsanspruch in sich. Ist der Folgenbeseitigungsanspruch als reiner Wiederherstellungsanspruchs allein auf die Schaffung des ursprünglichen Zustands gerichtet, so dient er nicht einer Naturalrestitution im Sinne der Schaffung eines gleichwertigen Zustands (ebenso u.a. BayVGH, Urt. v. 16.5.1991 – 4 B 90.2483, BayVBl. 1992, 147; VGH Mannheim, Urt. v. 17.8.1989 – 5 S 1517/89, NVwZ-RR 1990, 449 m.w.N.). Ist eine solche Wiederherstellung aber – wie vorliegend – nicht möglich, muss ein Anspruch insoweit entfallen.

Ob in einer solchen Situation – wie von der Klägerin hilfsweise begehrt – ein auf Geldzahlung gerichteter Folgenentschädigungs- bzw. Folgenbeseitigungsentschädigungsanspruch (vgl. zur Begrifflichkeit Bundesverwaltungsgericht, Urteile vom 15.06.2011 – 9 C 4/10 – und vom 26.08.1993 – 4 C 24/91 – ) in Betracht kommt, kann offen bleiben. Denn ein solcher Anspruch setzte u.a. voraus, dass die Gründe für die nicht gegebene Herstellungsmöglichkeit allein oder doch überwiegend in der Handlungssphäre des anspruchsverpflichteten Hoheitsträgers liegen (vgl. Bundesverwaltungsgericht in BVerwG 4 C 24/91). Hiervon kann im vorliegenden Fall indes nicht die Rede sein:

(3) Sowohl ein Folgenbeseitigungsanspruch als auch ein Folgenbeseitigungsentschädigungsanspruch sind aufgrund der weit überwiegenden Mitverantwortlichkeit auf Seiten der Klägerin ausgeschlossen.

Obgleich § 254 BGB eine verschuldensbezogene Haftung beider Seiten voraussetzt, findet die Mitverantwortlichkeit des Betroffenen nach § 254 BGB als Ausprägung eines allgemeinen Rechtsgedankens auch im Rahmen des verschuldensunabhängigen Folgenbeseitigungsanspruchs Berücksichtigung (vgl. Bundesverwaltungsgericht, Urteil vom 14.04.1989 – 4 C 34/88 -, zitiert nach juris; siehe auch Kopp/Schenke, VwGO, 19.Aufl. 2013, § 113 Rn.81; Palandt, BGB, 70.Aufl. 2011, § 254, Rn.5). Dabei kann bei überwiegender Mitverantwortung auch ein gänzlicher Ausschluss des Anspruchs auf Folgenbeseitigung billigenswert sein, wenn sich seine Verwirklichung als unzulässige Rechtsausübung darstellt (BVerwG, Urteil vom 14.4.1989 – 4 C 34/88 –, juris-Rz. 21). Hiervon ist vorliegend auszugehen. Bei einer Abwägung der beidseitigen Verursachungsbeiträge überwiegt die Verantwortlichkeit der Klägerin für das Abhandenkommen ihrer Zertifikate die Verantwortlichkeit der Beklagten derart deutlich, dass die Geltendmachung des Anspruchs eine unzulässige Rechtsausübung darstellt, die zum Anspruchsausschluss führen muss.

36Den Geschädigten trifft ein Mitverschulden im Sinne des § 254 BGB, wenn er diejenige Sorgfalt außer Acht lässt, die jedem ordentlichen und verständigen Menschen obliegt, um sich vor Schaden zu bewahren (sog. Verschulden gegen sich selbst, Palandt (Hrsg.), BGB, 70.Aufl. 2011, §254, Rn.8). Diese Voraussetzung ist vorliegend erfüllt. Die Klägerin hat die ihr obliegende Sorgfalt im Umgang mit ihren Benutzerdaten in besonderem Maße außer Acht gelassen, indem sie dem in der E-Mail angegebenen Link folgte und im Zuge der vermeintlichen Installation eines Sicherheits-Updates ihre Zugangsdaten inklusive ihres Passworts preisgab. Die ihr obliegende Pflicht zur Geheimhaltung der Zugangsdaten beinhaltet nicht nur die sichere Verwahrung von entsprechenden Notizen, sondern auch eine angemessene Reaktion auf objektiv begründete Verdachtsmomente (so im Rahmen der Frage einer Sorgfaltspflichtverletzung für den Bereich des Online-Bankings KG Berlin, Urteil vom 29.11.2010 – 26 U 159/09 -; zitiert nach juris; siehe auch Borges, Rechtsfragen des Phishing, NJW 2005, 3313 (3314)). Nach Auffassung der Kammer begründete die per E-Mail versandte Aufforderung zur Eingabe des Benutzernamens und Passworts zum Zwecke eines vermeintlichen Sicherheitsupdates ein solches hinreichendes Verdachtsmoment. Bereits bei erstem Lesen springt eine Reihe von Anhaltspunkten für einen betrügerischen Hintergrund der E-Mail ins Auge. Dies betrifft neben dem fehlenden Sicherheitszertifikat der angegebenen Webseite, der wiederholten Schreibweise ganzer Wortfolgen in Großbuchstaben sowie einer Vielzahl grammatikalischer Fehler oder Unsauberkeiten (vgl. nur „Was passiert, wenn ich den Schlüssel verliere oder jemand bringt ihn Erfahrung?“; „Angriffe auf den Emissionshandelssystem“; „Der gesamte Prozess, um Ihren […] Schlüssel zu erhalten, ist wie folgt“) insbesondere den Absender der E-Mail, der nicht über eine Adresse mit der Endung „@dehst.de“, sondern mit der Endung „@tradingprotection.com“ kommunizierte. Die Klägerin, deren Kontobevollmächtigter darüber hinaus beruflich mit derartigen Transaktionen befasst ist und für den deshalb ein erhöhter Sorgfaltsmaßstab gilt, hätte demzufolge Veranlassung gehabt, auf diese Verdachtsmomente hin den Vorgang der Installation des Sicherheitsupdates zunächst abzubrechen und sich – ebenso wie es etwa 130 andere Kontobevollmächtigte taten – durch Rückfrage bei der Beklagten zu vergewissern, dass eine solche Vorgehensweise von dieser tatsächlich gefordert wird. Dies gilt umso mehr, als die Beklagte bereits in ihrem, allen Kontoinhabern bekannten Benutzerhandbuch in ausführlicher und verständlicher Form darauf hingewiesen hatte, stets das Sicherheitszertifikat der Webseite zu überprüfen und niemals über einen angebotenen Link etwa in einer E-Mail zur Anmeldeseite des Registers zu gehen.

Zu berücksichtigen ist ferner, dass die Klägerin die von der Beklagten zur Verfügung gestellten weiteren Sicherungsmechanismen wie die Bestellung eines zusätzlichen Bevollmächtigten sowie die Möglichkeit einer elektronischen Information über veranlasste Transaktionen nicht genutzt hat. Anders als von ihr vorgetragen, hätten diese Mechanismen in der Situation des Phishing-Angriffs einen Verlust der Zertifikate generell oder jedenfalls in wesentlichem Umfang mit einiger Wahrscheinlichkeit verhindern können, da jedenfalls mit der E-Mail zusätzlich auch die Zugangsdaten des weiteren Kontobevollmächtigen hätten erfolgreich „abgefischt“ werden müssen. Auch durch die Wahl der angebotenen Option einer E-Mail-Benachrichtigung über veranlasste Transaktionen hätte angesichts der jederzeitigen Sperrmöglichkeit des Kontos jedenfalls die zweite Transaktion der 46.000 CER erschwert, wenn nicht verhindert werden können.

38Gegenüber dieser erheblichen Mitverursachung des eigenen Schadens auf Seiten der Klägerin muss der Verursachungsbeitrag der Beklagten gänzlich zurücktreten. Insoweit ist zu berücksichtigen, dass die Beklagte vorliegend auf der Grundlage des Art.66 Abs.2 RegVO 2004 davon ausgehen durfte, dass es sich bei dem unter dem Benutzernamen der Klägerin mit deren Passwort angemeldetem Benutzer um den Kontobevollmächtigten der Klägerin handelt. Entgegen der Auffassung der Klägerin ist für die Frage der Rechtmäßigkeit der Ausführung der Transaktionen nicht maßgeblich, ob die Anweisungen der unter ihrem Namen handelnden Person ihr nach allgemeinen zivilrechtlichen Rechtsscheinsgrundsätzen zuzurechnen sind. Zwar geht die Rechtsprechung in sog. Phishing-Fällen im Bereich des Online-Bankings weitgehend davon aus, dass eine Zurechnung ausscheidet, sofern der Rechtsschein nicht – wie etwa im Falle einer bewussten Weitergabe der Zugangsdaten – schuldhaft gesetzt wurde, sondern die Daten durch Ausspähen mittels bösartiger Software erlangt wurden (vgl. nur KG Berlin, Urteil vom 29.11.2010 – 26 U 159/09 -: zitiert nach juris; vgl. auch Borges, Rechtsfragen des Phishing, NJW 2005, 3313 (3314)). Die vorliegende Konstellation unterscheidet sich indes insofern grundlegend von den dort entschiedenen Sachverhalten, als im Verhältnis zwischen der Klägerin und der Beklagten nicht die zivilrechtlichen, sondern öffentlich-rechtliche Zurechnungsregeln der Registerverordnung 2004 und der zugehörigen nationalen Umsetzungsregelungen Anwendung finden. Obgleich die in der Phase zwischen Zuteilung und Abgabe von Emissionsberechtigungen liegenden Übertragungsgeschäfte unmittelbar ausschließlich zwischen Privaten stattfinden und nach überwiegender Ansicht privatrechtlich zu beurteilen sind (vgl. nur Sommer, Die zivilrechtliche Ausgestaltung des Emissionsrechtehandels, WM 2006, 2029 (2032 m.w.N. auch zur Gegenauffassung)), gilt dies nicht zugleich für das davon unabhängige Registerverhältnis zwischen der Beklagten und dem jeweiligen Kontoinhaber. Ebenso wie mit Blick auf den Eintragungsantrag im Grundbuchverfahren nach § 13 GBO ist vielmehr auch mit Blick auf die Transaktionsanweisung gegenüber der DEHSt davon auszugehen, dass es sich um rein verfahrensrechtliche Erklärungen handelt (so explizit für die Anweisung nach § 16 Abs.1 Satz 2 TEHG Ates, Der Handel mit Emissionszertifikaten, 2011, S.109; Sommer, Die zivilrechtliche Ausgestaltung des Emissionsrechtehandels, WM 2006, 2029 (2033)), deren Wirksamkeit sich nach den spezialgesetzlichen und allgemeinen Grundsätzen des Verwaltungsverfahrensrechts, nicht hingegen nach den Grundsätzen für rechtgeschäftliche Willenserklärungen richtet.

Nach der somit maßgeblichen besonderen Zurechnungsregelung des Art.66 Abs.2 RegVO 2004 können die Registerführer davon ausgehen, „dass es sich bei einem Benutzer, der einen Benutzernamen und das dazugehörige Passwort eingegeben hat, um den unter dem jeweiligen Benutzernamen und Passwort registrierten Bevollmächtigten handelt, es sei denn, der Bevollmächtigte unterrichtet den Registerführer davon, dass die Sicherheit seines Passworts nicht mehr gewährleistet ist, und fordert ein neues an.“ So liegt der Fall hier: Da die Klägerin erst am Morgen des 29. Januar 2010 die Sperrung ihres Kontos veranlasste und die Beklagte darüber informierte, auf die Phishing-E-Mail reagiert zu haben, konnte die Beklagte in rechtmäßiger Weise auch ohne weitere Nachfrage davon ausgehen, dass die Transaktionen von der Klägerin veranlasst worden waren. Dabei folgt aus dem Wortlaut der Norm „können davon ausgehen“ nicht etwa, dass den Registerbehörden Ermessen eingeräumt wäre. Es handelt sich vielmehr um eine Befugniszuweisung, wie insbesondere anderssprachige Fassungen der Norm zeigen (englische Fassung: „may assume“ = „darf annehmen“; ungarische Fassung: „joggal feltètelezheti“ = „darf berechtigt davon ausgehen“). Zweck der Regelung des Art. 66 RegVO 2004 ist die Gewährleistung der Funktionsfähigkeit und Effizienz des elektronischen Handels mit Berechtigungen. Insoweit ist neben dem allgemeinen Interesse an der Funktionsfähigkeit des elektronischen Handels mit Berechtigungen, das durch die Annahme einer Nachfragepflicht in erheblichem Umfang beeinträchtigt würde, zu berücksichtigen, dass die Beklagte bereits im Vorfeld des Phishing-Angriffs den ihr aufgrund der Bereitstellung einer Online-Datenbank zukommenden Warn- und Informationspflichten durch verschiedene Rund-E-Mails sowie die ausführlichen Sicherheitshinweise in dem von ihr herausgegebenen Benutzerhandbuch in hinreichendem Umfang nachgekommen ist. Sie durfte damit trotz der Existenz der Phishing-E-Mail auf eine verständige Reaktion der beruflich mit derartigen Transaktionen befassten Kontobevollmächtigten vertrauen und davon ausgehen, dass diese ihre Nutzerdaten nicht ohne vorherige Verifizierung des Absenders der E-Mail preisgeben würden.

Eine Pflichtverletzung liegt zunächst nicht in der Ausführung der unter dem Benutzernamen der Klägerin und dem dazugehörigen Passwort veranlassten Transaktionen ohne weitere Nachfrage bei dieser (siehe dazu oben).

Eine Mitverschulden der DEHst auslösende Pflichtverletzung ist demzufolge ferner auch weder in der erst am Nachmittag des 28. Januar 2010 erfolgten Versendung einer E-Mail an die Kontobevollmächtigten zur Warnung vor dem Phishing-Angriff noch in der erst am Morgen des 29. Januar 2010 erfolgten Sperrung des Registers zu sehen. Mit Blick auf die Versendung der Warn-E-Mail ist dabei insbesondere zu berücksichtigen, dass die Beklagte in dem von ihr herausgegebenen Benutzerhandbuch umfassend und in verständlichen Form auf entsprechende Risiken und Schutzmaßnahmen hingewiesen sowie über ihren Kundenservice auf Anfrage vor einer Befolgung der in der E-Mail enthaltenen Aufforderungen gewarnt hat. Die Beklagte durfte vor diesem Hintergrund auch ohne einzelfallbezogene allgemeine Warnung per E-Mail an alle Kontobevollmächtigten davon ausgehen, dass diese der Aufforderung in der Phishing-Mail zur Eingabe ihrer Benutzerkennung keine Folge leisten würden.

Auch die anders als in einigen anderen europäischen Ländern erst am Morgen des 29.Januar 2010 vorgenommene Sperrung des Registers für Transaktionen begründet keine Pflichtverletzung der Beklagten. Nach Art. 68 Abs.1 RegVO 2004 ergreifen die Registerführer alle sinnvollen Maßnahmen, um sicherzustellen, dass das jeweilige Register für die Kontoinhaber sieben Tage pro Woche 24 Stunden täglich zugänglich ist und unverzüglich auf Anträge der Kontoinhaber reagiert. Nur für den Fall einer Sicherheitsverletzung, die die Integrität des Registers gefährdet, ermächtigt Art. 69 RegVO 2004 zu einer Aussetzung des gesamten Zugangs zum Register. Eine solche Gefährdung der Integrität des Registers, die die Annahme einer Ermessensreduzierung auf Null hinsichtlich der Schließung des Registers rechtfertigen könnte, bestand aus Sicht der Beklagten indes allenfalls am Morgen des 29. Januar 2010 nach ihrer Information über die Durchführung einiger von Nichtberechtigten veranlassten Transaktionen. Diese Einschätzung entsprach dabei derjenigen der Kommission, die noch im Rahmen ihrer Information durch die Beklagte über die Phishing-E-Mail am 28. Januar 2010 mitgeteilt hatte, dass eine Sperrung des Registers nicht gewünscht sei.

Schließlich vermag auch das Fehlen zusätzlicher Authentifizierungsanforderungen keine Pflichtverletzung seitens der Beklagten zu begründen. Zwar ist für den Bereich des Online-Bankings entschieden worden, dass eine Sorgfaltspflichtverletzung der das Online-Banking anbietenden Bank zumindest dann vorliegt, wenn diese ein System verwendet, das bei der Mehrzahl der Kreditinstitute nicht mehr im Einsatz ist und hinter dem Sicherheitsstandard des neueren Systems zurückbleibt (so KG, Urteil vom 29.11.2010 – 26 U 159/09 –, juris-Rz. 73). Diese Rechtsprechung ist auf die vorliegende Konstellation indes bereits deshalb nicht übertragbar, weil es angesichts der Exklusivität der Registerführung durch die DEHSt am erforderlichen Vergleichsmaßstab fehlt. Die bloße Beschränkung der Beklagten auf eine Sicherung durch Benutzernamen und Passwort unter Verzicht auf das im Online-Banking übliche Verfahren einer doppelten Authentifizierung durch Passwort und TAN kann zudem angesichts der Regelung des Art.66 Abs.1 UAbs.2 RegVO 2004 keine Sorgfaltspflichtverletzung begründen. Nach dieser Vorschrift weist der Registerführer jedem Bevollmächtigten einen Benutzernamen und ein Passwort zu, damit dieser in dem ihm zustehenden Umfang Zugang zu Konten bzw. Vorgängen hat. Nach Satz 2 können die Registerführer zusätzliche Sicherheitsvorkehrungen treffen, die mit den Bestimmungen dieser Verordnung vereinbar sein müssen. Art.66 Abs.4 RegVO 2004 sieht vor, dass der Registerführer die erforderlichen Maßnahmen ergreift, um den unbefugten Zugang zum gesicherten Bereich der Register-Webseite zu verhindern. Anhaltspunkte für eine fehlerhafte Ausübung des der Beklagten nach Art.66 Abs.1 UAbs.2 Satz 2 RegVO 2004 zukommenden Ermessens sind vorliegend in Anbetracht des Interesses an unionsweit harmonisierten Zugangsregelungen sowie an der leichten Handelbarkeit der Berechtigungen nicht ersichtlich. Die Übernahme der in Satz 1 des Unterabsatzes als Regelverfahren genannten Authentifizierungsmethode der Eingabe von Benutzernamen und Passwort erscheint insbesondere vor dem Hintergrund ermessensfehlerfrei, dass Hacker-Angriffe größeren Umfangs im Emissionshandel – anders als im Bereich des Online-Bankings – vor der Phishing-Attacke vom 28. Januar 2010 nicht bekannt geworden waren. Auch die Phishing-Attacke vom 28. Januar 2010 hat lediglich bei fünf Nutzern zum Eintritt eines Schadens geführt, so dass weitere Sicherungsmaßnahmen jedenfalls nicht im Sinne einer Ermessensreduktion auf Null als zwingend erforderlich anzusehen sind. Ferner ist auch hier zu berücksichtigen, dass die Beklagte die von der Klägerin zur Verfügung gestellten zusätzlichen Sicherungsmaßnahmen wie die Bestellung eines sog. zusätzlichen Bevollmächtigten nicht in Anspruch genommen hat.

b) Sähe man die Voraussetzungen eines Schadensersatzanspruches aus öffentlich-rechtlichem Benutzungsverhältnis als gegeben an, so wäre ein Anspruch vor dem Hintergrund der überwiegenden Mitverantwortung der Klägerin (§ 254 BGB) aus den oben genannten Gründen ebenfalls ausgeschlossen.

Die Kostenentscheidung folgt aus § 154 Abs. 1 VwGO, die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 167 VwGO i.V.m. § 709 ZPO.