Oberlandesgericht Rostock · 3 W 62/25 · 7. April 2026
IT-Recht · Vertragsrecht (§ 241 Abs. 2 BGB) · Einstweiliger Rechtsschutz
Im Falle eines Hackerangriffs auf einen Social-Media-Account ergibt sich ein Verfügungsanspruch des Nutzers auf Wiedereinräumung des Zugangs zu seinem Konto gegen den Anbieter zumindest aus Leistungssicherungs- und Schutzpflichten im Sinne von § 241 Abs. 2 BGB.
Gleichzeitig besteht regelmäßig schon aufgrund des Umstandes des Hackerangriffs ein Verfügungsgrund für den Nutzer zu einem Vorgehen gegen den Anbieter im Wege des einstweiligen Rechtsschutzes.
Wegen des grundsätzlichen Verbots einer Vorwegnahme der Hauptsache genügt aber gegenüber dem Erlass einer Leistungsverfügung auf Verschaffung vollen Zugangs des Nutzers zu seinem Profil eine Sicherung durch die Einrichtung einer Sperre; ein darüberhinausgehender Verfügungsantrag ist mit der Folge eines Teilunterliegens zurückzuweisen.
Die Inanspruchnahme einstweiligen Rechtsschutzes veranlasst der Anbieter unter Kostengesichtspunkten auch im Falle der tatsächlichen Durchführung von Sicherungsmaßnahmen noch vor Antragseinreichung, wenn er dem in Deutschland ansässigen Nutzer nur eine vollständig in Englisch gehaltene E-Mail mit der Mitteilung einer Bearbeiternummer zukommen lässt und in der Folge auch nicht mehr auf eine anwaltliche Fristsetzung reagiert.
Der 3. Zivilsenat des OLG Rostock stärkt die Position von Nutzern, deren Social-Media-Konten gekapert wurden, im einstweiligen Rechtsschutz – die Entscheidung ergeht allerdings als reine Kostenentscheidung nach § 91a ZPO, nachdem die Parteien die Hauptsache übereinstimmend für erledigt erklärt hatten. Dem Verfahren liegt zugrunde, dass eine in Deutschland ansässige Nutzerin durch einen Hackerangriff den Zugriff auf zwei ihrer Konten verlor; die Angreifer änderten unter anderem die Ländereinstellungen, sodass die Profile in Deutschland unsichtbar, weltweit aber sichtbar blieben ([[2026-04-07-hackerangriff-social-media-konto-wiedereinraeumung.body|Rn. 19]]). Der Anbieter versetzte mindestens ein Konto in einen „Checkpoint”, teilte der Nutzerin aber nur per vollständig englischsprachiger E-Mail eine Bearbeiternummer mit und reagierte auf die anwaltliche Fristsetzung nicht ([[2026-04-07-hackerangriff-social-media-konto-wiedereinraeumung.body|Rn. 18]]).
Den Verfügungsanspruch auf Wiedereinräumung des Zugangs leitet der Senat aus § 241 Abs. 2 BGB als Nebenpflicht des Nutzungsvertrags her – sowohl als Leistungssicherungspflicht (der Nutzer kann das Zugriffshindernis nicht selbst beheben, der Vertrag wäre sonst nicht umsetzbar) als auch als Schutzpflicht zugunsten höchstpersönlicher und vermögensrechtlicher Interessen ([[2026-04-07-hackerangriff-social-media-konto-wiedereinraeumung.body|Rn. 4–6]]). Den Verfügungsgrund bejaht er entgegen dem Landgericht bereits aus dem Hackerangriff selbst: Dieser indiziere die Gefahr missbräuchlicher Nutzung, das Risiko sei gerade nicht „rein spekulativ” ([[2026-04-07-hackerangriff-social-media-konto-wiedereinraeumung.body|Rn. 7–9]]).
Wegen des Verbots der Vorwegnahme der Hauptsache reicht jedoch nicht die Verschaffung vollen Zugangs, sondern als „minus” eine Sperre der Konten – auch gegen die Hacker –, um Schäden einzufrieren; das weitergehende Begehren ist mangels Eilbedürfnis zurückzuweisen, mit der Folge eines Teilunterliegens ([[2026-04-07-hackerangriff-social-media-konto-wiedereinraeumung.body|Rn. 10–15]]). Die Kosten trägt gleichwohl überwiegend der Anbieter (1/3 zu 2/3): Über den Rechtsgedanken des § 93 ZPO hat er das Verfahren veranlasst, weil er die Nutzerin nur mit einer englischsprachigen Standard-Mail samt Bearbeiternummer abspeiste und auf die anwaltliche Frist schwieg ([[2026-04-07-hackerangriff-social-media-konto-wiedereinraeumung.body|Rn. 16–24]]).
Die Entscheidung ist rein vertrags- und prozessrechtlich begründet; DSA, DDG oder die DSGVO spielen keine Rolle. Ihre praktische Bedeutung liegt in der niedrigen Schwelle: Betroffene gehackter Konten – gerade Unternehmen, Vereine, Influencer und Selbstständige, für die der Account geschäftskritisch ist – können den Zugang über § 241 Abs. 2 BGB im Eilverfahren erzwingen, ohne einen konkreten Eintrittsschaden belegen zu müssen. Die Kanzlei Ferner ordnet ein, der Senat habe „die Konturen einstweiligen Rechtsschutzes nach einem Hackerangriff auf Social-Media-Konten in mehreren Punkten geschärft” (RA Jens Ferner).
Antragstaktisch ist die Lehre eindeutig: Zunächst die Sperre beantragen, um den Schaden einzufrieren, und den Vollzugriff notfalls im Nachgang verlangen – sonst droht ein Teilunterliegen mit Kostenquote (Onlinehändler-News). Für Plattformbetreiber enthält der Beschluss eine klare Kostenwarnung: Wer einem deutschen Nutzer in der Krise nur englischsprachige Standard-Mails mit einer bloßen Bearbeiternummer schickt und auf anwaltliche Fristen nicht reagiert, „veranlasst” das Eilverfahren im Sinne des § 93 ZPO und trägt dessen Kosten – erwartet wird eine verständliche Krisenkommunikation in der Marktsprache.
Der vollständige Urteilstext ist über die folgende Quelle abrufbar: