Im Rahmen einer Aktion der Allianz ProzessFinanz GmbH wurden im November 2008 33.000 USB-Sticks mit Gesetzestexten verteilt. Auf 700 der Speicher-Sticks befand sich als Beigabe noch ein ungebetener Gast, nämlich ein Viking-Virus, der Computersysteme lahm legte und sich über Netzwerkverbindungen weiterverbreitete. Jemand, der Computerviren programmiert oder absichtlich verbreitet, muss für die dadurch entstandenen Schäden aufkommen. Dieser Schadensersatzanspruch ist juristisch völlig unproblematisch. Viel wert ist eine solche Forderung indes nicht, denn regelmäßig werden die durch das Virus weltweit verursachten Schäden so hoch sein, dass der Verursacher diese nur zu einem verschwindend geringen Bruchteil wird ausgleichen können. Aber selbst wenn man einmal von dem Liquiditätsproblem absieht, wird man den Urheber eines Computervirus in den meisten Fällen ohnehin nicht ermitteln können. Ungleich attraktiver kann es für Geschädigte daher sein, sich an denjenigen zu halten, auf dessen Infrastruktur sich das Virus repliziert hat.
Juristisch ist daher die Frage zu beleuchten, ob jemand, der eine IT-Infrastruktur vorhält, welche die Verbreitung von Viren ermöglicht, rechtlich verpflichtet ist, technische Maßnahmen zu treffen, um eine unbeabsichtigte Weitergabe von Computerviren zu unterbinden. Ferner ist zu klären, ob ein fahrlässiges Unterlassen dieser Sicherheitsvorkehrungen einen Schadensersatzanspruch auslöst.
Was sind Verkehrspflichten?
Prinzipiell ist dem deutschen Recht eine Verhaltensvorschrift, die jemanden verpflichtet, jedweden Schaden von Dritten abzuwenden, fremd. Dieser Grundsatz findet seine Schranken in den sogenannten allgemeinen Verkehrspflichten. Diese Pflichten beruhen auf dem Gedanken, dass jemand, der eine Gefahrenquelle schafft oder unterhält, die notwendigen und zumutbaren Maßnahmen zum Schutze der Allgemeinheit treffen muss (Palandt, BGB, § 823, Rn. 47). Die Verkehrspflichten gehen in ihrer Entwicklung zurück bis ins römische Recht. Für das heute in Deutschland geltende Bürgerliche Gesetzbuch (BGB) hatte das Reichsgerichts im Jahre 1902 in einer grundlegenden Entscheidung geurteilt, dass jedermann für die durch seine Sachen verursachte Beschädigung insoweit aufkommen müsse, als er den Schaden bei "billiger Rücksichtnahme auf die Interessen des anderen hätte verhüten müssen" (RGZ 52, 373, 379). Im Urteil ging es damals um einen umgestürzten Baum, der ein Haus beschädigt hatte. In den darauf folgenden Urteilen rund um die Verkehrspflichten ging es ausschließlich um Fälle, in denen der Kläger auf öffentlichen Wegen, Straßen und Plätzen einen Schaden erlitten hatte. Daher rührt auch der Name Verkehrspflicht her. Später wurde die Rechtsprechung auf sonstige Gefahrenquellen ausgedehnt, darunter auch die Produkthaftung (RG DR 1940, 1293, 1294 - Bremsen II).
Computer als Gefahrenquelle
Bezieht man die zugrunde liegenden Gedanken nun auf moderne Computer, so wird man feststellen müssen, dass bereits im Privatbereich diese Geräte hochkomplexe Systeme darstellen, deren Funktionsweise sich selbst erfahrenen Anwendern nur unvollständig erschließt und deren Steuerung zu einem Großteil automatisch im Hintergrund abläuft und sich so der Kontrolle des Anwenders entzieht. Systemprozesse und Anwendungen können unbemerkt und ohne Anzeige auf dem Bildschirm ablaufen, der Inhalt der Netzwerkkommunikation ist nicht ohne Weiteres erkennbar und es gibt auch in moderner Software noch unzählige Möglichkeiten für Hacker, in fremde Rechner einzudringen und diese für ihre Zwecke zu missbrauchen. Daher muss man einen Computer ganz klar als Gefahrenquelle im Rahmen der Verkehrspflichten ansehen. Der Inhaber der tatsächlichen Verfügungsgewalt über einen Computer ist daher grundsätzlich verpflichtet, Schutzmaßnahmen gegen den Missbrauch des Computersystems zu implementieren, deren Inhalt noch zu klären sein wird.
Geschützter Personenkreis
Problematisch stellt sich die Ermittlung des geschützten Personenkreises dar. Vom Schutz der Verkehrspflicht sind nach den allgemeinen Grundsätzen der Verkehrspflichten nämlich nur diejenigen umfasst, die aus objektiver Sicht des Verpflichteten rechtmäßig mit der Gefahrenquelle in Berührung kommen. Betrifft die Verkehrspflicht zum Beispiel die Instandhaltung des Treppenhauses eines Mietshauses, so sind alle Mieter und deren Besucher vom Schutz umfasst. Gleiches gilt beispielsweise bei der Streupflicht eines Privatwegs, von deren Schutzwirkung nur rechtmäßige Benutzer umfasst sind. Von allen Menschen ist also jeweils nur ein geringer Teil von der Schutzwirkung der Verkehrspflichten geschützt.
Foto:
Bezieht man dies nun auf vernetzte Computersysteme, so stellt man schnell fest, dass potenziell jeder Nutzer des Internets betroffen sein kann und damit auch geschützt ist, denn über Netzwerkverbindungen oder über das Internet kann ein Virus praktisch an jeden Dritten versandt werden. Eine Trennung zwischen rechtmäßigen und unrechtmäßigen Benutzern ist im digitalen Umfeld im Gegensatz zu den "klassischen" Verkehrspflichten so gut wie gar nicht möglich. Nur diejenigen, die sich unbefugt Zugriff auf den PC verschaffen und dadurch einen Schaden erleiden, sind nicht schutzwürdig. In Bezug auf die "digitalen Verkehrspflichten" kann sich also das zahlenmäßige Verhältnis von geschützten und nicht schutzwürdigen Personen im Vergleich zu anderen Situationen leicht umkehren.
Dies ist indes kein Grund zur Annahme, dass Verkehrspflichten auf den IT-Bereich nicht anwendbar wären, sondern unterstreicht gerade die Gefährlichkeit und damit die Notwendigkeit für einen Schutz von Geschädigten. Würde man dies anders sehen, könnte man mit der gleichen Begründung auch die Haftung von Betreibern von Atomkraftwerken aushebeln, denn bei einem Unfall wären dort auch potenziell viele Millionen Menschen betroffen. Auch wenn dieser Vergleich wegen gesetzlicher Sonderregeln im Bereich der Kernenergie etwas hinkt, so beansprucht der zugrunde liegende Gedanke dennoch Gültigkeit. Verkehrspflichten sollen Dritte vor Schäden bewahren und beinhalten daher auch das Gebot, Vorkehrungen zur Schadensprävention zu treffen.
Einzelfallbeurteilung
Hundertprozentige Sicherheit vor allen erdenklichen Gefahren ist jedoch oft eine Utopie oder zumindest wirtschaftlich nicht realisierbar. Da das Recht jedoch nichts Unmögliches verlangen kann, unterliegen Verkehrspflichten ihrem Inhalt nach dem Grundsatz der Verhältnismäßigkeit. Es ist also eine Einzelfallbeurteilung vorzunehmen, um den konkreten Inhalt der Verkehrspflicht zu ermitteln. Notwendig aber auch genügend ist das, was nach den konkreten Umständen des Einzelfalles erforderlich und zumutbar ist, um die Gefahr zu beseitigen. Eintrittswahrscheinlichkeit des Schadens sowie die Schadenshöhe sind gegenüber der finanziellen Belastung abzuwägen. Dabei spielt es auch eine Rolle, ob der Gefahreintritt vom Gefährdeten erkannt und ein möglicher Schaden abgewehrt werden kann.
Foto: Falco - Fotolia.com
Obwohl die konkrete Ausgestaltung der Verkehrspflichten eine Einzelfallbetrachtung erfordert, lassen die Grundwertungen eine gewisse Verallgemeinerung zu. Aus den Grundsätzen der Verhältnismäßigkeit ergibt sich, dass bei einem Unternehmen, das darauf spezialisiert ist Software zu verbreiten, sei es durch den Vertrieb von Datenträgern oder als Internet-Download, wegen der potenziell größeren Anzahl der Geschädigten und der zur Verfügung stehenden finanziellen Ressourcen sowie einer gewerblich tätigen Akteuren regelmäßig zu unterstellenden besseren Gefahrenkenntnis, ein strengerer Maßstab zugrunde zu legen ist als bei privaten Computerbesitzern. Während bei Privatpersonen der Einsatz eines gängigen aktuellen Virenscanners, der jedenfalls ausgehende E-Mails und Schreibvorgänge auf externe Datenträger überwacht, als ausreichend erachtet werden muss, wird man bei Unternehmen im Einzelfall wesentlich mehr verlangen müssen. Der Einsatz einer wirkungsvollen Firewall mit möglichst restriktiver Konfiguration sollte hier neben einem Virenscanner zum Standardrepertoire gehören.
Mehrstufiges Sicherheitskonzept ist zumutbar
Je nach Gefahrgeneigtheit der unternehmerischen Tätigkeit kann darüber hinaus ein mehrstufiges Sicherheitskonzept erforderlich und zumutbar sein. Dazu können die konservative Vergabe von Zugriffsberechtigungen an eigene Mitarbeiter, die regelmäßige Überprüfung von Dateien mittels Hash-Vergleich gegen nachträgliche Manipulationen und die Überprüfung von Dateien durch unterschiedliche Antiviren-Lösungen vor der Distribution gehören.
Ein Sicherheitskonzept für die Unternehmens-IT sollte schriftlich festgehalten, tunlichst befolgt und die Einhaltung unter den Mitarbeitern streng kontrolliert werden, denn es liegt nahe eine Beweislastumkehr zugunsten der Geschädigten vorzunehmen. Eine solche Beweislastumkehr ist bereits seit Langem im Bereich der Produzentenhaftung üblich. Sie soll einer regelmäßig vorliegenden Beweisnot vorbeugen, da die Geschädigten die unternehmensinternen Abläufe nicht einsehen können und daher auch keine belastenden Informationen darlegen können. Bei einer Beweislastumkehr obliegt es daher dem Schädiger zu beweisen, dass er alle notwendigen und zumutbaren organisatorischen und technischen Vorkehrungen zur Vermeidung der aus seinem Herrschaftsbereich stammenden Schäden getroffen hat. Dabei kann ein gut dokumentiertes Sicherheitskonzept behilflich sein.
Materieller Schaden
Steht fest, dass der Schädiger seine Verkehrspflicht schuldhaft verletzt hat, so ist als letzter Punkt noch die Höhe des Schadensersatzes zu ermitteln. Dazu muss ein materieller Schaden entstanden sein. Unter einem Schaden sind alle unfreiwilligen Vermögenseinbußen zu verstehen, die kausal durch das schädigende Ereignis entstanden sind. Darunter fallen nicht nur die durch den Virus unbrauchbar gemachten Dateien, sondern auch etwaige Reparaturkosten des Computers und Gewinnausfälle.
Fällt dem Geschädigten eine Mitschuld an der Entstehung oder der Höhe des Schadens zur Last, ist die Schadensersatzsumme allerdings zu kürzen. Beispielsweise dann, wenn der Geschädigte seinerseits keinen Virenscanner installiert hatte oder seine Antivirenlösung veraltet ist. Dann kommt eine Kürzung des Schadensersatzes um bis zu 100 Prozent in Betracht.
Foto: stock.xchng/ArminH
Auch eine Obliegenheit des Geschädigten zur regelmäßigen Sicherung besonders wertvoller Daten auf CD-ROM ist denkbar, denn es ist allgemein bekannt, dass digitale Daten aus vielfältigen und unvorhersehbaren Gründen unbrauchbar werden können. Wird ein Virus trotz aktueller Virenschutzlösung nicht erkannt und richtet das Virus trotz regelmäßiger Sicherungen einen Schaden an, so wird eine Mitschuld des Geschädigten regelmäßig abzulehnen und die Schadensersatzsumme in voller Höhe zuzusprechen sein. Dazwischen sind vielfältige Abstufungen denkbar, deren Beurteilung vom jeweiligen Einzelfall abhängt.
Gefahr durch Wireless LAN
Drahtlos-Netzwerke sind sehr praktisch. Viele Computer können kabellos vernetzt werden und haben dadurch meist auch einen drahtlosen Internetzugang zur Verfügung. Die Reichweite einfacher aktueller WLAN-Router beträgt sowohl im gewerblichen als auch im privaten Bereich bis zu 100 Meter und in Einzelfällen können sogar Distanzen von bis zu 300 Meter Sichtkontakt überbrückt werden. So kann man in den eigenen vier Wänden das WLAN-Signal des Nachbarn empfangen und das eigene WLAN-Signal ist meist auch auf der Straße noch in guter Qualität verfügbar. Zwar bieten alle aktuellen WLAN-Zugangspunkte eine sichere WPA-Verschlüsselung an. Unzählige Geräte werden aber aus Bequemlichkeit oder technischer Unwissenheit der Besitzer nach wie vor gänzlich unverschlüsselt genutzt oder mit der heute als unsicher anzusehenden, und weil leicht auszuhebelnden, WEP-Verschlüsselung betrieben.
Missbrauchspotenzial
Dies offenbart ein großes Missbrauchspotenzial, denn Unbefugte können so unbemerkt und unerkannt über fremde Drahtlosnetzwerke auf Rechnung anderer im Web surfen. "Wardriving" ist in bestimmten Szenen längst zum Sport geworden. Dabei fährt der "Wardriver" mit dem Fahrrad, Auto oder Motorrad durch die Stadt und ein Laptop oder WLAN-fähiges Handy registriert im Vorbeifahren selbsttätig alle Zugriffspunkte und notiert dabei deren GPS-Koordinaten, die später automatisch auf einer Landkarte dargestellt werden können. Besondere technische Kenntnisse sind dazu schon lange nicht mehr erforderlich. Über solche WLAN-Landkarten, die teilweise auch im Internet kursieren, kann sich eine ganze Szene über frei zugängliche Zugriffspunkte informieren und austauschen.
Dem Opfer möglicherweise entstehende Verbindungskosten sind im Zeitalter von unbeschränkten DSL-Flatrates meist kein Thema mehr. Ungleich gefährlicher ist es, wenn Fremde über den eigenen Internetanschluss rechtswidrige Inhalte herunterladen oder verbreiten. Das Problem dabei ist, dass beispielsweise bei Urheberrechtsverletzungen die Rechteinhaber nur die IP-Adresse des Netzanschlusses mit dem genutzten WLAN feststellen können, die Identität des unberechtigten Nutzers jedoch nicht feststellen können. Selbst wenn der Inhaber des WLAN-Netzes beweisen kann, dass er selbst keine Urheberrechtsverletzung begangen hat, wird er dennoch häufig als sogenannter "Störer" auf Unterlassung in Anspruch genommen, weil er die anonym begangenen Rechtsverletzungen durch unterlassene Sicherungsmaßnahmen erst ermöglicht hat.
Uneinheitliche Rechtsprechung
Solche Unterlassungsansprüche haben in der Praxis oft Erfolg. So bejahte das Landgericht Hamburg bereits mehrfach eine sogenannte Mitstörerhaftung (Urteil vom 27.06.2006, Az.: 308 O 407/06 und Beschluss vom 02.08.2006, Az.: 308 O 509/06), ebenso das Landgericht Düsseldorf (Urteil vom 16.07.2008, Az.: 12 O 229/08). Das Oberlandesgericht Frankfurt verneinte eine Haftung dagegen (Urteil vom 1.7.2008, Az.: 11 U 52/07). Bis durch eine Vereinheitlichung der Rechtsprechung durch eine höchstrichterliche Entscheidung herbeigeführt worden ist, müssen offene WLAN-Netzwerke ganz klar als gefährlich angesehen werden. Wer teure Abmahnungen oder Gerichtskosten vermeiden will, sollte sicherstellen, dass sein WLAN-Zugang ausreichend gesichert ist.
Risiko: Offene Netzwerke
Offene Netzwerke bieten neben der urheberrechtlichen Störerhaftung noch zahlreiche andere rechtliche Problemstellungen. Dazu gehört auch der Geheimnisschutz. Gelangen unbefugte Dritte nämlich über ein unzureichend gesichertes Drahtlosnetzwerk an sicherheitsrelevante oder sonstige geheime Daten, so kann dies neben Schadensersatzansprüchen sogar strafrechtliche Konsequenzen nach sich ziehen.
Foto:
Die Strafvorschrift des § 203 StGB stellt das unbefugte Offenbaren eines fremdes Geheimnisses, das einer Person in einer Sonderstellung (z.B. als Arzt, Rechtsanwalt oder Sozialberater) anvertraut worden ist, unter Geld- oder Freiheitsstrafe bis zu einem Jahr. Unter einem Geheimnis werden solche Tatsachen verstanden, die sich auf den Betroffenen beziehen, nur einem begrenzten Personenkreis bekannt sind und an denen ein sachlich begründetes Geheimhaltungsinteresse besteht. Schon das Bestehen eines Vertragsverhältnisses kann unter Umständen als Geheimnis angesehen werden und muss in solchen Fällen dann als vertraulich behandelt werden (Heghmanns/Niehaus, NStZ 2008, 57, 58).
Es stellt sich die Frage, ob ein ungesichertes Drahtlosnetzwerk bereits ausreicht, um von der "Offenbarung" eines Geheimnisses zu sprechen. Allgemein wird unter einem Offenbaren eines Geheimnisses jede Mitteilung des Geheimnisses an einen Dritten verstanden (OLG Koblenz, Beschluss vom 03.06.2008 - 1 Ss 13/08). Dabei ist ein über die bloße Kenntnisnahme hinausgehendes inhaltliches Verstehen durch den Dritten nicht erforderlich. Zwar lässt der Wortlaut "offenbaren" vermuten, dass hier ein aktives Weitergeben von Informationen erforderlich ist, was bei einem bloßen passiven Nicht-Verschlüsseln der Funkverbindung zweifelhaft sein könnte. Jedoch ist es unter Juristen allgemein anerkannt, dass ein Offenbaren auch durch ein Unterlassen verwirklicht werden kann (Cierniak in: MünchKommStGB, § 203, Rn. 52).
Kenntnisnahme von Geheimnissen
Der klassische Fall betrifft dabei das Liegenlassen einer geheimen Akte an einem öffentlich zugänglichen Ort. Analog zu beurteilen ist es, wenn eine Person Zugriff auf geheime Computerdaten erhält und dadurch ohne Weiteres eine Kenntnisnahme des Geheimnisses möglich ist (BGH NJW 1995, 2915, 2916). Dies wäre bei ungeschützten WLAN-Netzwerken einfach möglich, sofern die Datenspeicher, auf denen die Geheimnisse liegen, nicht wirksam verschlüsselt sind. Daher liegt eine Strafbarkeit bereits dann vor, wenn ein unbefugter Dritter über ein ungesichertes Drahtlos-Netzwerk Zugriff auf geheime Informationen erlangt.
Um eine mögliche Strafbarkeit zu vermeiden, ist es daher dringend angeraten, alle Drahtlosverbindungen wirksam zu verschlüsseln (Cierniak in: MünchKommStGB, § 203 StGB, Rn. 48) und dabei die Zugangskennwörter zum Netzwerk restriktiv zu vergeben.
Die Autoren:
Rechtsanwalt Thomas Feil, Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover, feil@recht-freundlich.de, www.recht-freundlich.de, und Dipl.-Jur. Alexander Fiedler, Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover, fiedler@iri.uni-hannover.de, www.iri.uni-hannover.de
Weitere Informationen und Kontakt:
Thomas Feil, Feil Rechtsanwälte, Georgsplatz 9, 30159 Hannover, Tel.: 0511 473906-01, E-Mail: feil@recht-freundlich.de, Internet: www.recht-freundlich.de
Dieser Artikel basiert auf einem Beiträgen unserer Schwesterpublikation ChannelPartner. (fho/mec)