| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Bis vor wenigen Jahren herrschte unter Netznutzern die Ansicht, das Internet sei ein rechtsfreier Raum oder doch wenigstens eine rechtliche "Grauzone" – dies ist mittlerweile der ernüchternden Erkenntnis gewichen, dass der "lange Arm des Gesetzes" auch bis tief in die virtuelle Welt hinein reicht. Betroffen sind dabei sowohl private PC-Systeme als auch die IT-Infrastruktur von Unternehmen, die möglicherweise zudem für Handlungen ihrer Mitarbeiter in die Pflicht genommen werden, wenn sich nicht nachvollziehen lässt, wer im Einzelnen rechtswidrige Handlungen verübt hat.
Dass man beispielsweise urheberrechtlich geschützte Musik im Internet nicht einfach nach Belieben verteilen darf, haben spätestens die zahlreichen Massenabmahnungen der Unterhaltungsindustrie gelehrt. Doch vermehrt stellen sich auch andere haftungsrechtliche Probleme, die bisher weniger bekannt sind: Sie drehen sich um die Frage, ob Computer- und Internetnutzer in ihre Systeme Sicherungsmechanismen implementieren müssen, um Schäden abzuwenden, die von deliktischen Handlungen anderer Personen ausgehen und gegen Rechtsgüter Dritter gerichtet sind.
Das betrifft neben einer ungewollten Verbreitung von Computerviren auch Fälle, in denen Angreifer Zugriff auf vertrauliche Daten erlangen oder unzureichend gesicherte Funknetze (WLANs) nutzen, um anonym Rechtsverletzungen zu begehen. Diese Szenarien besitzen mittlerweile eine immens große Praxisrelevanz und werden daher im Folgenden erörtert.
Für die ungewollte Verbreitung von Malware gibt es ein aktuelles und prominentes Beispiel: Im November 2008 hat ein namhafter deutscher Versicherer im Rahmen einer Aktion 33 000 USB-Sticks mit Gesetzestexten verteilt – auf 700 dieser Speichersticks befand sich als Beigabe noch ein ungebetener Gast: ein Viking-Virus, der Computersysteme lahmlegte und sich über Netzwerkverbindungen weiterverbreitete.
Wer Computerviren programmiert oder absichtlich verbreitet, muss für die dadurch entstandenen Schäden aufkommen – dieser Schadensersatzanspruch ist juristisch völlig unproblematisch. Viel wert ist eine solche Forderung indes nicht, denn regelmäßig werden die durch eine Malware (ggf. weltweit) verursachten Schäden so hoch sein, dass der Verursacher diese meist nur zu einem verschwindend geringen Bruchteil ausgleichen könnte. Abgesehen von diesem Liquiditätsproblem, wird man den Urheber eines Computervirus in den meisten Fällen ohnehin nicht ermitteln können.
Ungleich attraktiver kann es für Geschädigte daher sein, sich an denjenigen zu halten, auf dessen Infrastruktur sich das Virus repliziert hat.
Juristisch ist daher zu klären, ob jemand, der eine IT-Infrastruktur vorhält, welche die Verbreitung von Malware ermöglicht, rechtlich verpflichtet ist, technische Maßnahmen zu treffen, um eine unbeabsichtigte Weitergabe von Computerviren zu unterbinden. Ferner ist zu klären, ob bereits ein fahrlässiges Unterlassen dieser Sicherheitsvorkehrungen einen Schadensersatzanspruch auslöst.
Prinzipiell kennt das deutsche Recht keine Verhaltensvorschrift, die jemanden verpflichtet, jedweden Schaden von Dritten abzuwenden. Dieser Grundsatz findet seine Schranken aber in den so genannten allgemeinen Verkehrspflichten: Diese beruhen auf dem Gedanken, dass jemand, der eine Gefahrenquelle schafft oder unterhält, auch die notwendigen und zumutbaren Maßnahmen zum Schutze der Allgemeinheit treffen muss (Palandt, BGB, § 823, Rn. 47).
Die Verkehrspflichten gehen in ihrer Entwicklung zurück bis ins römische Recht. Für das heute in Deutschland geltende Bürgerliche Gesetzbuch (BGB) hatte das Reichsgericht im Jahre 1902 in einer grundlegenden Entscheidung geurteilt, dass jedermann für die durch seine Sachen verursachte Beschädigung insoweit aufkommen müsse, als er den Schaden bei "billiger Rücksichtnahme auf die Interessen des anderen hätte verhüten müssen" (RGZ 52, 373, 379); im Urteil ging es damals um einen umgestürzten Baum, der ein Haus beschädigt hatte. In den darauf folgenden Urteilen rund um die Verkehrspflichten ging es ausschließlich um Fälle, in denen der Kläger auf öffentlichen Wegen, Straßen und Plätzen einen Schaden erlitten hatte – daher rührt auch der Name Verkehrspflicht her. Später wurde die Rechtsprechung auf sonstige Gefahrenquellen ausgedehnt, darunter auch die Produkthaftung (RG DR 1940, 1293, 1294 – Bremsen II).
Überträgt man die zugrunde liegenden Gedanken nun auf moderne Computer, so wird man feststellen müssen, dass solche Geräte bereits im Privatbereich hochkomplexe Systeme darstellen, deren Funktionsweise sich selbst erfahrenen Anwendern nur unvollständig erschließt, deren Steuerung zu einem Großteil automatisch im Hintergrund abläuft und sich so der Kontrolle des Anwenders entzieht: Systemprozesse und Anwendungen können unbemerkt und ohne Anzeige auf dem Bildschirm ablaufen, der Inhalt der Netzwerkkommunikation ist nicht ohne Weiteres erkennbar und es gibt auch in moderner Software noch unzählige Möglichkeiten für Angreifer, in fremde Rechner einzudringen und diese für ihre Zwecke zu missbrauchen.
Daher muss man einen Computer ganz klar als Gefahrenquelle im Rahmen der Verkehrspflichten ansehen! Der Inhaber der tatsächlichen Verfügungsgewalt über einen Computer ist daher grundsätzlich verpflichtet, Schutzmaßnahmen gegen den Missbrauch seines IT-Systems zu implementieren.
Problematisch stellt sich die Eingrenzung des geschützten Personenkreises dar: Vom Schutz der Verkehrspflicht sind nach den allgemeinen Grundsätzen nämlich nur diejenigen erfasst, die aus objektiver Sicht des Verpflichteten rechtmäßig mit der Gefahrenquelle in Berührung kommen. Betrifft die Verkehrspflicht zum Beispiel die Instandhaltung des Treppenhauses eines Mietshauses, so umfasst der Schutz alle Mieter und deren Besucher. Gleiches gilt beispielsweise bei der Streupflicht eines Privatwegs, von deren Schutzwirkung nur rechtmäßige Benutzer umfasst sind.
Von allen Menschen profitiert also jeweils nur ein geringer Teil von der Schutzwirkung der Verkehrspflichten. Bezieht man dies nun auf vernetzte Computersysteme, so stellt man schnell fest, dass potenziell jeder Nutzer des Internets betroffen sein kann und damit auch geschützt ist, denn über Netzwerkverbindungen oder über das Internet kann ein Virus praktisch an jeden Dritten versandt werden. Eine Trennung zwischen rechtmäßigen und unrechtmäßigen Benutzern ist im "digitalen" Umfeld im Gegensatz zu den "klassischen" Verkehrspflichten so gut wie gar nicht möglich.
Nur wer sich unbefugt Zugriff auf ein IT-System verschafft und dadurch einen Schaden erleidet, ist nicht schutzwürdig. In Bezug auf die "digitalen Verkehrspflichten" kann sich also das zahlenmäßige Verhältnis von geschützten und nicht schutzwürdigen Personen im Vergleich zu anderen Situationen leicht umkehren.
Dies ist indes kein Grund zur Annahme, dass Verkehrspflichten auf den IT-Bereich nicht anwendbar wären, sondern unterstreicht gerade die Gefährlichkeit und damit die Notwendigkeit für einen Schutz von Geschädigten: Würde man dies anders sehen, könnte man mit der gleichen Begründung auch die Haftung der Betreiber von Atomkraftwerken aushebeln, denn bei einem Unfall wären auch dort potenziell viele Millionen Menschen betroffen. Obwohl dieser Vergleich wegen gesetzlicher Sonderregeln im Bereich der Kernenergie etwas hinkt, beansprucht der zugrunde liegende Gedanke dennoch Gültigkeit.
Verkehrspflichten sollen Dritte vor Schäden bewahren und enthalten daher auch das Gebot, Vorkehrungen zur Schadensprävention zu treffen. Hundertprozentige Sicherheit vor allen erdenklichen Gefahren ist jedoch oft eine Utopie oder zumindest wirtschaftlich nicht realisierbar. Da das Recht nichts "Unmögliches" verlangen darf, unterliegen auch Verkehrspflichten ihrem Inhalt nach dem Grundsatz der Verhältnismäßigkeit.
Es ist also immer eine Einzelfallbeurteilung vorzunehmen, um den konkreten Inhalt der Verkehrspflicht zu ermitteln: Notwendig, aber auch genügend ist das, was nach den konkreten Umständen des Einzelfalles erforderlich und zumutbar ist, um die Gefahr zu beseitigen. Eintrittswahrscheinlichkeit des Schadens sowie die mögliche Schadenshöhe sind gegenüber der finanziellen Belastung durch die Prävention abzuwägen. Dabei spielt es auch eine Rolle, ob der Gefahreintritt vom Gefährdeten überhaupt erkannt und ein möglicher Schaden generell abgewehrt werden kann.
Dennoch: Auch wenn die konkrete Ausgestaltung eine Einzelfallbetrachtung erfordert, lassen Grundwertungen eine gewisse Verallgemeinerung zu. Aus den Grundsätzen der Verhältnismäßigkeit ergibt sich, dass beispielsweise bei einem spezialisierten Software-Vertrieb – egal ob via Datenträger oder Internet-Download – wegen der potenziell größeren Anzahl der Geschädigten, der zur Verfügung stehenden finanziellen Ressourcen sowie bei gewerblich tätigen Akteuren regelmäßig zu unterstellender besserer Gefahrenkenntnis immer ein strengerer Maßstab zugrunde zu legen ist als bei privaten ComputerbesitzeRn.
Während bei Privatpersonen schon der Einsatz eines gängigen, aktuellen Virenscanners, der zumindest auch abgehende E-Mails und Schreibvorgänge auf externe Datenträger überwacht, als ausreichend erachtet werden darf, wird man daher bei Unternehmen im Einzelfall wesentlich mehr verlangen müssen: Der Einsatz einer wirkungsvollen Firewall mit möglichst restriktiver Konfiguration sollte hier neben einem Virenscanner zum Standardrepertoire gehören.
Je nach Gefahrgeneigtheit der unternehmerischen Tätigkeit kann darüber hinaus ein mehrstufiges Sicherheitskonzept erforderlich und zumutbar sein: Dazu können die konservative Vergabe von Zugriffsberechtigungen an eigene Mitarbeiter, die regelmäßige Überprüfung von Dateien gegen nachträgliche Manipulationen (z. B. mittels Hash-Vergleich) und die Überprüfung von Dateien durch unterschiedliche Anti-Viren-Lösungen gehören.
Ein Sicherheitskonzept für die Unternehmens-IT sollte schriftlich festgehalten, tunlichst befolgt und die Einhaltung unter den Mitarbeitern auch streng kontrolliert werden, denn es liegt nahe eine Beweislastumkehr zugunsten der Geschädigten vorzunehmen. Dies ist bereits seit Langem in der Produzentenhaftung üblich: Sie soll einer regelmäßig vorliegenden Beweisnot vorbeugen, da Geschädigte die unternehmensinternen Abläufe nicht einsehen und daher auch keine belastenden Informationen darlegen können. Bei einer Beweislastumkehr obliegt es daher dem Schädiger zu beweisen, dass er alle notwendigen und zumutbaren organisatorischen und technischen Vorkehrungen zur Vermeidung der aus seinem Herrschaftsbereich stammenden Schäden getroffen hat. Dabei kann ein gut dokumentiertes Sicherheitskonzept eine große Hilfe sein!
Steht fest, dass der Schädiger seine Verkehrspflicht schuldhaft verletzt hat, so ist als letzter Punkt die Höhe des Schadensersatzes zu ermitteln. Dazu muss ein materieller Schaden entstanden sein: Hierunter sind alle unfreiwilligen Vermögenseinbußen zu verstehen, die kausal durch das schädigende Ereignis entstanden sind. Es geht also beispielsweise nicht nur um durch eine Malware unbrauchbar gemachte Dateien, sondern auch um etwaige Reparaturkosten an IT-Systemen sowie Gewinnausfälle.
Fällt dem Geschädigten eine Mitschuld an der Entstehung oder der Höhe des Schadens zur Last, ist die Schadensersatzsumme allerdings zu kürzen. Wenn beispielsweise der Geschädigte seinerseits keinen Virenscanner installiert hatte oder seine Anti-Viren-Lösung veraltet ist, kommt eine Kürzung des Schadensersatzes um bis zu 100 % in Betracht. Auch eine Obliegenheit des Geschädigten zur regelmäßigen Sicherung besonders wertvoller Daten auf CD-ROM ist denkbar, denn es ist allgemein bekannt, dass digitale Daten aus vielfältigen und unvorhersehbaren Gründen unbrauchbar werden können.
Wird ein Virus trotz aktueller Malware-Abwehr nicht erkannt und richtet das Virus trotz regelmäßiger Sicherungen einen Schaden an, so wird eine Mitschuld des Geschädigten regelmäßig abzulehnen und die Schadensersatzsumme in voller Höhe zuzusprechen sein. Zwischen diesen Extremen sind vielfältige Abstufungen denkbar, deren Beurteilung vom jeweiligen Einzelfall abhängt.
Drahtlose Netzwerke (WLANs) sind sehr praktisch: Viele Computer können kabellos vernetzt werden und haben dadurch meist auch einen drahtlosen Internetzugang. Die Reichweite einfacher aktueller WLAN-Router beträgt sowohl im gewerblichen als auch privaten Bereich bis zu 100 m und in Einzelfällen können sogar Distanzen von bis zu 300 m Sichtlinie überbrückt werden. So kann man meist problemlos in den eigenen vier Wänden das WLAN-Signal des Nachbarn empfangen und das eigene Funknetz ist meist auch auf der Straße noch in guter Qualität verfügbar.
Zwar bieten alle aktuellen WLAN-Zugangspunkte eine sichere Verschlüsselung (WPA, WPA 2) an, unzählige Geräte werden aber aus Bequemlichkeit oder technischer Unwissenheit der Besitzer nach wie vor gänzlich unverschlüsselt genutzt oder mit der heute als unsicher anzusehenden, weil leicht auszuhebelnden WEP-Verschlüsselung betrieben.
Hier offenbart sich ein großes Missbrauchspotenzial, denn Unbefugte können so unbemerkt und unerkannt über fremde Anschlüsse im Web surfen. Wenngleich mittlerweile ebenfalls illegal, ist "Wardriving" zum Aufdecken offener Netze dennoch in bestimmten Szenen längst zum Sport geworden: Unterwegs mit Fahrrad, Auto oder Motorrad registriert der "Wardriver" per Laptop oder WLAN-fähigem Handy im Vorbeifahren alle Zugriffspunkte und notiert dabei auch ihre GPS-Koordinaten, um diese später automatisch auf einer Landkarte darstellen zu können; besondere technische Kenntnisse sind dazu schon lange nicht mehr erforderlich. Über solche WLAN-Landkarten, die teilweise auch im Internet kursieren, kann sich eine ganze Szene über frei zugängliche Funknetze austauschen.
Verbindungskosten durch unrechtmäßige Nutzung sind im Zeitalter unbeschränkter DSL-Flatrates meist kein Thema mehr.
Ungleich gefährlicher ist es, wenn Fremde über den eigenen Internetanschluss rechtswidrige Inhalte herunterladen oder verbreiten! Das Problem dabei ist, dass beispielsweise bei Urheberrechtsverletzungen die Rechteinhaber nur die IP-Adresse des Netzanschlusses mit dem genutzten WLAN, nicht jedoch die Identität des unberechtigten Nutzers feststellen können. Selbst wenn der Inhaber des WLAN-Netzes beweisen kann, dass er selbst keine Urheberrechtsverletzung begangen hat, wird er dennoch häufig als so genannter "Störer" auf Unterlassung in Anspruch genommen, weil er die anonym begangenen Rechtsverletzungen durch unterlassene Sicherungsmaßnahmen erst ermöglicht hat.
Solche Unterlassungsansprüche haben in der Praxis oft Erfolg: So bejahte das Landgericht Hamburg bereits mehrfach eine so genannte Mitstörerhaftung (Urteil vom 27. Juni 2006, Az. 308 O 407/06 und Beschluss vom 02. Aug. 2006, Az. 308 O 509/06), ebenso das Landgericht Düsseldorf (Urteil vom 16. Juli 2008, Az. 12 O 229/08) – das Oberlandesgericht Frankfurt verneinte eine Haftung hingegen (Urteil vom 1. Juli 2008, Az. 11 U 52/07).
Bis eine höchstrichterliche Entscheidung die diesbezügliche Rechtsprechung vereinheitlicht, müssen offene WLAN-Netzwerke ganz klar als gefährlich angesehen werden! Wer teure Abmahnungen oder Gerichtskosten vermeiden will, sollte dafür sorgen, dass sein WLAN-Zugang ausreichend gesichert ist.
Offene Netzwerke bergen aber noch zahlreiche andere rechtliche Probleme: Dazu gehört auch der Geheimnisschutz. Gelangen unbefugte Dritte über ein unzureichend gesichertes Drahtlosnetzwerk an sicherheitsrelevante oder sonstige geheime Daten, so kann dies außer Schadensersatzansprüchen sogar strafrechtliche Konsequenzen nach sich ziehen!
Die Strafvorschrift des § 203 StGB stellt das unbefugte Offenbaren eines fremdes Geheimnisses, das einer Person in einer Sonderstellung (z. B. als Arzt, Rechtsanwalt oder Sozialberater) anvertraut worden ist, unter Geld- oder Freiheitsstrafe bis zu einem Jahr. Unter einem Geheimnis werden dabei solche Tatsachen verstanden, die sich auf den Betroffenen beziehen, nur einem begrenzten Personenkreis bekannt sind und an denen ein sachlich begründetes Geheimhaltungsinteresse besteht. Schon das Bestehen eines Vertragsverhältnisses kann unter Umständen als Geheimnis angesehen und muss in solchen Fällen dann vertraulich behandelt werden (Heghmanns/Niehaus, NStZ 2008, 57, 58).
Es stellt sich zwar die Frage, ob ein ungesichertes WLAN bereits ausreicht, um von der "Offenbarung" eines Geheimnisses zu sprechen: Allgemein wird jedoch hierunter jede Mitteilung von Geheimnissen an einen Dritten verstanden (OLG Koblenz, Beschluss vom 03. Juni 2008 – 1 Ss 13/08). Dabei ist ein über die bloße Kenntnisnahme hinaus gehendes inhaltliches Verstehen durch diesen Dritten nicht erforderlich.
Der Wortlaut "offenbaren" lässt vermuten, dass hier ein aktives Weitergeben von Informationen notwendig ist, was bei einem lediglich passiven Nicht-Verschlüsseln der Funkverbindung zweifelhaft sein könnte. Unter Juristen ist jedoch allgemein anerkannt, dass ein Offenbaren auch durch Unterlassen verwirklicht werden kann (Cierniak in: MünchKommStGB, § 203, Rn. 52) – der klassische Fall betrifft dabei das Liegenlassen einer geheimen Akte an einem öffentlich zugänglichen Ort.
Analog zu beurteilen ist es, wenn eine Person Zugriff auf geheime Computerdaten erhält und dadurch ohne Weiteres eine Kenntnisnahme des Geheimnisses möglich ist (BGH NJW 1995, 2915, 2916). Dies wäre bei ungeschützten WLAN-Netzen der Fall, sofern die Datenspeicher, auf denen die Geheimnisse liegen, nicht wirksam verschlüsselt sind. Daher liegt eine Strafbarkeit bereits dann vor, wenn ein unbefugter Dritter über ein ungesichertes Drahtlos-Netzwerk Zugriff auf geheime Informationen erlangt.
Um eine mögliche Strafbarkeit zu vermeiden, ist es daher dringend angeraten, alle Drahtlosverbindungen wirksam zu verschlüsseln (Cierniak in: MünchKommStGB, § 203 StGB, Rn. 48) und die Zugangskennwörter zum Netzwerk restriktiv zu vergeben!
Rechtsanwalt Thomas Feil (feil@recht-freundlich.de) ist Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover. Dipl.-Jur. Alexander Fiedler (fiedler@iri.uni-hannover.de) ist wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2009#1, Seite 24
tag:kes.info,2007:lp:2009-1-B
|