Haftung für Webseiten-Inhalte nach Hackangriff

Eine wichtige Entscheidung hat das OLG Hamburg (5 U 33/19) getroffen, dies hinsichtlich der urheberrechtlichen Haftung für Inhalte, die nach einem Hackangriff auf der eigenen Webseite stehen.

Im Sachverhalt hatte ein Fotograf einen Webseitenbetreiber auf Unterlassung in Anspruch nehmen wollen, nachdem nach einem Hacker-Angriff unbemerkt ganz neue Seiten hochgeladen waren, auf denen auch das Foto des Fotografen unberechtigt verwendet wurde. Kern der Frage am Ende ist dann, ob durch Verstöße gegen grundregelnde Regeln der IT-Sicherheit eine Haftung als Störer in Betracht kommen kann, wenn Hacker Inhalte hochladen. Das OLG hat dies verneint.

Konkreter zum Sachverhalt

Etwas konkreter scheint es so gewesen zu sein, dass ein veraltetes Content-Management-System eingesetzt wurde und über veraltete Module bzw. Erweiterungen zu diesem Content-Management-System ermöglicht wurde, dass Hacker das streitgegenständliche Lichtbild auf dem Server der Internetseite hochluden, so dass dieses öffentlich zugänglich gemacht wurde.

Keine täterschaftliche Haftung

Das OLG macht deutlich, dass eine täterschaftliche Begehung der vorgeworfenen Urheberrechtsverletzung nicht im Raum steht, da die Verletzung derartiger Verkehrspflichten keine Täterhaftung gem. § 97 Abs. 1 UrhG begründen kann. Als Betreiber einer Internetseite und als Diensteanbieter gem. § 2 Satz 1 Nr. 1 TMG bestehen bis zur Kenntnis von der Rechtsverletzung auch keine anlasslosen Prüf- und Überwachungspflichten.

Als Webseite-Betreiber bzw. Domaininhaber haftet man zwar grundsätzlich für die Inhalte seiner Homepage täterschaftlich, aber nur soweit man die Inhalte der Webseite kontrolliert. Aus diesem Haftungsgrund scheidet eine Haftung für die Inhalte der hier gegenständlichen, über einen Hackerangriff zugefügten Seiten mit dem OLG dann aus: Nutzer konnten auf der betroffenen Internetseite nichts hochladen. Bei den unbemerkt im Rahmen eines Hackerangriffs abgelegten Inhalten handelt es sich mit dem OLG im Übrigen (richtigerweise) um keine selbst kontrollierten Inhalte.

IT-Sicherheit als Haftungsgrund

Bemerkenswert sind dann die Feststellungen zur IT-Sicherheit. Das OLG hält ausdrücklich fest, dass sich aus den Anforderungen zur IT-Sicherheit, speziell § 13 Abs. 7 TMG, keine urheberrechtliche Störerhaftung ergibt.

Schutzkreis des §13 Abs.7 TMG

Mit dieser Regelung haben u.a. Webseitenanbieter durch technische und organisatorische Maßnahmen, die dem Stand der Technik zu entsprechen haben, sicherzustellen, dass kein unerlaubter Zugriff auf die genutzten technischen Einrichtungen möglich ist und

  • diese gegen die Verletzung des Schutzes personenbezogener Daten (§ 13 Abs. 7 Nr. 2a TMG) sowie
  • gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind (§ 13 Abs. 7 Nr. 2b TMG)

Das aber ist nicht zu Weit zu verstehen:

Im Rahmen ihrer jeweiligen Verantwortlichkeit und unter dem Vorbehalt der technischen Möglichkeit und wirtschaftlichen Zumutbarkeit trifft geschäftsmäßige Diensteanbieter die Pflicht, rechtswidrige Angriffe zu vermeiden (Spindler/Schmitz, TMG, 2. Aufl., TMG § 13 Rn. 83). In diesem Rahmen sind von einem Diensteanbieter Schutzvorkehrungen zu treffen, deren Kosten in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen, wobei die jeweiligen Anforderungen im Einzelfall zu berücksichtigen sind (BT-Drucks. 18/4096, S. 34). § 13 Abs. 7 TMG ist eine Regelung im vierten Abschnitt des Telemediengesetzes unter der Überschrift „Datenschutz“. Gesetzgeberisches Ziel der Einfügung des § 13 Abs. 7 TMG ist u.a. die Eindämmung der Hauptverbreitungswege von Schadsoftware (BT-Drucks. 18/4096, S. 34). Je nach Sensibilität und Umfang der verarbeiteten Daten kann das erforderliche Schutzniveau dabei unterschiedlich sein (BT-Drucks. 18/4096, S. 34). Hieraus folgt, dass es um den Schutz der Nutzerdaten geht.

OLG Hamburg, 5 U 33/19

Dies ist für das OLG der Einstiegspunkt um festzuhalten, dass man genau prüfen muss, welchem Schutzzweck die Pflichten des §13 Abs.7 TMG dienen – und dazu gehört nicht das Verhindern von Urheberrechtsverletzungen:

Gegenüber dem Antragsteller, der kein Nutzer der Internetseite der Antragsgegnerinnen ist, indem er dort nichts hoch- oder heruntergeladen hat, sind jedoch auch etwaige Verkehrspflichten aus § 13 Abs. 7 TMG nicht verletzt worden. Ein Pflichtwidrigkeitszusammenhang zwischen dem nicht verhinderten Hackerangriff und der im vorliegenden Fall gegenständlichen Urheberrechtsverletzung im Hinblick auf Pflichten aus § 13 Abs. 7 TMG besteht nicht.

OLG Hamburg, 5 U 33/19

Keine urheberrechtliche Haftung wegen IT-Sicherheitsprobleme

Damit kommt das OLG dann dahin, dass der Anbieter bekanntlich zwar grundsätzlich für die Inhalte und die Webseiten verantwortlich ist, für die er als Anbieter auftritt. Bei einem Hackangriff ist zu differenzieren:

  • Wenn ein rechtswidriger Angriff nun aber gerade darin liegt, dass Seiten des Anbieters von Dritten unberechtigt um neue Seiten erweitert werden, so ist der Anbieter sicherheitstechnisch jedenfalls dann nicht verantwortlich, wenn sich klar ergibt, dass dies nicht seine Inhalte sind.
  • Wird es hingegen für den Nutzer bei äusserer Betrachtung nicht erkennbar, dass es sich um unautorisierte Inhalte handelt, so soll sich in diesem Fall eine Verantwortung des Anbieters auch für Sicherheitsmaßnahmen nach § 13 Abs. 7 TMG mit dem OLG ergeben.

Rechtswidrig eingestellte Inhalte können dem Anbieter also mit dem OLG nicht ohne weiteres zugerechnet werden, es sei denn, er muss diese kennen oder kennt diese, ohne diese zu entfernen oder sich zu distanzieren. Nach Kenntnis aber ist auch eine weitergehende Verantwortlichkeit möglich. Das bedeutet, man muss zum einen zwingend beachten, wie die entsprechenden Seiten aufgebaut sind und ob/wie der Seitenanbieter reagiert hat. Das OLG dazu:

Im vorliegenden Fall steht einer Verantwortlichkeit der Antragsgegnerinnen entgegen, dass die rechtswidrig zugefügten Seiten nach dem unstreitigen Sachverhalt deutlich abweichend und in englischer Sprache gestaltet sind, während die übrigen Internetseiten der Antragsgegnerinnen in deutscher Sprache verfasst sind. Auch das Layout ist unstreitig gänzlich abweichend gestaltet. Bereits hieraus ergibt sich, dass es sich für einen Nutzer erkennbar um keine Inhalte der Antragsgegnerinnen handelt.

Die hinzugefügten Seiten waren unstreitig nicht über die Internetseite der Antragsgegnerinnen verlinkt. Selbst wenn aufgrund des Backlinks auf den rechtswidrig zugefügten Seiten eine Zuordnung beim Gelangen auf die zugefügten Seiten möglich ist, so scheitert eine Zurechnung daran, dass die Antragsgegnerinnen die zugefügten Internetseiten bis zur Abmahnung nicht kannten und nach Kenntnis sofort entfernten.

OLG Hamburg, 5 U 33/19
Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht)

Veröffentlicht von

noreply

Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht)

IT-Fachanwalt, Ihr Rechtsanwalt für Softwarerecht bei sämtlichen Fragen rund um die Entwicklung und den Vertrieb von Software im professionellen Umfeld. Dazu auch das LinkedIn-Profil beachten!