| 1 | Im Zivilrecht ist die Haftung des Angreifers umfassend |
| 2 | geregelt. Die Fülle der möglichen Anspruchsgrundlagen kann |
| 3 | hier nicht abschließend behandelt werden, stattdessen soll |
| 4 | ein kurzer Überblick gegeben werden. |
| 5 | |
| 6 | |
| 7 | I.3.3.3.3.1.1 Deliktische Haftung gemäß § 823 Absatz 1 BGB |
| 8 | Der Schutzbereich des § 823 Absatz 1 BGB wird zwingend erst |
| 9 | durch die Verletzung eines der enumerativ aufgeführten |
| 10 | Rechtsgüter eröffnet, namentlich Leben, Körper, Gesundheit, |
| 11 | Freiheit, Eigentum oder ein sonstiges Recht eines anderen. |
| 12 | |
| 13 | Verletzung des Eigentums |
| 14 | Der Angriff auf ein IT-System kann einen Eingriff in das |
| 15 | Recht des Eigentümers des Systems bedeuten. Der Befall mit |
| 16 | Computerviren kann schon eine Verletzung des Eigentums |
| 17 | darstellen. Die Integrität von Daten ist grundsätzlich von |
| 18 | dem Eigentumsbegriff des § 823 Absatz 1 BGB umfasst.[FN: OLG |
| 19 | Karlsruhe NJW 1996, 200, 201; zust. Meier/Wehlau, Die |
| 20 | zivilrechtliche Haftung für Datenlöschung, Datenverlust und |
| 21 | Datenzerstörung, NJW 1998, 1585, 1587 ff.; Hager, in: |
| 22 | Staudinger, §§ 823 E-I, 824, 825, 2009, § 823 BGB Rn. B 60; |
| 23 | Imhof, Das Jahr-2000-Problem, WPK-Mitt. 1998, 136, 137; |
| 24 | Taeger, Außervertragliche Haftung für fehlerhafte |
| 25 | Computerprogramme, 1995, S. 261; a.A. LG Konstanz NJW 1996, |
| 26 | 2662; AG Dachau NJW 2001, 3488.] Zwar kommt Daten nach der |
| 27 | herrschenden Meinung selbst keine Sacheigenschaft zu, jedoch |
| 28 | bezieht der zivilrechtliche Eigentumsschutz auch die |
| 29 | Funktionalität und innere Ordnung des Eigentums mit ein.[FN: |
| 30 | Spindler, in: Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 BGB |
| 31 | Rn. 55; Wagner, in: Münchener Kommentar zum BGB, Bd. 5, 5. |
| 32 | Aufl. 2009, § 823 BGB Rn. 103.] Da praktisch jede Art der |
| 33 | Datenspeicherung eine innere Ordnung voraussetzt, die durch |
| 34 | Veränderung oder Löschung mittels eines Virus gestört oder |
| 35 | sogar zerstört wird, stellt der Befall mit Viren regelmäßig |
| 36 | eine Eigentumsverletzung im Sinne des § 823 Absatz 1 BGB |
| 37 | dar.[FN: OLG Karlsruhe NJW 1996, 200, 201; Bartsch, |
| 38 | Computerviren und Produkthaftung, CR 2000, 721, 723; |
| 39 | Spindler, Das Jahr 2000-Problem in der Produkthaftung – |
| 40 | Pflichten der Hersteller und der Softwarenutzer, NJW 1999, |
| 41 | 3737, 3738; Spindler, IT-Sicherheit und Produkthaftung – |
| 42 | Sicherheitslücken, Pflichten der Hersteller und der |
| 43 | Softwarenutzer, NJW 2004, 3145, 3146; Meier/Wehlau, Die |
| 44 | zivilrechtliche Haftung für Datenlöschung, Datenverlust und |
| 45 | Datenzerstörung, NJW 1998, 1585, 1588; Mankowski, in: Ernst, |
| 46 | Hacker, Cracker & Computerviren, 2004, Rn. 440 f.; Koch, |
| 47 | Versicherbarkeit von IT-Risiken, 2005, Rn. 357 f.; |
| 48 | Sodtalbers, Softwarehaftung im Internet, 2006, Rn. 511; |
| 49 | Spindler, in: Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 BGB |
| 50 | Rn. 55; a.A. Bauer, Produkthaftung für Software nach |
| 51 | geltendem und künftigem deutschen Recht (Teil 2), PHi 1989, |
| 52 | 98, 105 f., nach dem die Zerstörung der Information |
| 53 | physikalisch allenfalls eine elektronische |
| 54 | Zustandsveränderung darstellt.] |
| 55 | |
| 56 | Auch das Tatbestandsmerkmal des Verschuldens dürfte |
| 57 | regelmäßig kein Problem darstellen. In den meisten Fällen |
| 58 | wird derjenige, der die Viren in Umlauf bringt, vorsätzlich |
| 59 | handeln. Dass das genaue Opfer im Moment seiner |
| 60 | Verletzungshandlung noch nicht bestimmt ist, schadet der |
| 61 | Haftung nicht. |
| 62 | |
| 63 | Auch die Infektion mit anderen Formen von Schadsoftware kann |
| 64 | grundsätzlich zu einer Eigentumsverletzung führen. Hier |
| 65 | kommt es im Einzelnen darauf an, ob die interne Ordnung der |
| 66 | Festplatte durch die Schadsoftware verändert wird oder |
| 67 | nicht. |
| 68 | |
| 69 | Teilweise wird so weit gegangen, auch den verkörperten |
| 70 | Datenbestand an sich als sonstiges in § 823 Absatz 1 BGB |
| 71 | geschütztes Recht anzusehen.[FN: Faustmann, Der deliktische |
| 72 | Datenschutz, VuR 2006, 262 f.; Meier/Wehlau, Die |
| 73 | zivilrechtliche Haftung für Datenlöschung, Datenverlust und |
| 74 | Datenzerstörung, NJW 1998, 1585, 1588.] Dies hätte den |
| 75 | Vorteil, dass die Integrität der Daten auch dann geschützt |
| 76 | wäre, wenn die Daten an einen Dritten ausgelagert sind. Ob |
| 77 | diese Ansicht sich durchsetzt, bleibt abzuwarten. |
| 78 | |
| 79 | Grundsätzlich kann das Eigentum auch in der Weise geschädigt |
| 80 | werden, dass dem Eigentümer die bestimmungsgemäße Verwendung |
| 81 | erschwert oder entzogen wird.[FN: Spindler, in: |
| 82 | Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 BGB Rn. 50 ff. |
| 83 | m.w.N.] Diese Variante der Rechtsgutverletzung dürfte |
| 84 | insbesondere in den Fällen der DDoS-Angriffe von Bedeutung |
| 85 | sein. Aber auch die Infektion mit Schadsoftware kann die |
| 86 | Betriebsbereitschaft eines IT-Systems erheblich |
| 87 | einschränken. Wann jedoch die Grenze zu der von der |
| 88 | Rechtsprechung[FN: BGH NJW 1983, 2313, 2314; BGH NJW-RR |
| 89 | 2005, 673, 674; BGH NJW 1994, 517, 518.] und auch dem |
| 90 | Großteil der Literatur[FN: Wagner, in: Münchener Kommentar |
| 91 | zum BGB, Bd. 5, 5. Aufl. 2009, § 823 BGB Rn. 122; Hager, in: |
| 92 | Staudinger, §§ 823 E-I, 824, 825, 2009, § 823 Rn. B97 f.] |
| 93 | verlangten erheblichen Einschränkung der Benutzbarkeit eines |
| 94 | IT-Systems zu ziehen ist, ist regelmäßig eine Frage des |
| 95 | Einzelfalles. Auch hier kann regelmäßig von einem |
| 96 | Verschulden des Angreifers ausgegangen werden. |
| 97 | |
| 98 | Leben, Körper, Gesundheit, Freiheit |
| 99 | Auch die Verletzung der Rechtsgüter Leben, Körper, |
| 100 | Gesundheit oder Freiheit kann theoretisch gegeben sein. |
| 101 | |
| 102 | Insbesondere dort, wo die IT als Hilfstechnik unverzichtbar |
| 103 | ist, etwa im Bereich der Medizin, ist es möglich, dass |
| 104 | Angriffe auf die IT zu Schäden an Leben, Körper oder |
| 105 | Gesundheit führen. |
| 106 | Sonstige Rechte |
| 107 | |
| 108 | Neben der Verletzung eines der bereits genannten Rechtsgüter |
| 109 | kommt auch die eines „sonstigen Rechts“ im Sinne von § 823 |
| 110 | Absatz 1 BGB in Betracht. Hintergrund dessen ist, dass § 823 |
| 111 | Absatz 1 BGB nicht vor jedem beliebigen Schaden schützen |
| 112 | soll, sondern die Schutzgüter grundsätzlich abschließend |
| 113 | benennt. Die so genannten „sonstigen Rechte“ erweitern daher |
| 114 | zwar einerseits den Schutzbereich der Norm, müssen jedoch |
| 115 | andererseits auch einen den ausdrücklich genannten |
| 116 | Rechtsgütern (Leben, Körper, Gesundheit, Freiheit, Eigentum) |
| 117 | vergleichbaren absoluten Charakter besitzen, damit die |
| 118 | Reichweite des § 823 Absatz 1 BGB nicht ausufert.[FN: |
| 119 | Wagner, in: Münchener Kommentar zum BGB, Bd. 5, 5. Aufl. |
| 120 | 2009, § 823 BGB Rn. 142.] Als sonstige Rechte werden daher |
| 121 | nur absolute, ausschließliche Rechte anerkannt (zum Beispiel |
| 122 | das allgemeine Persönlichkeitsrecht, die |
| 123 | Immaterialgüterrechte und der Besitz). Von besonderer |
| 124 | Bedeutung dürfte in diesem Zusammenhang auch das Recht auf |
| 125 | informationelle Selbstbestimmung sein. Es schützt gegen die |
| 126 | unzulässige Erhebung, Nutzung und Verarbeitung persönlicher |
| 127 | und personenbezogener Daten. Die Verletzung des Rechts auf |
| 128 | informationelle Selbstbestimmung beispielsweise durch das |
| 129 | Ausspähen von Datenkann Ansprüche auf Unterlassung, |
| 130 | Beseitigung, Auskunft und Ersatz des materiellen und |
| 131 | immateriellen Schadens nach den §§ 823, 1004 BGB begründen. |
| 132 | |
| 133 | Für einige Fälle der Internetkriminalität von Bedeutung ist |
| 134 | des Weiteren das vom Bundesverfassungsgericht in seinem |
| 135 | Urteil vom 27. Februar 2008 anerkannte „Grundrecht auf |
| 136 | Gewährleistung der Vertraulichkeit und Integrität |
| 137 | informationstechnischer Systeme”.[FN: Eingehend zu dem |
| 138 | Urteil Hornung, Ein neues Grundrecht, CR 2008, 299; Hoeren, |
| 139 | Was ist das „Grundrecht auf Integrität und Vertraulichkeit |
| 140 | informationstechnischer Systeme“?, MMR 2008, 365; Bär, |
| 141 | Anmerkung zu BVerfG: Verfassungsmäßigkeit der |
| 142 | Online-Durchsuchung und anderer verdeckter |
| 143 | Ermittlungsmaßnahmen in Datennetzen, MMR 2008, 325; Eifert, |
| 144 | Informationelle Selbstbestimmung im Internet, NVwZ 2008, |
| 145 | 521.] Jeder Zugriff auf ein IT-System, durch den der Nutzer |
| 146 | die Kontrolle über das System verliert, stellt grundsätzlich |
| 147 | einen Eingriff in den Schutzbereich des Rechtes dar. |
| 148 | Hierunter fällt insbesondere auch der Zugriff mit |
| 149 | Backdoorprogrammen.[FN: S.o. Abschnitt II.3.1.6.1, dort |
| 150 | Absatz: Backdoors.] Offen ist noch, ob das Recht auf |
| 151 | Vertraulichkeit und Integrität informationstechnischer |
| 152 | Systeme ein „sonstiges Recht“ im Sinne von § 823 Absatz 1 |
| 153 | BGB ist.[FN: Dafür wohl Roßnagel/Schnabel, Das Grundrecht |
| 154 | auf Gewährleistung der Vertraulichkeit und Integrität |
| 155 | informationstechnischer Systeme und sein Einfluss auf das |
| 156 | Privatrecht, NJW 2008, 3534, 3536; dafür auch Bartsch, Die |
| 157 | „Vertraulichkeit und Integrität informationstechnischer |
| 158 | Systeme“ als sonstiges Recht nach § 823 Absatz 1 BGB, CR |
| 159 | 2008, 613, 614 f., ders., Software als Rechtsgut, CR 2010, |
| 160 | 553, 554,] |
| 161 | |
| 162 | |
| 163 | I.3.3.3.3.1.2 Deliktische Haftung gemäß § 823 Absatz 2 BGB |
| 164 | in Verbindung mit einem Schutzgesetz |
| 165 | |
| 166 | Bei den oben genannten strafrechtlichen Normen handelt es |
| 167 | sich um Schutzgesetze im Sinne des § 823 Absatz 2 BGB. Durch |
| 168 | die Verbindung mit § 823 Absatz 2 BGB kommt diesen eine |
| 169 | besondere rechtsschützende Qualität zu. |
| 170 | |
| 171 | |
| 172 | I.3.3.3.3.1.3 Verantwortlichkeit nach Spezialgesetzen |
| 173 | In Frage kommt schließlich noch die Verletzung einiger |
| 174 | spezialgesetzlicher Normen aus dem IT-Bereich, die nicht im |
| 175 | Detail behandelt werden können. Hervorzuheben ist aber |
| 176 | insbesondere § 43 Absatz 2 Nummer 3 und 4 des |
| 177 | Bundesdatenschutzgesetzes (BDSG).[FN: |
| 178 | Bundesdatenschutzgesetz in der Fassung der Bekanntmachung |
| 179 | vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch |
| 180 | Artikel 1 des Gesetzes vom 14. August 2009 (BGBl. I S. |
| 181 | 2814); s. auch Spindler, in: Lorenz, Haftung und |
| 182 | Versicherung im IT-Bereich: Karlsruher Forum 2010, S. 57.] |
| 183 | Diesem zufolge handelt ordnungswidrig, wer unbefugt |
| 184 | personenbezogene Daten, die nicht allgemein zugänglich sind, |
| 185 | abruft oder sich oder einem anderen aus automatisierten |
| 186 | Verarbeitungen oder nicht automatisierten Dateien verschafft |
| 187 | (Nummer 3), oder wer die Übermittlung solcher Daten durch |
| 188 | unrichtige Angaben erschleicht (Nummer 4). |
1-1 von 1
-
02.03.03.03.03.01 Haftung des Angreifers (Originalversion)
von EnqueteSekretariat, angelegt