Papier: 02.03.03.03.03.03 Haftung des IT-Nutzers
Originalversion
1 | Wie oben gezeigt,[FN: S.o. Abschnitt II.3.1.5.1.] geht die |
2 | größte Bedrohung für die IT-Sicherheit von konzertierten |
3 | Angriffen mittels Botnetzen aus. An diese Botnetze |
4 | angeschlossen sind oft auch private Computer, die vom |
5 | Betreiber des Botnetzes ferngesteuert werden, ohne dass der |
6 | Nutzer davon Kenntnis hat. Diesen Angriffen wäre der Boden |
7 | entzogen, wenn es für die Betreiber der Botnetze nicht mehr |
8 | möglich wäre, weitere Rechner („Bots“) zu infizieren. Eine |
9 | Verbesserung der IT-Sicherheit auf Seiten der Anwender |
10 | verspricht deshalb die allgemeine IT-Sicherheitslage zu |
11 | verbessern. Zu einer Haftung des IT-Nutzers kann es |
12 | einerseits auf vertraglicher Grundlage und andererseits |
13 | außervertraglich auf Grundlage des allgemeinen Deliktsrechts |
14 | kommen. Die juristische Debatte steht hierzu jedoch noch am |
15 | Anfang. Gesicherte Auffassungen dazu, welche |
16 | Verkehrssicherungspflichten den IT-Nutzer im Rahmen der |
17 | deliktischen Haftung treffen, gibt es daher noch nicht. |
18 | Allerdings hat sich der Bundesgerichtshof in einer |
19 | Entscheidung zur Haftung als Betreiber eines WLAN-Netzes |
20 | geäußert.[FN: Siehe unten – Fußnote 431.] |
21 | |
22 | |
23 | I.3.3.3.3.4.1 Vertragliche Haftung im Arbeitsverhältnis |
24 | Im Allgemeinen ist eine vertragliche Haftung des privaten |
25 | IT-Nutzers in der Regel nicht denkbar.[FN: Spindler, in: |
26 | Lorenz, Haftung und Versicherung im IT-Bereich: Karlsruher |
27 | Forum 2010, S. 57.] |
28 | |
29 | Eine Ausnahme bildet hier die Haftung innerhalb eines |
30 | Arbeitsverhältnisses. Dieser kommt aufgrund der Tatsache, |
31 | dass Arbeitnehmer in vielen Branchen mittlerweile ihre |
32 | privaten Endgeräte auch beruflich einsetzen (Stichwort: BYOD |
33 | – Bring Your Own Device), eine gesteigerte Bedeutung zu. |
34 | Kommt es im beruflichen Rahmen zur Nutzung von Hardware oder |
35 | Software, die im Eigentum des Arbeitgebers steht, oder ist |
36 | solche auf andere Weise dem Einfluss des Arbeitnehmers |
37 | ausgesetzt (beispielsweise indem sie mit einem Computer oder |
38 | internetfähigen Handy des Arbeitnehmers vernetzt ist), sind |
39 | die allgemeinen Grundsätze über die Haftung von |
40 | Arbeitnehmern[FN: BAG GS Beschluss vom 27.09.1994 – GS 1/89; |
41 | NZA 1994, 1083 m.w.N.] anwendbar. Gleiches gilt, wenn durch |
42 | den Einsatz von privater Hard- oder Software durch den |
43 | Mitarbeiter dem Arbeitgeber oder einem Dritten Schäden |
44 | entstehen. |
45 | |
46 | |
47 | I.3.3.3.3.4.2 Außervertragliche Verschuldenshaftung gemäß § |
48 | 823 BGB |
49 | Hingegen ergibt sich die Möglichkeit einer |
50 | Verschuldenshaftung gegenüber Dritten aufgrund von § 823 |
51 | BGB, insbesondere dessen Absatz 1. Anknüpfungspunkt für die |
52 | Haftung kann beispielsweise sein, dass der Nutzer fahrlässig |
53 | Viren oder andere schadhafte Programme[FN: Zu den einzelnen |
54 | Bedrohungen und Angriffsformen oben Abschnitte II.3.1.5 und |
55 | II.3.1.6.] an die Endgeräte Dritter verbreitet, weil er |
56 | seinen Rechner nicht ausreichend gegen Angreifer geschützt |
57 | hat und dieser in der Folge in ein Botnetz eingebunden |
58 | wurde.[FN: Spindler, in: Lorenz, Haftung und Versicherung im |
59 | IT-Bereich: Karlsruher Forum 2010, S. 57 f.] |
60 | |
61 | Das Vorliegen einer in einem solchen Fall von mittelbarer |
62 | Schädigung oder Schädigung durch Unterlassen für die |
63 | Haftungsbegründung erforderlichen Verletzung einer |
64 | Verkehrssicherungspflicht ist einerseits vom Einzelfall |
65 | abhängig, andererseits aber auch insofern problematisch, als |
66 | die Verkehrssicherungspflichten von IT-Nutzern im |
67 | Allgemeinen noch nicht abschließend geklärt sind.[FN: |
68 | Spindler, in: Lorenz, Haftung und Versicherung im |
69 | IT-Bereich: Karlsruher Forum 2010, S. 58.] Während |
70 | IT-Hersteller, wie oben dargestellt,[FN: S.o. Kapitel |
71 | II.3.3.3.3, dort Absatz: Außervertragliche |
72 | Verschuldenshaftung nach § 823 Abs. 1I BGB.] eine |
73 | Verkehrssicherungspflicht aufgrund der Schaffung einer |
74 | Gefahrenquelle trifft, kann aber zumindest für den Nutzer |
75 | eines bereits kompromittierten IT-Systems (das heißt auch |
76 | schon eines einzelnen Rechners) eine |
77 | Verkehrssicherungspflicht aufgrund der Beherrschung einer |
78 | Gefahrenquelle angenommen werden.[FN: Spindler, in: Lorenz, |
79 | Haftung und Versicherung im IT-Bereich: Karlsruher Forum |
80 | 2010, S. 58.] Er ist mithin verpflichtet, die notwendigen |
81 | und zumutbaren Vorkehrungen zu treffen, um eine Schädigung |
82 | anderer durch die Gefahrenquelle zu verhindern.[FN: |
83 | Spindler, in: Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. |
84 | 24.] Diese Pflicht kann allerdings nicht so weit verstanden |
85 | werden, dass es eine allgemeine Fürsorgepflicht für Dritte |
86 | gäbe. Es bedarf stets einer konkreten Pflichtenlage zum |
87 | Schutz der Rechtsgüter eines Dritten, um eine |
88 | Verkehrssicherungspflicht annehmen zu können.[FN: Spindler, |
89 | in: Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 227; Koch, |
90 | Haftung für die Weiterverbreitung von Viren durch E-Mails, |
91 | NJW 2004, 801, 803.] |
92 | |
93 | Zu berücksichtigen ist jedoch, dass den Geschädigten |
94 | aufgrund eines eigenen Versagens beim Schutz seiner IT und |
95 | der daraus resultierenden Infektionsanfälligkeit ein |
96 | Mitverschulden treffen kann, das grundsätzlich nach |
97 | denselben Maßstäben zu beurteilen ist wie das Verschulden |
98 | des Schädigers und dessen Haftungsumfang schließlich |
99 | abmildert.[FN: S. dazu Spindler, in: Lorenz, Haftung und |
100 | Versicherung im IT-Bereich: Karlsruher Forum 2010, S. 60.] |
101 | Insofern stehen sich Selbst- und Fremdschutzpflichten quasi |
102 | spiegelbildlich gegenüber.[FN: Spindler, in: Lorenz, Haftung |
103 | und Versicherung im IT-Bereich: Karlsruher Forum 2010, S. |
104 | 68; Libertus, Zivilrechtliche Haftung und strafrechtliche |
105 | Verantwortlichkeit bei unbeabsichtigter Verbreitung von |
106 | Computerviren, MMR 2005, 507, 509.] |
107 | |
108 | Bei der Frage, welche Sorgfaltspflichten im Einzelnen an die |
109 | Nutzer von IT-Systemen zu stellen sind, ist grundsätzlich |
110 | auf die berechtigten Erwartungen der betroffenen |
111 | Verkehrskreise abzustellen.[FN: BGH NJW-RR 2002, 525, 526; |
112 | BGH NJW 1978, 1629; BGH NJW 1990, 906, 907; Spindler, in: |
113 | Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 234; Libertus, |
114 | Zivilrechtliche Haftung und strafrechtliche |
115 | Verantwortlichkeit bei unbeabsichtigter Verbreitung von |
116 | Computerviren, MMR 2005, 507, 509; Koch, Haftung für die |
117 | Weiterverbreitung von Viren durch E-Mails, NJW 2004, 801, |
118 | 804.] Ob Erwartungen berechtigt sind, richtet sich |
119 | maßgeblich nach der technischen und wirtschaftlichen |
120 | Zumutbarkeit.[FN: Koch, Haftung für die Weiterverbreitung |
121 | von Viren durch E-Mails, NJW 2004, 801, 804; Libertus, |
122 | Zivilrechtliche Haftung und strafrechtliche |
123 | Verantwortlichkeit bei unbeabsichtigter Verbreitung von |
124 | Computerviren, MMR 2005, 507, 509; Spindler, in: |
125 | Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 240.] Eine |
126 | grobe Unterscheidung lässt sich zudem vornehmen zwischen |
127 | privaten Nutzern und solchen, die IT-Systeme ihrerseits |
128 | professionell einsetzen. |
129 | |
130 | Verkehrssicherungspflichten privater IT-Nutzer |
131 | Für den Umfang der möglichen Verkehrssicherungspflichten |
132 | eines privaten Betreibers eines IT-Systems hat der |
133 | Bundesgerichtshof bisher in seiner WLAN-Entscheidung |
134 | grundlegende Vorgaben gemacht.[FN: BGH GRUR 2010, 633.] |
135 | Wendet man die dort entwickelten Grundsätze an, kann man |
136 | davon ausgehen, dass von Privaten verlangt werden kann, |
137 | solche Sicherungsmaßnahmen zu treffen, die ohne großen |
138 | Aufwand und nähere technische Kenntnisse aktiviert werden |
139 | können.[FN: Zwar war Gegenstand der zugrunde liegenden |
140 | BGH-Entscheidung nicht die Haftung wegen einer |
141 | Verkehrssicherungspflichtverletzung, sondern die Frage nach |
142 | der Störerhaftung, aber das Urteil lässt den Schluss zu, |
143 | dass diese Störerhaftung auf der Verletzung einer |
144 | Verkehrssicherungspflicht beruht. So auch Stang/Hühner, |
145 | Störerhaftung des WLAN-Inhabers, Anmerkung zu BGH, Urt. v. |
146 | 12.5.2010 – I ZR 121/08 – Sommer unseres Lebens, GRUR 2010, |
147 | 633, 636.] Insofern werden auf jeden Fall die Aktivierung |
148 | von Firewalls und die Nutzung von Virenscannern verlangt |
149 | werden können,[FN: Siehe näher hierzu: Spindler, in: Lorenz, |
150 | Haftung und Versicherung im IT-Bereich: Karlsruher Forum |
151 | 2010, S. 61; Libertus, Zivilrechtliche Haftung und |
152 | strafrechtliche Verantwortlichkeit bei unbeabsichtigter |
153 | Verbreitung von Computerviren, MMR 2005, 507, 509.] ebenso |
154 | wie das Einspielen von vom Softwarehersteller |
155 | bereitgestellten Patches. Von einem pauschalen Ausschluss |
156 | der Verkehrssicherungspflichten privater IT-Nutzer, die als |
157 | Sender elektronischer Kommunikation unter Umständen |
158 | Computerviren verbreiten, wie vereinzelt vertreten wurde, |
159 | kann demzufolge nicht mehr ausgegangen werden.[FN: So aber |
160 | Koch, Haftung für die Weiterverbreitung von Viren durch |
161 | E-Mails, NJW 2004, 801, 805; dagegen bereits Libertus, |
162 | Zivilrechtliche Haftung und strafrechtliche |
163 | Verantwortlichkeit bei unbeabsichtigter Verbreitung von |
164 | Computerviren, MMR 2005, 507, 509 f.] |
165 | |
166 | Verkehrssicherungspflichten professioneller IT-Nutzer |
167 | Professionelle Nutzer von IT-Technik, wie etwa Unternehmen, |
168 | sind grundsätzlich denselben Bedrohungen ausgesetzt wie |
169 | private Nutzer. Ein wesentlicher Unterschied ergibt sich |
170 | jedoch daraus, dass ihnen im Hinblick auf ihre |
171 | Verkehrssicherungspflichten ein größeres Maß an |
172 | Sicherheitsvorkehrungen zugemutet werden kann. Dies ergibt |
173 | sich daraus, dass ein Unternehmen, das IT-Technik gezielt |
174 | und umfangreich zur Erledigung seiner Geschäfte einsetzt, |
175 | zum einen eine größere Gefahrenquelle schafft |
176 | beziehungsweise beherrscht, und zum anderen von ihm auch |
177 | technisches Know-How und finanzielle Mittel erwartet werden |
178 | können.[FN: Spindler, in: Lorenz, Haftung und Versicherung |
179 | im IT-Bereich: Karlsruher Forum 2010, S. 65; Libertus, |
180 | Zivilrechtliche Haftung und strafrechtliche |
181 | Verantwortlichkeit bei unbeabsichtigter Verbreitung von |
182 | Computerviren, MMR 2005, 507, 509.] Insofern könnten sich |
183 | die zu erwartenden Maßnahmen u.a. auch an der Größe des |
184 | Unternehmens zu orientieren. Von Einfluss auf die zu |
185 | erwartenden Sicherheitsmaßahmen ist schließlich auch die |
186 | Frage, in welchem Maße das Unternehmen mit welchen |
187 | Rechtsgütern Dritter über seine IT-Technik in Kontakt |
188 | kommt.[FN: Spindler, in: Lorenz, Haftung und Versicherung im |
189 | IT-Bereich: Karlsruher Forum 2010, S. 65; es wird darauf |
190 | hingewiesen, dass die Projektgruppe „Demokratie und Staat“ |
191 | der Enquete-Kommission sich u.a. mit der Frage einer |
192 | obligatorischen Verschlüsselung elektronischer Kommunikation |
193 | im Justiz-Bereich beschäftigt.] |
194 | |
195 | Auf der anderen Seite ist in die berechtigten Erwartungen |
196 | der betroffenen Verkehrskreise auch einzubeziehen, inwieweit |
197 | beispielsweise den Empfängern elektronischer Kommunikation |
198 | (E-Mails etc.) zuzumuten ist, sich selbst vor Computerviren |
199 | zu schützen. Auch in dieser Hinsicht ist Unternehmen mehr |
200 | Aufwand zuzumuten als Privatpersonen, weshalb vereinzelt |
201 | vertreten wurde, dass in der elektronischen |
202 | B2B-Kommunikation das sendende Unternehmen keine |
203 | Verkehrssicherungspflicht gegenüber dem empfangenden |
204 | Unternehmen treffe, da dessen Selbstschutz vorausgesetzt |
205 | werden dürfe.[FN: Koch, Haftung für die Weiterverbreitung |
206 | von Viren durch E-Mails, NJW 2004, 801, 805.] Da in der |
207 | Regel aber jedes Unternehmen nicht nur Sender, sondern |
208 | zugleich auch Empfänger elektronischer Kommunikationsmittel |
209 | ist, läuft es zwangsläufig auf eine Pflicht zur Einrichtung |
210 | geeigneter – und gegenüber privaten Nutzern wirksamerer – |
211 | Schutzmittel hinaus, sei es in Form der |
212 | Verkehrssicherungspflicht oder in Form der Pflicht zum |
213 | Selbstschutz.[FN: Zu der Spiegelbildlichkeit beider |
214 | Pflichten s. bereits oben II.3.3.3.3, dort Abschnitt: |
215 | Außervertragliche Verschuldenshaftung gemäß § 823 BGB und |
216 | Fußtnote 427.] |
Der Text verglichen mit der Originalversion
1 | Wie oben gezeigt,[FN: S.o. Abschnitt II.3.1.5.1.] geht die |
2 | größte Bedrohung für die IT-Sicherheit von konzertierten |
3 | Angriffen mittels Botnetzen aus. An diese Botnetze |
4 | angeschlossen sind oft auch private Computer, die vom |
5 | Betreiber des Botnetzes ferngesteuert werden, ohne dass der |
6 | Nutzer davon Kenntnis hat. Diesen Angriffen wäre der Boden |
7 | entzogen, wenn es für die Betreiber der Botnetze nicht mehr |
8 | möglich wäre, weitere Rechner („Bots“) zu infizieren. Eine |
9 | Verbesserung der IT-Sicherheit auf Seiten der Anwender |
10 | verspricht deshalb die allgemeine IT-Sicherheitslage zu |
11 | verbessern. Zu einer Haftung des IT-Nutzers kann es |
12 | einerseits auf vertraglicher Grundlage und andererseits |
13 | außervertraglich auf Grundlage des allgemeinen Deliktsrechts |
14 | kommen. Die juristische Debatte steht hierzu jedoch noch am |
15 | Anfang. Gesicherte Auffassungen dazu, welche |
16 | Verkehrssicherungspflichten den IT-Nutzer im Rahmen der |
17 | deliktischen Haftung treffen, gibt es daher noch nicht. |
18 | Allerdings hat sich der Bundesgerichtshof in einer |
19 | Entscheidung zur Haftung als Betreiber eines WLAN-Netzes |
20 | geäußert.[FN: Siehe unten – Fußnote 431.] |
21 | |
22 | |
23 | I.3.3.3.3.4.1 Vertragliche Haftung im Arbeitsverhältnis |
24 | Im Allgemeinen ist eine vertragliche Haftung des privaten |
25 | IT-Nutzers in der Regel nicht denkbar.[FN: Spindler, in: |
26 | Lorenz, Haftung und Versicherung im IT-Bereich: Karlsruher |
27 | Forum 2010, S. 57.] |
28 | |
29 | Eine Ausnahme bildet hier die Haftung innerhalb eines |
30 | Arbeitsverhältnisses. Dieser kommt aufgrund der Tatsache, |
31 | dass Arbeitnehmer in vielen Branchen mittlerweile ihre |
32 | privaten Endgeräte auch beruflich einsetzen (Stichwort: BYOD |
33 | – Bring Your Own Device), eine gesteigerte Bedeutung zu. |
34 | Kommt es im beruflichen Rahmen zur Nutzung von Hardware oder |
35 | Software, die im Eigentum des Arbeitgebers steht, oder ist |
36 | solche auf andere Weise dem Einfluss des Arbeitnehmers |
37 | ausgesetzt (beispielsweise indem sie mit einem Computer oder |
38 | internetfähigen Handy des Arbeitnehmers vernetzt ist), sind |
39 | die allgemeinen Grundsätze über die Haftung von |
40 | Arbeitnehmern[FN: BAG GS Beschluss vom 27.09.1994 – GS 1/89; |
41 | NZA 1994, 1083 m.w.N.] anwendbar. Gleiches gilt, wenn durch |
42 | den Einsatz von privater Hard- oder Software durch den |
43 | Mitarbeiter dem Arbeitgeber oder einem Dritten Schäden |
44 | entstehen. |
45 | |
46 | |
47 | I.3.3.3.3.4.2 Außervertragliche Verschuldenshaftung gemäß § |
48 | 823 BGB |
49 | Hingegen ergibt sich die Möglichkeit einer |
50 | Verschuldenshaftung gegenüber Dritten aufgrund von § 823 |
51 | BGB, insbesondere dessen Absatz 1. Anknüpfungspunkt für die |
52 | Haftung kann beispielsweise sein, dass der Nutzer fahrlässig |
53 | Viren oder andere schadhafte Programme[FN: Zu den einzelnen |
54 | Bedrohungen und Angriffsformen oben Abschnitte II.3.1.5 und |
55 | II.3.1.6.] an die Endgeräte Dritter verbreitet, weil er |
56 | seinen Rechner nicht ausreichend gegen Angreifer geschützt |
57 | hat und dieser in der Folge in ein Botnetz eingebunden |
58 | wurde.[FN: Spindler, in: Lorenz, Haftung und Versicherung im |
59 | IT-Bereich: Karlsruher Forum 2010, S. 57 f.] |
60 | |
61 | Das Vorliegen einer in einem solchen Fall von mittelbarer |
62 | Schädigung oder Schädigung durch Unterlassen für die |
63 | Haftungsbegründung erforderlichen Verletzung einer |
64 | Verkehrssicherungspflicht ist einerseits vom Einzelfall |
65 | abhängig, andererseits aber auch insofern problematisch, als |
66 | die Verkehrssicherungspflichten von IT-Nutzern im |
67 | Allgemeinen noch nicht abschließend geklärt sind.[FN: |
68 | Spindler, in: Lorenz, Haftung und Versicherung im |
69 | IT-Bereich: Karlsruher Forum 2010, S. 58.] Während |
70 | IT-Hersteller, wie oben dargestellt,[FN: S.o. Kapitel |
71 | II.3.3.3.3, dort Absatz: Außervertragliche |
72 | Verschuldenshaftung nach § 823 Abs. 1I BGB.] eine |
73 | Verkehrssicherungspflicht aufgrund der Schaffung einer |
74 | Gefahrenquelle trifft, kann aber zumindest für den Nutzer |
75 | eines bereits kompromittierten IT-Systems (das heißt auch |
76 | schon eines einzelnen Rechners) eine |
77 | Verkehrssicherungspflicht aufgrund der Beherrschung einer |
78 | Gefahrenquelle angenommen werden.[FN: Spindler, in: Lorenz, |
79 | Haftung und Versicherung im IT-Bereich: Karlsruher Forum |
80 | 2010, S. 58.] Er ist mithin verpflichtet, die notwendigen |
81 | und zumutbaren Vorkehrungen zu treffen, um eine Schädigung |
82 | anderer durch die Gefahrenquelle zu verhindern.[FN: |
83 | Spindler, in: Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. |
84 | 24.] Diese Pflicht kann allerdings nicht so weit verstanden |
85 | werden, dass es eine allgemeine Fürsorgepflicht für Dritte |
86 | gäbe. Es bedarf stets einer konkreten Pflichtenlage zum |
87 | Schutz der Rechtsgüter eines Dritten, um eine |
88 | Verkehrssicherungspflicht annehmen zu können.[FN: Spindler, |
89 | in: Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 227; Koch, |
90 | Haftung für die Weiterverbreitung von Viren durch E-Mails, |
91 | NJW 2004, 801, 803.] |
92 | |
93 | Zu berücksichtigen ist jedoch, dass den Geschädigten |
94 | aufgrund eines eigenen Versagens beim Schutz seiner IT und |
95 | der daraus resultierenden Infektionsanfälligkeit ein |
96 | Mitverschulden treffen kann, das grundsätzlich nach |
97 | denselben Maßstäben zu beurteilen ist wie das Verschulden |
98 | des Schädigers und dessen Haftungsumfang schließlich |
99 | abmildert.[FN: S. dazu Spindler, in: Lorenz, Haftung und |
100 | Versicherung im IT-Bereich: Karlsruher Forum 2010, S. 60.] |
101 | Insofern stehen sich Selbst- und Fremdschutzpflichten quasi |
102 | spiegelbildlich gegenüber.[FN: Spindler, in: Lorenz, Haftung |
103 | und Versicherung im IT-Bereich: Karlsruher Forum 2010, S. |
104 | 68; Libertus, Zivilrechtliche Haftung und strafrechtliche |
105 | Verantwortlichkeit bei unbeabsichtigter Verbreitung von |
106 | Computerviren, MMR 2005, 507, 509.] |
107 | |
108 | Bei der Frage, welche Sorgfaltspflichten im Einzelnen an die |
109 | Nutzer von IT-Systemen zu stellen sind, ist grundsätzlich |
110 | auf die berechtigten Erwartungen der betroffenen |
111 | Verkehrskreise abzustellen.[FN: BGH NJW-RR 2002, 525, 526; |
112 | BGH NJW 1978, 1629; BGH NJW 1990, 906, 907; Spindler, in: |
113 | Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 234; Libertus, |
114 | Zivilrechtliche Haftung und strafrechtliche |
115 | Verantwortlichkeit bei unbeabsichtigter Verbreitung von |
116 | Computerviren, MMR 2005, 507, 509; Koch, Haftung für die |
117 | Weiterverbreitung von Viren durch E-Mails, NJW 2004, 801, |
118 | 804.] Ob Erwartungen berechtigt sind, richtet sich |
119 | maßgeblich nach der technischen und wirtschaftlichen |
120 | Zumutbarkeit.[FN: Koch, Haftung für die Weiterverbreitung |
121 | von Viren durch E-Mails, NJW 2004, 801, 804; Libertus, |
122 | Zivilrechtliche Haftung und strafrechtliche |
123 | Verantwortlichkeit bei unbeabsichtigter Verbreitung von |
124 | Computerviren, MMR 2005, 507, 509; Spindler, in: |
125 | Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 240.] Eine |
126 | grobe Unterscheidung lässt sich zudem vornehmen zwischen |
127 | privaten Nutzern und solchen, die IT-Systeme ihrerseits |
128 | professionell einsetzen. |
129 | |
130 | Verkehrssicherungspflichten privater IT-Nutzer |
131 | Für den Umfang der möglichen Verkehrssicherungspflichten |
132 | eines privaten Betreibers eines IT-Systems hat der |
133 | Bundesgerichtshof bisher in seiner WLAN-Entscheidung |
134 | grundlegende Vorgaben gemacht.[FN: BGH GRUR 2010, 633.] |
135 | Wendet man die dort entwickelten Grundsätze an, kann man |
136 | davon ausgehen, dass von Privaten verlangt werden kann, |
137 | solche Sicherungsmaßnahmen zu treffen, die ohne großen |
138 | Aufwand und nähere technische Kenntnisse aktiviert werden |
139 | können.[FN: Zwar war Gegenstand der zugrunde liegenden |
140 | BGH-Entscheidung nicht die Haftung wegen einer |
141 | Verkehrssicherungspflichtverletzung, sondern die Frage nach |
142 | der Störerhaftung, aber das Urteil lässt den Schluss zu, |
143 | dass diese Störerhaftung auf der Verletzung einer |
144 | Verkehrssicherungspflicht beruht. So auch Stang/Hühner, |
145 | Störerhaftung des WLAN-Inhabers, Anmerkung zu BGH, Urt. v. |
146 | 12.5.2010 – I ZR 121/08 – Sommer unseres Lebens, GRUR 2010, |
147 | 633, 636.] Insofern werden auf jeden Fall die Aktivierung |
148 | von Firewalls und die Nutzung von Virenscannern verlangt |
149 | werden können,[FN: Siehe näher hierzu: Spindler, in: Lorenz, |
150 | Haftung und Versicherung im IT-Bereich: Karlsruher Forum |
151 | 2010, S. 61; Libertus, Zivilrechtliche Haftung und |
152 | strafrechtliche Verantwortlichkeit bei unbeabsichtigter |
153 | Verbreitung von Computerviren, MMR 2005, 507, 509.] ebenso |
154 | wie das Einspielen von vom Softwarehersteller |
155 | bereitgestellten Patches. Von einem pauschalen Ausschluss |
156 | der Verkehrssicherungspflichten privater IT-Nutzer, die als |
157 | Sender elektronischer Kommunikation unter Umständen |
158 | Computerviren verbreiten, wie vereinzelt vertreten wurde, |
159 | kann demzufolge nicht mehr ausgegangen werden.[FN: So aber |
160 | Koch, Haftung für die Weiterverbreitung von Viren durch |
161 | E-Mails, NJW 2004, 801, 805; dagegen bereits Libertus, |
162 | Zivilrechtliche Haftung und strafrechtliche |
163 | Verantwortlichkeit bei unbeabsichtigter Verbreitung von |
164 | Computerviren, MMR 2005, 507, 509 f.] |
165 | |
166 | Verkehrssicherungspflichten professioneller IT-Nutzer |
167 | Professionelle Nutzer von IT-Technik, wie etwa Unternehmen, |
168 | sind grundsätzlich denselben Bedrohungen ausgesetzt wie |
169 | private Nutzer. Ein wesentlicher Unterschied ergibt sich |
170 | jedoch daraus, dass ihnen im Hinblick auf ihre |
171 | Verkehrssicherungspflichten ein größeres Maß an |
172 | Sicherheitsvorkehrungen zugemutet werden kann. Dies ergibt |
173 | sich daraus, dass ein Unternehmen, das IT-Technik gezielt |
174 | und umfangreich zur Erledigung seiner Geschäfte einsetzt, |
175 | zum einen eine größere Gefahrenquelle schafft |
176 | beziehungsweise beherrscht, und zum anderen von ihm auch |
177 | technisches Know-How und finanzielle Mittel erwartet werden |
178 | können.[FN: Spindler, in: Lorenz, Haftung und Versicherung |
179 | im IT-Bereich: Karlsruher Forum 2010, S. 65; Libertus, |
180 | Zivilrechtliche Haftung und strafrechtliche |
181 | Verantwortlichkeit bei unbeabsichtigter Verbreitung von |
182 | Computerviren, MMR 2005, 507, 509.] Insofern könnten sich |
183 | die zu erwartenden Maßnahmen u.a. auch an der Größe des |
184 | Unternehmens zu orientieren. Von Einfluss auf die zu |
185 | erwartenden Sicherheitsmaßahmen ist schließlich auch die |
186 | Frage, in welchem Maße das Unternehmen mit welchen |
187 | Rechtsgütern Dritter über seine IT-Technik in Kontakt |
188 | kommt.[FN: Spindler, in: Lorenz, Haftung und Versicherung im |
189 | IT-Bereich: Karlsruher Forum 2010, S. 65; es wird darauf |
190 | hingewiesen, dass die Projektgruppe „Demokratie und Staat“ |
191 | der Enquete-Kommission sich u.a. mit der Frage einer |
192 | obligatorischen Verschlüsselung elektronischer Kommunikation |
193 | im Justiz-Bereich beschäftigt.] |
194 | |
195 | Auf der anderen Seite ist in die berechtigten Erwartungen |
196 | der betroffenen Verkehrskreise auch einzubeziehen, inwieweit |
197 | beispielsweise den Empfängern elektronischer Kommunikation |
198 | (E-Mails etc.) zuzumuten ist, sich selbst vor Computerviren |
199 | zu schützen. Auch in dieser Hinsicht ist Unternehmen mehr |
200 | Aufwand zuzumuten als Privatpersonen, weshalb vereinzelt |
201 | vertreten wurde, dass in der elektronischen |
202 | B2B-Kommunikation das sendende Unternehmen keine |
203 | Verkehrssicherungspflicht gegenüber dem empfangenden |
204 | Unternehmen treffe, da dessen Selbstschutz vorausgesetzt |
205 | werden dürfe.[FN: Koch, Haftung für die Weiterverbreitung |
206 | von Viren durch E-Mails, NJW 2004, 801, 805.] Da in der |
207 | Regel aber jedes Unternehmen nicht nur Sender, sondern |
208 | zugleich auch Empfänger elektronischer Kommunikationsmittel |
209 | ist, läuft es zwangsläufig auf eine Pflicht zur Einrichtung |
210 | geeigneter – und gegenüber privaten Nutzern wirksamerer – |
211 | Schutzmittel hinaus, sei es in Form der |
212 | Verkehrssicherungspflicht oder in Form der Pflicht zum |
213 | Selbstschutz.[FN: Zu der Spiegelbildlichkeit beider |
214 | Pflichten s. bereits oben II.3.3.3.3, dort Abschnitt: |
215 | Außervertragliche Verschuldenshaftung gemäß § 823 BGB und |
216 | Fußtnote 427.] |
-
Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.
-
Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.
-
Sie können hier auch eine neue Version des Papiers einbringen.
Vorschlag