Papier: 02.03.03.03.03.03 Haftung des IT-Nutzers

Originalversion

1 Wie oben gezeigt,[FN: S.o. Abschnitt II.3.1.5.1.] geht die
2 größte Bedrohung für die IT-Sicherheit von konzertierten
3 Angriffen mittels Botnetzen aus. An diese Botnetze
4 angeschlossen sind oft auch private Computer, die vom
5 Betreiber des Botnetzes ferngesteuert werden, ohne dass der
6 Nutzer davon Kenntnis hat. Diesen Angriffen wäre der Boden
7 entzogen, wenn es für die Betreiber der Botnetze nicht mehr
8 möglich wäre, weitere Rechner („Bots“) zu infizieren. Eine
9 Verbesserung der IT-Sicherheit auf Seiten der Anwender
10 verspricht deshalb die allgemeine IT-Sicherheitslage zu
11 verbessern. Zu einer Haftung des IT-Nutzers kann es
12 einerseits auf vertraglicher Grundlage und andererseits
13 außervertraglich auf Grundlage des allgemeinen Deliktsrechts
14 kommen. Die juristische Debatte steht hierzu jedoch noch am
15 Anfang. Gesicherte Auffassungen dazu, welche
16 Verkehrssicherungspflichten den IT-Nutzer im Rahmen der
17 deliktischen Haftung treffen, gibt es daher noch nicht.
18 Allerdings hat sich der Bundesgerichtshof in einer
19 Entscheidung zur Haftung als Betreiber eines WLAN-Netzes
20 geäußert.[FN: Siehe unten – Fußnote 431.]
21
22
23 I.3.3.3.3.4.1 Vertragliche Haftung im Arbeitsverhältnis
24 Im Allgemeinen ist eine vertragliche Haftung des privaten
25 IT-Nutzers in der Regel nicht denkbar.[FN: Spindler, in:
26 Lorenz, Haftung und Versicherung im IT-Bereich: Karlsruher
27 Forum 2010, S. 57.]
28
29 Eine Ausnahme bildet hier die Haftung innerhalb eines
30 Arbeitsverhältnisses. Dieser kommt aufgrund der Tatsache,
31 dass Arbeitnehmer in vielen Branchen mittlerweile ihre
32 privaten Endgeräte auch beruflich einsetzen (Stichwort: BYOD
33 – Bring Your Own Device), eine gesteigerte Bedeutung zu.
34 Kommt es im beruflichen Rahmen zur Nutzung von Hardware oder
35 Software, die im Eigentum des Arbeitgebers steht, oder ist
36 solche auf andere Weise dem Einfluss des Arbeitnehmers
37 ausgesetzt (beispielsweise indem sie mit einem Computer oder
38 internetfähigen Handy des Arbeitnehmers vernetzt ist), sind
39 die allgemeinen Grundsätze über die Haftung von
40 Arbeitnehmern[FN: BAG GS Beschluss vom 27.09.1994 – GS 1/89;
41 NZA 1994, 1083 m.w.N.] anwendbar. Gleiches gilt, wenn durch
42 den Einsatz von privater Hard- oder Software durch den
43 Mitarbeiter dem Arbeitgeber oder einem Dritten Schäden
44 entstehen.
45
46
47 I.3.3.3.3.4.2 Außervertragliche Verschuldenshaftung gemäß §
48 823 BGB
49 Hingegen ergibt sich die Möglichkeit einer
50 Verschuldenshaftung gegenüber Dritten aufgrund von § 823
51 BGB, insbesondere dessen Absatz 1. Anknüpfungspunkt für die
52 Haftung kann beispielsweise sein, dass der Nutzer fahrlässig
53 Viren oder andere schadhafte Programme[FN: Zu den einzelnen
54 Bedrohungen und Angriffsformen oben Abschnitte II.3.1.5 und
55 II.3.1.6.] an die Endgeräte Dritter verbreitet, weil er
56 seinen Rechner nicht ausreichend gegen Angreifer geschützt
57 hat und dieser in der Folge in ein Botnetz eingebunden
58 wurde.[FN: Spindler, in: Lorenz, Haftung und Versicherung im
59 IT-Bereich: Karlsruher Forum 2010, S. 57 f.]
60
61 Das Vorliegen einer in einem solchen Fall von mittelbarer
62 Schädigung oder Schädigung durch Unterlassen für die
63 Haftungsbegründung erforderlichen Verletzung einer
64 Verkehrssicherungspflicht ist einerseits vom Einzelfall
65 abhängig, andererseits aber auch insofern problematisch, als
66 die Verkehrssicherungspflichten von IT-Nutzern im
67 Allgemeinen noch nicht abschließend geklärt sind.[FN:
68 Spindler, in: Lorenz, Haftung und Versicherung im
69 IT-Bereich: Karlsruher Forum 2010, S. 58.] Während
70 IT-Hersteller, wie oben dargestellt,[FN: S.o. Kapitel
71 II.3.3.3.3, dort Absatz: Außervertragliche
72 Verschuldenshaftung nach § 823 Abs. 1I BGB.] eine
73 Verkehrssicherungspflicht aufgrund der Schaffung einer
74 Gefahrenquelle trifft, kann aber zumindest für den Nutzer
75 eines bereits kompromittierten IT-Systems (das heißt auch
76 schon eines einzelnen Rechners) eine
77 Verkehrssicherungspflicht aufgrund der Beherrschung einer
78 Gefahrenquelle angenommen werden.[FN: Spindler, in: Lorenz,
79 Haftung und Versicherung im IT-Bereich: Karlsruher Forum
80 2010, S. 58.] Er ist mithin verpflichtet, die notwendigen
81 und zumutbaren Vorkehrungen zu treffen, um eine Schädigung
82 anderer durch die Gefahrenquelle zu verhindern.[FN:
83 Spindler, in: Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn.
84 24.] Diese Pflicht kann allerdings nicht so weit verstanden
85 werden, dass es eine allgemeine Fürsorgepflicht für Dritte
86 gäbe. Es bedarf stets einer konkreten Pflichtenlage zum
87 Schutz der Rechtsgüter eines Dritten, um eine
88 Verkehrssicherungspflicht annehmen zu können.[FN: Spindler,
89 in: Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 227; Koch,
90 Haftung für die Weiterverbreitung von Viren durch E-Mails,
91 NJW 2004, 801, 803.]
92
93 Zu berücksichtigen ist jedoch, dass den Geschädigten
94 aufgrund eines eigenen Versagens beim Schutz seiner IT und
95 der daraus resultierenden Infektionsanfälligkeit ein
96 Mitverschulden treffen kann, das grundsätzlich nach
97 denselben Maßstäben zu beurteilen ist wie das Verschulden
98 des Schädigers und dessen Haftungsumfang schließlich
99 abmildert.[FN: S. dazu Spindler, in: Lorenz, Haftung und
100 Versicherung im IT-Bereich: Karlsruher Forum 2010, S. 60.]
101 Insofern stehen sich Selbst- und Fremdschutzpflichten quasi
102 spiegelbildlich gegenüber.[FN: Spindler, in: Lorenz, Haftung
103 und Versicherung im IT-Bereich: Karlsruher Forum 2010, S.
104 68; Libertus, Zivilrechtliche Haftung und strafrechtliche
105 Verantwortlichkeit bei unbeabsichtigter Verbreitung von
106 Computerviren, MMR 2005, 507, 509.]
107
108 Bei der Frage, welche Sorgfaltspflichten im Einzelnen an die
109 Nutzer von IT-Systemen zu stellen sind, ist grundsätzlich
110 auf die berechtigten Erwartungen der betroffenen
111 Verkehrskreise abzustellen.[FN: BGH NJW-RR 2002, 525, 526;
112 BGH NJW 1978, 1629; BGH NJW 1990, 906, 907; Spindler, in:
113 Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 234; Libertus,
114 Zivilrechtliche Haftung und strafrechtliche
115 Verantwortlichkeit bei unbeabsichtigter Verbreitung von
116 Computerviren, MMR 2005, 507, 509; Koch, Haftung für die
117 Weiterverbreitung von Viren durch E-Mails, NJW 2004, 801,
118 804.] Ob Erwartungen berechtigt sind, richtet sich
119 maßgeblich nach der technischen und wirtschaftlichen
120 Zumutbarkeit.[FN: Koch, Haftung für die Weiterverbreitung
121 von Viren durch E-Mails, NJW 2004, 801, 804; Libertus,
122 Zivilrechtliche Haftung und strafrechtliche
123 Verantwortlichkeit bei unbeabsichtigter Verbreitung von
124 Computerviren, MMR 2005, 507, 509; Spindler, in:
125 Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 240.] Eine
126 grobe Unterscheidung lässt sich zudem vornehmen zwischen
127 privaten Nutzern und solchen, die IT-Systeme ihrerseits
128 professionell einsetzen.
129
130 Verkehrssicherungspflichten privater IT-Nutzer
131 Für den Umfang der möglichen Verkehrssicherungspflichten
132 eines privaten Betreibers eines IT-Systems hat der
133 Bundesgerichtshof bisher in seiner WLAN-Entscheidung
134 grundlegende Vorgaben gemacht.[FN: BGH GRUR 2010, 633.]
135 Wendet man die dort entwickelten Grundsätze an, kann man
136 davon ausgehen, dass von Privaten verlangt werden kann,
137 solche Sicherungsmaßnahmen zu treffen, die ohne großen
138 Aufwand und nähere technische Kenntnisse aktiviert werden
139 können.[FN: Zwar war Gegenstand der zugrunde liegenden
140 BGH-Entscheidung nicht die Haftung wegen einer
141 Verkehrssicherungspflichtverletzung, sondern die Frage nach
142 der Störerhaftung, aber das Urteil lässt den Schluss zu,
143 dass diese Störerhaftung auf der Verletzung einer
144 Verkehrssicherungspflicht beruht. So auch Stang/Hühner,
145 Störerhaftung des WLAN-Inhabers, Anmerkung zu BGH, Urt. v.
146 12.5.2010 – I ZR 121/08 – Sommer unseres Lebens, GRUR 2010,
147 633, 636.] Insofern werden auf jeden Fall die Aktivierung
148 von Firewalls und die Nutzung von Virenscannern verlangt
149 werden können,[FN: Siehe näher hierzu: Spindler, in: Lorenz,
150 Haftung und Versicherung im IT-Bereich: Karlsruher Forum
151 2010, S. 61; Libertus, Zivilrechtliche Haftung und
152 strafrechtliche Verantwortlichkeit bei unbeabsichtigter
153 Verbreitung von Computerviren, MMR 2005, 507, 509.] ebenso
154 wie das Einspielen von vom Softwarehersteller
155 bereitgestellten Patches. Von einem pauschalen Ausschluss
156 der Verkehrssicherungspflichten privater IT-Nutzer, die als
157 Sender elektronischer Kommunikation unter Umständen
158 Computerviren verbreiten, wie vereinzelt vertreten wurde,
159 kann demzufolge nicht mehr ausgegangen werden.[FN: So aber
160 Koch, Haftung für die Weiterverbreitung von Viren durch
161 E-Mails, NJW 2004, 801, 805; dagegen bereits Libertus,
162 Zivilrechtliche Haftung und strafrechtliche
163 Verantwortlichkeit bei unbeabsichtigter Verbreitung von
164 Computerviren, MMR 2005, 507, 509 f.]
165
166 Verkehrssicherungspflichten professioneller IT-Nutzer
167 Professionelle Nutzer von IT-Technik, wie etwa Unternehmen,
168 sind grundsätzlich denselben Bedrohungen ausgesetzt wie
169 private Nutzer. Ein wesentlicher Unterschied ergibt sich
170 jedoch daraus, dass ihnen im Hinblick auf ihre
171 Verkehrssicherungspflichten ein größeres Maß an
172 Sicherheitsvorkehrungen zugemutet werden kann. Dies ergibt
173 sich daraus, dass ein Unternehmen, das IT-Technik gezielt
174 und umfangreich zur Erledigung seiner Geschäfte einsetzt,
175 zum einen eine größere Gefahrenquelle schafft
176 beziehungsweise beherrscht, und zum anderen von ihm auch
177 technisches Know-How und finanzielle Mittel erwartet werden
178 können.[FN: Spindler, in: Lorenz, Haftung und Versicherung
179 im IT-Bereich: Karlsruher Forum 2010, S. 65; Libertus,
180 Zivilrechtliche Haftung und strafrechtliche
181 Verantwortlichkeit bei unbeabsichtigter Verbreitung von
182 Computerviren, MMR 2005, 507, 509.] Insofern könnten sich
183 die zu erwartenden Maßnahmen u.a. auch an der Größe des
184 Unternehmens zu orientieren. Von Einfluss auf die zu
185 erwartenden Sicherheitsmaßahmen ist schließlich auch die
186 Frage, in welchem Maße das Unternehmen mit welchen
187 Rechtsgütern Dritter über seine IT-Technik in Kontakt
188 kommt.[FN: Spindler, in: Lorenz, Haftung und Versicherung im
189 IT-Bereich: Karlsruher Forum 2010, S. 65; es wird darauf
190 hingewiesen, dass die Projektgruppe „Demokratie und Staat“
191 der Enquete-Kommission sich u.a. mit der Frage einer
192 obligatorischen Verschlüsselung elektronischer Kommunikation
193 im Justiz-Bereich beschäftigt.]
194
195 Auf der anderen Seite ist in die berechtigten Erwartungen
196 der betroffenen Verkehrskreise auch einzubeziehen, inwieweit
197 beispielsweise den Empfängern elektronischer Kommunikation
198 (E-Mails etc.) zuzumuten ist, sich selbst vor Computerviren
199 zu schützen. Auch in dieser Hinsicht ist Unternehmen mehr
200 Aufwand zuzumuten als Privatpersonen, weshalb vereinzelt
201 vertreten wurde, dass in der elektronischen
202 B2B-Kommunikation das sendende Unternehmen keine
203 Verkehrssicherungspflicht gegenüber dem empfangenden
204 Unternehmen treffe, da dessen Selbstschutz vorausgesetzt
205 werden dürfe.[FN: Koch, Haftung für die Weiterverbreitung
206 von Viren durch E-Mails, NJW 2004, 801, 805.] Da in der
207 Regel aber jedes Unternehmen nicht nur Sender, sondern
208 zugleich auch Empfänger elektronischer Kommunikationsmittel
209 ist, läuft es zwangsläufig auf eine Pflicht zur Einrichtung
210 geeigneter – und gegenüber privaten Nutzern wirksamerer –
211 Schutzmittel hinaus, sei es in Form der
212 Verkehrssicherungspflicht oder in Form der Pflicht zum
213 Selbstschutz.[FN: Zu der Spiegelbildlichkeit beider
214 Pflichten s. bereits oben II.3.3.3.3, dort Abschnitt:
215 Außervertragliche Verschuldenshaftung gemäß § 823 BGB und
216 Fußtnote 427.]

Der Text verglichen mit der Originalversion

1 Wie oben gezeigt,[FN: S.o. Abschnitt II.3.1.5.1.] geht die
2 größte Bedrohung für die IT-Sicherheit von konzertierten
3 Angriffen mittels Botnetzen aus. An diese Botnetze
4 angeschlossen sind oft auch private Computer, die vom
5 Betreiber des Botnetzes ferngesteuert werden, ohne dass der
6 Nutzer davon Kenntnis hat. Diesen Angriffen wäre der Boden
7 entzogen, wenn es für die Betreiber der Botnetze nicht mehr
8 möglich wäre, weitere Rechner („Bots“) zu infizieren. Eine
9 Verbesserung der IT-Sicherheit auf Seiten der Anwender
10 verspricht deshalb die allgemeine IT-Sicherheitslage zu
11 verbessern. Zu einer Haftung des IT-Nutzers kann es
12 einerseits auf vertraglicher Grundlage und andererseits
13 außervertraglich auf Grundlage des allgemeinen Deliktsrechts
14 kommen. Die juristische Debatte steht hierzu jedoch noch am
15 Anfang. Gesicherte Auffassungen dazu, welche
16 Verkehrssicherungspflichten den IT-Nutzer im Rahmen der
17 deliktischen Haftung treffen, gibt es daher noch nicht.
18 Allerdings hat sich der Bundesgerichtshof in einer
19 Entscheidung zur Haftung als Betreiber eines WLAN-Netzes
20 geäußert.[FN: Siehe unten – Fußnote 431.]
21
22
23 I.3.3.3.3.4.1 Vertragliche Haftung im Arbeitsverhältnis
24 Im Allgemeinen ist eine vertragliche Haftung des privaten
25 IT-Nutzers in der Regel nicht denkbar.[FN: Spindler, in:
26 Lorenz, Haftung und Versicherung im IT-Bereich: Karlsruher
27 Forum 2010, S. 57.]
28
29 Eine Ausnahme bildet hier die Haftung innerhalb eines
30 Arbeitsverhältnisses. Dieser kommt aufgrund der Tatsache,
31 dass Arbeitnehmer in vielen Branchen mittlerweile ihre
32 privaten Endgeräte auch beruflich einsetzen (Stichwort: BYOD
33 – Bring Your Own Device), eine gesteigerte Bedeutung zu.
34 Kommt es im beruflichen Rahmen zur Nutzung von Hardware oder
35 Software, die im Eigentum des Arbeitgebers steht, oder ist
36 solche auf andere Weise dem Einfluss des Arbeitnehmers
37 ausgesetzt (beispielsweise indem sie mit einem Computer oder
38 internetfähigen Handy des Arbeitnehmers vernetzt ist), sind
39 die allgemeinen Grundsätze über die Haftung von
40 Arbeitnehmern[FN: BAG GS Beschluss vom 27.09.1994 – GS 1/89;
41 NZA 1994, 1083 m.w.N.] anwendbar. Gleiches gilt, wenn durch
42 den Einsatz von privater Hard- oder Software durch den
43 Mitarbeiter dem Arbeitgeber oder einem Dritten Schäden
44 entstehen.
45
46
47 I.3.3.3.3.4.2 Außervertragliche Verschuldenshaftung gemäß §
48 823 BGB
49 Hingegen ergibt sich die Möglichkeit einer
50 Verschuldenshaftung gegenüber Dritten aufgrund von § 823
51 BGB, insbesondere dessen Absatz 1. Anknüpfungspunkt für die
52 Haftung kann beispielsweise sein, dass der Nutzer fahrlässig
53 Viren oder andere schadhafte Programme[FN: Zu den einzelnen
54 Bedrohungen und Angriffsformen oben Abschnitte II.3.1.5 und
55 II.3.1.6.] an die Endgeräte Dritter verbreitet, weil er
56 seinen Rechner nicht ausreichend gegen Angreifer geschützt
57 hat und dieser in der Folge in ein Botnetz eingebunden
58 wurde.[FN: Spindler, in: Lorenz, Haftung und Versicherung im
59 IT-Bereich: Karlsruher Forum 2010, S. 57 f.]
60
61 Das Vorliegen einer in einem solchen Fall von mittelbarer
62 Schädigung oder Schädigung durch Unterlassen für die
63 Haftungsbegründung erforderlichen Verletzung einer
64 Verkehrssicherungspflicht ist einerseits vom Einzelfall
65 abhängig, andererseits aber auch insofern problematisch, als
66 die Verkehrssicherungspflichten von IT-Nutzern im
67 Allgemeinen noch nicht abschließend geklärt sind.[FN:
68 Spindler, in: Lorenz, Haftung und Versicherung im
69 IT-Bereich: Karlsruher Forum 2010, S. 58.] Während
70 IT-Hersteller, wie oben dargestellt,[FN: S.o. Kapitel
71 II.3.3.3.3, dort Absatz: Außervertragliche
72 Verschuldenshaftung nach § 823 Abs. 1I BGB.] eine
73 Verkehrssicherungspflicht aufgrund der Schaffung einer
74 Gefahrenquelle trifft, kann aber zumindest für den Nutzer
75 eines bereits kompromittierten IT-Systems (das heißt auch
76 schon eines einzelnen Rechners) eine
77 Verkehrssicherungspflicht aufgrund der Beherrschung einer
78 Gefahrenquelle angenommen werden.[FN: Spindler, in: Lorenz,
79 Haftung und Versicherung im IT-Bereich: Karlsruher Forum
80 2010, S. 58.] Er ist mithin verpflichtet, die notwendigen
81 und zumutbaren Vorkehrungen zu treffen, um eine Schädigung
82 anderer durch die Gefahrenquelle zu verhindern.[FN:
83 Spindler, in: Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn.
84 24.] Diese Pflicht kann allerdings nicht so weit verstanden
85 werden, dass es eine allgemeine Fürsorgepflicht für Dritte
86 gäbe. Es bedarf stets einer konkreten Pflichtenlage zum
87 Schutz der Rechtsgüter eines Dritten, um eine
88 Verkehrssicherungspflicht annehmen zu können.[FN: Spindler,
89 in: Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 227; Koch,
90 Haftung für die Weiterverbreitung von Viren durch E-Mails,
91 NJW 2004, 801, 803.]
92
93 Zu berücksichtigen ist jedoch, dass den Geschädigten
94 aufgrund eines eigenen Versagens beim Schutz seiner IT und
95 der daraus resultierenden Infektionsanfälligkeit ein
96 Mitverschulden treffen kann, das grundsätzlich nach
97 denselben Maßstäben zu beurteilen ist wie das Verschulden
98 des Schädigers und dessen Haftungsumfang schließlich
99 abmildert.[FN: S. dazu Spindler, in: Lorenz, Haftung und
100 Versicherung im IT-Bereich: Karlsruher Forum 2010, S. 60.]
101 Insofern stehen sich Selbst- und Fremdschutzpflichten quasi
102 spiegelbildlich gegenüber.[FN: Spindler, in: Lorenz, Haftung
103 und Versicherung im IT-Bereich: Karlsruher Forum 2010, S.
104 68; Libertus, Zivilrechtliche Haftung und strafrechtliche
105 Verantwortlichkeit bei unbeabsichtigter Verbreitung von
106 Computerviren, MMR 2005, 507, 509.]
107
108 Bei der Frage, welche Sorgfaltspflichten im Einzelnen an die
109 Nutzer von IT-Systemen zu stellen sind, ist grundsätzlich
110 auf die berechtigten Erwartungen der betroffenen
111 Verkehrskreise abzustellen.[FN: BGH NJW-RR 2002, 525, 526;
112 BGH NJW 1978, 1629; BGH NJW 1990, 906, 907; Spindler, in:
113 Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 234; Libertus,
114 Zivilrechtliche Haftung und strafrechtliche
115 Verantwortlichkeit bei unbeabsichtigter Verbreitung von
116 Computerviren, MMR 2005, 507, 509; Koch, Haftung für die
117 Weiterverbreitung von Viren durch E-Mails, NJW 2004, 801,
118 804.] Ob Erwartungen berechtigt sind, richtet sich
119 maßgeblich nach der technischen und wirtschaftlichen
120 Zumutbarkeit.[FN: Koch, Haftung für die Weiterverbreitung
121 von Viren durch E-Mails, NJW 2004, 801, 804; Libertus,
122 Zivilrechtliche Haftung und strafrechtliche
123 Verantwortlichkeit bei unbeabsichtigter Verbreitung von
124 Computerviren, MMR 2005, 507, 509; Spindler, in:
125 Bamberger/Roth, BGB, 3. Aufl. 2012, § 823 Rn. 240.] Eine
126 grobe Unterscheidung lässt sich zudem vornehmen zwischen
127 privaten Nutzern und solchen, die IT-Systeme ihrerseits
128 professionell einsetzen.
129
130 Verkehrssicherungspflichten privater IT-Nutzer
131 Für den Umfang der möglichen Verkehrssicherungspflichten
132 eines privaten Betreibers eines IT-Systems hat der
133 Bundesgerichtshof bisher in seiner WLAN-Entscheidung
134 grundlegende Vorgaben gemacht.[FN: BGH GRUR 2010, 633.]
135 Wendet man die dort entwickelten Grundsätze an, kann man
136 davon ausgehen, dass von Privaten verlangt werden kann,
137 solche Sicherungsmaßnahmen zu treffen, die ohne großen
138 Aufwand und nähere technische Kenntnisse aktiviert werden
139 können.[FN: Zwar war Gegenstand der zugrunde liegenden
140 BGH-Entscheidung nicht die Haftung wegen einer
141 Verkehrssicherungspflichtverletzung, sondern die Frage nach
142 der Störerhaftung, aber das Urteil lässt den Schluss zu,
143 dass diese Störerhaftung auf der Verletzung einer
144 Verkehrssicherungspflicht beruht. So auch Stang/Hühner,
145 Störerhaftung des WLAN-Inhabers, Anmerkung zu BGH, Urt. v.
146 12.5.2010 – I ZR 121/08 – Sommer unseres Lebens, GRUR 2010,
147 633, 636.] Insofern werden auf jeden Fall die Aktivierung
148 von Firewalls und die Nutzung von Virenscannern verlangt
149 werden können,[FN: Siehe näher hierzu: Spindler, in: Lorenz,
150 Haftung und Versicherung im IT-Bereich: Karlsruher Forum
151 2010, S. 61; Libertus, Zivilrechtliche Haftung und
152 strafrechtliche Verantwortlichkeit bei unbeabsichtigter
153 Verbreitung von Computerviren, MMR 2005, 507, 509.] ebenso
154 wie das Einspielen von vom Softwarehersteller
155 bereitgestellten Patches. Von einem pauschalen Ausschluss
156 der Verkehrssicherungspflichten privater IT-Nutzer, die als
157 Sender elektronischer Kommunikation unter Umständen
158 Computerviren verbreiten, wie vereinzelt vertreten wurde,
159 kann demzufolge nicht mehr ausgegangen werden.[FN: So aber
160 Koch, Haftung für die Weiterverbreitung von Viren durch
161 E-Mails, NJW 2004, 801, 805; dagegen bereits Libertus,
162 Zivilrechtliche Haftung und strafrechtliche
163 Verantwortlichkeit bei unbeabsichtigter Verbreitung von
164 Computerviren, MMR 2005, 507, 509 f.]
165
166 Verkehrssicherungspflichten professioneller IT-Nutzer
167 Professionelle Nutzer von IT-Technik, wie etwa Unternehmen,
168 sind grundsätzlich denselben Bedrohungen ausgesetzt wie
169 private Nutzer. Ein wesentlicher Unterschied ergibt sich
170 jedoch daraus, dass ihnen im Hinblick auf ihre
171 Verkehrssicherungspflichten ein größeres Maß an
172 Sicherheitsvorkehrungen zugemutet werden kann. Dies ergibt
173 sich daraus, dass ein Unternehmen, das IT-Technik gezielt
174 und umfangreich zur Erledigung seiner Geschäfte einsetzt,
175 zum einen eine größere Gefahrenquelle schafft
176 beziehungsweise beherrscht, und zum anderen von ihm auch
177 technisches Know-How und finanzielle Mittel erwartet werden
178 können.[FN: Spindler, in: Lorenz, Haftung und Versicherung
179 im IT-Bereich: Karlsruher Forum 2010, S. 65; Libertus,
180 Zivilrechtliche Haftung und strafrechtliche
181 Verantwortlichkeit bei unbeabsichtigter Verbreitung von
182 Computerviren, MMR 2005, 507, 509.] Insofern könnten sich
183 die zu erwartenden Maßnahmen u.a. auch an der Größe des
184 Unternehmens zu orientieren. Von Einfluss auf die zu
185 erwartenden Sicherheitsmaßahmen ist schließlich auch die
186 Frage, in welchem Maße das Unternehmen mit welchen
187 Rechtsgütern Dritter über seine IT-Technik in Kontakt
188 kommt.[FN: Spindler, in: Lorenz, Haftung und Versicherung im
189 IT-Bereich: Karlsruher Forum 2010, S. 65; es wird darauf
190 hingewiesen, dass die Projektgruppe „Demokratie und Staat“
191 der Enquete-Kommission sich u.a. mit der Frage einer
192 obligatorischen Verschlüsselung elektronischer Kommunikation
193 im Justiz-Bereich beschäftigt.]
194
195 Auf der anderen Seite ist in die berechtigten Erwartungen
196 der betroffenen Verkehrskreise auch einzubeziehen, inwieweit
197 beispielsweise den Empfängern elektronischer Kommunikation
198 (E-Mails etc.) zuzumuten ist, sich selbst vor Computerviren
199 zu schützen. Auch in dieser Hinsicht ist Unternehmen mehr
200 Aufwand zuzumuten als Privatpersonen, weshalb vereinzelt
201 vertreten wurde, dass in der elektronischen
202 B2B-Kommunikation das sendende Unternehmen keine
203 Verkehrssicherungspflicht gegenüber dem empfangenden
204 Unternehmen treffe, da dessen Selbstschutz vorausgesetzt
205 werden dürfe.[FN: Koch, Haftung für die Weiterverbreitung
206 von Viren durch E-Mails, NJW 2004, 801, 805.] Da in der
207 Regel aber jedes Unternehmen nicht nur Sender, sondern
208 zugleich auch Empfänger elektronischer Kommunikationsmittel
209 ist, läuft es zwangsläufig auf eine Pflicht zur Einrichtung
210 geeigneter – und gegenüber privaten Nutzern wirksamerer –
211 Schutzmittel hinaus, sei es in Form der
212 Verkehrssicherungspflicht oder in Form der Pflicht zum
213 Selbstschutz.[FN: Zu der Spiegelbildlichkeit beider
214 Pflichten s. bereits oben II.3.3.3.3, dort Abschnitt:
215 Außervertragliche Verschuldenshaftung gemäß § 823 BGB und
216 Fußtnote 427.]

Vorschlag

  1. Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.

  2. Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.

  3. Sie können hier auch eine neue Version des Papiers einbringen.