Haftung für Urheberrechtsverstoß durch gehacktes CMS

Grundsätzlich haften die Betreiber von Webseiten dafür, keine Inhalte aufzuführen, die gegen das Urheberrecht verstoßen. Anderes gilt jedoch, wenn es sich um Hackerangriffe handelt. Ein solcher hat dem Urteil des OLG Hamburg vom 18.06.2020 zugrunde gelegen. Demnach haftet der Betreiber einer Webseite nicht für urheberrechtswidrige Inhalte, die durch Hacker auf die Seite hochgeladen worden sind. Hierbei ist nicht relevant, ob es zur Urheberrechtsverletzung durch die Ausnutzung bestehender Sicherheitslücken gekommen war.

Hintergrund
Der Beklagte ist Betreiber einer Webseite, die überwiegend zu Informationszwecken dient. Für diese Webseite hatte er eine veraltete „TYPO3-CMS“ Version verwendet.  Hierbei handelt es sich um ein freies Content-Management-System zur Erstellung, Bearbeitung, Organisation und Darstellung digitaler Inhalte
 für Webseiten. Da eine Nachfolgeversion nicht ausreichend abwärtskompatibel für die Zwecke des Unternehmens war, nutzte man weiterhin die Vorgängerversion. Darüber hinaus sind 2 veraltete, unsichere Extensions verwendet worden.

Es kam im Juni 2018 zum Upload eines Fotos, das ein User der Website erstellt hatte. Der User meldete dies dem Betreiber, der begründete, das Unternehmen sei gehackt worden. Es seien zahlreiche Inhalte in einer Unterseite mit insgesamt über 39.000 Dateien hinterlegt worden. Ob der Hack über die nicht geschlossenen Lücken der veralteten Sicherheitssoftware oder über die unsicheren Extensions erfolgte, konnte nicht geklärt werden. Gleichwohl sah der Kläger den Beklagten in der Haftung, indem dieser die veralteten und unsicheren Versionen genutzt hatte. Nach Ansicht des Klägers habe er nicht die erforderliche Sorgfalt walten lassen.  Man hätte damit rechnen müssen, dass Dritte die Sicherheitslücken möglicherweise ausnutzen würden.

Kein Urheberrechtsverstoß durch den Beklagten Betreiber
Die Richter waren der Auffassung, der Betreiber hafte nicht für einen Urheberrechtsverstoß, wenn unbekannte Dritte die Inhalte auf die Seite hochgeladen haben. Hieran ändere auch nicht, dass der Seitenbetreiber eine unsichere Version des CMS verwendet hatte. Zum einen unterschieden sich die hochgeladenen Inhalte deutlich von den bereits vorhandenen Inhalten. Beispielsweise waren die neuen Inhalte in englischer Sprache verfasst und wiesen ein anderes Layout auf. Üblicherweise waren die Inhalte jedoch in deutscher Sprache vorzufinden. Für die Richter war damit offensichtlich, dass der Inhalt von einem Dritten stammte. Zuletzt waren die neuen Inhalte auch nicht mit bereits bestehenden Inhalten auf der Seite verlinkt. Für das Gericht begründete seine Entscheidung zuletzt damit, dass der Betreiber die Inhalte mit Kenntnis der Sachlage sofort hatte entfernen lassen. Sicherheitslücken sind geschlossen worden.

Keine Störerhaftung aus Verstoß gegen § 13 Abs. 7 TMG
§ 13 Abs. 7 TMG normiert eine Störerhaftung, die Betreiber von Webseiten verpflichtet, sowohl technische als auch organisatorische Maßnahmen zur Prävention von Hackerangriffen zu treffen. Das Gericht war der Auffassung, dass hiergegen nicht verstoßen worden sei. Der Betreiber habe schon deshalb nicht die Pflichten verletzt, weil die Verletzung des Urheberrechts von der Norm nicht gedeckt sei. Intension der Regelung sei vielmehr, das Verbreiten von Schadsoftware zu unterbinden, indem Diensteanbietern Pflichten auferlegt werden, um ein gewisses Maß an IT-Sicherheit zu gewähren. Dies sei in vorliegendem Sachverhalt aber nicht geschehen. Auch die Bestimmungen der DSGVO bezwecken nicht den Schutz der Inhaber von Urheberrechten oder Verwandten Schutzrechten.

Fazit
Das OLG Hamburg bestätigte damit das Urteil der Vorinstanz (LG Hamburg, Urt. v. 22.01.2019, Az. 310 O 219/18), die ebenfalls zugunsten des Beklagten entschieden hatte. In derartigen Fallkonstellationen ist jedoch entscheidend, um was für eine Art von Webseite es sich handelt. Vorliegend hatte sich eine Webseite, die lediglich zu Informationszwecken dient, nicht haftbar gemacht hat. Demgegenüber gelten für Access-Provider und WLAN-Betreiber nach § 7 Abs. 4 TMG strengere Anforderungen. Zu Recht, da deren Dienste darauf abzielen, Nutzerinformationen durchzuleiten (§ 8 TMG), sodass eine weit größere Gefahr für Urheberrechtsverletzungen besteht.


OLG Hamburg, Urteil vom 18.06.2020, Az. 5 U 33/19