Haftung für Hackerangriffe
Dem Urteil, das am 16 Juli 2013 vom OLG Köln erlassen wurde, liegt folgender Sachverhalt zu Grunde:
Bei der Klägerin handelte es sich um eine mittelständische Firma, die bei der Beklagten am 22. April 2009 eine Telefonanlage angemietet hatte. Diese wurde sodann von der Beklagten an dem Geschäftssitz der Klägerin installiert. Durch den Vertrag wurden auch die „Überlassungsbedingungen für Managed Miete“ geregelt. Wörtlich hieße es in 3 des Kontraktes:
"3.2 Der Vermieter hält die Anlage betriebsfähig. Soweit das/die gemäß Ziffer 1 des Mietvertrages vereinbarte(n) Servicepaket/Servicemodul(e) nichts Abweichendes vorsieht/vorsehen, beseitigt der Vermieter auf seine Kosten Programmfehler sowie alle bei ordnungsgemäßem Gebrauch durch natürliche Abnutzung entstandenen Störungen. Die Kosten für alle übrigen Leistungen, insbesondere Instandsetzungs- und Erneuerungsarbeiten am Leitungsnetz sowie für den Ersatz verbrauchter Akkus für schnurlose Telefone sind vom Auftraggeber zu tragen.
3.3 Alle an der Anlage erforderlichen Arbeiten einschließlich Instandsetzung und Erneuerung sowie Störungs- und Schadensbeseitigungen werden ausschließlich vom Beauftragten des Vermieters und, soweit sich aus dem/den jeweils vereinbarten Servicepaket/Servicemodul(en) nichts anderes ergibt, während der bei ihm üblichen Arbeitszeit ausgeführt.
3.4 Der Beauftragte des Vermieters kann die Instandhaltungsverpflichtungen mit vorheriger Ankündigung beim Auftraggeber auch im Wege der Fernwartung (Remote Service) erfüllen.“
Die Telefonanlage wurde zudem durch ein integriertes Mailboxsystem erweitert. Dieses funktionierte über die manuelle Eingabe von gewählten Passwörtern. Die Beklagte ließ sich durch die Klägerin eine Übernahmebestätigung unterzeichnen. Bei dieser Bestätigung wurde der Klägerin nahe gelegt, den Gebrauch des Mailboxsystems durch eigens erstellte Passwörter zu sichern. Die Passwörter konnten allerdings ausschließlich aus vierstelligen Zahlenkombination gewählt werden. Mittels einer Fernwartungsleitung hatte die Beklagte jederzeit Möglichkeit, Zugriff auf die Anlage zu nehmen. Dies war deswegen notwendig, damit beispielsweise Upgrades aufgespielt werden konnten. Ebenso diente die Fernwartungsleitung der Durchführung von Wartungsarbeiten.
Am 3. Februar 2012 kontaktierte die Beklagte die Klägerin durch ein Schreiben. Inhalt dieses Schreibens war eine Information über die zunehmende Anzahl von sogenannten Hacking-Angriffen auf das Mailboxsystem. Daher riet die Beklagte der Klägerin zu der Vergabe von unregelmäßigen Passwörtern. Auf dieses Schreiben reagierte die Klägerin nicht. Nachdem die Klägerin von der Telefongesellschaft einer Rechnung in Höhe von rund 72.500 € erhalten hatte, kontaktierte sie die Beklagte. Dabei behauptete sie, dass das Mailboxsystem von einem Dritten gehackt worden sei. Im Zuge dieses Vorfalls änderte die Klägerin sodann Ihr Passwort. Die Telefonrechnung für März 2012 lag bei rund 600 €. Beide Rechnungen wurden jedoch nicht von der Klägerin bezahlt.
Sie ist der Ansicht, dass die angefallenen Kosten von der Beklagten zu kompensieren seien. Der Angriff auf das Mailboxsystem durch einen Dritten sei insofern unmöglich gewesen, weil der von der Beklagten eingestellte Passwortschutz keineswegs ausreichend gewesen sei. Er entspreche nicht dem Stand der Technik und weise schwere Sicherheitslücken auf. Aufgrund ihrer Sorgfaltspflichten sei die Beklagte schon rechtlich dazu angehalten gewesen, einen Schutz vor Hacker-Angriffen zu garantieren.
Dagegen hatte die Beklagte vorgebracht, dass die erfolgreichen Hackerangriffe nur deswegen möglich gewesen sein, da von der Klägerin unsichere Passwörter eingerichtet wurden. Sie habe die Klägerin durch Schreiben auch hinreichend darüber informiert, keine einfachen Passwörter zu benutzen. Die Kosten für die Telefonrechnung seien ihr insoweit nicht aufzuerlegen.
Da die Klägerin es versäumt hatte, ihre Darlegungen ausreichend zu beweisen, wurde die Klage vom OLG zurückgewiesen. Es konnte insofern nicht mehr nachvollzogen werden, ob sich die Beklagte tatsächlich durch den Vertrag dazu verpflichten wollte, sogenannte Software-Updates kostenfrei anzubieten, um einen umfangreichen Schutz vor dem Angriff durch Dritte zu gewährleisten. Letztendlich konnte es aber nicht zu den vertraglichen Verpflichtungen zählen, dass die Beklagte die Telefonanlage vor sämtlichen Angriffen schützt. Es oblag letztendlich der Klägerin, ihre Telefonanlage durch die Vergabe eines vierstelligen Passwortes hinreichend zu sichern. Das OLG Köln wies darauf hin die Klage als unbegründet zurück.
OLG Köln, Beschluss vom 16.07.2013, Az. 19 U 50/13
Ihr Ansprechpartner
