Im Rahmen einer Aktion der Allianz PozessFinanz GmbH wurden im November 2008 33.000 USB-Sticks mit Gesetzestexten verteilt. Auf 700 der Speicher-Sticks befand sich als Beigabe noch ein ungebetener Gast, nämlich ein Viking-Virus, der Computersysteme lahm legte und sich über Netzwerkverbindungen weiterverbreitete. Jemand, der Computerviren programmiert oder absichtlich verbreitet, muss für die dadurch entstandenen Schäden aufkommen. Dieser Schadensersatzanspruch ist juristisch völlig unproblematisch. Viel wert ist eine solche Forderung indes nicht, denn regelmäßig werden die durch das Virus weltweit verursachten Schäden so hoch sein, dass der Verursacher diese nur zu einem verschwindend geringen Bruchteil wird ausgleichen können. Aber selbst wenn man einmal von dem Liquiditätsproblem absieht, wird man den Urheber eines Computervirus in den meisten Fällen ohnehin
nicht ermitteln können. Ungleich attraktiver kann es für Geschädigte daher sein, sich an denjenigen zu halten, auf dessen Infrastruktur sich das Virus repliziert hat.
Juristisch ist daher die Frage zu beleuchten, ob jemand, der eine IT-Infrastruktur vorhält, welche die Verbreitung von Viren ermöglicht, rechtlich verpflichtet ist, technische Maßnahmen zu treffen, um eine unbeabsichtigte Weitergabe von Computerviren zu unterbinden. Ferner ist zu klären, ob ein fahrlässiges Unterlassen dieser Sicherheitsvorkehrungen einen Schadensersatzanspruch auslöst.
Verkehrspflichten
Prinzipiell ist dem deutschen Recht eine Verhaltensvorschrift, die jemanden verpflichtet, jedweden Schaden von Dritten abzuwenden, fremd. Dieser Grundsatz findet seine Schranken in den sogenannten allgemeinen Verkehrspflichten. Diese Pflichten beruhen auf dem Gedanken, dass jemand, der eine Gefahrenquelle schafft oder unterhält, die notwendigen und zumutbaren Maßnahmen zum Schutze der Allgemeinheit treffen muss (Palandt, BGB, § 823, Rn. 47). Die Verkehrspflichten gehen in ihrer Entwicklung zurück bis ins römische Recht. Für das heute in Deutschland geltende Bürgerliche Gesetzbuch (BGB) hatte das Reichsgerichts im Jahre 1902 in einer grundlegenden Entscheidung geurteilt, dass jedermann für die durch seine Sachen verursachte Beschädigung insoweit aufkommen müsse, als er den Schaden bei "billiger Rücksichtnahme auf die Interessen des anderen hätte verhüten müssen" (RGZ 52, 373, 379). Im Urteil ging es damals um einen umgestürzten Baum, der ein Haus beschädigt hatte. In den darauf folgenden Urteilen rund um die Verkehrspflichten ging es ausschließlich um Fälle, in denen der Kläger auf öffentlichen Wegen, Straßen und Plätzen einen Schaden erlitten hatte. Daher rührt auch der Name Verkehrspflicht her. Später wurde die Rechtsprechung auf sonstige Gefahrenquellen ausgedehnt, darunter auch die Produkthaftung (RG DR 1940, 1293, 1294 - Bremsen II).
Computer als Gefahrenquelle
Bezieht man die zugrunde liegenden Gedanken nun auf moderne Computer, so wird man feststellen müssen, dass bereits im Privatbereich diese Geräte hochkomplexe Systeme darstellen, deren Funktionsweise sich selbst erfahrenen Anwendern nur unvollständig erschließt und deren Steuerung zu einem Großteil automatisch im Hintergrund abläuft und sich so der Kontrolle des Anwenders entzieht. Systemprozesse und Anwendungen können unbemerkt und ohne Anzeige auf dem Bildschirm ablaufen, der Inhalt der Netzwerkkommunikation ist nicht ohne Weiteres erkennbar und es gibt auch in moderner Software noch unzählige Möglichkeiten für Hacker, in fremde Rechner einzudringen und diese für ihre Zwecke zu missbrauchen. Daher muss man einen Computer ganz klar als Gefahrenquelle im Rahmen der Verkehrspflichten ansehen. Der Inhaber der tatsächlichen Verfügungsgewalt über einen Computer ist daher grundsätzlich verpflichtet, Schutzmaßnahmen gegen den Missbrauch des Computersystems zu implementieren, deren Inhalt noch zu klären sein wird.
Geschützter Personenkreis
Problematisch stellt sich die Ermittlung des geschützten Personenkreises dar. Vom Schutz der Verkehrspflicht sind nach den allgemeinen Grundsätzen der Verkehrspflichten nämlich nur diejenigen umfasst, die aus objektiver Sicht des Verpflichteten rechtmäßig mit der Gefahrenquelle in Berührung kommen. Betrifft die Verkehrspflicht zum Beispiel die Instandhaltung des Treppenhauses eines Mietshauses, so sind alle Mieter und deren Besucher vom Schutz umfasst. Gleiches gilt beispielsweise bei der Streupflicht eines Privatwegs, von deren Schutzwirkung nur rechtmäßige Benutzer umfasst sind. Von allen Menschen ist also jeweils nur ein geringer Teil von der Schutzwirkung der Verkehrspflichten geschützt.
Bezieht man dies nun auf vernetzte Computersysteme, so stellt man schnell fest, dass potenziell jeder Nutzer des Internets betroffen sein kann und damit auch geschützt ist, denn über Netzwerkverbindungen oder über das Internet kann ein Virus praktisch an jeden Dritten versandt werden. Eine Trennung zwischen rechtmäßigen und unrechtmäßigen Benutzern ist im digitalen Umfeld im Gegensatz zu den "klassischen" Verkehrspflichten so gut wie gar nicht möglich. Nur diejenigen, die sich unbefugt Zugriff auf den PC verschaffen und dadurch einen Schaden erleiden, sind nicht schutzwürdig. In Bezug auf die "digitalen Verkehrspflichten" kann sich also das zahlenmäßige Verhältnis von geschützten und nicht schutzwürdigen Personen im Vergleich zu anderen Situationen leicht umkehren.
Dies ist indes kein Grund zur Annahme, dass Verkehrspflichten auf den IT-Bereich nicht anwendbar wären, sondern unterstreicht gerade die Gefährlichkeit und damit die Notwendigkeit für einen Schutz von Geschädigten. Würde man dies anders sehen, könnte man mit der gleichen Begründung auch die Haftung von Betreibern von Atomkraftwerken aushebeln, denn bei einem Unfall wären dort auch potenziell viele Millionen Menschen betroffen. Auch wenn dieser Vergleich wegen gesetzlicher Sonderregeln im Bereich der Kernenergie etwas hinkt, so beansprucht der zugrunde liegende Gedanke dennoch Gültigkeit. Verkehrspflichten sollen Dritte vor Schäden bewahren und beinhalten daher auch das Gebot, Vorkehrungen zur Schadensprävention zu treffen.
Einzelfallbeurteilung
Hundertprozentige Sicherheit vor allen erdenklichen Gefahren ist jedoch oft eine Utopie oder zumindest wirtschaftlich nicht realisierbar. Da das Recht jedoch nichts Unmögliches verlangen kann, unterliegen Verkehrspflichten ihrem Inhalt nach dem Grundsatz der Verhältnismäßigkeit. Es ist also eine Einzelfallbeurteilung vorzunehmen, um den konkreten Inhalt der Verkehrspflicht zu ermitteln. Notwendig aber auch genügend ist das, was nach den konkreten Umständen des Einzelfalles erforderlich und zumutbar ist, um die Gefahr zu beseitigen. Eintrittswahrscheinlichkeit des Schadens sowie die Schadenshöhe sind gegenüber der finanziellen Belastung abzuwägen. Dabei spielt es auch eine Rolle, ob der Gefahreintritt vom Gefährdeten erkannt und ein möglicher Schaden abgewehrt werden kann.
Obwohl die konkrete Ausgestaltung der Verkehrspflichten eine Einzelfallbetrachtung erfordert, lassen die Grundwertungen eine gewisse Verallgemeinerung zu. Aus den Grundsätzen der Verhältnismäßigkeit ergibt sich, dass bei einem Unternehmen, das darauf spezialisiert ist Software zu verbreiten, sei es durch den Vertrieb von Datenträgern oder als Internet-Download, wegen der potenziell größeren Anzahl der Geschädigten und der zur Verfügung stehenden finanziellen Ressourcen sowie einer gewerblich tätigen Akteuren regelmäßig zu unterstellenden besseren Gefahrenkenntnis, ein strengerer Maßstab zugrunde zu legen ist als bei privaten Computerbesitzern. Während bei Privatpersonen der Einsatz eines gängigen aktuellen Virenscanners, der jedenfalls ausgehende E-Mails und Schreibvorgänge auf externe Datenträger überwacht, als ausreichend erachtet werden muss, wird man bei Unternehmen im Einzelfall wesentlich mehr verlangen müssen. Der Einsatz einer wirkungsvollen Firewall mit möglichst restriktiver Konfiguration sollte hier neben einem Virenscanner zum Standardrepertoire gehören.
Mehrstufiges Sicherheitskonzept ist zumutbar
Je nach Gefahrgeneigtheit der unternehmerischen Tätigkeit kann darüber hinaus ein mehrstufiges Sicherheitskonzept erforderlich und zumutbar sein. Dazu können die konservative Vergabe von Zugriffsberechtigungen an eigene Mitarbeiter, die regelmäßige Überprüfung von Dateien mittels Hash-Vergleich gegen nachträgliche Manipulationen und die Überprüfung von Dateien durch unterschiedliche Antiviren-Lösungen vor der Distribution gehören.
Ein Sicherheitskonzept für die Unternehmens-IT sollte schriftlich festgehalten, tunlichst befolgt und die Einhaltung unter den Mitarbeitern streng kontrolliert werden, denn es liegt nahe eine Beweislastumkehr zugunsten der Geschädigten vorzunehmen. Eine solche Beweislastumkehr ist bereits seit Langem im Bereich der Produzentenhaftung üblich. Sie soll einer regelmäßig vorliegenden Beweisnot vorbeugen, da die Geschädigten die unternehmensinternen Abläufe nicht einsehen können und daher auch keine belastenden Informationen darlegen können. Bei einer Beweislastumkehr obliegt es daher dem Schädiger zu beweisen, dass er alle notwendigen und zumutbaren organisatorischen und technischen Vorkehrungen zur Vermeidung der aus seinem Herrschaftsbereich stammenden Schäden getroffen hat. Dabei kann ein gut dokumentiertes Sicherheitskonzept behilflich sein.
Materieller Schaden
Steht fest, dass der Schädiger seine Verkehrspflicht schuldhaft verletzt hat, so ist als letzter Punkt noch die Höhe des Schadensersatzes zu ermitteln. Dazu muss ein materieller Schaden entstanden sein. Unter einem Schaden sind alle unfreiwilligen Vermögenseinbußen zu verstehen, die kausal durch das schädigende Ereignis entstanden sind. Darunter fallen nicht nur die durch den Virus unbrauchbar gemachten Dateien, sondern auch etwaige Reparaturkosten des Computers und Gewinnausfälle.
Fällt dem Geschädigten eine Mitschuld an der Entstehung oder der Höhe des Schadens zur Last, ist die Schadensersatzsumme allerdings zu kürzen. Beispielsweise dann, wenn der Geschädigte seinerseits keinen Virenscanner installiert hatte oder seine Antivirenlösung veraltet ist. Dann kommt eine Kürzung des Schadensersatzes um bis zu 100 Prozent in Betracht.
Auch eine Obliegenheit des Geschädigten zur regelmäßigen Sicherung besonders wertvoller Daten auf CD-ROM ist denkbar, denn es ist allgemein bekannt, dass digitale Daten aus vielfältigen und unvorhersehbaren Gründen unbrauchbar werden können. Wird ein Virus trotz aktueller Virenschutzlösung nicht erkannt und richtet das Virus trotz regelmäßiger Sicherungen einen Schaden an, so wird eine Mitschuld des Geschädigten regelmäßig abzulehnen und die Schadensersatzsumme in voller Höhe zuzusprechen sein.
Dazwischen sind vielfältige Abstufungen denkbar, deren Beurteilung vom jeweiligen Einzelfall abhängt. (oe)
Die Autoren:
Rechtsanwalt Thomas Feil, Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover, feil@recht-freundlich.de, www.recht-freundlich.de, und Dipl.-Jur. Alexander Fiedler, Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover, fiedler@iri.uni-hannover.de, www.iri.uni-hannover.de
Weitere Informationen und Kontakt:
Thomas Feil, Feil Rechtsanwälte, Georgsplatz 9, 30159 Hannover, Tel.: 0511 473906-01, E-Mail: feil@recht-freundlich.de, Internet: www.recht-freundlich.de