| Internet & Recht |
|
| Domain | Urh/MarkR | Wettbew. | E-Comm. | Signatur | Zahlung | Datenschutz | MedienR |
| Linkrecht | Diensteanbieter | Arbeit | Form.R/IPR | Straf | Sonstiges | hard+soft |
Sie befinden sich hier: Teil Recht - Kapitel Sonstiges - Unterkapitel:
Rechtsprobleme um Viren
Einführung - Schadenersatz - Entscheidungen - Literatur
letzte Änderung 23.3.2008
Einführung
Viren sind in den letzten Jahren ein immer größeres Problem geworden. Vor allem die diversen E-Mail-Würmer verstopfen nicht nur die Mailserver, sondern richten auch riesige Schäden auf Computern an. Derartige Schädlinge verbreiten sich häufig innerhalb von wenigen Tagen, ja sogar Stunden, rund um die Welt, sodass manchmal auch Antivirenprogramme nichts nutzen, weil sie nicht schnell genug auf den neuesten Stand gebracht werden können. Aus diesem Grund ist es wichtig, dass ein Virenprogramm täglich (besser mehrmals täglich) upgedatet wird.
Der beste Schutz ist noch immer Vorsicht im Umgang mit Datei-Anhängen in E-Mails. Wenn man sich nicht hundertprozentig sicher ist, von wem eine Nachricht kommt, sollte man den Anhang löschen oder vorsichtshalber rückfragen. Das Hinterhältige an modernen Viren-Mails ist, dass sie scheinbar von bekannten Absendern stammen und/oder unverfängliche Betreffs aufweisen. Bei Viren-Mails ist fast immer der Absender gefälscht. Es ist daher sinnlos, den Absender zu verständigen; auch die automatische Verständigungsroutine, die in manchen Virenprogrammen integriert ist, sollte deaktiviert werden - sie verdoppelt nur das Mailaufkommen und wirkt daher ihrerseits noch verschärfend auf die ohnedies angespannte Situation bei den Mailservern im Falle einer Viren-Epidemie. Außerdem verärgert man damit unschuldige E-Mail-Inhaber, die gar nichts von ihrem "Glück" wissen, dass ihre E-Mail-Adresse als Absender von Viren-Mails verwendet wird.
Schadenersatz für Virenschäden?
Wenn ein Virus vorsätzlich eingeschleust wurde, hat der Geschädigte einen zivilrechtlichen Schadenersatzanspruch. Daneben liegt auch das strafrechtliche Delikt der Datenbeschädigung nach § 126a StGB vor. Hingegen ist die Rechtslage unklar, wenn der Virus unwissentlich verschickt wurde und womöglich der Absender nichts von der Virenverseuchung seines eigenen Computers weiß, was bei den verbreiteten "E-Mail-Würmern" sehr leicht möglich ist.
Sorgfaltsanforderungen
Voraussetzung jeder Haftung ist in diesem Fall, dass auf Seiten des Versenders ein Verschulden vorliegt. Als Grad des Verschuldens muss zumindest leichte Fahrlässigkeit gegeben sein. Von einer solchen könnte man dann ausgehen, wenn es eine allgemeine Verpflichtung zur Virenvorsorge gibt. Dies könnte in gewissem Umfang durchaus der Fall sein. Viren sind heute so verbreitet, dass bei Teilnahme am Internet nicht nur eine Eigengefährdung, sondern aufgrund der spezifischen Eigenschaften vieler E-Mail-Viren auch eine Gefährdung der E-Mail-Partner gegeben ist, wenn man kein Virenschutzprogramm verwendet. Dies trifft sowohl für den Sender, als auch für den Empfänger zu.
Ein Virenschutz ist umso wichtiger, je unerfahrener der Computerbesitzer bei der Verwendung von Software (Sicherheits-Updates) und dem Umgang mit potentiell gefährlichen Dateien ist. Ein erfahrener PC-Benutzer kann eher auf ein Virenprogramm verzichten, weil er verdächtige Dateien nicht öffnen wird.
Zu einer Haftung des Versenders könnte auch die Aufnahme des Virenopfers in das Adressverzeichnis des Versenders führen, weil man dies als Eröffnung eines (E-Mail-)Verkehrs werten kann, was nach allgemeinen Rechtsregeln Verkehrssicherungspflichten nach sich zieht (ähnlich der Anlage eines Weges). Der Betreiber des Adressbuches könnte dadurch verpflichtet sein, Vorsorge zu treffen, dass die Personen, die in dieses Adressbuch aufgenommen werden, nicht durch Viren, die erfahrungsgemäß auf diese Adressbücher zugreifen und sich an die Adressaten versenden, geschädigt werden. Daneben könnten auch nebenvertragliche Schutzpflichten zum Tragen kommen, wenn der Virus im Rahmen einer Geschäftsbeziehung übermittelt wurde.
Die Anforderungen an die Sorgfalt können dabei durchaus verschieden ausfallen, je nachdem, ob es sich um einen Privat-PC mit geringem E-Mail-Aufkommen oder um einen Mail-Server eines Unternehmens handelt.
Beweispflicht des Klägers
Auch wenn man von diesen Anforderungen ausgeht, ist Voraussetzung einer
Haftung, dass der Geschädigte nachweist, dass der Virus tatsächlich von
jenem stammt, der als Absender aufscheint. Dies wird oft nicht der Fall
sein. Viele Viren fälschen nämlich den Absender, um ihre Herkunft zu
verschleiern.
Zur Ausforschung siehe Kapitel E-Mail - Die Ausforschung des Spammers
Beweispflicht des Beklagten
Gelingt der Nachweis der Verursachung durch den Beklagten, kann dieser den Beweis antreten, dass der Virus auch von einem gängigen Virenschutzprogramm nicht erkannt worden wäre. Dabei stellt sich dann die Frage, wie aktuell ein Virenprogramm sein muss. Update-Zyklen sind heute meist täglich oder noch kürzer (laufendes Live-Update). Das könnte bedeuten, dass ein Virus, der bei üblicher Wartung von einem gängigen Virenprogramm erkannt wird, zur Haftung führen würde, nicht aber ein ganz neuer Virus, der von gängigen Programmen mit üblichem Update noch nicht erkannt wird.
Die Frage des Mitverschuldens
Schließlich stellt sich noch die Frage, ob die Anforderungen beim
Absender höher angesetzt werden können als beim Empfänger. Wenn nämlich eine
Pflicht zur allgemeinen Viren-Vorsorge bestehen sollte, trifft sie auch den
Empfänger. Wenn dieser aber einen aktuellen Virenschutz gehabt hätte, wäre
es gar nicht zur Infektion gekommen und es wäre kein Schaden entstanden. Man
wird also auch von einem Mitverschulden des Klägers ausgehen müssen. Der
ersten Gerichtsentscheidung wird mit Spannung entgegengesehen....
Siehe auch:
- Franz Schmidbauer, Schadenersatz wegen Viren I - III
Entscheidungen
Mitverschulden bei Phishing: LG Köln, Urteil vom 5.12.2007, 9 S 195/07
StGB § 263a, BGB § 823, § 249
Der Kläger wurde Opfer einer Phishing-Attacke und klagt den Beklagten, der das Geld in Empfang genommen und per Western Union an eine unbekannte Person in Russland überwiesen hatte. Das Erstgericht gab der Zahlungsklage statt.
Das LG gibt der Berufung keine Folge. Der Beklagte hat sich der Geldwäsche schuldig gemacht und haftet daher dem Kläger für den Schaden. Den Kläger trifft kein Mitverschulden. Bei nicht vertraglich verbundenen Parteien gibt es für den Kontoinhaber nur die allgemeine Pflicht, diejenige Sorgfalt anzuwenden, die von einem verständigen Menschen erwartet werden kann, um sich vor Schaden zu schützen. Maßstab ist daher die ihm in eigenen Angelegenheiten obliegende Sorgfalt. Für den Fall des Online-Bankings kann man von einem verständigen, technisch durchschnittlich begabten Anwender fordern, dass er eine aktuelle Virenschutzsoftware und eine Firewall verwendet und regelmäßig Sicherheitsupdates für sein Betriebssystem und die verwendete Software einspielt. Ebenso muss ein Kontoinhaber die Warnungen der Banken beachten, PIN und TAN niemals auf telefonische Anforderung oder Anforderung per E-Mail herauszugeben. Außerdem wird man von ihm erwarten können, dass er deutliche Hinweise auf gefälschte E-Mails und Internetseiten seiner Bank erkennt (sprachliche Mängel, deutlich falsche Internet-Adresse, Adresse ohne https://, kein Schlüsselsymbol in der Statusleiste). Weitergehende Sicherheitsmaßnahmen wie etwa die Verwendung bestimmter, besonders leistungsfähiger Virenschutzprogramme oder spezialisierter Programme zum Schutz gegen bestimmte Schadsoftware, die Veränderung der Standard-Sicherheitseinstellungen von Betriebssystem und Programmen, das Arbeiten ohne Administratorrechte, die ständige Überprüfung der Zertifikate oder auch das Erkennen subtiler Abweichungen in der Internetadresse, würden die Sorgfaltsanforderungen dagegen überspannen.
Schutz gegen Dialer: Hanseatisches OLG, Beschluss vom 13.5.2004, 5 W 52/04
UWG § 1, § 3, BGB § 823
Der Umstand, dass eine Antiviren-Software zugleich Schutzmechanismen zur Abwehr "Kostenverursachender Einwahlprogramme" bereit stellt, bei denen es sich nicht um "Viren" im Wortsinn handelt, kann von dem Anbieter derartiger Dialer-Programmen jedenfalls dann nicht als wettbewerbswidrig beanstandet werden, wenn der Nutzer den insoweit gewünschten zusätzlichen Schutzumfang durch ein-/abschaltbare Programm-Optionen nach eigenen Bedürfnissen gestalten kann. Dem Anbieter von Einwahlprogrammen steht kein wettbewerbsrechtlicher Anspruch gegen die konkrete Art und Weise der Zugangskontrolle zu, welche eine Dialer-Schutzsoftware auf die für die Einwahlprozedur erforderlichen Einzeldaten zur Anwendung bringt. Insbesondere hat der Dialer-Anbieter keinen Anspruch auf eine Differenzierung bei der Erkennung zwischen illegaler und ordnungsgemäß registrierter Einwahlsoftware.
Schadenersatz nach Virenbefall: LG Hamburg 18.7.2001, 401 O 63/00
EDV-Unternehmen zu Schadenersatz verurteilt, weil es bei der in Auftrag gegebenen Virenüberprüfung einen Schädling übersah. Wer es übernimmt, Disketten mit "aktueller Anti-Virus-Software zu überprüfen", verpflichtet sich, die neuesten Anti-Virus Programme einzusetzen. Die Verletzung dieser Pflicht führt zur Schadensersatzpflicht wegen positiver Vertragsverletzung, die in diesen Fällen auch sog. Mangelfolgeschäden an anderen Rechtsgütern umfasst.
"Schadenersatz wegen virenverseuchter Diskette": Landgericht Köln vom 21.7.1999, 20 S 5/99
Ein Verlag übersandte einem Journalisten eine virenverseuchte Diskette, wusste aber selbst nicht davon. Das Gericht gab dessen Klage nicht statt. Es bestehe keine Pflicht, auf die grundsätzliche Virengefahr bei Disketten hinzuweisen, da es sich hierbei ohnedies um eine bekannte Tatsache handle. Es habe auch nicht bewiesen werden können, dass das fragliche Virus bei Verwendung einer Firewall entdeckt worden wäre.
Literatur
- Franz Schmidbauer, Schadenersatz wegen Viren, Artikel auf Internet4jurists
- Michael Gruber, Computerviren und Schadenersatz, EDVuR 1990, 122