Haftung bei Viren und Online-Betrug

Jeder, der im Internet unterwegs ist, bewegt sich grundsätzlich auf einem juristischen Minenfeld. Da es sich hier eben um keinen rechtsfreien Raum handelt - wie oft behauptet wird -, können im Schadensfall Personen oder Unternehmen haftbar gemacht werden. Dabei wissen aber viele private und geschäftliche Nutzer nicht, dass sie per Gesetz dazu verpflichtet sind, einer Sorgfaltspflicht nachzukommen. Wie diese im Einzelfall aussieht, und wer in welchen Fällen haften muss, erfahren Sie in diesem Artikel.

Wer haftet im Schadensfall beim Online-Banking?Beim klassischen Phishing versuchen Kriminelle über gefälschte Webseiten oder E-Mails an die Kontodaten, PINs und TAN der Kontoinhaber zu gelangen, um darüber Geld auf andere Konten umzuleiten. Seit der Einführung von Mobile-TANs und Smart-TANs bei allen deutschen Geldinstituten kommen solche Angriffe praktisch nicht mehr vor. Betrüger setzen stattdessen vorrangig auf Trojanern. Diese können beispielsweise die Eingabefelder auf den Formularen der Online-Banking-Sites überlagern, ohne dass der Kunde dies erkennen kann. Trojaner erhöhen so unter anderem die Überweisungsbeträge und leiten diese auf andere, meist ausländische Konten um. Dazu muss es dann aber noch über Schadsoftware zu einer Manipulation des Smartphones kommen, bei der die SMS mit der mTAN abgefangen wird.

Da selbst Profis einen solchen Betrug nur schwer erkennen können, gehen Juristen in solchen Fällen nicht von fahrlässigem Handeln des Kunden aus, sondern sehen im Schadensfall die Banken in der Verantwortung. Nur wenn die Bank dem Online-Banking-Kunden grobe Fahrlässigkeit nachweisen kann, haftet dieser Kunde selbst. Gelingt dieser Nachweis nicht, haftet der Kunde maximal bis zu 150 Euro. Dies wurde 2009 mit den Paragraphen 675c bis 676c im BGB vom Gesetzgeber geklärt und entspricht damit dem europäischen Zahlungsverkehrsraum (SEPA-Richtlinie).

Wann haftet der Internet-Anschlussinhaber?
Nach dem jüngsten Urteil des Oberlandesgerichts Köln vom 16.05.2012-6 U 239/11 setzt die Störerhaftung die Verletzung zumutbarer Verhaltenspflichten voraus. Damit meint das Gericht insbesondere die Prüfpflichten. Im Fall von Ehepartnern ist eine anlasslose Prüf- und Kontrollpflicht nicht zu erwarten. Dafür müsse es konkrete Anhaltspunkte für Rechtsverletzungen geben. Im Fall von Missbrauch durch Kinder, die in der Regel im Internet deutlich versierter sind als ihre Eltern, sehen das die Richter oft anders. Bei illegalen Downloads oder anderweitigen Schäden für Dritte wird der Anschlussinhaber über die IP-Adresse ermittelt und als Täter in Haftung genommen. Eltern haften für ihre Kinder, auch wenn sie bereits volljährig sind. Allerdings zahlen sie nur die Erstattung der Rechtsverfolgungskosten. Eine Ausnahme besteht nur, wenn der Anschlussinhaber beweisen kann, dass der Täter oder Schadensverursacher eine dritte volljährige Person war. Weiter geht die Justiz davon aus, dass ein WLAN-Anschluss zumindest durch ein weitgehend sicheres Passwort geschützt sein muss.

Interessant wäre in diesem Zusammenhang eine Klärung der Frage, wie bei vom Hersteller verursachten Sicherheitslücken zu verfahren ist. Ein Unbefugter könnte die Schwachstelle ausnutzen und das Internet für illegale Aktivitäten verwenden. Gravierende Sicherheitsmängel gab es zuletzt beispielsweise bei den verbreiteten Speedport-WLAN-Routern der Telekom. Die Beweislast könnte auch hier zuerst dem Angeklagten auferlegt werden. Dieser müsste wahrscheinlich nachweisen, dass er der Sorgfaltspflicht nachgekommen ist und Updates zeitnah installiert hat.

Wer haftet bei Verbreitung von Computerviren?
Der Programmierer und Verbreiter eines Schädlings haftet selbstverständlich, wenn er gefunden wird. Doch sind Täter meist raffiniert genug, um ihre Spuren im Netz zu verbergen. Damit stehen oft erst einmal Unschuldige unter Verdacht. Beispielsweise nutzen Spammer in der Regel falsche Absender, um Schadcode zu verbreiten. Es kommt vor, dass ein Nutzer schädliche E-Mails mit der eigenen E-Mail-Adresse und dem korrekten Namen als Absender erhält. Heikel daran ist, dass genau diese E-Mail auch unzählige andere Nutzer erhalten. Der Adressat steht damit im Verdacht, Viren- und Spam zu verbreiten. Wenden Sie sich in so einem Fall umgehend an den Provider, und melden Sie den Angriff. Da Provider rigoros gegen Spammer vorgehen, könnte ansonsten Ihr E-Mail-Account gesperrt werden. Auch könnten Gerichte einstweilige Verfügungen wegen unbefugter Zusendung von Spams aussprechen, was Ärger und zusätzliche Kosten verursachen würde.

Wer haftet im Unternehmen?
In Unternehmen haftet grundsätzlich der Arbeitgeber für die Fehler der Mitarbeiter, da er zu einem ganzheitlichen Sicherheitskonzept verpflichtet ist. Nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KonTraG und dem Bundesdatenschutzgesetz (BDSG) stehen Unternehmer in der Verantwortung, ihre Mitarbeiter entsprechend engmaschig über die unterschiedlichen Gefahren aufzuklären und Richtlinien vorzugeben, an die sich die Mitarbeiter zu halten haben. Daneben sind die Unternehmer zur angemessenen Risikovorsorge verpflichtet, um die Rechner vor Angriffen durch Viren, Würmer und Trojaner zu schützen. Ein Schaden, der beispielsweise durch unbefugte Weitergabe sensibler Daten an Dritte entsteht, ist nach § 7 BDSG in unbegrenzter Höhe ausgleichspflichtig. Der Unternehmer wird nur dann entlastet, wenn er seine Unschuld zweifelsfrei beweisen kann. Dennoch kann die Haftung nach § 8 BDSG auch bei erwiesener Unschuld bis zu 130.000 Euro betragen.

Entsteht einem anderen durch Ihr absichtliches oder fahrlässiges Verhalten Schaden, können Sie als Verursacher juristisch in Haftung genommen werden. Dabei aber unterscheiden Gerichte bezüglich der Zumutbarkeit zwischen Unternehmern und Privatnutzern. Einem privaten Nutzer kann in der Regel nur (grob-) fahrlässiges Verhalten vorgeworfen werden. Wie dies definiert wird, entscheidet im Einzelfall das Gericht. Um auf der sicheren Seite zu sein, sollten Sie Ihrer Sorgfaltspflicht nachgekommen, indem Sie folgende Verhaltensregeln beachten: