de en
Nexia Ebner Stolz

Rechtsberatung

Internetseite: Keine Betreiberhaftung für durch Hackerangriff hochgeladenes Bild

OLG Hamburg v. 18.6.2020 - 5 U 33/19

Der Betreiber einer Webseite haftet nicht für im Rahmen eines Hackerangriffs auf die Seite hochgeladene Fotos. Dies gilt auch für den Fall, dass eine unsichere Version eines Content-Management-Systems mit Sicherheitslücken benutzt wird.

Der Sach­ver­halt:
Der Antrag­s­tel­ler ist Berufs­fo­to­graf. Die Antrags­geg­ne­rin­nen bet­rei­ben eine Inter­net­seite. Sie sind im Impres­sum als Ver­ant­wort­li­che genannt. Eine seit April 2017 ver­füg­bare neuere Ver­sion des Con­tent-Mana­ge­ment-Sys­tems lie­ßen die Antrags­geg­ne­rin­nen bis Juni 2018 nicht auf­spie­len, weil diese nicht unein­ge­schränkt abwärts­kom­pa­ti­bel war, so dass Erwei­te­run­gen der vor­he­ri­gen Ver­sion dann nicht mehr "gelau­fen" wären. Zu Beginn des Jah­res 2018 waren zwei von den Antrags­geg­ne­rin­nen ver­wen­dete Sys­te­m­er­wei­te­run­gen "unsi­cher".

In der Zeit zwi­schen Januar und Juni 2018 "hack­ten" Dritte die Inter­net­seite der Antrags­geg­ne­rin­nen und luden das hier streit­ge­gen­ständ­li­che Foto unter Aus­nut­zung vor­han­de­ner Sicher­heits­lü­cken auf dem Ser­ver der Web­seite hoch und spei­cher­ten es dort. Es war Teil hin­ein­ge­hack­ter eng­lisch­spra­chi­ger Unter­sei­ten, die über das Backend der Inter­net­seite der Antrags­geg­ne­rin­nen gespei­chert wor­den waren. Diese Unter­sei­ten wie­sen ein ande­res Layout auf als die übri­gen Web­sei­ten der Antrags­geg­ne­rin­nen. Es war nicht mög­lich, von der Inter­net­seite der Antrags­geg­ne­rin­nen auf die bean­stan­de­ten Inhalte und das streit­ge­gen­stän­dIi­che Foto zu gelan­gen, weder durch eine Ver­lin­kung noch durch die interne Such­funk­tion auf der Seite.

Der Antrag­s­tel­ler hat behaup­tet, er habe das streit­ge­gen­stän­dIi­che Foto ers­tellt. Er war der Auf­fas­sung, ihm komme die Ver­mu­tungs­wir­kung des § 10 Abs. 1 UrhG zugute. Die Antrags­geg­ne­rin­nen hät­ten sein Foto wider­recht­lich ver­viel­fäl­tigt und öff­ent­lich zugäng­lich gemacht. Das LG hat den Antrag auf Erlass einer einst­wei­li­gen Ver­fü­gung zurück­ge­wie­sen. Dem Antrag­s­tel­ler stehe gem. § 97 Abs. 1 UrhG weder auf­grund täter­schaft­li­cher Ver­ant­wort­lich­keit der Antrags­geg­ne­rin­nen noch auf­grund einer Stö­rer­haf­tung ein Ver­fü­g­ungs­an­spruch zu. Das OLG hat diese Ansicht im Beru­fungs­ver­fah­ren bestä­tigt.

Die Gründe:
Ein Ver­fü­g­ungs­an­spruch auf Unter­las­sung steht dem Antrag­s­tel­ler gegen die Antrags­geg­ne­rin­nen im Zusam­men­hang mit dem streit­ge­gen­ständ­li­chen Hacker­an­griff weder aus §§ 97 Abs. 1, 15, 16, 19a UrhG noch aus § 1004 BGB ana­log zu (§§ 935, 936, 920 Abs. 2 ZPO). Eine Ver­ant­wort­lich­keit der Antrags­geg­ne­rin­nen aus dem im Beru­fungs­ver­fah­ren gegen­ständ­li­chen Haf­tungs­grund als Stö­rer besteht nicht.

Der Bet­rei­ber einer Web­seite haf­tet nicht für im Rah­men eines Hacker­an­griffs auf die Seite hoch­ge­la­dene Fotos. Dies gilt auch für den Fall, dass eine unsi­chere Ver­sion eines Con­tent-Mana­ge­ment-Sys­tems mit Sicher­heits­lü­cken benutzt wird. Als Web­seite-Bet­rei­ber bzw. Domain­in­ha­ber haf­ten die Antrags­geg­ne­rin­nen zwar grund­sätz­lich für die Inhalte ihrer Home­page täter­schaft­lich, wenn sie die Inhalte der Web­seite kon­trol­lie­ren. Aus die­sem Haf­tungs­grund schei­det eine Haf­tung für die Inhalte der hier gegen­ständ­li­chen, über einen Hacker­an­griff zuge­füg­ten Sei­ten jedoch aus. Nut­zer kön­nen auf der Inter­net­seite der Antrags­geg­ne­rin­nen, die Infor­ma­ti­ons­zwe­cken dient, nichts hoch­la­den. Bei den unbe­merkt im Rah­men eines Hacker­an­griffs abge­leg­ten Inhal­ten han­delt es sich um keine von den Antrags­geg­ne­rin­nen kon­trol­lier­ten Inhalte.

Durch die Beg­ren­zung der Stö­rer­haf­tung auf­grund des Erfor­der­nis­ses der Ver­let­zung zumut­ba­rer Ver­kehrspf­lich­ten, ins­be­son­dere Prüfpf­lich­ten, ist in der Regel Vor­aus­set­zung einer Stö­rer­haf­tung, dass der Stö­rer zuvor auf eine kon­k­rete, klare Rechts­ver­let­zung hin­ge­wie­sen wor­den ist. Erst nach einem Hin­weis auf einen kon­k­re­ten Rechts­ver­stoß ist der Stö­rer verpf­lich­tet, diese kon­k­rete Rechts­ver­let­zung abzu­s­tel­len und gege­be­nen­falls im Rah­men des Mög­li­chen und Zumut­ba­ren bestimmte gleich­ar­tige zukünf­tige Rechts­ver­let­zun­gen durch spe­zi­fi­sche Vor­ab­prü­fun­gen zu unter­bin­den.

Auch über die­sen Gesichts­punkt lässt sich im vor­lie­gen­den Fall eine Stö­rer­haf­tung der Antrags­geg­ne­rin­nen nicht begrün­den. Im Zusam­men­hang mit der streit­ge­gen­ständ­li­chen Rechts­ver­let­zung ist ein Hin­weis auf die kon­k­rete Rechts­ver­let­zung ver­bun­den gewe­sen. Jedoch begrün­det die­ser erst­ma­lige Hin­weis keine Stö­rer­haf­tung gerade für den Rechts­ver­let­zungs­fall, auf den hin­ge­wie­sen wor­den ist, son­dern nur für einen etwai­gen Fol­ge­fall.

Sch­ließ­lich ergibt sich eine Stö­rer­haf­tung der Antrags­geg­ne­rin­nen für die hier gel­tend gemachte Rechts­ver­let­zung auch nicht aus einer Ver­let­zung von Pflich­ten gem. § 13 Abs. 7 TMG. Ein Pflicht­wid­rig­keits­zu­sam­men­hang zwi­schen dem nicht ver­hin­der­ten Hacker­an­griff und der im vor­lie­gen­den Fall gegen­ständ­li­chen Urhe­ber­rechts­ver­let­zung im Hin­blick auf Pflich­ten aus § 13 Abs. 7 TMG besteht nicht. Die Antrags­geg­ne­rin­nen sind hin­sicht­lich des Betriebs ihrer Inter­net­seite als geschäfts­mä­ß­ige Tele­me­di­en­di­ens­te­an­bie­ter i.S.d. § 13 Abs. 7 TMG anzu­se­hen.

nach oben