de en
Nexia Ebner Stolz

Rechtsberatung

Internetseite: Keine Betreiberhaftung für durch Hackerangriff hochgeladenes Bild

OLG Hamburg v. 18.6.2020 - 5 U 33/19

Der Be­trei­ber ei­ner Web­seite haf­tet nicht für im Rah­men ei­nes Ha­cker­an­griffs auf die Seite hoch­ge­la­dene Fo­tos. Dies gilt auch für den Fall, dass eine un­si­chere Ver­sion ei­nes Con­tent-Ma­nage­ment-Sys­tems mit Si­cher­heitslücken be­nutzt wird.

Der Sach­ver­halt:
Der An­trag­stel­ler ist Be­rufs­fo­to­graf. Die An­trags­geg­ne­rin­nen be­trei­ben eine In­ter­net­seite. Sie sind im Im­pres­sum als Ver­ant­wort­li­che ge­nannt. Eine seit April 2017 verfügbare neuere Ver­sion des Con­tent-Ma­nage­ment-Sys­tems ließen die An­trags­geg­ne­rin­nen bis Juni 2018 nicht auf­spie­len, weil diese nicht un­ein­ge­schränkt abwärts­kom­pa­ti­bel war, so dass Er­wei­te­run­gen der vor­he­ri­gen Ver­sion dann nicht mehr "ge­lau­fen" wären. Zu Be­ginn des Jah­res 2018 wa­ren zwei von den An­trags­geg­ne­rin­nen ver­wen­dete Sys­tem­er­wei­te­run­gen "un­si­cher".

In der Zeit zwi­schen Ja­nuar und Juni 2018 "hack­ten" Dritte die In­ter­net­seite der An­trags­geg­ne­rin­nen und lu­den das hier streit­ge­genständ­li­che Foto un­ter Aus­nut­zung vor­han­de­ner Si­cher­heitslücken auf dem Ser­ver der Web­seite hoch und spei­cher­ten es dort. Es war Teil hin­ein­ge­hack­ter eng­lisch­spra­chi­ger Un­ter­sei­ten, die über das Ba­ckend der In­ter­net­seite der An­trags­geg­ne­rin­nen ge­spei­chert wor­den wa­ren. Diese Un­ter­sei­ten wie­sen ein an­de­res Lay­out auf als die übri­gen Web­sei­ten der An­trags­geg­ne­rin­nen. Es war nicht möglich, von der In­ter­net­seite der An­trags­geg­ne­rin­nen auf die be­an­stan­de­ten In­halte und das streit­ge­genständIiche Foto zu ge­lan­gen, we­der durch eine Ver­lin­kung noch durch die in­terne Such­funk­tion auf der Seite.

Der An­trag­stel­ler hat be­haup­tet, er habe das streit­ge­genständIiche Foto er­stellt. Er war der Auf­fas­sung, ihm komme die Ver­mu­tungs­wir­kung des § 10 Abs. 1 UrhG zu­gute. Die An­trags­geg­ne­rin­nen hätten sein Foto wi­der­recht­lich ver­vielfältigt und öff­ent­lich zugäng­lich ge­macht. Das LG hat den An­trag auf Er­lass ei­ner einst­wei­li­gen Verfügung zurück­ge­wie­sen. Dem An­trag­stel­ler stehe gem. § 97 Abs. 1 UrhG we­der auf­grund täter­schaft­li­cher Ver­ant­wort­lich­keit der An­trags­geg­ne­rin­nen noch auf­grund ei­ner Störer­haf­tung ein Verfügungs­an­spruch zu. Das OLG hat diese An­sicht im Be­ru­fungs­ver­fah­ren bestätigt.

Die Gründe:
Ein Verfügungs­an­spruch auf Un­ter­las­sung steht dem An­trag­stel­ler ge­gen die An­trags­geg­ne­rin­nen im Zu­sam­men­hang mit dem streit­ge­genständ­li­chen Ha­cker­an­griff we­der aus §§ 97 Abs. 1, 15, 16, 19a UrhG noch aus § 1004 BGB ana­log zu (§§ 935, 936, 920 Abs. 2 ZPO). Eine Ver­ant­wort­lich­keit der An­trags­geg­ne­rin­nen aus dem im Be­ru­fungs­ver­fah­ren ge­genständ­li­chen Haf­tungs­grund als Störer be­steht nicht.

Der Be­trei­ber ei­ner Web­seite haf­tet nicht für im Rah­men ei­nes Ha­cker­an­griffs auf die Seite hoch­ge­la­dene Fo­tos. Dies gilt auch für den Fall, dass eine un­si­chere Ver­sion ei­nes Con­tent-Ma­nage­ment-Sys­tems mit Si­cher­heitslücken be­nutzt wird. Als Web­seite-Be­trei­ber bzw. Do­main­in­ha­ber haf­ten die An­trags­geg­ne­rin­nen zwar grundsätz­lich für die In­halte ih­rer Home­page täter­schaft­lich, wenn sie die In­halte der Web­seite kon­trol­lie­ren. Aus die­sem Haf­tungs­grund schei­det eine Haf­tung für die In­halte der hier ge­genständ­li­chen, über einen Ha­cker­an­griff zu­gefügten Sei­ten je­doch aus. Nut­zer können auf der In­ter­net­seite der An­trags­geg­ne­rin­nen, die In­for­ma­ti­ons­zwe­cken dient, nichts hoch­la­den. Bei den un­be­merkt im Rah­men ei­nes Ha­cker­an­griffs ab­ge­leg­ten In­hal­ten han­delt es sich um keine von den An­trags­geg­ne­rin­nen kon­trol­lier­ten In­halte.

Durch die Be­gren­zung der Störer­haf­tung auf­grund des Er­for­der­nis­ses der Ver­let­zung zu­mut­ba­rer Ver­kehrs­pflich­ten, ins­be­son­dere Prüfpflich­ten, ist in der Re­gel Vor­aus­set­zung ei­ner Störer­haf­tung, dass der Störer zu­vor auf eine kon­krete, klare Rechts­ver­let­zung hin­ge­wie­sen wor­den ist. Erst nach einem Hin­weis auf einen kon­kre­ten Rechts­ver­stoß ist der Störer ver­pflich­tet, diese kon­krete Rechts­ver­let­zung ab­zu­stel­len und ge­ge­be­nen­falls im Rah­men des Mögli­chen und Zu­mut­ba­ren be­stimmte gleich­ar­tige zukünf­tige Rechts­ver­let­zun­gen durch spe­zi­fi­sche Vor­abprüfun­gen zu un­ter­bin­den.

Auch über die­sen Ge­sichts­punkt lässt sich im vor­lie­gen­den Fall eine Störer­haf­tung der An­trags­geg­ne­rin­nen nicht begründen. Im Zu­sam­men­hang mit der streit­ge­genständ­li­chen Rechts­ver­let­zung ist ein Hin­weis auf die kon­krete Rechts­ver­let­zung ver­bun­den ge­we­sen. Je­doch begründet die­ser erst­ma­lige Hin­weis keine Störer­haf­tung ge­rade für den Rechts­ver­let­zungs­fall, auf den hin­ge­wie­sen wor­den ist, son­dern nur für einen et­wai­gen Fol­ge­fall.

Schließlich er­gibt sich eine Störer­haf­tung der An­trags­geg­ne­rin­nen für die hier gel­tend ge­machte Rechts­ver­let­zung auch nicht aus ei­ner Ver­let­zung von Pflich­ten gem. § 13 Abs. 7 TMG. Ein Pflicht­wid­rig­keits­zu­sam­men­hang zwi­schen dem nicht ver­hin­der­ten Ha­cker­an­griff und der im vor­lie­gen­den Fall ge­genständ­li­chen Ur­he­ber­rechts­ver­let­zung im Hin­blick auf Pflich­ten aus § 13 Abs. 7 TMG be­steht nicht. Die An­trags­geg­ne­rin­nen sind hin­sicht­lich des Be­triebs ih­rer In­ter­net­seite als ge­schäftsmäßige Te­le­me­di­en­diens­te­an­bie­ter i.S.d. § 13 Abs. 7 TMG an­zu­se­hen.

nach oben