Haftung bei Schäden durch Viren-Mails
Gerichte verlangen Verantwortung für Security – aber nicht immer

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkePolitikRechtSicherheitSicherheitsmanagement

Etwa 60 Milliarden E-Mails werden täglich versendet. Bei ständig wachsendem Malware-Aufkommen nimmt auch die Anzahl virenverseuchter E-Mails stetig zu. Aber wer haftet, wenn Sie versehentlich eine solche E-Mail weiterleiten und Schäden verursachen?

Jeder kann zur Virenschleuder werden

Haftung bei Schäden durch Viren-Mails

Prinzipiell kann jedes E-Mail-Postfach zur Virenschleuder werden – und die Statistik gibt den Befürchtungen Recht: Laut jüngstem IBM Global Business Security Index 2005 war im Januar 2004 nur eine von 129 E-Mails virenverseucht, im Dezember 2005 eine von 25.
Damit hat sich das Aufkommen von Viren-E-Mails binnen zwei Jahren mehr als verfünffacht. Beim Ausbruch einer neuen Viren-Epidemie ist sogar fast jede 50. Mail mit einem Virus infiziert. Ursache für diese hohe Quote sind vor allem nicht schnell genug aktualisierte Virenscanner und mangelnde Sensibilität der Anwender.

Ungewollte Virenattacken
Doch nicht alle Viren werden gezielt versendet. Die meisten Schädlinge schleichen sich heimlich in ansonsten völlig harmlose elektronische Briefe. Umso ärgerlicher, wenn ein Angebot anKunden oder eine Kalkulation an eine andere Firmenzweigstelle plötzlich zum Datenvernichter wird. Noch schlimmer, wenn ein versehentlich versendeter Virus wirtschaftliche Schäden beim Empfänger verursacht, gar wichtige Firmendaten löscht oder das Netzwerk zum Erliegen bringt. Wer kommt für den Schaden auf? Ist der Versender automatisch schadensersatzpflichtig, oder hätte sich der Empfänger selbst besser schützen müssen?


Haftung bei Virenversand

Haftung bei Schäden durch Viren-Mails

Wenn der Absender der Mail vorsätzlich oder fahrlässig gehandelt hat, sieht das Bürgerliche Gesetzbuch (BGB) einen Schadensersatzanspruch des Opfers vor. Das folgt aus §§ 826, 823 Abs. 1 und 2 BGB. Eindeutig ist dies etwa, wenn Hardware-Schäden auftreten. Zuweilen wird jedoch heftig diskutiert, ob auch Daten zum Eigentum zählen und ob ihnen eine Sacheigenschaft (§ 90 BGB) zuzuschreiben ist. Dies bejaht inzwischen allerdings auch der Bundesgerichtshof, beispielsweise in Bezug auf Programmeauf Datenträgern. Im Löschen von Daten liegt also eine Eigentumsverletzung vor, da diese im geschäftlichen Zusammenhang durchaus einen entscheidendenWert darstellen.

Wenn ein Backdoor-Trojaner Dritten beispielsweise auch Zugriff auf persönliche Daten des Opfers gestattet, kann zusätzlich noch eine Verletzung des Persönlichkeitsrechts vorliegen.

Schwieriger liegt der Fall, wenn virenverseuchte E-Mails unbewusst verschickt werden. Dazu gibt es bisher statt eines eindeutigen Präzedenzfalls nur widersprüchliche Auffassungen. Es gilt aber: Der Versender ist nur dann haftbar, wenn für ihn überhaupt eine Pflicht zum Virenschutz besteht und er dieser nicht nachgekommen ist (Stichwort »Unterlassung«).

Eine Haftung ergibt sich natürlich auch aus vertraglichen Zusagen. Wer in einem Vertrag angibt, virenfreie Inhalte zu vertreiben, muss diesen Anspruch auch erfüllen, sonst ist er schadensersatzpflichtig. Beim unbeabsichtigten Versenden von E-Mails ergibt sich jedoch allenfalls eine nebenvertragliche Schutzpflicht gemäß § 241 Abs. 2 BGB. Bei Vorsatz oder grober Fahrlässigkeit besteht zudem nicht die Möglichkeit, sich von der Haftung gegebenenfalls freizuzeichnen (nach §§ 276 Abs. 3, 309 Nr. 7 BGB). Es gibt zwar keine grundsätzliche Rechtspflicht, nach der man andere vor Schaden bewahren muss. Aber es gibt Gründe für eine besondere »Verkehrssicherungspflicht «. Dazu gehören Aspekte wie »Beherrschung einer Gefahrenquelle«, »Schaffung einer besonderen Gefahrenlage « und »übermäßige Gefährdung « (§ 823 Abs. 1 BGB).


Sicherungspflicht bei Gefahrenlage

Haftung bei Schäden durch Viren-Mails

Die Gefahrenlage ergibt sich aus den destruktiven Eigenschaften der Computerviren und ihrer hohen Verbreitung. Eine besondere Gefahrenquelle besteht, wenn ein PC in einem Home-Office, ein Notebook eines Außendienstmitarbeiters oder das gesamte Firmen-Netzwerk ungeschützt und daher mit Viren verseucht ist. Durch eine gefährliche E-Mail schafft der Versender auch beim Empfänger eine Gefahrenlage, da sich die Viren bei ihm prinzipiell weiterverbreiten können.

Aber es gibt auch Argumente gegen die Verkehrssicherungspflicht des Versenders. Denn Viren gehören heute zum allgemeinen Online-Risiko, stellen also keine »besondere« Gefahr dar. Die Gefahrenlage bei Viren-Epidemien ist grundsätzlich sehr hoch. Somit besteht die Anforderung, dass ein Virenschutz auf jeden PC gehört.


Schutz gegen Schadensersatzpflicht

Haftung bei Schäden durch Viren-Mails

Nach der bisherigen Rechtsprechung des Bundesgerichtshofes sollten Email-Versender die Maßnahmen treffen, die wirtschaftlich zumutbar sind, umGefahr vom Empfänger abzuwenden. Schon wer als Privatperson einen Gratis-Virenscanner einsetzt und die Signaturen automatisch updatet, erfüllt diese Anforderungen. Zum aktuellen Stand gehören auch Firewalls und Software-Patches. Empfänger sollten sich aus den gleichen Gründen schützen wie Versender.

Im Unterschied zu privaten Anwendern werden für Unternehmen oft weitreichenendere Verkehrssicherungspflichten angenommen und vorausgesetzt. Das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmen, hier als PDF) sieht IT-Risikoanalysen, eine sichere Infrastruktur sowie regelmäßige Mitarbeiterschulungen vor. Informationen hierzu liefert beispielsweise die Webseite www.deutschland-sicher-im-netz.de und das Bundesamt für Sicherheit in der Informationstechnik (www.bsi.de).

Das Bundesdatenschutzgesetz fordert zudem den besonderen Schutz personenbezogener Daten. Unternehmer können die Verantwortung auch nicht auf Mitarbeiter übertragen (»Organisationsverschulden «). Ergeben sich also datenschutzrechtliche Ansprüche auf Schadensersatz?

Die Meinungen sind gespalten. Kein Ansprüche ergeben sich bei bloßer Vernichtung, Beschädigung oder Beeinträchtigung fremder Daten durch Viren-E-Mails. Denn dieser Fall ist durch §§ 7, 8 BDSG nicht gedeckt. Andererseits können sich Ansprüche ergeben, wenn personenbezogene Daten unrichtig oder Dritten zugänglich gemacht werden.

Im öffentlichen Bereich haften Verschulder mit bis zu 130000 Euro, im nicht-öffentlichen Bereich unbegrenzt – dabei allerdings mit Beweislastumkehr. Das Unternehmen muss seine Unschuld beweisen.


So reagieren Sie auf Schadensersatz-Ansprüche

Haftung bei Schäden durch Viren-Mails

Wer mit einer Viren-E-Mail Schaden angerichtet hat, kann im Falle von Ersatzansprüchen Folgendes einwenden: Er kann den Beweis antreten, dass der Virus so neu ist, dass er auch von einer vorhandenen Schutz-Software nicht erkannt worden wäre. Denn Fahrlässigkeit ist nur gegeben, wenn ein wirtschaftlich und technisch zumutbares Tool den Schaden hätte abwenden können. Weiter ist eine Mitschuld des Empfängers anzunehmen (§ 254 BGB), wenn auch dessen PC ungeschützt ist. Diesem kann dann Schadensbegrenzungspflicht auferlegt werden.

Das versehentliche Versenden einer virenbehafteten E-Mail ist nicht strafbar und wird vom Strafrecht nicht erfasst (§§ 202a, 303a, 303b StGB). Zivilrechtliche Ansprüche auf Schadensersatz ergeben sich aber aus § 823 Abs. 1 BGB und vertraglichen Nebenpflichten. Grundlage für eine mögliche Haftung ist die angenommene Verkehrssicherungspflicht des Versenders. Der Rechtsprechung mangelt es jedoch an Beispielurteilen.