Veraltetes CMS führt nicht zu einer Störerhaftung

Das Thema Störerhaftung lässt Rechtsanwälte oft genug aufschrecken, ist es doch ein sehr deutsches Rechtskonstrukt, das lange Zeit extrem unberechenbar…

Das Wichtigste in Kürze

  • Das Landgericht Hamburg entschied, dass ein veraltetes CMS allein keine Störerhaftung begründet, insbesondere bei möglichen Hackerangriffen Dritter.
  • Die Klage gegen den CMS-Betreiber wurde abgewiesen, da ein Hackerangriff vermutet und die Beteiligung der Mitarbeiter ausgeschlossen wurde.
  • Der Autor kritisiert die Urteilsbegründung als technisch fragwürdig und befürchtet eine sinkende Motivation für notwendige Sicherheitsupdates.
  • Das Urteil wird als inkonsequent im Vergleich zu anderen Haftungsfällen, wie der WLAN-Haftung, angesehen.

Im Bereich des IT-Rechts gibt es jetzt aber eine weitere interessante Entscheidung vom Landgericht Hamburg. Danach wollte ein Verletzter nicht den Verletzer in Anspruch nehmen, sondern den Betreiber/Nutzer des CMS, auf dessen Portal, die rechtsverletzenden Fotos hochgeladen wurden. Diesem Ansinnen erteilte das Landgericht Hamburg eine Absage. Es entschied, dass eine Täterschaft des Betreibers oder seine Verantwortlichkeit für Mitarbeiter gemäß § 99 UrhG zumindest im Rahmen des summarischen Verfahrens auf Erlass einer einstweiligen Verfügung nicht mit der notwendigen Sicherheit in Betracht komme, wenn der Betreiber vorträgt, es sei aufgrund von stattgefundenen Veränderungen des Layouts  ein Hackerangriff von außen wahrscheinlich gewesen und es seien zum Tatzeitpunkt nur drei Mitarbeiter des Betreibers mit administrativen Rechten zum Hochladen von Inhalten befugt gewesen, die ihrerseits eidesstattliche Versicherungen abgegeben haben, wonach sie die betreffenden Inhalte nicht hochgeladen haben.

Ebenso urteilte das Landgericht, dass der Betrieb eines CMS, das sich nicht auf dem neuesten Stand der Aktualisierung befindet, keine Störerhaftung begründen würde, wenn unstreitig Zugriffsmöglichkeiten Dritter bestanden haben. Als Begründung dafür nutzte das Gericht die durchaus fragwürdige Meinung, dass ein Hackerangriff durch Dritte auch bei einem aktuellen Stand des CMS generell nicht ausgeschlossen werden könne.

Da ich die Kammer am Landgericht Hamburg aus anderen Verfahren kenne, verstärkt sich mein Eindruck fragwürdiger technischer Kenntnisse. So sehr ich durchaus unterstütze, dass das Rechtsinstitut der Störerhaftung nicht derart überdehnt wird, wie es beispielsweise bei der WLAN-Haftung in anderen Fällen regelmäßig der Fall ist, so fatal ist, finde ich, die Botschaft, die von einem solchen Urteil ausgeht. Wenn Betreibern von beispielsweise WordPress-Seiten etc. durch das unterlassende Nutzung von Sicherheitspatches und dergleichen keine juristischen Nachteile mehr drohen, ist die Motivation von Betreibern noch geringer, als es ohnehin schon der Fall ist. Als Resultat wird es Kriminellen besonders leicht gemacht, Server zu übernehmen, Viren und Trojaner zu verteilen oder die Server für DDOS zu nutzen. Sicherlich ist es richtig, dass auch ein vollständig mit Updates versorgtes System nicht sicher ist, schon gar nicht vor Profis oder Nutzer von Zero-Day-Lücken. Das konsequente Nutzen von Sicherheitsupdates macht es aber Skript-Kiddies schwerer und verhindern das simple Ausnutzen von weit verbreiteten Sicherheitslücken.

Ohne Not hat das Landgericht Hamburg mit diesem Urteil hier ein falsches Zeichen gesetzt. Es hätte schlicht urteilen können, dass im Falle eines CMS, das abgesichert war, keine Störerhaftung vorliege. Das gilt natürlich auch, da das Urteil in gewisser Weise inkonsequent gegenüber Tatbeständen ist, in denen beispielsweise ein WLAN-Betreiber auch nicht selbst Urheberrechte verletzt hat, in denen aber wiederum verlangt wird, dass die neuestes und sicherste Verschlüsselungstechnik genutzt wird. Es bleibt abzuwarten, ob die Antragsteller das Rechtsmittel der sofortigen Beschwerde nutzen oder es dabei belassen, dass die Portalbetreiber das streitgegenständliche Foto innerhalb weniger Stunden gelöscht haben.

Häufig gestellte Fragen

Welche Entscheidung traf das Landgericht Hamburg bezüglich eines veralteten CMS und Störerhaftung?
Das Landgericht Hamburg entschied, dass der Betrieb eines CMS, das nicht auf dem neuesten Stand der Aktualisierung ist, keine Störerhaftung begründet, wenn unstreitig Zugriffsmöglichkeiten Dritter bestanden haben.
Unter welchen Umständen lehnte das LG Hamburg eine Störerhaftung des CMS-Betreibers ab?
Das Gericht lehnte eine Täterschaft oder Verantwortlichkeit ab, da der Betreiber einen Hackerangriff für wahrscheinlich hielt und administrative Mitarbeiter eidesstattliche Versicherungen abgaben, die Inhalte nicht hochgeladen zu haben.
Warum kritisiert der Autor die Begründung des Landgerichts Hamburg?
Der Autor kritisiert die Begründung, dass ein Hackerangriff auch bei einem aktuellen CMS nicht ausgeschlossen werden könne, als fragwürdig und technisch unzureichend. Er befürchtet, dass dies die Motivation für Sicherheitsupdates senkt.
Welche potenziellen negativen Folgen sieht der Autor durch das Urteil?
Der Autor befürchtet, dass Kriminellen das Übernehmen von Servern, das Verteilen von Viren und Trojanern oder die Nutzung für DDoS-Angriffe erleichtert wird, wenn Betreiber keine juristischen Nachteile durch fehlende Sicherheitsupdates befürchten müssen.