Veraltetes CMS führt nicht zu einer Störerhaftung
Das Thema Störerhaftung lässt Rechtsanwälte oft genug aufschrecken, ist es doch ein sehr deutsches Rechtskonstrukt, das lange Zeit extrem unberechenbar ist. Auch wenn die Störerhaftung vor allem im Filesharingbereich Bekanntheit erlangt, gibt es die Rechtsfigur in vielen Varianten, so z.B. als Handlungsstörer, Zustandsstörer oder Mitstörer, welche allgemeine Vorschriften im Sachenrecht sowie des Verwaltungsrechts regeln.
Im Bereich des IT-Rechts gibt es jetzt aber eine weitere interessante Entscheidung vom Landgericht Hamburg. Danach wollte ein Verletzter nicht den Verletzer in Anspruch nehmen, sondern den Betreiber/Nutzer des CMS, auf dessen Portal, die rechtsverletzenden Fotos hochgeladen wurden. Diesem Ansinnen erteilte das Landgericht Hamburg eine Absage. Es entschied, dass eine Täterschaft des Betreibers oder seine Verantwortlichkeit für Mitarbeiter gemäß § 99 UrhG zumindest im Rahmen des summarischen Verfahrens auf Erlass einer einstweiligen Verfügung nicht mit der notwendigen Sicherheit in Betracht komme, wenn der Betreiber vorträgt, es sei aufgrund von stattgefundenen Veränderungen des Layouts ein Hackerangriff von außen wahrscheinlich gewesen und es seien zum Tatzeitpunkt nur drei Mitarbeiter des Betreibers mit administrativen Rechten zum Hochladen von Inhalten befugt gewesen, die ihrerseits eidesstattliche Versicherungen abgegeben haben, wonach sie die betreffenden Inhalte nicht hochgeladen haben.
Ebenso urteilte das Landgericht, dass der Betrieb eines CMS, das sich nicht auf dem neuesten Stand der Aktualisierung befindet, keine Störerhaftung begründen würde, wenn unstreitig Zugriffsmöglichkeiten Dritter bestanden haben. Als Begründung dafür nutzte das Gericht die durchaus fragwürdige Meinung, dass ein Hackerangriff durch Dritte auch bei einem aktuellen Stand des CMS generell nicht ausgeschlossen werden könne.
Da ich die Kammer am Landgericht Hamburg aus anderen Verfahren kenne, verstärkt sich mein Eindruck fragwürdiger technischer Kenntnisse. So sehr ich durchaus unterstütze, dass das Rechtsinstitut der Störerhaftung nicht derart überdehnt wird, wie es beispielsweise bei der WLAN-Haftung in anderen Fällen regelmäßig der Fall ist, so fatal ist, finde ich, die Botschaft, die von einem solchen Urteil ausgeht. Wenn Betreibern von beispielsweise WordPress-Seiten etc. durch das unterlassende Nutzung von Sicherheitspatches und dergleichen keine juristischen Nachteile mehr drohen, ist die Motivation von Betreibern noch geringer, als es ohnehin schon der Fall ist. Als Resultat wird es Kriminellen besonders leicht gemacht, Server zu übernehmen, Viren und Trojaner zu verteilen oder die Server für DDOS zu nutzen. Sicherlich ist es richtig, dass auch ein vollständig mit Updates versorgtes System nicht sicher ist, schon gar nicht vor Profis oder Nutzer von Zero-Day-Lücken. Das konsequente Nutzen von Sicherheitsupdates macht es aber Skript-Kiddies schwerer und verhindern das simple Ausnutzen von weit verbreiteten Sicherheitslücken.
Ohne Not hat das Landgericht Hamburg mit diesem Urteil hier ein falsches Zeichen gesetzt. Es hätte schlicht urteilen können, dass im Falle eines CMS, das abgesichert war, keine Störerhaftung vorliege. Das gilt natürlich auch, da das Urteil in gewisser Weise inkonsequent gegenüber Tatbeständen ist, in denen beispielsweise ein WLAN-Betreiber auch nicht selbst Urheberrechte verletzt hat, in denen aber wiederum verlangt wird, dass die neuestes und sicherste Verschlüsselungstechnik genutzt wird. Es bleibt abzuwarten, ob die Antragsteller das Rechtsmittel der sofortigen Beschwerde nutzen oder es dabei belassen, dass die Portalbetreiber das streitgegenständliche Foto innerhalb weniger Stunden gelöscht haben.
