Veraltetes CMS führt nicht zu einer Störerhaftung

Wichtigste Punkte

Störerhaftung ist ein deutsches Rechtskonstrukt, das in vielen Varianten auftritt, insbesondere im Filesharing-Bereich.
Das Landgericht Hamburg entschied gegen die Haftung von CMS-Betreibern für rechtsverletzende Inhalte.
Verantwortlichkeit des Betreibers kann ausgeschlossen werden, wenn Hackerangriffe plausibel sind und Mitarbeiter eidesstattliche Versicherungen abgeben.
Ein CMS muss regelmäßig aktualisiert werden, um keine Störerhaftung zu begründen, auch bei Möglichkeiten des Zugriffs durch Dritte.
Das Urteil könnte Betreiber ermutigen, Sicherheitsupdates zu vernachlässigen und dadurch kriminelles Verhalten zu erleichtern.
Es bleibt abzuwarten, ob Antragsteller Rechtsmittel einlegen oder die Inhalte einfach entfernen.
Das Urteil wirft Fragen zur Inkonsequenz des Rechtsenforcement im Vergleich zu anderen Haftungsmodellen auf.

Das Thema Störerhaftung lässt Rechtsanwälte oft genug aufschrecken, ist es doch ein sehr deutsches Rechtskonstrukt, das lange Zeit extrem unberechenbar ist. Auch wenn die Störerhaftung vor allem im Filesharingbereich Bekanntheit erlangt, gibt es die Rechtsfigur in vielen Varianten, so z.B. als Handlungsstörer, Zustandsstörer oder Mitstörer, welche allgemeine Vorschriften im Sachenrecht sowie des Verwaltungsrechts regeln.

Im Bereich des IT-Rechts gibt es jetzt aber eine weitere interessante Entscheidung vom Landgericht Hamburg. Danach wollte ein Verletzter nicht den Verletzer in Anspruch nehmen, sondern den Betreiber/Nutzer des CMS, auf dessen Portal, die rechtsverletzenden Fotos hochgeladen wurden. Diesem Ansinnen erteilte das Landgericht Hamburg eine Absage. Es entschied, dass eine Täterschaft des Betreibers oder seine Verantwortlichkeit für Mitarbeiter gemäß § 99 UrhG zumindest im Rahmen des summarischen Verfahrens auf Erlass einer einstweiligen Verfügung nicht mit der notwendigen Sicherheit in Betracht komme, wenn der Betreiber vorträgt, es sei aufgrund von stattgefundenen Veränderungen des Layouts ein Hackerangriff von außen wahrscheinlich gewesen und es seien zum Tatzeitpunkt nur drei Mitarbeiter des Betreibers mit administrativen Rechten zum Hochladen von Inhalten befugt gewesen, die ihrerseits eidesstattliche Versicherungen abgegeben haben, wonach sie die betreffenden Inhalte nicht hochgeladen haben.

Ebenso urteilte das Landgericht, dass der Betrieb eines CMS, das sich nicht auf dem neuesten Stand der Aktualisierung befindet, keine Störerhaftung begründen würde, wenn unstreitig Zugriffsmöglichkeiten Dritter bestanden haben. Als Begründung dafür nutzte das Gericht die durchaus fragwürdige Meinung, dass ein Hackerangriff durch Dritte auch bei einem aktuellen Stand des CMS generell nicht ausgeschlossen werden könne.

Da ich die Kammer am Landgericht Hamburg aus anderen Verfahren kenne, verstärkt sich mein Eindruck fragwürdiger technischer Kenntnisse. So sehr ich durchaus unterstütze, dass das Rechtsinstitut der Störerhaftung nicht derart überdehnt wird, wie es beispielsweise bei der WLAN-Haftung in anderen Fällen regelmäßig der Fall ist, so fatal ist, finde ich, die Botschaft, die von einem solchen Urteil ausgeht. Wenn Betreibern von beispielsweise WordPress-Seiten etc. durch das unterlassende Nutzung von Sicherheitspatches und dergleichen keine juristischen Nachteile mehr drohen, ist die Motivation von Betreibern noch geringer, als es ohnehin schon der Fall ist. Als Resultat wird es Kriminellen besonders leicht gemacht, Server zu übernehmen, Viren und Trojaner zu verteilen oder die Server für DDOS zu nutzen. Sicherlich ist es richtig, dass auch ein vollständig mit Updates versorgtes System nicht sicher ist, schon gar nicht vor Profis oder Nutzer von Zero-Day-Lücken. Das konsequente Nutzen von Sicherheitsupdates macht es aber Skript-Kiddies schwerer und verhindern das simple Ausnutzen von weit verbreiteten Sicherheitslücken.

Ohne Not hat das Landgericht Hamburg mit diesem Urteil hier ein falsches Zeichen gesetzt. Es hätte schlicht urteilen können, dass im Falle eines CMS, das abgesichert war, keine Störerhaftung vorliege. Das gilt natürlich auch, da das Urteil in gewisser Weise inkonsequent gegenüber Tatbeständen ist, in denen beispielsweise ein WLAN-Betreiber auch nicht selbst Urheberrechte verletzt hat, in denen aber wiederum verlangt wird, dass die neuestes und sicherste Verschlüsselungstechnik genutzt wird. Es bleibt abzuwarten, ob die Antragsteller das Rechtsmittel der sofortigen Beschwerde nutzen oder es dabei belassen, dass die Portalbetreiber das streitgegenständliche Foto innerhalb weniger Stunden gelöscht haben.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.

Tags: Filesharing Haftung Hamburg IT-Recht KI Landgericht Hamburg Portal Rechtsmittel Server Sicherheit Störerhaftung Urheberrecht Urteile