Virenverseuchte E-Mails
Wer bei Virenschäden haftet
E-Mail als Virenschleuder
Virenverseuchte E-Mails
Wenn mehr als ein Drittel der Online-Nutzer ohne Firewall (63%) oder Virenschutz (8%) surfen, wie die letzte Studie der National Cyber Security Alliance ergab, dann geht damit eine Gefahr für alle Anwender einher. Denn prinzipiell kann jedes E-Mail-Postfach zur Virenschleuder werden.
Und die Statistik gibt den Befürchtungen Recht: Laut jüngstem IBM Global Business Security Index 2005 war im Januar 2004 nur eine von 129 E-Mails virenverseucht, im Dezember bereits eine von 51, im Januar 2005 eine von 35 und im Juni eine von 28. Damit hat sich das Aufkommen von Viren-E-Mails binnen zwei Jahren fast verfünffacht.
Ungewollte Virenattacken
Virenverseuchte E-Mails
Doch nicht alle Viren werden gezielt versendet. Die meisten Schädlinge schleichen sich heimlich in ansonsten völlig harmlose elektronische Briefe. Umso ärgerlicher, wenn die lang ersehnte Botschaft des Brieffreunds plötzlich zum Datenvernichter wird. Noch schlimmer, wenn ein versehentlich versendeter Virus wirtschaftliche Schäden beim Empfänger verursacht, gar wichtige Firmendaten löscht oder das Netzwerk zum Erliegen bringt. Wer kommt für den Schaden auf? Ist der Versender automatisch schadensersatzpflichtig, oder hätte sich der Empfänger nur besser selbst schützen müssen?
Haftung bei Virenversand
Virenverseuchte E-Mails
Wenn der Absender der Mail vorsätzlich oder fahrlässig gehandelt hat, sieht das Bürgerliche Gesetzbuch (BGB) einen Schadensersatzanspruch des Opfers vor. Das folgt aus §§ 826, 823 Abs. 1 und 2 BGB. Eindeutig ist dies etwa, wenn Hardware-Schäden auftreten. Zuweilen wird jedoch heftig diskutiert, ob auch Daten zum Eigentum zählen und ob ihnen eine Sacheigenschaft (§ 90 BGB) zuzuschreiben ist. Dies bejaht inzwischen allerdings auch der Bundesgerichtshof, etwa in Bezug auf Programme auf Datenträgern. Im Löschen von Daten liegt also eine Eigentumsverletzung vor, da diese im geschäftlichen Zusammenhang durchaus einen entscheidenden Wert darstellen. Wenn ein Backdoor-Trojaner Dritten auch Zugriff auf persönliche Daten des Opfers gestattet, kann zusätzlich noch eine Verletzung des Persönlichkeitsrechts vorliegen.
Schwieriger liegt der Fall, wenn virenverseuchte E-Mails unbewusst verschickt werden. Dazu gibt es bisher statt eines eindeutigen Präzedenzfalls nur widersprüchliche Auffassungen. Es gilt aber: Der Versender ist nur dann haftbar, wenn für ihn überhaupt eine Pflicht zum Virenschutz besteht und er dieser nicht nachgekommen ist (Unterlassung).
Die Verkehrssicherungspflicht
Virenverseuchte E-Mails
Eine Haftung ergibt sich natürlich auch aus vertraglichen Zusagen. Wer in einem Vertrag angibt, virenfreie Inhalte zu vertreiben, muss diesen Anspruch auch erfüllen, sonst ist er schadensersatzpflichtig. Beim unbeabsichtigten Versenden von E-Mails ergibt sich jedoch allenfalls eine nebenvertragliche Schutzpflicht gemäß § 241 Abs. 2 BGB. Bei Vorsatz oder grober Fahrlässigkeit besteht zudem nicht die Möglichkeit, sich von der Haftung gegebenenfalls freizuzeichnen (nach §§ 276 Abs. 3, 309 Nr. 7 BGB).
Es gibt zwar keine grundsätzliche Rechtspflicht, nach der man andere vor Schaden bewahren muss. Aber es gibt Gründe für eine besondere »Verkehrssicherungspflicht«. Dazu gehören Aspekte wie »Beherrschung einer Gefahrenquelle«, »Schaffung einer besonderen Gefahrenlage« und »übermäßige Gefährdung« (§ 823 Abs. 1 BGB).
Sicherungspflicht bei Gefahrenlage
Virenverseuchte E-Mails
Die Gefahrenlage ergibt sich aus den destruktiven Eigenschaften der Computerviren und ihrer hohen Verbreitung. Eine besondere Gefahrenquelle besteht, wenn ein PC ungeschützt und daher mit Viren verseucht ist. Durch eine gefährliche E-Mail schafft der Versender auch beim Empfänger eine Gefahrenlage, da sich die Viren bei ihm prinzipiell weiterverbreiten können.
Aber es gibt auch Argumente gegen die Verkehrssicherungspflicht des Versenders. Denn Viren gehören heute zum allgemeinen Online-Risiko, stellen also keine »besondere« Gefahr dar. Die Gefahrenlage bei Virenepidemien ist grundsätzlich sehr hoch. Somit besteht die Anforderung, dass ein Virenschutz auf jeden PC gehört. Der Empfänger muss sich also auch selbst schützen.
Schutz gegen Schadensersatzpflicht
Virenverseuchte E-Mails
Nach der bisherigen Rechtsprechung des Bundesgerichtshofes sollten E-Mail-Versender die Maßnahmen treffen, die wirtschaftlich zumutbar sind, um Gefahr vom Empfänger abzuwenden. Wer einen Gratis-Virenscanner einsetzt und die Signaturen automatisch updatet, erfüllt diese Anforderungen. Zum aktuellen Stand gehören indes auch Firewalls und Software-Patches. Diese sind ebenso kostenlos erhältlich und zumutbar. Empfänger sollten sich aus den gleichen Gründen schützen wie Versender.
Obacht: Für Unternehmen werden oft höhere Verkehrssicherungspflichten angenommen. Das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmen) sieht IT-Risikoanalysen, eine sichere Infrastruktur sowie regelmäßige Mitarbeiterschulungen vor. Das Bundesdatenschutzgesetz fordert zudem den besonderen Schutz personenbezogener Daten. Unternehmer können die Verantwortungen auch nicht auf Mitarbeiter übertragen (»Organisationsverschulden«).
Ergeben sich also datenschutzrechtliche Ansprüche auf Schadensersatz? Die Meinungen sind gespalten. Keine Ansprüche ergeben sich bei bloßer Vernichtung, Beschädigung oder Beeinträchtigung fremder Daten durch Viren-E-Mails. Denn dieser Fall ist durch §§ 7, 8 BDSG nicht gedeckt. Andererseits können sich Ansprüche ergeben, wenn personenbezogene Daten unrichtig oder Dritten zugänglich gemacht werden. Im öffentlichen Bereich haften Verschulder mit bis zu 130 000 Euro, im nicht-öffentlichen Bereich unbegrenzt dabei allerdings mit Beweislastumkehr. Das Unternehmen muss seine Unschuld beweisen.
So reagieren Sie auf Schadensersatzansprüche
Virenverseuchte E-Mails
Wer mit einer Viren-E-Mail Schaden angerichtet hat, kann im Falle von Ersatzansprüchen Folgendes einwenden: Er kann den Beweis antreten, dass der Virus so neu ist, dass er auch von einer vorhandenen Schutzsoftware nicht erkannt worden wäre. Denn Fahrlässigkeit ist nur gegeben, wenn ein wirtschaftlich und technisch zumutbares Tool den Schaden abwenden hätte können. Weiter ist eine Mitschuld des Empfängers anzunehmen (§ 254 BGB), wenn auch dessen PC ungeschützt ist. Diesem kann dann eine Mitwirkung zugesprochen und eine Schadensbegrenzungspflicht auferlegt sein.
Das versehentliche Versenden einer virenbehafteten E-Mail ist nicht strafbar und wird vom Strafrecht nicht erfasst (§§ 202a, 303a, 303b StGB). Zivilrechtliche Ansprüche auf Schadensersatz ergeben sich aber aus § 823 Abs. 1 BGB und vertraglichen Nebenpflichten. Grundlage für eine mögliche Haftung ist die angenommene Verkehrssicherungspflicht des Versenders.
Der Rechtsprechung mangelt es jedoch an Beispielurteilen. Den besten Schutz gegen etwaige Schadensersatzansprüche genießen Sie, wenn Sie Ihren PC mit Virenscanner, Firewall und Produkt-Updates absichern. Gratisversionen reichen hierfür aus.