18 Millionen E-Mail-Passwörter gestohlen - Wer haftet für den Missbrauch
Potsdam, 4. April 2014. Die Staatsanwaltschaft Verden ist offenbar auf einen Datensatz von 18 Millionen E-Mail-Adressen mit den entsprechenden Passwörtern gestoßen, so SPON. Angeblich werden manche E-Mail sogar noch aktuell missbraucht. ilex Rechtsanwälte, die u.a. auf das IT-Recht spezialisiert sind, werden nun immer häufiger mit der Frage konfrontiert, wer im Falle des Missbrauchs haftet: Die Täter, die selten ermittelt werden können? Oder die Inhaber der missbrauchten E-Mail-Konten? Beides scheint grds. möglich. Doch ilex Rechtsanwälte weisen auf eine dritte Möglichkeit hin.
Gliederung:
- Was bislang bekannt ist ...
- Haftung der Täter?
- Haftung der Inhaber der missbrauchten E-Mail-Konten?
- Eine dritte Variante: Haftung der E-Mail-Provider?
- Fazit
1. Was bislang bekannt ist ...
Der "Diebstahl" von E-Mail-Kontozugangsdaten ist ein aktuelles Problem. Bereits im vergangenen Jahr entdeckten die zuständigen Ermittlungsbehörden eine Sammlung von 16 Millionen E-Mail-Adresse samt Passwärter. Nun sind die Ermittler womöglich erneut fündig geworden. Diesmal sollen es, so SPON, sogar 18 Millionen E-Mail-Adressen samt Passwörter sein, die die Ermittler sichergestellt haben. Angeblich seien etwa drei Millionen E-Mail-Kontoinhaber in Deutschland betroffen. E-Mail-Konten und Passwörter können leicht missbraucht werden; etwa zur Versendung von Spam oder zu Tätigung von kostenpflichtigen Bestellungen. Doch bislang ist Vorsicht angezeigt, da noch keine näheren Informationen vorliegen.
Wenn durch den Missbrauch Schaden entsteht, stellt sich oftmals die Frage, wer dafür aufkommen muss.
2. Haftung der Täter?
Die Täter müssen - dejure - selbstverständlich haften. Als Anspruchsgrundlagen kommen - je nach Fallgestaltung - § 823 BGB (Verletzung des Rechts auf informationelle Selbstbestimmung, des Telekommunikationsgeheimnisses), § 823 Absatz 2 BGB (Verletzung von Strafgesetzen) und § 826 BGB (vorsätzlich, sittenwidrige Schädigung) in Betracht. In diesem Fall müssten die Täter sämtliche Schäden ersetzen, die durch den Missbrauch entstanden sind.
De facto dürfte eine solche Haftung aber ins Leere laufen. Erstens ist es schwierig, die verantwortlichen Täter zu ermitteln. Zumindest ist bislang nicht bekannt, ob den Ermittlungsbehörden dies gelungen ist. Überdies dürften die Täter kaum über ausreichende finanzielle Mittel verfügen, um alle Geschädigte zu entschädigen, sodass eine Haftung auch hier scheitern könnte.
3. Haftung der Inhaber der missbrauchten E-Mail-Konten?
Es ist nicht ausgeschlossen, dass auch die Inhaber der missbrauchten E-Mail-Konten haften müssen. Zwar haben Gerichte bei missbrauchten eBay-Konten immer wieder entschieden, dass die Inhaber missbrauchter Konten nicht haften müssen (Hanseatisches Oberlandesgericht in Bremen, Beschluss vom 21. Juni 2012 – 3 U 1/12, LG Gießen, Beschluss vom 14. März 2013 – 1 S 337/12); jedoch deckt das eBay-Geschäft v.a. Kaufverträge ab. Was ist aber in anderen Konstellationen, wie bei der Nutzung der Daten für die Versendung von Spam? So haben die Gerichte beim Missbrauch von Bankkontodaten häufig zulasten der betrogenen Kontoinhaber entschieden, die dann selbst haften mussten.
Voraussetzung ist allerdings ein schuldhaftes Verhalten der E-Mail-Kontoinhaber. Da noch nicht bekannt ist, wie die E-Mail-Kontodaten entwendet und anschließend missbraucht wurden, kann dies nicht abschließend beurteilt werden.
4. Eine dritte Variante: Haftung der E-Mail-Provider?
ilex Rechtsanwälte will auch eine dritte Variante nicht ganz ausschließen. Denkbar ist auch eine Haftung der E-Mail-Provider, deren aus § 241 Absatz 2 BGB folgende Nebenpflicht es ist, die E-Mail-Daten zu schützen (rechtsgedanklich: OLG Dresden, Beschluss vom 05. September 2012 – 4 W 961/12, 4 W 0961/12). Eine Haftung der Provider kann in Betracht kommen, wenn der Datendiebstahl dadurch möglich wurde, dass die Provider nicht die erforderlichen organisatorischen und technischen Maßnahmen ergriffen haben, um die Daten zu schützen. Aber auch um diese Frage zu klären, muss erst bekannt werden, wie der Datendiebstahl sich ereignet hat.
Schon einmal musste ein Provider - allerdings in einer völlig anderen Konstellation - haften, sodass dies grds. möglich scheint (BGH, Urteil vom 24. Januar 2013 – III ZR 98/12).
5. Fazit
ilex Rechtsanwälte erkennt immer häufiger, dass v.a. die Inhaber der E-Mail-Konten verunsichert sind. Sofern hier Unternehmen oder Unternehmen betroffen sind, ist es dringend geboten, E-Mail-Konten entsprechend zu sichern Dies sollte in enger Abstimmung mit dem betrieblichen Datenschutzbeauftragten des jeweiligen Unternehmens geschehen. Aber auch private E-Mail-Kontoinhaber sollten sich sichere Passwörter zulegen.
Wenn es zum Haftungsfall kommt, sollte dringend geprüft werden, wer haften muss. Sollte der Inhaber eines missbrauchten Kontos tatsächlich in Anspruch genommen werden, ist zu prüfen, ob nicht andere vorrangig haften oder jedenfalls mithaften müssen. Hierbei kann anwaltlicher Rat helfen.