Bei Missbrauch von gehackten Account-Daten muss nicht zwangsläufig der Konto-Inhaber haften

Seit Jahren gehört der Internet-Einkauf mittlerweile zum Alltag der Bundesdeutschen. Manche Internet-Besucher haben auch nicht nur einen Account, sondern verfügen über mehrere Nutzerkonten bei PayPal, eBay oder anderen Verkaufsplattformen. Damit jedoch gehen auch Gefahren einher. Darauf macht Anwalt Christian Solmecke aufmerksam.

Hacker versuchen immer häufiger an die Nutzerdaten zu kommen. Über die fremden Konten wollen sie dann einkaufen oder Zahlungen vornehmen. Für die Opfer der gehackten Accounts bleibt dann nur noch die Frage, wer haftet bei einem Missbrauch des Kontos und wer muss für den entstandenen Schaden zahlen?

Darüber hat am 14.03.2013 (Az. 1 S 337/12) das Landgericht Gießen entschieden.

Im zu verhandelnden Fall nahm ein Hacker mit Schadsoftware Zugriff auf einen privaten PC und gelangte so an die Passwörter für E-Mail, eBay-Account und das PayPal-Konto. Er ersteigerte dann über das gehackte eBay-Konto einen gebrauchten Laptop. Der Betrüger holte diesen persönlich beim Verkäufer ab, wies sich jedoch nicht aus. Der Inhaber des gehackten eBay-Kontos widersprach der zunächst vorgenommenen Zahlung des Kaufpreises in Höhe von 746,00 Euro. Der Verkäufer des Notebooks ging daraufhin gegen den Inhaber des eBay-Kontos vor und verklagte ihn.

Nach dem Urteil des LG Gießen musste der eBay-Nutzer den Kaufpreis für das Notebook an den Verkäufer nicht zahlen:

Geprellte User haften nämlich nur dann für die unter Missbrauch ihres Accounts ausgeführten Bestellungen oder anderweitigen Geschäfte, wenn ein rechtswirksamer Vertrag in ihrem Namen geschlossen wurde. Das jedoch fehlt beim Konto-Missbrauch in aller Regel. Handeln dritte Personen im Geschäftsverkehr widerrechtlich für den Nutzer, muss dieser nur in Ausnahmefällen für die unter seinem (Account-)Namen abgegebenen Erklärungen einstehen. Das ist dann der Fall, wenn das Opfer von der Aktion des Handelnden Kenntnis hat und es duldet. Auch wenn er den Vorfall wegen wiederholten Missbrauchs seines Kontos leicht hätte erkennen und verhindern können, muss er für den Missbrauch einstehen. Für ahnungslose Opfer, für die das illegale Vorgehen unerkennbar bleibt, trifft aber weder das eine noch das andere zu.

Der Konto-Inhaber muss auch keinen Beweis darüber erbringen, dass andere seinen Account missbräuchlich verwendet haben. Im Falle eines Rechtsstreits muss erst einmal der Kläger nachweisen, dass ein rechtswirksamer Vertrag mit dem (tatsächlichen) Inhaber des Nutzer-Kontos erfolgt ist.

Nach Ansicht der Richter, lässt sich jedoch allein aus dem Grund, dass von einem bestimmten User-Konto eine vertragliche Erklärung abgegeben wurde, nicht klar ableiten, dass diese vom verklagten Account-Inhaber stammt.

Der Grund hierfür liegt in dem derzeitigen Sicherheitsstandard im Netz. Dieser wird von den Gerichten als nicht hinlänglich beurteilt, sodass der Diebstahl von beispielweise eBay-Account-Daten nicht ausdrücklich ausgeschlossen werden kann. Ebenfalls kann wegen der Passwortsicherung von Nutzer-Accounts nicht bestimmt werden, ob tatsächlich der entsprechende Inhaber tätig wurde. Das kann sogar dann gelten, wenn der User seine Konto-Zugangsdaten nicht hinlänglich sicher aufgehoben hat. Der eBay-Verkäufer konnte im zu verhandelnden Fall vor dem Landgericht Gießen deshalb nicht nachweisen, dass der Account-Inhaber selbst das Höchstgebot abgegeben hatte.

Dennoch gibt es rechtliche Unsicherheiten. Trotz der aufgeführten richterlichen Grundsätze ist nicht vollständig geklärt, ob es bei einer gerichtlichen Auseinandersetzung ausreicht, dass der Inhaber lediglich allgemein beteuert, sein Account sei missbräuchlich verwendet worden.

Daher ist es durchaus denkbar, dass manche Gerichte fordern werden, dass der verklagte Nutzer einen Missbrauch durch Dritte glaubhaft macht.

Um möglichen rechtlichen Schwierigkeiten aus dem Weg zu gehen, sollten Internet-Besucher die Passwörter ihrer diversen Nutzer-Konten sicher aufbewahren. Ebenfalls sollten sie ihre Computer durch aktuelle Virenschutzsoftware sowie regelmäßige Programmupdates vor Attacken und sonstigen Zugriffen schützen.