Thomas Hoeren

Hossenfelder, Pflichten von Internetnutzern zur Abwehr von Malware und Phishing in Sonderverbindungen


Martin Hossenfelder, Pflichten von Internetnutzern zur Abwehr von Malware und Phishing in Sonderverbindungen, Baden-Baden (Nomos) 2013, ISBN 978-3-8329-7749-8, € 82,-

 

MMR-Aktuell 2013, 350120      Hacking, Phishing und Malware sind Kampfbegriffe in der Welt der Computerkriminalität. Sie verweisen auf schwerwiegende Fehlentwicklungen, gerade auch in der Kreditwirtschaft. Die Verantwortlichkeit der Hacker selbst ist straf- und zivilrechtlich geklärt. Unklar ist aber die Pflichtenstellung des Nutzers in Bezug auf Mißbrauchsprophylaxe. Diese Fragestellung greift die Bochumer Dissertation von Martin Hossenfelder auf.

 

Der Verfasser hat sich dieser schwierigen Thematik an der Schnittstelle von Strafrecht, allgemeiner zivilrechtlicher Vertrauenshaftung und Technik bravourös angenommen. Zunächst einmal beschäftigt er sich allgemein mit der Schutzpflichtenlehre im BGB, insbesondere nach Maßgabe von § 242 BGB (S. 51 ff.). Dann stellt er Kriterien zur Beurteilung von Schutzpflichten dar, insbesondere das Element der Zumutbarkeit (S. 64 ff.) und das der Schutzwürdigkeit (S. 94 ff.). Auf dieser Grundlage entwickelt er ein allgemeines Prüfungsschema zur Herausarbeitung von Schutzpflichten. Dann nimmt er die Technik in den Blick und beschreibt die verschiedenen Bedrohungen durch Malware sowie Formen des Identitätsdiebstahls (S. 113 ff.). Er beschreibt aber auch sehr schön, wie sich der potenziell Betroffene vor solchen Bedrohungen schützen kann, insbesondere in Form von Firewalls oder der Aktualisierung seiner Software (S. 125 ff.).

 

Ab S. 133 beginnt dann die eigentliche Arbeit. Hier setzt Hossenfelder seine allgemeinen Überlegungen zu Schutzpflichten in Beziehung zu einer Pflicht zur Abwehr von Malware und Phishing. Er beschreibt zunächst den allgemeinen Stand der Diskussion in Rechtsprechung (S. 134 ff.) und Literatur (S. 146 ff.) und kommt dabei zum Ergebnis, dass der Einsatz aktueller Malwareschutzsoftware und Firewalls für einen durchschnittlichen IT-User zumutbar seien. Im Hinblick auf ein Mitverschulden sei das potenzielle Hacking-Opfer bei fehlendem Selbstschutz auf § 254 BGB zu verweisen. Gut gesehen wird, dass Disclaimer in E-Mails die Haftung nicht beeinflussen können, da solche Hinweise keine rechtliche Bindungswirkung haben (S. 181 f.). Der Verfasser bezieht dann seine Ergebnisse auf Online-Banking (S. 182 ff.) und Onlinezahlungsdienste (S. 217 ff.). Hier zeigt sich, dass Hossenfelder tendenziell sehr hohe Sorgfaltspflichten an den Nutzer von Online-Diensten richtet. So soll z.B. beim Online-Banking der Nutzer verpflichtet sein, Browser und Betriebssysteme regelmäßig zu aktualisieren, offensichtliche Betrugsversuche durch Phishing, Pharming und ähnliche Angriffe zu erkennen und generell Online-Banking-Geschäfte nur innerhalb sicherer Infrastrukturen durchzuführen. Ansonsten könne man ihm eine grob fahrlässige Sorgfaltspflichtverletzung nach § 675 f. Abs. 2 BGB vorwerfen. Großzügig wird den Banken auch eine Verschärfung des Pflichtenkreises erlaubt, wobei der Verfasser im Hinblick auf §§ 305c, 307 BGB viele der in den derzeitigen Sonderbedingungen benutzten Definitionen und vorgesehenen Verpflichtungen als unzulässig ansieht. Deutlich herabgesenkt sieht der Verfasser die Pflichten von Nutzern im Bereich Online-Zahlungsdienste, gerade auch schon wegen des geringeren Schadensausmaßes und der geringeren Schadenswahrscheinlichkeit. Im Onlinehandel (S. 237 ff.) wird eine verstärkte Haftung angenommen, die schon bei fehlender aktueller Schutzsoftware oder fehlender Aktualisierung des Browsers und Betriebssystems bejaht wird. Bei der Nutzung von Kommunikationsdiensten, wie etwa eines E-Mail-Accounts, seien demgegenüber die Einwirkungsmöglichkeiten des Nutzers deutlich geringer (S. 244 ff.), sodass hier regelmäßig keine besonderen Schutzpflichten des Nutzers bestünden. Ergänzend folgen dann noch Hinweise zur Haftung des Arbeitnehmers für Malware-/Phishingschäden (S. 256 ff.) und zu den Schutzpflichten im Rahmen vorvertraglicher Schuldverhältnisse (S. 261 ff.). Abschließend beschäftigt sich Hossenfelder noch kurz damit, wie die entsprechenden Schutzpflichten im Rahmen von Schadensersatzansprüchen oder bei der Annahme eines Anspruchs auf Erfüllung von Schutzpflichten durchgesetzt werden können (S. 273 ff.).

 

Insgesamt ist dem Verfasser eine sehr eigenständige und profunde Bearbeitung dieses komplexen Themas gelungen. Es gelingt ihm, fallgruppenweise die Schutzpflichten des Nutzers von Internetdiensten zu konturieren und ein in sich stimmiges Modell der Nutzerhaftung zu begründen. Tendenziell neigt der Verfasser dabei dazu, den Nutzer sehr viel stärker in die Haftung zu nehmen, als dies derzeit nach Stand von Rechtsprechung und Literatur getan wird. Dies mag man kritisieren; die Arbeit ist auf jeden Fall eine breite Diskussion zum Thema Internetrisiken wert. Insofern sei dem Autor und seinem Doktorvater zum erfolgreichen Abschluss dieses wichtigen Promotionsprojekts von Herzen gratuliert.

 

 

Prof. Dr. Thomas Hoeren ist Direktor der zivilrechtlichen Abteilung des Instituts für Informations-, Telekommunikations- und Medienrecht (ITM) an der Westfälischen Wilhelms-Universität Münster und Mitherausgeber der MMR.