14.09.2020

Haftung des Betreibers einer Internetseite für durch Hackerangriff hochgeladenes Bild

Der Betreiber einer Webseite haftet nicht für im Rahmen eines Hackerangriffs auf die Seite hochgeladene Fotos. Dies gilt auch für den Fall, dass eine unsichere Version eines Content-Management-Systems mit Sicherheitslücken benutzt wird.

OLG Hamburg v. 18.6.2020 - 5 U 33/19
Der Sachverhalt:
Der Antragsteller ist Berufsfotograf. Die Antragsgegnerinnen betreiben eine Internetseite. Sie sind im Impressum als Verantwortliche genannt. Eine seit April 2017 verfügbare neuere Version des Content-Management-Systems ließen die Antragsgegnerinnen bis Juni 2018 nicht aufspielen, weil diese nicht uneingeschränkt abwärtskompatibel war, so dass Erweiterungen der vorherigen Version dann nicht mehr "gelaufen" wären. Zu Beginn des Jahres 2018 waren zwei von den Antragsgegnerinnen verwendete Systemerweiterungen "unsicher".

In der Zeit zwischen Januar und Juni 2018 "hackten" Dritte die Internetseite der Antragsgegnerinnen und luden das hier streitgegenständliche Foto unter Ausnutzung vorhandener Sicherheitslücken auf dem Server der Webseite hoch und speicherten es dort. Es war Teil hineingehackter englischsprachiger Unterseiten, die über das Backend der Internetseite der Antragsgegnerinnen gespeichert worden waren. Diese Unterseiten wiesen ein anderes Layout auf als die übrigen Webseiten der Antragsgegnerinnen. Es war nicht möglich, von der Internetseite der Antragsgegnerinnen auf die beanstandeten Inhalte und das streitgegenständIiche Foto zu gelangen, weder durch eine Verlinkung noch durch die interne Suchfunktion auf der Seite.

Der Antragsteller hat behauptet, er habe das streitgegenständIiche Foto erstellt. Er war der Auffassung, ihm komme die Vermutungswirkung des § 10 Abs. 1 UrhG zugute. Die Antragsgegnerinnen hätten sein Foto widerrechtlich vervielfältigt und öffentlich zugänglich gemacht. Das LG hat den Antrag auf Erlass einer einstweiligen Verfügung zurückgewiesen. Dem Antragsteller stehe gem. § 97 Abs. 1 UrhG weder aufgrund täterschaftlicher Verantwortlichkeit der Antragsgegnerinnen noch aufgrund einer Störerhaftung ein Verfügungsanspruch zu. Das OLG hat diese Ansicht im Berufungsverfahren bestätigt.

Die Gründe:
Ein Verfügungsanspruch auf Unterlassung steht dem Antragsteller gegen die Antragsgegnerinnen im Zusammenhang mit dem streitgegenständlichen Hackerangriff weder aus §§ 97 Abs. 1, 15, 16, 19a UrhG noch aus § 1004 BGB analog zu (§§ 935, 936, 920 Abs. 2 ZPO). Eine Verantwortlichkeit der Antragsgegnerinnen aus dem im Berufungsverfahren gegenständlichen Haftungsgrund als Störer besteht nicht.

Der Betreiber einer Webseite haftet nicht für im Rahmen eines Hackerangriffs auf die Seite hochgeladene Fotos. Dies gilt auch für den Fall, dass eine unsichere Version eines Content-Management-Systems mit Sicherheitslücken benutzt wird. Als Webseite-Betreiber bzw. Domaininhaber haften die Antragsgegnerinnen zwar grundsätzlich für die Inhalte ihrer Homepage täterschaftlich, wenn sie die Inhalte der Webseite kontrollieren. Aus diesem Haftungsgrund scheidet eine Haftung für die Inhalte der hier gegenständlichen, über einen Hackerangriff zugefügten Seiten jedoch aus. Nutzer können auf der Internetseite der Antragsgegnerinnen, die Informationszwecken dient, nichts hochladen. Bei den unbemerkt im Rahmen eines Hackerangriffs abgelegten Inhalten handelt es sich um keine von den Antragsgegnerinnen kontrollierten Inhalte.

Durch die Begrenzung der Störerhaftung aufgrund des Erfordernisses der Verletzung zumutbarer Verkehrspflichten, insbesondere Prüfpflichten, ist in der Regel Voraussetzung einer Störerhaftung, dass der Störer zuvor auf eine konkrete, klare Rechtsverletzung hingewiesen worden ist. Erst nach einem Hinweis auf einen konkreten Rechtsverstoß ist der Störer verpflichtet, diese konkrete Rechtsverletzung abzustellen und gegebenenfalls im Rahmen des Möglichen und Zumutbaren bestimmte gleichartige zukünftige Rechtsverletzungen durch spezifische Vorabprüfungen zu unterbinden.

Auch über diesen Gesichtspunkt lässt sich im vorliegenden Fall eine Störerhaftung der Antragsgegnerinnen nicht begründen. Im Zusammenhang mit der streitgegenständlichen Rechtsverletzung ist ein Hinweis auf die konkrete Rechtsverletzung verbunden gewesen. Jedoch begründet dieser erstmalige Hinweis keine Störerhaftung gerade für den Rechtsverletzungsfall, auf den hingewiesen worden ist, sondern nur für einen etwaigen Folgefall.

Schließlich ergibt sich eine Störerhaftung der Antragsgegnerinnen für die hier geltend gemachte Rechtsverletzung auch nicht aus einer Verletzung von Pflichten gem. § 13 Abs. 7 TMG. Ein Pflichtwidrigkeitszusammenhang zwischen dem nicht verhinderten Hackerangriff und der im vorliegenden Fall gegenständlichen Urheberrechtsverletzung im Hinblick auf Pflichten aus § 13 Abs. 7 TMG besteht nicht. Die Antragsgegnerinnen sind hinsichtlich des Betriebs ihrer Internetseite als geschäftsmäßige Telemediendiensteanbieter i.S.d. § 13 Abs. 7 TMG anzusehen.
OLG Hamburg
Zurück