News

Telefonrechnung über € 10.000 wegen Hackerangriff

Bearbeiter: Sabine Kriwanek / Bearbeiter: Barbara Tuma

Im Rahmen seiner Schutz- und Sorgfaltspflichten muss der Betreiber von Kommunikationsdiensten Maßnahmen zur Abwehr von Hackerangriffen ergreifen, die ihm leicht möglich sind.

ABGB: § 1295, § 1299

Es überspannt nicht die Schutz- und Sorgfaltspflichten des Betreibers von Kommunikationsdiensten, wenn man von ihm verlangt, ihm leicht mögliche Maßnahmen zur Abwehr von Hackerangriffen zu ergreifen. Eine Verletzung dieser Verpflichtungen macht bei Vorliegen der Voraussetzungen des § 1295 ABGB schadenersatzpflichtig.

OGH 15. 6. 2016, 4 Ob 30/16i

Sachverhalt

Die Kl (Access-Provider) stellte der Bekl seit 2012 die Festnetz- und Internetverbindungen (ISDN-Basisanschlüsse und xDSL-Zugang) für deren Telefonanlage zur Verfügung. Die Rechnung für Grundentgelte und Verbindungsentgelte betrug durchschnittlich monatlich 210 € inklusive USt, wobei vereinzelt Gesprächsverbindungen nach Deutschland und Mehrwertdienste anfielen. Eine Gebührenanzeige über die aktuellen Kosten war auf den IP-Telefonen nicht vorhanden.

Ab einem bestimmten Zeitpunkt erfolgte von außen (über eine ägyptische IP-Adresse) ein Hackerangriff auf die Telefonanlage der Bekl, sodass in zahlreichen Angriffen - fast ausschließlich in den Nacht- und den frühen Morgenstunden - Verbindungen ins Ausland getätigt wurden, und zwar nach Grönland, Thailand, Eritrea, Elfenbeinküste, Bosnien-Herzegowina, Serbien, Burkina Faso, Zentralafrika, Mali, Benin und Kuba.

Mit Rechnung vom 1. 2. 2014 stellte die Kl der Bekl für den Abrechnungszeitraum Jänner 2014 Grund- und Verbindungsentgelte iHv insg 10.160,14 € brutto in Rechnung.

Die Bekl wendete ein, eine Verrechnung der Auslandsverbindungen sei nach Pkt 3.4. der AGB der Kl mangels Leistungserbringung für den Vertragspartner unzulässig. Außerdem machte sie einen Verstoß gegen Schutz- und Sorgfaltspflichten geltend, weil sie die Kl nicht gewarnt habe und keine geeignete Sicherheitssperre für die Verhinderung derartiger Angriffe eingerichtet habe.

Die Vorinstanzen wiesen die Klage im Wesentlichen ab. Der OGH gab der Revision nicht Folge.

Entscheidung

Nach Ansicht des OGH war die Gefahr eines Hackerzugriffs für die Kl insofern beherrschbar, als es ihr sowohl personell als auch technisch leicht möglich gewesen wäre, das Wirksamwerden dieser Gefahr durch ein Gebührenmonitoring und eine entsprechende Warnung der Bekl zu verhindern. Nach den Feststellungen hätte die Kl entsprechende Schutzmaßnahmen vollautomatisiert und ohne Personaleinsatz durchführen können; überdies führte sie im zweiten Halbjahr 2014 ohnehin ein Gebührenmonitoring auf Basis der übermittelten Verrechnungsdaten ein.

Die Bekl selbst hatte hingegen keine Möglichkeit, die Gefahr eines Hackerangriffs durch eigene Vorkehrungen abzuwenden, zumal sie keine Änderungen der Basiseinstellungen an der - durch ein Drittunternehmen installierten - Telefonanlage vornehmen konnte.

Der OGH hält daher zunächst fest, dass es die Schutz- und Sorgfaltspflichten der Kl als Betreiberin von Kommunikationsdiensten nicht überspannt, wenn man von ihr verlangt, ihr leicht mögliche Maßnahmen zur Abwehr von Hackerangriffen zu ergreifen.

Im vorliegenden Fall macht die Bekl jedoch keinen Schadenersatzanspruch geltend, sondern beruft sich darauf, dass der Betreiber nach den AGB nur zur Verrechnung von Telefonate berechtigt sei, die der Kunde veranlasst hat. Nach Pkt 3.4. der AGB der Kl erfolgt die Verrechnung grundsätzlich nach Leistungserbringung bzw Leistungsbereitstellung. Eine solche liegt nach Ansicht des OGH hier nicht vor: Eine ergänzende Vertragsauslegung führt zum Ergebnis, dass jene Leistungen nicht zu vergüten sind, die unter Verletzung von Schutz- und Sorgfaltspflichten entstanden sind. Die Leistungen, die durch den Hackerangriff verursacht wurden, wären bei Einhaltung der gebotenen Sorgfalt der Kl nicht angefallen. Deren Existenz gelangte nämlich wesentlich früher in den Wahrnehmungsbereich der Kl als in jenen der bekl Kundin; dennoch hat es die Kl unterlassen, den Angriff abzuwehren bzw die Kundin zumindest rechtzeitig zu warnen. Die Entgeltforderung der Betreiberin war daher insoweit abzuweisen.

Artikel-Nr.
Rechtsnews Nr. 21934 vom 07.07.2016