Malware-Haftung

Haftung von Website-Betreibern gegenüber Internet-Usern wegen Viren auf Websites

Die Bedrohung, die durch Viren-infizierte Websites besteht, ist für die meisten Internet-Besucher erst ersichtlich, wenn es zu spät ist. Wir haben daher im bereich Sicherheit beschreiben, was sowohl für Internetbesucher, als auch für Webseiten-Betreiber zu beachten ist. Zudem untersuchen wir regelmäßig Webseiten ,die auf den deutschsprachigen Bereich ausgerichtet sind, auf möglichen Virenbefall. Die neuesten Virenfunde melden wir unter Blacklist-News. Eine nach Domainnamen sortierte Liste von Viren-befallenen Seiten befindet sich unter Blacklist-URLs.


 

 

Wer haftet für Viren auf Webseiten?

Im Internet sind dazu umfassende Stellungnahmen zu finden u.a. bei der Advogarant oder kanzlei.de.  Wir fassen dazu die wesentlichen Aspekte zusammen, wobei wir ausdrücklich festhalten, dass die hier gegebenen Informationen keine verbindliche Rechtsberatung darstellen. Wenden Sie sich bei Fragen zu diesem Rechtsgebiet bitte unbedingt an einen erfahrenen Anwalt für IT-Recht.


Haftung des Website-Betreibers

In erster Linie haftet der Betreiber einer Website für die Gefahren, die von der Website ausgehen. Ein Virus muss nicht bereits bei der Inbetriebnahme einer Website eingebracht worden sein. Die Website kann auch später durch eine Hacking-Attacke infiziert worden sein.

Sollte der Virus aber absichtlich vom Website-Betreiber oder seinen Dienstleister eingebracht worden sein, so haftet der Webseitenbetreiber für die beim Seitenbesucher eintretenden Schäden. Aber auch weil er für den Inhalt der Website verantwortlich ist, haftet der Website Betreiber für Schäden, die dem Internetuser beim Besuch der Website entstehen.


Haftung des Website-Erstellers

Wenn der Virus ohne Kenntnis des Website-Betreibers bereits seit Anfang an von einer dritten Person, die die Website erstellt hat, eingebracht wurde, so unterliegt das der Sachmangelhaftung. Der Ersteller der Website haftet in diesem Fall gegenüber dem Website-Betreiber.

Das Verschulden des Website-Erstellers wird allerdings dem Website-Betreiber zugerechnet, wenn dieser die Website ungeprüft online gestellt hat. In diesem Fall haftet der Website-Betrieber so, als wenn die Website bereits mit dem Virus erstellt worden wäre. Gegenüber dem Ersteller der Website kann er dann aber den Schaden geltend machen.

Wie kann man die Gefahren, die vom Betrieb einer Website ausgehen möglichst gering halten?

Da da Website-Betreiber verpflichtet ist, die Gefahr die vom Betrieb der Website ausgeht, möglichst gering zu halten, sollten für den Betrieb der Websites Virenscanner und Firewalls eingesetzt werden, die jeweils auf dem aktuellen Stand gehalten werden müssen. Dies gilt in gleichem Maße auch für die Sicherheit, die für den Betrieb der Website eingesetzt werden wie u.a. Webserver, Datenbanksysteme, Shopsysteme, Content-Management-Systeme. Programmiersprachen, Plug-Ins.


Was müssen Mitarbeiter im Unternehmen des Website-Betreibers beachten, um Infektionen der Website zu vermeiden?

Häufig haben Mitarbeiter des Website-Betreibers Zugang zu den Verzeichnissen der Website mittels Diensten wie FTP oder über Redaktionssysteme.Auf den Computern der Mitarbeiter sollten daher auch unbedingt aktuelle Virenscanner installiert sein.

Zudem sollten die Mitarbeiter über Ihren Anstellungsvertrag verpflichtet werden, keine Software auf Ihren Dienst-Computern zu installieren, die nicht den Unternehmensrichtlinien entsprechen. Denn es macht keinen Unterschied, ob der Betreiber der Website selber handelt oder sein Mitarbeiter. In diesem Fall kann dem Website-Betreiber ein Organisationsverschulden angerechnet werden.


Unter welcher Voraussetzung kann dem Internetuser ein Eigenverschulden oder Mitverschulden zugerechnet werden?

Wann ist die Haftung des Website-Betreibers gegenüber dem Internetuser bei Infektion der Website aufgehoben?

Wenn sich ein Internet-User durch Einsatz aktueller Virenscanner schützt, dann wird er in den meisten Fällen beim Besuch infizierter Websites einen entsprechenden Warnhinweis erhalten und kann den Besuch abbrechen. Der nebenstehende Screendump zeigt eine solche typische Alarmmeldung.

Die Haftung des Websitebetreibers gegenüber dem Internet-User ist in der Regel aufgehoben, wenn es sich um einen Virus handelt, der von einem aktuellen Virenscanner problemlos erkannt werden kann.


Zu welcher Art von Schadensersatz kann man wegen Betriebs einer Viren-infizierten Website herangezogen werden?

Im Fall von Phising-Attacken kann es dazu kommen, dass Ihre Website ausspioniert wird. Das könnte zur Vernichtung oder unbefugten Verbreitung wichtiger betriebseigener oder Kunden- und Kontodaten kommen. Aus diesem Grund kann man für die Verletzung gesetzlicher Geheimhaltungspflichten oder Verbreitung von Betriebsgeheimnissen zu Ordnungsgeldern oder wegen Verstoß gegen straf- und datenschutzrechtlicher Vorschriften zu Geldstrafen herangezogen werden.

Ferner geht es um die Beschädigung und Verfügbarkeit betriebswichtiger Daten und den Aufwand, der mit der Schadensanalyse und Schadenbeseitigung verbundenen Geld- und Sachmittel.

Weiterhin kann es zu Regesspflichten gegenüber Kunden-, Lieferanten und sonstigen Kooperationspartner kommen, die z.B. in Folge der Infektion der Computer des Website-Betreibers mit virenverseuchten E-Mails in Berührung gekommen sind. Durch Virenscanner werde nämlich häufig interne Daten an andere Empfänger gesendet.

Nach § 7 BDSG ist der Schaden für die unbefugte Weitergabe in unbegrenzter Höher ausgleichspflichtig. Besonders problematisch für den Website-Betreiber ist in diesem Fall die anzuwendene Beweislastumkehr. Der Website-Betreiber kann sich nur entlasten, wenn er zweifelsfrei seine eigene Unschuld an der Kompromittierung der Daten beweisen kann.
 

Verschärfte Haftung des Website-Betreibers wegen infizierter Websites

Ein volle Haftung des Website-Betreibers kommt dann zum Tragen, wenn der Website-Betreiber davon informiert wurde, dass seine Website Viren-befallen ist. Die Haftung kann nur darüber wieder eingeschränkt werden, wenn der Internet-User keinen aktuellen Virenscanner einsetzt.


Ich habe festgestellt oder wurde darüber informiert, dass meine Website mit Viren infiziert ist.

Nach dem zuvor Beschriebenen ist der Virenbefall einer Website das Worst-Case-Szenario für einen Website-Betreiber, denn damit können u.a. folgende Probleme verbunden sein.

  • Die Gefahr und Bedrohung durch die infizierte Website ist immens, da sie ja rund um die Uhr erreichbar ist.
  • Wenn eine Website schon längere Zeit betrieben wird - möglicherweise schon über Jahre - dann kann der Zeitpunkt des Virenbefalls u.U. nicht mehr genau ermittelt werden. Es kann also schon eine hohe Anzahl geschädigter Benutzer geben, die nach Bekanntwerden der Infektion Schadenersatzansprüche beim Website-Betreiber geltend machen können.
  • Liegt eine Website rgemeinschaftlich mit den Websites andere Betreiber auf dem gleichen Server bei einem Provider, dann kann es sogar sein, dass die Infektion der Website durch die Infektion des Servers des Providers verursacht wurde.
  • Bei der Website handelt es sich um einen Online-Shop, über den der Website-Betreiber seine Umsätze generiert. Dies führt in der Zeit Reparatur zu Umsatzausfällen.
  • Zudem entsteht ein nicht zu unterschätzender Image-Schaden, denn letztendlich werden dem Website-Betreiber die mit der Viren-Infektion verbunden Problem als Verantwortlichem zugerechnet.

Was kann und sollte ich bei einer Viren-Infektion meiner Website tun?

Nehmen Sie unbedingt sofort professionelle Dienstleister in Anspruch. Gerne nennen wir Ihnen kompetente Ansprechpartner, wenn Sie oder Ihre Dienstleister nicht in der Lage sind, das Problem kurzfristig zu lösen.

  • ABSCHALTEN: Wenn sich das Problem nicht kurzfristig lösen läßt, kann es nach Abwägung der kaufmännischen und rechtlichen Risiken u.U. am besten sein, die Website außer Betrieb zu nehmen.
  • ERSTE HILFE: Für den Übergang sollte Ihre Internet-Dienstleister ggfls.eine minimale Startseite unter der betroffenen Domain ins Netz stellen. Hier ist zu überprüfen ob das nicht bei einem anderen Provider geschehen sollte, solange nicht klar ist, ob der Webserver, auf dem die Website läuft, kompromittiert ist. Nach Übertragung der Domain auf die neue Landingpage ist man als Website-Betreiber erst mal auf der sicheren Seite, da ab dem Zeitpunkt der Übertragung die infizierte Website nicht mehr erreichbar ist. Das kann in der Regel innerhalb weniger Stunden erfolgen.
  • REPARIEREN: Wurde die Website von einer dritten Person, z.B. einer Internetagentur erstellt, so sollten Sie diese sofort damit beauftragen, das Problem zu beheben. Ziehen Sie ggf. aber noch zusätzlich Dienstleister hinzu, damit Sie auch von dritter Seite eine Einschätzung aller Aspekte und Probleme erhalten.
  • URSACHENERMITTLUNG und PRÄVENTION: Ergänzend sollten Sie IT-Dienstleister hinzuziehen, die auf Internet-Security spezialisiert sind. Denn es kann sein, dass nach der Reparatur der Website eine schnelle Neu-Infektion passiert, wenn die Ursache der Infektion nicht zweifelsfrei geklärt werden konnte. Z.B. können noch Computer von Mitarbeitern infiziert sein, die mit der Pflege der Website betraut sind oder aus anderen Gründen Zugang zur Website haben.