Gutachten - Georg-August
Contents
1. ESP elektronisches Stabilit tsprogramm etc et cetera ETSI Europ isches Institut f r Telekommunikati onsstandards EU Europ ische Union EuGH Europ ischer Gerichtshof EWG Europ ische Wirtschaftsgemeinschaft f folgende ff fort folgende Fn Fu note FS Festschrift FSA Financial Services Authority GPSG Ger te und Produktsicherheitsgesetz GPSGV Verordnungen zum Ger te und Produktsi cherheitsgesetz GRUR Gewerblicher Rechtsschutz und Urheberrecht GRUR Int Gewerblicher Rechtsschutz und Urheber recht Internationaler Teil GRUR RR Gewerblicher Rechtsschutz und Urheberrecht Rechtsprechungsreport GS gepr fte Sicherheit GSG Ger tesicherheitsgesetz HBCI Homebanking Computer Interface Hdb Handbuch HGB Handelsgesetzbuch hL herrschende Lehre hM herrschende Meinung Prof Dr Gerald Spindler LXXII Hrsg Herausgeber HTML Hypertext Markup Language HTTP Hypertext Transport Protocol 1 w S im weiteren Sinne idR in der Regel idS in diesem Sinne IDS Intrusion Detection Systeme IP Internet Protocol IPS Intrusion Prevention Systeme ISO Internationale Organisation f r Normung ISP Internet Service Provider IT Information Technology ITRB IT Rechtsberater iVm in Verbindung mit JMStV Jugenmedienschutz Staatsvertrag JZ Juristenzeitung K amp R Kommunikation und Recht Kap Kapite2. Neu mann Bock Zahlungsverkehr im Internet Rn 183 Werner in Hoeren Sieber Kap 13 5 Rn 37 Wer ner in Hellner Steuer Band 6 19 17 84 Werner in Schwarz Peschel Mehner Recht des Internet Teil 2 Kap 2 A Rn 25 Recknagel Vertrag und Haftung beim Internet Banking S 150 Im Ergebnis wohl ebenfalls auf die technische Sicherheit abstellend Karper DuD 2006 215 218 Prof Dr Gerald Spindler 239 567 568 oder aber dass sich ein unbefugter Dritter die Legitimationsmedien nur aufgrund einer Sorgfaltspflichtverletzung des Kunden zunutze machen konnte Der Anscheinsbeweis ist jedoch nur solange und nur insoweit gerechtfertigt als ein technisches Sicherheitsniveau gew hrleistet werden kann welches auch im Hinblick auf die technische Fortentwicklung und aktuelle Bedrohungen noch als weitgehend un berwindlich angesehen werden kann In Bezug auf die Sicherheit des PIN TAN Verfahrens ist der hM im Ausgangspunkt zumindest soweit zuzustimmen als PIN und TAN durch Ausrechnen oder blo es Ausprobieren nur unter v llig unwahrscheinli chen Umst nden erlangt werden k nnen Genauso wird man den Anscheinsbeweis f r die Urheberschaft des Bankkunden f r einen Transaktionsauftrag nicht schon des halb verneinen k nnen weil der Bankkunde unter Verletzung seiner Pflichten aus dem Online Bankingvertrag die Verwendung der Legitimationsmedien durch Dritte 112 Denn w hrend bei Internet Auktionen d
3. Prof Dr Gerald Spindler LXXVI z T zum Teil ZUM Zeitschrift f r Urheber und Medienrecht Prof Dr Gerald Spindler
4. lung im Telekommunikationsbereich heute als veraltet angesehen werden kann Auch existieren neben 109 TKG zahlreiche weitere Vorschriften im Post und Telekommu nikationssicherstellungsgesetz PTSG sowie den daraus erlassenen Verordnungen Richtlinie f r den betrieblichen Katastrophenschutz RichtIBKO und Post und Tele kommunikations Zivilschutzverordnung PTZSV in der Telekommunikations Sicherstellungsverordnung TKSIV sowie dem 9 BDSG samt Anlage zu Satz 1 die sich teilweise mit dem Anwendungsbereich von 109 TKG berschneiden Dabei sind das PTSG und seine Rechtsverordnungen gegen ber 109 TKG spezieller und 109 TKG ist gegen ber 9 BDSG die Spezialvorschrift Daher wird 109 TKG zum 1314 Teil sogar als berfl ssig angesehen Daraus resultiert die weitere Problematik dass die technische Sicherheit in zahlreichen Normen verstreut zum Teil ohne konkrete An forderungen geregelt wird was wiederum zu Rechtsunsicherheiten f hrt a V Ergebnis 726 Im Bereich der IT Sicherheit trifft die IT Intermedi re grunds tzlich eine volle zivil rechtliche Verantwortlichkeit f r die Sicherheit ihrer eigenen Systeme wobei im Ein zelfall Haftungsbeschr nkungen aufgrund von 7 TKV aF bzw 44a TKG und durch Regelungen in AGB in Betracht kommen Soweit der Provider als blo er Mittler f r Dritte agiert kommen ihm dagegen abh ngig von der jeweils ausge bten Funktion die Haftungsprivilegierungen der
5. 153 Zusammen k nnen Common Criteria und Protection Profiles den n tigen Mindest IT Sicherheitsstandard bezogen auf ein bestimmtes Anwendungsgebiet ergeben F r eine bestimmte Produktklasse stellt ein Protection Profile sofern es vorliegt eine entspre chende Normierung f r diese Produktklasse dar Damit k nnen sie als Orientierung f r die Pflichtenbestimmung dienen und wirken als Mindeststandard bzw als Festlegung der allgemein anerkannten Regeln der Technik im Sinne der berzeugung aller Fach leute in einem Technikgebiet zum Begriff der anerkannten Regeln der Technik s Rn 146 Anders formuliert k nnen durch die Festlegung von Protection Profiles die Min destanforderungen an alle Produkte die die im Protection Profile enthaltenen Ziele er f llen sollen im Wege eines Mindeststandards bzw der Schwelle der zu erf llenden Anforderungen bei Produktion und Vertrieb eines entsprechenden Produkts im Sinne eines Pflichtenprogramms wie bei anderen Normierungen verbindlich festgelegt wer den Damit kommt den Protection Profiles im Zusammenspiel mit den Common Criteria aber auch eine erhebliche Bedeutung hinsichtlich der Konkretisierung der im Verkehr erwarteten Sicherheit zu was sich im Bereich der mit der Einhaltung oder Verlet zung der allgemein anerkannten Regeln der Technik verkn pften Vermutungswirkun gen auswirkt c Zwischenergebnis 154 Nach dem derzeitigen Stand k nnen Standards grunds tzlich nur sektorspezifis
6. Fr hauf Karol Ludewig Jochen Sandmayr Software Projektmanagement und Helmut Qualit tssicherung 4 Auflage Z rich 2004 Prof Dr Gerald Spindler XVII Fuhrberg Kai H ger Dirk Wolf Stefan Internet Sicherheit 3 Auflage M nchen 2001 Gaumert Uwe Zattler Michaela Basel II Handelsbuch Risiken und Doub le Default Effekt in Die Bank 2005 55 59 Gei Joachim Doll Wolfgang Ger te und Produktsicherheitsgesetz Kommentar und Vorschriftensamm lung Stuttgart 2005 Geppert Martin Piepenbrock Hermann Josef Sch tz Raimund Schuster Fabian Hrsg Beck scher TKG Kommentar 3 Auflage M nchen 2006 zitiert Beck scher TKG Kommentar Bearbeiter Geppert Martin Ruhle Ernst Olav Schuster Fabian Handbuch Recht und Praxis der Telekom munikation 2 Aufl Baden Baden 2002 Gesmann Nuissel Dagmar Wenzel Christian Produzenten und Produkthaftung infolge abfallrechtlicher Produktverantwor tung in NJW 2004 117 122 Gliss Hans IT Sicherheit aus Sicht des Datenschutz beauftragten in DSB 1996 Nr 5 1 11 Gola Peter Zwei Jahre neues Bundesdatenschutzge setz Zur Entwicklung des Daten schutzrechts seit 1991 in NJW 1993 3109 3118 Gola Peter Schomerus Rudolf Bundesdatenschutzgesetz Kommentar 8 Auflage M nchen 2005 Gorny Peter Kategorien von Softwarefe
7. f r hat sich der Begriff der Bot Netze etabliert Unter Bot Netzen Abk rzung von Ro boter Netzwerk werden fernsteuerbare Netzwerke von PCs verstanden welche aus un 136 tereinander kommunizierenden Bots bestehen Bei Bots handelt es sich um Software die im Hintergrund auf den betroffenen PCs und meist ohne Kenntnis des Anwenders Song Fu und Cheng Zhong Hu in Bidgoli Handbook of Information Security Volume 3 8 146 Charles Border in Bidgoli Handbook of Information Security Volume 3 S 345 Dazu BSI abrufbar unter http www bsi fuer buerger de browser 02_03 htm Beispiel Netscape Browser Border in Bidgoli Handbook of Information Security Volume 3 S 346 Border in Bidgoli Handbook of Information Security Volume 3 8 347 Tanenbaum Computer Net works S 816 Opyrchal in van Tilborg Encyclopedia of Crypthography and Security S 657 Dazu BSI Lagebericht 2005 abrufbar unter http www bsi de literat lagebericht lagebericht2005 pdf S 21 zuletzt abgerufen am 09 10 2006 Tanenbaum Computer Networks S 818 819 Opyrchal in van Tilborg Encyclopedia of Crypthography and Security S 661 Prof Dr Gerald Spindler 38 82 83 84 137 138 139 ausgef hrt wird Bots werden h ufig in Folge eines Wurm oder Trojanerangriffs eingerichtet und sind darauf vorbereitet ist Befehle von einer zentralen Instanz zu emp fangen So werden Bot Netze f r den Versand von Spam Mails oder koor
8. 5 Auflage London 1977 Bayer Thomas Auswirkungen eines zertifizierten Quali t tsmanagements nach DIN EN ISO 9000ff auf die Haftungssituation im Unternehmen Berlin 1988 Becker Bernhard Janker Bernd M ller Stefan Die Optimierung des Risikomanagements als Chance f r den Mittelstand in DStR 2004 1578 1584 Beckmann Kirsten M ller Ulf Online bermittelte Informationen Pro dukte iSd Produkthaftungsgeset zes in MMR 1999 14 18 Behnke Alexander Sch ffter Markus T Entscheider in der Haftung in DSB 2002 Nr 7 8 10 11 Behrens Peter Die konomischen Grundlagen des Rechts T bingen 1986 Ben hr Hans Peter Die Entscheidung des BGH f r das Ver schuldensprinzip in Tijdschrift voor Rechtsgeschiedenis 46 1978 1 32 Berndt Thomas Hoppler Ivo Whistleblowing ein integraler Bestand teil effektiver Corporate Governan ce in BB 2005 2623 2629 Bigdoli Hossein Handbook of Information Security Volume Prof Dr Gerald Spindler 1 Key Concepts Infrastructure Standards and Protocols 2006 Bigdoli Hossein Handbook of Information Security Volume 2 Information Warfare Social Le gal and International Issues and Security Foundations 2006 Bigdoli Hossein Handbook of Information Security Vol ume 3 Threats Vulnerabilities Prevention Detection and Ma
9. 69d Rn 9 ferner Schricker Loewenheim 69d Rn 14 Prof Dr Gerald Spindler 162 382 383 384 719 720 721 kehr generell nicht nur die Vertragspartner von einem professionellen IT Nutzer On linebank wesentlich h here Sicherheitsma nahmen erwarten Bislang praktisch kaum gekl rt sind etwa die sog Vorsorgekosten f r Schadensf lle im Rahmen von 249 254 BGB f r IT Systeme Grunds tzlich k nnen Vorhaltekosten d h solche Kosten die f r eine eigene Betriebsreserve entstehen vom Sch diger ersetzt werden wenn diese zur Schadensminderung beitragen Im IT Bereich w re es denk bar dass die Vorhaltung redundanter Systeme oder die Installation besonderer Sicher heitsma nahmen der Schadensminderung beitr gt insbesondere wenn es sich um um satzintensive Unternehmen handelt die auf funktionierende Technik angewiesen sind Als Beispiel k me der Bereich des Brokering in Frage steht im Falle eines Ausfalles kein System bereit k nnen enorme Ausf lle und Sch den entstehen die durch das Be reitstehen weiterer Systeme wesentlich geringer gehalten werden k nnen Daher er scheint es in diesen F llen angemessen auch Vorhaltekosten geltend machen zu k n nen Denkbar w re auch das Geltendmachen von angemessenen Kopfgeldern ver 720 wenn Unternehmen auf das gleichbar mit den Fangpr mien bei Kaufhausdiebst hlen Finden von Systemcrackern derartige Pr mien aussetzen da dies der Vermeidung
10. Prof Dr Gerald Spindler XXX gen F Hopt Klaus J Mail nder Festschrift f r Ernst Steindorff zum 70 Geburtstag am 13 M rz 1990 687 704 Kuhn Matthias Rechtshandlungen mittels EDV und Tele kommunikation M nchen 1991 K hne Hans Heiner Strafbarkeit der Zugangsvermittlung von pornographischen Informationen im Internet in NJW 1999 188 190 K hnhauser Winfried E Root Kits in DuD 2003 218 222 Kullmann Hans Josef Die Rechtsprechung des BGH zum Pro dukthaftungspflichtrecht in den Jah ren 1989 90 in NJW 1991 675 683 Kullmann Hans Josef Die Rechtsprechung des BGH zum Pro dukthaftungspflichtrecht in den Jah ren 1994 1995 in NJW 1996 18 26 Kullmann Hans Josef Die Rechtsprechung des BGH zum Pro dukthaftpflichtrecht in den Jahren 1995 1997 in NJW 1997 1746 1753 Kullmann Hans Josef Die Rechtsprechung des Bundesgerichts hofs zum Produkthaftpflichtrecht in den Jahren 1997 98 in NJW 1999 96 102 Kullmann Hans Josef Die Rechtsprechung des BGH zum Pro dukthaftpflichtrecht in den Jahren Prof Dr Gerald Spindler XXXI 1992 1994 in NJW 1994 1698 1707 Kullmann Hans Josef Die Rechtsprechung des BGH zum Pro dukthaftpflichtrecht in den Jahren 2000 und 2001 in NJW 2002 30 36 Kullmann Hans Josef Pfister Bernhard Produzentenhaftung 1 05 Erg
11. dient hier also erneut dem Schutz des Klienten Sie bildet das Kernst ck der rztlichen Berufsethik Zwar gibt es auch im Bereich des Arztrechts berufsrechtliche Regelun gen die Mitteilung von Daten aus dem Verh ltnis wird ebenfalls nach 203 StGB mit Strafe bedroht allerdings gibt es gesetzliche Regelungen die ausdr cklich die Auf zeichnung und bermittlung der Daten verlangen a Berufsrecht Die Berufsordnung der rzte dient der Festlegung von Einzelheiten f r die Aus bung des rztlichen Berufs die Missachtung kann berufsgerichtlich sanktioniert werden gt Die Berufsordnungen sind unmittelbar rechtsverbindliche autonome Satzungen der Landes rztekammern Sie werden auf Grundlage der Kammergesetze der L nder erlas sen wobei sich die Landesberufsordnungen regelm ig an den Vorschl gen bzw Mus terberufsordnungen der Bundes rztekammer und der rztetage orientieren Die Pra xis der Delegation der Regelung der Berufsordnung durch den Gesetzgeber an die auto nomen rztekammern ist nur in gewissen Grenzen m glich denn der Gesetzgeber muss weiterhin Einfluss auf die inhaltliche Rechtsetzung haben Die Pflicht zur Verschwiegenheit wird durch 9 BerufsO geregelt danach hat der Arzt ber alles was ihm in seiner Eigenschaft als Arzt anvertraut wurde zu schweigen Zeit lich gilt die Schweigepflicht unbegrenzt sie endet insbesondere nicht mit der Aufgabe 1186 der Praxis oder dem Tode
12. in MMR 1998 119 124 Spindler Gerald B rner Fritjof E Commerce Recht in Europa und den USA Berlin u a 2003 zitiert Bearbeiter in Spindler B rner Spindler Gerald Ernst Stefan Vertragsgestaltung f r den Einsatz von E Mail Filtern in CR 2004 437 445 Spindler Gerald Kasten A Kasten Organisationsverpflichtungen nach der Mi FID und ihre Umsetzung in AG 2006 785 791 Spindler Gerald Kl hn Lars Neue Qualifikationsprobleme im E Commerce Vertr ge ber die Ver schaffung digitalisierter Informatio nen als Kaufvertrag Werkvertrag Prof Dr Gerald Spindler LVII Verbrauchsg terkauf in CR 2003 81 86 Spindler Gerald Kl hn Lars Fehlerhafte Informationen und Software Die Auswirkungen der Schuld und Schadensrechtsreform Teile 1 und 2 in VersR 2003 273 282 410 414 Spindler Gerald Schmitz Peter Geis Ivo Teledienstegesetz Teledienstedatenschutz gesetz Signaturgesetz TDG Kommentar M nchen 2004 zitiert Spindler Schmitz Geis Bearbeiter Spindler Gerald Volkmann Christian Die ffentlich rechtliche St rerhaftung der Access Provider in K amp R 2002 398 409 Spindler Gerald Wiebe Andreas Hrsg Internet Auktionen und Elektronische Marktpl tze 2 Auflage K ln 2005 zitiert Bearbeiter in Spindler Wiebe In ternet Auktionen und Elektronische Marktp
13. technik BSD Einf hrung von Intrusion Detection Systemen http www bsi bund de literat studi en ids02 dokumente Rechtv 10 pdf Bundesamt f r Sicherheit in der Informations technik BSD BSI Lagebericht 2005 http www bsi de literat lagebericht lagebericht2005 pdf Bundesamt f r Sicherheit in der Informations Zertifizierung nach ISO 27001 auf der Ba Prof Dr Gerald Spindler IX technik BSD sis von IT Grundschutz Pr fungs schema f r ISO 27001 Audits http www bsi bund de gshb zerv IS 027001 Pruefschema06 pdf Bundesrechtsanwaltskammer Ausschuss Daten schutzrecht Stellungnahme der Bundesrechtsanwalts kammer zu der Frage der Bestellung eines Beauftragten f r Datenschutz in Rechtsanwaltskanzleien BRAK Stellungnahme Nr 31 2004 http www brak de seiten pdf Stellungnah men 2004 StnBDSinKanzleien pdf Burg Michael Gimnich Martin Illegale Dialer im Internet in DRiZ 2003 381 385 Burgartz Dieter Blum Thomas QM Optimizing in der Softwareentwick lung 2 Auflage Braunschweig 1998 B rkle J rgen Auswirkungen der Unternehmensaufsicht nach dem KWG auf organisatori sche Pflichten von Versicherungs unternehmen in WM 2005 1496 1505 B ssow Thomas Taetzner Tobias Sarbanes Oxley Act Section 404 Internes Kontrollsystem zur Sicherstellung einer effektiven Finanzberichterstat tung im Steuerbereich
14. 132 312 313 314 596 597 Auch der private Nutzer ist daher verpflichtet unbekannte und verd chtige Anh nge im Zweifelsfall unge ffnet zu l schen bzw nur nach Verifizierung des Absenders zu ffnen Das Wissen um die Bedrohungen durch E Mail Anh nge darf heute zum allge meinen Kenntnisstand des durchschnittlichen Internetnutzers gez hlt werden Besonde re IT Kenntnisse sind zur Durchf hrung der Ma nahme nicht erforderlich Eine allge meine Pflicht pr ventiv alle E Mails mit unbekanntem Absender zu l schen wird man demgegen ber nicht annehmen k nnen denn sie w rde die E Mail Korrespondenz auf Bekannte beschr nken und damit in ihrer Reichweite erheblich beschneiden Auch wenn sich pauschale Aussagen verbieten da Unternehmen im E Mail Verkehr mit pri vaten Nutzern Adressen durchaus wechseln etwa wenn eine neue Domain erworben wurde oder auch private Nutzer als Korrespondenten h ufig ihre Adresse wechseln k nnen d rften doch meist bei privaten Nutzern seri se E Mails unbekannter Herkunft eher die Ausnahme und Spam E Mails die Regel bilden 8 Ergebnis Zum jetzigen Zeitpunkt sind lediglich der Einsatz von Virenscannern sowie entspre chende Aktualisierungen als eine grunds tzliche Verkehrspflicht des Nutzers einzuord nen Hinzu kommen grundlegende Verkehrspflichten im E Mail Verkehr 3 Schadensminderungs und Selbstschutzpflichten Schlie lich ist f r die Verteilung der Verantwortungsbereiche
15. 189 jedoch erheblich erweitert Das Risikomanagement wird verstanden als Teil einer ord nungsgem en Gesch ftsorganisation und umfasst eine angemessene Strategie und ein angemessenes internes Kontrollverfahren wobei letzteres aus dem Internen Kontroll system und der Internen Revision besteht 8 Die Gesch ftsleitung ist unabh ngig von einer internen Zust ndigkeitsregelung f r die ordnungsgem e Gesch ftsorganisation und Weiterentwicklung verantwortlich Sie hat auf Grundlage einer Risikotragf hig keit und der Analyse der gesch ftspolitischen Ausgangssituation eine Strategie festzule gen in der Ziele und die entsprechenden Ma nahmen zu definieren sind Die Festle gung des Inhalts der Strategie liegt allein in der Verantwortung der Gesch ftsleitung d h ist nicht Gegenstand von Pr fungshandlungen durch externe Pr fer oder die interne 3 884 Revision Im Rahmen eines internen Kontrollsystems sind die Regelungen zur Auf bau und Ablauforganisation zu treffen sowie Risikosteuerungs und controllingprozesse einzurichten Schlie lich ist ber eine Interne Revision die Pr fung und Beurteilung s mtlicher Aktivit ten und Prozesse sicherzustellen 8 Sowohl die besonderen Anforderungen an das interne Kontrollsystem als auch die an die Aus gestaltung der Internen Revision werden in dem Besonderen Teil n her spezifiziert 8 Die Pflicht Organisationsrichtlinien deren Inhalt detailliert ger
16. 9 BDSG wird durch eine Anlage bereits im Rahmen des BDSG konkretisiert Diese enth lt allgemeing ltige Beschreibungen professioneller Standards insbesondere zu Zu tritts Zugangs Zugriffs Weitergabe Eingabe Auftrags und Verf gbarkeitskon trollen wobei die Aufz hlung jedoch nur beispielhaft ist 8 9 BDSG und seine An lage regeln zwar grunds tzlich das Ob der Ergreifung von Sicherungsma nahmen Sie bieten auch Anhaltspunkte f r die zu ergreifenden Ma nahmen indem sie bestimmte Sicherheitsbereiche aufstellen Die konkrete Ausf llung ist jedoch eine Frage des Ein zelfalls wobei allerdings die Sensitivit t der vorhandenen personenbezogenen und durch das BDSG gesch tzten Daten und die Gef hrdungslage zu ber cksichtigen sind Um den Anforderungen von 9 BDSG nachzukommen sind grunds tzlich mehrere wichtige Punkte zu beachten bzw einzuhalten IT Sicherheitskonzept Am Anfang jeder Sicherheitsma nahme steht die Aufstellung eines gewissen IT Sicherheitskonzepts Durch die Erfassung auch organisatorischer Ma nahmen ist grund Ebenso 5 Abs 1 Satz 2 BerlinDSG Schneider Handbuch des EDV Rechts Kap B Rn 492 eingehend dazu Ernestus in Ro nagel Hand buch Datenschutzrecht Kap 3 2 Rn 29 ff Schneider Handbuch des EDV Rechts Kap B Rn 504 Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 629 f Eingehend dazu Spindler Unternehmensorganisationspflichten 269 f
17. Anordnungsbefugnisse der Markt berwachungsbeh rden a Verwaltungsrechtliche Befugnisse b Vermutungswirkung von Zertifikaten Zusammenfassung Ergebnis Verantwortlichkeit der IT Nutzer Grunds tzliche berlegungen Die Doppelrolle von IT Nutzern Die Abgrenzung der IT Nutzung Definition a Privater Nutzer Verbraucher und Unternehmer b Arbeitnehmer c Expertenwissen d Zwischenergebnis Private IT Nutzung Vors tzliche Verletzungshandlungen Sicherheitspflichten privater IT Nutzer gegen ber Dritten a Rechtsgutverletzung b Verkehrspflichten 1 Zurechnungskriterien 2 Sicherheitserwartungen des Verkehrs 3 Bekanntheit des Problems 4 Zumutbarkeit der Schutzma nahmen a Technische Zumutbarkeit b Wirtschaftliche Zumutbarkeit c Allgemeines Lebensrisiko c Einzelfragen 1 Virenscanner 2 Firewall 3 System und Programmupdates 4 Nutzung von Nutzerkonten mit eingeschr nkten Rechten 5 Intrusion Detection Systeme 6 Malware Entfernungsprogramme 7 Verhalten im E Mail Verkehr Prof Dr Gerald Spindler 96 97 97 98 100 100 100 102 103 103 104 104 105 105 106 107 107 108 109 109 110 111 111 112 112 112 113 114 115 116 116 117 118 118 118 119 120 121 122 123 123 124 124 125 125 126 128 130 130 131 131 8 Ergebnis 3 Schadensminderungs und Selbstschutzpflichten a Warnpflichten des Gesch digten b Selbstschutzpflichten c Schadensab
18. Cambridge Mass 2000 Prof Dr Gerald Spindler XI Conrad Isabell Wege zum Quellcode in ITRB 2005 12 16 Cooter Robert Economic Theories of Legal Liability in Journal of Economic Perspectives Summer 1991 Volume 5 Issue 3 11 30 Cooter Robert Ulen Thomas Law and Economics Boston Mass 2004 Cosack Tilman Umwelthaftung im faktischen GmbH Konzern Frankfurt am Main Ber lin Bern New York 1999 Cornelius Kai Tschoepe Sven Strafrechtliche Grenzen der zentralen E Mail Filterung und Blockade in K amp R 2005 269 271 Dauses Manfred A Hrsg Handbuch des EU Wirtschaftsrechts 16 Erg nzungslieferung M nchen 2006 zitiert Bearbeiter in Dauses Handbuch des EU Wirtschaftsrechts Dendorfer Renate Niedderer Sven Erik Spam und andere Bel stigungen aus dem Web Einsatz von Filtertechnologie in AuR 2006 214 219 3 Derleder Peter Knops Kai Oliver Bamberger Heinz Georg Handbuch zum deutschen Bankrecht Wien New York 2004 zitiert Bearbeiter in Derle der Knops Bamberger Handbuch zum deutschen und europ ischen Bankrecht Deutsch Erwin Spickhoff Andreas Medizinrecht 5 Auflage Berlin Heidel berg New York 2003 Dietrich Kay Typisierung von Softwarevertr gen nach der Schuldrechtsreform Prof Dr Gerald Spindler XII in CR 2002 473 Dietric
19. Prof Dr Gerald Spindler XXXVI Mankowski Peter Kein Telefonentgeltanspruch f r Verbin dungen durch ein heimlich instal liertes Anwahlprogramm Dialer in MMR 2004 312 315 Mankowski Peter Die Beweislastverteilung in 0190er Prozessen in CR 2004 185 189 Mankowski Peter Schuldrechtsreform Werkvertragsrecht Die Neuerungen durch 651 BGB und der Abschied vom Werkliefe rungsvertrag in MDR 2003 854 860 Mankowski Peter F r einen Anscheinsbeweis hinsichtlich der Identit t des Erkl renden bei E Mails in CR 2003 44 50 Mankowski Peter Sofort Option bei E Bay in MMR 2004 181 183 Mankowski Peter berlegungen zur sach und interessenge rechten Rechtswahl f r Vertr ge des internationalen Wirtschaftsver kehrs in RIW 2003 2 15 Marburger Peter Hrsg Technische Regeln im Umwelt und Tech nikrecht UTR Band 86 Berlin 2006 zitiert Bearbeiter in Marburger Techni sche Regeln im Umwelt und Tech nikrecht Prof Dr Gerald Spindler XXXVII Marburger Peter Herstellung nach zwingenden Rechtsvor schriften als Haftungsausschluss grund im neuen Produkthaftungs recht in Le mann Herbert Gro feld Bern hard Vollmer Lothar Hrsg Fest schrift f r Rudolf Lukes zum 65 Geburtstag K ln Berlin Bonn M nchen 1989 97 119 Marburger Peter Die
20. ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 4 4 8 Rn 4 abrufbar unter Prof Dr Gerald Spindler 191 Interne Revision in dem besonderen Teil in Abschnitt BT 2 der MaRisk konkretisiert n here Regelungen speziell zum IT Grundschutz sind dort jedoch nicht aufgelistet Einzelne detaillierte Regelungen zur technisch organisatorischen Ausstattung finden sich aber in dem allgemeinen Teil der MaRisk wobei jedoch keine konkreten Anforderungen an bestimmte Systeme gestellt werden sondern vielmehr die Ziele f r ein IT System vorgegeben werden um eine m glichst flexible Regelung zu schaffen Hiernach hat sich gem AT 7 2 der MaRisk der Umfang und die Qualit t der technisch organisatorischen Ausstattung insbesondere an betriebsinternen Erfordernissen den Gesch ftsaktivit ten sowie der Risikosituation zu orientieren Abzustellen ist grunds tzlich nach AT 7 2 der MaRisk auf g ngige Standards wozu die Erl uterungen der BaFin z B das IT Grundschutzhandbuch seit der Version 2005 umbenannt in IT Grundschutzkataloge des BSI und den internationalen Standard ISO 17799 der International Standards Organisation z hlen Die Eignung der Standards ist regelm ig vom fachlich und technisch zust ndigen Personal zu berpr fen Die IT Systeme d h Hardware und Software Komponenten sowie die zugeh rigen IT Prozesse m ssen die Integrit t die Verf gbarkeit die Authentizit t sowie die Vertraulichk
21. c Zwischenergebnis 589 Entgegen der wohl hM kann beim derzeit berwiegend im Einsatz befindlichen Authentisierungsverfahren mittels PIN TAN ohne Medienbruch kein Anscheinsbeweis daf r bejaht werden dass entweder der Bankkunde selbst gehandelt oder aber den Missbrauch durch Dritte pflichtwidrig erm glicht hat Angesichts der neuen und nur schwer beherrschbaren Bedrohungen insbesondere durch Schadprogramme fehlt die hierf r erforderliche Typizit t des Geschehensablaufs Eine entsprechende Typizit t lie Be sich allein bei den nach dem gegenw rtigen Stand der Technik als sicher zu be wertenden Verfahren bejahen die auf einem Medienbruch bzw der Verwendung eines zweiten unabh ngigen Kommunikationskanals Zwei Kanal beruhen Nach gegenw rtig hM h ngt die Risikoverteilung beim Online Banking dagegen auch bei Einsatz des PIN TAN Verfahrens davon ab wie streng die Gerichte die Ersch tte rung des Anscheinsbeweises handhaben F r den Bankkunden birgt die Annahme ei nes Anscheinsbeweises das beweisrechtliche Risiko selbst dann haften zu m ssen wenn alle Sorgfaltsanforderungen beachtet wurden wenn die Ersch tterung des An scheinsbeweises etwa bei Pharming Angriffen nicht gelingt Haftung weiterer Akteu re 1150 Vgl auch LG Stralsund MMR 2006 487 488 zur Ersch tterung des Anscheinsbeweises f r die Richtig keit der Telefonrechnung bei blo em Vorliegen eines Trojaners auf dem PC des Kunden Kritisch zu d
22. die dem Teilnehmer zur Verf gung gestellte TAN Liste ist sicher zu verwahren bei Eingabe der PIN und TAN ist sicherzustellen dass Dritte diese nicht aussp hen k nnen Stellt der Teilnehmer fest dass eine andere Person von seiner PIN oder von einer TAN oder von beidem Kenntnis erhalten hat oder besteht der Verdacht einer missbr uchlichen Nutzung so ist der Teilnehmer verpflichtet unverz glich seine PIN zu ndern bzw die noch nicht verbrauchten TAN zu sperren Sofern ihm dies nicht m glich ist hat er das Kreditinstitut unverz glich zu unterrichten In die sem Fall wird das Kreditinstitut den Online Banking Zugang zum Konto Depot sperren Das Kreditin stitut haftet ab dem Zugang der Sperrnachricht f r alle Sch den die aus ihrer Nichtbeachtung entste hen 525 hnlich bestimmen die Homebanking Bedingungen IV Legitimationsverfahren Geheimhaltung 1 Der Nutzer ist verpflichtet die mit dem Kreditinstitut vereinbarten Sicherungsma nah men durchzuf hren 2 Mit Hilfe der mit dem Kreditinstitut vereinbarten Medien identifiziert und legitimiert sich der Nutzer gegen ber dem Kreditinstitut Der Nutzer hat daf r Sorge zu tragen dass kein Dritter in den Besitz der Identifikations und Legitimationsmedien kommt sowie Kenntnis von dem zu deren Schutz dienenden Passwort erlangt Denn jede Person die im Besitz der Medien ist und das Passwort kennt kann die vereinbarten Dienstleistungen nutzen Insbesondere Folgendes ist
23. gen im Kaufm nni schen unternehmerischen Verkehr in ITRB 2003 13 15 Jaeger Lothar Grenzen der K ndigung von Software pflegevertr gen ber langlebige In dustrie Software in CR 1999 209 213 Janisch Sonja Schartner Peter Internetbanking in DuD 2002 162 169 Jaskulla Ekkehard M Direct Banking im Cyberspace in ZBB 1996 214 224 Jhering Rudolf Das Schuldmoment im r mischen Privat recht Giessen 1867 Johnson Roberta Ann Whistleblowing When it works and why London 2003 Jungk Antje Haftpflichtfragen in AnwBl 2001 170 173 Junker Abbo Die Entwicklung des Computerrechts im Jahre 1999 in NJW 2000 1304 1312 Junker Abbo Die Entwicklung des Computerrechts in den Jahren 2003 2004 in NJW 2005 2829 2834 J rgens Andreas Technische Standards im Haftungsrecht Prof Dr Gerald Spindler XXVI G ttingen 1995 Kahlert Henning Unlautere Werbung mit Selbstverpflich tungen in DuD 2003 412 416 Karger Michael Kooperation bei komplexer Softwareent wicklung in ITRB 2004 208 210 Karper Irene Sorgfaltspflichten beim Online Banking Der Bankkunde als Netzwerkprofil in DuD 2006 215 219 Kassebohm Kristian Malorny Christian Auditing und Zertifizierung im Brenn punkt wirtschaftlicher und rechtli cher Intere
24. ig hohe Schadenssummen jedoch wird dann neben den Schwierigkeiten der prozessualen Rechtsdurchsetzung die mangelnde Beitreibbarkeit der Schadenssumme eine Rechtsverfolgung h ufig nicht lohnen Gleichfalls werden Unternehmen die mit der Rechtsverfolgung verbundene Offenbarung von Sicherheitsl cken scheuen Um gekehrt w re eine Belastung der Nutzer mit praktisch kaum vorhersehbaren und damit auch kaum versicherbaren Haftungsrisiken wenig effizient Eine Haftung privater Dazu Z ller Greger 371 ZPO Rn 5 Musielak Huber 371 ZPO Rn 20 BGH NJW RR 2001 1542 1543 BGH NJW 2000 664 667 BGH NJW 1998 3706 3707 BGHZ 90 17 32 f BGHZ 91 243 260 RGZ 159 257 261 Lange Schiemann Schadensersatz 10 XIX M nchKommBGB Oetker 254 BGB Rn 145 Mankowsski in Ernst Hacker Cracker amp Computerviren Rn 510 So auch Mankowski in Ernst Hacker Cracker amp Computerviren Rn 510 Mankowsski in Ernst Hacker Cracker amp Computerviren Rn 513 Prof Dr Gerald Spindler 140 Nutzer wegen Verletzung von Sorgfaltspflichten erscheint gegenw rtig im Rahmen von Vertragsverh ltnissen im Bereich des E Commerce am wahrscheinlichsten Siehe dazu ausf hrlich unten zum Online Banking Rn 522 ff II Einsatz von IT bei kommerziellen Unternehmen als Nut zer 1 berblick 331 Bei kommerziellen Nutzern von Ist Anlagen stellt sich die Lage anders dar Als kom merzielle Nutzer k nnen ne
25. in BRAK Mitt 1997 106 108 Larenz Karl Lehrbuch des Schuldrechts Erster Band Allgemeiner Teil 14 Auflage M nchen 1987 Larenz Karl Lehrbuch des Schuldrechts Zweiter Band Besonderer Teil 1 Halbband 13 Auflage M nchen 1986 Larenz Karl Canaris Claus Wilhelm Lehrbuch des Schuldrechts Zweiter Band Besonderer Teil 2 Halbband 13 Auflage M nchen 1994 Laufs Adolf Uhlenbruck Wilhelm Hrsg Handbuch des Arztrechts 3 Auflage M nchen 2002 zitiert Bearbeiter in Laufs Uhlenbruck Lehmann Michael Hrsg Rechtsschutz und Verwertung von Compu terprogrammen 2 Auflage K ln 1993 zitiert Bearbeiter in Lehmann Rechts schutz und Verwertung von Compu Prof Dr Gerald Spindler XXXIII terprogrammen Leible Stefan Sosnitza Olaf Schadensersatzpflicht wegen Virenbefall von Disketten in K amp R 2002 51 52 Leible Stefan Sosnitza Olaf Neues zur St rerhaftung von Internet Auktionsh usern in NJW 2004 3225 Leible Stefan Sosnitza Olaf Versteigerung im Internet Heidelberg 2004 zitiert Bearbeiter in Leible Sosnitza Ver steigerung im Internet Leible Stefan Wildemann Andree Kommentar zu BGH Urteil v 04 03 2004 II ZR 96 03 in K amp R 2004 288 290 Leisinger Klaus M Whistleblowing und Corporate Reputation Management M nchen Mering 2003 Lenz Hansrudi
26. poses Prof Dr Gerald Spindler 155 366 687 688 689 690 691 auf die zahlreichen und schwerwiegenden Bilanzskandale mit sich anschlie enden Un ternehmenszusammenbr chen wie z B von Enron und WorldCom zu werten Es dient nicht zuletzt auch der Wiederherstellung des Vertrauens der Anleger in die Rich tigkeit der ver ffentlichten Finanzdaten von Unternehmen die den amerikanischen Rechtsvorschriften hinsichtlich periodischer Berichtspflichten und einzureichender Ad hoc Mitteilungen unterliegen 6 Nach 13 a bzw 15 d Exchange Act sind dies sol che Unternehmen deren Wertpapiere an einer US amerikanischen B rse notiert und die insofern gem 12 Exchange Act bei der Wertpapieraufsichtsbeh rde SEC Securities and Exchange Commission registriert sind oder die Wertpapiere ffentlich in den USA angeboten haben ohne diese an einer US amerikanischen B rse notiert zu haben Die Regelungen betreffen insofern auch eine Vielzahl deutscher Unternehmen die in den USA Wertpapiere ffentlich anbieten Damit kommen auch auf viele deutsche Unter nehmen spezielle Handlungs und Sorgfaltspflichten zu die insbesondere auch im Be reich der IT Sicherheit ber cksichtigt werden m ssen b Pflichten und Adressat Um sicherzustellen dass Unternehmen richtige und verl ssliche Angaben machen sieht der Sarbanes Oxley Act in Zusammenhang mit den Ausf hrungsregeln der SEC eine Vielzahl von Ma nahmen vor
27. sarbanes Oxley Act of 2002 Abschied von der Selbstregulierung der Wirt schaftspr fer in den USA in BB 2002 2270 2275 Lenz Tobias Das neue Ger te und Produktsicherheits gesetz in MDR 2004 918 922 Libertus Michael Zivilrechtliche Haftung und strafrechtliche Verantwortlichkeit bei unbeabsich tigter Verbreitung von Computervi ren in MMR 2005 507 512 Lier Monika Dies und das aus der elektronischen Ver Prof Dr Gerald Spindler XXXIV sicherungswelt in VW 2004 554 563 Lindacher Walter F Unlauterer Wettbewerb bei einem DIN Norm Versto in BB 1981 144 145 Littbarski Sigurd Herstellerhaftung ohne Ende Ein Segen f r den Verbraucher in NJW 1995 217 222 Littbarski Sigurd Kapriolen um die Instruktionspflichten des Herstellers in NJW 2004 1161 1163 Littbarski Sigurd Das neue Ger te und Produktsicherheits gesetz Grundz ge und Auswirkun gen auf die Haftungslandschaft in VersR 2005 448 458 Litzenburger Wolfgang Das Ende des vollst ndigen Gew hrleis tungsausschlusses beim Kaufvertrag ber gebrauchte Immobilien in NJW 2002 1244 1247 Lobinger Thomas Zur vertraglichen Einstandspflicht des Anschlussinhabers f r die Annahme von R Gespr chen durch unbefugte Dritte in JZ 2006 1076 1080 Loewenheim Ulrich
28. vom Kunden mTAN bzw der Bank TAN Generator sofort erkannt werden k nnen 514 Das HBCI Verfahren mit Chipkarte und elektronischer Signatur gilt derzeit als das wohl sicherste Verfahren beim Online Banking Dr von PIN TAN auf ein Verfahren mit elektronischer Signatur z B HBCI so die For 1004 Eine Pflicht zum Systemwechsel derung von Verbraucherschutzverb nden wird man zum gegenw rtigen Zeitpunkt nicht annehmen k nnen Zwar ist ein Verfahren mit Chipkarte und elektronischer Sig natur u erst sicher gegen ber Missbr uchen Neuere Varianten des PIN TAN Verfahrens z B mTAN der Postbank Sm rtTAN plus der Volksbanken haben sich aber als durchaus leistungsf hig erwiesen so dass gegenw rtig kein zwingendes sicher heitstechnisches Bed rfnis zum Umstieg auf HBCI erkennbar ist berdies ist zu bedenken dass Verfahren mit Chipkarte vom Bankkunden insbesondere wegen der h heren Kosten f r die Anschaffung und die weniger komfortable Bedienung z B kei ne Nutzungsm glichkeit am Arbeitsplatz bislang nur z gerlich angenommen werden 515 Die Sicherheit des Online Bankings kann auf einfache Weise auch bei der Gestaltung des Web Portals der Bank erh ht werden Die Verwendung Aktiver Inhalte in sensib len Webangeboten wie dem Online Banking entspricht nicht dem Stand der Technik Durch die Verwendung Aktiver Inhalte auf den Seiten der Bank wird der Kunde ge zwungen Aktive Inhalte in seinem Browser frei
29. 1036 abl gegen ber dem Kriterium der Verbrau chererwartung M llers Rechtsg terschutz im Umwelt und Haftungsrecht S 254 ff Kullmann Pfister Kullmann Kz 1520 S 15 f Kullmann Pfister Kullmann Kz 1520 S 15 unter Verweis auf BGH NJW 1990 906 907 und Beru fung auf arzthaftungsrechtliche Grunds tze wie z B BGHZ 8 138 140 weniger restriktiv BGH NIJW 1987 2927 hnlich LG Itzehoe JurPC 87 2003 17 f Prof Dr Gerald Spindler 58 125 126 Aufwands bedarf f hrt dies nicht daran vorbei dass bekannte Sicherheitsprobleme un verz glich beseitigt werden m ssen bevor das Produkt auf den Markt gebracht wird Der Hersteller darf nicht sehenden Auges Software auch bereits vorhandener Versionen weiterhin in Umlauf bringen von denen er wei dass sie fehlerbehaftet sind Ebenso wenig kann der Hersteller darauf vertrauen dass bei der Installation fehlerhafter Software gleichzeitig die n tigen Sicherheitspatches aus dem Internet eingespielt und bertragen werden denn es ist nicht auszuschlie en dass schon w hrend dieser Zeit der Nutzer Angriffen ausgesetzt ist oder dass die entsprechenden Server der IT Hersteller nicht erreichbar bzw berlastet sind Problematisch ist allerdings oft dass die Software bereits in der ersten Vertriebsstufe Gro h ndler etwa auf Hardware aufgespielt wird OEM Versionen und der Softwarehersteller h ufig au erhalb von Vertriebsbindungen und systemen keine Kontrolle
30. 13 Zscherpe Lutz K amp R 2005 499 500 Klindt GPSG 2 GPSG Rn 13 Zscherpe Lutz K amp R 2005 499 500 Hoeren Ernstschneider MMR 2004 507 zum GPSG Klindt GPSG 2 GPSG Rn 12 f Prof Dr Gerald Spindler 99 222 223 Verbraucher und Arbeitnehmer die an oder mit technischen Arbeitsmitteln arbeiten beschr nkt In pers nlicher Hinsicht sch tzt das Gesetz neben dem Produktverwender jedoch auch jeden Dritten Bystander der mit den Produkten in Ber hrung kommt oder in ihren Gefahrenbereich gelangt ohne sie selbst zu nutzen vgl 4 Abs 1 2 GPSG Es bezweckt jedoch nur den Schutz vor Gef hrdungen der Sicherheit und Gesundheit von Verwendern und Dritten vgl 4 GPSG Eigentums und Verm genssch den 474 In der Literatur sind daher grunds tzlich nicht vom Schutzumfang des GPSG erfasst wird zwar vereinzelt vertreten der Begriff Sicherheit vgl 4 Abs 1 2 GPSG sei nicht auf die Sicherheit von Leib und Leben beschr nkt sondern umfasse auch den Schutz des Eigentums und damit beispielsweise die unberechtigte L schung von Da ten Sicherheit bezieht sich nach 4 Abs 1 2 GPSG jedoch auf die Sicherheit der Verwender und Dritter und damit auf deren pers nliche Integrit t 6 Das Begriffspaar Gesundheit und Sicherheit ist insoweit nicht anders auszulegen als die gleichlautende Formulierung in der Vorg ngerregelung des 6 Abs 1 Satz 1 ProdSG im gleich
31. 208 217 Z ller Richard Zivilprozessordnung Kommentar ZPO 25 Auflage K ln 2005 zitiert Z ller Bearbeiter Zscherpe Kerstin A Lutz Holger Ger te und Produktsicherheitsgesetz Anwendbarkeit auf Hard und Software in K amp R 2005 499 502 Prof Dr Gerald Spindler LXVIII H Abk rzungsverzeichnis aA andere Ansicht ABI Amtsblatt ABIEG Amtsblatt der Europ ischen Gemeinschaften Abs Absatz abw abweichend AcP Archiv f r die civilistische Praxis aF alte Fassung AfP Archiv f r Presserecht AG Aktiengesellschaft AG Amtsgericht AGB Allgemeine Gesch ftsbedingungen AktG Aktiengesetz Alt Alternative Anh Anhang Art Artikel ASB Anti Blockier System Aufl Auflage AtA Ausschuss f r technische Arbeitsmittel AtAV Ausschuss f r technische Arbeitsmittel und Verbraucherprodukte B2B Business to Business B2C Business to Consumer BaFin Bundesanstalt f r Finanzdienstleistung Prof Dr Gerald Spindler LXIX BAG Bundesarbeitsgericht BB Der Betriebs Berater Bd Band BDSG Bundesdatenschutzgesetz BegrRegE Begr ndung zum Regierungsentwurf BFH Bundesfinanzhof BGB B rgerliches Gesetzbuch BGBl Bundesgesetzbl tter BGH Bundesgerichtshof BGHZ Entscheidungssammlung des Bundesge richtshofs in Zivilsach
32. 257 271 Tanenbaum Andrew S Computer Networks Fourth Edition Upper Saddle River 2003 Tappert Rainer EDV System Pr fung bankbetriebliche Revisionsinformatik K ln 1994 Taschner Hans Claudius Frietsch Edwin Produkthaftungsgesetz und EG Produkthaftungslinie Kommentar 2 Auflage M nchen 1990 Taupitz Jochen Haftung f r Energieleiterst rungen durch Dritte Berlin 1981 Taupitz Jochen konomische Analyse und Haftungsrecht Eine Zwischenbilanz AcP 196 1996 114 167 Terlau Matthias Das Jahr 2000 Problem und das Risiko management im Unternehmen in CR 1999 284 292 Thaller Georg Erwin ISO 9001 Software Entwicklung in der Praxis 3 Auflage Hannover 2001 Thomas Heinz Putzo Hans ZPO Kommentar 27 Auflage M nchen 2005 zitiert Thomas Putzo Bearbeiter Tiedemann Stefan Kollidierende AGB Rechtswahlklauseln im sterreichischen und deutschen IPR in IPRax 1991 424 427 Tiedtke Klaus Die Haftung des Produzenten f r die Ver letzung von Warnpflichten in Lange Hermann N rr Knut Wolf Prof Dr Gerald Spindler LXI gang Westermann Harm Peter Hrsg Festschrift f r Joachim Gernhuber T bingen 1993 471 487 Tiedtke Klaus Produkthaftung des Herstellers und des Zulieferers f r Sch den an dem Endprodukt seit dem 1 Januar 1990 in NJW 1990 2961 2963 Tietz
33. Auch ist h u fig unklar innerhalb welcher Zeit und wann z B Banken auf ge nderte Sicherheitsan forderungen und Gef hrdungslagen reagieren m ssen z B durch bergang von TAN Verfahren auf neue sicherere Verfahren Hier k nnen anderweitig gesetzte Standards Abhilfe schaffen Davon zu trennen sind die organisationsbezogenen Pflichten die sich auf das IT Riskmanagement eines Unternehmens beziehen Das deutsche Recht verweist im We sentlichen in zwei Materien auf Riskmanagement im weiteren Sinne zum einen in 91 Abs 2 AktG der auch auf andere Gesellschaften anwendbar ist zum anderen in 9a BDSG Doch sind auch hier Defizite zu Konstatieren Die gesellschaftsrechtlichen Rege lungen weisen einen hohen Abstraktionsgrad auf bed rfen der Konkretisierung Zudem wirken sie nur im Innenverh ltnis bei fehlender Durchsetzung gehen die Vorgaben da Prof Dr Gerald Spindler 300 734 735 her ins Leere Hinsichtlich 9 9a BDSG ist der Schutz nur f r personenbezogene Da ten von nat rlichen Personen gegeben der zwar weit reicht keineswegs aber alle Fra gen eines IT Riskmanagements erfasst etwa des Einkaufs von IT Produkten der Si cherheit von unternehmensinternen Netzen gegen ber davon ausgehenden Angriffen gegen ber Dritten Ebenso wenig werden Daten von juristischen Personen oder nicht personenbezogene Daten vom Schutz erfasst wenngleich die meisten Ma nahmen nach 9 9a BDSG wohl gleichzeitig auch diese
34. Dazu Rn 65 LG M nchen I CR 2000 117 OVG M nster MMR 2003 348 350 K hne NJW 1999 188 Spind ler Schmitz Geis Spindler 9 TDG Rn 14 Spindler CR 2007 242 Hoffmann MMR 2002 284 287 Spindler Schmitz Geis Spindler 9 TDG Rn 8 Begr RegE BT Drucks 14 6098 S 24 Prof Dr Gerald Spindler 292 719 720 1290 1291 1292 Entsprechend 9 TMG ist auch die zeitlich begrenzte automatische Zwischenspeiche rung von der Haftung freigestellt Hierunter f llt insbesondere das Caching zur effizien teren Gestaltung der bertragung IV ffentlich rechtliche Anforderungen 1 Anwendbarkeit des TKG auf IT Intermedi re Das TKG regelt anders als das TMG nicht Fragen des Inhalts von Tele oder Medien diensten sondern den technischen Vorgang der Telekommunikation und damit des Aussendens der bermittlung und des Empfangens von Signalen mittels Telekommu nikationsanlagen vgl 3 Nr 22 TKG Es handelt sich hierbei im Wesentlichen um f 120 Zweck des Gesetzes ist nach 1 TKG durch eine fentliches Marktregulierungsrecht technologieneutrale Regulierung den Wettbewerb im Bereich der Telekommunikation und leistungsf hige Telekommunikationsinfrastrukturen zu f rdern und fl chendeckend angemessene und ausreichende Dienstleistungen zu gew hrleisten Auch nach der Neu fassung des TKG bleibt die Abgrenzung der Telekommunikationsdienste 3 Nr 24 TKG zu den Telemediendiensten eines der umstrittenst
35. Joachim Entscheidungssammlung Produkthaftung 5 Erg nzungslieferung 1996 Schmidt Salzer Joachim Hollmann Hermann H Kommentar EG Richtlinie Produkthaftung Bd 1 2 Auflage Heidelberg 1988 zitiert Schmidt Salzer Hollmann Bearbeiter Schnauder Franz Delikts und bereicherungsrechtliche Haf tung bei gef lschter Giro berwei sung in ZIP 1994 1069 1078 Schneider Jochen Projektsteuerung Projektrisiken bei Software in CR 2005 27 34 Schneider Jochen Softwareerstellung und Softwareanpas sung Wo bleibt der Dienstver trag in CR 2003 317 323 Schneider Jochen Projektsteuerung Projektrisiken bei Prof Dr Gerald Spindler Software in CR 2000 27 34 Schneider Jochen Handbuch des EDV Rechts 3 Auflage K ln 2003 Schneider Jochen G nther Andreas Haftung f r Computerviren in CR 1997 389 396 Schneider Jochen Westphalen Friedrich Graf von Software Erstellungsvertr ge K ln 2006 Zitiert Bearbeiter in Schneider von Westphalen Software Erstellungsvertr ge Sch ning Stephan Weber Marcus Basel II Rahmenwerk Die Risiken der Projektfinanzierung in Die Bank 2005 47 51 Sch nke Adolf Schr der Horst Hrsg Strafgesetzbuch Kommentar 27 Auflage M nchen 2006 zitiert Sch nke Schr der Bearbeiter Sch ttle Hendrik Anwaltl
36. M nchKommBGB Wagner 823 BGB Rn 618 Peine 3 Rn 158 Hierzu Wilrich Einleitung Rn 6 3 Rn 3 Wilrich Einleitung Rn 9 noch zum GSG Peine 3 Rn 79 Prof Dr Gerald Spindler 100 224 225 226 ware verursachte Personensch den grunds tzlich denkbar sind s Rn 107 Insbesonde re der praktisch relevante Bereich der Gef hrdung des Eigentums oder Verm gens beispielsweise infolge der Vernichtung von Daten oder des Ausfalls von IT Systemen von Unternehmen f llt jedoch von vorn herein aus dem Schutzbereich des GPSG her aus Personensch den durch Software d rften vor allem im Bereich der Arbeit vor kommen wenn als technische Arbeitsmittel einzuordnende Maschinen aufgrund von Softwarefehlern oder bei Vernetzung Sicherheitsl cken Arbeitnehmer oder Dritte sch digen Bei embedded Software d rften in Zukunft jedoch auch bei als Verbrau cherprodukt einzuordnender Software zunehmend Gefahren f r die Sicherheit und Ge sundheit von Personen denkbar sein Beim gegenw rtigen Stand der technischen Entwicklung d rften Gefahren f r die Si cherheit und Gesundheit der Produktverwender oder Dritter aufgrund von selbst ndiger Software insbesondere im Verbraucherbereich im Regelfall ausscheiden Die von Verbrauchern verwendete selbst ndige Software dient gr tenteils administrativen Beispiel Textverarbeitung Tabellenkalkulation usw oder Unverhaltungszwecken z B Computerspiele ohne dass mit ihrer A
37. New Approach Auch technische Normen welche von den europ ischen Normungsorganisationen CEN CENELEC und ETSI erarbeitet werden bleiben rechtliche unverbindliche Empfehlungen privater Organisationen welche auf freiwil lige Einhaltung angelegt sind so ausdr cklich 2 Abs 16 GPSG Bei harmonisier ten Normen wird wegen der an sie ankn pfenden Vermutungswirkung s z B 4 Abs 1 Satz 2 GPSG zwar verbreitet von einer Bindungswirkung oder gar einer Rechtswir kung gesprochen Diese Bindungswirkung ist indes auf die Pr fung der Konformit t mit den Richtlinienanforderungen beschr nkt Adressaten sind insoweit Markt berwa chungsbeh rden und Verwaltungsgerichte welche zivilrechtlich wie ausgef hrt nur den zu fordernden Mindeststandard markieren die zivilrechtliche Sorgfalt aber nicht 298 299 300 301 302 303 304 305 BGH NJW 2001 2019 2020 BGH NJW 1982 1049 K hler BB 1985 Beil 4 10 10 Marburger VersR 1983 587 603 BGH NJW 1987 372 OLG Zweibr cken NJW 1977 111 f Marburger VersR 1983 597 600 Spind ler Unternehmensorganisationspflichten S 805 Bamberger Roth Spindler 823 BGB Rn 255 489 Soergel Krause Anh II 823 BGB Rn 46 Foerste in v Westphalen ProdHaftHdB 24 Rn 41 BGH NJW 1988 2667 2668 BGH VersR 1984 270 BGH VersR 1972 767 768 OLG Celle NJW 2003 2544 K hler BB 1985 Beil 4 10 11 Bamberger Roth Spindler 823
38. Produktbezogene Pflichten 132 Eingehend zum Begriff des Intermedi rs f r elektronische M rkte Sarkar Butler Steinfield Intermediar ies and Cybermediaries A continuing role for mediating players in Electronic Markets in Journal of Computer Mediated Communication JCMC Vol 1 Nr 3 1995 abrufbar unter http jeme indiana edu voll issue3 sarkar html zuletzt abgerufen am 09 10 2006 Diese von der Lehre der konomischen Analyse des Rechts entwickelte Argumentationsfigur weist die Sicherheitspflichten demjenigen zu der den eingetretenen Schaden mit dem geringsten Aufwand zu ver meiden vermag s dazu ausf hrlicher Sch fer Ott Lehrbuch der konomischen Analyse des Zivilrechts S 227 f Calabresi The Cost of Accidents S 136 ff von least cost avoiding sprechend Shavell Foundations of Economic Analysis of Law Kap 8 Rn 2 11 Im in Deutschland vorherrschenden Sys tem der Wertungsjurisprudenz k nnen konomische Rationalit tsgesichtspunkte jedoch nur neben andere in erster Linie rechtsethische Gesichtspunkte treten Als alleiniger Begr ndungsansatz f r rechtliche L sungen k nnen sie indes nicht ausreichen Einen kurzen berblick ber die Problematik bietet Palandt Heinrichs Einleitung Rn 34 ff 39 Zur Verteilung von Sorgfaltsma nahmen allgemein s auch M nchKommBGB Wagner Vor 823 BGB Rn 44 160 161 Prof Dr Gerald Spindler 43 94 95 96 97 98 I _ berblick D
39. Rechtliche Rahmenbedingungen der Tele medizin M nchen 2000 Herrmann Harald Die R ckrufhaftung des Produzenten in BB 1985 1801 1812 Heun Sven Erik Die elektronische Willenserkl rung in CR 1994 595 600 Heussen Benno Unvermeidbare Softwarefehler in CR 2004 1 10 Heussen Benno Damm Maximilian Millennium Bug Manager und Berater haftung bei unterlassener System pr fung und Notfallplanung Prof Dr Gerald Spindler XXI in BB 1999 481 489 Heussen Benno Schmidt Markus Inhalt und rechtliche Bedeutung der Nor menreihe DIN ISO 9000 bis 9004 f r die Unternehmenspraxis in CR 1995 321 332 Hilber Marc Hartung J rgen Auswirkungen des Sarbanes Oxley Act auf deutsche WP Gesellschaften Konflikte mit der Verschwiegen heitspflicht der Wirtschaftspr fer und dem Datenschutzrecht in BB 2003 1054 1060 Hilty Reto M Hrsg Information Highway Bern 1996 zitiert Bearbeiter in Hilty Information Highway Hinsch Christian Eigentumsverletzungen an neu hergestell ten und an vorbestehenden Sachen durch mangelhafte Einzelteile in VersR 1992 1053 1058 H ckelmann Eckhard Die Produkthaftung f r Verlagserzeugnis se Baden Baden 1994 H lzlwimmer Gerhard Produkthaftungsrechtliche Risiken des Technologietransfers durch Lizenz vertr ge M nchen 1995 Hoere
40. Spindler Kl hn VersR 2003 410 412 Spindler MMR 1998 119 120 Mankowski in Ernst Hacker Cracker amp Computerviren Rn 441 Marly Software berlassungsvertr ge Rn 1303 Sodtalbers Soft warehaftung im Internet Rn 161 Koch Versicherbarkeit von IT Risiken Rn 607 Taeger Au erver tragliche Haftung f r fehlerhafte Computerprogramme S 160 ff v Westphalen Vertragsrecht und AGB Klauselwerke IT Vertr ge Rn 92 Taschner Frietsch 2 ProdHaftG Rn 23 Palandt Sprau 2 ProdHaftG Rn 1 Erman Schiemann 2 ProdHaftG Rn 2 M nchKommBGB Wagner 2 ProdHaftG Prof Dr Gerald Spindler 86 192 403 404 405 406 407 408 409 410 411 verbunden und bildet mit dieser eine bewegliche Sache Es gen gt mithin wenn die Software auf irgendeinem Datentr ger beim Benutzer gespeichert ist Diese Ansicht stimmt mit der vertragsrechtlichen Rechtsprechung des BGH zur Sacheigenschaft von Software berein und tr gt auch der Verkehrsauffassung Rechnung welche den Datentr ger unter Einschluss der Software als bewegliche Sache ansieht Eine Unterscheidung zwischen Individual und Standardsoftware wird dabei nicht 406 getroffen In einer Stellungnahme zu der dem ProdHaftG zugrunde liegenden EG Produkthaftungsrichtlinie 85 374 EWG geht auch die Kommission der Europ ischen Gemeinschaften davon aus dass Software als Produkt im Sinne der Richtlinie anzusehen ist 408 Streitig ist die P
41. Thomas MaRisk der Nebel lichtet sich in Kreditwesen 2005 396 398 Anonymus Der neue Hacker s Guide 2 Auflage M nchen 2001 Arbeitskreis Externe und Interne berwachung Auswirkung des Sarbanes Oxley Act auf II der Unternehmung der Schmalenbach Gesellschaft f r Betriebswirtschaft e V die Interne und Externe Unterneh mens berwachung in BB 2004 2399 2407 Arendts Martin Betr gerische Verhaltensweisen bei der Anlageberatung und der Verm gensverwaltung in BA 1996 775 781 Assmann Heinz Dieter Schneider Uwe H Wertpapierhandelsgesetz Kommentar 4 Auflage K ln 2006 zitiert Assmann Schneider Bearbeiter Assmann Heinz Dieter Kirchner Christian Schanze Erich konomische Analyse des Rechts T bin gen 1993 zitiert Bearbeiter in Ass mann Kirchner Schanze Auernhammer Herbert Bundesdatenschutzgesetz 3 Auflage K ln Berlin Bonn M nchen 1993 zitiert Auernhammer Bearbeiter Aufhauser Rudolf Hindinger Back Helmut Bundesdatenschutzgesetz Kochel am See 1996 zitiert Aufhauser Hindinger Back Bearbeiter Backu Frieder Pflicht zur Verschl sselung in ITRB 2003 251 253 Balzer Peter Rechtsfragen des Effektengesch fts der Direktbanken in WM 2001 1533 1542 Balzer Peter Haftung von Direktbanken bei Nichter reichbarkeit i
42. Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 389 Simitis Ernestus 9 Rn 28 Aufhauser Hindinger Back 117 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 32 Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 389 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 25 ff Simitis Ernestus 9 Rn 23 Wohlgemuth Gerloff Datenschutzrecht S 158 Gola Schomerus 9 BDSG Rn 8 Prof Dr Gerald Spindler 171 411 412 413 414 415 762 763 764 765 766 Art 17 Abs 1 UAbs 2 der Datenschutz Richtlinie 95 46 EG DRL stellt sogar generell auf den aktuellen Stand der Technik ab Notwendig ist also jeweils eine Analyse des Gefahrenpotentials insbesondere konkreter 763 Missbrauchsgefahren Die Analyse ist kein einmaliger sondern vielmehr ein dauer hafter Prozess da eine st ndige Beobachtung der Risiken erforderlich ist Die Ankn pfung des Schutzes an die personenbezogenen Daten bewirkt aber auch dass Rechensysteme die nicht zur Verarbeitung personenbezogener Daten verwendet wer den diesem Schutz nicht automatisch unterliegen Wenn allerdings bei einem erfolgrei chen Angriff auf diese Systeme auch andere vom BDSG wiederum erfasste Systeme bedroht werden liegt nat rlich auch der Schutz des zun chst nicht datenrelevanten Sys tems im Pflichtenbereich des BDSG wenn die anderen Systeme nicht anders gesch tzt werden k nnen
43. Wirkung entfalten So begr ndet nach der Rechtsprechung des BGH die Betriebserlaubnis f r ein Kfz keine Vermutung f r die ordnungsgem e Beschaffenheit des Produkts sondern besagt nur dass der Kontrollbeamte nichts Vorschriftswidriges gefunden hat Der Her steller von Fahrzeugen oder Fahrzeugteilen f r die eine allgemeine Betriebserlaubnis erteilt ist darf sich folglich nicht darauf verlassen dass die Zulassungsstelle etwaige BGH NJW 2001 2019 2020 dazu Reiff in Marburger Technische Regeln im Umwelt und Technik recht S 173 f S dazu die Entscheidung des OGH 10 Ob 98 02p Prof Dr Gerald Spindler 82 183 184 376 Ein Hersteller wird sich allenfalls dann auf eine beh rdliche Pr M ngel entdeckt fung verlassen d rfen wenn durch die gesetzlichen Genehmigungsvoraussetzungen und die personelle und technische Ausstattung der Beh rde sowie deren Pr fverfahren ge w hrleistet ist dass das Produkt nach den neuesten Erkenntnissen von Wissenschaft und Technik gefahrlos verwendet werden kann F r eine Pr fung durch den T V und die Vergabe des GS Zeichens hat der BGH ent schieden dass ein Hersteller der seine Produkte selbst konstruiert aufgrund der Pr fung nicht ohne Weiteres von seiner Haftung f r konstruktive M ngel freigestellt wird In einer neueren Entscheidung geht das OLG Oldenburg davon aus dass der Endhersteller seine Pflicht zur stichprobenartigen Materialpr fung von
44. bergangspunkten zum Internet Router nur solche Datenpakete passieren lassen deren Absenderadresse aus ihrem eigenen Adressraum stammt damit keine Pakete mit offensichtlich gef lschten Absenderadressen in das ffentliche Internet gelangen k n 153 n ne Weiterhin empfiehlt sich auch gegen DoS Angriffe eine Firewall 154 Im Falle eines DDoS oder DRDoS Angriffs sind die M glichkeiten einer Firewall jedoch be 1 F r den Fall dass ein DoS Angriff bereits erfolgreich stattgefunden hat be grenzt stehen ebenfalls M glichkeiten diesen zu beseitigen So Kann der Betreiber des betrof fenen Systems z B in bestimmten F llen durch sog Failover Systems and Devices den Betrieb unmittelbar wieder sicherstellen 16 Einsch tzung des Gef hrdungspotentials Die Gefahr Opfer eines massiven DoS Angriffs zu werden ist trotz aller m glichen Gegenma nahmen relativ hoch Besonders Unternehmen die Dienstleistungen ber das Internet anbieten k nnen durch einen er folgreichen DoS Angriff und dem damit verbundenen Ausfall der betroffenen Dienste nicht nur einen enormen wirtschaftlichen Schaden sondern auch einen Image Schaden erleiden An dieser Stelle seien vor allem eBay Yahoo und CNN als Opfer von DoS 157 Angriffen erw hnt Der Internet Service Provider ISP CloudNine com musste in Folge eines DoS Angriffes sogar den Betrieb einstellen 138 3 Ergebnis Wie sich zeigt gibt es eine Vielzahl von m glichen Angri
45. bertragen werden k nne Dies l sst indes au er Betracht dass die Verschl sselungs g te keinen Schutz gegen ein Aussp hen des Passworts bietet Ebenso jedoch ohne Ausnahme der Sicherungsverfahren mit Medienbruch Kind Werner CR 2006 353 359 Erfurth WM 2006 2198 2205 Kind Werner CR 2006 353 359 Vgl dazu abrufbar unter http www heise de security news meldung 78372 Ebenso mit weiteren Beispielen Erfurth WM 2006 2198 2202 Prof Dr Gerald Spindler 242 373 574 missbr uchliche Verwendung von PIN und TAN beruhe typischerweise auf einer Pflichtverletzung des Bankkunden In Zukunft ist zu erwarten dass sich die Methode der Online Betr gereien zuneh mend von einfachen Phishing E Mails weg hin zur Verwendung von immer ausgefeil teren Schadprogrammen verlagern wird Im selben Ma e verringern sich damit aber zugleich die M glichkeiten des Bankkunden diesen Bedrohungen durch eigene Sorgfalt wirksam zu begegnen und somit die Risiken des Online Banking zu beherr schen Gerade in den die F llen des Pharming Szenarien 2 und 3 sind schon nach ge genw rtigem Stand der Informatik eine Vielzahl von Fallgestaltungen denkbar in denen dem Kunden keine Pflichtverletzung vorgeworfen werden kann Daraus muss gefolgert werden dass der dem Anscheinsbeweis zugrunde liegende Erfahrungssatz ein Miss brauch durch Dritte beruhe typischerweise auf einer Sorgfaltspflichtverletzung des Bankkunden jedenfall
46. che Inhalt und Umfang der Pflichten des IT Herstellers richten sich wiederum prim r nach den vertraglichen Regelungen einschlie lich etwaiger AGB Klauseln wiederum unter dem Vorbehalt der Zul ssigkeit nach 307 BGB in deren Rahmen die delikti schen Wertungen durchaus einflie en k nnen ausf hrlich unten Rn 529 ff Dar ber Palandt Weidenkaff 475 BGB Rn 14 Erman Grunewald 475 BGB Rn 10 Schulze Ebers JuS 2004 466 S zum Meinungsstand Schulze Ebers JuS 2004 466 mwN Ausf hrlich zur Vorhersehbarkeit Spindler in FS Nagel S 27 So auch Litzenburger NJW 2002 1245 aA Bamberger Roth Becker 309 Nr 7 Rn 20 ff und Nr 8 Rn 30 35 der die Haftung f r Mangelfolgesch den als unabdingbare Kardinalpflicht sieht ohne die die Verwendergegenseite ihr Interesse an ordnungsgem er Vertragserf llung nicht durchsetzen k nne Int veen ITRB 2003 13 So auch tendierend Intveen ITRB 2003 14 Prof Dr Gerald Spindler 46 102 174 175 176 177 178 hinaus ist gerade bei Internet Downloads zu beachten dass jedenfalls im B2B Gesch ft eine Rechtswahl nach Art 27 EGBGB zul ssig ist auch durch entsprechende AGB Klauseln Die Wirksamkeit einer solchen Wahl richtet sich nach Art 31 I EGBGB 1 V m Art 29 IV EGBGB nach demjenigen Recht das nach der Klausel angewendet werden soll gt Damit wird auch die gesamte Inhaltskontrolle und ihr Ergebnis Wirk samkeit oder Unwirksamkeit der Klaus
47. cksichtigen dass sich die Verkehrserwartungen mit zunehmender Verbreitung eines Risikobewusstseins und der Kenntnis m glicher Gegenma nahmen wandeln k nnen Im Einzelnen ist daher in einem ersten Schritt darauf abstellen ob das Problem ber haupt weithin bekannt ist dazu Rn 286 f F r die Beurteilung der Zumutbarkeit 551 552 553 554 555 BGH NJW RR 2002 525 526 BGH NJW 1978 1629 NJW 1990 906 907 Bamberger Roth Spindler 823 BGB Rn 234 Schwerdtfeger Gottschalck in Schwarz Peschel Mehner Kap 2 Rn 246 Koch NJW 2004 801 804 Libertus MMR 2005 507 509 Bamberger Roth Spindler 823 BGB Rn 234 Dazu bereits Spindler JZ 2004 1128 1129 Spindler JZ 2004 1128 1129 Leible Wildemann K amp R 2004 288 289 vgl Schmidbauer abrufbar unter Prof Dr Gerald Spindler 122 286 287 556 557 558 559 560 561 562 kann in einem zweiten Schritt zwischen der technischen Zumutbarkeit und der wirt schaftlichen Zumutbarkeit unterschieden werden dazu Rn 290 ff 3 Bekanntheit des Problems Verkehrspflichten privater Nutzer k nnen nicht mit dem pauschalen Hinweis auf die Komplexit t der modernen Informationstechnologie verneint werden Wenn der BGH in der vielbeachteten Dialer Entscheidung eine Pflicht zur Installation von Dialer schutzprogrammen verneinte so lag dies vor allem daran dass Dialer damals noch weitgehend unbekannt und Schutzvorkehru
48. cktritt Der Pflichtenma stab richtet sich an 9 BDSG sowie der zugeh rigen Anlage aus Die Pr fung der jeweiligen Pflichtenerf llung er folgt nicht nach dem BDSG sondern wird durch die Rechtsanwaltskammern durchge f hrt c Vertragliche Nebenpflichten Unabh ngig davon ob gesetzliche Pflichten greifen k nnen auch aus der vertraglichen Beziehung als Dienst oder Gesch ftsbesorgungsvertrag spezielle Pflichten bez g lich der IT Sicherheit bestehen Die Verletzung von Nebenpflichten kann Schadenser satzanspr che aus 280 ff BGB nach sich ziehen Dabei werden derartige IT bezogene Nebenpflichten umso eher anzunehmen und umso weit reichender sein je 1168 1169 1170 Quaas Zuck Zuck 2 Rn 52 54 Abel in Ro nagel Handbuch Datenschutzrecht Kap 7 11 Rn 38 Abel in Ro nagel Handbuch Datenschutzrecht Kap 7 11 Rn 38 Palandt Weidenkaff 611 BGB Rn 20 Prof Dr Gerald Spindler 256 608 609 71 72 T 74 mehr die Parteien auf eine vertrauensvolle Zusammenarbeit angewiesen sind oder sich eine Partei auf die Fachkunde der anderen verlassen muss einschlie lich der IT 1171 bezogenen Sachkunde und Ressourcen Selbstverst ndlich erwartet der Mandant einen besonders sorgsamen Umgang mit den offenbarten sensiblen Daten Daraus ergeben sich eben auch Sorgfaltspflichten hinsicht lich der Daten und der Ergreifung von speziellen Sicherungsma nahmen gegen bekann te Gefahren Wi
49. dargestellt Darauf folgt eine Untersuchung der Haf tungsverteilung zwischen den Beteiligten b welche sich in einem ersten Teil der ma teriellen Rechtslage b 1 bis b 3 und in einem zweiten der prozessualen Rechtslage widmet b 4 a Gefahrenpotential 1 Szenario 1 Phishing ohne Trojaner mit Visual Spoofing Vgl die Einsch tzung der Mitteilung der EU Kommission Eine Strategie f r eine sichere Informations gesellschaft Dialog Partnerschaft und Delegation der Verantwortung vom 31 5 2006 KOM 2006 251 endg ltig abrufbar unter http eur lex europa eu LexUriServ site de com 2006 com2006_0251de0l pdf zuletzt abgerufen am 06 06 2007 Ebenso der Symantec Internet Threat Report f r das erste Halbjahr 2006 abrufbar unter http www symantec com specprog threatreport entwhitepaper_symantec_internet_security_threat_report _X_09_2006 en us pdf Frankfurter Allgemeine Zeitung vom 11 7 2005 Trickbetr ger nehmen Internet Banking ins Visier und vom 10 3 2006 Angriffe auf Online Bankkunden nehmen sprunghaft zu S ddeutsche Zeitung vom 2 8 2006 Surfen am Abgrund Spiegel Online vom 24 9 2006 Phishing und Pharming Die Bedro hung w chst abrufbar unter http www spiegel de netzwelt technologie 0 1518 438677 00 html zuletzt abgerufen am 06 06 2007 Dazu Popp NJW 2004 3517 Der Begriff leitet sich aus dem englischen Password Fishing ab Zur steigenden Anzahl von
50. ein Virus oder andere Malware installiert Schlie lich be steht die M glichkeit dass eine nicht ausf hrbare Datei beispielsweise ein Bild oder eine Musikdatei so pr pariert wird dass ein Fehler im Programm hervorgerufen wird der ebenso ausgenutzt wird Das angreifende Programm erwirbt damit automatisch Vgl zur automatischen Anpassung der Regeln mittels Intrusion Detection Systemen und der anschlie Benden Einschr nkung von Diensten BSI IT Grundschutzhandbuch 2005 M 5 71 2747 zu den m gli chen Folgen von bestimmten Freigaben der Firewall Klapdor VW 2005 507 Nur f r kommerzielle Nutzer Schneider G nther CR 1997 389 394 OLG Hamburg CR 1986 83 84 LG Heidelberg CR 1989 197 198 Gorny CR 1986 673 675 En gel CR 1986 702 708 B mer CR 1989 361 Taeger Au ervertragliche Haftung f r fehlerhafte Com puterprogramme 1995 S 37 40 f M nchKommBGB Wagner 3 ProdHaftG Rn 15 Heussen CR 2004 1 3 mit Einschr nkungen auch Kilian CR 1986 187 190 Prof Dr Gerald Spindler 129 303 304 305 die Rechte des aktuellen Benutzers und kann weitere Programme nachinstallieren die in dessen Benutzerkontext und mit seinen Rechten laufen Falls auf der Anlage dann sogar noch Systeml cken bestehen kann das Programm seine Nutzerrechte erh hen und da mit vollen Zugriff erlangen Zus tzlich kann es sich eventuell sogar vor Abwehrpro grammen verbergen Auch hier stellt das Kompromi
51. en sich die im IT spezifischen Bereich erforderlichen Ma nahmen dem Durchschnittskunden nicht ohne weiteres Die Anpassung oder nderung der Si cherheitseinstellungen des eigenen PC werden normale Nutzer h ufig berfordern Die technischen F higkeiten des Durchschnittsnutzers m ssen aber Grenze der zu fordern den Sorgfaltspflichten markieren da sich daran die Sicherheitserwartungen des Ver kehrs ausrichten allg Rn 277 ff 1034 Realisiert sich eine Gefahr welche nur f r einen technisch versierten Nutzer beherrschbar ist tr gt dieses Risiko die Bank Dies rechtfer tigt sich aber aus der Erw gung dass sich die Banken mit ihrem Online Banking Angebot nicht nur an technisch versierte Nutzer sondern gerade auch an die breite 1035 Masse der Kunden wenden Bei der Bestimmung der Sorgfaltspflichten wird man ausgehend vom Ma stab des Durchschnittskunden anhand des konkreten Bedrohungsszenarios sowie der Bekannt 1031 1032 1033 1034 1035 Palandt Heinrichs 280 BGB Rn 28 M nchKommBGB Ernst 280 BGB Rn 104 Bamberger Roth Gr neberg Sutschet 241 BGB Rn 92 So etwa Karper DuD 2006 215 217 Nach Kind Werner sollen die Sorgfaltanforderungen an den Kun den wegen der Gefahren des Online Banking zwar besonders hoch anzusetzen sein Dennoch verneinen die Autoren sogar eine Pflicht zur Einrichtung von Virenschutzprogrammen s CR 2006 353 355 Karper DuD 2006 215 217 Ebenso Spindler in Hadding
52. im Rahmen des 823 Abs 1 BGB also S F r den Jahr 2000 Fehler Wohlgemuth MMR 1999 59 65 allg und zu den sich in der Rechtsprechung herausgebildeten Fallgruppen M nchKommBGB Oetker 254 BGB Rn 76 ff Bamberger Roth Unberath 254 Rn 30 ff jeweils mwN ar Anders nat rlich bei Hardware Problemen s etwa OLG Hamm NJW RR 1998 380 381 f r einen aus gefallenen Drucker S OLG Hamm JurPC Web Dok 165 2004 Abs 2 14 OLG Karlsruhe NJW 1996 200 201 OLG Karls ruhe NJW RR 1997 554 554 f Erben Zahrnt CR 2000 88 f G nther Produkthaftung f r Informati onsg ter 303 f Meier Wehlau NJW 1998 1585 1590 mwN zur Frage ob Vertrauensschutz entspre chende Pflichten aufgrund vorherigen Handelns begr nden kann die dann auch Stillstandskosten umfas sen w rden BGH NJW 1998 456 458 bertragen auf Datensicherung im IT Bereich k nnte also bei entsprechendem Vertrauen aufgrund vorhergegangener st ndiger Datensicherungen ein entsprechendes Mitverschulden wegen Unterlassung der Schadensminderung in Form der Datensicherung angebracht sein Da bei der Haftung nach 823 Abs 1 BGB jedoch regelm ig kein vorheriger Kontakt besteht kann auch kein solches Vertrauen vorliegen Prof Dr Gerald Spindler 138 328 620 Die Rechtsdurchset insbesondere f r Verkehrspflichtverletzung und Verschulden zung im Schadensfall h ngt zun chst davon ab die Person des Sch digers eindeutig zu identifizieren was im
53. k nnte oder kann der Hersteller den Weg seines Produktes nicht nachverfolgen ist der Hersteller gehalten eine ffentliche Warnung auszusprechen da nicht mehr auszu schlie en ist dass die Sicherheitsl cke in erheblichem Umfang ausgenutzt wird und da durch Sch den bei Nutzern entstehen Denn der Hersteller kann nicht mehr davon aus gehen dass seine Sicherheitspatches Beachtung finden oder der Nutzer sich gen gend lang im Netz befindet damit etwa eine automatische Updateerkennung eingreift Die Warnhinweise m ssen geeignet sein die in Betracht kommenden Verkehrskreise anzusprechen und auf die vom Produkt ausgehende Gefahr aufmerksam zu machen wobei angesichts der heutigen Massenverbreitung einiger EDV Programme nicht davon ausgegangen werden kann dass alle Nutzer computerbezogene Zeitschriften beziehen oder entsprechende Online Foren besuchen ebenso wenig gen gt eine passive pro duktspezifische Warnung in der Internet Homepage des Herstellers Vielmehr muss der Hersteller von weit verbreiteten Produkten zahlreiche Kan le gleichzeitig zur Warnung nutzen Sofern es sich indes um gewerbliche Abnehmer mit Kenntnissen im EDV Bereich handelt treffen den Hersteller die Warnpflichten von vornherein nicht in der Vgl Marly Software berlassungsvertr ge Rn 1311 allgemein Kullmann Pfister Kullmann Kza 1520 S 61 ff Foerste in v Westphalen ProdHaftHdb 24 Rn 251ff mwN Ausf hrlich dazu Marly Software berlass
54. leisten und auf Sicherheitsl cken insbesondere nach Hinweisen von au en durch erforderliche Anpassung des Systems zu reagieren Aus Sicht des Gesetzgebers bestand zumindest vor Auftreten der ersten F lle von Phis hing und Pharming keine Notwendigkeit einen allgemeinen Sicherheitsstandard gesetz lich untergesetzlich oder durch eine freiwillige Verpflichtung der Banken einzuf h 93 n re Ma geblich f r die Sicherheitserwartungen des Verkehrs ist gegenw rtig der je 995 weilige Stand der Technik Hierbei ist anerkannt dass normative Standards wie der Stand der Technik den Pflichteninhalt nicht nur dort konkretisieren wo eine Vor schrift des technischen Sicherheitsrechts eine ausdr ckliche Regelung vorsieht Viel mehr umschreiben technische Standards auch au erhalb dieses Bereichs die zur Gefahr 6 Der erforderliche Sicherheitsstandard be 9 steuerung objektiv geeigneten Ma nahmen stimmt sich nach dem Gef hrdungspotential des technischen Systems 97 welches im 990 991 992 993 994 995 996 997 Spindler in Hadding Hopt Schimansky S 178 zust Erfurth WM 2006 2198 2201 Kind Werner CR 2006 353 357 f Karper DuD 2006 215 217 Koch Versicherbarkeit von IT Risiken Rn 812 Recknagel Vertrag und Haftung beim Internet Banking S 151 206 G mann in Bankrechts Handbuch 55 Rn 19 Vgl etwa zu den Sicherheitsm ngeln der Online Banking Portal
55. nnten prinzipiell vom Schutzumfang des GPSG erfasst sein Allerdings m sste das GPSG hierzu berhaupt auf Hard und Software Anwendung finden W hrend die Vorausset zung des Herstellens und des anschlie enden Vertriebs von Hard und Software im Rahmen einer wirtschaftlichen Unternehmung in aller Regel erf llt sein werden und insofern das Merkmal des Inverkehrbringens 1 S v 2 Abs 8 GPSG vorliegt ist frag lich ob es sich bei Hard und Software um Produkte im Sinne des GPSG handelt 1 Grunds tze Weder die Produktsicherheitsrichtlinie noch das GPSG selbst enthalten eine Definition des Produktbegriffes Beide Regelungen setzen den Begriff des Produkts vielmehr voraus und grenzen ihren Anwendungsbereich auf bestimmte Produktarten ein Art 2 Richtlinie 2001 95 EG 2 GPSG Der vom GPSG verwendete Produktbegriff umfasst 451 452 453 Runte Potinecke CR 2004 725 Wilrich Einleitung Rn 1 ff Littbarski VersR 2005 448 f F r Open Source Software kann dies indes fraglich sein Klindt GPSG 2 GPSG Rn 3 Prof Dr Gerald Spindler 95 211 212 213 214 454 455 456 gem der in 2 Abs 1 GPSG enthaltenen Begriffsbestimmung technische Arbeitsmit tel und Verbraucherprodukte Nach der in 2 Abs 2 GPSG enthaltenen Legaldefinition sind technische Arbeitsmit tel verwendungsfertige Arbeitseinrichtungen die bestimmungsgem ausschlie lich bei der Arbeit verwendet werden sow
56. nzungsliefe rung Berlin 2005 zitiert Kullmann Pfister Bearbeiter K mpel Siegfried Bank und Kapitalmarktrecht 3 Auflage K ln 2004 K mpel Siegfried Veil R diger Wertpapierhandelsgesetz 2 Auflage Ber lin 2006 Kunst Diana Kunz J rgen Rechtliche Risiken des Internet Banking in MMR Beilage 9 2001 23 26 Die Produktbeobachtungs und Befundsi cherungspflicht als Verkehrssiche rungspflichten des Warenherstel lers in BB 1994 450 455 Kurose James F Ross Keith W Computer Networking Second Edition Boston 2003 Lachmann Jens Peter Ausgew hlte Probleme aus dem Recht des Bildschirmtextes in NJW 1984 405 408 Lang Markus PC aber sicher Sicherheit beim Einsatz von Personalcomputern in JurPC Web Dok 205 2001 Abs 1 166 Lang Volker Die Beweislastverteilung im Falle der Prof Dr Gerald Spindler XXXII Verletzung von Aufkl rungs und Beratungspflichten bei Wertpapier dienstleistungen in WM 2000 450 476 Lange Hermann Schiemann Gottfried Schadensersatz 3 Auflage T bingen 2003 Lange Knut W Wall Friederike Hrsg Risikomanagement nach dem KonTraG M nchen 2001 zitiert Bearbeiter in Lange Wall Langenbucher Katja Die Risikozuordnung im bargeldlosen Zah lungsverkehr M nchen 2001 Lapp Thomas Fax und E Mail Kommunikation
57. r Leib und Leben ist sogar bereits ein ernstzunehmender Verdacht hin reichend um Warnpflichten auszul sen bei Sachsch den und nicht akuter Bedro hung kann sich der Produzent im Falle eines Verdachts zun chst auf eigene Ermittlun gen und aktive Beobachtung des Produktes beschr nken ohne vor dem Produkt oder a ee 257 dessen spezifische Verwendung warnen zu m ssen Allerdings darf der Hersteller nicht abwarten bis die Gefahr zur Gewissheit feststeht bei sich h ufenden Beschwerden muss der Hersteller vor den Gefahren warnen H u OLG Karlsruhe VersR 1998 63 hierzu Kullmann NJW 1997 1746 1750 Vgl v Bar in Produktverantwortung und Risikoakzeptanz S 29 33 Foerste in v Westphalen ProdHaftHdb 24 Rn 292 Michalski BB 1998 961 962 f Staudinger J Hager 823 BGB F Rn 20 f International t tige Unternehmen sind etwa zur weltweiten Informationsbeschaffung und auswertung verpflichtet s BGHZ 80 199 203 NJW 1981 1606 Foerste in v Westphalen ProdHaftHdb 24 Rn 296 Zu den Anforderungen an die Produktbeobachtungspflicht grundlegend BGHZ 80 199 202 f BGH NJW 1990 906 907 Foerste in v Westphalen ProdHaftHdb 24 Rn 245 290 ff Kull mann Pfister Kullmann Kza 1520 S 54 f AA LG K ln NJW 1999 3206 Keine Pflicht zur Warnung bei nachtr glichen Erkenntnissen ber Viren befall einer Diskette BGHZ 80 186 192 NJW 1981 1603 OLG Frankfurt NJW RR 1995 406 408 O
58. rting NIW 2005 1248 1249 H rting MDR 2001 61 62 v Lewinski BRAK Mitt 2004 12 16 Prof Dr Gerald Spindler 233 601 602 603 604 dere Daten bertragen so kann diese jeder in einem gewissen Umkreis ohne besondere technische Schwierigkeiten abfangen und einsehen Nach derzeit wohl hM geht eine Verpflichtung zu aktiven T Sicherheitsma nahmen jedoch ber den Wortlaut des 43a Abs 2 BRAO der sich auf die Pflicht zur Ver schwiegenheit beschr nkt und das tradierte Verst ndnis des Anwaltsgeheimnisses hin 1158 aus Jedenfalls im Falle der Verwendung von drahtlosen bermittlungsformen wird man jedoch die Verwendung g ngiger Verschl sselungsstandards etwa dem Wired Equivalent Privacy WEP Standard fordern m ssen um eine Basissicherheit zu ge w hrleisten Weitere Konkretisierungen enth lt 2 BORA 1159 der in Abs 4 alle Personen die bei der Berufst tigkeit des Anwalts mitwirken ebenfalls zur Verschwiegenheit verpflichtet so dass etwa auch ausgelagerte T tigkeiten des Anwalts z B die externe Pflege der IT Komponenten des Anwalts erfasst werden k nnen b BDSG 1 Rechtsanw lte als nicht ffentliche Stellen Rechtsanw lte erheben speichern und verarbeiten Daten im Sinne des BDSG wenn sie Daten ihrer Mandanten im Rahmen ihrer IT Systeme verwenden In diesem Rahmen sind sie als nicht ffentliche Stellen zu qualifizieren auch wenn sie nach 1 BRAO als Organe der Rech
59. tsmanagementsystems S 97 ff Bamberger Roth Spindler 823 BGB Rn 560 skeptisch zur Wirkung der Zertifizierung auch Heussen Schmidt CR 1995 321 329 Merz in v Westphalen ProdHaftHdb 44 Rn 57 hnlich aus strafrechtlicher Sicht Goll Winkelbauer in v Westphalen ProdHaftHdb 48 Rn 51 Die Herstellung von Software erfolgt regelm ig nicht im Wege der Arbeitsteilung sondern alleine durch einen Hersteller Prof Dr Gerald Spindler 84 188 Nachweis der Normkonformit t des Produkts zukommen Denn wenn Ist Standards als technische Normen und Mindeststandard eine Aussage ber die allgemein anerkannten Regeln der Technik treffen so ist unter Anwendung der allgemeinen Grunds tze zu mindest von einer Indizwirkung zugunsten des Herstellers auszugehen wenn er die Einhaltung eben dieses Standards mit einem Zertifikat belegen kann Auch hier gilt aber dass sich die allgemein anerkannten Regeln der Technik bereits ber die Festle gungen des Standards hinaus entwickelt haben k nnen so dass trotz Zertifikat eine Pr fung im Einzelfall erfolgen muss b Produkthaftung infolge Schutzgesetzverletzung 823 Abs 2 BGB ffentlich rechtliche Produktsicherheitsnor men Die verschuldensabh ngige Produkthaftung nach 823 Abs 1 BGB wird durch zahlrei che Schutzgesetze flankiert deren Verletzung nach 823 Abs 2 BGB eine Haftung nach sich ziehen kann Von Bedeutung sind indes f r die Produkthaftung im
60. vielmehr k nnen die IT Nutzer auch Pflichten gegen ber Dritten treffen die unmittelbar mit dem Einsatz von IT Produkten zusammenh ngen Die IT Nutzer be finden sich daher in einer Doppelrolle die im Folgenden immer im Blickfeld zu behal ten ist Allerdings werden diese Pflichten hinsichtlich ihrer Konkretisierung Sorgfalts standards nach 276 BGB oftmals gleichbedeutend sein mit den ber 254 BGB zu definierenden Pflichten Um den Rahmen der hier vorliegenden Untersuchung nicht zu sprengen k nnen daher oft die jeweiligen Pflichten gemeinsam behandelt werden sofern nicht aus besonderen Gr nden eine Differenzierung geboten ist In diesem Rahmen sind Differenzierungen je nach den Gruppen der verschiedenen IT Nutzer geboten insbesondere ob es sich um private Rn 275 ff oder kommerzielle IT Nutzer Rn 331 ff handelt bei letzteren wiederum nochmals in bestimmte Sekto ren mit unterschiedlichen Risikopotentialen unterteilt etwa f r den Finanzsektor D III 4 oder f r Berufsgruppen die besonderen Pflichten unterliegen D V Die Unterteilung ist sowohl f r die zivilrechtliche Pflichtenbestimmung wie f r die ffentlich rechtlichen Vorgaben relevant W hrend in der zivilrechtlichen Bewertung h ufig Zumutbarkeitserw gungen in wirtschaftlicher Hinsicht betrachtet werden die regelm ig nur kommerzielle Anwender wegen ihrer wirtschaftlichen Leistungsf higkeit und den entsprechenden angemessenen Erwartungen der All
61. wenn das SSL Zertifikat nicht auf den Namen der Bank ausge stellt ist und dem Kunden hierdurch die berpr fung der Authentizit t der Website er schwert wird Die Beweislast f r ein Mitverschulden der Bank liegt nach allgemeinen Grunds tzen beim Kunden 180 d Verschuldensunabh ngige Haftung des Kunden aufgrund AGB Da Internet Banking trotz aller Sicherungsvorkehrungen Risiken aufweist w re es aus wirtschaftlicher Sicht verst ndlich dass in Allgemeinen Gesch ftsbedingungen das Ri siko von trotzdem auftretenden Missbrauchsf llen dem Kunden zugewiesen wird In den Btx Bedingungen war in Ziffer 9 eine verschuldensunabh ngige Haftung des Kun den f r Sch den vorgesehen welche durch sorgfaltswidrigen Umgang mit PIN und TAN entstehen eine vergleichbare Regelung enthielten bis 1989 die ec 1062 1063 Bedingungen Nach dem Sph rengedanken sollte das Missbrauchsrisiko bei recht 37 Rn 40 Schimansky in Bankrechts Handbuch Band I 50 Rn 3 f Langenbucher Die Risikozuordnung im bargeldlosen Zahlungsverkehr S 148 wohl auch Bock in Br utigam Leupold Kap VII Rn 81 Karper DuD 2006 215 219 Borges NJW 2005 3313 3315 Bock in Br utigam Leupold Kap VII Rn 81 Kind Werner CR 2006 353 360 BGH NJW 1994 3102 3105 Bamberger Roth Unberath 254 BGB Rn 68 mwN Dazu Canaris Bankvertragsrecht Rn 527 ff 527 hh Zur Unwirksamkeit dieser Klausel nach 9 Abs 2 Nr 1 AGBG jetzt 30
62. zus tzlich Spindler in Spindler Vertragsrecht der Internet Provider Teil IV Rn 356 f insofern keine Nutzung auf eigene Gefahr aA noch zu 5 TDG aF Sieber in Hoeren Sieber Teil 19 Rn 248 Zutr Czychowski in Br cker Czychowski Sch fer 13 Rn 106 Darauf weist zu Recht Schmitz v Netzer in Schuster Vertragshandbuch Telemedia Kap 12 Rz 21 hin H ufig kategorisieren die Hersteller die Sicherheitsl cken Kritische Sicherheitsl cken f hren jedenfalls zu einer nicht abw lzbaren Pflicht Prof Dr Gerald Spindler 288 701 702 703 704 705 706 707 liegt dem Intermedi r somit eine Beobachtungs und Abhilfepflicht in Hinsicht auf Sys tem und Programmupdates Den nicht kommerziellen Intermedi r kann die Beobachtungspflicht nur in abge schw chter Form treffen Er sollte sich dennoch regelm ig informieren und schnellst m glich Gegenma nahmen ergreifen d Nutzung von Nutzerkonten mit eingeschr nkten Rech ten Die Nutzung von speziellen Nutzerkonten ist dem Intermedi r in jeder Hinsicht zuzu muten sofern ihm dies m glich ist e Intrusion Detection Systeme Beim Einsatz von Netzwerken kann hier auch eher der Einsatz von Intrusion Detection Systemen verlangt werden f Malware Entfernungsprogramme Auch eine st ndige Nachsorge ist dem Provider zuzumuten Sollten Hinweise auf eine Gef hrdung bestehen so ist jedenfalls nach Schadprogrammen zu suchen und diese sind zu entf
63. 06 1994 19 U 275 93 in VersR 1995 1250 Schwalbach Joachim Effizienz des Aufsichtsrats in AG 2004 186 190 Schwark Eberhard Kapitalmarktrechtskommentar 3 Auflage M nchen 2004 zitiert Schwark Bearbeiter Prof Dr Gerald Spindler LII Schwarz G nter C Holland Bj rn Enron WorldCom und die Corporate Governance Disskussion in ZIP 2002 1661 1672 Schwarz Mathias Peschel Mehner Andreas Recht im Internet Augsburg 2002 Schwarz Mathias Poll Karolin Haftung nach TDG und MDStV in JurPC Web Dok 73 2003 Als 1 154 Schweinoch Martin Roas Rudolf Paradigmenwechsel f r Projekte Ver tragstypologie der Neuerstellung von Individualsoftware in CR 2004 326 331 Schwenzer Ingeborg R ckruf und Warnpflichten des Waren herstellers in JZ 1987 1059 1065 Schwintowski Hans Peter Sch fer Frank A Schwintowski Hans Peter Bankrecht K ln Berlin Bonn M nchen 2004 Gesellschaftsrechtliche Anforderungen an Vorstandshaftung und Corporate Governance durch das neue System der kartellrechtlichen Legalausnah me in NZG 2005 200 203 Schwirten Christian Zattler Michaela Die Konfliktpunkte in Die Bank 2005 Heft 10 52 55 Seibert Ulrich Die Entstehung des 91 Abs 2 AktG im KonTraG Risikomanagement oder Fr hwarnsystem in Weste
64. 129 148 ff R Coase The Problem of Social Cost Journal of Law and Economics 3 S 15 R Coase Law and Economics S 251 Prof Dr Gerald Spindler 23 35 36 37 taltete Haftung am cheapest cost avoider auszurichten praktisch immer seine Berechti gung wird aber durch das Gedankenexperiment der idealen Welt Coaseanischen Welt gegenkontrolliert c Steuerung des Aktivit tsniveaus ber eine konomische Analyse lassen sich also Hinweise gewinnen wie das Haf tungssystem ausgestaltet sein muss um ein effizientes Niveau von Schutzma nahmen zu erreichen und Anreize setzen dass derjenige die Schutzma nahmen durchf hrt dem dies am Kosteng nstigsten m glich ist Dar ber hinaus lassen sich aber auch Aussagen dar ber gewinnen wie durch das Haftungssystem das Aktivit tsniveau beeinflusst werden kann Ein rational handelnder Akteur wird bei der Abw gung von Nutzen und Kosten einer Handlung auf der Kostenseite das m gliche Haftungsrisiko mit einstel len Steigt nun das Haftungsrisiko durch sch rfere Haftungsregelungen so steigen auch die Kosten Mit den Kosten steigt in einer funktionsf higen Marktwirtschaft auch der Preis eines Produktes oder einer Dienstleistung Bei ansonsten gleichen Umst nden wird das teuere Produkt weniger nachgefragt Damit wird das Aktivit tsniveau durch sch rfere Haftungsregelungen gesenkt Durch eine Gef hrdungshaftung erfolgt dabei sogar eine Senkung der Aktivit t auf
65. 1450 zur Sicherung einer Wasserrutsche bei missbr uchlicher Benutzung durch Kinder und Jugendliche OLG Koblenz NVwZ 2002 745 Fahrbahnbeschmutzung durch Sand Prof Dr Gerald Spindler 281 deutung des electronic commerce und von Web Portalen von Unternehmen inzwischen aber auch von Privaten vor Augen h lt Die ber IT Intermedi re er ffneten Kommuni kationsm glichkeiten sind heute selbstverst ndlicher Bestandteil der Schnittstelle des Unternehmens oder des Individuums mit der Au enwelt 1 Schutz der Intim und Privatsph re 683 Das Pers nlichkeitsrecht umfasst auch den Schutz der Privat und Intimsph re in zivil rechtlicher Hinsicht insbesondere das vom BVerfG so bezeichnete Recht auf informati onelle Selbstbestimmung als Grundlage des Datenschutzes Da die Darstellung des Datenschutzrechts des TMG des BDSG und der L nderdatenschutzgesetze sowie der EG Richtlinien zum Datenschutz den gebotenen Umfang sprengen w rde beschr nkt sich die nachfolgende Untersuchung auf die haftungsrechtlichen Besonderheiten im Zu sammenhang mit den allgemeinen deliktsrechtlichen Anspr chen 684 Das Betreiben von Internet Rechnern stellt im Hinblick auf den Schutz der Intim und Privatsph re grunds tzlich eine Gefahrenquelle dar etwa durch das Aussp hen von per s nlichen Daten Daher sind die IT Intermedi re gehalten entsprechende Schutzvorkeh rungen zu treffen und zwar sowohl vertraglich als auch del
66. 172 BGB Rn 8 Prof Dr Gerald Spindler 210 501 502 503 790 2 Eine lenfalls eine zum Schadensersatz verpflichtende Vertragspflichtverletzung Gleichstellung mit den F llen der Anscheinsvollmacht m sste berdies die Beherrsch barkeit des eingesetzten Mediums und des Missbrauchs Dritter in gleichem Ma e wie im Falle des Risikos des in der Organisationsph re eingesetzten Gehilfen postulieren woran erhebliche Zweifel bestehen Gegen eine L sung nach Rechtsscheinsgrunds tzen spricht im Bereich des E Commerce und des Online Banking im Besonderen dass ein Schadensersatzanspruch flexiblere L sungen erlaubt als eine pauschale Zurechnung kraft Rechtsscheins Der Vorteil einer L sung ber Schadensersatzregeln liegt hierbei insbesondere die Ber ck sichtigung eines Mitverschuldens der Bank 254 BGB bei der Bemessung der Scha densh he b Schadensersatzanspr che der Bank Verletzt der Kunde schuldhaft seine Sorgfaltspflichten aus dem Online Bankingvertrag haftet er der Bank f r entstandene Sch den gem 280 Abs 1 241 Abs 2 BGB Die Online und Homebanking Bedingungen enthalten keine eigene Haftungsregelung mehr vielmehr kommt die Haftungsregelung der Ziffer 3 der AGB Banken zur An wendung welche eine verschuldensabh ngige Haftung vorsieht Diese Haftungs klausel entspricht dem gesetzlichen Leitbild und ist mit 307 BGB vereinbar Wie nunmehr auch im sterreichischen Recht anerkann
67. 2002 1193 dazu auch Hoeren VersR 2005 1014 v Gamm GRUR 1996 574 577 v Gamm GRUR 1996 574 578 Kahlert DuD 2003 412 415 Abel in Ro nagel Handbuch Datenschutzrecht Kap 7 11 Rn 28 Gorny CR 1986 673 Schneider Prof Dr Gerald Spindler 180 430 431 432 829 830 831 832 833 834 835 chen Sicherungsma nahmen nicht ergreift unterliegt der Haftung Au erdem kann 9 BDSG ein Schutzgesetz im Sinne von 823 Abs 2 BGB sein b TMG Auch das TMG enth lt f r Daten die im Rahmen von Telediensten anfallen Regelun gen zur Datensicherheit die mit 9 BDSG vergleichbar sind 13 Abs 4 TMG enth lt eine Aufz hlung von bestimmten Schutzzielen die erreicht werden sollen Ziel ist auch hier der Systemdatenschutz Nach 13 Abs 4 TMG muss der Diensteanbieter durch technische und organisatorische Vorkehrungen daf r sorgen dass der Nutzer Telediens te gesch tzt gegen die Kenntnisnahme Dritter wahrnehmen kann Wie die Schutzziele zu erreichen sind regelt das TMG nicht es sind jedoch die erforderlichen Ma nahmen zu ergreifen 13 Abs 4 TMG sch tzt allerdings nicht die bertragung der Informationen die be reits durch das TKG erfasst wird sondern die interne Datenverarbeitung was schon 11 III TMG klarstellt 13 Abs 4 TMG enth lt f r bestimmte Teilbereiche das Er fordernis der Ergreifung von Ma nahmen In diesen Bereichen liegt somit eine be reichss
68. 26 Mai 1998 VI ZR 294 97 referiert bei Kullmann NJW 1999 96 101 Kullmann NJW 1994 1698 1705 Kullmann Pfister Kullmann Kz 1520 S 35 f krit Rolland Produkthaftungsrecht Teil II Rn 42a kaum kalkulierbar Ausf hrlicher dazu Spindler NIW 1999 3737 3741 BGH NJW 1989 1542 1545 BGH NJW 1992 560 562f M nchKommBGB Wagner 823 BGB Rn 614 Foerste in v Westphalen ProdHaftHdB 30 Rn 95 Foerste in v Westphalen ProdHaftHdB 30 Rn 99 ff M nchKommBGB Wagner 823 BGB Rn 614 Staudinger Hager 823 BGB Rn F 39 Prof Dr Gerald Spindler 78 175 354 355 356 357 358 359 360 361 gleichsetzen wobei berwiegend wohl von einem starken Indiz f r die Wahrung der Sorgfalt gt zum Teil aber auch eine tats chliche Vermutung Anscheinsbeweis angenommen wird Einschr nkend gilt hier jedoch dass die Einhaltung einer technischen Norm die Gew hrleistung des erforderlichen Sicherheitsstandards nur dann indiziert wenn die technische Norm die jeweiligen Gefahren ausreichend ber cksichtigt hat also z B auch besonders gef hrdete Verkehrskreise einbezog 56 Hierzu ist der 357 Zweck der betreffenden technischen Norm durch Auslegung zu ermitteln Ebenso bewahrt die Befolgung der Norm nicht vor dem Rechtswidrigkeitsvorwurf wenn eine technische Norm nicht dem Stand der Technik entspricht insbesondere wenn die 358 technische Regel falsch oder unzureichend ist
69. 357 Zur Parallelproblematik der Umstellung der Instruktion durch den Hersteller M inchKommBGB Wagner 823 BGB Rn 602 Kind Werner CR 2006 353 357 Bock in Br utigam Leupold Kap VII Rn 67 f Recknagel Vertrag und Haftung beim Internet Banking S 220 G mann in Bankrechts Handbuch Band I 55 Rn 21 Kind Werner CR 2006 353 357 Prof Dr Gerald Spindler 218 520 1015 1016 1017 1018 1019 1020 1015 er nung von Sorgfaltspflichten in den AGB der Banken f r sich alleine ausreicht scheint zweifelhaft da das Kleingedruckte vom Kunden erfahrungsgem kaum gele sen wird berdies taugen AGB kaum um den Kunden die Benutzung eines kom plexen technischen Systems anschaulich zu erl utern Erforderlich und empfehlens wert erscheint daher dem Kunden in jedem Fall eine gesonderte Benutzerinformation zukommen zu lassen und eine Benutzerf hrung am Bildschirm vorzusehen Dagegen sollten die Banken von Informationen per E Mail absehen Empfehlenswert ist es als Schutz gegen Phishing gegen ber dem Kunden von vornherein ausdr cklich klarzustel len dass die Bank mit ihm unter keinen Umst nden per E Mail in Kontakt treten wird s auch Rn 538 0 Die Informationen m ssen jeweils auch f r einen Durchschnittskunden ohne gr ere 1019 technische F higkeiten leicht verst ndlich sein Die Anforderungen der Rechtspre chung zur Klarheit und Verst ndlichkeit von Produktinformat
70. 368 8 76 II 1 c S 401 f K tz Wagner Deliktsrecht Rn 108 BGH NJW RR 2003 1459 BGH NJW 1990 1236 BGH NJW RR 2002 525 mwN BGH NJW 1987 2510 Palandt Sprau 823 BGB Rn 46 Bamberger Roth Spindler 823 BGB Rn 227 Koch NJW 2004 801 803 Libertus MMR 2005 507 508 Larenz Canaris 76 III 4 b Koch NJW 2004 801 803 hnl auch Libertus MMR 2005 507 508 Dabei werden zun chst entsprechende Admin Rechte unterstellt Der reine Nutzer ohne Berechtigung Software zu installieren hat in der Regel keine M glichkeit auf die Konfiguration des Systems Einflu zu nehmen damit auch nicht auf dessen Sicherheitsniveau S o Rn 52 ff zur Verteilung des Risikos zwischen Serverinhaber und vermieter bei DoS Attacken AG Gelnhausen CR 2006 208 Ebenso Koch NJW 2004 801 803 Libertus MMR 2005 507 509 implizit auch Schmidbauer abruf bar unter http www i4j at news aktuell36 htm Prof Dr Gerald Spindler 121 284 285 gehenden Denial of Service Attacks oder Virenverbreitung Denn f r den Nutzer ist es im Rahmen des Internets praktisch nicht vorhersehbar wer durch die jeweiligen Hand lungen bzw Viren gesch digt werden Kann Anders formuliert kann die Haftung hier unabsehbar ausufern Im deutschen Recht ergibt sich eine erste Eingrenzung durch die bei gewerblich Gesch digten erforderliche Betriebsbezogenheit des Eingriffs die bei derartigen Gef hrdungen nicht vorliegen wird Dennoch verbleibt be
71. 3757 S 2 Wiesgickl WM 2000 1039 1047 verneint aus diesem Grund einen Anscheinsbeweis f r die Urheber schaft So auch Hoffmann in Leible Sosnitza Versteigerungen im Internet Teil 3 Kap B Rn 175 185 Vgl BGH NJW 2004 3623 3624 Im Fall verneinte der BGH eine Ersch tterung des Anscheinsbewei ses da die Kl gerin am Tag des Diebstahls der ec Karte keine Abhebung vorgenommen hatte Nach Auf fassung des BGH bestand bei diesem Geschehensablauf keine M glichkeit des Aussp hens der PIN ohne Sorgfaltswidrigkeit der Kundin Prof Dr Gerald Spindler 240 569 570 1123 1124 1125 durch Verschaffung der auf einem Zettel notierten PIN und einer TAN Karte erfolgen die Situation unterscheidet sich dann nicht wesentlich von der ec Kartenproblematik Weitaus relevanter sind indessen die hier interessierenden neuen Erscheinungen der Phishing E Mails oder trojanischen Pferde Gerade im Hinblick auf diese Gefahren bie ten viele der derzeit verwendeten PIN TAN Sicherungsverfahren nicht die erforderli che Sicherheit um von einer faktischen Un berwindbarkeit sprechen zu k nnen Nach dem derzeitigen Stand der Technik wird man zwischen Verfahren mit Medienbruch un ten b und solchen ohne Medienbruch unten c zu unterscheiden haben b Sicherungsverfahren ohne Me dienbruch Angesichts der neuen elektronischen Bedrohungsformen muss die vor einigen Jahren wohl noch zutreffende Annahme die berwindun
72. 49 49 49 49 50 3 ii Verletzung der Datenintegrit t und verf gbarkeit ii Beeintr chtigung der bestimmungsgem en Verwendung c Verletzung sonstiger Rechte 1 Allgemeines Pers nlichkeitsrecht ii Recht am eigenen Datum iii Recht am Unternehmen 2 Verantwortlichkeit f r von Dritten verursachte Verletzungen a Haftung f r Verhalten Dritter Hacker b Haftung f r Fremdprodukte und dienste Zubeh r Kompatibilit ten 3 Pflichten vor Inverkehrgabe IT Sicherheitsl cken als Konstruktionsfehler 4 Pflichten nach Inverkehrgabe a Produktbeobachtungs und Warnpflichten i Grunds tze ii Kontraproduktive ffentliche Sicherheitswarnungen ii Herausgabe des Quellcodes iv Ende des Supports bei lteren Produkten v Produktbeobachtung f r Fremdsoftware b R ckrufpflichten 5 Herstellerpflichten und technische Standards a Haftungsrechtliche Bedeutung technischer Normen b Technische Standards f r den IT Bereich Common Criteria und Protection Profiles c Zwischenergebnis 6 Haftungsrechtliche Bedeutung von Zertifikaten a Keine pauschale Haftungsfreizeichnung durch Zertifizierung b Versch rfung der Haftung durch Zertifizierung i Grunds tze ii Anwendung auf IT Hersteller 7 Beweislast a Produkthaftungsrechtliche Beweislastverteilung b Beweisrechtliche Bedeutung technischer Normen c Beweisrechtliche Bedeutung von Zertifikaten i Grunds tze ii Anwendung auf IT Hersteller b Pr
73. 657 F r die Anwendung der Verantwortlichkeitsprivilegierungen m ssen die verschiedenen Risiken f r IT Intermedi re unterschieden werden Zum einen kann der IT Intermedi r selbst Opfer eines IT Angriffs werden etwa durch eine Denial of Access Attacke oder das Hacken in das System mit der Folge der Datenaussp hung oder Sabota ge etc Anders ausgedr ckt ist die Sicherheit des IT Systems des Intermedi rs selbst betroffen von ihm selbst geht die Gefahr f r Dritte aus In diesem Fall finden die allgemeinen Verkehrspflichten je nach Funktion modifiziert Anwendung Zum anderen k nnen Intermedi re in die Verantwortung genommen werden k nnen wenn sie als Zwischenstelle f r Daten agieren die anschlie end beim Nutzer einen Schaden hervorrufen Der In termedi r stellt also auch nicht mittelbar diese Daten selbst bereit sondern leitet diese nur in irgend einer Form weiter wobei sich die Frage stellt ob ihn eine Pr fungspflicht hinsichtlich der Gef hr lichkeit der Daten trifft Typisches Beispiel ist die Weiterleitung von virenbefallenen E Mails an an dere Nutzer Rn 295 ff 658 Unterschieden wird in diesem Zusammenhang gern zwischen Content Host und Ac cess Provider auch wenn diese Unterscheidung eher heuristischen Wert hat da das Gesetz nicht auf diese Begriffe abstellt Als Content Provider wird bezeichnet wer ei 1218 Host Provider ist wer fremde gene Informationen zur Nutzung im Netz bereith lt Inhal
74. 7 10 TMG zugute Die Rechtslage ist jedoch ge pr gt durch ein kompliziertes Ineinandergreifen verschiedener Regelungsmaterien wel che die rechtliche Einordnung des Providers im Einzelfall erschweren und zu nicht un erheblicher Rechtsunsicherheit in diesem Bereich beitragen Dies zeigt sich insbesonde re am Beispiel der Anwendbarkeit des TKG auf Internet Provider welche wegen der Haftungsregelung des 7 TKV aF bzw 44a TKG praktisch bedeutsam werden kann F Endergebnis dieses Gutachtens Verantwortungsverteilung und Anreizdefizite im nationalen Recht BB Beck scher TKG Kommentar Bock 109 TKG Rn 12 ff B4 So z B der BITKOM Stellungnahme zu BT Drucks 15 2316 vom 3 02 2004 abrufbar unter http www bitkom org files documents StN_BITKOM_TKG_Wirtschaftsausschuss_03 02 04 pdf Beck scher TKG Kommentar Bock 109 TKG Rn 2 Geppert Ruhle Schuster Handbuch Recht und Praxis der Telekommunikation Rn 777 kritisch wegen der unpr zisen Anforderungen in der TKSiV auch Beck scher TKG Kommentar Bock 109 TKG Rn 14 1315 Prof Dr Gerald Spindler 297 127 728 Die Verantwortungsverteilung im nationalen Recht f r die IT Sicherheit kann anhand der IT Wertsch pfungskette IT Hersteller IT Intermedi r IT Nutzer bzw Ersteller weiterer IT Dienstleistungen analysiert und differenziert werden 1316 Einheitliche Re gelungen oder ein bergreifender Ansatz zur Gew hrleistung einer grundlegenden IT Sicherhe
75. Angreifers bringen 1 Viren Bis heute hat sich in der Forschung keine einheitliche Definition f r den Begriff des Computervirus durchgesetzt Grunds tzlich werden unter Computerviren sich selbst vermehrende Computerprogramme verstanden Viren treten niemals alleine auf son dern ben tigen einen Wirt um ausgef hrt zu werden sich zu verbreiten und evtl vor handene Schadfunktionen auszuf hren Bei einem Wirt handelt es sich meist um aus f hrbare Dateien die von einem Virus infiziert wurden oder infiziert werden k nnen Als Wirt k nnen aber auch Programme dienen die Makros enthalten Durch Infekti on wird der Wirt so ver ndert dass mit seiner eigenen Ausf hrung auch die Funktionen des Virus ausgef hrt werden wobei Viren stets versuchen die eigene Existenz zu ver decken und gleichzeitig m glichst viele Wirte zu infizieren Zur Reproduktion und Verbreitung sind in jedem Fall Ressourcen des Rechners erforderlich Nicht selten ist dies sogar die einzige Schadfunktion Im Gegensatz zu Computerw rmern die sich autark verbreiten k nnen muss ein Anwender eine mit einem Virus infizierte Datei ausf hren damit der Virus sich weiter 103 verbreiten kann Die Verbreitung infizierter Dateien erfolgte vor der Verf gbarkeit von weltweiten Netzwerken wie dem Internet haupts chlich ber Wechseldatentr ger wie Disketten und CD ROMs Diese Verbreitungswege wurden jedoch nahezu kom plett durch
76. Angriff dar F r das Opfer er scheint es als w rde der Angriff von diesen Internetdiensten ausgehen der Ursprung des Angriffs ist durch diese Vorgehensweise praktisch nicht mehr ermittelbar DoS Situationen k nnen auch auf anderen Wegen als durch eine gezielte Attacke auf das be troffene System entstehen So k nnen Fehler in der Software zu einer berlastung des Systems f hren Weiterhin k nnen Sicherheitsl cken von Viren ausgenutzt werden um eine solche Situation herbeizuf hren so geschehen mit dem MSBlaster Wurm M gliche Gegenma nahmen Da die Absender der b swilligen Anfragen aufgrund der Struktur von Bot Netzen ber das gesamte Internet verteilt sind k nnen die b swilligen Anfragen nicht anhand ihrer Absenderadressen von regul ren Anfragen durch eine Fi rewall unterschieden und gesperrt werden Eine M glichkeit besteht darin die Anzahl der Anfragen pro Zeiteinheit und pro Absender zu begrenzen was zwar den DoS Angriff lindern w rde doch ggf auch regul re Anfragen behindern k nnte 152 Im Fall Anonymus Der neue hacker s guide 393 Kurose Ross Computer Networking S 649 Todd Distribu ted Denial of Service Attacks abrufbar unter http www linuxsecurity com resource_files intrusion_detection ddos faq html zuletzt abgerufen am 09 10 2006 Paxson An Analysis of Using Reflectors for Distributed Denial of Service abrufbar unter http www icir org vern papers reflectors CCR Ol r
77. Anordnung des R ckrufs zur R ck rufpflicht aufgrund von 823 BGB Abs 2 i V m 8 Abs 4 Nr 7 GPSG bzw 9 ProdSG aF vgl Bamberger Roth Spindler 823 BGB Rn 522 Etwa durch Reparatur oder Austausch des Produktes so OLG D sseldorf NIW RR 1997 1344 1345 OLG Karlsruhe NJW RR 1995 594 597 J Hager VersR 1984 799 800 Mayer DB 1985 319 320 G Hager AcP 184 1984 413 423 ff mit dem Hinweis dass auch in der Praxis so verfahren wird ausf hrlich Koch AcP 203 2003 603 ff OLG Stuttgart NJW 1967 572 zust OLG D sseldorf NJW RR 1997 1344 1346 BGH VersR 1971 80 81 BGHZ 80 199 203 NJW 1981 1606 BGH NJW 1994 517 518 f BGH NJW RR 1995 342 Abl deswegen wohl obiter dictum OLG M nchen NJW RR 1999 1657 Rev n angen BGH 27 5 1999 II ZR 103 98 Dietrich Produktbeobachtungspflicht und Schadenverh tungspflicht der Produzenten S 223 f abw Foerste in v Westphalen ProdHaftHdb 24 Rn 285 ausnahmsweise Kostenteilung OLG D sseldorf NJW RR 1997 1344 1345 OLG Karlsruhe NJW RR 1995 594 597 M nch KommBGB Wagner 823 BGB Rn 605 Staudinger Hager 823 BGB F Rn 26 G Hager AcP 184 1984 413 423 ff J Hager VersR 1984 799 802 Mayer DB 1985 319 320 Dietrich Produkt beobachtungspflicht und Schadenverh tungspflicht der Produzenten S 236 nur bei Gefahren f r Leib und Leben Schwenzer JZ 1987 1059 1063 Michalski BB 1998 961 965 Zutr Foerste
78. B technische Zu gangskontrollen Feuerschutz usw und bez glich der Hardware Wartung Betriebs schloss am Terminal usw vorzusehen Bei der Software sind Ansatzpunkte f r techni sche Sicherheitsvorkehrungen beispielsweise Kennwortverfahren programmierte Kon trollen sowie systemtechnische Zwangsl ufigkeiten Zu letzteren geh ren Zweiterfas sungen Zwangsprotokollierungen u Vorsorgema nahmen dienen der Vorbereitung von Schadensf llen und umfassen Backup Vereinbarungen bei Rechnerausfall Daten auslagerung f r den Fall der Zerst rung des Originaldatenspeichers und Datensicherung f r den Fall des Verlustes von Originaldaten Ebenso sind Eventualplanungen zu erstel len welche im Schadensfall konkrete Anwendung finden Hierzu geh ren u a Daten rekonstruktionsverfahren f r gesicherte Daten Wiederanlaufverfahren nach Systemab br chen und Backup Betrieb Diese Anforderungen entsprechen weitgehend den von Principle 8 des Rahmenkonzepts zu Internal Control Systems geforderten Kontroll und Vorsorgema nahmen 367 Im Hinblick auf ein Outsourcing nach 25a Abs 2 KWG ist zu beachten dass die Si cherheitsanforderungen vertraglich eindeutig festzulegen sind und das auslagernde In stitut die Einhaltung dieser Pflichten zu berwachen hat Au erdem m ssen je nach Bedeutung der ausgelagerten Bereiche Notfallpl ne f r den Ausfall oder die Schlecht leistung des externen Dienstleisters bestehen e Die Ma
79. BGB Rn 255 Foerste in v Westphalen ProdHaftHdB 24 Rn 38 41 Spindler Unternehmensorganisationspflichten S 803 805 CEN und CENELEC sind Vereine nach belgischem Recht ETSI ist ein Verein nach franz sischem Recht s dazu R thel in Marburger Technische Regeln im Umwelt und Technikrecht S 31 41 Siehe auch Europ ische Kommission Leitfaden f r die Umsetzung der nach dem neuen Konzept und dem Gesamtkonzept verfassten Richtlinien 2000 S 7 9 abrufbar unter http ec europa eu enterprise newapproach legislation guide document guidepublicde pdf R rhel in Marburger Technische Regeln im Umwelt und Technikrecht S 31 45 f Taupitz in Produktverant wortung und Risikoakzeptanz S 119 124 Wilrich Einleitung Rn 39 Ro nagel DVBl 1996 1181 1184 Spindler Unternehmensorganisationspflichten S 161 f mwN Siehe Taschner Frietsch Art 7 ProdHaft RL Rn 31 Es handelt sich bei diesen Sicherheitsanforderun gen gemeinschaftsrechtlichen Charakters um Mindestanforderungen auf EG Ebene Ihr Ziel ist in erster Linie die Herstellung des freien Warenverkehrs auf dem Gemeinsamen Markt durch Beseitigung technischer Handelshemmnisse Die Beseitigung von Gef hrdungen f r den Verwender technischer Ger Prof Dr Gerald Spindler 68 149 150 151 306 307 308 309 310 311 312 313 abschlie end definieren Auch die Einhaltung der in harmonisierten Normen niederge legten Sicherheitsa
80. Begr ndete Zweifel an der Richtigkeit von technischen Regeln z B wegen neuerer technischer Erkenntnisse zwingen zur 359 Aufkl rung des technischen Sachverhalts durch den Pflichtigen In hnlicher Weise verf hrt die sterreichische Rechtsprechung indem die normgerechte oder sonstigen technischen Standards entsprechende bliche Herstellungsart die Fehlerfreiheit des Produkts indizieren soll Zum Teil wird auch angenommen dass die Einhaltung von technischen Standards ge eignet ist den Pflichtigen von einem Verschulden zu entlasten auch wenn mitunter grunds tzliche Zweifel an der Objektivit t und Neutralit t privater Normierungsgremien Ausdr cklich OLG Celle NJW 2003 2544 Soergel Krause Anh III 823 BGB Rn 16 Foerste in v Westphalen ProdHaftHdB 24 Rn 41 Vieweg in Schulte Handbuch des Technikrechts S 362 Reiff in Marburger Technische Regeln im Umwelt und Technikrecht S 167 So Marburger Die Regeln der Technik im Recht S 464 Marburger VersR 1983 597 602 f Vgl BGH NJW 1987 372 Zinkspray f r Technische Regeln f r Druckgase TRG 300 vom Mai 1978 OLG Zweibr cken NJW 1977 111 f Marburger VersR 1983 597 600 Br ggemeier DeliktsR Tz 579 Foerste in v Westphalen ProdHaftHdb 24 Rn 41 Schmidt Salzer Produkthaftung Bd IIV 1 Rn 4 756 S dagegen als Negativbeispiel OLG Saarbr cken VersR 1997 377 378 f das DIN Normen praktisch als eine Art gesetzlic
81. Criteria v3 0 Rev 2 Teil 1 abrufbar unter http www bsi bund de cc CCMB2005V3T1 pdf Rn 6 Landesverordnung ber ein Datenschutzaudit Datenschutzauditverordnung DSAVO vom 3 4 2001 GVOBI Schleswig Holstein 4 2001 S 51 abrufbar unter http www datenschutzzentrum de guetesiegel index htm Dazu auch Simitis Bizer 9a BDSG Rn 33 ff Abrufbar unter http www datenschutzzentrum de Zum Anforderungskatalog siehe abrufbar unter http www datenschutzzentrum de download anford pdf Simitis Bizer 9a BDSG Rn 33 Hillenbrand Beck in Ro nagel Handbuch Datenschutzrecht Kap 5 4 Rn 4 Prof Dr Gerald Spindler 178 i Nicht ffentliche Stellen 429 838 BDSG enth lt eine explizite Aufsichtsregelung nicht ffentlicher Stellen f r den Bereich Datenschutz Nach den Landesregelungen werden ffentlich rechtliche Wett bewerbsunternehmen zwar den Pflichten der nicht ffentlichen Stellen aber der Auf sicht wie f r ffentliche Stellen unterworfen In den Aufgabenbereich fallen auch die technischen und organisatorischen Ma nahmen nach 9 BDSG Die Kompetenzen der Aufsichtsbeh rde reichen vom Auskunftsrecht ber die Betretung und Besichtigung von R umen bis hin zur Anordnung von technischen oder organisatorischen Ma nah men im Rahmen des 9 BDSG Die Kontrolle ist gem 38 Abs 1 Satz 1 BDSG an lassunabh ngig Nach 38 Abs 5 Satz 2 BDSG k nnen bei schwerwiegenden Verst en auch einzeln
82. Detection System sofern ein solches instal liert ist 55 3 Access Provider Der Access Provider speichert zun chst keine Informationen Seine Funktion ist nach 8 TMG vielmehr die Durchleitung von Informationen durch Kommunikationsnetze oder die Vermittlung des Zugangs zu fremden Informationen Die Verantwortlichkeit ist danach ausgeschlossen wenn der Provider die bermittlung der Information nicht ver anlasst und weder Adressat noch Information ausgew hlt sowie die Information nicht ver ndert hat Die blo e Bereitstellung von Einwahlknoten kennzeichnet gerade den sog Access Provider und ist deshalb als Zugangsvermittlung 1 S v 8 TMG anzuse 1286 hen Das TMG hat in diesem Zusammenhang den alten Streit beigelegt ob Access Provider berhaupt unter die Haftungsprivilegierungen fallen 57 Die bertragung von Schadprogrammen Malware oder manipulierten Paketen durch ein Kommunikationsnetz f llt demnach auch in den Anwendungsbereich des 8 TMG Nach 8 Abs 2 TMG ist auch die kurzfristige Speicherung der bermittelten In formation gestattet sofern sie nur zur bermittlung und nicht l nger als f r die ber mittlung blicherweise erforderlich erfolgt Im Gegensatz zu 9 TMG ist nur die sehr kurzfristige technisch notwendige Speicherung nicht das sog Caching von der Haftung freigestellt Es handelt sich bei den gespeicherten Informationen zudem um solche auf die der Nutzer keinen Zugriff hat
83. DuD 2006 215 219 Frankfurter Allgemeine Zeitung vom 11 7 2005 Trickbetr ger nehmen Internet Banking ins Visier und vom 10 3 2006 Angriffe auf Online Bankkunden nehmen sprunghaft zu S ddeutsche Zeitung vom 2 8 2006 S 2 Surfen am Abgrund Spiegel Online vom 24 9 2006 Phishing und Pharming Die Be drohung w chst abrufbar unter http www spiegel de netzwelt technologie 0 1518 438677 00 html zu letzt abgerufen am 06 06 2007 Prof Dr Gerald Spindler 243 575 576 se misst der weit berwiegenden Zahl der fehlerfrei durchgef hrten Online Gesch fte wegen der Unsicherheit des Passwortschutzes keine entscheidende Bedeutung bei Da wie ausgef hrt auch das PIN TAN Verfahren ohne Medienbruch in erheblichem Umfang anf llig f r Aussp hen ist d rften hier keine anderen Grunds tze gelten c Sicherungsverfahren mit Medien bruch Gegenw rtig kann der erforderliche hohe Sicherheitsstandard zur Bejahung eines Anscheinsbeweises allenfalls dort bejaht werden wo Sicherungssysteme mit Medienbruch s Rn 513 Verwendung finden Bei Verwendung eines TAN Generators kann eine ausgesp hte TAN wegen deren Verkn pfung mit der konkreten Transaktion des Bankkunden technisch nicht f r eine andere missbr uchliche Transaktion verwendet werden Bei bermittlung der TAN und Best tigung der bermittelten Transaktionsdaten durch eine SMS auf das Mobiltelefon des Bankkunden mTAN gelangt di
84. Hebeb hne zust Foerste in v Westphalen ProdHaftHdb 21 Rn 122 S bereits Buchner Die Bedeutung des Rechts am eingerichteten und ausge bten Gewerbebetrieb f r den deliktsrechtlichen Unternehmensschutz S 109 163 f Taupitz Haftung f r Energieleiterst rungen durch Dritte S 120 So M nchKommBGB Mertens 3 Aufl 1997 823 BGB Rn 113 f 491 Zeuner FS Flume Bd I S 775 778 f krit dagegen M nchKommBGB Wagner 823 BGB Rn 116 Vgl Str mer Online Recht S 108 f Ernst JuS 1997 776 778 dazu auch Roggenkamp jurisPR ITR 8 2006 Anm 4 Zur Problematik von Online Demonstrationen AG Frankfurt M MMR 2005 863 ff Strafrechtliche Verantwortlichkeit f r die Aktion Lufthansa goes offline Kraft Meister MMR 2003 366 ff Klutzny RDV 2006 50 ff Prof Dr Gerald Spindler 286 696 697 1269 1270 1271 1272 1273 dings nicht gegen den IT Intermedi r da dieser nur den vertraglich geschuldeten Posteingang sicherzustellen hat und keine dar ber hinausgehenden deliktsrechtlich relevanten Sicherheitserwartungen beim Nutzer geweckt hat und zudem 44a TKG eingreifen w rde Besonderheiten gegen ber den bekannten Anspr chen bei Kampag 1271 nen gegen ein Unternehmen ergeben sich dadurch nicht Ebenso kann der Einbruch von Hackern in eine auf einem Rechner des IT Intermedi rs gehostete Web Seite eines Unternehmens und deren Unbrauchbarma chung dazu
85. Hopt Schimansky S 178 f Erfurth WM 2006 2198 2201 Recknagel Vertrag und Haftung beim Internet Banking S 225 Spindler in Hadding Hopt Schimansky S 179 Recknagel Vertrag und Haftung beim Internet Banking S 225 f im Ergebnis ebenso Erfurth WM 2006 2198 2201 Prof Dr Gerald Spindler 224 heit des betreffenden Problems und der wirtschaftlichen und technischen Zumutbar keit m glicher Schutzma nahmen zu unterscheiden haben Soweit es zur Abwehr von Phishing Versuchen darum geht keine verd chtigen E Mails zu beantworten keine in E Mails eingebetteten Link anzuklicken keine unbekannten Anh nge zu ffnen usw wird man ein entsprechendes Nutzerverhalten nach geh riger Aufkl rung durch die Bank als zumutbar ansehen k nnen unten Rn 538 Problematischer ist es dagegen den Kunden zu bestimmten Einstellungen des Browsers oder der Firewall zu verpflichten unten Rn 535 In der Praxis wird sich eine Pflichtverletzung des Kunden nur durch eine Gesamtw rdigung aller Umst nde im Einzelfall feststellen lassen Pflicht zur Sicherung des pri vaten Computers 535 Hinsichtlich der Sicherung des privaten Computers wird man auch beim Online Banking Kunden gegen ber den oben Rn 280 ff entwickelten allgemeinen Pflichten zum Einsatz von Virenscannern und Systemupdates kein Mehr verlangen k nnen Der BGH hatte in seiner Dialer Entscheidung eine Pflicht des privaten Nutzers zur 1036 was indessen auf
86. IT Riskmanagement von den individuellen Faktoren Prof Dr Gerald Spindler 263 des jeweiligen Unternehmens wie Art Umfang Komplexit t und Risikogehalt des Gesch ftsbetriebs abh ngen 1 Betrachtete Normen 632 Im Folgenden soll deshalb bersichtshalber versucht werden die bisher dargestellten Ergebnisse kompakt zusammenzufassen In die bersicht einbezogen werden 91 Abs 2 AktG sowie 43 GmbHG f r Unternehmen einer bestimmten Organisationsform 25a KWG f r Kredit und Finanzleistungsinstitute 33 Abs 1 WpHG dessen Adres saten Kreditinstitute und Wertpapierhandelsunternehmen sind die einschl gigen Nor men des Sarbanes Oxley Act f r in den USA b rsennotierte Unternehmen sowie das Datenschutzrecht insbesondere BDSG und TMG sowie 109 TKG f r Telekommuni kationsdiensteanbieter Etwas au erhalb dieses Systems stehen schlie lich die nur mit telbar wirkenden Pflichten die Basel I impliziert 2 Gemeinsame Pflichten 633 Am deutlichsten zeigen sich die Gemeinsamkeiten in der Regelungstechnik bei 91 Abs 2 AktG bzw 43 GmbHG 25a KWG sowie 33 Abs 1 WpHG Ihnen allen zugrun de liegt eine bestimmte Form des IT Riskmanagements Dies beinhaltet jedenfalls eine mindestens rudiment re einmalige Risikoanalyse sowie eine Organisation die dauer haft die Gefahrenerkennung erm glicht und Verantwortlichkeiten dergestalt festlegt dass auf Gefahrensituationen angemessen reagiert werden kann Diese Pflichten l
87. Kza 1520 S 47 f Zu Ausnahmen im Werkvertragsrecht vgl BGH NJW RR 2004 782 Die Herausgabepflicht beurteilt sich nach den Umst nden des Einzelfalls Neben der H he des vereinbarten Werklohns kann dabei insbeson dere dem Umstand Bedeutung zukommen ob das Programm zur Vermarktung durch den Besteller erstellt wird und dieser zur ihm obliegenden Wartung und Fortentwicklung des Programms des Zugriffs auf den Quellcode bedarf BGH NJW 1987 1259 1259 LG M nchen I CR 1989 990 991 LG K ln CR 2003 484 grunds tzlich bergabe des Quellcodes weder bei Individual noch bei Standardsoftware Leis tungspflicht des Herstellers LG K ln CR 2000 505 NIJW RR 2001 1711 Herausgabe bei Individual software wenn kein Wartungsvertrag besteht OLG Karlsruhe CR 1999 11 Herausgabepflicht wenn Dokumentation zur Bedienung und Wartung geschuldet ist abl f r Standardsoftware OLG M nchen CR 1992 208 209 ohne Vereinbarung grunds tzlich keine Herausgabe des Quellcodes Schneider CR 2003 317 318 Ernst MMR 2001 208 211 Schneider Handbuch des EDV Rechts A Rn 90 ff 99 H Rn 24 f 76 ff J Rn 328 Brandi Dohrn Gew hrleistung bei Hard und Softwarem ngeln S 32 f auf den Einzelfall abstellend K hler Fritzsche in Lehmann Rechtsschutz und Verwertung von Com putersoftware Kap XII Rz 146 f Seffer Horter ITRB 2005 169 Conrad ITRB 2005 12 Hoeren CR 2004 721 ebenso wohl Marly Software berlassungsvertr ge Rn 64 f
88. M nchen 2003 zitiert Ernst Vertragsgestaltung im Inter net Ernst Stefan Hrsg Hacker Cracker und Computerviren Recht und Praxis der Informationssicher heit K ln 2004 Bearbeiter in Ernst Hacker Cracker amp Computerviren Ertl Gunter Zivilrechtliche Haftung im Internet in CR 1998 179 185 Faber Wolfgang Elemente verschiedener Verbraucherbeg riffe in EG Richtlinien zwischen staatlichen bereinkommen und na tionalem Zivil und Kollisionsrecht in ZeuP 1998 854 892 Falke Josef Rechtliche Aspekte der Normung in den EG Mitgliedsstaaten und der EFTA Prof Dr Gerald Spindler XV Luxemburg 2000 Faustmann J rg Der deliktische Datenschutz in VuR 2006 260 263 Fervers Martin Die Haftung der Banken bei automatisier ten Zahlungsvorg ngen In WM 1988 1037 1044 Feuerich Wilhelm E Weyland Dag Bundesrechtsanwaltsordnung 6 Auflage M nchen 2003 zitiert Feuerich Weyland Bearbeiter Finke Katja Die Auswirkungen der europ ischen tech nischen Normen und des Sicherheitsrechts auf das nationale Haftungsrecht M nchen 2001 Fischer Hartmut Die rechtliche Bedeutung technischer Normen im Telekommunikationsbe reich in RDV 1995 221 230 Fleischer Holger Vorstandsverantwortlichkeit und Fehlver halten von Unternehmensangeh ri gen Von der Einzel ber
89. Ma nahmen ergreifen k nnen trifft den hierf r obliegt dem Gesch digten b Selbstschutzpflichten Der Pflicht zur Erfassung der Risiken und der Einleitung von Ma nahmen zur Problem bew ltigung entspricht die allgemeine Pflicht des Softwarebenutzers zum Selbst schutz So k nnte der IT Anwender gehalten sein die allgemein blichen Vorkeh rungen zum Viren und Wurmschutz zu treffen indem er Virenscanner bei sich einsetzt 605 und auf dem Laufenden h lt Die Missachtung dieser etwaigen Pflichten w rde folge richtig ein Mitverschulden gem 254 BGB begr nden So BGH VersR 1960 526 527 Vgl BGH VersR 1964 950 951 Staudinger Schiemann 254 BGB Rn 76 M nchKommBGB Oetker 254 BGB Rn 70 BGH VersR 1953 14 Lange Schiemann Schadensersatz 10 IX 2 Hier gelten spiegelbildlich die Anforderungen wie zu den Warnpflichten des Herstellers Allein das Be kanntwerden in einschl gigen Fachkreisen oder EDV Zeitschriften gen gt nur bei Nutzern mit einschl gigen Kenntnissen oder EDV Abteilungen BGH NJW 1989 290 292 BGH VersR 1996 380 381 BGH DB 1956 110 f Palandt Heinrichs 254 BGB Rn 74 hnl v Westphalen PHI 1998 222 223 Burg Gimnich DRiZ 2003 381 384 f G nther Produkthaftung f r Informationsg ter 303 f Schnei Prof Dr Gerald Spindler 134 317 318 319 606 607 608 609 Zur Feststellung einer solchen Pflicht zum Selbstschutz sind die
90. Nachweis dass ein priva ter Nutzer unter Verletzung von Sorgfaltspflichten einen E Mail Anhang ge ffnet und so die Installation eines Virus oder Trojaners erm glicht hat wird daher nur schwer zu f hren sein M glich w re hier aber eine Untersuchung des Computers des Sch digers auf dem sich die E Mail noch befindet Hierzu kann das Gericht die Vorlage des Com puters zur Einnahme des Augenscheins und sowie zur Begutachtung durch einen Sach verst ndigen anordnen 144 Abs 1 Satz 2 371 Abs 2 ZPO Ebenso kann so im Einzelfall das Vorhandensein und die regelm ige Aktualisierung des Virenschutzes berpr ft werden Dies hilft aber dann nicht weiter wenn der Rechner neu aufgesetzt wurde oder gar keine Protokolle ber die Aktualisierung des Betriebssystems oder des Virenschutzes gef hrt wurden Nur in F llen der Beweisvereitelung kann die Behaup 620 621 622 Palandt Sprau 823 BGB Rn 80 Bamberger Roth Spindler 823 BGB Rn 280 S dazu auch Mankowski in Ernst Hacker Cracker amp Computerviren Rn 510 513 F r die Verletzung von Immaterialg terrechten enth lt 14 Abs 2 TMG eine Sonderregelung Prof Dr Gerald Spindler 139 329 330 623 624 625 626 627 tung des Gesch digten gem 371 Abs 3 ZPO als bewiesen angesehen werden Beim Beweis des Mitschuldens des Gesch digten stellen sich spiegelbildlich diesel ben Probleme denn die hM und st ndige Rechtsprechung b rden dem Sch diger
91. Regeln der Technik im Recht K ln Bonn Berlin M nchen 1979 Marburger Peter Die haftungs und versicherungsrechtliche Bedeutung technischer Regeln in VersR 1983 597 608 Marburger Peter Produktsicherheit und Produkthaftung in Ahrens Hans J rgen v Bar Christi an Fischer Gerfried Spickhoff Andreas Taupitz Jochen Hrsg Festschrift f r Erwin Deutsch zum 70 Geburtstag K ln Berlin Bonn M nchen 1999 271 289 Marburger Peter Grundsatzfragen des Haftungsrechts unter dem Einflu der gesetzlichen Rege lungen zur Produzenten und zur Umwelthaftung in AcP 192 1992 1 34 Marly Jochen Software berlassungsvertr ge 4 Auflage M nchen 2004 Mathis Klaus Effizienz statt Gerechtigkeit 2 Auflage Berlin 2006 Prof Dr Gerald Spindler XXXVIII Maul Silja Lanfermann Georg Europ ische Corporate Governance Stand der Entwicklungen in BB 2004 1861 1868 Mayer Kurt Produkthaftung und Gefahrbeseitigungs anspruch Stichwort R ckruf pflicht in DB 1985 319 326 Medicus Dieier B rgerliches Recht 20 Auflage K ln Ber lin Bonn M nchen 2004 zitiert Medicus B rgerliches Recht Meier Klaus Wehlau Andreas Die zivilrechtliche Haftung f r Datenl schung Datenverlust und Datenzer st rung in NJW 1998 1585 1591 Meier Klaus Wehlau Andreas Produzentenh
92. Regelungsumfangs zur IT Sicherheit in kritischen Infra strukturen 2005 abrufbar unter http www bsi de fachthem kritis Regelungsumfang_ITSich_KRITIS pdf Sonntag IT Sicherheit kriti scher Infrastrukturen 2005 Dazu mit weiteren Zahlenmaterial und Nachweisen Heckeroth DB 1999 702 703 Wohlgemuth MMR 1999 59 59 Hohmann NJW 1999 521 521 Heussen Damm BB 1999 481 482 Bartsch Software und das Jahr 2000 Haftung und Versicherungsschutz f r ein technisches Gro problem S 1 ff Stretz in v Westphalen Langheid Streitz Der Jahr 2000 Fehler Rz 1 82 ff aus der schweizerischen Literatur Rigamonti SJZ 1998 430 431 ff R Weber Informatik und das Jahr 2000 1998 S 19 ff St rf lle im Internet nehmen zu Beitrag von Th Stollberger des Online Nachrichtenservices Verivox v 18 11 2004 abrufbar unter http www verivox de news ArticleDetails asp PM 1 amp aid 2542 zuletzt abgerufen am 26 09 2006 Prof Dr Gerald Spindler 11 oder Viren werfen die Frage nach der Pflichtenlage Verantwortlichkeit und Haftung im geltenden Recht der an der Herstellung dem Einsatz und der Nutzung von IT Produkten Beteiligten auf angefangen beim Hersteller ber die IT Intermedi re die sowohl IT Produkte einsetzen als auch selbst wiederum Dienstleistungen erbringen wie etwa die Provider Host Access Provider bis hin zu den IT Anwendern die ihrerseits bestimmten Pflichten unterliegen 4 Aber auch aus rechtsp
93. Rn 294 ff Entfernungsanleitungen Removal tools die einen Eingriff in System komponenten z B die Beendigung von Systemdiensten oder die Bearbeitung von Sys temdatenbanken registries erfordern k nnen durch den Durchschnittsnutzer gerade 563 564 565 Dazu schon Spindler JZ 2004 1128 1129 zust Kind Werner CR 2006 353 355 S u Rn 63 ff Dazu auch Ernst CR 2006 590 593 Prof Dr Gerald Spindler 124 291 292 293 566 567 nicht befolgt werden Problematisch sind auch L sungen die eine st ndige Aufmerk samkeit des Nutzers erfordern Diese kann verlangt werden sofern auch komplizierte Vorg nge f r den Nutzer einfach erkl rt werden k nnen und die Handlungsm glichkei ten deutlich und eindeutig sind Sofern allerdings der Nutzer die Bewertung von Sys temeinstellungen oder Netzwerkaktionen vornehmen muss diese h ufig notwendig werden und Entscheidungen bzw Einstellungen die Sicherheit des gesamten Systems kompromittieren k nnen also im Grunde ein IT Experte eingesetzt werden m sste kann dies nicht von einem Durchschnittsnutzer verlangt werden Es ist jedoch zumutbar ein entsprechendes Programm zu installieren das Schutzma nahmen bereitstellt sofern es die genannten Kriterien der Einfachheit erf llt b Wirtschaftliche Zumutbarkeit Zwischen technischer und wirtschaftlicher Zumutbarkeit besteht ein enger sachlicher Zusammenhang Wirtschaftlich zumutbar ist die Ergreifu
94. Schneider ITRB 2005 19 M nch KommAktG Hefermehl Spindler 91 AktG Rn 14 ff mwN Begr RegE BT Drucks 13 9712 15 Zimmer Sonneborn in Lange Wall 1 Rn 181 H ffer 91 AktG Rn 7 Stober D V 2005 333 334 Ausf hrlicher dazu Spindler in Fleischer Handbuch des Vorstandsrechts 19 Rn 25 47 Spindler Unternehmensorganisationspflichten 2001 Prof Dr Gerald Spindler 143 338 339 635 636 637 638 639 640 641 642 sens 25a KWG zu beachten Insbesondere beinhaltet 91 Abs 2 AktG demnach eine einfache Organisationsanforderung und schreibt nicht etwa ein allgemeines Risi komanagement vor Zu berwachen sind etwa risikotr chtige Zust nde oder Entwick lungen und die Einhaltung der eingeleiteten Ma nahmen ob also das Veranlasste um gesetzt wird und Innenrevision und Controlling die von ihnen gewonnenen Kenntnisse zeitnah dem Vorstand weiterleiten Die Vorstandsmitglieder der AG haften insofern ge samtschuldnerisch gem 93 Abs 2 S 1 AktG f r die Einrichtung geeigneter Ma nah men insbesondere eines berwachungssystems zur Fr herkennung bestandsgef hr dender Entwicklungen Entwicklungen sind hier Ver nderungen und Prozesse wobei zur Erkennung von Ver nderungen die Erfassung des Ist Zustandes und eine Risikoabsch tzung unerl sslich sind Nicht jede nachteilige Entwicklung muss fr hzeitig erkannt werden Vielmehr bezieht sich 91 Abs 2 AktG lediglich auf
95. Si cherheit des Produktes Ma geblich sind die Erkenntnisse die zum Zeitpunkt der erfor derlichen Gefahrenabwehr verf gbar waren In diesem Rahmen stellen ffentlich rechtliche Vorschriften und Regelwerke privater Gremien wie DIN Normen zwar wichtige aber keineswegs abschlie ende Konkretisierungen des Standes der Technik im zivilrechtlichen Sinne dar da im Einzelfall eine h here Sicherheit erforderlich sein mag oder die technische Entwicklung die Normen berholt hat Der Hersteller muss selbstverantwortlich pr fen welche Gefahren entstehen k nnen So binden die Si cherheitsanforderungen nach dem Gesetz ber technische Arbeitsmittel und Verbrau cherprodukte GPSG oder den jeweiligen Produktsicherheitsrichtlinien als Mindest 27 28 29 S auch OLG Frankfurt NJW RR 1995 406 Foerste in v Westphalen ProdHaftHdb 24 Rn 84 ff Schmidt Salzer Produkthaftung Bd IV 1 Rn 4 1113 f Kullmann Pfister Kullmann Produzentenhaftung Kz 1520 S 4 f diff Br ggemeier WM 1982 1294 1302 Insbes bei uneinheitlichen Verbrauchererwartungen wie z B bei Kopfst tzen ABS Bremssysteme oder Airbags in KfZ vgl Foerste in v Westphalen ProdHaftHdb 24 Rn 89 ff Schmidt Salzer Produkt haftung Bd IN 1 Rn 4 675 ff hnl Hollmann DB 1985 2389 2392 Schlechtriem VersR 1986 1033 1036 abl gegen ber dem Kriterium der Verbrauchererwartung M llers Rechtsg terschutz im Umwelt und Haftungsr
96. Stelle berpr ft wird anzuordnen dass geeignete klare und leicht verst ndliche Warnhinweise ber Ge f hrdungen die von dem Produkt ausgehen angebracht werden das Inverkehrbringen eines Produkts f r den zur Pr fung zwingend erforderlichen Zeitraum vor bergehend zu verbieten 518 Z B T V VDE Siehe die Liste der zugelassenen Stellen unter http www zls muenchen de Prof Dr Gerald Spindler 110 253 254 519 520 521 zu verbieten dass ein Produkt das nicht den Anforderungen nach 4 Abs 1 und 2 entspricht in den Verkehr gebracht wird die R cknahme oder den R ckruf eines in Verkehr gebrachten Produkts das nicht den Anforderungen nach 4 GPSG entspricht anzuordnen ein solches Produkt sicherzustellen und soweit eine Gefahr f r den Verwender oder Dritten auf andere Weise nicht zu beseitigen ist seine unsch dliche Beseitigung zu veranlassen anzuordnen dass alle die einer von einem in Verkehr gebrachten Produkt ausge henden Gefahr ausgesetzt sein k nnen rechtzeitig in geeigneter Form insbesonde re durch den Hersteller auf diese Gefahr hingewiesen werden selbst die ffentlichkeit warnen wenn andere ebenso wirksame Ma nahmen ins besondere Warnungen durch den Hersteller nicht oder nicht rechtzeitig getroffen werden Bei allen Ma nahmen der Beh rden gilt aus Gr nden der Verh ltnism igkeit das Prin zip des Vorrangs von Eigenma nahmen der f r das
97. Stromann BB 2003 2223 2223 ff Hierzu Luttermann BB 2003 745 745 Gruson Kubicek AG 2003 337 337 ff und AG 2003 393 393 ff Arbeitskreis Externe und Interne berwachung der Unternehmen der Schmalenbach Gesellschaft f r Betriebswirtschaft e V BB 2004 2399 2399 ff zu den Auswirkungen auf den Berufs stand der Wirtschaftspr fer ausf hrlich Hilber Hartung BB 2003 1054 1054 ff Lenz BB 2002 2270 2270 ff Keller Schl ter BB 2003 2166 2166 ff Prof Dr Gerald Spindler 156 367 368 369 Zum einen m ssen die CEO und CFO eines Unternehmens nach Section 302 Disclosu re Controls and Procedures durch die Einrichtung eines internen Kontrollsystems si cherstellen dass alle relevanten Informationen korrekt erfasst verarbeitet und fristge recht ver ffentlicht werden und in einer eidesstattlichen Erkl rung die korrekte und vollst ndige Darstellung der finanziellen Situation testieren Auf diese Weise wird die Verantwortlichkeit des Vorstands f r Unternehmensberichte verst rkt und die Ein richtung von Offenlegungskontrollen und Offenlegungsverfahren verlangt Zum anderen verpflichtet Section 404 Internal Control over Financial Reporting das Management ein internes Kontrollsystem zur Sicherstellung einer effektiven Finanzbe richterstattung zu etablieren DEO und DFO m ssen einen Prozess einrichten der die Ordnungsm igkeit der Finanzberichterstattung und somit eine den
98. Unternehmens verwehrt wird Die wertpapierhandelsrechtlichen Organisationsvorschriften verlangen au erdem 904 905 906 907 908 909 910 911 912 Schwark Schwark 33 WpHG Rn 4 Assmann Schneider Koller 33 WpHG Rn 50 Balzer WM 2001 1533 1539 Assmann Schneider Koller vor 31 WpHG Rn 17 BGH v 8 5 2001 XI ZR 192 00 BB 2001 1865 1867 K mpel Wertpapierhandelsgesetz S 162 Schwark Schwark vor 31 WpHG Ra 9 Lang WM 2000 451 456 Balzer WM 2001 1533 1540 Hopt ZHR 159 1995 135 161 Spindler Unternehmensorganisationspflichten S 828 Arendts BA 1996 775 780 Assmann Schneider Koller 33 WpHG Rz 1 Balzer WM 2001 1533 1540 Schwark Schwark 33 WpHG Rn 4 Assmann Schneider Koller 33 WpHG Rn 1 Assmann Schneider Koller 33 WpHG Rn 1 F r Direktbanken Balzer WM 2001 1533 1540 f Balzer ZBB 2000 259 264 Assmann Schneider Koller 33 WpHG Rn 1 Balzer WM 2001 1533 1539 Assmann Schneider Koller 33 WpHG Rn 9 Prof Dr Gerald Spindler 194 458 913 914 915 916 917 918 919 Vorkehrungen im Hinblick auf Systemausf lle und st rungen Die Wertpapierdienstleistungsunternehmen haben hierzu Vorkehrungen zu treffen die eine rasche Behebung technischer Fehler erm glichen sowie ggf Ersatzkapazit ten zu reservieren Auch die Richtlinie gem 35 Abs 6 WpHG zur Konkretisierung der Organisationspflichten von
99. Vertrag und Haftung beim Internet Banking M nchen 2005 zitiert Recknagel Vertrag und Haftung beim Internet Banking Redeker Helmut Softwareerstellung und 651 Die typi schen Vertragsgestaltungen verlan gen differenzierte Ergebnisse in CR 2004 88 91 Redeker Helmut Wer ist Eigent mer von Goethes Wer ther in NJW 1992 1739 1740 Prof Dr Gerald Spindler XLV Redeker Helmut Gesch ftsabwicklung mit externen Rech nern im Bildschirmtextdienst in NJW 1984 2390 2394 Reese J rgen Produkthaftung und Produzentenhaftung f r Hard und Software in DStR 1994 1121 1127 Reil nder Frank Weck Gerhard Datenschutzaudit nach I Grundschutz Konvergenz zweier Welten in DuD 2003 692 695 Reinicke Dietrich Tiedtke Klaus Kaufrecht 7 Auflage M nchen 2004 Reiser Cristof Werner Stefan Rechtsprobleme des Zahlungsverkehrs im Zusammenhang mit EDIFACT in WM 1995 1901 1908 Rigamonti Cyrill P Das Jahr 2000 Computer Problem Ein Rechtsproblem in SJZ 1998 430 434 Roggenkamp Jan Dirk Massenhafter Versand von Werbe E Mails Anmerkung zu Anm zu OLG D s seldorf Urt v 24 5 2006 I 15 U 45 06 jurisPR ITR 8 2006 Anm 4 Rolland Walter Produkthaftungsrecht Kommentar M n chen 1990 R nck R diger Technische Normen als Gestaltungsmittel der europ isch
100. Wilrich 6 GPSG Rn 7 Finke Die Auswirkungen der europ ischen technischen Normen und des Sicherheitsrechts auf das natio nale Haftungsrecht S 89 Wilrich 4 GPSG Rn 26 93 465 EWG Beschluss des Rates vom 22 Juli 1993 ber die in den technischen Harmonisierungsricht linien zu verwendenden Module f r die verschiedenen Phasen der Konformit tsbewertungsverfahren und die Regeln f r die Anbringung und Verwendung der CE Konformit tskennzeichnung ABl EG Nr L 220 vom 30 8 1993 S 23 Modulbeschluss Entspricht ein Qualit tssicherungssystem den Organsationsnormen EN 29000ff ISO 9000ff wird vermutet dass die Anforderungen an ein ordnungsgem es Qualit tssicherungssystem erf llt sind siehe Modulbeschluss 93 465 EWG Fn 512 Modul D 3 3 Modul E 3 3 Kaufmann DB 1994 1033 1034 Ro nagel DVBl 1996 1181 1183 Finke Die Auswirkungen der europ ischen technischen Normen und des Sicherheitsrechts auf das nationale Haftungsrecht S 90 206 Siehe http www zls muenchen de Siehe http www zlg de Klindt 7 GPSG Rn 1 Prof Dr Gerald Spindler 109 251 252 cherheit und wird auf Antrag des Herstellers durch eine von der Zentralstelle der L n der f r Sicherheitstechnik ZLS anerkannte GS Stelle 11 GPSG f r technische Arbeitsmittel und verwendungsfertige Gebrauchsgegenst nde vergeben Voraussetzung der Zertifizierung ist der Nachweis der bereinstimmung des gepr ften Prod
101. all gemein bekannt ist und die ohne spezielles Fachwissen eingesetzt werden k nnen Dies zeigt sich auch an der Anlage zu 9 BDSG nach der auf die Art der zu sch tzenden Daten eingegangen werden muss Im Einzelfall also z B bei Gefahren die sich bereits im konkreten Fall gezeigt haben wird dem Anwalt aber auch die Beiziehung von Fachpersonal zur Absicherung abverlangt werden k nnen Der Anwalt muss aller dings nicht mit Kanonen auf Spatzen schie en 67 f r u erst unwahrscheinliche Be http www brak de seiten pdf Stellungnahmen 2004 StnBDSinKanzleien pdf S 3 unter Verweis auf BAG NJW 1998 2466 ebenso R pke AnwBl 2004 552 552 f Abel in Ro nagel Handbuch Datenschutzrecht 7 11 Rn 28 f R pke AnwBl 2004 552 555 die BRAK hat Vorschl ge zur Konkretisierung des 43a Abs 2 BRAO zur Erweiterung auch auf technische Organisationspflichten gemacht Stellungnahme der BRAK abrufbar unter http www brak de seiten pdf Stellungnahmen 2004 StnBDSinKanzleien pdf 6 zuletzt abgerufen am 06 06 2007 Feuerich Weyland Feuerich 73 BRAO Rn 42 Abel in Ro nagel Handbuch Daten schutzrecht Kap 7 11 Rn 38 Dazu auch Sch ttle Anwaltliche Rechtsberatung via Internet S 39 ff Abel in Ro nagel Handbuch Datenschutzrecht Kap 7 11 Rn 28 Gola Schomerus 9 BDSG Rn 7 Prof Dr Gerald Spindler 255 605 606 607 drohungsszenarien m ssen keine aufw ndigen und dementsprech
102. auch schon strittig ob Software berhaupt zu den von der 178 t Verbrauchsg terkaufrichtlinie erfassten Produkten z hlt denn hier schl gt sich wie Schmidt Prie in Spindler B rner S 175 Palandt Heldrich EGBGB Art 27 Rn 6 BGH NJW RR 2005 1071 1072 BGHZ 123 380 383 Staudinger Hausmann BGB 2002 Art 31 EGBGB Rn 72 Palandt Heldrich Art 31 EGBG R n 1 3 Art 27 EGBGB Rn 8 Bamberger Roth Spickhoff Art 31 EGBGB Rn 6 ff Erman Hohloch Art 27 EGBGB Rn 12 16 Art 31 EGBGB Rn 6 8 Tiedemann IPRax 1991 424 425 Mankowski RIW 2003 2 4 ausf hrlich Heiss RabelsZ 65 2001 634 635 ff R hl Rechtswahlfreiheit und Rechtswahlklausel in Allgemeinen Gesch ftsbedin gungen 1999 M nchKommBGB Martiny Art 27 EGBGB Rn 13 mwN Palandt AHeldrich Art 31 EGBGB Rn 3 Looschelders Internationales Privatrecht Art 31 Rn 9 schon vor der Reform Meyer Sparenberg RIW 1989 347 350 Grundmann IPrax 1992 1 2 abw nur Heiss RabelsZ 65 2001 634 636 ff der sich f r allgemeine Missbrauchskontrollen ausspricht Begr Reg E BT Drucks 10 504 S 95 Aus der umfangreichen Diskussion dazu Mankowski MDR 2003 854 ff Spindler Kl hn CR 2003 81 Prof Dr Gerald Spindler 47 103 179 180 181 182 183 derum die alte Diskussion um die Sacheigenschaft von Software nieder s dazu Rn 103 Bislang ist diese Frage von der Rechtsprechung nicht entschieden worden sinn voller
103. auf Schadenser satz Welche Anforderungen die Rechtsprechung an die Ersch tterung des Anscheinsbewei ses stellt bleibt der freien richterlichen Beweisw rdigung im Einzelfall berlassen Denkbar ist dass die Rechtsprechung die Anforderungen an die Ersch tterung des An scheinsbeweises wegen der andauernden Diskussion ber die Sicherheit des Online 1143 d Banking relativ niedrig ansetzen wir Dies erscheint zumindest dann interessenge recht wenn man entgegen der hier vertretenen Auffassung einen Anscheinsbeweis bei BGH NJW 1991 230 231 Borges NIW 2005 3313 3317 Karper DuD 2006 215 218 Musielak Foerste 286 ZPO Rn 23 M nchKommZPO Pr tting 286 ZPO Rn 64 Thomas Putzo Reichold 286 ZPO Rn 13 Z ller Greger Vor 284 ZPO Rn 29 Neumann Bock Zahlungsverkehr im Internet Rn 180 184 ff BGH NJW 1991 230 231 Z ller Greger Vor 284 ZPO Rn 29 Stein Jonas Leipold 286 ZPO Rn 98 M nchKommZPO Pr tting 286 ZPO Rn 64 Neumann Bock Zahlungsverkehr im Internet Rn 184 f BGH NJW 1969 277 Stein Jonas Leipold 286 ZPO Rn 98 So auch die Einsch tzung von Neumann Bock Zahlungsverkehr im Internet Rn 186 Kind Werner CR 2006 353 359 Prof Dr Gerald Spindler 246 582 1144 1145 1146 1147 1148 Sicherungssystemen ohne Medienbruch bef rwortet Das LG Stralsund sah den An scheinsbeweis f r die Richtigkeit einer Telefonrechnung dadurch als ersch t
104. bei der Projektsteuerung und Projektrisiken Vgl hierzu Schneider Handbuch des EDV Rechts Kap E Rn 29 ff sowie im Zusammenhang mit AGB Kap EI Prof Dr Gerald Spindler 142 336 337 Gesch ftsleitung auch der GmbH zur Einrichtung eines Risikomanagements f r alle Gesch ftsfelder deutlicher in das Bewusstsein ger ckt teilweise noch durch eine dem deutschen Recht bislang fremde und nur in 130 OWiG verankerte Unterneh mensstrafbarkeit f r Organisationsm ngel Damit geh ren im Prinzip auch der Einkauf und die Implementation von Software zu dem Bereich dessen Risikopotentiale abge sch tzt und gesteuert werden m ssen b Pflichten und Adressat Die allgemeinen Anforderungen des 91 Abs 2 AktG verpflichten den Vorstand dazu f r eine Organisation und ein Managementsystem zu sorgen das m glichst fr hzeitig Risiken zu erkennen vermag die die Existenz des Unternehmens bedrohen k nnen Entsprechende Vorkehrungen m ssen sowohl durch Festlegung von Zust ndigkeiten als auch durch Verfahren getroffen werden So m ssen eindeutig Verantwortlichkeiten und Berichtswege bestimmt werden um zu verhindern dass keiner sich f r bestimmte Risi ken zust ndig f hlt ebenso muss klargestellt werden wann und wie die Gesch ftslei tung von bedeutsamen Vorf llen erf hrt um rechtzeitig darauf reagieren zu k nnen Verfahrensm ige Vorkehrungen bestehen oftmals aus Checklisten die einzuhalt
105. das Ausma an Selbst schutz und Schadensabwendungspflichten des Gesch digten im Rahmen von 254 BGB relevant f r die die zuvor er rterten Pflichten quasi spiegelbildlich herangezo gen werden k nnen Sch diger und Gesch digter sind im Grunde der gleichen Risikosi tuation ausgesetzt Setzen beide keine entsprechenden Schutzma nahmen ein so h ngt es lediglich vom Zufall ab welches System zuerst infiziert wird W hrend also grund s tzlich eine Verkehrspflicht zum Einsatz von Virenscannern besteht liegt eine gleich artige Pflicht nach 254 BGB vor Dabei kann die an sich von Gesetzes wegen vorgesehene Unterscheidung zwischen dem Mitverschulden des Gesch digten nach 254 Abs 1 BGB und seiner Schadensabwendungs und minderungspflicht nach 254 Abs 2 BGB offen bleiben da insoweit Einigkeit dar ber herrscht dass 254 Abs 2 BGB nur ei nen besonderen Anwendungsfall des allgemeineren 254 Abs 1 BGB darstellt vgl M inchKommBGB Oetker 254 BGB Rn 68 Palandt Heinrichs 254 BGB Rn 32 Lange Schiemann Schadensersatz 10 X 1 der Streit um die dogmatische Einordnung des 254 BGB n her dazu Greger NJW 1985 1130 ff spielt hier keine Rolle Spindler CR 2005 741 744 Schneider G nther CR 1997 389 394 Libertus MMR 2005 507 511 Koch NIW 2004 801 804 Schmidbauer abrufbar unter http www i4j at news aktuell36 htm iE Mankowsski in Ernst Hacker Cracker und Computerviren Rn 530 f Prof
106. den erfasst da eine Verletzung von Sicherungspflichten gleichzeitig eine Vertragsverletzung impli ziert 280 Abs 1 BGB Sicherungspflichten der Provider werden in aller Regel zu den freizeichnungsfesten Kardinalpflichten geh ren so dass die 8 10 TMG hier auch keine Leitbildfunktion im Sinne von 307 Abs 1 BGB entfalten 1 Vertragliche Verantwortlichkeit 662 F r Schadensersatzanspr che des Vertragspartners gegen seinen IT Intermedi r sind zun chst die jeweils abgeschlossenen vertraglichen Bestimmungen ma geblich sei es 21 Erw gungsgrund Nr 42 ECRL Spindler Schmitz Geis Spindler vor 8 TDG Rn 11 1222 Anders offenbar Schneider G nther CR 1997 389 391 die Haftungseinschr nkungen nach TDG MDStV ohne n here Begr ndung auch bei virenverseuchten Online Diensten annehmen 1223 Spindler Schmitz Geis Spindler vor 8 TDG Rn 25 Koch NJW 2004 801 805 f Pelz in Br uti gam Leupold Kap B I Rn 72 Dustmann Die privilegierten Provider 136 f Podehl MMR 2001 17 21 Schwarz Poll JurPC 73 2003 Rn 72 4 Spindler Schmitz Geis Spindler 8 TDG Rn 10 i E ebenso Christiansen MMR 2004 185 186 Prof Dr Gerald Spindler 273 663 1225 1226 1227 1228 1229 1230 1231 der Vertrag ber den Internetzugang ber die Nutzung der vom Provider angebotenen Dienste oder das Webhosting Allgemeine Aussagen ber die Verantwortlichkeit lassen sich hier aus Raumgr nden kaum tre
107. der Durchf h rung von Online Bankgesch ften Ob der Durchschnittskunde zur berpr fung der Sicherheitsmerkmale der Online Verbindung URL im Adress Feld Schloss Symbol und Zertifikatsinformationen verpflichtet ist 1045 erscheint fraglich 1046 Zum gegenw rtigen Zeitpunkt stellt das Wis sen um diese eigentlich einfach zu bewerkstelligenden Schutzma nahmen noch kein Allgemeingut des durchschnittlichen Internet Nutzers dar Jedenfalls wird man deshalb eine intensive Informationsarbeit der Banken verlangen m ssen um eine entsprechende Kundenpflicht bejahen zu k nnen Keine Pflichtverletzung des Bankkunden wird man 1047 047 Wie Szena zudem annehmen k nnen wenn die Bank wechselnde URLs verwendet rio 1 Rn 473 zeigt versagen diese Sicherheitsma nahmen bei der Verwendung von Visual Spoofing eine andere Frage ist dann ob bereits das ffnen und Beantworten der Phishing E Mail eine Pflichtverletzung begr ndet s Rn 537 1043 v Verhaltenspflichten im Miss brauchsfall Der Kunde ist verpflichtet bei Kenntnis oder Verdacht von Unregelm igkeiten seiner Bank Mitteilung zu machen und den Online Zugang seines Kontos sperren zu las sen Unterl sst der Kunde eine ihm m gliche Mittelung und h tte die Bank die Transaktion bei unverz glicher Meldung noch verhindern oder r ckg ngig machen k nnen haftet der Kunde gegen ber der Bank Zur Vermeidung einer Vergr erung des Schadens ist der Ku
108. des Europ ischen Parlaments vom 20 03 2000 ber die Aufnahme und Aus bung der T tigkeit der Kreditinstitute sog Bankenrichtlinie ABl EG L 126 1 ff Richtlinie 93 6 EWG des Rates vom 15 03 1993 ber die angemessene Eigenkapitalausstattung von Wertpapierfirmen und Kreditinstituten sog Kapitalad quanzrichtlinie ABl EG L 141 1 ff Basel Committee on Banking Supervision 2004 International Convergence of Capital Measurement and Capital Standards A Revised Framework Basel Juni 2004 Die Baseler Dokumente k nnen von der Website der Bank f r Internationalen Zahlungsausgleich heruntergeladen werden unter abrufbar unter http www bis org BegrRegE zum Entwurf eines Gesetzes zur Umsetzung der neu gefassten Bankenrichtlinie und der neu gefassten Kapitalad quanz Richtlinie vom 15 02 2006 l abrufbar unter http www bundesfinanzministerium de lang_de DE Geld__und__Kredit Aktuelle__Gesetze Entwurf__e ines__Gesetzes__zur__Umsetzung__Bankenrichtlinie__anl templateld raw property publicationFile pdf zuletzt abgerufen am 05 06 2007 Zu Basel II s zuletzt Bl cker Spielberg Die Bank 2005 56 ff Gau mert Zattler Die Bank 2005 55 ff Hofmann Lesko Vorgrimler Die Bank 2005 48 ff Sch ning Weber Die Bank 2005 47 ff Schubert Grie mann VW 2004 1399 ff Schulte Mattler yon Kenne Die Bank 2004 37 ff Capellaro F ser Die Bank 2005 68 ff ausf hrlich Boos Fischer Schulte Mattler Schulte Mattler Basel II Rn 1 ff BGBl
109. die Beweislast f r das Mitverschulden auf 5 Ergebnis F r private Nutzer lassen sich zwar Pflichten hinsichtlich der Ergreifung von Siche rungsma nahmen herleiten Diese sind mangels der Bekanntheit von Problem und L sung allerdings stark bzw auf die Einhaltung allseits bekannter Schutzma nahmen ein geschr nkt Standards oder Regelwerke anhand derer f r private IT Nutzer diese Pflichten konkretisiert werden k nnten sind soweit ersichtlich nicht vorhanden Auch wenn sich begrenzte Verkehrspflichten privater Nutzer entwickeln lassen ergeben sich in der Praxis zum Teil erhebliche Probleme die Person des Sch digers zu identifi zieren und die Pflichtverletzung zu beweisen Insbesondere mit den aufgezeigten Durchsetzungsproblemen mag zusammenh ngen dass bislang keine F lle der Inanspruchnahme privater Nutzer bekannt geworden sind Zu Recht wird daher darauf hingewiesen dass die Anspr che des Gesch digten oftmals nur auf dem Papier bestehen F r gesch digte Private gehen die Beweisschwierigkei ten mit dem Prozesskostenrisiko insbesondere Sachverst ndigenkosten einher welche oftmals zudem in keinem vern nftigen Verh ltnis zum Schaden stehen werden Im Zu sammenhang mit Viren usw d rfte hinzukommen dass private Nutzer diese Erschei nungen als letztlich nicht vollst ndig vermeidbares Risiko der Internetnutzung hinneh men ohne gegen den Verursacher vorzugehen Bei gesch digten Unternehmen drohen regelm
110. die Vertraulichkeit der Telekommunikation gegen den Eingriff von 1297 Dritten und der st rungsfreie Betrieb Dar ber hinausgehend sind die Betreiber von Telekommunikationsanlagen die als solche den unmittelbaren technischen Zugriff auf die Systeme haben 18 die dem Erbringen von Telekommunikationsdiensten f r die f fentlichkeit dienen nach 109 Abs 2 TKG verpflichtet angemessene technische Vor kehrungen und sonstige Ma nahmen zum Schutz gegen St rungen die zu erheblichen Beeintr chtigungen von Telekommunikationsnetzen f hren und gegen u ere Angriffe z B durch Hacker und Einwirkungen von Katastrophen zu treffen Darunter f llt ins besondere die Pflicht zur Datensicherung wodurch Daten vor Verlust Zerst rung in folge von Besch digung der Daten verarbeitenden Systeme vor unbefugter Ver nde 1299 rung und vor Missbrauch gesch tzt werden sollen Unter Missbrauch sind Angriffe von Au enstehenden Hackern und die unbefugte Datenverwendung durch Mitarbeiter 1300 gemeint Welche Schutzma nahmen angemessen sind muss anhand des Einzelfalles 1301 entschieden werden Hierzu haben sie einen Sicherheitsbeauftragten zu benennen und ein Sicherheitskonzept zu erstellen 109 Abs 3 TKG Technische Anforderungen im Sinne von 109 TKG sind Ma nahmen mit Bezug auf die Funktionsweise der Tele 1302 kommunikationsanlagen Hierunter sind f r den Bereich der St rungsabwehr 109 Abs 1 N
111. durch die Nutzer sind meist sogar uner w nscht Von daher ist eine organisatorische Aufteilung von Zugriffsrechten also ins besondere die Vergabe geringer Eingriffsm glichkeiten an die Nutzer und die Erstel lung eines Administratorkontos durchaus sinnvoll und sch tzt auch den Betrieb des 738 Unternehmens Der wirtschaftliche Aufwand ist hierbei gering und damit zumutbar In sehr kleinen Unternehmen bei denen allerdings die Nutzer auch die Pflege der IT Infrastruktur bernehmen sind somit auch weitgehende Rechte der Nutzer erforderlich Hier kann diese Pflicht nicht greifen e Intrusion Detection Systeme Intrusion Detection Systeme werden insbesondere in gr eren Netzwerken eingerich 739 tet Der Aufwand zu ihrer Einrichtung ist relativ hoch So muss eine zentrale Komponente des Netzwerks alle durchgeleiteten Pakete analysieren k nnen H ufig werden auf den einzelnen Rechnern zus tzlich host basierte Intrusion Detection Systeme eingerichtet Ins Gewicht f llt vor allem der Einrichtungs und Wartungsauf 741 wand Lizenzkosten fallen hingegen nicht zwangsl ufig an Der Betrieb erfordert je Zur Risikoverteilung bei Angriffen auf Computersysteme hier DDoS AG Gelnhausen CR 2006 208 Hier ist unter Verweis auf LG K ln CR 1999 218 auf 5 10 Jahre abzustellen Dazu Zahrnt CR 2000 205 mwN F r Windows NT z B IT Grundschutzhandbuch 2005 M 4 51 M 4 53 allgemein Bohne VW 2004 1583 Zum Erfol
112. ebenfalls europ isch harmonisiertes Recht vorliegt und unter Ber cksichtigung von Sinn und Zweck der Privilegierung Produkte die in den Anwendungsbereich des EMVG fallen entsprechend 4 Abs 1 GPSG zu beurteilen sind Indes ist festzuhalten dass bislang au erhalb von bestimmten Wirtschaftsbereichen keine speziellen Produktsicherheitsrichtlinien und Verordnungen f r den IT Bereich gelten Insbesondere f r die Softwareherstellung existieren keine europarecht lich harmonisierten Anforderungen Demgem k nnen insoweit auch keine Vermu tungswirkungen im Zusammenhang mit der Einhaltung technischer Regelwerke eingrei fen da hierf r die rechtliche Grundlage bislang fehlt b Konformit tsvermutung Produkte welche in den harmonisierten Bereich fallen d rfen gem 4 Abs 1 GPSG nur in Verkehr gebracht werden wenn sie den in den Rechtsverordnungen nach 3 Abs 1 GPSG GPSGV vorgesehenen Anforderungen an Sicherheit und Gesundheit und sonstigen Voraussetzungen f r ihr Inverkehrbringen entsprechen und Sicherheit und Gesundheit der Verwender oder Dritter oder sonstige aufgef hrte Rechtsg ter bei bestimmungsgem er Verwendung oder vorhersehbarer Fehlanwendung nicht gef hrdet werden Bei einem entsprechend einer harmonisierten Norm hergestellten Produkt wird wider leglich vermutet dass es den betreffenden Anforderungen an Sicherheit und Gesund heit gen gt 4 Abs 1 Satz 2 GPSG Harmonisierte Normen in d
113. eines dokumentierten In 660 formationssicherheits Managementsystems In die Anforderungen werden alle m g lichen Risiken in der gesamten Organisation einbezogen wobei zwischen verschiede nen Organisationsformen differenziert wird Hierbei werden s mtliche Arten von Orga nisationen z B Handelsunternehmen staatliche Organisationen Non Profitorganisationen un ber cksichtigt Grunds tzlich wird das Modell des Plan Do Check Act PDCA also Planung Imp lementierung berpr fung und Handlung f r die Strukturierung des IT 662 Anders formuliert bedarf das IT Riskmanagementsystems verwendet Managementsystem einer initialen Planung und Implementierung und einer anschlie enden st ndigen berwachung und Verbesserung Ein Unternehmen das ISO 27001 konform arbeitet muss danach zun chst Zweck und Reichweite des IT Riskmanagementsystems festlegen indem wichtige Informationen ber das Unternehmen die wichtigen Einheiten und Technologien zusammengetragen werden Anschlie end m ssen diese in einem Rahmenwerk das auch wirtschaftliche rechtliche und technische Erfordernisse einbezieht und in das generelle Riskmanage ment des Unternehmen eingebettet ist einbezogen werden wobei auch Handlungen und Notwendigkeiten mit Hinblick auf IT Sicherheit benannt werden m ssen Anschlie end wird die Methode der Risikobestimmung gew hlt und die vorhandenen Risiken sind zu identifizieren analysieren und zu evaluieren
114. einige zu nennen spielt die Sicherheit der Informationstechnologie eine entscheidende Rolle Der bef rchtete Jahr 2000 Fehler hatte deutlich vor Augen gef hrt wie abh ngig Unternehmen und eine ganze Volks wirtschaft von IT Produkten inzwischen sind 655 Zu den Pflichten der Gesch ftsleitung k nnen dementsprechend auch der Abschluss von Pflegevertr gen und die Schaffung von redundanten Sicherheitssystemen geh ren um dem Ausfall der IT Steuerungssoftware vorzubeugen e Riskmanagementpflichten in anderen Rechts formen Nicht nur in Aktiengesellschaften sondern auch in anderen Rechtsformen geh rt ein Riskmanagement zu den Gesch ftsf hrerpflichten Dies ergibt sich schon daraus dass schon bei der Einf hrung des 91 Abs 2 AktG der Gesetzgeber selbst davon ausge gangen ist dass damit nur allgemeine aus den Sorgfaltspflichten der Gesch ftsf hrung resultierende Anforderungen kodifiziert werden Damit ergeben sich aber auch f r ande re Rechtsformen vergleichbare Pflichten etwa f r die GmbH nach 43 GmbHG die indes nach dem Zuschnitt der jeweiligen Gesellschaft kleine und mittlere Unterneh men selbstverst ndlich zu modifizieren sind f Das IT Riskmanagementsystem nach ISO 27001 hnlich den Qualit tsmanagementsystemen liegen inzwischen auch Normungen f r das IT Riskmanagement in Gestalt der Ende 2005 verabschiedeten ISO 27001 vor Die se Normung folgt weitgehend dem britischen Ansatz im Qualit tsm
115. entsprechende Gegenma nahmen ausl sen k nnen Solche Systeme 113 werden als Intrusion Detection Systeme IDS bzw als Intrusion Prevention Eckert IT Sicherheit S 870 ff Tanenbaum Computer Networks S 784 Chari in Bidgoli Encyclopedia of Informationsystems Volume 2 2002 S 313 Fuhrberg H ger Wolf Internet Sicherheit S 137 Lang JurPC 205 2001 Rn 99 zur Funktionsweise Tanenbaum Computer Networks S 776 ff Dazu ausf hrlich BSI Studie Einf hrung von Intrusion Detection Systemen abrufbar unter http www bsi bund de literat studien ids02 dokumente Grundlagenv10 pdf S 5 ff Anonymus der neue Prof Dr Gerald Spindler 33 66 67 Systeme IPS bezeichnet wobei der Unterschied darin liegt dass ein IDS Angriffe zwar erkennen aber nicht verhindern kann w hrend IPS zus tzlich in der Lage sind Gegenma nahmen einzuleiten Bei IDS und IPS wird zwischen system oder hostbasier 114 ten und netzwerkbasierten Ans tzen unterschieden IDS werden auf dem zu berwa chenden System installiert und sammeln Informationen ber das System und dessen ak tuellen Zustand um anhand von in einer Datenbank hinterlegten Mustern bzw Heuris tiken Angriffe zu erkennen und dann zuvor definierte Gegenma nahmen bspw Administratoren informieren verd chtige Prozesse beenden Firewall Regeln anpassen 116 etc auszul sen Netzwerkbasierte IDS werden an zentralen Netzwerkknoten einge rich
116. ersichtlich nicht publiziert nach denen die Auditierungen vorgenommen werden Die Common Criteria selbst beziehen solche Audits als m gliche Einsatzszenarien ent sprechender Zertifikate ein So sollen nach Nr 6 3 4 der Common Criteria Teil 1 Audi toren von nach den Common Criteria erteilten Zertifikaten profitieren k nnen Sofern sich solche Querbez ge durchsetzen k nnte sich dies nat rlich auch auf den finanziel len Aufwand f r Datenschutzaudits auswirken sofern die Pr fung nach den Common M nch RDV 2003 223 225 Ro nagel in Ro nagel Handbuch Datenschutzrecht Kap 3 7 Rn 96 Simitis Bizer 9a BDSG Rn 70 58 Zum Audit nach 9a BDSG s auch Schl ger DuD 2004 459 B umler DuD 2004 80 Bizer DuD 2006 5 Ro nagel Datenschutzaudit 2000 Simitis Bizer 9a BDSG Rn 76 Mehr dazu unter https www datenschutzzentrum de material recht audit audit htm Prof Dr Gerald Spindler 177 426 427 428 806 807 808 809 810 811 812 813 Criteria tats chlich auch die Datenschutzanforderungen einbezogen hat So enthalten die Funktionsklassen der Common Criteria durchaus auch den Schutz von Daten Das Verfahren der Pr fung regeln die Common Criteria jedoch nicht Eine staatlich geregelte Datenschutz Zertifizierung f r IT Produkte Hard und Softwareprodukte sowie Datenverarbeitungsverfahren ist derzeit nur im Bundesland Schleswig Holstein m glich soweit die Produ
117. etwa indem er Viren und andere Schadpro gramme ber seinen Rechner weiter verbreitet Besondere Bedeutung erlangt zudem die Haftung f r Unterlassen wenn der private Nutzer seinen PC nicht im Rahmen des Zu mutbaren gegen Angriffe gesch tzt hat und Angreifer die Sicherheitsl cke zum Scha den Dritter ausnutzen indem sie seinen Rechner als Werkzeug instrumentalisieren z B aufgrund von Bot Netzen Ankn pfungspunkt f r die Haftung wird damit im Regelfall entweder eine sog mittelbare Verletzungshandlung oder ein Unterlassen des Privatnut 543 zers sein was in den Wertungen eng bei einander liegt Da der Verletzungserfolg in Dazu M ller Kelm DuD 2000 292 zur Risikoverteilung AG Gelnhausen CR 2006 209 s o Rn 87 f Bedrohungspotentiale Denial of Service Attacks Koch NJW 2004 801 803 mwN Dazu bereits oben Rn 108 Dazu Bamberger Roth Spindler 823 BGB Rn 23 Medicus B rgerliches Recht Rn 646 La Prof Dr Gerald Spindler 120 281 282 283 550 beiden F llen nicht unmittelbar durch die Handlung des Sch digers sondern durch eine Reihe von Zwischenursachen vermittelt wird ist Voraussetzung der Haftung jeweils die Verletzung einer Verkehrspflicht 1 Zurechnungskriterien Derjenige der eine Gefahrenquelle schafft ist grunds tzlich verpflichtet die notwendi gen und zumutbaren Vorkehrungen zu treffen um eine Sch digung anderer zu vermei den Ihn treffen diesbez glich Verkehrs
118. f LG Hannover WM 1998 1123 f LG K ln WM 1995 976 977 AG Frankfurt NJW 1998 687 f AG Osnabr ck NJW 1998 688 f BGH JZ 2006 1073 1074 mit Anm Lobinger OLG Hamm NJW 2007 611 OLG K ln MMR 2006 321 322 LG Bonn MMR 2004 179 180 LG Bonn MMR 2002 255 257 best tigt von OLG K ln MMR 2002 813 814 dazu auch Wiebe in Spindler Wiebe Internet Auktionen und Elektronische Marktpl tze Kap 4 Rn 65 ff ebenso Borges NJW 2005 3313 3316 So G mann in Bankrechts Handbuch Band I 55 Rn 26 Baumbach Hopt Hopt 7 Bankgesch fte F 35 allgemein zur Anscheinsvollmacht Palandt Heinrichs 172 BGB Rn 11 ff M nchKommBGB Schramm 167 BGB Rn 54 ff Prof Dr Gerald Spindler 207 495 496 497 961 962 963 964 965 966 967 Grunds tze eine besondere Rechtsscheinsvollmacht an 0 wobei sie den Rechtsschein jeweils mit dem hohen technischen Sicherheitsstandard der Online Banking Systeme begr ndet a Anscheinsvollmacht Eine Bindung des Kunden an eine gef lschte elektronische Willenserkl rung kraft An scheinsvollmacht ist mit der berwiegenden Meinung abzulehnen Ein Normalfall der Anscheinsvollmacht liegt beim Online Banking schon deshalb nicht vor da der objektive Rechtsscheinstatbestand nicht auf dem mehrfachen Auftreten eines anderen als Vertreter beruht sondern vielmehr von einem Handeln des Kunden selbst ausgegan 496 gen wird
119. f hren dass gegen die Hacker ein Anspruch aus 823 Abs 1 823 Abs 2 826 BGB besteht abgesehen von m glichen urheberrechtlichen Anspr chen Hat der Provider keine gen genden Sicherungsvorkehrungen gegen das Eindringen von Ha ckern in das System getroffen ist auch er gem 823 Abs 1 BGB haftpflichtig f r et waige eingetretene Sch den Allerdings wird es hier in der Regel kaum m glich sein einen konkreten Schaden nachzuweisen da dieser darauf beruhen m sste dass die Web Seite nicht zug nglich gewesen ist Aber auch hinsichtlich des Versands von E Mail Nachrichten k nnen grunds tzlich Anspr che des Unternehmens gegen einen eingeschalteten Provider oder andere Betrei ber von Rechnern geltend gemacht werden wenn in deren Einflusssph re die E Mail in folge mangelnder Sicherungsvorkehrungen ge ffnet bzw abgeh rt wurde und das Un ternehmen im Rahmen seines Rechts am eingerichteten und ausge bten Gewerbebetrieb dadurch einen Schaden erlitten hat Hier ergeben sich keine Unterschiede zu den oben behandelten Sicherungspflichten der Provider im Hinblick auf die Wahrung des allge 1272 meinen Pers nlichkeitsrechts F r die wohl h ufigsten F lle von Sch digungen dem Aussp hen von Kreditkartenangaben oder anderen finanziell sensiblen Daten bietet das Deliktsrecht aber keinen Schutz da diese Daten nicht dem Recht am eingerichteten und ausge bten Gewerbebetrieb unterfallen sondern reine Verm genssch den dar
120. gestrichen um den Kreditinstituten breite Spielr ume im Hinblick auf erforderliche Dokumentationen zu er ffnen s hierzu das Anschreiben der BaFin an die Verb nde vom 22 09 2005 ab rufbar unter http www bafin de marisk marisk2_anschreiben htm zuletzt abgerufen am 6 06 2007 Zu der Regelung im ersten Entwurf s den ersten Entwurf ber die Mindestanforderungen an das Risikoma nagement AT 6 8 Rn 1 f abrufbar unter http www bafin de marisk marisk_entwurf pdf zuletzt ab gerufen am 6 06 2007 krit hierzu Grabau Schlee Kreditwesen 2005 392 Zu der neuen allgemeiner gefassten Regelung die auch in der verabschiedeten Endfassung beibehalten wurde und lediglich in dem zweiten Absatz bezogen auf die Begr ndung konkretisiert wurde s Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 6 8 Rn 1 f abrufbar un ter http www bafin de rundschreiben 89_2005 051220 htm zuletzt abgerufen am 6 06 2007 Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 4 3 2 7 Rn 2 abrufbar unter http www bafin de rundschreiben 89_2005 051220_anl1 pdf zuletzt abgerufen am 6 06 2007 Zimmermann BKR 2005 208 210 s zum ersten Entwurf der MaRisk Angerm ller Eichhorn Ramke Kreditwesen 2005 396 Zimmermann BKR 2005 208 210 Boos Fischer Schulte Mattler Schulte Mattler KWG Basel II Rn 133 Rundschreiben BaFin Nr 18 2005
121. halb automatisch installiert werden Begr ndung hierf r ist ei nerseits die notwendige Bekanntheit andererseits die leichte technische Umsetzung Diese Pflichten lassen sich als Mindeststandard ohne Weiteres auch auf den Einsatz bei kommerziellen Nutzern bertragen Nicht verpflichtend f r Private sind manuelle Sys temupdates sowie Aktualisierungen der installierten Programme Fraglich ist ob diese weitergehenden Pflichten aber dem kommerziellen Nutzer obliegen Hierf r ist auch die Zweckrichtung der Verwendung von Programmen in kommerziel len Unternehmen zu beachten Im Idealfall wird ein Softwareprodukt auf einem kom merziell verwendeten Rechnersystem nur dann installiert wenn es auch tats chlich f r den Betrieb des Unternehmens ben tigt wird Der Unternehmer ist darauf angewie sen dass diese Programme auch durchgehend funktionieren Nicht nur durch Systeme entstehen Sicherheitsl cken sondern auch durch Programmfehler Es besteht also grunds tzlich auch durch sie eine hohe Gef hrdung sowohl des eigenen Betriebs als auch mittelbar der Rechtsg ter Dritter Die Gef hrdung durch Viren ist damit auch hier immanent gegeben was ebenfalls die M glichkeit des Eintritts der bekannten hohen Sch den impliziert Der Aufwand f r die Aktualisierung der Programme ist jedoch nicht zu untersch tzen So muss der Unternehmer zun chst Kapazit ten f r die st ndige oder regelm ige berpr fung bereitstellen die Aktualisierungen vo
122. hinweist 1 Die aus dem Sachverhalt zu ziehende Schlussfolgerung muss sich dem Betrachter gleichsam aufdr ngen so dass individuelle Kennzeichen des Einzelfalles zu r cktreten und bedeutungslos erscheinen 101 Es handelt sich hierbei um keine Umkehr der Beweislast sondern die Ber cksichtigung von Erfahrungss tzen durch den Rich 1093 ter im Rahmen der freien Beweisw rdigung 286 Abs 1 ZPO wobei die dem Er fahrungssatz zugrunde liegenden Tatsachen entweder unstreitig sein m ssen oder ihrer seits des Vollbeweises bed rfen 4 Die Typizit t des Geschehensablaufs erfordert nicht dass die Urs chlichkeit einer be stimmten Tatsache f r einen bestimmten Erfolg bei allen Sachverhalten dieser Fall gruppe notwendig immer vorhanden ist Die Urs chlichkeit einer bestimmten Tatsache f r einen bestimmten Erfolg muss aber so h ufig gegeben sein dass die Wahrschein lichkeit einen solchen Fall vor sich zu haben sehr gro ist 1095 Die blo abstrakte M glichkeit eines anderen Geschehensablaufs steht der Annahme eines Erfahrungssat zes nicht entgegen 1026 Bei der Pr fung des Anscheinsbeweises sind zwei Fragen strikt zu trennen Als Vermutungsgrundlage ist zun chst zu pr fen ob beim Online Banking berhaupt ein Erfahrungssatz bejaht werden kann Wird ein Erfahrungssatz bejaht stellt sich weiter die Frage ob die Vermutungsfolge im Einzelfall dadurch ersch ttert werden kann dass die ernsthafte M g
123. hrt der Sch diger am Besten wenn er keine Sorgfaltsma nahmen trifft und die Schadenskosten i H v 40 Einheiten auf sich nimmt Wird der Sorgfaltsma stab nicht kodifiziert sondern mit dem unbestimmten Rechtsbeg riff der Fahrl ssigkeit negativ umschrieben so liegt es in der Hand des Richters im Ein zelfall ob er die Fahrl s sigkeitsgrenze aufgrund obiger Erw gungen nach der Lear ned Hand Formel bei 10 Einheiten ansetzt Auch mit einer Gef hrdungshaftung werden die externen Effekte internalisiert d h es erfolgt eine Angleichung der privaten an die gesellschaftlichen Kosten Durch Ein f hrung einer Gef hrdungshaftung muss der Akteur sowohl alle Kosten f r Schutzma nahmen als auch den erwarteten Schaden tragen damit minimiert er schon in eigenem Interesse die gesellschaftlichen Gesamtkosten Bez glich der Wahl eines effizienten Sorgfaltniveaus ergibt sich also zwischen der Gef hrdungshaftung und der Verschul denshaftung so die Gerichte hier einen effizienten Fahrl ssigkeitsma stab festgelegt Zuerst angewendet in United States v Caroll Towing Co 159 F 2d 169 2d Cir 1947 vgl Cooter Journal of Economic Perspectives Vol 5 1991 11 ff 14 Vgl dazu etwa Cooter Ulen Law amp Economics S 334 Ebenso Sch fer Ott Lehrbuch der konomischen Analyse des Zivilrechts S 172 Fallbeispiele f r die Anwendung konomischer Kriterien etwa OLG Hamm NJW RR 2002 1459 BGH NJW 2005 422 Zuerst angewendet i
124. ihre Systeme auf Dialer ohne besondere Verdachtsmomente berpr fen m ssen und ihnen nicht die berwachung des Aufbaus von Verbindungen ins Internet ob liegt bertragen auf IT Sicherungen entf llt jedenfalls derzeit zumindest bei priva ten Softwarenutzern und solange Bedrohungspotentiale nicht generell bekannt und ein fach zu meistern sind die Pflicht zu Selbstschutzma nahmen Bei kommerziellen Nutzern sind zun chst die gesellschaftsrechtlichen Anforderungen an IT Nutzer im Rahmen des Risikomanagements zu ber cksichtigen Im Zuge der wei teren Ausdifferenzierung der von verschiedenen Seiten vorgegebenen Standards ISO 27001 BSI Grundschutzhandbuch MaRisk etc m ssen die kommerziellen IT Nutzer h here Aufwendungen im Bereich der Datenerfassung und auswertung t tigen um f r ein robustes und effizientes internes Risikoerkennungssystem zu sorgen Ferner m ssen die kommerziellen Nutzer abh ngig auch von der Gr e ihrer IT Infrastruktur Ma nahmen zur Sicherung ihrer IT Systeme ergreifen Dazu geh ren die prim re Abwehr die sekund re berpr fung durch Suchprogramme sowie die notwendige Aktualisie rung der Programme Welche Rolle indes diese IT Standards im Rahmen dieser Pflich ten spielen k nnen ist bislang weitgehend ungekl rt Dies gilt auch f r die mittelbaren IT Sicherungspflichten denen Unternehmen infolge der durch die neuen Fremdkapitalvergabevorschriften nach Basel II unterliegen auch hier werde
125. in 90 BGB Hinsichtlich Art 1 Abs 2 lit a Medizinproduktrichtlinie Schieble Produktsicherheitsgesetz und europ isches Gemeinschaftsrecht S 124 Runte Potinecke CR 2004 725 726 Zscherpe Lutz K amp R 2005 499 500 Hoeren Ernstschneider MMR 2004 507 508 Zscherpe Lutz K amp R 2005 499 500 offen lassend Wilrich 2 GPSG Rn 10 Prof Dr Gerald Spindler 98 219 220 221 ist folglich entscheidend auf das Ziel der Produktsicherheitsrichtlinie Verbraucher und Arbeitnehmer vor Gesundheitssch den durch unsichere Konsumg ter zu sch tzen ab zustellen Soweit Software also gef hrlich sein kann wird man sie somit als Produkt im Sinne der Produktsicherheitsrichtlinie und des GPSG einordnen m ssen denn der Hersteller von Software kann grunds tzlich ein vergleichbar hohes Gef hrdungspotenti al schaffen wie der Hersteller anderer Produkte Dies gilt auch f r online bertragene Software Unerheblich ist auch ob es sich um Standard oder Individualsoftware handelt W hrend es inzwischen wohl der vorherrschenden zutreffenden Auffassung entspre chen d rfte dass selbst ndige Software jedenfalls f r Verbraucher als Produkt im Sin ne des GPSG zu qualifizieren ist ist fraglich inwieweit von ihr eine vom GPSG er fasste Gef hrdungslage f r gesch tzte Rechtsg ter ausgeht s Rn 221 ff Zweifelhaft ist die Rechtslage f r den Bereich der technischen Arbeitsmitt
126. in Allgemeinen Gesch ftsbedingungen dann unwirksam wenn sie den Vertragspartner des Verwenders unangemessen benachteiligen Genauere Konkretisierung erf hrt diese Generalklausel durch Abs 2 der Vorschrift nach dem ei ne unangemessene Benachteiligung im Zweifel dann anzunehmen ist wenn die vertrag 88 Ausf hrlich dazu unten Rn 277 ff Prof Dr Gerald Spindler 28 liche Klausel mit dem Grundgedanken der gesetzlichen Regelung nicht zu vereinbaren ist oder wesentliche Rechte und Pflichten die sich aus der Natur des Vertrages ergeben so einschr nkt dass die Erreichung des Vertragszweckes gef hrdet ist Insbesondere der letztgenannte Unwirksamkeitsgrund f r AGB Klauseln ist eine f r IT Vertr ge bedeut same Grenze der Privatautonomie 51 Die Regelungen der 308 309 BGB gelten nur f r Vertr ge zwischen Verbrauchern und Unternehmern Auf andere Vertr ge finden sie keine Anwendung Indes findet ge rade die allgemeine Inhaltskontrolle nach 307 BGB freilich mit gr erem Gestal tungsspielraum auch bei Vertr gen zwischen Unternehmern Anwendung IH Gefahrenpotential und Gegenma nahmen 52 Um zu verdeutlichen welche Risiken und daraus folgend Haftungen eintreten K nnen ist es notwendig die sich bei der Nutzung von Informationstechnik insbesondere IT Netzen ergebenden Gefahren n her zu beleuchten Aus Sicht der Nutzer ist des Weiteren zu erl utern welche Gegenma nahmen grunds tzlich ergriffen w
127. instanz der Kontrollverfahren Insgesamt erweitert der Sarbanes Oxley Act durch neue Verfahren den Pflichtenbereich der Unternehmen ohne jedoch bisherige Verfahren und Methoden in Frage zu stellen Prof Dr Gerald Spindler 265 639 Wesentliche Widerspr che hinsichtlich der zu ergreifenden Ma nahmen oder der Kri terien haben sich nicht ergeben so dass sich Konfliktsituationen nur daraus ergeben k nnen wie unterschiedliche Intensit ten der normierten Pflichten zu behandeln sind 4 Anwendbarkeit bzw Verh ltnis der Normen zueinan der 640 Ankn pfungspunkt einer Pflicht kann nur die Erf llung des Tatbestandes der die Pflicht statuierenden Norm sein Die hier untersuchten Normen haben dabei insbesondere einen unterschiedlichen pers nlichen Anwendungsbereich Grunds tzlich gilt dass der Be troffene die Pflichten aller Normen erf llen muss die f r ihn gelten Wer also der Or ganisationsform nach unter den Anwendungsbereich des AktG bzw des GmbHG f llt den k nnen durchaus auch jene Pflichten treffen die z B durch das WpHG zus tzlich zu erf llen sind Insofern ist grunds tzlich von einer parallelen Anwendung der Normen auszugehen Unterscheiden sich die Normen in der Intensit t der anzuwendenden Ma nahmen so ist schwerlich einzusehen warum nicht die sch rferen Ma nahmen ergrif fen werden sollen 641 Das Verh ltnis der datenschutzrechtlichen Normen ist hnlich unkompliziert Das TMG enth lt bereichsspez
128. ist psu edu zhangO3intrusion html zuletzt abgeru fen am 09 10 2006 Eckert IT Sicherheit S 676 Peikari Chuvakin Kenne Deinen Feind S 463 BSI Lagebericht 2005 abrufbar unter http www bsi de literat lagebericht lagebericht2005 pdf S 19 zuletzt abgerufen am 09 10 2006 RFC 1244 Site Security Hand Book abrufbar unter http www fags org rfes rfc1244 html 3 9 8 1 2 zuletzt abgerufen am 09 10 2006 B l scher Kaiser Schulenburg VW 2002 565 Lang JurPC 205 2001 Rn 44 Prof Dr Gerald Spindler 34 68 69 70 71 12 wenders der im Glauben eine sinnvolle Anwendung zu installieren gleichzeitig den Trojaner installiert Die Unterscheidung zwischen Viren W rmern Trojanern und anderer Malware wie bspw Spyware siehe dazu mehr Rn 72 oder Backdoors erm glicht Dritten unbefug ten Zugang zum System f llt h ufig schwer da sich die verwendeten Konzepte h ufig berschneiden So kann ein Wurm die Schadfunktion eines Virus besitzen und sich zu s tzlich als Trojaner tarnen um sich zu verbreiten In der Literatur wird h ufig vertre ten dass Viren Spezialf lle von Trojanern seien Oftmals funktionieren Trojaner auch nach dem Client Server Prinzip Der eigentliche Trojaner ist dabei nur der Server Er nistet sich als n tzliche Anwendung getarnt auf dem Zielrechner ein und sorgt f r seinen eigenen automatischen Start mit dem Betriebs system Der potenzielle Angreifer kann nun mittels des
129. kommen nicht nur ffentlichrechtlich nor mierte Verhaltensstandards in Betracht sondern auch und in erster Linie zivilrechtlich begr ndete Sicherheitspflichten deren schuldhafte Verletzung zur Haftung des Ver antwortlichen f hrt So etwa G nther Produkthaftung f r Informationsg ter S 157 ff Sodtalbers Softwarehaftung im In ternet S 101 ff Prof Dr Gerald Spindler 12 Im ffentlichen Recht k nnen grunds tzlich zwei Normenkreise voneinander unter schieden werden die spezifische IT Sicherheitspflichten statuieren k nnen Zum einen die produktbezogenen Vorschriften zum anderen die t tigkeits oder branchenbezoge nen Vorschriften die die Sicherheit bestimmter Anlagen oder T tigkeiten regeln Zu dem ersten Kreis der produktbezogenen Vorschriften geh ren insbesondere als allge meine Rahmennorm das Ger te und Produktsicherheitsgesetz GPSG sowie als Bei spiel f r ein spezifisches produktbezogenes Gesetz das MedizinprodukteG oder das Chemikaliengesetz ChemG Zu dem zweiten Kreis der t tigkeits oder anlagenbezo genen Normen z hlen etwa die spezifischen Aufsichtsgesetze wie das Kreditwesenge setz oder das Versicherungsaufsichtsgesetz die mittelbar besondere Vorgaben f r den Umgang mit unternehmensinternen IT Risiken enthalten Aus zivilrechtlicher Sicht sind hier zun chst Pflichten innerhalb vertraglicher Son derverbindungen zu nennen deren bernahme jedoch zur Disposition der Parteien steh
130. nchKommBGB Wagner 1 ProdHaftG Rn 10 ff Staudinger Oechsler 1 ProdHaftG Rn 10 ff Taeger Au ervertragliche Haftung f r fehlerhafte Computerprogramme S 196 f v Westphalen in v Westphalen ProdHaftHdb 72 Rn 7 ff Larenz Canaris 84 I 1 c S 646 Staudinger Oechsler 1 ProdHaftG Rn 20 Koch Versicherbarkeit von IT Risiken Rn 610 Sodtalbers Softwarehaftung im Internet Rn 324 f Tiedtke NIW 1990 2961 2964 Taschner Frietsch 1 ProdHaftG Rn 38 ff Palandt Sprau 1 Prod HaftG Rn 6 Erman Schiemann 1 ProdHaftG Rn 3 M nchKommBGB Wagner 1 ProdHaftG Rn 14 BT Drucks 11 2447 S 13 Sodtalbers Softwarehaftung im Internet Rn 323 Tiedtke NJW 1990 2961 2964 M nchKommBGB Wagner 1 ProdHaftG Rn 13 So auch Koch Versicherbarkeit von IT Risiken Rn 610 Sodtalbers Softwarehaftung im Internet Rn 324 f BT Drucks 11 2447 S 13 Taschner Frietsch 1 ProdHaftG Rn 40 Staudinger Oechsler 1 Prod HaftG Rn 20a Prof Dr Gerald Spindler 90 198 199 200 434 435 436 Rechner installiert wurde wobei es nach Rn 196 nicht darauf ankommt ob die Soft ware von einem Datentr ger auf den Computer berspielt oder online bertragen wurde 2 Privater Gebrauch Durch die Beschr nkung des Schutzbereichs auf die Besch digung privat genutzter Sa chen f llt die Besch digung gewerblich beruflich und freiberuflich genutzter Sachen insgesamt nicht in den Schutzbe
131. ndert werden Art 14 Abs 1 Ziff b DRL 465 Nach Art 13 Abs 6 MiFID sind Aufzeichnungen ber alle Dienstleistungen und Ge sch fte der Wertpapierfirmen anzufertigen um die Aufsichtsbeh rde in die Lage zu versetzen die Erf llung der Verpflichtungen der Wertpapierfirma gegen ber ihren Kunden berpr fen zu k nnen Art 51 DRL sieht eine Archivierung dieser Aufzeich nung f r f nf Jahre vor Der RefE sieht in 34 Abs 1 und 2 die Umsetzung dieser Vor gaben vor dabei sollen s mtliche Wertpapierdienstleistungen und nebendienstleistungen also auch die blo e Anlageberatung erfasst werden 466 Die MiFID regelt in Art 18 13 Abs 3 explizit die Interessenkonflikte Wertpapierfir men haben alle angemessenen organisatorischen Vorkehrungen zu treffen um Interes senkonflikte zwischen ihnen und ihren Kunden oder zwischen ihren Kunden unterein ander zu erkennen und zu verhindern Nach 33 Abs 1 Nr 3 WpHG RefE m ssen In teressenkonflikte durch eine wirksame Organisation vermieden werden Nur bei Un m glichkeit m ssen sind sie dem Kunden zu offenbaren aat Zum gesamten Problemkomplex ausf hrlich Spindler Kasten AG 2006 785 789 ff s auch zu Interes senkonflikten allgemein Enriques Conflicts of Interest in Investment Services the Price and uncertain impact of MiFID s Regulatory Framework University of Bologna abrufbar unter http abrufbar unter http papers ssrn com sol3 papers cfm abstract_id 782828 zulet
132. netzbasierte Verbreitungen wie E Mail und Downloads von FTP oder Web Servern verdr ngt So gingen bei einem Austausch des Kernbankensystems zur Einf hrung eines einheitlichen EDV Systems f r die BAWAG und die PSK tausende Buchungen verloren s Tageszeitung Kurier 2 10 2004 Bigdoli Handbook of Information Security Volume 3 S 95 Anonymus der neue hacker s guide S 401 Eckert IT Sicherheit S 45 f Lang JurPC 205 2001 Rn 50 Slade in Bidgoli Encyclopedia of Informationsystems Volume 1 2002 S 256 258 f 358 f Tita VW 2001 1696 Lang JurPC 205 2001 Rn 61 Anonymus der neue hacker s guide 413 Bigdoli Handbook of Information Security Volume 3 S 95 S u B IIL 1 a 2 Lang JurPC 205 2001 Rn 50 Unbekannt VW 1996 580 weiter dazu AG K ln DuD 2001 298 LG K ln NJW 1999 3206 Leible Sosnitza K amp R 2002 51 Prof Dr Gerald Spindler 31 60 61 62 105 106 107 108 109 M gliche Gegenma nahmen Virenscanner sind wie der Name bereits nahe legt eine effektive und g ngige Ma nahme um die Infektion mit Viren zu verhindern und stellen die Grundvoraussetzung f r den Schutz vor Viren dar Neben dem Einsatz auf lokalen PCs als W chterprogramm welches jeden Dateizugriff auf einen m glichen Vi renbefall berpr ft und dem regelm igen Pr fen aller lokal vorhandener Dateien ist in vernetzten Umgebungen der Einsatz zentraler Virenscanner auf den E Mail und Datei
133. nicht explizit im Sarbanes Oxley Act erw hnt ist Dennoch ergeben sich Konsequenzen f r die T tigkeit der internen Revision aus den ge nderten Regelungen f r Vorstand Aufsichtsrat und Abschlusspr fer Da die Unternehmensleitung st rker f r die Vollst ndigkeit und Richtigkeit der Finanzberichterstattung einstehen muss verlagert sich auch f r die interne Revision der Schwerpunkt der Pr fung auf die Aspekte der Funktionsf higkeit und Ordnungsm igkeit der Finanzberichterstattung und des 705 Um Kontrollschw chen aufzudecken muss die interne internen Kontrollsystems Revision naturgem eigene Funktionstests durchf hren von denen auch die IT Prozesse erfasst sind c Rechtsfolgen Der SOA schreibt neben zivil und strafrechtlichen Sanktionen die das Gesetz selbst anordnet und im Falle von vors tzlicher Abgabe einer falschen Erkl rung Geldbu en bis zu einer H he von 5 Mio US Dollar sowie Freiheitsstrafen von bis zu 20 Jahren vorsieht in Section 3 b 1 SOX vor dass jeder Versto gegen den Sarbanes Oxley Act auch als Versto gegen den Securities Act 1934 15 U S C 78 a ff zu werten ist es drohen mitunter zus tzlich durch die SEC erlassene Sanktionen d Anhaltspunkte f r IT Konkretisierung Im Hinblick auf regulatorische Anforderungen im IT Bereich sind die Regelungen ber strafrechtliche und zivilrechtliche Sanktionen f r Sicherheitsverst e die Unabh ngig keit der internen und externen Untern
134. nicht abbedungen werden kann Schon vom Wortlaut aus sind Wartungen und Programmverbesserungen dage gen nicht von der Ausnahme des 69d I UrhG erfasst Insofern bed rfen diese einer Gestattung des Rechteinhabers nach 69c Nr 2 UrhG Daher kann etwa einem kom merziellen IT Nutzer kein Vorwurf gemacht werden wenn noch keine L sung f r ein Problem besteht wie es z B h ufig bei bekannten Systeml cken ohne entsprechendes Update des Herstellers der Fall ist Im Rahmen der Zumutbarkeitspr fung sind allerdings die technischen Grenzen weniger relevant als die wirtschaftlichen Einschr nkungen Denn der kommerzielle IT Nutzer kann immer darauf verwiesen werden technischen Sachverstand einzukaufen so dass im Wesentlichen die wirtschaftliche Seite ausschlaggebend ist Wie schon f r private IT Nutzer finden sich diese Pflichten quasi spiegelbildlich so wohl hinsichtlich des Schutzes Dritter als auch der zumutbaren Eigenschutzpflichten 254 BGB wieder wenngleich f r den Schutz Dritter bestimmte besondere Ver kehrserwartungen eine andere Rolle spielen m gen so dass in diesen Situationen die Pflichtenstandards unterschiedlich ausfallen k nnen Anders formuliert wird der Ver Dreier Schulze Dreier 69c Rn 15 Schricker Loewenheim 69d Rn 9 f Dreier Schulze Dreier 69d Rn 9 Dreier Schulze Dreier 69d Rn 2 Schricker Loewenheim 69d Rn 13 Dreier Schulze Dreier 69d Rn 12 Dreier Schulze Dreier
135. r Sicherheitsbed rfnisse von IT Anwendungen erstellt werden k nnen diese Produkt standards rechtliche Wirkung entfalten indem sie die n tige Mindestsicherheit f r be stimmte Bereiche konkretisieren Aber auch auf der Seite der IT Nutzer bzw Verwender k nnen Standards eine Rolle spielen wie die j ngst verabschiedete ISO 27000 ff Normenreihe die Grunds tze f r das IT Riskmanagement aufstellt Es handelt sich um ein evolutorisch stabiles Nash Gleichgewicht Gemeinsame Kriterien f r die Pr fung und Bewertung von Sicherheit von Informationstechnik nach der im Jahre 2000 beschlossenen ISO Norm 15408 bezeichnet zur Entwicklung s M nch RDV 2003 223 N heres dazu auch abrufbar unter http www bsi bund de Prof Dr Gerald Spindler 27 48 49 50 b Anpassung an bestimmte Marktanforderungen Ebenso spielen aber auch besondere Anforderungen in bestimmten M rkten eine Rolle die die berechtigten Verkehrserwartungen pr gen k nnen etwa im Gesundheits Si cherheits oder Finanzsektor Umgekehrt k nnen an eine Massensoftware mit niedrigem Gef hrdungspotential und geringem Preis vergleichsweise reduzierte Sicherheitsan forderungen gestellt werden Indes ist nicht zu verkennen dass der Trend zur Erstellung der Protection Profiles bereits diese Spezifika ber cksichtigt c Verh ltnis zum Eigenschutz Schlie lich spielen im IT Bereich die Fragen des Eigenschutzes bei der Bestimmung der Pflichten eine gew
136. rdigung aller Umst nde unter Abw gung der beiderseitigen Interessen ergibt dass die Klausel den Kunden nicht unangemessen benachteiligt Ma geblich ist hierbei zu ber cksichtigen dass das in 280 Abs 1 BGB zum Ausdruck kommende Verschuldensprinzip nicht nur auf Zweckm igkeitserw gungen beruht sondern eine 1068 Auspr gung des Gerechtigkeitsgebots darstellt Eine Abweichung vom Verschul densprinzip kann nur dann wirksam vereinbart werden wenn sie durch h here Interes sen des Verwenders der AGB gerechtfertigt oder durch Gew hrung rechtlicher Vorteile 1069 d ausgeglichen wir Ein besonderes Interesse der Bank an der alleinigen Risikotra gung durch den Kunden besteht beim Online Banking indessen nicht da die Bank durch 1064 1065 1066 1067 1068 1069 ner Steuer Band 6 Rn 19 82 Recknagel Vertrag und Haftung beim Internet Banking S 141 f F r zul ssig hielten wegen un bersehbarer Schadensrisiken solche Klauseln Hellner FS Werner S 251 273 ff Reiser Werner WM 1995 1901 1907 letztlich auch Blaurock CR 1989 561 566 da der Kunde jederzeit die PIN Nummern ndern k nne dagegen bereits Borsum Hoffmeister BB 1983 1441 1443 Canaris Bankvertragsrecht Rn 527 ff Recknagel Vertrag und Haftung beim Internet Banking S 142 Kind Werner CR 2006 353 354 Erfurth WM 2006 2198 2200 Wiesgickl WM 2000 1039 1050 Bock in Br utigam Leupold Kap VII Rn 85 Neumann Bock Zahl
137. re Das System w re also eventuell in bestimmten Situationen als kon form mit eventuellen Sicherungspflichten einzustufen w hrend dieselbe Rechnereinheit in ihrer Konfiguration auch einen Pflichtversto mangels Sicherheit darstellen k nnte Diese augenscheinlich widerspr chliche Einordnung ist jedoch hinzunehmen Zun chst sind viele Pflichten die dem Nutzer obliegen dauerhafter und grundlegender Na tur die die Person in allen Funktionen und Rollen treffen etwa die Einrichtung eines Virenscanners und dessen regelm iges Update Dar ber hinaus kann darauf abge stellt werden in welcher Funktion der Nutzer am Verkehr teilnimmt Ist er etwa nicht mit anderen IT Nutzern verbunden was indes selten der Fall sein d rfte reduzie Bamberger Roth Schmidt R ntsch 13 BGB Rn 5 M nchKommBGB Micklitz 13 BGB Rn 4 rechtsvergleichend zum Verbraucherbegriff Faber ZEuP 1998 854 Dazu sogleich Prof Dr Gerald Spindler 115 267 268 ren sich entsprechend seine Pflichten Wird er seine IT Produkte dagegen auch gewerb lich oder gar in Bereichen mit besonderem Gefahrenpotential einsetzen so kann er sich nicht darauf berufen dass eine Sch digung in seinem privaten Bereich seinen Ausgang nahm etwa durch Befall seines Rechners in seiner Privatsph re mit einem Virus dessen sch digende Wirkung sich dann sp ter ber den Rechner des IT Nutzers an andere fort setzte b Arbeitnehmer Diese Problematik stel
138. servern zu empfehlen Oberstes Gebot ist es jedoch die Virendefinitionsinformationen f r die jeweilige Antivirensoftware stets aktuell zu halten Alle wichtigen Anbieter ha ben daf r standardm ig eine automatische webbasierte Updatefunktion in ihre Pro dukte implementiert so dass der Anwender sich nach der erstmaligen Einrichtung kaum noch pers nlich darum k mmern muss Einsch tzung des Gef hrdungspotentials Aufgrund der Eigenschaft von Computervi ren sich nur unter Mithilfe des Anwenders weiterverbreiten zu k nnen und durch den routinem igen Einsatz von Virenscannern stellen klassische Computerviren heute kei ne besonders gro e Gefahr mehr f r die IT Sicherheit dar Viren wurden von sich selbstst ndig verbreitenden Computerw rmern abgel st die sich die weltweite Ver netzung von Computern und Schwachstellen von Software zu Nutze machen um sich schneller und effektiver zu verbreiten als Viren 2 W rmer W hrend Viren darauf ausgelegt sind m glichst viele Wirte Dateien zu infizieren und auf eine Verbreitung dieser infizierten Dateien durch den Anwender angewiesen sind nutzen Computerw rmer die Netzwerkinfrastruktur um sich selbst zu verbreiten indem sie Netzwerkdienste missbrauchen bspw massenhafter Versand von E Mails 108 die u a den Wurm enthalten oder Erweiterungen gebr uchlicher Protokolle wie IRC P2P oder Instantmessaging Protokolle oder Sicherheitsl cken in Netzwerkdie
139. spricht der Angriff dem Szenario Pharming im weiteren Sinne b Haftungsverteilung zwischen den am Online Banking Beteiligten 480 Nachdem die Bankpraxis nach Auftreten der ersten Schadensf lle durch Phishing und Pharming noch dahin ging Sch den der Kunden aus Kulanz vollumf nglich zu ersetzen stellen sich die Banken zunehmend auf den Standpunkt der Kunde sei durch die Berichterstattung in den Medien und die Informationsarbeit der Banken hinreichend ber die Risiken des Online Banking informiert Sch den seien daher regelm ig auf mangelnde Sorgfalt des Kunden zur ckzuf hren Bislang sind soweit ersichtlich zwar noch keine Haftungsf lle vor Gericht gelangt angesichts der Erfahrungen im Zusammenhang mit ec Kartenmissbrauch ist jedoch zu erwarten dass sich diese Linie durchsetzen wird und die Banken dem Kunden das Risiko des Phishing und Pharming zuweisen Prof Dr Gerald Spindler 201 481 482 930 931 932 933 934 935 936 937 938 1 Rechtliche Grundlagen des Online Banking Die Online Bankgesch fte bilden einen Ausschnitt aus dem Bereich des Direktban king welcher neben der Abwicklung von Bankgesch ften ber die herk mmlichen Kommunikationswege wie Brief Telefon und Fax auch Online und Homebanking um 931 fasst Der Begriff des Online Banking kann als berbegriff f r alle online abgewi ckelten Bankgesch fte verwendet werden Online Banking i w S Von Online B
140. tion des Provider Servers nicht besteht der Anscheinsbeweis seiner Urheberschaft fort iii Szenario 3 Beim Pharming i e S mit Trojaner obliegt dem Bankkunden als erste H rde die Er sch tterung des Anscheinsbeweises f r seine Urheberschaft f r die Transaktion Diese wird gelingen wenn sich der Trojaner auf dem PC des Kunden noch nachweisen 1149 Karper DuD 2006 215 219 Prof Dr Gerald Spindler 248 l sst Andernfalls kommt es auf die Frage der Pflichtverletzung nicht mehr an da der Bankkunde als Urheber des Auftrags an die Bank gilt 588 F r die Ersch tterung des Anscheinsbeweises f r eine Sorgfaltswidrigkeit wird man hinsichtlich einzelner Pflichtverletzungen unterscheiden m ssen Im Hinblick auf die Sicherung des eigenen PC kann sich der Bankkunde entlasten wenn er die Durchf h rung der ihm zumutbaren Sicherungsma nahmen Virenschutz regelm ige Systemup dates nachweist Dieser Nachweis l sst sich bei beim Betriebssystem Windows und den meisten Anti Virus Programmen durch eine automatisch protokollierte Liste der Updates f hren Konnte die Installation des Trojaners trotz dieser Sorgfaltsma nahmen nicht verhindert werden ist der Anscheinsbeweis f r eine Pflichtverletzung des Kunden dennoch ersch ttert Bejaht man eine Pflichtverletzung wegen des ffnens eines E Mail Anhangs kommt es darauf an ob der Bankkunde darlegen kann dass er auf die Seriosit t des Inhalts vertrauen durfte
141. und Dauer verzichten will Gegen die Annahme einer Rechtsscheinshaftung beim Online Banking spricht indessen dass die Wie hier Siebert Das Direktbankgesch ft S 133 Langenbucher Die Risikozuordnung im bargeldlosen Zahlungsverkehr S 146 Recknagel Vertrag und Haftung beim Internet Banking S 138 f Recknagel Vertrag und Haftung beim Internet Banking S 139 So insbesondere Flume AT II 49 3 4 dem folgend Medicus B rgerliches Recht Rn 101 Pawlowski Allgemeiner Teil des BGB Rn 720 Staudinger Schilken 167 BGB Rn 31 Erfurth WM 2006 2198 2200 Wiesgickl WM 2000 1039 1047 Werner Bankrecht und Bankpraxis Rn 19 349 Langenbu cher Die Risikozuordnung im bargeldlosen Zahlungsverkehr S 25 Recknagel Vertrag und Haftung beim Internet Banking S 138 Canaris Die Vertrauenshaftung im deutschen Privatrecht S 48 ff Zur Btx Rechtsscheinsvollmacht Lachmann NIW 1984 405 408 f r Btx im Bankbereich unter Ver wendung von PIN und TAN auch Borsum Hofmeister NIW 1985 1205 1206 im Ergebnis wohl ebenso D rner AcP 202 2002 363 390 BGH JZ 2006 1073 1074 mit Anm Lobinger Prof Dr Gerald Spindler 209 500 gesetzlich geregelten F lle der Rechtsscheinshaftung im nicht kaufm nnischen Ver kehr f r die Zurechnung eines Rechtsscheins grunds tzlich die bewusste Schaffung des Rechtsscheinstatbestandes z B 170 ff 405 BGB verlangen Insbesondere im Verbrau
142. und Technikrecht S 171 mwN Reiff in Marburger Technische Regeln im Umwelt und Technikrecht S 171 Spindler Unternehmens organisationspflichten S 805 BGH VersR 1984 270 271 in einer Reihe von Entscheidungen bejaht der BGH die Pflichtwidrigkeit ganz ma geblich aufgrund des Versto es gegen technische Normen BGH NJW 2004 1449 1450 BGH NJW 2001 2019 2020 BGH NJW 1991 2019 2021 ebenso im Ergebnis die Literatur wonach das Unterschreiten der technischen Normen regelm ig eine Verkehrspflichtverletzung darstellt Soergel Krause Anh II 823 BGB Rn 16 Foerste in v Westphalen ProdHaftHdB 24 Rn 39 M nch KommBGB Wagner 823 BGB Rn 578 Bamberger Roth Spindler 823 BGB Rn 257 Prof Dr Gerald Spindler 80 177 178 179 In der Literatur wird berwiegend eine differenzierende Betrachtungsweise zugrunde gelegt Die Nichteinhaltung einer technischen Norm ist danach regelm ig mit der Ver letzung einer Verkehrspflicht gleichzusetzen wenn jegliche Sicherheitsma nahmen un terlassen werden oder das Sicherheitsniveau der technischen Norm durch die vom Ver kehrspflichtigen gew hlte L sung unterschritten wird Dem Verkehrspflichtigen steht es aber jederzeit frei das erforderliche Sicherheitsniveau durch gegen ber der techni schen Norm alternative L sungen zu erreichen Rn 145 Er tr gt in diesem Fall aber die Beweislast daf r dass die gew hlte Sicherheitsleistung den Vorgaben de
143. unten Rn 250 kann den Hersteller damit nicht pauschal entlasten Au erhalb des Bereichs der Produkthaftung hat das OLG Hamm T V Ger tesicherheitspr fungen im Rahmen der Konkretisierung der be rechtigen Sicherheitserwartungen als Indiz herangezogen und einer T V Genehmigung f r den Betrieb einer Anlage eine indizielle Bedeutung daf r zugesprochen dass die Anlage den Sicherheitserwartungen der Benutzer entspricht Auch Zertifizierungen und Pr fungen nach der Neuen Konzeption der EU ber Produktsicherheit ber hren nicht die zivilrechtliche Haftung des Herstellers Auch in soweit ist zu bedenken dass sich die Konformit tsbewertung jeweils nur auf die in den Richtlinien festgelegten Sicherheitsanforderungen bezieht welche nur den Mindest standard wiedergeben und nicht zwangsl ufig identisch mit dem zivilrechtlichen Ver kehrspflichten sind Das CE Kennzeichen unten Rn 248 mag zwar als formales Schutzschild gegen beh rdliche Ma nahmen wirken enth lt aber keine Qualit t saussage und kann den Hersteller keinesfalls von der Produkthaftung entlasten Dies gilt unabh ngig davon ob der Hersteller selbst oder eine neutrale benannte Stelle die Konformit tsbewertung durchgef hrt hat 6 Abs 4 MPG als Umsetzung der Medi zin Produktrichtlinie die dem New Approach folgt stellt ausdr cklich klar dass die 328 329 330 331 332 333 334 335 Bamberger Roth Spindler 823 BGB R
144. unten Rn 518 Wiesgickl WM 2000 1039 1049 Karper DuD 2006 215 217 Ausf hrlich dazu Bamberger Roth Spindler 823 BGB Rn 511 Prof Dr Gerald Spindler 217 518 519 c Aufkl rungs Instruktions und Warnpflichten Die Bank trifft gegen ber dem Kunden eine Aufkl rungs und Instruktionspflicht be reits im Vorfeld der erstmaligen Benutzung Gerade f r technisch unerfahrene Kun den besteht in dieser Situation der gr te Informationsbedarf Mit Abschluss des Onli 1009 ne Bankingvertrages ist der Kunde daher in die Benutzung des Systems und das 1010 im Besonderen einzuweisen Sofern verschiedene Siche Missbrauchsrisiko rungsverfahren z B PIN TAN und HBCI angeboten werden kann von der Bank auch erwartet werden dass der Kunde vor die Wahl zwischen den verschiedenen Systemen gestellt wird Dem Kunden sind hierzu die Vor und Nachteile der einzelnen Systeme zu erl utern und insbesondere im Fall von HBCI die h heren Kosten dem Nutzen ge gen ber zu stellen In der Praxis der Banken erfolgt derzeit oftmals keinerlei Hinweis auf Verfahren mit Chipkarte und elektronischer Signatur dies d rfte jedoch mit dem Umstand zusammenh ngen dass viele Kunden sich f r das bequemere PIN TAN Verfahren entscheiden und die Kosten f r die Anschaffung von HBCI scheuen Erlangt die Bank Kenntnis von neuen Risiken zur Beobachtungspflicht oben Rn 516 hat sie ihre Kunden unverz glich zu
145. unterschied lichen Begr ndungen z B teleologische Reduktion 85 keine sklavische Anwendung des Sachbegriffs im Rahmen des 651 BGB Schwerpunkt der Leistung auf 188 Software nicht anwenden will und so zum Werkvertragsrecht gelangt Aufgrund der jahrelangen stetigen Rechtsprechung wird man aber wohl weiter Software als Sache qualifizieren m ssen Der XII Zivilsenat hat j ngst ebenfalls Software aufgrund der n 189 tigen Verk rperung eindeutig als Sache bezeichnet Um dennoch zu einer interessen gerechten L sung zu gelangen sollte man darauf verzichten den Sachbegriff im Rah men des 651 BGB derart strikt anzuwenden um bei der Erzeugung von Individual software dennoch zur Anwendbarkeit des Werkvertragsrecht zu gelangen 120 IH Au ervertragliche Produkthaftung 1 Verschuldensabh ngige Produzentenhaftung Weitestgehend unstreitig ist inzwischen dass die verschuldensabh ngige Haftung nach 823 ff BGB auch auf Software als Produkt Anwendung findet da anders als im ProdHaftG der Streit um die Sacheigenschaft der Software f r die Anwendung der 823 ff BGB unerheblich ist da es nur auf das Vorhandensein einer Gefahrenquelle ankommt gleich welcher Natur das Produkt ist von dem die Gefahr ausgeht 91 Vor al lem im gewerblichen Bereich spielt die verschuldensabh ngige Produkthaftung nach 88 823 ff BGB daher eine entscheidende Rolle Die verschuldensabh ngige Produkthaftung kann d
146. uterungen der BaFin als g ngige Standards beispiels weise die BSI Standards f r den IT Grundschutz und die Norm ISO 17799 der Interna tional Standards Organisation einstufen unten Rn 451 Dar ber hinaus sind von der BaFin f r die Auslegung des 25a KWG und die Verwaltungspraxis die Empfehlungen 860 des Basle Committee on Banking Supervision zu beachten Nach Principle 8 des Rahmenkonzepts zu Internal Control Systems ist ein sicheres Management Informati onssystem einzurichten Wegen der mit elektronischen Informationssystemen und dem Einsatz der Informationstechnologie verbundenen Risiken sind hierbei allgemeine Kon Boos Fischer Schulte Mattler Braun 25a KWG Rn 12 143 Boos Fischer Schulte Mattler Braun 25a KWG Rn 143 Boos Fischer Schulte Mattler Braun 25a KWG Rn 144 Boos Fischer Schulte Mattler Braun 25a KWG Rn 19 Spindler in Fleischer Handbuch des Vor standsrechts 19 Rn 27 ff Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 sog MaRisk Rundschreiben abrufbar unter http www bafin de rundschreiben 89_2005 051220 htm zuletzt abgerufen am 20 02 2006 Ausf hrlich Spindler in Fleischer Handbuch des Vorstandsrechts 2006 19 Rn 27 ff Spindler in Fleischer Handbuch des Vorstandsrechts 19 Rn 32 Prof Dr Gerald Spindler 186 446 447 861 862 863 864 865 866 trollen und Anwendungskontrollen ei
147. vereinbart werden Sofern die Bank keinen Vertragsschluss beweisen kann zum Anscheinsbeweis s unten Kann sie ihre Forderung allein auf eine Sorgfaltspflichtverletzung des Kunden im Umgang mit den Legitimationsmedien st tzen Entscheidend ist hierbei die Pflichtenabgrenzung zwischen Bank und Kunde wobei sich eine enge Wechselbeziehung zwischen den Pflichten der Bank insbesondere Informations und Warnpflichten und den Pflichten des Kunden zeigt Den Bankkunden treffen beim Online Banking keine gegen ber dem normalen Internetverkehr erh hten Sorgfaltsanforderungen Die Sicherheitserwartungen des Verkehrs orientieren sich insbesondere im IT spezifischen Bereich an den techni schen F higkeiten des Durchschnittsnutzers Sofern im Einzelfall ein Schadensersatzan spruch gegen den Kunden bejaht werden kann kommt eine K rzung wegen Mitver schuldens der Bank etwa wegen unzureichender Aufkl rung in Betracht 1070 Recknagel Vertrag und Haftung beim Internet Banking S 142 Werner MMR 1998 338 340 Wiesgickl WM 2000 1039 1050 Janisch Schartner DuD 2002 162 167 Recknagel Vertrag und Haftung beim Internet Banking S 142 Zu verschuldensunabh ngigen Abw lzung des F lschungsrisikos auf den Kunden in den ec Bedingungen 1989 s BGHZ 135 116 122 und ausf hrlich Neumann Bock Zahlungsverkehr im Internet Rn 171 ff zur Kundenkreditkarte BGHZ 114 238 245 1072 Kind Werner CR 2006 353 354 1071 Prof Dr Gerald Spind
148. von Unter nehmen Pflicht oder K r in BB 2005 2437 2444 C amp L Deutsche Revision Hrsg 6 KWG Novelle und neuer Grundsatz I Frankfurt am Main 1998 Cahn Andreas Produkthaftung f r verk rperte geistige Prof Dr Gerald Spindler Leistungen in NJW 1996 2899 2905 Calabresi Guido The Cost of Accidents Yale 2000 Callies Christian Ruffert Matthias Kommentar zu EU Vertrag und EG Vertrag 2 Auflage Neuwied Krif tel Berlin 2006 zitiert Bearbeiter in Callies Ruffert Canaris Claus Wilhelm Die Vertrauenshaftung im deutschen Pri vatrecht M nchen 1971 zitiert Canaris Die Vertrauenshaftung im deutschen Privatrecht Canaris Claus Wilhelm Bankvertragsrecht 3 Auflage Berlin New York 1988 zitiert Canaris Bankvertragsrecht Capellaro Christoph F ser Karsten Basel II IT Risiken als Ratingkriterium in Die Bank 2005 68 71 Christiansen Per Wahrheitswidrige Tatsachenbehauptung in einem Internetportal in MMR 2004 185 186 Cichon Caroline Internet Vertr ge 2 Auflage K ln 2005 Coase Ronald H Ihe Problem of Social Cost in The Journal of Law and Economics Bd 3 1960 1 44 Coase Ronald H Law and Economics at Chicago in The Journal of Law and Economics Bd 1 2 1993 239 254 Coleman James S Foundations of Social Theory 3 Auflage
149. weit die Pflichten des Kunden gefasst werden v Schaden der Bank berweist die Bank einen Geldbetrag an einen Angreifer welcher sich Zugang zum Legitimationsmedium des Kunden verschafft hat so besteht ein Schaden der Bank grunds tzlich in H he des berweisungsbetrages W hrend bei einer Bargeldabhebung am Geldautomaten mittels EC Kartenmissbrauchs der T ter im Regelfall nicht mehr ermittelt werden kann und der Abhebungsbetrag somit vorbehaltlich eines etwaigen Mitverschuldens der Bank meist identisch mit dem Schaden der Bank ist liegt die Si tuation bei einer Online berweisung insoweit anders als eine R ckverfolgung der berweisung technisch m glich ist 1055 Geht man davon aus dass die berweisung dem Kunden nicht zurechenbar ist und mithin keine wirksame Anweisung des Kunden gegen ber der Bank vorliegt 6 steht der Bank ein Anspruch aus 812 Abs 1 Satz 1 1057 Fall 2 BGB Direktkondiktion gegen den Zahlungsempf nger und unter Umst nden Vgl HI Nr 1 4 der ec Bedingungen der Privatbanken abgedruckt bei Werner in Heller Steuer Band 3 6 1763a Kind Werner CR 2006 353 354 Langenbucher Die Risikozuordnung im bargeldlosen Zahlungsverkehr S 148 Dazu Langenbucher Die Risikozuordnung im bargeldlosen Zahlungsverkehr S 175 Liegt dagegen etwa wegen Bejahung einer Rechtsscheinshaftung eine wirksame Anweisung des Kunden vor sind auch die Voraussetzungen f r einen Aufwendungsersatzanspruch der
150. wenn dies zur Vermeidung von Personensch den erforderlich ist 493 494 495 496 Wilrich 4 GPSG Rn 28 Wilrich Einleitung Rn 39 Spindler Unternehmensorganisationspflichten S 159 Dies wird zu wenig ber cksichtigt von Runte Potinecke CR 2004 725 728 die beispielsweise auch Informationspflichten zur Datensicherung aus dem GPSG ableiten die Autoren fassen jedoch anders als die wohl berwiegende Meinung unter den Begriff der Sicherheit auch Eigentums und damit Da tensch den Prof Dr Gerald Spindler 104 237 Aus dem GPSG ergeben sich hinsichtlich der Pflichten der Hersteller von Hardware 238 keine wesentlichen Unterschiede gegen ber den Herstellern anderer technischer Ger te Sie trifft daher insbesondere die Pflicht dem Produkt eine Gebrauchsanleitung in deut scher Sprache beizuf gen f r den nicht harmonisierten Bereich 4 Abs 4 Nr 2 GPSG Die Anforderungen an den Schutz der pers nlichen Integrit t der Verwender und Dritter bilden hierbei wie in anderem Zusammenhang oben Rn 146 bereits aus gef hrt den ffentlich rechtlich geforderten Mindeststandard ohne die zivilrechtlichen Verkehrspflichten abschlie end mitzubestimmen Besondere Bedeutung aus dem An forderungskatalog des 4 Abs 2 Satz 2 GPSG f r die Herstellerpflichten d rfte im Be reich der IT Hersteller Hard und Software die Einwirkung des Produkts auf andere Produkte deren Verwendung zu erwarten war N
151. zur Geheimhaltung der Identifikations und Legitimationsmedien zu beachten Die den Nutzer identifizierenden Daten d rfen nicht au erhalb der Sicherheitsmedien z B auf der Festplatte des Rechners gespeichert werden die Identifikations und Legitimationsmedien sind nach Beendigung der Online Banking Nutzung aus dem Leseger t zu entnehmen und sicher zu verwahren das zum Schutz der Identifikations und Legitimationsmedien dienende Passwort darf nicht notiert oder elektronisch abgespeichert werden bei Eingabe des Passwortes ist sicherzustellen dass Dritte dieses nicht aussp hen k nnen 526 Die Bedingungen stellen weitgehend allgemeine Pflichten hinsichtlich der Geheimhal tung der Legitimationsmedien auf sehen jedoch keine IT spezifischen Pflichten wie et 5 Abgedruckt in WM 2001 650 Prof Dr Gerald Spindler 221 527 wa die Installation von Anti Virensoftware Firewalls usw oder Verhaltenspflichten in Bezug auf Phishing E Mails vor Die deutschen Banken haben auf die neuartigen Bedrohungsszenarien durch Phishing und Pharming nunmehr mit einer Anpassung der Allgemeinen Bankbedingungen re agiert So bestimmen nunmehr beispielsweise die AGB der Deutsche Bank AG Anfragen au erhalb der bankseitig zur Verf gung gestellten origin ren Zugangswege in denen nach vertraulichen Daten wie Geheimzahl oder Passwort Online TAN gefragt wird d rfen nicht beant wortet werden Der Aufforderung per
152. 005 Koenig Christian Loetz Sascha Neumann Telekommunikationsrecht Heidelberg Prof Dr Gerald Spindler XXIX 2004 Andreas K hler Helmut Die haftungsrechtliche Bedeutung techni scher Regeln in BB 1985 Beilage 4 10 15 K hler Helmut Die Problematik automatisierter Rechts vorg nge insbesondere von Wil lenserkl rungen in AcP 182 1982 126 270 K ndgen Johannes Hrsg Neue Entwicklungen im Bankhaftungs recht K ln 1989 K tz Hein Deliktsrecht 10 Auflage M nchen 2006 K tz Hein Sch fer Hans Bernd Judex oeconomicus T bingen 2003 Kraft Dennis Meister Johannes Rechtsprobleme virtueller Sit ins in MMR 2003 366 374 Kr ger Detlef Gimmy Marc A Hrsg Handbuch zum Internet Recht 2 Auflage Berlin Heidelberg New York 2002 zitiert Bearbeiter in Kr ger Gimmy Kropff Bruno Semler Johannes Hrsg M nchener Kommentar zum Aktiengesetz 2 Auflage M nchen 2000 ff zitiert M nchKommAktG Bearbeiter Kr ger Thomas B tter Michael Elektronische Willenserkl rungen im Bankgesch ftsverkehr Risiken des Online Banking in WM 2001 221 231 Kr ger Thomas B ttner Michael Justitia goes online Elektronischer Rechtsverkehr im Zivilprozess in MDR 2003 181 189 K bler Friedrich Effizienz als Rechtsprinzip in Baur J r
153. 1024 noch zum alten ProdSG G Wagner BB 1997 2541 2542 Nickel Kaufmann VersR 1998 948 951 f v Westphalen DB 1999 1369 1371 Marburger FS Deutsch 271 288 Zur alten Rechtslage nach dem ProdSG Kullmann Pfister Kullmann Kz 2705 S 8 f Noch zur alten Rechtslage Kullmann Pfister Kullmann Kza 2705 S 3 14 Wagner BB 1997 2541 2541 f Klindt GPSG 4 GPSG Rn 8 Bamberger Roth Spindler 823 BGB Rn 159 Prof Dr Gerald Spindler 85 189 190 191 2 Verschuldensunabh ngige Produkthaftung Prod HaftG Neben die Haftung nach Deliktsrecht s 15 Abs 2 ProdHaftG tritt die verschulden sunabh ngige Haftung nach dem ProdHaftG welches der Umsetzung der EG Produkthaftungsrichtlinie dient In seiner praktischen Bedeutung bleibt das Prod HaftG wegen seiner engeren Voraussetzungen hinter der deliktischen Haftung zur ck Das ProdHaftG kann nach 14 ProdHaftG vertraglich nicht abbedungen werden 14 ProdHaftG a Produktbegriff des ProdHaftG 2 ProdHaftG 2 ProdHaftG definiert als Produkt jede bewegliche Sache auch wenn sie einen Teil einer anderen beweglichen Sache oder einer unbeweglichen Sache bildet sowie Elektri zit t Als bewegliche Sache f llt Hardware unproblematisch unter den Produktbegriff des 2 ProdHaftG Gleiches gilt f r alle Arten k rperlicher Datentr ger als solcher 322 Nach wie vor ist die Frage umstritten ob Software unter den Produktbegriff des Pro
154. 1993 zur nderung der Richtlinien 87 404 EWG einfache Druckbeh lter 88 378 EWG Sicherheit von Spielzeug 89 106 EWG Bauprodukte 89 336 EWG elektromagnetische Vertr glichkeit 89 392 EWG Maschinen 89 686 EWG pers nliche Schutzaus r stungen 90 384 EWG nichtselbstt tige Waagen 90 385 EWG aktive implantierbare medizinische Ger te 90 396 EWG Gasverbrauchseinrichtungen 91 263 EWG Telekommunikationsendeinrichtun gen 92 42 EWG mit fl ssigen oder gasf rmigen Brennstoffen beschickte neue Warmwasserheizkessel und 73 23 EWG elektrische Betriebsmittel zur Verwendung innerhalb bestimmter Spannungsgrenzen ABI L 220 vom 30 8 1993 S 1 22 und Europ ische Kommission Leitfaden f r die Umsetzung der nach dem neuen Konzept und dem Gesamtkonzept verfassten Richtlinien abrufbar unter http ec europa eu enterprise newapproach legislation guide document guidepublicde pdf Wilrich 6 GPSG Rn 5 Prof Dr Gerald Spindler 108 249 250 509 510 511 512 vorschreibt Es handelt sich dabei indes um kein Zeichen der Qualit t oder der Sicher heit des Produkts sondern allein um eine Kennzeichnung zur Erleichterung des frei en Warenverkehrs in der EU und dem EWR europ ischer Reisepass f r Produk te Die Markt berwachungsbeh ren k nnen bei mit dem CE Kennzeichen versehe nen Produkten von der Einhaltung der wesentlichen Sicherheitsanforderungen der EU Richtlinien ausgehen und m ssen M
155. 2002 58 EG des Europ ischen Parlaments und des Rates vom 12 Juli 2002 Prof Dr Gerald Spindler 282 rechtliche Bestimmungen die fruchtbar gemacht werden k nnen So muss der Diensteanbieter gem 13 Abs 4 TMG durch technische und organisatorische Vorkeh rungen sicherstellen dass der Nutzer Teledienste gesch tzt gegen die Kenntnisnahme Dritter in Anspruch nehmen kann 686 Die von der EG Richtlinie zum Datenschutz und vom TMG verlangten Sicherheitsvor kehrungen sind nach allgemeinem Deliktsrecht als grundlegende Sicherheitsstandards im Sinne von Verkehrspflichten von den Betreibern von Rechnern im Netz zu beachten Das TMG schlie t weitergehende zivilrechtliche Anspr che nicht aus vielmehr k nnen die datenschutzrechtliche Vorgaben des TMG gegebenenfalls sogar als Schutzgesetze nach 823 II BGB vom Betroffenen zur St tzung von Schadensersatzanspr chen he rangezogen werden S 687 Demnach haben alle in die bermittlungskette eingeschalteten Betreiber je nach ihrer Einflusssph re daf r Sorge zu tragen dass die Privatsph re von abgesandten Nachrich ten gewahrt bleibt Insbesondere von Providern die einen E Mail Dienst in ihr Angebot integriert haben muss verlangt werden dass die Nachrichten vor dem unbefugten Ab h ren und gegen den unbefugten Zugriff Dritter gesichert wird 688 Allerdings ist auch hier wiederum zu ber cksichtigen welchen Grad an Sicherheit der Verkehr erwartet Warnt der Provider den Abs
156. 2005 189 192 Prof Dr Gerald Spindler 295 724 125 1305 1306 1307 1308 1309 1310 1311 1312 arbeiterschulung sowie vertragliche Absicherungen Eu Ergreift ein Provider also Ma nahmen zur Abwehr eines Angriffes durch Computerviren so wird er sich auf 109 TKG berufen k nnen hnliches gilt f r ein Unternehmen dass ihren Arbeitgebern die private Internetnutzung gestattet In diesem Fall ist das Unternehmen Diensteanbie ter iSd 109 Abs 1 TKG und muss danach angemessene Vorkehrungen und Ma nah men zu Schutz des Fernmeldegeheimnisses personenbezogener Daten sowie der Tele kommunikations und Datenverarbeitungssysteme treffen was auch den Schutz gegen Spam und Viren umfasst u Zur Durchsetzung der die Diensteanbieter und Betreiber von Telekommunikationsanla gen nach dem TKG treffenden Verpflichtungen kann die Bundesnetzagentur f r Elekt r zit t Gas Telekommunikation Post und Eisenbahnen als zust ndige Regulierungsbe h rde 116 TKG nach 115 126 TKG Anordnungen Verwaltungsakte und andere Ma nahmen treffen 8 Das Problem an der Regelung des 109 TKG ist dass er dem Betreiber und Dienstean bietern zwar gewisse Sicherheitspflichten aufgibt ein Mindestniveau f r die Sicherheit aber durch die zum Teil wenig konkreten Anforderungen kaum ersichtlich ist Noch im alten 87 TKG war eine Verordnungserm chtigung enthalten nach der die Bundes regierung die M glichkeit g
157. 233 233 235 235 236 238 238 240 243 244 244 245 246 247 247 247 248 249 249 250 250 251 8 V Besondere Risikopotentiale f r Experten und beratende Berufe Rechtsanw lte etc 1 Vorbemerkung 2 Gefahrenpotential und Gegenma nahmen 3 Rechtsanw lte a 43a Abs 2 BRAO Verschwiegenheitspflicht b BDSG 1 Rechtsanw lte als nicht ffentliche Stellen 2 Verh ltnis des BDSG zur BRAO 3 Ergebnis c Vertragliche Nebenpflichten d Deliktische Haftung e Ergebnis 4 Steuerberater 5 rzte a Berufsrecht b SGB c BDSG d Vertragliche Nebenpflichten e Deliktische Haftung f Ergebnis 6 Zwischenergebnis besondere Verantwortlichkeit von Experten und beratenden Berufen VI Pflichten kommerzieller Nutzer bersicht 1 Betrachtete Normen 2 Gemeinsame Pflichten 3 Unterschiede 4 Anwendbarkeit bzw Verh ltnis der Normen zueinander 5 Ergebnis VII Endergebnis E Verantwortlichkeit von IT Intermedi ren I berblick I Sicherungspflichten der IT Intermedi re f r ihre eigenen Systeme 1 Vertragliche Verantwortlichkeit 2 Vertrags hnliche Anspr che 3 Deliktische Verantwortlichkeit a Vernichtung von Daten des Nutzers 1 Haftung von Host Providern 2 Haftung von Access Providern 3 Haftung von Betreibern von Router Rechnern b Verletzungen des allgemeinen Pers nlichkeitsrechts au erhalb von u erungsdelikten 1 Schutz der Intim und Privatsph re 2 Unerbetene elektronische Post un
158. 366 367 368 Abl daher generell zur Haftungsentlastung durch Einhaltung von DIN Normen bzw allgemein anerkann ten Regeln der Technik Huth Die Bedeutung technischer Normen S 210 ff BGH NJW 1994 3349 3350 OLG Hamm VersR 1996 1517 1518 BGH NJW 1984 801 802 BGH NJW 1987 372 373 im Werkvertragsbereich BGH NJW 1998 2814 2815 Foerste in v Westphalen ProdHaftHdB 24 Rn 42 Schmidt Salzer Produkthaftung Bd II 1 Rn 4 754 f Hollmann DB 1985 2389 2395 RGRK Steffen 823 BGB Rn 277 Kull mann Pfister Kullmann Kz 1520 S 13 f Schmatz N thlichs Sicherheitstechnik Bd I Teil 1 3 GSG Anm 5 3 3 zur Produkthaftung Falke Rechtliche Aspekte der Normung in den EG Mitgliedsstaaten und der EFTA S 451 f restriktiver Marburger Die Regeln der Technik im Recht S 467 f Marburger VersR 1983 597 602 f mwN der eine generelle Pr fungspflicht nur f r die besondere Risikolage an nimmt nicht aber hinsichtlich der Richtigkeit der Regel dagegen Huth Die Bedeutung technischer Nor men S 208 f Vgl Schmidt Salzer Produkthaftung Bd II 1 Rn 4 757 Marburger VersR 1983 597 603 Huth Die Bedeutung technischer Normen S 219 ff insoweit auch Bayer Auswirkungen eines zertifizierten Qualit tsmanagementsystems S 102 105 bertragen auf die Arzthaftung im Hinblick auf Qualit tsma nagementsysteme Steffen in FS Deutsch S 799 807 Reiff in Marburger Technische Regeln im Umwelt
159. 4 NJW 1952 660 661 Constanze I NJW 1959 479 481 Stromkabel NJW 1983 810 NJW 1998 2141 NJW RR 2005 673 675 Bamberger Roth Spindler 823 Rn 108 M nchKommBGB Wagner 823 Rn 185 Meier Wehlau NJW 1998 1589 Faustmann VuR 2006 262 LG Konstanz NJW 1996 2662 Prof Dr Gerald Spindler 55 119 120 227 228 229 230 231 232 233 234 entsprechende Rechtsgutsverletzung herbeif hren etwa schadhafte Bremsen bei einem Kfz die zu einem Unfall mit Verletzungsfolgen f hren sind bei IT Produkten oftmals Einfl sse Dritter im Spiel die Zurechnungsfragen aufwerfen a Haftung f r Verhalten Dritter Hacker Grunds tzlich treffen den Beherrscher der Gefahrenquelle Sicherungspflichten auch dann wenn erfahrungsgem mit einem Fehlverhalten Dritter zu rechnen ist Bei spiele hierf r sind Sicherungsvorkehrungen des Grundst ckseigent mers gegen miss br uchliches Verhalten Dritter eines Veranstalters gegen bergriffe der Zuschauer auf Nachbargrundst cke die Beseitigung von durch mutwillige Aktionen auf eine Fahrbahn geratenen Hindernis se 231 oder die Sicherung von Kraftfahrzeugen gegen Be nutzung durch Unbefugte Demgem ist sowohl im allgemeinen Deliktsrecht als auch in der Produkthaftung anerkannt dass der Beherrscher der Gefahrenquelle der Software auch f r Sch den einstehen muss die erst durch das vors tzliche Ausnutzen der durch
160. 4 GPSG solchen Normen zu die vom Ausschuss f r technische Arbeits mittel und Verbraucherprodukte ermittelt und von einer beauftragten Stelle im Bundes anzeiger bekannt gemacht worden sind Dem Ausschuss f r technische Arbeitsmittel und Verbraucherprodukte AtAV obliegt gem 13 Abs 2 Nr 2 die Ermittlung von Normen mit Vermutungswirkung im Sinne des 4 Abs 2 Satz 4 GPSG Er ist beim Bundesministerium f r Wirtschaft und Arbeit BMWA angesiedelt 03 13 Abs 1 GPSG Dem Ausschuss geh ren sachverst ndige Personen aus dem Kreis der zust ndigen Beh rden f r Sicherheit und Gesundheit des Bundes und der L nder der zugelassenen Stellen 2 Abs 15 GPSG der Tr ger der 503 Laut Gesetz ist dieses zust ndig Allerdings existiert das BMWA durch eine Umstrukturierung nicht mehr Zust ndige Beh rde ist nunmehr das Bundesministerium f r Arbeit und Soziales BMAS Prof Dr Gerald Spindler 107 246 247 248 gesetzlichen Unfallversicherung des Deutschen Instituts f r Normung e V der Kom mission Arbeitsschutz und Normung der Arbeitgebervereinigungen der Gewerkschaf ten und der beteiligten Verb nde an insbesondere Hersteller und Verbraucher w ren nur dann berechtigt Vertreter in den Ausschuss an das BSI als f r Sicherheit zust ndige Bundesoberbeh rde zu entsenden wenn Fragen der Sicherheit und Gesundheit in seine Zust ndigkeit fielen s 3 BSIG W hrend der alte Ausschuss f r tech
161. 4 ff Gesetz ber Medizinprodukte Medizinproduktegesetz MPG vom 7 8 2002 BGBl I S 2304 Prof Dr Gerald Spindler 94 207 208 209 210 tes die insbesondere den sog New Approach dazu unten Rn 1 c 1 b umgesetzt ha ben um zu einer m glichst flexiblen und aktuellen Harmonisierung im Produktsicher heitsbereich zu gelangen Ziel des GPSG ist es Schutz vor unsicheren Produkten hinsichtlich des Verbraucher und Arbeitnehmerschutzes zu gew hrleisten und den freien Wahrenverkehr mit sicheren Produkten sicherzustellen Das GPSG soll insbesondere das gemeinsame Dach f r alle Verbraucherprodukte im Sinne der Produktsicherheitsrichtlinie bilden und als Auf fanggesetz f r sonstige Produkte fungieren f r die es keine Spezialnormierung gibt 1 Anwendungsbereich und Anforderungsprofil des GPSG Gem 1 Abs 1 S 1 GPSG gilt das Gesetz f r das Inverkehrbringen und Ausstellen von Produkten das selbst ndig im Rahmen einer wirtschaftlichen Unternehmung er folgt Die private Weitergabe eines Produkts wird folglich nicht vom GPSG erfasst Das Gesetz statuiert in 4 und 5 GPSG besondere Pflichten beim Inverkehrbringen von Produkten f r Hersteller Importeure H ndler und vom Gesetz gleichgestellte Per sonen und regelt zus tzlich nachgelagerte Pflichten zum Produktr ckruf und zur Beo bachtung a Produktbegriff Gefahren die aus der Benutzung fehlerhafter Hard und Software herr hren k
162. 6 Hauschka Christoph E Corporate Compliance Unternehmens organisatorische Ans tze zur Erf l lung der Pflichten von Vorst nden und Gesch ftsf hrern in AG 2004 461 475 H usgen Frank Mit durchg ngigen IT Infrastrukturen die M glichkeiten des Kapitalanlage managements erweitern in VW 2004 1552 1554 Heckeroth Klaus Die Anforderungen der Jahr 2000 Anpassung an Gesch ftsleiter und Abschlusspr fer in DB 1999 702 707 Heiss Helmut Inhaltskontrolle von Rechtswahlklauseln in AGB nach europ ischem Interna tionalem Privatrecht in RabelsZ 2001 634 653 Prof Dr Gerald Spindler XXI Hellner Thorwald Rechtsfragen des Zahlungsverkehrs unter besonderer Ber cksichtigung des Bildschirmtextverfahrens in Hadding Walther Mertens Hans Joachim Immenga Ulrich Pleyer Klemens Schneider Uwe W Hrsg Festschrift f r Winfried Werner zum 65 Geburtstag am 17 Oktober 1984 Berlin New York 1984 S 251 280 Hellner Thorwald Steuer Stephan Bankrecht und Bankpraxis Loseblatt Stand Oktober 2006 K ln zitiert Bearbeiter in Hellner Steuer Henssler Martin Das anwaltliche Berufsgeheimnis in NJW 1994 1817 1824 Henssler Martin Pr tting Hanns Bundesrechtsanwaltsordnung 2 Auflage M nchen 2004 zitiert Bearbeiter in Henssler Pr tting Hermeler Angelika Elisabeth
163. 7 Vgl A II Nr 8 der AGB der Deutsche Bank AG Besondere Bestimmungen im Hinblick auf Angriffe aus dem Internet sehen auch die AGB der Citibank C I Nr 11 vor Entsprechende Hinweise zur Sicher heit beim Online Banking stellt auch der Bundesverband Deutscher Banken BDB in seinen Empfehlun gen zur Verf gung abrufbar unter http www bankenverband de pic artikelpic 072005 br0507_rb_phishing pdf und abrufbar unter http www bankenverband de pic artikelpic 092006 06_09_OnlineBankingSicherheit pdf zuletzt abge rufen am 06 06 2007 Siehe A II Nr 9 abrufbar unter http www comdirect de static pdf corp0058 pdf zuletzt abgerufen am 06 06 2007 Prof Dr Gerald Spindler 222 530 531 1028 1029 1030 des privaten IT Nutzers sind die Grenzen des f r den Kunden technisch und wirtschaft lich Zumutbaren zu beachten allgemein Rn 289 ff zum Online Banking unten Rn 531 ff Hier k nnten sich zumindest Teile der Sorgfaltsanforderungen an den Kunden im Online Banking Bereich als zu streng und mit dem Verbot den Kunden ent gegen den Geboten von Treu und Glauben unangemessen zu benachteiligen 307 Abs 1 2 BGB unvereinbar erweisen 1028 Inhaltskontrolle a Geheimhaltung und sichere Ver wahrung der Legitimationsmedien Die den Kunden treffenden Sorgfaltspflichten sind insoweit unproblematisch als es um die Geheimhaltung und sichere Verwahrung von PIN und TAN bzw der Chipkarte bei HBCI geht Hier li
164. 7 Abs 2 Nr 1 BGB s BGHZ 135 116 121 ff ausf hrlich Neumann Bock Zahlungsverkehr im Internet Rn 171 ff Canaris Bankvertragsrecht Rn 527 ff Borsum Hofmeister NIW 1985 1205 ff Werner in Hell Prof Dr Gerald Spindler 230 550 der Verwendung von PIN und TAN von demjenigen getragen werden in dessen Ver antwortungsbereich der sichere Umgang mit diesem Legitimationsmedium geh rte Die Zul ssigkeit solcher verschuldensunabh ngig formulierter Klauseln ist umstritten die Frage war jedoch nicht Gegenstand einer gerichtlichen Entscheidung F r das Onli ne Banking w re eine bertragbarkeit des Sph rengedankens denkbar da auch hier der Kunde nach berlassung der Legitimationsmedien das Risiko eines Missbrauchs letzt lich besser beherrschen kann Dagegen spricht aber bereits dass es sich beim Btx um ein geschlossenes System handelte und Bedrohungen wie Phishing und Pharming zur damaligen Zeit noch unbekannt waren die Missbrauchsursachen beim Btx waren stets 1065 am Anschluss des Kunden zu suchen F r den Bereich des Online Banking ist mit der heute wohl herrschenden Meinung die Anordnung einer verschuldensunabh ngigen Haftung in AGB als gem 307 BGB unwirksam anzusehen Nach 307 Abs 2 Nr 1 BGB besteht eine gesetzliche Ver mutung im Zweifel der Unwirksamkeit einer Klausel bei Abweichung vom Leitbild des dispositiven Gesetzesrechts in AGB die nur dann widerlegt ist wenn eine Ge samtw
165. 9 420 421 776 777 778 779 780 781 782 und wird daher von 9 BDSG gefordert Ob auch bereits Intrusion Detection Syste me zum Stand der Sicherheits Technik geh ren l sst sich nicht ohne weiteres ent 778 scheiden Je gebr uchlicher und je leichter handhabbar diese Systeme jedoch werden desto eher wird eine Pflicht zum Einsatz bestehen v Schaffung verbindlicher Regelungen Um den Anforderungen des 9 BDSG sinnvoll nachkommen zu k nnen m ssen die Vorgaben unternehmensintern insgesamt und berall eingef hrt sowie eingehalten wer den Der Datenschutzpflichtige kann sich nicht auf reine Empfehlungen beschr nken auch muss den Unternehmensangeh rigen verdeutlicht werden dass an die Verletzung derartiger Regeln Sanktionen gekn pft werden k nnen vi Dokumentation Bereits als Teil der Risikoanalyse aber auch um die Durchsetzung zu erm glichen bzw zu erleichtern empfiehlt sich die Dokumentation der vorgenommenen Ma nah men sowie der dazu f hrenden Gr nde Hierzu geh rt die Art der Daten Speicherung Speicherort Gef hrdungspotentiale und technisch organisatorische Ma nahmen F r ffentliche Stellen bestehen durch die Rechnungsh fe des Bundes und der L nder fest gelegte Mindestanforderungen vii Datenschutzbeauftragter Ein weiteres Instrument der unternehmensinternen Kontrolle ist die Pflicht zu Bestel lung eines Datenschutzbeauftragten Nach 4f BDSG ist sowoh
166. 9 NJW RR 2006 267 269 Nat rlich kann durch besondere Vertrauensbeziehungen und gerade im Vertragsverh ltnis geweckten Sicherheitserwartungen eine Versch rfung der Sicherheitspflichten gegen ber den deliktischen Pflichten eintreten Die Frage wie Software einzuordnen ist insbesondere im Hinblick auf 651 BGB ist anderweitig ver Prof Dr Gerald Spindler 13 lichen Schadensersatzhaftung spielt das Deliktsrecht nach wie vor eine wichtige Rolle Zum einen entstehen Sicherheitsprobleme oft auch noch nach Ablauf der vertraglichen Gew hrleistungsrechte zum anderen d rften die meisten vertragsrechtlichen Schadens ersatzanspr che am mangelnden Verschulden der Softwareh ndler als Vertragspartner scheitern Abgesehen davon k nnen IT Hersteller Intermedi re und Anwender mit Anspr chen Dritter konfrontiert werden die aus dem Einsatz fehlerhafter Software re sultieren und die nicht auf vertraglichen Anspr chen fu en I Kriterien f r die Pflichtenbestimmung 10 Die verschiedenen Normen f r Sicherheitspflichten verfolgen unterschiedliche Zwecke und unterliegen selbstverst ndlich unterschiedlichen rechtsdogmatischen Grundlagen W hrend die vertragliche Haftung in erster Linie auf dem Gedanken einer besonderen durch Vertrag begr ndeten Vertrauensbeziehung zwischen den Parteien beruht statu iert das Deliktsrecht Verhaltensanforderungen an jedermann Spezialgesetzliche Vor schriften sind in erster Linie an b
167. 91 1077 1079 Marburger Die Regeln der Technik im Recht S 164 f Foerste in v Westphalen ProdHaftHdB 24 Rn 16 Bamberger Roth Spindler 823 BGB Rn 493 M nchKommBGB Wagner 823 BGB Rn 264 579f Foerste in v Westphalen ProdHaftHdB 24 Rn 18 82 ff Prof Dr Gerald Spindler 66 145 146 147 Technischen Normen werden von privaten Normungsorganisationen wie beispielsweise dem deutschen DIN e V erlassen und sind folglich keine Rechtsnormen Nach Auf fassung der Rechtsprechung handelt es sich vielmehr um auf freiwillige Anwendung angelegte Empfehlungen der privaten N ormungsorganisationen Da die technischen Regeln keine rechtliche Bindungswirkung entfalten ist der Hersteller ferner nicht ge hindert das erforderliche Sicherheitsniveau auf abweichende aber gleich geeigneten oder besseren als dem in der technischen Norm vorgezeichnetem Wege alternative Sicherheitsl sungen zu erreichen Die Bedeutung berbetrieblicher technischer Normen im Haftungsrecht liegt nach st n diger Rechtsprechung des BGH darin dass sie anerkannte Regeln der Technik wieder geben und daher zur Bestimmung des nach der Verkehrsauffassung zur Sicherheit Gebotenen in besonderer Weise geeignet sind Technische Normen k nnen heran gezogen werden um den Inhalt von Verkehrspflichten zu konkretisieren Die techni schen Regeln k nnen indes nur als der zu fordernde Mindeststandard herangezogen werden der nicht aussch
168. Aktualit t des be nutzten Browsers ist das grunds tzliche Deaktivieren der Unterst tzung f r Aktive In halte anzuraten Da viele webbasierte Anwendungen die Unterst tzung von Aktiven Inhalten voraussetzen sollten Browser eingesetzt werden die es erm glichen einzelnen vertrauensw rdigen Seiten die Benutzung von Aktiven Inhalten ausdr cklich zu erlau ben Zur Verhinderung eines Angriffes durch webbasierte Anwendungen ist zus tzlich der Einsatz einer sog Personal Firewall zu empfehlen die zus tzlich zu der das ge samte Netzwerk sch tzenden Firewall in der Peripherie des Netzes auf dem jeweiligen 135 Computer des Nutzers arbeitet Wie blich ist au erdem der Einsatz eines Virenscan ners von Vorteil Einsch tzung des Gef hrdungspotentials Durch Fehler in der Implementierung von Aktiven Inhalten sind besonders Anwender gef hrdet die h ufig verschiedenste Inter netseiten besuchen oder webbasierte Anwendungen nutzen deren Vertrauensw rdigkeit sie nicht kennen Anwender die firmeneigene Intranet Applikationen und vertrauens w rdige Seiten mit Hilfe eines Webbrowsers besuchen sind entsprechend weniger ge f hrdet Allerdings sollte die Gefahr die von solchen webbasierten Angriffen aufgrund des Einsatzes von unsicheren Browsern ausgeht keinesfalls untersch tzt werden b Koordination der angegriffenen Systeme Bot Netze Angegriffene Systeme k nnen auch f r koordinierte Angriffe verwendet werden Hier
169. Angreifers Die Ausnutzung der L cke ist folglich der erste Schritt zum Ausf hren koordinierter Angriffe 2 Input Validierung hnliche Folgen wie nicht geschlossene Sicherheitsl cken kann mangelhafte Einga be berpr fung Input Validierung der durch den Anwender eingegebenen Daten bei A B 141 webbasierten Diensten haben Dadurch kann z B ein eigener Code eingeschleust werden der anschlie end direkt eine Schadfunktion erm glicht oder ein entsprechen des Programm nachl dt und installiert Auf diese Art und Weise kann der Angreifer 142 weit reichende Kontrolle ber das System erlangen Die fehlende Input Validierung ist somit ein Spezialfall der Sicherheitsl cken b Gezielte berlastung von Diensten Denial of Service Angriffe Ein typisches Einsatzgebiet f r Bot Netze sind sogenannte Denial of Service Angriffe DoS Angriffe 144 deren Ziel darin besteht eine gezielte berlastung von Diensten zu erreichen so dass diese Dienste nicht mehr nutzbar sind IS Bei DoS Angriffen wird das angegriffene System massenhaft mit Anfragen belastet bis die Ressourcen des Systems ausgesch pft sind und es nicht mehr auf regul re Anfragen antworten kann Wird ein a RB od S dazu heise Newsmeldung vom 6 7 2005 abrufbar unter http www heise de newsticker result xhtml url newsticker meldung 6145 1 amp words Sasser Zum Puffer berlauf der sowohl bei lokal ausgef hrter Software aber gerade auch f r a
170. Arbeitsmittel Kommentar 3 Auflage K ln 2002 Pellens Bernhard berregulierung der Kapitalm rkte in DBW 2003 473 476 Peters Falk Kersten Heinrich Technisches Organisationsrecht i Daten schutz Bedarf und M glichkeiten in CR 2001 576 581 Petrasch Roland Einf hrung in das Software Qualit tsmanagement Berlin 2001 Pfeifer Uwe Solvency II ein Thema f r die IT in VW 2005 1558 1564 Pfeiffer Thomas Vom kaufm nnischen Verkehr zum Un ternehmensverkehr in NJW 1999 169 174 Sven Pfingsten Andreas Maifarth Michael Rieso Grundkonzeption und Allgemeine Rege lungen der MaRisk in Bank 2005 Nr 6 34 36 38 39 Pfister Bernhard Zur Produzentenhaftung wegen Verlet zung der Produktbeobachtungs pflicht gegen ber fremdem Zube cs h r in EWiR 1987 235 236 Pieper Helmut Verbraucherschutz durch Pflicht zum R ckruf fehlerhafter Produkte Prof Dr Gerald Spindler XLIII in BB 1991 985 992 Podehl J rg Internetportale mit journalistisch redaktionellen Inhalten in MMR 2001 17 23 Polke Peter Die darlehensvertragliche Umsetzung der Eigenkapitalgrunds tze nach Basel II Berlin 2005 Popp Andreas Von Datendieben und Betr gern Zur Strafbarkeit des sogenannten phis hing in NJW 2004 3517 3518 Potine
171. BGH NJW 2001 286 ff keine grobe Fahrl ssigkeit bei Aufbewahrung von ec Karte und PIN in einer Woh nung OLG Frankfurt NJW RR 2001 1341 1342 keine grobe Fahrl ssigkeit bei Aufbewahrung der PIN in einem anderen Stockwerk des Hauses Ausf hrlich auch Werner in Hellner Steuer Band 3 6 1386 ff Prof Dr Gerald Spindler 223 532 533 534 auch im Rahmen einer vertraglichen Sonderverbindung zu beachten 241 Abs 2 BGB Im Rahmen des Vertragsverh ltnisses zwischen Bank und Kunde ist daher jedenfalls kein gegen ber den deliktischen Sorgfaltspflichten geringerer Ma stab anzu setzen Gewichtiger ist indes die Frage ob den Bankkunden beim Online Banking gegen ber den allgemeinen Grunds tzen erh hte Sorgfaltspflichten treffen 1032 Hierf r mag zwar sprechen dass sich der Kunde der h heren Sensibilit t von Online Bankgesch ften be wusst sein d rfte und die Risiken durch Phishing E Mails und Trojaner aufgrund von Medienberichten und der Informationsarbeit der Banken einem breiten Publikum be kannt geworden sind allg Rn 473 Die blo e Kenntnis von der Bedrohungslage darf indessen nicht dar ber hinwegt uschen dass dem Gro teil der Internet Nutzer und Online Bankkunden zum gegenw rtigen Stand spezielle Computer und Internet Kenntnisse fehlen um allen diesen Ph nomenen wirksam zu begegnen Anders als die Pflichten zur Geheimhaltung und sicheren Verwahrung der Legitimati onsmedien erschlie
172. BKO Richtlinie f r den betrieblichen Katastro phenschutz Rn Randnummer Rspr Rechtsprechung s siehe S Seite Satz SEC Securities and Exchange Commission SEPA Single Euro Payments Area SH Schleswig Holstein SigG Signaturgesetz SigV Signaturverordnung sog sogenannte SolvV Solvabilit tsverordnung SOX Sarbanes Oxley Act SSL Secure Sockets Layer StGB Strafgesetzbuch StPO Strafprozessordnung TAN Transaktionsnummer TDG Teledienstegesetz TKG Telekommunikationsgesetz TKSIV Telekommunikations Sicherstellungsverordnung Prof Dr Gerald Spindler LXXV TMG Telemediengesetz T V Technischer berwachungs Verein uU unter Umst nden ULD Unabh ngige Landeszentrum f r Daten schutz UrhG Urhebergesetz URL Uniform Resource Locator UWG Gesetz gegen den unlauteren Wettbewerb VersR Versicherungsrecht VG Verwaltungsgericht vgl vergleiche WEP Wired Equivalent Privacy WHG Gesetz zur Ordnung des Wasserhaushalts WM Wertpapiermitteilungen WpHG Wertpapierhandelgesetz WRP Wirtschaft in Recht und Praxis z B um Beispiel ZGR Zeitschrift f r Unternehmens und Gesell schaftsrecht ZIP Zeitschrift f r Wirtschaftsrecht ZKA Der Zentrale Kreditausschuss ZLG Zentralstelle der L nder f r Gesundheits schutz bei Arzneimitteln und Medi zinprodukten ZLS Zentralstelle der L nder f r Sicherheitstech nik ZPO Zivilprozessordnung
173. Bank nach 670 675 676a BGB erf llt Der Kunde kann in diesem Fall nur Bereicherungs und Schadensersatzanspr che gegen den T ter geltend machen OLG Hamburg WM 2006 2078 Langenbucher Die Risikozuordnung im bargeldlosen Zahlungsverkehr S 176 Oechsler in Derleder Knops Bamberger Handbuch zum deutschen und europ ischen Bank Prof Dr Gerald Spindler 229 548 549 1058 1059 1060 1061 1062 1063 Schadensersatzanspr che gegen den T ter zu Ein liquidationsf higer Schaden entsteht demnach erst wenn die Durchsetzung dieser Anspr che scheitert oder von vornherein aussichtslos ist weil der T ter beispielsweise vom Ausland aus gehandelt hat und nicht 1058 greifbar ist Der Schaden wird in diesen F llen dem berweisungsbetrag entspre chen Im Einzelfall wird eine K rzung des Anspruchs wegen Mitverschuldens der Bank 254 BGB in Betracht kommen vi Mitverschulden der Bank 254 BGB Im Schadensersatzprozess der Bank gegen den Kunden k nnte sich der Kunde auf ein Mitverschulden 254 BGB der Bank berufen wenn die mangelnde Sicherheit des Online Bankings miturs chlich f r den Missbrauch wurde Eine Obliegenheitsver letzung der Bank wird beispielsweise vorliegen wenn sie dem Kunden das Erkennen manipulierter Websites durch h ufig wechselnde Designs der Login Seite oder unklare oder nicht nachvollziehbare URLs erschwert Ebenso kann ein Mitverschulden der Bank in Betracht kommen
174. Bedingungen bzw ein Umfeld daf r zu schaffen m glichst hochwertige und fehlerarme Produkte zu schaffen Inhaltlich wird jedoch im Unterschied zu Produktsi 338 339 340 341 Ebenso Fuhrberg H ger Wolf Internet Sicherheit Kap 2 4 2 S 46 Sodtalbers Softwarehaftung im Internet Rn 274 Thaller ISO 9001 S 25 Wilhelm DuD 1995 330 331 335 Burgartz Blum QM Optimizing der Softwareentwicklung S 178 Sodtalbers Softwareentwicklung im Internet Rn 275 OLG Hamburg CR 1986 83 84 LG Heidelberg CR 1989 197 198 Taeger Au ervertragliche Haf tung f r fehlerhafte Computerprogramme S 37 40 f M nchKommBGB Wagner 3 ProdHaftG Rn 15 Prof Dr Gerald Spindler 76 169 170 171 cherheitszertifikaten nicht die Eigenschaft und Qualit t der Software selbst unter si cherheitstechnischen Aspekten berpr ft weshalb die Einhaltung der Normen nicht au tomatisch einen bestimmten Sicherheitsstandard der Software sichern kann Die Zer tifizierung dient demnach nur der Einhaltung von Qualit tsstandards 7 Beweislast a Produkthaftungsrechtliche Beweislastverteilung Auch f r IT Produkte greifen die von der Rechtsprechung entwickelten Regeln zur Be weislastumkehr zugunsten des Gesch digten ein Danach obliegt dem Gesch digten der Beweis der Rechtsgutsverletzung des Produktfehlers sowie der Nachweis dass der Produktfehler im Organisationsbereich des Herstellers entstanden ist und ber
175. DB 1999 2199 2200 Taschner Frietsch Einf hrung Rn 89 hnlich Pieper BB 1991 985 988 mit dem Hinweis dass andernfalls eine deliktische Gew hrleistung entst nde anders v Westphalen DB 1999 1369 1370 Koch AcP 203 2003 603 624 ff 631 will Ersatz der Aus und Einbaukosten unter Ausschluss von Materialkosten gew hren Prof Dr Gerald Spindler 65 142 143 144 284 285 286 287 288 289 5 Herstellerpflichten und technische Standards Art und Umfang der Pflichten von IT Herstellern werden nicht nur durch die Erwartun gen des Verkehrs sondern auch ma geblich vom Erkenntnisstand von Wissenschaft und Technik mitbestimmt Die Rechtsprechung rekurriert hierbei vielfach an die dem ffentlichen Sicherheitsrecht als Eingriffsvoraussetzung f r Beh rden entstammenden Kategorien der anerkannten Regeln der Technik den Stand der Technik sowie den ce 284 k Stand von Wissenschaft und Techni ohne die Verwendung dieser Begriffe n her zu erl utern Im Ergebnis ausschlaggebend f r die Pflichtenbestimmung ist das konkrete Gef hrdungspotential eines Produkts Untergrenze der Sorgfaltsanforderungen bilden jedenfalls die anerkannten Regeln der Technik d h die in den Kreisen der betreffenden Techniker bekannten und als richtig anerkannten Regeln welche in der Praxis erprobt dort verbreitet und bew hrt sind Nach oben werden die Sorgfaltsanforderungen begrenzt
176. Damit tr gt 109 TKG dem Rang 836 Normadressat des des Fernmeldegeheimnisses sowie des Datenschutzes Rechnung 109 Abs 1 TKG sind auch diejenigen die an der Telekommunikation lediglich mit wirken also auch Wiederverk ufer die f r ihren Betrieb Daten erheben 8 109 Abs 1 Nr 2 TKG enth lt hierbei auch die Verpflichtung zum Schutz vor unbefugten Zugrif fen Allerdings werden die Anforderungen des TKG regelm ig nur f r solche kom merziellen IT Nutzer relevant werden die als IT Intermedi re einzustufen sind da sie gleichzeitig IT Dienstleistungen erbringen etwa als Access Provider die die Nutzung von elektronischen Kommunikationsnetzen erst erm glichen d Ergebnis 433 Wie dargelegt findet das Datenschutzrecht in allen kommerziellen Bereichen Anwen dung Es enth lt zudem Regelungen die insbesondere auch die IT Sicherheit ffentlich rechtlich erfassen K nnen Der Konkretisierungsgrad ist weitaus h her als in anderen re levanten ffentlich rechtlichen Bereichen etwa im Produktsicherheitsrecht Indes be steht auch hier die Notwendigkeit einer Standardisierung um den sich rasch ndernden Gefahrenpotentialen Rechnung zu tragen IV Besondere Sicherheitsanforderungen im Banken und Fi nanzsektor 1 Vorbemerkung 434 Der Banken und Finanzsektor eignet sich in besonderer Weise f r eine Untersuchung der Pflichten der kommerziellen IT Nutzer da einerseits inzwischen fast alle Ge sch ftsvorg nge mi
177. Daten sch tzen werden Eines der wesentlichen Probleme neben dem eingeschr nkten Anwendungsbereich des 9 9a BDSG ist aber der Vollzug es ist keineswegs gesichert dass die teilweise umfangrei chen Anforderungen des Datenschutz Riskmanagements auch tats chlich durchgef hrt werden zumal die 9 9a BDSG zivilrechtlich nicht durchsetzbar sind Herangezogen werden k nnen in diesem Rahmen bereits vorhandene Standards die auf das IT Riskmanagement bezogen sind wie die ISO 27001 oder das BSI IT Grundschutzhandbuch Diese Standards k nnen wie allgemein anerkannte Regeln wir ken und Vermutungswirkungen ausl sen sei es bei ihrer Einhaltung oder Verletzung Inwieweit hier indes Zertifizierungen eine entlastende Wirkung ausl sen ist bislang noch weitgehend ungekl rt F r private IT Nutzer hingegen ergeben sich nur rudiment re Selbst Schutzpflich ten die sich auf allgemein bekannte und leicht zug ngliche Schutzma nahmen be schr nken Je weiter verbreitet indes derartige Eigenschutzma nahmen sind desto eher sind sie auch den privaten IT Nutzern zuzumuten Dar ber hinausgehende Pflichten las sen sich aber dem geltenden Recht nicht entnehmen weder dem b rgerlichen noch dem ffentlichen Recht Insbesondere wenn Gefahren von privaten Nutzern ausgehen z B durch Weiterverbreitung von Viren durch ungesicherte Rechner kommt in den meisten F llen keine Haftung in Betracht Hier stellen sich zum einen dieselben Probleme wie im Rah
178. Datenschutzbeauftra 789 gen einen absoluten Ausnahmefall darstellt Denkbar sind auch Anspr che der Be troffenen nach 824 826 BGB wenn der Datenschutzbeauftragte seine Verschwie 790 genheitspflichten verletzt Allerdings bestehen gerade hinsichtlich der Haftung der Beauftragten nach wie vor Unsicherheiten Seine organisatorische Stellung sowie die Aufgabenwahrnehmung unterliegen jedenfalls indirekt der beh rdlichen Aufsicht So kann die Aufsichtsbeh rde bei Fehlen entsprechender Fachkunde oder wegen anderer Gliss DSB 1996 Heft 5 1 K nigshofen in Ro nagel Handbuch Datenschutzrecht Kap 5 5 Rn 27 Spindler Unternehmensorganisationspflichten S 286 Breinlinger RDV 1995 7 8 Simitis Simitis 4f BDSG Rn 34 f K nigshofen in Ro nagel Handbuch Datenschutzrecht Kap 5 5 Rn 17 N her dazu Simitis Simitis 4g BDSG Rn 97 ff Simitis Simitis 8 4f BDSG Rn 127 f Gola Schomerus 4f Rn 48 Simitis Simitis Ag BDSG Rn 103 ff allgemeinen zur Haftung des Beauftragten Spindler Unterneh mensorganisationspflichten S 940 S dazu Simitis Simitis 4g BDSG Rn 104 Simitis Simitis 4g BDSG Rn 107 Prof Dr Gerald Spindler 175 423 424 791 792 793 794 795 796 797 798 799 800 wichtiger Gr nde nach 38 Abs 5 Satz 3 BDSG bzw 36 Abs 3 Satz 4 BDSG 626 BGB den Widerruf seiner Bestellung verlangen wii Datenschutzaudit Ja BDSG Noch relativ neu i
179. Dr Gerald Spindler 133 315 316 598 599 600 601 602 603 603 604 605 a Warnpflichten des Gesch digten 254 Abs 2 Satz 1 BGB h lt ausdr cklich dazu an den Schuldner bzw Sch diger auf die Gefahr eines ungew hnlich hohen Schadens aufmerksam zu machen die der Schuldner weder kannte noch kennen musste damit dieser in die Lage versetzt wird 598 dem Schaden seinerseits zu begegnen Die Pflicht zur Warnung entsteht f r den Ge sch digten aber nur dann wenn er selbst Sch digung und Schadensh he vorhersehen kann und er bessere Erkenntnism glichkeiten als der Sch diger hat F r IT Sicherheitsl cken kommt dies vor allem dann zum Tragen wenn allgemein erh ltliche anwendungsneutrale Software wie Office oder Betriebssysteme zum Einsatz in Berei chen mit Gef hrdungspotential f r hochrangige Rechtsg ter kommen Denn einerseits hat der Hersteller nicht der H ndler oftmals keine Kenntnis von dem jeweiligen Ge f hrdungspotential seines Produktes andererseits sind grunds tzlich die Gefahren durch 601 einem breiten Publikum kennbar Stets aber muss die Verletzung der Warnpflicht nach 254 Abs 2 Satz 1 BGB bekannt gewordene IT Sicherheitsl cken dem Nutzer er urs chlich f r die Entstehung des Schadens und der Schadensh he sein h tte der Sch diger die Warnung nicht beachtet Gesch digten auch nicht der Vorwurf nach 254 Abs 2 Satz 1 BGB Die Beweislast oder keine
180. Dr Gerald Spindler 185 443 444 445 855 856 857 858 859 860 dienstleistungsinstitute Die wachsende Arbeitsteilung und Vernetzung mit Gesch fts partnern Kunden B rsen und anderen Institutionen wie beispielsweise Aufsichtsbe h rden f hren zu einer immer st rkeren Abh ngigkeit von der Betriebsbereitschaft der IT Systeme der Institute und der IT Systeme Dritter Die Angemessenheit der erforderlichen Sicherheitsvorkehrungen ist ein unbestimm ter Rechtsbegriff welcher anhand der Ziele des 6 Abs 2 KWG zu konkretisieren ist F r den IT Bereich bilden den Beurteilungsma stab insbesondere die Sicherung der anvertrauten Verm genswerte die Sicherung der ordnungsgem en Durchf hrung der Bankgesch fte und Finanzdienstleistungen sowie die Vermeidung von Nachteilen f r die Gesamtwirtschaft durch Missst nde im Kredit und Finanzdienstleistungswe 856 sen Ma gebliche Kriterien sind Art und Umfang des Einsatzes von EDV die eingesetzte Hardware die Organisation der Datenverarbeitung zentrale Datenverarbeitung dezen trale Datenverarbeitung Datenverarbeitung au er Haus und die Verarbeitungsform Stapelverarbeitung Dialogverarbeitung Datenbanksystem Kommunikationssys 857 tem Norminterpretierende und konkretisierende Wirkung kommt hierbei den Rundschreiben der BaFin zu IT spezifische Vorgaben enthalten die Mindestanforderungen an das Risikomanage ment MaRisk wobei die Erl
181. F r diese Risiken sind anschlie end ge Zertifizierung nach ISO 27001 auf der Basis von IT Grundschutz Pr fschema f r ISO 27001 Audits Stand 1 02 2006 abrufbar im Internet unter abrufbar unter http www bsi de gshb zert ISO27001 Pruefschema06 pdf zuletzt abgerufen am 05 06 2007 Capellaro F ser Die Bank 2005 68 70 Roth Schneider ITRB 2005 19 ISO 27001 2005 4 1 ISO 27001 2005 1 1 ISO 27001 2005 0 2 Prof Dr Gerald Spindler 149 352 353 354 355 356 663 664 eignete Gegenma nahmen bzw Vermeidungsstrategien zu definieren und zu bewerten Dazu geh rt z B auch die Versicherung gegen den Eintritt solcher Risiken Schlie lich muss ein Risikobehandlungsplan erstellt werden der f r alle Risiken die im Eintrittsfall zu ergreifenden Ma nahmen enth lt Dieser soll durchgesetzt werden in dem zus tzlich Kontrolleinrichtungen geschaffen werden Dazu geh ren auch Schulun gen und Informationsprogramme Die berwachung und berpr fung soll des Weiteren schnell Fehler im IT Riskmanagement entdecken bzw ineffektive Ma nahmen identifi zieren und die entsprechenden Schlussfolgerungen ziehen und einarbeiten Zur ISO 27001 geh rt auch eine entsprechende Verantwortungsverteilung So sollen Nachweise f r die Einbindung bzw Verantwortlichkeit des Managements bez glich des IT Riskmanagements z B einer entsprechenden Rollenverteilung erbracht werden Die verantwortlichen Mitarbeite
182. H NVwZ RR 1994 400 401 Zu Viren Libertus MMR 2005 507 509 Prof Dr Gerald Spindler 125 nen Auch wenn bei Internetnutzern ein entsprechendes Selbstverst ndnis vorhanden sein sollte und ein Virenbefall mithin als bliches Risiko der Internetnutzung angese hen w rde kann hierauf keine rechtliche Wertung gest tzt werden so dass Sicherungs pflichten privater Nutzer generell zu verneinen w ren c Einzelfragen 294 F r die eingangs beschriebenen Bedrohungs und Abwehrszenarien oben Rn 52 ff ist im Folgenden zu kl ren ob eine Verkehrspflicht des privaten Nutzers besteht Dazu ist im Einzelnen zu pr fen ob die Tatsache dass es ein Sicherheitsproblem und eine generelle L sung gibt weithin bekannt ist die Ergreifung der L sung technisch und wirtschaftlich zumutbar ist 1 Virenscanner 295 Eine Gef hrdung der IT Sicherheit durch Viren erfolgt vom Privatnutzer in der Regel durch den unbeabsichtigten Versand mit E Mails oder durch Weitergabe auf verseuch ten Datentr gern Der virenbefallene Rechner des Privatnutzers stellt hierbei eine be sondere Gefahrenquelle dar welche die Zurechnung einer Verkehrspflicht rechtfer 569 Die Gefahr durch Viren und die erforderlichen Schutzma nahmen sind als weit 570 tigt hin bekannt anzusehen Bereits mehrfach wurde ber diese Problematik auch in den 571 Medien berichtet Fachzeitschriften thematisieren diesen Bereich zudem regel
183. I Rn 82 Langenbucher Die Risikozuordnung im bargeldlosen Zahlungsverkehr S 145 f Eine Anscheinsvollmacht liegt nach den anerkannten Grunds tzen der Rechtsprechung vor wenn der Vertretene das Handeln des Vertreters nicht kennt er es aber bei pflichtgem er Sorgfalt h tte erkennen k nnen und der andere Teil annehmen durfte der Vertretene dulde und billige das Handeln des Vertre ters So auch Bock in Br utigam Leupold Kap VII Rn 82 Paradigmatisch etwa der Fall BGH NJW 1998 1854 vgl ferner die Auflistung der einschl gigen Recht sprechungsf lle bei Soergel Leptien 167 BGB Rn 31 ff schlie lich M nchKommBGB Schramm 167 BGB Rn 61 Organisationsmangel sowie Rn 64 Organisationsrisiko ausf hrlich Recknagel Vertrag und Haftung beim Internet Banking S 137 f BGH NJW 1998 1854 1855 BGH NJW RR 1986 1169 OLG Dresden NJW RR 1995 803 804 M nchKommBGB Schramm 167 BGB Rn 68 Palandt Heinrichs 172 BGB Rn 12 Soergel Leptien 167 BGB Rn 21 Prof Dr Gerald Spindler 208 498 499 968 969 970 971 972 973 erforderlichen Dauer um von einem entsprechend zurechenbaren gesetzten Rechts 968 schein ausgehen zu k nnen Dauert der Missbrauch l ngere Zeit an so greifen im brigen bereits die entsprechenden Kontroll und Meldepflichten des Kunden gegen ber der Bank ein so dass die Bank Schadensersatzanspr che gegen den Kunden wegen Vertragspflichtverlet
184. I vom 5 01 2007 S 10 31 inkraftgetreten am 20 01 2007 BGBl I vom 14 12 2006 S 2926 inkraftgetreten am 1 01 2007 BegrRegE zum Entwurf eines Gesetzes zur Umsetzung der neu gefassten Bankenrichtlinie und der neu gefassten Kapitalad quanz Richtlinie vom 15 02 2006 1 2 s auch Schulte Mattler von Kenne Die Bank 2004 37 Boos Fischer Schulte Mattler Schulte Mattler Basel II Rn 11 Prof Dr Gerald Spindler 151 358 359 360 673 674 675 b Pflichten und Adressat Die genannten Ziele sollen durch einen auf drei S ulen beruhenden Regelungsansatz erreicht werden wobei die S ule I die Mindestkapitalanforderungen regelt und die ban kenaufsichtliche Risikomessung st rker an die Risikosteuerungsmethoden der Banken ann hert w hrend S ule II sich mit der qualitativen Bankenaufsicht und S ule III mit den Offenlegungspflichten befasst Durch Basel II bzw die entsprechenden Geset zesvorschriften zur Umsetzung werden die kreditgew hrenden Finanzinstitute verpflich tet eine individuelle Einsch tzung der Bonit t bei Unternehmen vor jeder Kreditent scheidung eines Kreditgebers vorzunehmen welche auf Basis der internen Rating Systeme der Institute oder durch externes Rating erfolgt Hierbei sind auch die opera tionellen Risiken des kreditnehmenden Unternehmens zu beachten wozu auch die Risi ken geh ren die sich aus dem Einsatz von Informationstechnologie in den Unterneh 67 mensprozessen
185. Im Endprodukt integrierte Software Soweit die in ein Endprodukt integrierte Steuerungssoftware betroffen ist nimmt diese als Teil eines ganzen Produkts an der Produkteigenschaft desselben teil Insofern l sst sich hinsichtlich der Steuerungssoftware die Produkteigenschaft bejahen sofern das Gesamtprodukt entweder technisches Arbeitsmittel oder Verbraucherprodukt im Sinne des GPSG ist Im Bereich der Verbraucherprodukte wird hierbei in Zukunft wohl der Automobilsektor verst rkt eine Rolle spielen wenn Steuerungsaufgaben mehr und mehr auf den Computer bertragen werden z B ABS ESP automatische Fahrab standsregelung und bei Fehlfunktionen Personen Verwender Dritte gesch digt wer den k nnen Gleiches ist im h uslichen Bereich denkbar wenn Ger te in zunehmendem Ma durch Software gesteuert werden Vernetztes Haus b Selbst ndige Software Schwieriger ist hingegen die Beurteilung der brigen selbst ndigen Software Die Literatur geht in Anlehnung an die zum Produktbegriff des 2 ProdHaftG entwickelten Grunds tze dazu oben Rn 190 ff zum Teil davon aus dass Software zumindest dann in den Anwendungsbereich des GPSG f llt wenn sie auf einem Datentr ger gespeichert 467 und somit verk rpert ist Mangels Definition des Produktbegriffs in der Richtlinie und dem GPSG hat sich die Auslegung des Gesetzes an Sinn und Zweck dieser Normen zu orientieren Ohne R cksicht auf die engere Definition des Sachbegriffs
186. Internet indessen unter Umst nden auf erhebliche Schwierigkei ten st t Auch wenn der Sch diger bekannt sein sollte wird dieser seinen Wohnsitz oftmals im Ausland haben so dass eine Rechtsverfolgung in der Praxis h ufig unter bleiben wird Bei Weiterverbreitung von Viren im E Mail Anhang eines Bekannten Freundes oder Gesch ftspartners mag der Nachweis gelingen Der Absender von Spam E Mails oder die Initiatoren von Denial of Service Attacken k nnen demgegen ber im Regelfall nicht ohne weiteres ermittelt werden da fremde E Mail Adressen und Rech ner benutzt werden Allgemeine Auskunftsanspr che privater Nutzer oder Unternehmen gegen Telekommunikationsunternehmen oder Internet Provider zur Ermittlung des Ab senders bestehen derzeit nicht Auskunftsberechtigt sind die Strafermittlungsbeh r den so dass bei strafbaren Handlungen im Einzelfall eine Akteneinsicht durch den An walt des Gesch digten und eine Beiziehung staatsanwaltlicher Ermittlungsakten im Zi vilprozess in Betracht kommt Oftmals wird die Inanspruchnahme privater Nutzer je doch schon an der Identifikation der Person des Sch digers scheitern Auch wenn ein privater Nutzer eindeutig als Verursacher des Schadens identifiziert ist hat der Gesch digte den Beweis einer Pflichtverletzung durch den Nutzer zu f hren Hierbei handelt es sich um Vorg nge welche sich in der Sph re des privaten Nutzers abspielen in welche der Gesch digte keinen Einblick hat Der
187. Inverkehrbringen zust ndigen Person 8 Abs 4 Satz 4 GPSG b Vermutungswirkung von Zertifikaten Gem 8 Abs 2 Satz 3 GPSG geht die zust ndige Markt berwachungsbeh rde bei Produkten welche einer Verordnung nach 3 Abs 1 GPSG unterliegen und mit CE Kennzeichen Rn 248 ff versehen sind davon aus dass sie den dort genannten Anfor derungen entsprechen Im Hinblick auf verwaltungsrechtliche Anordnungen bewirkt das CE Kennzeichen damit eine Vermutung zugunsten der Verkehrsf higkeit des Produkts 519 Unschuldsvermutung Abgesehen von Stichproben d rfen diese Produkte damit nicht Gegenstand einer systematischen Marktkontrolle werden Das CE Kennzeichen bewirkt in Verbindung mit 8 Abs 2 Satz 3 GPSG indes nur einen formalen Schutz gegen beh rdliche Anordnungen Im Rahmen des in den EU Richtlinien geregelten Schutzklauselverfahrens s auch Art 95 Abs 5 EG kann die Beh rde gegen ber Produkten welche ihrer Ansicht nach die wesentlichen Anforde Europ ische Kommission Erl uterung zur Maschinenrichtlinie Rn 181 182 S 50 f siehe http ec europa eu enterprise mechan_equipment machinery guide guide_de pdf Entschlie ung des Rates vom 7 Mai 1985 ber eine neue Konzeption auf dem Gebiet der technischen Harmonisierung und der Normung ABl EG Nr C 136 vom 4 6 1985 S 1 Anhang II Modellrichtlinie B II 2 Wilrich 8 GPSG Rn 18 Wilrich 8 GPSG Rn 18 Prof Dr Gerald Spin
188. Koch Frank A Hrsg Praxis des Online Rechts zitiert Bearbeiter in Loewenheim Koch Hrsg Praxis des Online Rechts Looschelders Dirk Schuldrecht Allgemeiner Teil 4 Aufl M nchen 2006 Prof Dr Gerald Spindler XXXV Looschelders Dirk Internationales Privatrecht Art 3 46 EGBGB Kommentar Berlin 2004 Lorenz Egon Zur Haftung f r durch einen Stromausfall verursachte Sch den der durch ei nen Kurzschlu an einem einer BGB Gesellschaft gelieferten feh lerhaften Baustromverteiler hervor gerufen worden ist in VersR 1990 1284 1285 L we Walter R ckrufpflicht des Warenherstellers in DAR 1978 288 296 L ke Gerhard Wax Peter M nchener Kommentar zur Zivilprozess ordnung Band 1 1 354 2 Aufla ge M nchen 2000 zitiert M nchKommZPO Bearbeiter L ke Gerhard Wax Peter M nchener Kommentar zur Zivilprozess ordnung Aktualisierungsband ZPO Reform 2002 M nchen 2002 zitiert M nchKommZPO Bearbeiter Lutter Markus Hommelhoff Peter GmbH Gesetz 16 Auflage K ln 2004 zitiert Lutter Hommelhoff Bearbeiter Luttermann Claus Unabh ngige Bilanzexperten in Aufsichts rat und Beirat in BB 2003 745 750 Malzer Hans Michael Anspruch des Verwenders von Individual software auf Herausgabe des Quel lenprogramms Quellcode und der Herstellerdokumentation in CR 1989 991 992
189. Kunden werden konkretisiert durch die Online und Homebanking Bedingungen c Allgemeine Gesch ftsbedingungen der Banken 523 Auch wenn die Online Bedingungen und Homebanking Bedingungen keine ausdr ckli che Haftungsregelung vorsehen sind sie insoweit f r die Haftung des Kunden von Be deutung als sie die Pflichten des Kunden n her ausgestalten i Online Banking AGB in der Praxis 524 Die im Bereich des Online Banking derzeit verwendeten Sonderbedingungen f r Onli ne und Homebanking sehen ausdr ckliche Regelungen der Pflichten des Kunden vor So regeln die Online Bedingungen 7 Geheimhaltung der PIN und TAN Der Teilnehmer hat daf r Sorge zu tragen dass keine andere Person Kenntnis von der PIN und den TAN erlangt Jede Person die die PIN und falls erforderlich eine TAN kennt hat die M g 1021 Karper DuD 2006 215 218 1022 Vgl auch Art 47 des Vorschlags der EU Kommission f r eine Zahlungsdiensterichtlinie Palandt Heinrichs 280 BGB Rn 28 M nchKommBGB Ernst 280 BGB Rn 104 Bamberger Roth Gr neberg Sutschet 241 BGB Rn 92 1024 Abgedruckt in WM 2001 650 f 1023 Prof Dr Gerald Spindler 220 lichkeit das Online Banking Leistungsangebot zu nutzen Sie kann z B Auftr ge zu Lasten des Kon tos Depots erteilen Insbesondere Folgendes ist zur Geheimhaltung der PIN und TAN zu beachten PIN und TAN d rfen nicht elektronisch gespeichert oder in anderer Form notiert werden
190. LG Frankfurt NJW RR 2000 1268 1270 OLG Karlsruhe VersR 1998 63 64 f BGHZ 80 186 192 NJW 1981 1603 Kullmann NJW 1996 18 23 BGH NJW RR 1995 342 343 Prof Dr Gerald Spindler 60 130 131 259 260 fig werden IT Sicherheitsl cken durch Dritte festgestellt und ffentlich bekannt ge macht ab diesem Zeitpunkt kann sich der Hersteller nicht mehr nur auf eine passive Beobachtung beschr nken sondern muss selbst t tig werden Kontraproduktive ffentliche Sicherheits warnungen Allerdings ist bei der Pflichtenbestimmung auch zu ber cksichtigen dass ffentliche Warnungen in kontraproduktiver Weise geradezu Dritte herausfordern k nnen eine IT Sicherheitsl cke zu nutzen wie dies offenbar bei dem Wurm Sasser der Fall war Sind die L cken nur dem Hersteller bekannt geworden etwa aufgrund eigener Tests oder aufgrund einer vertraulichen Mitteilung eines Dritten muss ihm ein Ermessen zuge standen werden ob er eine ffentliche Warnung ausspricht oder versucht ber Si cherheitspatches die die L cke nicht offen legen das Sicherheitsproblem zu beseitigen Insbesondere wenn der Hersteller aufgrund seiner Vertriebsstrukturen die M glichkeit hat die Verwender seiner Software individuell anzusprechen ist eine ffentliche War nung nicht geboten sogar unter Umst nden pflichtwidrig Mehren sich jedoch die Hin weise Dritter so dass anzunehmen ist dass die Kenntnis von der L cke sich verbreiten
191. LG Karlsruhe NJW 1996 200 201 Bartsch CR 2000 721 723 Spindler NIW 1999 3737 3738 Spindler NJW 2004 3145 3146 Meier Wehlau NJW 1998 1585 1588 Mankowski in Ernst Ha cker Cracker amp Computerviren Rn 440 f Koch Versicherbarkeit von IT Risiken Rn 357 f Sodtal bers Softwarehaftung im Internet Rn 511 M nchKommBGB Wagner 823 BGB Rn 96 Bamber ger Roth Spindler 823 BGB Rn 55 aA Bauer PHi 1989 98 105 f nach dem die Zerst rung der In formation physikalisch allenfalls eine elektronische Zustandsver nderung darstellt Dem grds zustimmend dann aber den Weg ber ein eigenes Recht am Datenbestand als gangbarer sehend Faustmann VuR 2006 260 ff Faustmann VuR 2006 262 f Meier Wehlau NIJW 1998 1588 Faustmann VuR 2006 262 Prof Dr Gerald Spindler 52 112 113 viders gespeichert waren gen gt dagegen nicht Keine deliktischen Anspr chen kommen wegen des fehlerhaften Programms selbst in Betracht wenn dieses infolge des Fehlers gel scht wird da insoweit nur das vertraglich gesch tzte quivalenzinteresse betroffen ist Keine Verletzung der Datenintegrit t im oben beschriebenen Sinne liegt auch vor wenn ein Trojaner eine Schwachstelle in der Software nutzt und dadurch Da ten ausgesp ht werden Denn es erfolgt keine St rung der inneren Ordnung des Daten tr gers i Beeintr chtigung der bestimmungsgem en Verwendung Eine Eigentumsverletzung kommt a
192. MR Bundesamt f r Sicherheit in der Informationstechnik Verantwortlichkeiten von IT Herstellern Nutzern und Intermedi ren Studie im Auftrag des BSI durchgef hrt von Prof Dr Gerald Spindler Universit t G ttingen Bundesamt f r Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel 49 228 99 9582 0 E Mail recht bsi bund de Internet http www bsi bund de recht Bundesamt f r Sicherheit in der Informationstechnik 2007 Bundesamt f r Sicherheit in der Informationstechnik Autoren Prof Dr Gerald Spindler Universit t G ttingen unter Mitwirkung von Ass iur Andreas L nner Universit t G ttingen Ref iur Judith Nink Universit t G ttingen Bundesamt f r Sicherheit in der Informationstechnik Verantwortlichkeiten von IT Herstellern Nutzern und Intermedi ren Prof Dr Gerald Spindler Universit t G ttingen unter Mitwirkung von Ass iur Andreas L nner Universit t G ttingen Ref iur Judith Nink Universit t G ttingen Prof Dr Gerald Spindler A B C I I 1 Inhaltsverzeichnis Einleitung Allgemeiner Teil Rechtliche Grundlagen von Sicherheitspflichten Kriterien f r die Pflichtenbestimmung Allgemeine Grunds tze der deliktischen Haftung insbesondere Verkehrssicherungspflichten 2 3 4 III 1 Methodischer Hintergrund Die rechts konomische Perspektive a Steuerungsfunktion f r das Niveau der Schutzma nah
193. MiFID enth lt der RefE keine bahnbrechenden Neuerungen Allerdings ist zu bedenken dass sich die natio nale Umsetzung nicht mit dem Verweis auf die Verwaltungspraxis wie z B durch die Matisk beeinflusst begn gen kann da dies nicht die n tige rechtliche Verbindlichkeit garantiert b Pflichten und Adressat Hinsichtlich des ersten Themenbereichs der Compliance enth lt Art 13 Abs 2 MiFID die generalklauselartige Verpflichtung angemessene Strategien und Verfahren anzu wenden die sicherstellen dass die Anforderungen der Richtlinie eingehalten werden Eine Konkretisierung erfolgt in Art 6 DRL in der Form dass z B die Verpflichtung zur Aufsp rung und Minimierung von Fehlerrisiken und zur Bestellung eines Compliance Beauftragten zur berwachung der Gesch ftsprozesse festgeschrieben wird Des Weiteren werden effiziente Riskmanagementsysteme vorgeschrieben Art 7 Abs la DRL konkretisiert diese Anforderungen durch das Gebot Risiken zu identifizieren und einer individuellen Bewertung mit Hilfe von sogenannten Risikotole ranzschwellen zu unterziehen Zuletzt umfassen die Organisationspflichten auch eine Pflicht zur internen Revision Art 8 DRL die unabh ngig die Wirksamkeit der Systeme berpr fen und bewerten und auf dieser Grundlage Empfehlungen aussprechen soll Wie bereits dargelegt werden sich die nderungen an WpHG und KWG in Grenzen halten Die neuen organisatorischen Anforderungen an die Wertpapierfi
194. Mitverschuldens des Gesch digten in Betracht 6 ProdHaftG 254 BGB siehe dazu oben zur deliktischen Produzentenhaftung Rn 188 3 Zusammenfassung Eine verschuldensabh ngige Produkthaftung aufgrund des 823 Abs 1 BGB kommt im IT Bereich in Betracht soweit ein gesch tztes Rechtsgut verletzt wird Besondere Schwierigkeiten bereitet hierbei noch immer die nicht abschlie end gekl rte Einord nung von Datensch den als Eigentumsverletzung Ebenso von Unsicherheit gepr gt ist die Abgrenzung prim rer Verm genssch den von einer die Eigentumsverletzung be gr ndenden Beeintr chtigung der bestimmungsgem en Verwendung des Produkts Im Bereich der Pflichten liegt der Schwerpunkt auf der Abgrenzung von Entwicklungs zu Konstruktionsfehlern vor allem die zum Zeitpunkt der Inverkehrgabe nicht bekannten Gefahrenpotentiale aufgrund zuk nftiger Entwicklungen f hren nicht zu einer Haftung der IT Hersteller wohl aber Sicherheitsl cken die zu diesem Zeitpunkt erkennbar ge wesen w ren Technische Standards wie die Common Criteria und Protection Profiles k nnen hier zur Konkretisierung herangezogen werden wenngleich sie nur ein Min destma der zu erwartenden Sicherheit darstellen ber die im Einzelfall hinaus zivil rechtlich h here Anforderungen gestellt werden K nnen wenn dem Hersteller entspre chende Gefahrenszenarien bekannt sein K nnen Schlie lich kann das Deliktsrecht auch nicht ber R ckrufpflichten dazu herangezogen werd
195. P 191 1991 33 63 ff Foerste VersR 2002 1 ff mit anderer rechtsgeschicht Prof Dr Gerald Spindler 145 341 342 647 648 649 650 651 Nicht abschlie end gekl rt ist ob bei Versto gegen die Pflicht aus 91 Abs 2 AktG bzw die Pflicht zur ordnungsgem en Buchhaltung gem 91 Abs 1 AktG auch eine deliktische Haftung der Vorstandsmitglieder im Rahmen einer Schutzgesetzverletzung bei 823 Abs 2 BGB in Betracht kommt Dies setzt voraus dass ein Vorstandsmitglied gegen ein den Schutz eines anderen bezweckendes Gesetz versto en hat Die Einord nung des 91 Abs 1 und 2 als Schutzgesetz ist aber abzulehnen Zum einen ist aner kannt dass 93 Abs 1 und 2 kein Schutzgesetz im Sinne des 823 Abs 2 darstellt Es ist nicht ersichtlich weshalb die Organisationspflichten des 91 Abs 2 in haftungs rechtlicher Sicht ber die Sorgfaltspflichten des 93 hinausgehen sollten zumal schon vor Einf hrung des 91 Abs 2 AktG nach 76 93 AktG die Pflicht bestand f r eine angemessene Organisation zu sorgen und gef hrdende Entwicklung zu erkennen Zum anderen geht die hM auch im Rahmen des 91 Abs 1 davon aus dass kein Schutzge setz begr ndet wird obwohl die N he des Regelungsbereichs zu den Vorschriften und Grunds tzen des Kapitalerhaltungsrechts die Annahme eher begr nden k nnte d Anhaltspunkte f r IT Konkretisierung Zu den vom Riskmanagement abzudeckenden Bereichen geh ren unter anderem a
196. Phishing E Mails weltweit vgl BSI Die Lage der IT Sicherheit in Deutschland 2005 S 22 ff abrufbar unter http www bsi de literat lagebericht lagebericht2005 pdf zuletzt abgerufen am 06 06 2007 Dem Sy Prof Dr Gerald Spindler 199 473 474 475 Angreifer A schickt dem Nutzer N eine E Mail mit vorget uschter gespoofter Ab sender Adresse der Hausbank B von N Es handelt sich um eine HTML Mail die dem Layout einer typischen Mail von B entspricht und N auffordert aus benannten Gr nden PIN und TAN einzugeben Die E Mail enth lt einen Link zum Webserver von A auf dem das Online Portal von B nachgebildet wurde N ist halbwegs versiert und berpr ft die einschl gigen Sicherheitsmerkmale der Online Verbindung URL im Adress Feld Schloss Symbol und Zertifikatsinformationen Fingerprint Alle diese Merkmale wer den jedoch mithilfe Aktiver Inhalte dem Original nachgebildet Visual Spoofing so dass N die F lschung nicht bemerkt und seine Zugangsdaten arglos preisgibt N ist die Freischaltung Aktiver Inhalte gewohnt da auch das regul re Portal von B nur mit Akti ven Inhalten nutzbar ist A nutzt die Zugangsdaten um eigene Transaktionen auszul sen 2 Szenario 2 Man in the middle Angriff mittels DNS Spoofing Pharming i w S Die kriminelle Organisation KO hat eine Schwachstelle in der BIND Software die am weitesten verbreitete DNS Server Software entdeckt bevor sie von den BIND Entwicklern aufge
197. Rechnungslegungs vorschriften entsprechende Erstellung von Abschl ssen sicherstellt wobei insbeson dere die Korrektheit Nachvollziehbarkeit und Sicherheit der Prozesse geregelt wird Das so implementierte berwachungssystem soll daf r sorgen dass den Mitgliedern der Unternehmensorgane alle relevanten Informationen bez glich der f r den Unterneh mensbericht bedeutsamen Teilprozesse und damit auch und gerade hinsichtlich des 66 Die Verantwortlichkeit des verwendeten IT Systems jederzeit zur Verf gung stehen Gesch ftsf hrungsorgans f r die Wirksamkeit interner berwachungsma nahmen ist in einem j hrlichen Bericht gesondert festzustellen und das Verfahren sowie jede Ver nde rung der internen berwachung ist vom Management zu bewerten Die Mitglieder des Leitungsorgans stehen durch Gewinnabsch pfung pers nlich f r die Korrektheit von Finanzberichtsabschl ssen ein indem bei fehlerhaftem Abschluss erhaltene Boni zu r ckgezahlt und Gewinne aus dem Verkauf von erlangten Aktienoptionen herausgege ben werden m ssen Nach mehrmonatigen Diskussionen hat die SEC nunmehr eine Fristverl ngerung f r ausl ndische Unternehmen hinsichtlich der Umsetzung der Regelungen in Section 404 692 693 694 695 696 Bzgl der inhaltlichen Anforderungen der Best tigungen eingehend Gruson Kubicek Der Sarbanes Oxley Act 46 ff abrufbar unter http www jura uni frankfurt de ifawz1 baums Bilder_und_Daten Arbeitspapi
198. Risk Durch die berf hrung der existierenden Rahmenvorgaben der Mindestanforderungen an die Interne Revision MaIR der Mindestanforderungen an das Kreditgesch ft MaK und der Mindestanforderungen an das Betreiben von Handelsgesch ften 867 868 869 870 871 872 Framework for Internal Control Systems in Banking Organisations Basle Committee on Banking Super vision Basel 1998 abrufbar unter http www bis org publ bcbs40 pdf zuletzt abgerufen am 06 06 2007 Basel Committee Publication No 33 S 19 Rn 32 33 Boos Fischer Schulte Mattler Braun 25a KWG Rn 635 Boos Fischer Schulte Mattler Braun 25a KWG Rn 637 Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 sog MaRisk Rundschreiben abrufbar unter http www bafin de rundschreiben 89_2005 051220 htm zuletzt abgerufen am 06 06 2007 Rundschreiben BaFin Nr 1 2000 BA zu Mindestanforderungen an die Ausgestaltung der Internen Revision der Kreditinstitute vom 17 01 2000 sog MalR Rundschreiben ehemals BaKred abrufbar unter http 3a strategy de about glossary innenrevision rundschreiben2000 document_view zuletzt ab gerufen am 06 06 2007 Rundschreiben BaFin 34 2002 BA ber Mindestanforderungen an das Kreditgesch ft der Kreditinstitu te vom 20 12 2002 Az I 4 44 5 2001 sog MaK Rundschreiben abrufbar unter http www bundesbank de download bankenaufsicht pdf
199. Sicht 13 Abs 4 TMG 76 c System und Programmupdates Die Programme die der Intermedi r nutzt befinden sich in der Regel auf einem Com putersystem das f r jeden zug ngliche Dienste bereitstellt W hrend der private Nutzer meist pseudonym agiert ist der Provider bekannt und kann daher jederzeit Opfer auch gezielter Angriffe werden L cken im verwendeten System oder den Programmen stel len hierbei eine gro e Gefahr dar Sofern der Intermedi r wirtschaftlich t tig ist ist ihm somit eine regelm ige Beobachtung der Entwicklungen bei der von ihm eingesetzten Software zuzumuten Diese Kann z B ber die Teilnahme an den jeweiligen sogenann ten Mailing Listen erfolgen Sollten Sicherheitsl cken bekannt werden so muss er un verz glich versuchen diese L cken zu schlie en Ist dies nicht sofort m glich kann auch von ihm verlangt werden die gef hrdeten Funktionen nicht weiter anzubieten Fraglich ist ob ihm die vollst ndige Einstellung des Betriebs aufgeb rdet werden kann In dieser Situation kann sich aus Art 12 GG eine Beeinflussung des Haftungsma stabs zugunsten des Providers ergeben Allerdings ist dabei auf die Art der Gefahr abzustel len Ist das Risiko gering und die erwarteten Sch den ebenso so m sste der Betrieb so lange aufrechterhalten werden k nnen bis eine L sung zur Verf gung steht Bei einer 1277 h heren Gef hrdung m sste der Betrieb jedoch eingestellt werden Insgesamt ob 176 ff Vgl
200. T Nutzern sowie der Bekanntheit der Problemlage und m glichen Gegenma nahmen Im Gegensatz zu privaten Nutzern f r die der IH Zivilsenat des BGH den Einwand aus 254 BGB nur bei weitgehender Be kanntheit eines Problems zul sst kann eine solche Privilegierung f r den kommerziel len IT Nutzer nicht angenommen werden Zwar ist ihm nicht wie einem IT Hersteller zuzumuten jedes Problem umgehend zu erkennen und sich st ndig durch Fachzeit schriften oder Expertenberatung zu informieren es ist jedoch zu verlangen dass er re gelm ig auch Probleme beim Einsatz von Computern beachtet und sofern er von Ge fahren erf hrt diesbez glich ber die blichen Informationskan le wie eben Fachzeit schriften oder Internetquellen Erkundungen einholt Je h herrangiger die Rechtsg ter sind die in Kontakt mit IT Produkten des kommerziellen IT Nutzers kommen je gr er das Vertrauen Dritter in den Einsatz der IT Produkte durch den IT Nutzer ist desto in tensiver werden diese Kontrollen und diese Pflicht zur Erkundigung ausfallen So wird etwa eine Bank die Online Banking einsetzt verpflichtet sein sich wesentlich schneller und regelm iger einen berblick ber Gefahrenlagen aus IT Produkten zu verschaffen als ein Wertpapierdienstleister der IT Produkte lediglich intern oder gar nur sporadisch einsetzt Diese Ma st be entscheiden auch dar ber ob dem IT Nutzer gar noch weitergehende Pflichten aufzub rden sind etwa zur eigenst ndige
201. Telekommunikationsgesetz TKG 2 Auf lage M nchen 2006 zitiert Scheurle Mayen Bearbeiter Schieble Christoph Produktsicherheitsgesetz und europ isches Gemeinschaftsrecht Baden Baden 2003 Schiessl Maximilian Deutsche Corporate Governance post En ron in AG 2002 593 604 Schimansky Herbert Bunte Hermann Josef Lwowski Hans J rgen Hrsg Bankrechts Handbuch Band I III M n chen 2001 zitiert Bearbeiter in Bankrechts Handbuch Schl ger Uwe G tesiegel nach Datenschutzauditverord nung Schleswig Holstein in DuD 2004 459 461 Schlechtriem Peter Angleichung der Produkthaftung in der EG Zur Richtlinie des Rates der Europ ischen Gemeinschaften vom 25 7 1985 in VersR 1986 1033 1043 Schlutz Joachim H Deutschland Rechtliche Auswirkungen der ISO Zertifizierung insbesonde re auf Produkthaftungsklagen in PHi 1996 122 135 Prof Dr Gerald Spindler XLIX Schmatz Hans N thlichs Matthias Sicherheitstechnik Berlin 1969 Schmid Viola Informations und Datenschutzrecht I http www bwLl tu darmstadt de jus4 lehre lIuD I_ws_05 ws_0506_vorl_ueb_iud_1 _modul_6_060123 pdf Schmidl Michael softwareerstellung und 651 BGB ein Vers hnungsversuch in MMR 2004 590 593 Schmidt Salzer Joachim Produkthaftung 2 Auflage Heidelberg 1990 Schmidt Salzer
202. Typisch f r die F lle der Anscheinsvollmacht ist berdies das Handeln eines Dritten der aus der Sph re des Vertretenen stammt etwa aus dessen Unternehmen und dessen Handlungen grunds tzlich vom Vertretenen kontrolliert werden k nnen Demgegen ber kennzeichnen sich die Sachverhalte in denen elektronische Legitimationsmedien missbr uchlich verwandt wurden im Wesentlichen durch den behaupteten Eingriff Dritter die nicht dem Lager des Kunden entstammen sondern unbekannt agieren Weitere Voraussetzung f r eine solche Zurechnung qua Anscheinsvollmacht ist aber nach wie vor dass der Dritte f r eine gewisse Dauer und wiederholt f r den vermeint 967 lich Vertretenen aufgetreten ist An beiden Merkmalen l sst sich aber f r missbr uch liche Erkl rungen im Internet im Bereich des Online Banking mit Fug und Recht zwei feln es fehlt bei einem einmaligen oder nur kurzzeitig andauernden Missbrauch an der Zur Btx Rechtsscheinsvollmacht Lachmann NIW 1984 405 408 f r Btx im Bankbereich unter Ver wendung von PIN und TAN auch Borsum Hoffmeister NIW 1985 1205 1206 G mann in Bankrechts Handbuch Band I 55 Rn 26 zum Btx System LG Ravensburg CR 1992 472 473 Lachmann NJW 1984 405 408 Borsum Hoffmeister NJW 1985 1205 1206 Borges NJW 2005 3313 3315 Kind Werner CR 2006 353 Kunst MMR Beilage 9 2001 23 24 Wiesgickl WM 2000 1039 1047 Bock in Br utigam Leupold Kap VI
203. Unternehmens infolge technischer Probleme des Providers sowie von Denial of Service Attacken erfolgen Die daraus dem Unternehmen entste henden Sch den k nnen betr chtlich sein z B wenn wichtige Nachrichten nicht emp fangen werden konnten oder gar verloren gingen 693 Neben etwaigen vertraglichen Schadensersatzanspr chen gegen den IT Intermedi r kann fraglich sein ob das Unternehmen auch deliktische Schadensersatzanspr che geltend machen kann Solche Anspr che k nnen dann von Interesse sein wenn die Ur sache f r den Schaden au erhalb der Vertragsbeziehung entstanden ist andernfalls greift die Haftungsprivilegierung nach 44a TKG ein oder Verj hrungsfristen anders geregelt sind Im allgemeinen Deliktsrecht kommen hier nur Anspr che aus Recht am eingerichteten und ausge bten Gewerbebetrieb in Betracht da sowohl der Informati onszugang als auch der Informationsabgang kein anderes von 823 Abs 1 BGB ge sch tztes Rechtsgut verletzt In entsprechender Anwendung der Energiezufuhr F lle k nnte hier in der Tat an einen deliktsrechtlichen Schutz des Nutzers gedacht werden indem der freie Zugang zum Unternehmen gewahrt wird Bedenkt man dass die Tele kommunikationswege des Unternehmens heute mindestens genauso wichtig sind wie die Energieversorgung so muss auch die Freihaltung dieser Schnittstellen des Unter nehmens zur Au enwelt grunds tzlich dem Recht am eingerichteten und ausge bten Gewerbebetrieb unterfalle
204. Ver letzung der pers nlichen Freiheit wird der Ausfall softwaregesteuerter Fahrst hle oder T ren genannt b Verletzungen des Eigentums 108 H ufiger als Personensch den ziehen Softwarefehler Beeintr chtigungen in Form eines Eingriffs in die Sachsubstanz Hardware der Verf gbarkeit und Integrit t von Daten Koch NJW 2004 801 802 Taeger Au ervertragliche Haftung f r fehlerhafte Computerprogramme S 259 f Koch Versicherbarkeit von IT Risiken Rn 185 355 632 Hoeren Pichler in Loewen heim Koch Praxis des Online Rechts S 381 406 193 Vgl Schneider G nther CR 1997 389 392 Taeger Au ervertragliche Haftung f r fehlerhafte Computerprogramme S 260 Prof Dr Gerald Spindler 50 109 195 196 197 198 199 200 201 202 sowie von System und Betriebsausf llen nach sich Bei fehlender Verletzung der Sach substanz ist die Abgrenzung zwischen deliktsrechtlich sanktionierten Eigentumsverlet zungen und insoweit unbeachtlichen weil nicht ersatzf higen prim ren Verm gens sch den entscheidend Gegen ber der Verletzung des Eigentums kommt dem Recht am eingerichteten und ausge bten Gewerbebetrieb nur subsidi re Bedeutung zu m Regelm ig wird es zudem am erforderlichen betriebsbezogenen finalen Eingriff fehlen Hinsichtlich des Eigentums kann wie folgt differenziert werden i Substanzverletzungen Eine Eigentumsverletzung im Sinne einer Substanzverlet
205. WG Rna 61 Boos Fischer Schulte Mattler Braun Einf KWG R n 61 Richtlinie 93 22 EWG des Rates vom 10 Mai 1993 ABl Nr L 141 vom 11 Juni 1993 27 Richtlinie 93 6 EWG des Rates vom 15 M rz 1993 ABl Nr L 141 vom 11 Juni 1993 1 BGBI I 3610 Spindler in Fleischer Handbuch des Vorstandsrechts 19 Rn 22 Prof Dr Gerald Spindler 183 438 439 440 25 a KWG regelt organisatorische Mindeststandards welche eine gesetzliche Konkre tisierung der allgemeinen Anforderungen an eine ordnungsgem e Gesch ftsf hrung darstellen Nach 25a Abs 1 Satz 2 KWG sind die Gesch ftsleiter vgl 1 Abs 2 Satz 1 KWG f r die ordnungsgem e Gesch ftsorganisation des Instituts verantwort lich Die Vorschrift entspricht in ihrer Bedeutung 91 Abs 2 AktG und nimmt im Ver h ltnis zum Aktienrecht eine gewisse Schrittmacherrolle ein Weitergehend wird nunmehr sogar eine einheitliche Auslegung und Anwendung von 25a Abs 1 KWG und 91 Abs 2 AktG vertreten 25a Abs 2 KWG regelt die Anforderungen an die Auslagerung von Bereichen des Instituts auf andere Unternehmen Outsourcing Da es sich bei dieser Regelung um ei nen Bestandteil der allgemeinen organisatorischen Pflichten handelt orientiert sich die Auslegung nicht nur an den speziellen Risiken eines Outsourcing sondern auch an den allgemeinen aufsichtsrechtlichen Zielen Das Institut hat den auszulagernden Bereich klar zu defini
206. WM 1999 1930 1932 f LG Hannover WM 1998 1123 f LG K ln WM 1995 976 977 f AG Frankfurt NJW 1998 687 f AG Osnabr ck NJW 1998 688 f aa OLG Hamm NJW 1997 1711 1712 wegen mangelnder Schl sselsicherheit LG Berlin WM 1999 1920 f wegen M glichkeit des Aussp hens Neumann Bock Zahlungsverkehr im Internet Rn 181 Werner MMR 1998 338 339 mwN aus der Rechtsprechung der Instanzgerichte Charakteristisch das Urteil des OLG Hamm NJW 1997 1711 1712 dieses Urteil ist jedoch ein Ein zelfall geblieben Au erdem haben die Banken die Verschl sselungstiefe der EC Karten verbessert so dass diese Rechtsprechung jedenfalls von ihrem Ausgangspunkt her nicht mehr anwendbar sein d rfte So etwa AG M nchen NJW RR 2001 1056 1057 S LG Halle WM 2001 1298 1299 Allerdings mag man dar ber streiten welches Ausma an Sorgfalt angesichts der Realit t im Einsatz von PIN Eingabeger ten dem Kunden abverlangt werden kann Oftmals sind diese Ger te f r jedermann ein sehbar so dass die Geheimhaltung durch verdeckte Eingabe an den Kunden in zahlreichen Situationen berspannte Anforderungen stellen w rde BGHZ 145 337 342 BGH NJW 2004 3623 3624 OLG K ln MMR 2002 813 814 LG Bonn MMR 2004 179 180 LG Bonn MMR 2002 255 256 LG Konstanz MMR 2002 835 837 ebenso Borges NJW 2005 3313 3317 Borges in Derle der Knops Bamberger Handbuch zum deutschen und europ ischen Bankrecht 8 Rn 80 Mehri
207. Wertpapierhandelsunternehmen gem 33 Abs 1 WpHG fordert ausdr cklich Vorkehrungen um bei Systemausf llen und st rungen Verz gerungen bei der Auftragsausf hrung oder weiterleitung m glichst gering zu halten Nr 2 2 4 Die MiFID a Hintergrund Mit der Richtlinie ber M rkte f r Finanzinstrumente und die konkretisierende Durchf hrungsrichtlinie bzw verordnung werden vor allem zwei Ziele verfolgt die Verbesserung des Anlegerschutzes und die F rderung der Marktintegrit t im Sinne von Fairness Effizienz und Transparenz Der Erreichung dieser Ziele dienen vor allem Or ganisationspflichten die in Art 13 MiFID Art 6 7 DVO und Art 5 20 DRL gere gelt sind und die Bereiche Compliance Risikomanagement und Innenrevision betref 19 fen Assmann Schneider Koller 33 WpHG Rn 11a Balzer ZBB 2000 258 260 Balzer WM 2001 1533 1539 Assmann Schneider Koller 33 WpHG Rn 11a Assmann Schneider Koller 35 WpHG Rn 8 Richtlinie 2004 39 EG des Rates und des Europ ischen Parlamentes vom 21 4 2004 ber M rkte f r Finanzinstrumente zur nderung der Richtlinien 85 61 EWG und 93 6 EWG und der Richtlinie 2000 12 EG des Europ ischen Parlaments und des Rates und zur Aufhebung der Richtlinie 93 2 EWG ABI EG Nr L 141 v 30 4 2004 1 Richtlinie 2006 73 EG der Kommission vom 10 8 2006 zur Durchf hrung der Richtlinie 2004 39 EG des Europ ischen Parlaments und des Rates in Bezug a
208. Zulieferproduk ten im Hinblick auf die gro e Anzahl der zu verarbeitenden Zulieferteile durch ein ei genes Materialpr fungszertifikat durch ein entsprechendes T V Zertifikat oder durch ein aussagekr ftiges Pr fzertifikat des Herstellers der Zulieferprodukte erbringen k n ne Umgekehrt kann die fehlende T V Zulassung eine Beweiserleichterung f r den Gesch digten welcher den Produktfehler zu beweisen hat s Rn 169 bieten indem der Hersteller die sicherheitstechnische Ordnungsm igkeit des Produktes zu beweisen hat 380 F r andere in den Herstellungsprozess und den Vertrieb von Produkten eingeschaltete Unternehmer die in Bezug auf Konstruktionsgefahren geringere Sorgfaltspflichten als der eigentliche Hersteller und Konstrukteur des Produktes zu erf llen haben k nnen Zertifikate wie das GS Zeichen weitergehende entlastende Wirkung entfalten So kann sich ein Importeur in Bezug auf seine Pflicht zu stichprobenartiger Untersuchung unter Umst nden damit entlasten dass er ein eingef hrtes Ger t durch einen Sachver st ndigen berpr fen l sst oder es gem 3 Abs 4 GSG aF jetzt 7 GPSG von einer 382 zugelassenen Pr fstelle auf ihre Sicherheit untersuchen l sst Entsprechendes gilt f r den Auftragsfertiger im Rahmen der horizontalen Arbeitsteilung welcher von dem 376 377 378 379 380 381 382 BGH NJW 1987 1009 1011 BGH NJW 1987 372 373 BGH NJW RR 1990 406 f Kull mann Pfister Ku
209. a nahmen gegen die betreffenden Produkte grund s tzlich unterlassen Voraussetzung f r die CE Kennzeichnung ist dass der Hersteller vor dem ersten Inver kehrbringen ein Konformit tsbewertungsverfahren nach dem EU Modulsystem durchf hrt an dessen Ende die EG Konformit tserkl rung des Herstellers steht dass er die grundlegenden Gesundheits und Sicherheitsanforderungen der betreffenden EU Richtlinien erf llt Welche Module im Einzelnen zur Anwendung kommen legen die Richtlinien unter Ber cksichtigung des Gefahrenpotentials des Produkts fest wobei grunds tzlich zwischen Herstellererkl rung Pr fung durch eine benannte Stelle und dem Erfordernis eines zertifizierten Qualit tssicherungssystems unterschieden wer 514 den kann Zust ndig f r die Akkreditierung der benannten Stellen sind in Deutsch land die Zentralstelle der L nder f r Sicherheitstechnik ZLS und die Zentralstelle der L nder f r Gesundheitsschutz bei Arzneimitteln und Medizinprodukten ZLG b GS Zeichen Das GS Zeichen hat seine gesetzliche Grundlage in 7 GPSG vormals 3 Abs 4 GSG Es handelt sich um ein rein nationales Zeichen welches die hohen deutschen Si cherheitsstandards kenntlich machen soll Das GS Zeichen steht f r gepr fte Si Niebling DB 1996 80 81 Niebling Die CE Kennzeichnung S 23 f Foerste in v Westphalen ProdHaftHdb 24 Rn 94 Bamberger Roth Spindler 823 BGB Rn 490
210. a nahmen m ssen sich zus tzlich am aktuellen Stand der Technik orientieren Die zu ergreifenden Sicherungsma nahmen m ssen der Sensitivit t der Daten vielmehr angemessen sein Nach 8 9 Satz 2 BDSG orientiert sich der notwendige Aufwand auch an der Erforderlichkeit vor dem Hintergrund von wirtschaftlichen Erw gungen als Auspr gung des Verh ltnism ig 760 keitsgrundsatzes 9 Satz 2 BDSG erlaubt jedoch nicht das Unterlassen von Siche 761 rungsma nahmen sondern regelt nur die Schutzintensit t Wichtig ist hier ein ange messenes Verh ltnis zum Schutzzweck Dies zeigt sich auch an der Anlage zu 9 BDSG nach der auf die Art der zu sch tzenden Daten eingegangen werden muss Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 388 Simitis Ernestus 9 Rn 4 ff Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 644 Dazu auch Sch ttle Anwaltliche Rechtsberatung via Internet S 39 ff Kersten CR 2001 576 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 21 Simitis Ernestus 9 Rn 2 Gola Schomerus 9 BDSG Rn 2 f Gola Schomerus 9 BDSG Rn 19 Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 384 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 25 ff Simitis Ernestus 9 Rn 27 Weichert in Killian Heussen Computerrechts Handbuch Kap 135 Rn 2 Hermeler Rechtliche Rah menbedingungen der Telemedizin S 83
211. abei grob in zwei Bereiche unterteilt werden zum einen der Rechtsgutsverletzung nach 823 Abs 1 BGB zum anderen der Schutzgesetzverletzung nach 823 Abs 2 BGB Schweinoch Roas CR 2004 330 Mankowski MDR 2003 857 Lapp in Gounalakis 43 Rn 6 R cker CR 2006 366 ff Spindler Kl hn CR 2003 84 Schmidl MMR 2004 592 f Marly Software berlassungsvertr ge Rn 53 ff und 119 R cker CR 2006 366 ff Spindler Kl hn CR 2003 84 Schmidl MMR 2004 592 f M ller Hengstenberg Krcmar CR 2002 549 ff M nch KommBGB Busche 651 BGB Rn 12 BGH K amp R 2007 91 CR 2007 75 m Anm Lejeune WM 2007 467 sowie Anm Marly Jobke LMK 2007 209 So auch Spindler Kl hn CR 2003 83 f Grundlegend Taeger Au ervertragliche Haftung f r fehlerhafte Computerprogramme S 239 ff G n ther Produkthaftung f r Informationsg ter S 253 ff Schneider Handbuch des EDV Rechts Kap J Rz 294 ff Marly Software berlassungsvertr ge Rn 1309 ff grunds tzlich zur Unabh ngigkeit von der Sacheigenschaft M nchKommBGB Wagner 823 BGB Rn 554 Erman Schiemann 823 BGB Rn 114 Prof Dr Gerald Spindler 49 a Rechtsg terbezogene Produkthaftung 823 Abs 1 BGB 1 Softwareversagen und Rechtsg terschutz 106 Ma geblich f r die Anwendung der deliktischen Produzentenhaftung ist zun chst die Verletzung eines der durch 823 Abs 1 BGB gesch tzten Rechtsg ter und Rechte Be reits auf dieser Ebene erg
212. ach 7 Abs 1 TMG sind zu berwachen Grunds tzlich fallen damit auch Viren so wie spezielle Datenpakete unter den Informationsbegriff des 7 TMG so dass Vi ren Trojaner aber auch manipulierte Pakete eines Denial of Service Angriffs erfasst sind Die Voraussetzungen dieser Privilegierungen h ngen von der jeweiligen Funktion des Intermedi rs ab 1 Content Provider Content Provider sind nach 7 Abs 1 TMG diejenigen die eigene Informationen spei chern und bereitstellen 8 F r sie gilt keine Privilegierung Auf die strittige Frage wann es sich um eigene wann um fremde Informationen handelt 189 kommt es nicht an da es sich bei der hier behandelten Information jedenfalls nicht um eine handelt die sich der Intermedi r zu eigen macht und von der er regelm ig auch keine Kenntnis hat 1284 2 Host Provider Anders ist dies beim Host Provider Er vermittelt gerade fremde Informationen Die Haftung ist nach 10 TMG ausgeschlossen wenn er keine Kenntnis von der Informati on oder den einen Schadensersatzanspruch begr ndenden Tatsachen hat und die Infor mation entfernt oder den Zugang sperrt sobald er Kenntnis erlangt Auf den Fall eines Angriffs mittels Informationstechnik bertragen bedeutet dies dass der Inhaber eines Rechnersystems bzw der IT Intermedi r von dem ein Angriff ausgeht den Angriff sofort unterbinden muss sowie er davon Kenntnis erlangt Es han Richtlinie 2000 31 EG des Europ ischen Parla
213. aftung des Softwareherstel lers in CR 1990 95 100 Meister Herbert Datenschutz im Zivilrecht Das Recht am eigenen Datum 2 Aufl Bergisch Gladbach 1981 au Zum Regelungsbedarf bei der elektroni schen Willenserkl rung in MDR 1994 109 114 Mertens Hans Joachim Mertens Georg Zur deliktischen Eigenhaftung des Ge sch ftsf hrers einer GmbH bei Ver letzung ihm bertragener organisa torischer Pflichten Anmerkung zu BGH Urteil 05 12 1989 VI ZR 335 88 Prof Dr Gerald Spindler XXXIX in JZ 1990 488 490 Meyer Andreas Die Haftung f r fehlerhafte Aussagen in wissenschaftlichen Werken in ZUM 1997 26 34 Meyer Sparenberg Wolfgang Rechtswahlvereinbarungen in Allgemei nen Gesch ftsbedingungen in RIW 1989 347 351 Michalski Lutz Produktbeobachtung und R ckrufpflicht des Produzenten in BB 1998 961 965 Miceli Thomas J Economics of the Law New York 1997 Mitglieder des Bundesgerichtshofs Hrsg Das B rgerliche Gesetzbuch Kommentar mit besonderer Ber cksichtigung des Reichsgerichts und des Bundes gerichtshofes 12 Auflage Berlin 2000 zitiert RGRK Bearbeiter M ller Klaus Kelm Stefan Distributed Denial of Service Angriffe DDoS in DuD 2000 292 293 M llers Thomas M J Rechtsg terschutz im Umwelt und Haf tungsrecht pr ventive Verkehrs pf
214. allerdings dogmatisch auf die Herausforderungsf lle im Schadensrecht st tzt dem BGH zust Kunz BB 1994 450 451 Dietrich Produktbeobachtungspflicht und Schadenver h tungspflicht der Produzenten S 76 ff ausf hrlich Klinger Die Produktbeobachtungspflicht bez glich Fremdzubeh rteilen S 56 ff Vgl Kunz BB 1994 450 451 anders Ulmer ZHR 152 564 575 ff nur Kombinationsrisiken nicht Fehlerfreiheit des Zubeh rs Zumindest hinsichtlich der von Marktf hrern angebotenen Zubeh rteile BGHZ 99 167 174 f NJW 1987 1009 Michalski BB 1998 961 963 Birkmann DAR 1990 124 128 BGHZ 99 167 175 f NJW 1987 1009 v Bar in Produktverantwortung und Risikoakzeptanz S 29 35 OLG Stuttgart VersR 2001 465 467 Zimmermann der einen Holzbalken hergestellt hat auf das kor rekte Anstreichen durch einen Maler Rev n angen BGH Beschl v 24 10 2000 VI ZR 89 00 hnlich Ulmer ZHR 152 564 579 zust v Bar in Produktverantwortung und Risikoakzeptanz S 29 36 Prof Dr Gerald Spindler 63 138 139 ausreichend angesehen werden wenn der Hersteller den Produktbenutzer dahingehend instruiert dass nur von ihm selbst freigegebene bzw als unbedenklich eingestufte Zu beh rteile gefahrlos benutzt werden k nnen und dass die Benutzung nicht autorisierten Zubeh rs auf Gefahr des Benutzers erfolgt Anders ist dies zu beurteilen wenn der Hersteller etwa selbst Schnittstellen f r ander
215. als internationaler Standard f r IT Produkte herausgebildet haben Im Zusammenhang mit sog Protection Profiles die halbstandardisiert f r Si te ist lediglich von zweitrangigem Interesse Taupitz in Produktverantwortung und Risikoakzeptanz S 119 132 ff insbes 135 136 Wandt Inter nationale Produkthaftung Rn 646 Bamberger Roth Spindler 823 BGB Rn 489 Taupitz in Produktverantwortung und Risikoakzeptanz S 119 135 Bamberger Roth Spindler 823 BGB Rn 489 M nchKommBGB Mertens 3 Aufl 1997 823 BGB Rn 30 Reiff in Marburger Technische Regeln im Umwelt und Technikrecht S 155 166 Ein Beispiel ist BGH NJW 1985 164 wo das Gericht ber die einschl gigen DIN Normen und die Bestimmungen der Bayerischen Versammlungsst ttenVO hinausging Siehe auch BGH VersR 1987 783 zur Abweisung ei ner Unterlassungsklage gegen die Stiftung Warentest die ein Produkt trotz Einhaltung der ma geblichen DIN Norm mit mangelhaft bewertet hatte S z B BGH NJW RR 2002 525 Sodtalbers Softwarehaftung im Internet Rn 273 Hoeren in von Westphalen Vertragsrecht und AGB Klauselwerke IT Vertr ge Rn 94 Bereits in der Begr ndung zum ProdHaftG wird auf das Problem veralteter Normen hingewiesen BT Drucks 11 2447 19 ferner Bartl 3 ProdHaftG Rn 43 N her dazu unter http www bsi bund de Prof Dr Gerald Spindler 69 152 cherheitsbed rfnisse von IT Anwendungen erstellt werden k
216. anagementsektor der auf die Steuerung von Gesch ftsprozessen abzielt und weniger materielle Vorgaben Eingehend dazu die Studien des Bundesamtes f r Sicherheit in der Informationstechnologie Kritische Infrastrukturen abrufbar unter http www bsi bund de fachthem kritis zuletzt abgerufen am 05 06 2007 Aus der damaligen Literatur statt vieler Bartsch CR 1998 193 ff Spindler NIW 1999 3737 ff v Westphalen DStR 1998 1722 ff Zur Frage der analogen Anwendung des 91 Abs 2 AktG auf den Gesch ftsf hrer einer GmbH Baum bach Hueck Schulze Osterloh 41 GmbHG Rn 1 Lutter Hommelhoff Hommelhoff Kleindiek 43 GmbHG Rn 19 jeweils mwN ISO IEC 27001 v 15 10 2005 Information technology Security techniques Information security management systems Requirements Prof Dr Gerald Spindler 148 349 350 351 658 659 660 661 662 trifft In Deutschland wird neben der Zertifizierung nach ISO 27001 er vor allem die Pr fung nach dieser Norm zuz glich des vom BSI standardisierten Grundschutzes im IT Sektor durchgef hrt nur durch letztere wird die Einhaltung materieller Standards gew hrleistet da ein reines Managementsystem ohne jegliche Sicherheitsvorgaben nicht den Anforderungen an die Fr herkennung von Risiken im IT Bereich gerecht werden d rfte Die Norm ISO 27001 spezifiziert Anforderungen f r Erstellung Einf hrung Betrieb berwachung und berpr fung Wartung und Verbesserung
217. anking i e S fr her Btx spricht man wenn Bankgesch fte ber ein geschlossenes Netz d h eine von einem Telekommunikationsunternehmen z B T Online AOL vermittelte geschlossene Kunde zu Bank Verbindung abgewickelt werden f r deren Nutzung eine Registrierung und Zulassung des Kunden durch den Netzbetreiber erfor derlich ist Homebanking ist dem gegen ber nach g ngiger Unterscheidung die Ab wicklung von Bankgesch ften ber ein offenes Netz wie das Internet Der Zentrale Kreditausschuss ZKA hat f r Online Banking i e S und Homebanking 934 Musterbedingungen entwickelt welche sich im verwendeten Sicherungsverfahren unterscheiden im brigen aber nicht wesentlich von einander abweichen Die Sonderbedingungen f r die konto depotbezogene Nutzung des Online Banking mit PIN und TAN Online Bedingungen kn pfen an die Verwendung des PIN TAN Verfahrens an und entsprechend weitgehend den alten Btx Bedingungen Daneben wurden f r die Verwendung des HBCI Verfahrens die Bedingungen f r die konto depotbezogene Nutzung des Online Banking mit elektronischer Signatur 938 Homebanking Bedingungen entwickelt Die Verwendung des einen oder anderen Sicherungsverfahrens ist gesetzlich nicht vorgeschrieben und folglich auch nicht an den Zugang ber ein geschlossenes oder offenes Netz gekn pft Das PIN K mpel Bank und Kapitalmarktrecht 4 733 Ausf hrlich zu diesen Unterscheid
218. ann er sich nicht bzw nur sehr eingeschr nkt 1199 berufen 1 d Vertragliche Nebenpflichten Patient und Arzt schlie en regelm ig einen Behandlungsvertrag Das Verh ltnis geht zwar ber ein reines Vertragsverh ltnis hinaus dennoch ist der Behandlungsvertrag 1200 grunds tzlich als Dienstvertrag einzustufen Insofern k nnen sich auch hier Neben pflichten zur Ergreifung von Sicherungsma nahmen entsprechend 241 Abs 2 BGB 1201 ergeben Die Pflichten sind aufgrund des besonderen Vertrauensverh ltnisses hn lich denen beim Anwalt ausgestaltet 120 e Deliktische Haftung Die deliktische Haftung ist zwar im Verh ltnis zwischen Arzt und Patient besonders ausgepr gt doch spielt sie im Rahmen der IT Sicherheit keine andere Rolle als etwa bei anderen Berufsgruppen die mit sensiblen Daten umgehen so dass insofern auf die Ausf hrungen zu den Anwaltspflichten verwiesen werden kann Allerdings werden aufgrund der stets vorliegenden Verletzung eines der absolut gesch tzten Rechtsg ter infolge der Heilbehandlung eher die IT Sicherheitspflichten Eingang finden k nnen in die Gesamtbeurteilung ob der Arzt seine Verkehrspflichten verletzt hat f Ergebnis Auch der Arzt ist verpflichtet den Pflichten eines kommerziellen Nutzers nachzukom men Das besondere Vertrauensverh ltnis und die Sensibilit t der Daten begr nden eine weiter gehende vertragliche Pflicht Im Rahmen der deliktischen Haftung besteht eb
219. anzdienstleistung BaFin ist es Missst nden im Kredit und Finanzdienstleistungs wesen entgegenzuwirken welche die Sicherheit der den Instituten anvertrauten Verm genswerte gef hrden die ordnungsm ige Durchf hrung der Bankgesch fte oder Fi nanzdienstleistungen beeintr chtigen oder erhebliche Nachteile f r die Gesamtwirt schaft herbeif hren k nnen 6 Abs 2 KWG Das KWG dient damit der Schaffung von Vertrauen bei Anlegern und Marktteilnehmern der Sicherstellung der Solvenz der Unternehmen und dem Schutz der Kunden und leistet einen Beitrag zur Stabilisierung 8 Das aufsichtsrechtliche Hand des nationalen und internationalen Finanzsystems lungsinstrumentarium der BaFin zur Erreichung dieser Ziele reicht von informellem Handeln z B Anforderung von Informationen Mitteilung der BaFin zu Vorg ngen in den Instituten Rundschreiben Anordnungen im Einzelfall bis hin zum Erlass von Rechtsverordnungen 25a KWG wurde 1997 durch die 6 Novelle des KWG eingef hrt und setzt Art 10 der Wertpapierdienstleistungs Richtlinie 1993 und Art 4 Abs 4 der Kapitalad 841 3 quanz Richtlinie 199 in deutsches Recht um Durch das Finanzkonglomeraterichtli 842 4 nie Umsetzungsgesetz vom 21 12 200 wurde die Vorschrift ohne relevante Auswir kungen auf das Riskmanagement in ihrer gegenw rtigen Form neu gefasst b Pflichten und Adressat 838 839 840 841 842 843 Boos Fischer Schulte Mattler Braun Einf K
220. arbeiter in Br cker Czychowski Sch fer Brown John Prather Toward an Economic Theory of Liabil ity in The Journal of Legal Stud ies Bd 2 1973 323 349 Br ggemeier Gert Deliktsrecht Baden Baden 1986 Br ggemeier Gert Produzentenhaftung nach 823 Abs 1 BGB Bestandsaufnahme und Per spektiven weiterer judizieller Rechtsentwicklung in WM 1982 1249 1309 Prof Dr Gerald Spindler VII Br ggemeier Gert Organisationshaftung in AcP 191 1991 33 68 Bruns Alexander Informationsanspr che gegen Medien Ein Beitrag zur Verbesserung des Per s nlichkeitsschutzes im Medienpri vatrecht Diss Iur Universit t Frei burg T bingen 1997 Buchner Herbert Die Bedeutung des Rechts am eingerichte ten und ausge bten Gewerbebetrieb f r den deliktsrechtlichen Unter nehmensschutz M nchen 1971 B chting Hans Ulrich Hrsg Beck sches Rechtanwalts Handbuch M n chen 2004 zitiert Bearbeiter in RAnwHdb B llingen Franz Hillebrad Annette Biometrie als Teil der Sicherungsinfra struktur in DuD 2000 339 343 B low Dieter Regulatorische Anforderungen an die IT L sungswege einer ITSM Provisioning Plattform in DSB 10 2005 13 14 Bundesamt f r Sicherheit in der Informations technik BSD IT Grundschutzhandbuch K ln 2003 Bundesamt f r Sicherheit in der Informations
221. arch 22R 204 98 20 22 zuletzt ab gerufen am 06 06 2007 und das Rundschreiben 5 2001 vom 12 09 2001 Gesch ftszeichen I 4 42 2 2001 zu ber cksichtigen abrufbar unter http www bafin de rundschreiben 93_2001 rs05_01 htm zuletzt ab gerufen am 06 06 2007 Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 sog MaRisk Rundschreiben abrufbar unter http www bafin de rundschreiben 89_2005 051220 htm zuletzt abgerufen am 06 06 2007 Ausf hrlich hierzu und auch zu den Vorg ngerrahmenvorgaben s Spindler in Fleischer Handbuch des Vorstands rechts 19 Rn 27 ff Vgl Angerm ller Eichhorn Ramke Kreditwesen 2005 396 dies Kreditwesen 2004 833 Pfings ten Maifarth Rieso Die Bank 2005 34 34 Grabau Schlee Kreditwesen 2005 392 Schwirten Zattler Die Bank 2005 52 Zimmermann BKR 2005 208 209 Vgl Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 4 abrufbar unter http www bafin de rundschreiben 89_2005 051220 htm zuletzt abge rufen am 06 06 2007 s auch Zimmermann BKR 2005 208 210 Angerm ller Eichhorn Ramke Kre ditwesen 2005 396 beide allerdings noch zum zweiten Entwurf der MaRisk vom 22 09 2005 abrufbar unter http www bafin de marisk marisk2_entwurf pdf zuletzt abgerufen am 06 06 2007 Wimmer BKR 2006 146 Vgl Anschreiben zum Rundschreiben BaFin Nr 18 2005 vom 20 12 2005 Ver ffen
222. as GPSG Die zivilrechtliche Regulierung der Produktsicherheit wurde schon seit langer Zeit f fentlich rechtlich flankiert durch allgemeine und sektorspezifische Normen zur Pro 6 und im Produktsicher duktsicherheit Die bisher im Ger tesicherheitsgesetz GSG heitsgesetz ProdSG nebeneinander geregelten sicherheitsrechtlichen Anforderun gen an Produkte wurden mit Inkrafttreten des neuen Ger te und Produktsicherheitsge setz GPSG am 1 5 2004 in einem einheitlichen Gesetz zusammengefasst Das GPSG dient zugleich der Umsetzung der Richtlinie 2001 95 EG des Europ ischen Par laments und des Rates vom 3 12 2001 ber die allgemeine Produktsicherheit Neben dieser allgemeinen Produktsicherheitsregelung bestehen nach wie vor sektorspezifische Produktsicherheitsnormen wie etwa das Medizinproduktegesetz MPG die hier nicht n her thematisiert werden k nnen Zahlreiche dieser Produktsicherheitsnormen gehen zur ck auf europarechtliche Vorgaben zur weiteren Integration des Binnenmark Gesetz ber technische Arbeitsmittel Ger tesicherheitsgesetz GSG vom 14 6 1968 BGBl I S 717 Gesetz zur Regelung der Sicherheitsanforderungen an Produkte und zum Schutz der CE Kennzeichnung Produktsicherheitsgesetz ProdSG vom 22 4 1997 BGBl I S 934 Gesetz ber technische Arbeitsmittel und Verbraucherprodukte Ger te und Produktsicherheitsgesetz GPSG vom 6 1 2004 BGBl I S 2 ber S 219 ABI EG Nr L 11 S
223. assen sich jedoch auch f r das Datenschutzrecht sowie 109 TKG statuieren 634 Kriterien f r die Intensit t der Risikoanalyse aber auch die Vorhaltung bzw den Ein satz von entsprechenden Kapazit ten zur Risikominimierung und behebung sind insbe sondere die Art der Umfang und die Bedeutung des Einsatzes von EDV f r das Unter nehmen eingesetzte Hardware die Organisation der Datenverarbeitung Art und Sensi tivit t der Daten speziell auch im Hinblick auf den Gesch ftsbetrieb sowie die Gefahr der Verletzung von Interessen Dritter 635 Als konkrete Ma nahmen wurden identifiziert Festlegung von Zust ndigkeiten Vier Augen Prinzip Einmalige Benennung und Bewertung m glicher Risiken Risikoanalyse 1205 So konkretisiert in 25a Abs 2 Satz 1 KWG RefE 2006 zur Umsetzung der MiFID Prof Dr Gerald Spindler 264 636 637 638 Ergreifung von Ma nahmen zur Risikoabwehr bzw minimierung wobei sich die Konkretisierung insbesondere auch durch die allgemeinen Pflichten ergeben kann Einrichtung eines Systems zur Erkennung von Ver nderungen des Systems also Gefahrerkennung regelm ige Pr fung von verwendeter Software Dokumentation des Ergebnisses der Risikoanalyse als Ist Zustand Dokumentation der getroffenen Ma nahmen z B durch entsprechende Checklisten und ihrer Durch f hrung Regelm ige Datensicherungen und bei Bedarf Vorhaltung von Ersatzkapazit ten bzw technischer Alternativen
224. atsache zeigt dass die private Nutzung am Arbeitsplatz nicht zu untersch tzen ist OLG Naumburg WM 1998 2158 Erman Saenger 13 BGB Rn 17 Pfeiffer NIW 1999 169 173 aA Bamberger Roth Schmid R ntsch 13 BGB Rn 12 Taschner Frietsch 1 ProdHaftG Rn 32 f v Westphalen in v Westphalen ProdHaftHdb Bd 2 72 Rn 29 Prof Dr Gerald Spindler 117 212 273 274 275 534 535 536 Die Pflichten eines Nutzers sind damit nicht einheitlich zu definieren sondern rollenab h ngig sie k nnen je nach Umfeld und M glichkeiten erheblich differieren Als priva ter Nutzer kann daher unter Zugrundelegung der EG Produkthaftungsrichtlinie 85 374 EWG nur derjenige definiert werden wer die Sache nutzt oder verbraucht oh ne damit seinen Lebensunterhalt zu verdienen oder sonstige Zwecke zu verfolgen die 534 au erhalb einer privaten Existenz und T tigkeit liegen Nicht privat ist demnach zu n chst wer gewerblich oder freiberuflich handelt Da es sich um die Abgrenzung von privater und kommerzieller Nutzung von Informati onstechnik handelt m sste die kommerzielle T tigkeit demnach entweder im Erbringen von Diensten mit dem System liegen oder die T tigkeit mittels Informationstechnik er bracht bzw gef rdert werden Auch Handlungen bez glich Rechnersystemen die also nicht direkt mit einem eventuell angebotenen Produkt zu tun haben aber dennoch im weiteren Sinne f r die Aus bung der T tigkei
225. auch Migrationsprodukte also Gebrauchsgegenst nde die nicht zwingend f r Verbraucher bestimmt sind aber deren Verwendung durch Verbraucher vern nftigerweise erwartet werden kann unter den Begriff der Verbraucherprodukte zu subsumieren sind ist unbeachtlich wenn die Hardware auch am Arbeitsplatz Ver wendung findet Handels bliche Hardware wird daher regelm ig ein Verbraucherpro Gei Doll B 2 GPSG Rn 12 Zscherpe Lutz K amp R 2005 499 Runte Potinecke CR 2004 725 726 Runte Potinecke CR 2004 725 Hoeren Ernstschneider MMR 2004 507 Zscherpe Lutz K amp R 2005 499 500 Wilrich 2 Rn 4 Klindt GPSG 2 GPSG Rn 13 Hoeren Ernstschneider MMR 2004 507 Prof Dr Gerald Spindler 96 215 dukt im Sinne von 2 Abs 3 5 GPSG und nicht technisches Arbeitsmittel nach 2 Abs 2 GPSG sein Als technische Arbeitsmittel k nnen im IT Bereich vor allem computergest tzte Steuerungseinrichtungen f r Fertigungsprozesse eingestuft wer 458 den Denn diese entsprechen den in der Vorg ngerregelung des 2 Abs 1 GSG als Arbeitseinrichtungen beispielhaft aufgez hlten Werkzeugen Arbeitsger ten usw Ob auch nicht handels bliche Hardware wie etwa bestimmte Arten von Servern oder Hochleistungsrechnern die bestimmungsgem ausschlie lich im gesch ftlichen Be reich eingesetzt werden technische Arbeitseinrichtungen sind ist angesichts der ge nannten Beispiele zumindest zweifelhaft soweit von d
226. ben die geeignet sind Einzelsys teme anzugreifen und unter die Kontrolle des Angreifers zu bringen Im zweiten Schritt werden Gefahren beschrieben die im Rahmen von koordinierten Angriffen von kom promittierten Systemen ausgehen um Systeme Dritter zu sch digen a Ausnutzung von Software Schwachstellen exploits 1 Sicherheitsl cken Cronin in van Tilborg Encyclopedia of Crypthography and Security S 144 Tanenbaum Computer Networks S 778 Dazu auch abrufbar unter http www heise de newsticker meldung print 72557 zuletzt abgerufen am 09 10 2006 Zu den Gegenma nahmen s u Rn 88 Prof Dr Gerald Spindler 39 85 86 87 Durch nicht geschlossene Sicherheitsl cken in Software die Internetdienste erbringt und daher ber das Internet erreichbar ist sind Angreifer in der Lage das System zu kompromittieren Ein solcher Fehler kann bspw bewirken dass der Dienst ausf llt oder der Schadcode auf dem System ausgef hrt werden kann Derartige L cken werden h u fig von W rmern ausgenutzt um sich im System einzunisten Erw hnt sei an dieser Stelle der Wurm Sasser welcher im Mai 2004 einen Systemdienst in Microsoftbe triebssystemen ab Windows NT dazu missbrauchte den Rechner zuf llig auszuschalten Die wirtschaftlichen Sch den waren enorm Diese Art von Angriffen lie en sich auch direkt d h ohne Bot Netze ausf hren jedoch verhindert dieser Umweg die R ckverfolgungen des
227. besondere bestandsgef hrdende Entwicklungen also auf solche Ver nderungen die sich auf die Verm gens Ertrags oder Finanzlage der Gesellschaft wesentlich auswirken k nnen Schlie lich bedeutet fr hzeitiges Erkennen dass nachteilige Entwicklungen noch verhindert werden k nnen und der Bestandsgef hrdung noch effektiv entgegengewirkt werden kann Insgesamt ist somit daf r Sorge zu tragen dass sowohl bestehende als auch zuk nftige d h potenzielle Risiken kontrollierbar und kalkulierbar sind was die m glichst vollst ndige Identifizierung von Ursachen und Ausma der Risiken impliziert In diesem Zusammenhang sind erg nzend die auf europ ischer Ebene unterbreiteten Vorschl ge zur St rkung der berwachung der Directors bzw des Vorstands zu erw h nen insbesondere der Vorschlag der Europ ischen Kommission zur Modernisierung der Achten Gesellschaftsrechtlichen Richtlinie Pr ferrichtlinie der insbesondere die Einrichtung eines Audit Committees vorsieht Das Audit Committee soll insbeson dere zust ndig sein f r die berwachung des Risikomanagements sowie der Innenrevi M nchKommAktG Hefermehl Spindler AktG 2 Aufl 2004 91 AktG Rn 14 ff Zur Unterscheidung eingehend H ffer AktG 6 Aufl 2004 91 AktG Rn 9 M nchKommAktG Hefermehl Spindler AktG 91 AktG Rn 23 f M nchKommAktG Hefermehl Spindler 91 AktG Rn 14 ff BegrRegE BT Drucks 13 9712 7 BegrRegE BT Druck
228. besteht aber dennoch ein enger Zusammenhang auch zur deliktischen Haftung V Besondere Risikopotentiale f r Experten und beratende Berufe Rechtsanw lte etc 1 Vorbemerkung 596 Bestimmte Berufsgruppen unterliegen weitergehenden Pflichten als andere sei es auf grund ihrer besonderen Vertrauensstellung im Rechtsverkehr oder sei es aufgrund be stimmter volkswirtschaftlich besonders wichtiger Funktionen die sie bernehmen Wenn sich solche berufsbezogenen Pflichten auf die Vorhaltung oder Behandlung von Daten beziehen so k nnen auch spezielle Pflichten im Hinblick auf IT Sicherheit nor miert oder den vorhandenen Regelungen zu entnehmen sein Besonders betrachtet wer den sollen hier insbesondere Rechtsanw lte und rzte aber auch Steuerberater f r die spezielle Pflichten im Hinblick auf den Umgang mit Informationen bestehen 2 Gefahrenpotential und Gegenma nahmen 597 Grunds tzlich unterscheidet sich das technische Gefahrenpotential nur wenig von den Gefahren bei anderen kommerziellen Nutzern nicht indes das Sch digungspotential Daten die in einem besonderen Vertrauensverh ltnis wie zwischen Anwalt und Man dant oder Arzt und Patient preisgegeben werden sind h ufig existenziell wichtig und oder h chstpers nlich Das Bekanntwerden bzw die Einsicht Fremder in diese In formationen kann einen hohen verm gensrelevanten Schaden hervorrufen ist aber auch geeignet in so weitgehendem Ma e in h chst pers nliche Rech
229. ch Wir kung entfalten Dies wird vor allem bei Softwarestandards wie z B den Common Crite ria und den Protection Profiles deutlich Es wird zwar versucht die Profile m glichst allgemein zu halten dennoch betreffen sie nur einen speziellen Anwendungsfall 155 Allerdings entspricht gerade eine sektorspezifische Regelung den allgemeinen Regeln der Produkthaftung etwa wenn die Haftung des Herstellers durch besonderes Exper tenwissen auf Seiten des Nutzers oder besondere Einsatzgebiete die aber dem Herstel ler bekannt sein m ssen beeinflusst werden kann Die Standardisierungen k nnen demnach rechtlich beachtlich als Konkretisierung der Verkehrspflichten und der ge schuldeten Sorgfalt herangezogen werden wenn sie auf das aktuell hergestellte Produkt passen Sollte nur ein Teil des Profiles nicht aussagekr ftig genug oder nicht allein an wendbar sein so treffen den Hersteller die Pflichten des Standards nicht Sofern jedoch ein entsprechend anwendbarer Standard besteht kann er auch sektorspezifisch ange wendet werden 31 S unten Rn 174 ff Prof Dr Gerald Spindler 71 6 Haftungsrechtliche Bedeutung von Zertifikaten 156 Im Gegensatz zum ffentlichen Produktsicherheitsrecht das dem Zertifikat Vermu 157 158 322 323 324 325 326 327 tungswirkungen beimisst sind dessen zivil bzw haftungsrechtliche Auswirkungen gesetzlich nicht ausdr cklich geregelt und bislang nicht abschlie end gekl rt Hie
230. ch aus 823 Abs 1 BGB zu begr nden Sind indes Daten des Nutzers zerst rt worden die auf dem Server des Providers ab gelegt worden sind scheidet eine Eigentumsverletzung zu Lasten des Nutzers aus da die Verk rperung der Daten eben nicht auf Eigentum des Nutzers seiner Festplatte sondern auf dem Eigentum des Providers erfolgt In Betracht kommen daher nur ver tragliche Schadensersatzanspr che gegen ber dem Provider hier kann indes wieder die Haftungsprivilegierung des 44a TKG sofern der Provider als Telekommunikations anbieter agiert hat zur Geltung kommen soweit die Schadensursache in der techni schen organisatorischen Seite der Telekommunikation lag 1 Haftung von Host Providern Entscheidend f r die Haftung des IT Intermedi rs insbesondere Host Providers ist da her ob und gegebenenfalls wie weit er Verkehrspflichten zum Schutz des Eigentums des Nutzers unterliegt Abgesehen von den vertraglichen Pflichten des Host Providers gegen ber dem Nutzer ist er verpflichtet diejenigen Daten die in seiner Einfluss sph re liegen auf Virenbefall zu kontrollieren In diesem Sinne trifft den Provider je denfalls die Pflicht grundlegende Anforderungen an die Sicherheit seiner Rechner und der dort gespeicherten Daten seiner Kunden gegen ber Aussp hversuchen oder Miss br uchen seitens Dritter einhalten 1 Da der Host Provider eine Gefahrenquelle be treibt k nnen die berlegungen zu den Verkehrspflich
231. ch von den Btx F llen in denen Instanzgerichte wohl eine Beweislastumkehr zu Lasten des Anschlussinhaber bejaht haben 1 Dort war nur frag lich ob der Anschlussinhaber selbst oder ein Familienangeh riger bzw Dritter den h uslichen Btx Anschluss benutzt hatte Die missbr uchliche Nutzung hatte daher je denfalls im Einflussbereich des Anschlussinhabers stattgefunden was eine Beweislast verteilung nach Risikosph ren nahe liegend erscheinen lie berdies handelte es sich bei Btx um ein geschlossenes System 1080 Auf die technischen M glichkeiten des Phis hing oder Pharming l sst sich dieser Gedanke nicht bertragen da hierbei Angriffe aus dem Internet als einem offenen Netz erfolgen welches der Kontrolle des Bankkunden entzogen ist Die Ablehnung einer Beweislastumkehr rechtfertigt sich auch im Hinblick auf techni sche Weiterentwicklungen oder Durchbrechungen des technischen Schutzes Bei An nahme einer Beweislastumkehr w rde dem vermeintlich Erkl renden stets der Vollbe weis aufgeb rdet dass die Erkl rung nicht von ihm stammt Der jeweilige technische Standard und sein Schutzniveau k nnten nicht angemessen ber cksichtigt werden re In vergleichbarer Weise und aus guten Gr nden wendet die st ndige Rechtsprechung bei technischen Regeln z B DIN stets nur einen Anscheinsbeweis bei Verletzung 1082 technischer Standards an Eine Beweislastumkehr w re der besonderen Situation beim Online Banking nicht ang
232. cherbereich d rften an die Zurechnung fahrl ssig gesetzter Rechtsscheine 976 Die Anscheinsvollmacht durchbricht den daher hohe Anforderungen zu stellen sein genannten Grundsatz insoweit als sie Fahrl ssigkeit als Zurechnungsgrund ausreichen l sst zur rechtsdogmatischen Kritik oben Rn 498 Dies l sst sich indessen nur unter Hinweis wie auch vom BGH bei R Gespr chen bekr ftigt auf die Anforderungen des objektiven Rechtsscheinstatbestandes mehrmaliges Auftreten des Vertreters von gewisser Dauer rechtfertigen Der Vertretene hat aufgrund der zeitlichen Streckung des Rechtsscheinstatbestandes insbesondere die M glichkeit das Handeln des Dritten der noch dazu seiner Sph re entstammt zu erkennen und zu verhindern Vers umt er dies stellt die Rechtsprechung die fahrl ssige Nichtverhinderung des Handelns des Ver treters dem bewussten Dulden gleich Beim Online Banking wird im Regelfall nur ein einmaliger Identit tsmissbrauch vorlie gen Der dadurch entstandene Rechtsschein kann dem Kunden auch dann nicht zuge rechnet werden wenn ihm im Einzelfall etwa bei Beantwortung einer Phishing E Mail eine Sorgfaltspflichtverletzung vorzuwerfen sein sollte denn vor dem eigentli chen Missbrauch besteht zwar die abstrakte Gefahr eines Angriffs Dritter anders als bei der Anscheinsvollmacht wird der Bankkunde jedoch nicht durch konkrete Anhaltspunk te f r ein Missbrauchsverhalten Dritter f r Schutzma nahmen sensibilisi
233. chgef hrt werden k nnen Unter Authentizit t versteht man die eindeutige Identifizierung eines Senders Empf ngers von Da 92 ten wie sie z B in einer sog Public Key Infrastructure gew hrleistet ist Der Begriff der Verf gbarkeit meint dass ein IT System zum gew nschten Zeitpunkt mit den erfor derlichen Funktionen und Daten zur Verf gung steht Es handelt sich somit um eine zentrale Anfor derung Unter Vertraulichkeit ist der Schutz im Hinblick auf Lesen Schreiben Modifizieren oder L schen von Daten vor dem unbefugten Zugriff und oder die Weitergabe von Daten durch unbefugte Perso 93 nen oder Prozesse zu verstehen F r die Netz und Informationssicherheit kann schlie lich die Definition der EU im Rahmen der Errichtung einer europ ischen Agentur zur Netz und Informationssicher heit herangezogen werden wonach darunter die F higkeit eines Netz oder Informati onssystems zu verstehen ist St rungen oder rechtswidrige oder b swillige Angriffe ab zuwehren die die Verf gbarkeit Integrit t Vertraulichkeit und Authentizit t der ge speicherten oder bermittelten Daten und damit verbunden ber das betreffende Netz angebotene Dienste beeintr chtigen k nnen Zur m glichst vollst ndigen Erreichung dieser Schutzziele m ssen alle Beteiligten d h Hersteller Intermedi re und Nutzer von IT Systemen eng zusammenarbeiten und ent sprechende Schutzvorkehrungen treffen Besondere Sorgfalt ist
234. chtsg ter Der Hersteller ist demnach zum Schadensersatz verpflichtet wenn durch einen Fehler seines Produkts ein Mensch get tet K rper oder Gesundheit verletzt oder eine Sache besch digt werden 1 Abs 1 Satz 1 ProdHaftG Prim re Verm genssch den welche nicht an eine Rechtsgutsverletzung ankn pfen werden nicht ersetzt Hinsichtlich der Haftung f r die Verletzung von Le ben K rper und Gesundheit durch fehlerhafte IT Produkte kann auf die Ausf hrun gen zu Rn 105 ff verwiesen werden Der Begriff des Sachschadens entspricht nach wohl hM dem der Eigentumsverletzung bei 823 Abs 1 BGB ausf hrlich oben Rn 109 Im Hinblick auf den Wortlaut des Art 9 lit a der EG Produkthaftungsrichtlinie wird zum Teil eine Beschr nkung auf Substanzverletzungen angenommen Die abschlie ende Entscheidung dieser Streit 422 0 Eine frage muss letztlich aber einer Kl rung durch den EuGH vorbehalten bleiben bedeutsame Einschr nkung erf hrt der sachliche Schutzbereich des ProdHaftG im Be reich der Sachsch den durch 1 Abs 1 Satz 2 ProdHaftG Sachbesch digungen weren jedoch nur erfasst wenn eine andere Sache als das fehlerhafte Produkt besch digt Rn 109 ff und diese anderen Sachen ihrer Art nach gew hnlich f r den privaten Ge und Verbrauch bestimmt und hierzu von dem Gesch digten haupts chlich verwendet wor den sind 1 Andere Sache Nach dem ProdHaftG ersatzf hig sind in Abgrenzung von der vertrag
235. chutzver b nde auf Einhaltung der Pflichten aus 9 BDSG angenommen Denn bei Verletzung der datenschutzrechtlichen Pflichten verschafft sich ein Unternehmer einen Wettbe werbsvorteil gegen ber anderen Wettbewerbern Ob diese Annahme indes auch nach der Novellierung des UWG noch G ltigkeit beanspruchen kann erscheint mehr als zweifelhaft Denn schon unter dem alten UWG hatte der BGH einem allgemeinen Anspruch auf Einhaltung der Rechtsnormen Vorsprung durch Rechtsbruch eine Absage erteilt und nur solche Normen sanktioniert die einen Markt bzw Wettbe 827 werbsbezug vorsahen zu denen das BDSG nicht geh ren d rfe Der Gesetzge ber hat diese Rechtsprechung nunmehr in 4 Nr 7 UWG kodifiziert Mittelbare Wirkung kann 9 BDSG sowohl f r vertragliche als auch deliktische Anspr che entfalten in dem die Anforderungen nach 9 BDSG den geschuldeten Sorgfaltsstan dard bzw die Verkehrspflichten konkretisieren Wer die nach 9 BDSG erforderli 821 822 823 824 825 826 827 828 Gola Schomerus 24 BDSG Rn 3 Auf Auskunfts und Berichtigungsanspr che wird in diesem Rahmen nicht eingegangen Schneider Handbuch des EDV Rechts Kap B Rn 518 f LG Hamburg NJW RR 1997 1407 LG Stuttgart CR 1997 83 Weichert in Killian Heussen Kap 134 Rn 69 Kahlert DuD 2003 412 415 BGHZ 110 278 289 BGH GRUR 1973 146 147 BGHZ 110 278 289 BGH VersR 1999 987 BGH WRP 2002 684 BGH NJW RR
236. cke Harald W Das Ger te und Produktsicherheitsge setz in DB 2004 55 60 Preu ner Joachim Risikomanagement im Schnittpunkt von Bankaufsichtsrecht und Gesell schaftsrecht in NZG 2004 57 61 Preu ner Joachim Deutscher Corporate Governance Kodex und Risikomanagement in NZG 2004 303 307 Probst Thomas Datenschutzbeauftragte fordern vertrau ensw rdige Informationstechnik in DSB 2003 Nr 5 10 12 Probst Thomas Automatisierte Software Updates in DuD 2003 508 Pr lss J rgen Beweiserleichterungen im Schadensersatz prozess Karlsruhe 1966 Prof Dr Gerald Spindler XLIV zitiert Pr lss Beweiserleichterungen im Schadensersatzproze Pr tting Hanns Die Beweislast im Arbeitsrecht in RdA 1999 107 112 Quaas Michael Zuck R diger Medizinrecht M nchen 2006 zitiert Quaas Zuck Bearbeiter Quack Grobecker Alexander Funke Guido Internetrisiken eine Herausforderung f r die Haftpflichtversicherung in VW 1999 157 160 Raab Thomas Die Bedeutung der Verkehrspflichten und ihre systematische Stellung im De liktsrecht in JuS 2002 1041 1048 Rebmann Kurt S cker Franz J rgen Rixecker Roland Hrsg M nchener Kommentar zum B rgerlichen Gesetzbuch 4 Auflage M nchen 2000 ff zitiert M nchKommBGB Bearbeiter Recknagel Einar
237. d HaftG f llt Rechtsprechung zu dieser Frage existiert soweit ersichtlich nicht Teilweise wird die Produkteigenschaft von Software verneint da es sich hierbei um keine beweg liche Sache vgl 2 ProdHaftG sondern um ein immaterielles Gut handele Das Computerprogramm als solches sei von dem k rperlichen Datentr ger zu unterscheiden Das ProdHaftG finde zwar Anwendung wenn die Gefahr von der K rperlichkeit der Sache ausgehe nicht aber wenn sie von der Software herr hre welche in der Sache verk rpert ist Die wohl berwiegende Meinung bejaht dagegen zu Recht die Produkteigenschaft von auf einem Datentr ger wie Disketten CD Rom Festplatten u gespeicherter und 402 damit verk rperter Software Denn die Software ist mit dem Datentr ger fest 397 398 399 400 401 402 Gesetz ber die Haftung f r fehlerhafte Produkte Produkthaftungsgesetz ProdHaftG vom 15 12 1989 BGBl I 1989 S 2191 Richtlinie 85 374 EWG des Rates vom 25 7 1985 zur Angleichung der Rechts und Verwaltungsvor schriften der Mitgliedsstaaten ber die Haftung f r fehlerhafte Produkte ABl EG Nr L S 210 Taschner Frietsch 2 ProdHaftG Rn 22 Staudinger Oechsler 2 ProdHaftG Rn 68 So Redeker NJW 1992 1739 M ller Hengstenberg NJW 1994 3128 3131 Honsell JuS 1995 211 212 Taschner Frietsch 2 ProdHaftG Rn 22 Beckmann M ller MMR 1999 14 15 Redeker NIW 1992 1739 f Bauer PHi 1989 98 101
238. d Pflichten der Parteien im Onli 94 94 a Ga A o Bock in Br utigam Leupold Kap VII Rn 16 Koch Versicherbarkeit von IT Risiken Rn 806 Stockhausen WM 2001 605 611 Bock in Br utigam Leupold Kap VII Rn 7 Recknagel Vertrag und Haftung beim Internet Banking S 14 Bock in Br utigam Leupold Kap VII Rn 30 Neumann Bock Zahlungsverkehr im Internet Rn 106 Borges in Derleder Knops Bamberger Handbuch zum deutschen und europ ischen Bankrecht 8 Rn 14 G mann in Bankrechts Handbuch Band I 55 Rn 15 Karper DuD 2006 215 216 Werner in Hoeren Sieber Kap 13 5 Rn 37 Zum Begriff Bock in Br utigam Leupold Kap VII Rn 43 Palandt Sprau 676a BGB Rn 11 Kind Werner CR 2006 353 Borges NJW 2005 3313 3315 Karper DuD 2006 215 216 Neu mann Bock Zahlungsverkehr im Internet Rn 179 M nchKommBGB Casper 676a BGB Rn 33 97 489 EG Empfehlung der Kommission vom 30 Juli 1997 zu den Gesch ften die mit elektronischen Zahlungsinstrumenten get tigt werden besonders zu den Beziehungen zwischen Emittenten und Inhabern solcher Instrumente Text von Bedeutung f r den EWR ABl Nr L 208 vom 2 August 1997 S 52 ff Prof Dr Gerald Spindler 203 485 486 487 ne Banking gegeben hatte legte die Kommission Ende 2005 den Vorschlag f r eine Zahlungsdiensterichtlinie vor Im Interesse der Rechtssicherheit und eines hohen Verbraucherschutzniveaus strebt d
239. d St rerhaftung c St rung der Au enbeziehung des im Internet pr senten Unternehmens 4 Einzelne Sicherungspflichten a Virenscanner b Firewall c System und Programmupdates d Nutzung von Nutzerkonten mit eingeschr nkten Rechten e Intrusion Detection Systeme f Malware Entfernungsprogramme Prof Dr Gerald Spindler 251 251 251 252 252 253 253 253 255 255 256 256 257 257 258 259 260 261 261 261 262 262 263 263 264 265 265 266 268 268 271 272 274 275 276 277 278 279 280 281 283 284 287 287 287 287 288 288 288 g Ergebnis 288 5 Zusammenfassung 288 II Intermedi r als reiner Mittler von Informationen 289 1 Content Provider 290 2 Host Provider 290 3 Access Provider 291 IV ffentlich rechtliche Anforderungen 292 1 Anwendbarkeit des TKG auf IT Intermedi re 292 2 Anforderungen des TKG an die IT Sicherheit 292 V Ergebnis 296 F Endergebnis dieses Gutachtens Verantwortungsverteilung und Anreizdefizite im nationalen Recht 296 G Literaturverzeichnis I H Abk rzungsverzeichnis LXVIII Prof Dr Gerald Spindler 10 A Einleitung Informationstechnologie durchdringt heute alle Lebensbereiche Von der privaten Nut zung des Internets und E Mails ber die Nutzung durch gewerbliche Anwender jegli cher Art bis hin zum Einsatz von IT in kritischen Infrastrukturen wie Energie oder Ge sundheitsversorgung das private wirtschaftliche und ffentliche Leben ist heute
240. d bei neuen technischen Ent wicklungen zuzugestehen Der Hersteller muss den Weg der gr eren Vorsicht w h len wenn Unsicherheiten ber die Sicherheitsvorkehrungen bestehen Auch wenn Software ein u erst komplexes Produkt darstellt dessen Fehlerbehebung erheblichen 241 243 244 246 247 248 Eingehend zum Konstruktionsfehler als Programmierfehler Taeger Au ervertragliche Haftung f r feh lerhafte Computerprogramme S 244 ff G nther Produkthaftung f r Informationsg ter S 300 f Mei er Wehlau CR 1990 95 96 Reese DStR 1994 1121 1123 BGHZ 116 60 70 BGH NJW 1990 906 907 f BGH NJW 1952 1091 Kullmann NJW 2002 30 32 Kullmann Pfister Kullmann Kz 1520 S 14 Bamberger Roth Spindler 823 BGB Rn 494 mwN Bei der Instruktion k me es z B darauf an dass der Nutzer eindringlich auf die Notwendigkeit von perio dischen Sicherheitsupdates hingewiesen wird BGH NJW 1990 906 908 BGH NJW 1994 3349 3350 M nchKommBGB Wagner 823 BGB Rn 602 Michalski BB 1998 961 964 Vgl Foerste in v Westphalen ProdHaftHdb 24 Rn 84 ff 86 Kullmann Pfister Kullmann Kz 1520 S 4 f diff Br ggemeier WM 1982 1294 1302 Insbes bei uneinheitlichen Verbrauchererwartungen wie z B bei Kopfst tzen ABS Bremssysteme oder Airbags in Kfz vgl Foerste in v Westphalen ProdHaftHdb 24 Rn 89 90 ff hnlich Hollmann DB 1985 2389 2392 Schlechtriem VersR 1986 1033
241. das Verwendung eines Dialerschutzprogrammen noch verneint Vorhalten eines allgemeinen Virenschutzes nicht bertragbar ist s oben Rn 295 ff Zu weitgehend ist es aber aus den dargelegten Gr nden Rn 531 ff dem Online Banking Kunden dar ber hinaus unter Berufung auf die Sensibilit t des Bankgesch fts beispielsweise eine Pflicht zur Konfiguration einer Firewall oder zur Vornahme be stimmter Browsereinstellungen aufzuerlegen 536 Die Sicherung des privaten Computers l uft als Pr ventionsma nahme indessen leer wenn wie h ufig Online Bankgesch fte vom Arbeitsplatz aus get tigt werden und hierzu erlaubt oder unerlaubt die Hard und Software des Arbeitgebers verwendet wird Nutzt der Kunde das Online Banking am Arbeitsplatz bedarf es keiner gro en Anstrengungen f r einen einigerma en versierten Computerspezialisten ein Programm auf dem Rechner im Hintergrund zu installieren das die Vorg nge auf dem Computer aufzeichnet insbesondere die eingegebenen Kennw trter oder Internet Adressen Dem Kunden kann hier allenfalls vorgeworfen werden seine Kennw rter auf dem Arbeits 10 BGH MMR 2004 308 311 ausf hrlich Spindler JZ 2004 1128 ff vgl auch LG Stralsund MMR 2006 487 489 mit zu Recht krit Anm Ernst CR 2006 590 ff 1037 So aber Karper DuD 2006 215 217 188 Die arbeitsrechtliche Zul ssigkeit der privaten Nutzung des Internet am Arbeitsplatz ist heute meist im Arbeitsvertrag oder Betriebs
242. das Produkt entstandenen latenten Gefahr durch Dritte entstehen ber tr gt man diese Grunds tze auf die IT Produkthaftung wird die Verantwortlichkeit von Softwareproduzenten bei IT Sicherheitsl cken ihrer Programme nicht dadurch aus geschlossen dass letztlich Dritte wie Programmierer von Viren oder W rmern oder Hacker die Sch den verursachen Eine solche latente Gefahr besteht insbesondere bei Sicherheitsl cken die von Hackern ausgenutzt werden k nnen b Haftung f r Fremdprodukte und dienste Zu beh r Kompatibilit ten Eng damit verwandt aber nicht gleichbedeutend ist die Haftung f r fremde Software die in Verbindung mit der eigenen Software eingesetzt wird in bertragung der von der Rechtsprechung entwickelten Haftung des Herstellers f r fremd produziertes Zube BGHZ 165 170 NJW 1962 1565 BGH NJW 1990 1236 1237 OLG K ln VersR 1992 1241 So sind Lichtroste gegen ein Abheben zu sichern BGH NJW 1990 1236 1237 anders OLG Frankfurt Rev nicht angenommen BGH VersR 1998 250 Ls f r einen Schacht im Schotterstreifen BGH NJW 1980 223 BGHZ 37 165 170 NJW 1962 1565 OLG Koblenz NVwZ 2002 745 Fahrbahnverschmutzung durch Sand BGH NJW 1971 459 460 Bamberger Roth Spindler 823 BGB Rn 245 mwN M nchKommBGB Wagner 823 BGB Rn 255 f BGH NJW 1990 1236 1237 Mankowsski in Ernst Hacker Cracker amp Computerviren Rn 442 Bartsch CR 2000 721 721 ff Prof D
243. das gesamtgesellschaftliche Optimum Denn die Gef hrdungshaftung b rdet dem Sch diger alleinig das Haftungsrisiko auf Damit flie en alle Nutzen und Kosten der Aktivit t in der Person des Sch digers zusammen Folglich ist absolute Parallelit t zwi schen dem Interesse des Sch digers und dem Interesse der Gesellschaft erreicht Im Er gebnis wird der Sch diger indem er aus eigenem Interesse handelt gleichzeitig den Nutzen f r die Gesellschaft maximieren Damit kann mittels der Gef hrdungshaftung theoretisch eine st rkere Steuerungswir kung erreicht werden dass in Deutschland trotzdem die Verschuldenshaftung die Regel ist ist historisch bzw dadurch bedingt dass der Hauptaugenmerk auf der 69 70 74 72 73 74 Vgl auch Siemer Das Coase Theorem S 82 f Zur Grundannahme des rational handelnden Akteurs vgl Coleman Foundations of Social Theory S 5 Kirchg ssner Homo Oeconomicus S 66 ff Tietzel Jahrbuch der Sozialwissenschaften 1981 S 115 ff Eder Zeitschrift f r Rechtssoziologie 8 1987 193 207 ff Sailer Pr vention im Haftungsrecht S 186 F r den mathematischen Nachweis S Shavell Economic Analysis of Accident Law S 23 ff 32 ff vgl auch Sailer Pr vention im Haftungsrecht S 186 Miceli Economics of the Law S 28 Sailer Pr vention im Haftungsrecht S 185 mwN Vgl Ben hr Die Entscheidung des BGB f r das Verschuldensprinzip Tijdschrift voor Rechtsgeschiede n
244. deckt wurde Die Schwachstelle erlaubt DNS Server zu korrumpie ren indem der Angreifer DNS Datens tze mit falschen Zuordnungen zwischen Do main Namen und IP Adressen einspielt Nach erfolgtem Angriff liefert der DNS Server falsche IP Adressen als Antwort auf DNS Anfragen aus KO gelingt es den DNS Server des Providers P so zu manipulieren dass anstelle der korrekten IP Adresse die IP Adresse eines KO Servers ausgeliefert wird wenn DNS Anfragen nach dem Online Banking Portal der Bank B eingehen Auf diese Weise ge langt der Nutzer N des Online Portals von B nicht auf den Bank Server sondern auf den Server von KO auf dem das Online Portal von B nachgebildet wurde B setzt aus schlie lich auf das PIN TAN Verfahren N bersendet in bestem Glauben alle Zu gangsdaten Da das Portal die Eigenschaft hat unmittelbar nach dem Zugang den Kon to Stand an den Kunden zu bermitteln muss KO mit den Zugangsdaten von N Kontakt zum echten Portal aufnehmen um die entsprechenden Daten an N bersenden zu k n nen KO bernimmt also die Rolle eines Man in the middle mantec Internet Threat Report zufolge wurde im ersten Halbjahr 2006 ein Anstieg der Varianten von Phishing E Mails um 81 Prozent auf fast 160 000 Varianten registriert S 82 ff abrufbar unter http www symantec com content en us about media ISTR_XI_Global_FINAL pdf zuletzt abgerufen am 06 06 2007 Prof Dr Gerald Spindler 200 476 Die von N initiierte Transaktion wird
245. delt es sich nicht um ein Schutzge setz im Sinne von 823 Abs 2 BGB906 da die dort geregelten Pflichten zu unbe stimmt sind um aus ihrer Verletzung Individualanspr che ableiten zu k nnen und es sich lediglich um Hilfspflichten handelt die der betriebsinternen Durchsetzung der Ver haltenspflichten der 31 32 WpHG dienen Deliktische Anspr che sind allenfalls bei Verletzung eines der Rechtsg ter oder Rechte des 823 Abs 1 BGB oder bei vor s tzlich sittenwidriger Sch digung 826 BGB denkbar In Betracht kommen im Einzelfall zudem vertragliche Schadensersatzanspr che gegen ber dem Kunden wegen verschuldeter Nichterreichbarkeit des Wertpapierdienstleistungsunternehmens im Falle eines Systemausfalls allerdings strahlt 33 WpHG nicht unmittelbar auf die schuld rechtliche Beziehung zwischen Anleger und Wertpapierdienstleistungsunternehmen 10 aus 3 d Anhaltspunkte f r IT Konkretisierungen Im Einzelnen verlangt 33 Abs 1 Nr 1 WpHG das Vorhalten von pers nlichen und sachlichen Mitteln soweit diese f r die richtige Ordnung des Gesch ftsbetriebes erforderlich sind Die erforderlichen sachlichen Mittel beziehen sich auf die technische Ausstattung insbesondere somit auch auf EDV Systeme Hinsichtlich der notwendigen Verfahren m ssen die Wertpapierdienstleistungsunternehmen ausreichende Ma nahmen in Bezug auf die elektronische Datenverarbeitung treffen so dass Unbefugten der Zugriff auf die Daten des
246. den bzw die Ein ordnung anhand der genannten Kriterien erh hte Pflichten bedingt muss aber auch ber die gemeinsamen grunds tzlichen Ma nahmen hinausgegangen werden Am Anfang jedes Verfahrens steht also die Analyse des eigenen Unternehmens Dabei sind insbesondere die folgenden Fragen zu beantworten Welcher Art sind eingesetzte IT Systeme und welchen Umfang hat ihr Einsatz Wie wichtig ist der Einsatz der IT Systeme f r das Gesamtunternehmen aber auch f r einzelne Ge sch ftsbereiche bzw Verfahrensabl ufe Als Kontrollfrage k nnte der Ausfall eines oder mehrerer Systeme angenommen werden und die Auswirkungen betrachtet werden Was f r Daten werden verwendet Welche Folge h tte ihr Verlust bzw ihre Ver nderung Welche Gesch ftsabl ufe w ren davon betroffen Sind Dritte betroffen und wenn ja in welchem Umfang Wie verhalten sich die Antworten auf diese Fragen zur Gesamtgr e bzw zur generellen wirtschaft lichen Leistungsf higkeit des Unternehmens Da insbesondere Zumutbarkeits berlegungen immer nur f r den Einzelfall entschieden werden k nnen spielen auch solch ganz konkrete Gegebenheiten eine wesentliche Rolle Allerdings k nnen Exkulpationen nur greifen wenn sich hierf r Anhalts punkte in der anzuwendenden Norm ergeben dies betrifft vor allem die allgemeinen haftungsrecht lichen Pflichten Die Pflichten des AktG des KWG WpHG sowie des SOX sind diesen berlegun gen nur bedingt zug nglich Im Ansc
247. der Softwarel cke f r die Installation des Trojaners zu beweisen Schl gt die Er sch tterung des Anscheinsbeweises oben Rn 579 ff fehl und haftet er gegen ber der Bank in H he des berweisungsbetrages d rfte die anschlie ende Inanspruchnahme des Herstellers der Software kaum gr ere Erfolgsaussichten haben Wegen des Be weis und Kostenrisikos wird die Bedeutung der Produkthaftung wird im vorliegenden Zusammenhang damit eher gering sein Anspr che der Bank gegen den IT Hersteller scheitern bereits an der fehlenden Vertragsbeziehung und Rechtsgutsverletzung Die engen Voraussetzungen einer Drittschadensliquidation werden im Verh ltnis zwischen Bank und Kunde regelm ig nicht vorliegen 6 Intermedi re Eine Haftung von Intermedi ren gegen ber dem Bankkunden erscheint zumindest auf vertraglicher Grundlage m glich wenn der Provider eine ihn selbst treffende Siche rungspflicht schuldhaft verletzt hat ausf hrlich zu den Sicherungspflichten der Inter medi re unten Rn 659 ff Sofern sich aber nachweisen l sst dass die Identit tst u 1151 Dazu Palandt Heinrichs Vorb v 249 BGB Rn 112 ff Bamberger Roth Schubert 249 BGB Rn 153 Prof Dr Gerald Spindler 250 schung durch einen Angriff auf den Provider des Bankkunden verursacht wurde vgl beispielsweise Szenario 2 zu DNS Spoofing Rn 474 haftet der Kunde mangels eige ner Pflichtverletzung nicht gegen ber seiner Bank Eine Inanspruchna
248. der Vertragspartner Hersteller f r s mtliche Verm gensfolgesch den die seine schadhafte Software 162 163 164 165 166 167 168 Spindler in FS Nagel S 22 S dazu Spindler in FS Nagel S 22 Marly Rn 508 Peter in Schneider von Westphalen Software Erstellungsvertr ge G Rn 7 ff Baum CR 2002 705 ff Koch Versicherbarkeit von IT Risiken Rn 505 Peter in Schneider von Westphalen Software Erstellungsvertr ge G Rn 7 ff Schneider Handbuch des EDV Rechts J Rn 6 Spindler in FS Nagel S 23 v Westphalen in Schneider v Westphalen Software Erstellungsvertr ge H Rn 6 Erman Roloff 307 BGB Rn 1 Zur Wirksamkeit derartiger Klauseln generell v Westphalen in Schneider v Westphalen Software Erstellungsvertr ge H Rn 6 bezogen auf Gew hrleistungsbeschr nkungen und die wegen 307 BGB nicht erlaubte Verk rzung der Verj hrungsfrist bei Software auf ein Jahr Bartsch CR 2005 9 Schneider Handbuch des EDV Rechts J Rn 244 Prof Dr Gerald Spindler 45 101 169 170 171 172 173 angerichtet hat einstehen muss oder ob er eine solche Einstandspflicht abbedingen kann Grunds tzlich ist eine Freizeichnung f r die Schadensersatzhaftung auch im Verbrauchsg terkauf m glich sofern kein Vorsatz vorlag oder eine Beschaffenheitsgarantie bernommen wurde Die Haftung f r Mangelfolgesch den h ngt davon ab ob der Vertragspartner den Schaden iSd 276 BGB zu vertre
249. des Patienten zumal bestimmte Diagnosen auch R ck schl sse auf hnliche Erkrankungen bei Verwandten erm glichen k nnten Der Arzt kann jedoch durch die Einwilligung des Patienten von seiner Schweigepflicht entbun den werden oder zum Zwecke des erforderlichen Schutzes eines h herwertigen Rechts 1188 gutes zur Preisgabe befugt sein Mitarbeiter und andere in der Arztpraxis t tige Per sonen sind ber ihre Schweigepflicht zu belehren Des Weiteren kann der Arzt gesetz Laufs in Laufs Uhlenbruck 70 Rn 1 Bezug genommen wird hier jeweils auf die Muster Berufsordnung der Bundes rztekammer Stand 2006 abrufbar unter http www bundesaerztekammer de downloads MBOStand20061 124 pdf Laufs in Laufs Uhlenbruck 5 Rn 4 Laufs in Laufs Uhlenbruck 5 Rn 5 BVerfG NJW 1972 1504 1507 Ulsenheimer in Laufs Uhlenbruck 69 Rn 14 Spickhoff NIJW 2005 1983 Ulsenheimer in Laufs Uhlenbruck 70 Rn 10 Deutsch Spickhoff Medizinrecht Rn 478 ff Ulsenheimer in Laufs Uhlenbruck 71 Rn 1 ff Eine Entbindung von der Schweigepflicht liegt zum Beispiel beim Bestehen von gesetzlichen Meldepflichten nach den 11 H 12 13 GeschlechtskrankheitenG 7 ff 11 12 49 Infektionsschutzgesetz etc oder in 12 Geldw scheG vor Prof Dr Gerald Spindler 259 617 618 619 620 621 1190 1191 lich zur Herausgabe von Daten verpflichtet werden 182 9 BerufsO schr nkt solche Hera
250. die Ver schwiegenheitspflicht Sie ist hnlich 2 BORA angelegt aber umfangreicher und deut licher So h lt 9 Abs 6 BOStB ausdr cklich fest dass der Steuerberater daf r Sorge zu tragen hat dass Unbefugte keinen Einblick in die Unterlagen erhalten Demgem hat der Steuerberater die Pflicht die Daten ausreichend gegen den Zugriff von Dritten zu sichern wobei auch hier die Pflichten mit denen des Anhangs von 9 BDSG ver gleichbar sein d rften Da der rechtliche Status dem eines Anwalts hnlich und auch der Schutz vor staatlichen Eingriffen ebenso zu gestalten ist d rfte eine Kontrolle der Einhaltung bez glich der gesch tzten Daten ebenfalls nur durch die Bundessteuerbera terkammer erfolgen F r die vertraglichen Nebenpflichten und die deliktische Haftung ergeben sich ge gen ber den Ausf hrungen zum Verh ltnis zwischen Anwalt und Mandant keine Be sonderheiten 5 rzte Wie das Verh ltnis von Anwalt zu Mandanten ist erst recht dasjenige zwischen Arzt und Patienten durch ein besonderes gegenseitiges Vertrauen gekennzeichnet Die In formationen die der Patient notwendigerweise f r eine Behandlung dem Arzt anver traut sind in aller Regel h chstpers nlicher Natur Die Verschwiegenheit des Arztes BVerfG NJW 2005 1917 1919 BVerfG NJW 1989 2611 2612 BVerfG NJW 1989 2611 2612 BVerfG NJW 2005 1917 1919 BGH NJW 1959 811 813 Prof Dr Gerald Spindler 258 615 616
251. die Verbraucher bzw Unternehmereigenschaft Hierf r wird grunds tzlich an den Abschluss eines Rechtsgesch fts also an eine konkrete rechtlich wirksame Handlung angekn pft Unter entsprechender Anwendung w re demnach privater Nutzer derjenige dessen sch digende Handlungen in den privaten Bereich ein zuordnen sind der also konkret f r den eigenen Bedarf gehandelt hat In Abgrenzung dazu w re ein Nutzer als kommerzieller Nutzer einzustufen sofern seine Handlungen einen Bezug zu seinem Gesch ft aufweisen Allerdings erscheint diese Differenzierung im hier diskutierten Zusammenhang zu n chst nur bedingt zielf hrend Denn die Abgrenzung von privaten und kommerziel len Nutzern wirft vor allem f r die Eigenverantwortlichkeit der IT Nutzer gegen ber Dritten aufgrund der Heterogenit t der Computernutzung eine Reihe von Problemen auf H ufig l sst sich eine konkrete Handlung des Nutzers direkt nicht ausmachen da sein Rechnersystem ohne sein weiteres Zutun etwa sch digende Angriffe auf Dritte durchf hren kann Die Handlung des Nutzers an die f r die Qualifizierung nach 13 14 BGB angekn pft w rde m sste also im Augenblick der Beeintr chtigung des eige nen Rechnersystems ermittelt werden obwohl die Sch digung eventuell viel sp ter er folgt Grenzt man nach der jeweilig vorliegenden Handlung ab so h tte dies zur Folge dass der Nutzer eines einzigen Computersystems unterschiedlichen Pflichtbereichen unterworfen w
252. die sich in erster Linie an Mitglieder der Leitungsorgane der registrierten Unternehmen und deren Abschlusspr fer richten In Bezug auf das in terne Kontrollsystem werden zwei Ziele verfolgt deren Umsetzung konkrete Aus wirkungen auf Vorstand interne Revision Aufsichtsrat und Abschlusspr fung hat Zum Fall Enron vgl etwa United Bancruptcy Court Southern District of New York In re Enron Corp et al First Interim Report of Neal Batson Court Appointed Examiner Sept 21 2002 Eine umfassende Dokumentenzusammenstellung zum Fall Enron ist auch abrufbar unter http news findlaw com legalnews lit ienron zum Fall WorldCom vgl abrufbar unter http lawcrawler findlaw com scripts lc pl entry WorldCom amp sites news krit ber den Erfolg des SOX Act Schwarz Holland ZIP 2002 1661 ff s auch Schiessl AG 2002 593 593 ff Gruson Kubicek Der Sarbanes Oxley Act 1 f abrufbar unter http www jura unifrankfurt de ifawz1 baums Bilder_und_Daten Arbeitspapiere paper113 pdf auch AG 2003 337 338 Arbeitskreis Externe und Interne berwachung der Unternehmen der Schmalenbach Gesellschaft f r Betriebswirtschaft e V BB 2004 2399 2399 Schultze Melling CR 2005 73 79 Z B Auditing standards Nos 1 3 des Public Company Accounting Oversight Board PCAOB PricewaterhouseCoopers Sarbanes Oxley Act Professionelles Management interner Kontrollen 2004 passim B low Datenschutz Berater 10 2005 13 vgl auch H rten
253. dinierte An griffe gegen Dritte benutzt Technisch sind Bot Netze meist so organisiert dass sich je der Bot bei einem zentralen Server meldet von dem aus der Angriff koordiniert wird indem der Angreifer allen Bots den gleichen Befehl sendet Dies potenziert die Wirk samkeit eines Angriffs bspw DoS Angriff siehe Rn 87 ff da Bot Netze mit mehre ren tausend Bots eine enorme Bandbreitensumme besitzen k nnen die in der Regel die Bandbreite des Angegriffenen bersteigt Die Struktur von Bot Netzen erm glicht durch gezieltes Ausschalten des zentralen Servers die Koordination des Netzwerks und damit auch die Nutzbarkeit zu verhindern Daher benutzen aktuelle Bot Netze aus dem Bereich der P2P Anwendungen bekannte verschl sselte dezentrale Kommunikations strukturen M gliche Gegenma nahmen F r den Anwender eines von einem Bot befallenen PCs gleicht dies den Ma nahmen die bereits f r Computerviren und w rmer erl utert wur 139 den Einsch tzung des Gef hrdungspotentials Die Gef hrdung f r einen von einem Bot be fallenen PC bzw dessen Anwender besteht haupts chlich durch die von dem Bot ver brauchten Ressourcen Bots enthalten meist keine Schad oder Weiterverbreitungsfunk tionen damit sie dem Anwender nicht auffallen Eine gro e Gef hrdung stellen Bot Netze hingegen f r die Opfer eines koordinierten Bot Netz Angriffs dar 2 Koordinierte Angriffe Im ersten Schritt wurden Gefahrenpotentiale beschrie
254. dler 111 255 256 257 rungen nicht einhalten vorl ufige Ma nahmen treffen 2 Sie muss dann aber die Euro p ische Kommission ber Ma nahmen welche den freien Warenverkehr beeintr chti gen informieren damit die Kommission in die Lage versetzt wird die Berechtigung er Ma nahmen einzusch tzen und ggf eine berpr fung der harmonisierten Normen in die Wege zu leiten Bei technischen Arbeitsmitteln und verwendungsfertigen Gebrauchsgegenst nden die mit dem GS Zeichen nach 7 Abs 1 GPSG versehen sind dazu Rn 108 ff ist davon auszugehen dass diese den Anforderungen an Sicherheit und Gesundheit nach 4 Abs 1 und 2 GPSG sowie anderen Rechtsvorschriften entsprechen 8 Abs 2 Satz 4 GPSG ber 4 Abs 2 Satz 4 GPSG hinaus wird damit die bereinstimmung des Pro 524 dukts mit allen gesetzlichen Anforderungen vermutet In der Praxis bedeutet ein zu Recht vergebenes GS Zeichen damit eine deutliche Erschwernis f r beh rdliches Vor gehen gegen das betreffende Produkt a 5 Zusammenfassung Das ffentliche Produktsicherheitsrecht erfasst sowohl Hard als auch Softwareproduk te F r Hardwareprodukte ergeben sich keine grundlegenden Besonderheiten gegen ber anderen elektrischen Ger ten Demgegen ber ist der Anwendungsbereich f r Software produkte von vornherein deutlich beschr nkt da der Schutzzweck des GPSG auf Perso nensch den beschr nkt ist und insbesondere Datensch den somit nich
255. dlung von Privaten und Unternehmern anerkannt Letztere profitieren in besonde rem Ma e vom Einsatz von Software und erlangen somit nicht unerhebliche betriebs wirtschaftliche Vorteile Insofern ist unter Ber cksichtigung des Gedankens der Vor teilsziehung bzgl der Bestimmung der Selbstschutzpflichten des Softwarebenutzers fol gerichtig zwischen professionellen IT Anwendern und privaten IT Anwendern zu un terscheiden Privaten Softwarebenutzern ist demnach eine Pflicht zu Selbstschutzma nahmen unter anderen Voraussetzungen aufzuerlegen Diese Rechtsauffassung hat der BGH auch in seinem Urteil zu Mehrwertdiensten hin sichtlich einer Pflicht zum Einsatz von Dialerschutzprogrammen deutlich zum Aus druck gebracht indem er ausgef hrt hat dass privaten IT Nutzern eine routinem ige berpr fung auf Dialer ohne besondere Verdachtsmomente sowie die berwachung 611 Des Weiteren hat er klar des Aufbaus von Verbindungen ins Internet nicht obliege gestellt dass privaten IT Nutzern keine Pflicht zur Verwendung und Aktualisierung ei nes Dialerschutzprogrammes treffe Anders ist dies aber zu beurteilen wenn die Ge fahr sowie die L sung allgemein bekannt sind Demgem entf llt die Pflicht zu Selbst schutzma nahmen zumindest bei privaten Softwarenutzern wenn nicht Problem und L sung bekannt und die Ergreifung technisch und wirtschaftlich zumutbar ist Bei Programmen mit bekannten Sicherheitsl cken muss der Nutzer insbesonde
256. durch Marktmechanismen von vornherein die Schutzaufwendungen dem cheapest cost avoider auferlegt werden Letztendlich bietet es sich ja f r den Sch diger an die Schutzvorkehrungen nicht selbst zu treffen sondern vertragliche Beziehungen bez glich der Schutzvorkehrungen mit dem eventuell vom Haftenden unterschiedli chen cheapest cost avoider gegebenenfalls sogar den Gesch digten einzugehen Eine solche vertragliche Optimierung ist ein Beispiel f r das Coase Theorem Nach diesem erfolgt allgemein formuliert die Allokation hier der Einsatz von Ressourcen unab h ngig von der genauen Ausgestaltung der Rechtsordnung aber nur sofern keine Transaktionskosten bestehen Transaktionskosten sind die Kosten die aufgewendet werden m ssen um einen Ver trag abzuschlie en und durchzusetzen Da entsprechende Kosten immer entstehen kann das Coase Theorem auch anders gewendet werden in der realen durch Transakti onskosten bestimmten Welt ist die Allokation der Ressourcen immer auch von der Rechtsordnung mitbestimmt Folglich beh lt der Grundgedanke die rechtlich ausges Ebenso Sch fer Ortt Lehrbuch der konomischen Analyse des Zivilrechts S 208 G Calabresi The Costs of Acidents S 136 ff Coase The Problem of Social Cost S 146 f Thomas J Miceli Economics of the Law S 9 Coase The Problem of Social Cost Journal of Law and Economics 3 ders in Assmann Kirchner Schanze konomische Analyse des Rechts S
257. durch den Stand von Wissen schaft und Technik im Zeitpunkt des Inverkehrbringens des Produkts welcher das realisierbare Ergebnis neuester naturwissenschaftlicher Forschung und ingenieurwissen schaftlicher Erfahrungss tze deren Akzeptanz durch die Mehrheit der Praktiker noch aussteht widerspiegelt F r danach nicht voraussehbare Gefahren Entwicklungsfeh ler haftet der Hersteller nicht F r die Ausf llung dieser unbestimmten Rechtsbegriffe und damit die Pflichtenbestim mung im Bereich der Produkthaftung von herausragender Bedeutung sind Standards welche in berbetrieblichen technischen Normen niedergelegt sind a Haftungsrechtliche Bedeutung technischer Normen BGH NJW 1971 1313 anerkannte Regeln der Technik BGH DB 1972 1335 Stand der Technik BGH NJW 1981 1603 Stand von Wissenschaft und Technik ausf hrlich zur Abgrenzung der Begriffe BVerfG NJW 1979 359 362 Marburger Die Regeln der Technik im Recht 14 16 Dazu ausf hrlich Finke Die Auswirkungen der europ ischen Normen und des Sicherheitsrechts auf das nationale Haftungsrecht S 9 ff Marburger Die Regeln der Technik im Recht S 157 162 f 439 Foerste in v Westphalen Prod HaftHdB 24 Rn 16 Wilrich 2 GPSG Rn 107 Vieweg in Schulte Handbuch des Technikrechts S 353 Foerste in v Westphalen ProdHaftHdB 24 Rn 18 f Spindler Unternehmensorganisationspflichten S 796 BVerfG NJW 1979 359 362 OLG K ln NJW RR 19
258. durch diese nicht auszuschlie ende M g lichkeit charakterisiert sich jedoch das Internet Banking daKommunikationskan le die weder vom Kreditinstitut noch vom Kunden beherrschbar sind benutzt werden ur 1073 1074 1075 1076 1077 Borges NJW 2005 3313 3316 Erfurth WM 2006 2198 2203 Karper DuD 2006 215 218 Wies gickl WM 2000 1039 1047 Werner in Schwarz Peschel Mehner Recht des Internet Teil 2 Kap 2 A Rn 2f Kind Werner CR 2006 353 359 Karger DuD 2006 215 218 Langenbucher Die Risikoverteilung im bargeldlosen Zahlungsverkehr S 147 Zur Beweislastumkehr als Rechtsfortbildung Musielak Foerste 286 ZPO Rn 37 M nchKommZPO Pr tting 286 ZPO Rn 117 119 121 Stodolkowitz VersR 1994 11 13 f f r strenge Voraussetzun gen Pr tting RdA 1999 107 110 Z ller Greger Vor 284 ZPO Rn 17 f Grundlegend Pr lss Beweiserleichterungen im Schadensersatzproze S 65 ff krit Musielak AcP 176 1976 465 470 ff Recknagel Vertrag und Haftung beim Internet Banking S 145 Ebenso verneint die Rechtsprechung eine Beweislastumkehr bei Internet Auktionen OLG Naumburg NOZ 2005 2222 2224 OLG K ln MMR 2002 813 LG Bonn MMR 2004 179 180 LG Bonn MMR 2002 255 256 LG Konstanz MMR 2002 835 836 Prof Dr Gerald Spindler 233 554 555 556 Die oben beschriebene Bedrohungslage Rn 473 ff beim Online Banking unterschei 1078 det sich auch wesentli
259. e Hard oder Software oder greifen sie unerlaubt auf Daten zu Fremdnutzungsrisiko kann es zu einem Bruch der Vertraulichkeit Urheberrechtsverletzungen aber auch zu einem Verlust von Daten oder ganzen Systemen kommen Die notwendigen Sicherheitsvorkehrungen zur Vermeidung dieser Risiken umfassen Vorkehrungen um Fehler und Sch den aufzudecken und zu verhindern Vorsorgema nahmen sowie Eventualplanungen Der Schadensverhinderung und aufdeckung dienen organisatorische Ma nahmen wie beispielsweise die Kontrolle der Datenerfassung Programmfreigabeverfahren und die Kontrolle des Systembetriebs Daneben sind tech Framework for Internal Control Systems in Banking Organisations Basle Committee on Banking Super vision Basel 1998 abrufbar unter http www bis org pupl bcbs40de pdf zuletzt abgerufen am 10 05 2006 Basel Committee Publication No 33 S 19 Rn 32 33 Abrufbar unter http www bis org publ bcbs35 pdf zuletzt abgerufen am 10 05 2006 Abrufbar unter http www bis org publ bcbs82 pdf zuletzt abgerufen am 10 05 2006 Spindler in Fleischer Handbuch des Vorstandsrechts 19 Rn 26 C amp L Deutsche Revision 6 KWG Novelle 246 Boos Fischer Schulte Mattler Braun 25a KWG Rn 145 Ausf hrlich Boos Fischer Schulte Mattler Braun 25a KWG Rn 152 ff Tappert EDV System Pr fung 1994 Prof Dr Gerald Spindler 187 448 449 nische Sicherheitsvorkehrungen zum Schutz des Rechenzentrums z
260. e Bank 2005 68 f Beispiele nach Capellaro F ser Die Bank 2005 68 Capellaro F ser Die Bank 2005 68 f F r die Auswirkungen der Kreditkosten auf den Mittelstand s Paul Stein Kaltofen Die Bank 2004 342 f Schulte Mattler Manns Die Bank 2004 376 ff mwN Prof Dr Gerald Spindler 153 362 363 680 681 682 683 684 Voraussetzungen insbesondere die IT relevanten Kriterien erf llt Von Vorteil ist es in sofern wenn die Prozesse des Kerngesch fts durch die eingesetzten Applikationen op timal unterst tzt werden Diese sollten den entsprechenden branchen blichen Standards entsprechen und auf dem Stand der Technik sein die Prozesse im IT Betrieb m ssen wirksam sowie kosteneffizient und die wesentlichen IT Risiken sollten identifiziert sein sowie geeignete Ma nahmen zu deren Reduktion umgesetzt werden Zu einem effekti ven Risikomanagement geh ren auch Schulungen der Mitarbeiter und Aufkl rungs ma nahmen sowie eine im Unternehmen kommunizierte schriftlich fixierte Sicherheits Policy Die Ma nahmen m ssen in regelm igen Abst nden wiederholt werden um Effektivit t zu garantieren Au erdem muss die IT Infrastruktur insgesamt robust und geeignet ausgelegt sein um das aktuelle Transaktionsvolumen zu bew ltigen Hilfreich ist eine flexible Konzeption so dass durch akzeptable Erweiterungsma nahmen auch das zuk nftig zu erwartende Transaktionsvolumen bew ltigt werden kann Zudem m s sen die Vera
261. e Dokumente darstellen in denen Anwender auf der Basis der 11 Funktionsklassen ihre Sicherheitsbed rfnisse 318 benutzerorientiert formal beschreiben und anschlie end registrieren k nnen Protec tion Profiles stellen produktunabh ngige Profile zur Bewertung bestimmter IT Produkte dar Aus ihnen kann f r konkrete Produkte ein sogenanntes Security Target sprich spe zielle Sicherheitsvorgaben erstellt werden gegen das dann die Evaluation durchgef hrt 319 werden kann Ein Protection Profile besteht u a aus der Beschreibung des Sicher heitsproblems der Spezifizierung von Sicherheitszielen sowie der notwendigen Anfor derungen an das Produkt um den Sicherheitszielen gen gen zu k nnen ww ww ww ww oo u A Ua A 320 Zur Entwicklung s M nch RDV 2003 223 Mackenbrock http www bsi de cc cc_20d htm Ernestus DuD 2003 68 Probst DSB 2003 Heft 5 10 Probst DSB 2003 Heft 5 10 Common Criteria v3 0 Rev 2 Teil 1 http www bsi bund de cc CCMB2005V3T2 pdf Rn 119 ff Ernestus DuD 2003 68 Probst DSB 2003 Heft 5 10 Ro nagel Freundesgabe f r B llesbach S 131 141 eine Liste der aktuell registrierten Schutzprofile findet sich unter http www bsi de cc pplist pplist htm Mackenbrock http www bsi de cc cc_20d htm Common Criteria v3 0 Rev 2 Teil 1 http www bsi bund de cc CCMB2005V3T1 pdf Rn 272 dazu auch Probst DSB 2003 Heft 5 10 ff Prof Dr Gerald Spindler 70
262. e Konkretisierung dieser durch richterliche Rechtsfortbildung entwi ckelten Pflichten sind insbesondere die berechtigten Sicherheitserwartungen des Verkehrs und der zumutbare Aufwand ma geblich Im Bereich der Produkthaftung ist dies f r Hersteller von IT Produkten dahingehend pr zisiert worden dass diese sich nicht nach individuellen besonderen Sicherheitserwar tungen oder Schadensanf lligkeiten richten m ssen Ebenso wenig m ssen Produk te deren Gefahren jedermann bekannt sind gegen Missbrauch gesichert werden auch vor deren Fehlgebrauch muss nicht gewarnt werden Die Pflichten des Produzenten insbesondere zur Instruktion und Warnung werden weiter eingeschr nkt wenn die Ab nehmer selbst fachkundigen Kreisen angeh ren und daher weitestgehend selbst die Ge fahren des Produktes beurteilen k nnen Andererseits haftet der Produzent auch f r Sch den infolge eines nicht bestimmungsgem en Gebrauchs sofern dieser sich noch Vgl zu den Kriterien der Bestimmung der im Verkehr erforderlichen Sorgfalt Bamberger Roth Unberath 276 BGB Rn 20 ff Palandt Heinrichs 276 BGB Rn 15 ff MinchKommBGB Grundmann 276 BGB Rn 53 ff sowie den Kriterien zur Bestimmung der deliktischen Verkehrspflichten Palandt Sprau 823 BGB Rn 45 Bamberger Roth Spindler 823 BGB Rn 233 ff M nchKommBGB Wagner 823 BGB Rn 248 ff dezidiert f r eine Gleichsetzung von deliktischer Verkehrspflichtverletzung und Au er achtlass
263. e Programme vorsieht oder es sich um all gemein gebr uchliche Programme handelt mit dem der Hersteller von vornherein rech nen muss Demgem ist die Haftung f r fremde Software weitgehend ausgeschlossen sie kann allenfalls in Betracht kommen wenn die fremde Software wie Plug Ins Add Ons etc spezifisch auf das Produkt des Herstellers zugeschnitten ist Nur dann wird man berhaupt von einer solchen Produktbeobachtungspflicht ausgehen k nnen b R ckrufpflichten Auch wenn in den Grundz gen gr tenteils anerkannt fehlt bislang eine klare dogmati sche Grundlage f r die Pflicht das Produkt zur ckzunehmen und gegen ein funktions t chtiges auszutauschen da sie das vertragsrechtlich geregelte quivalenzinteresse ber hrt Nur dann wenn erhebliche Folgen f r Gesundheit und Eigentum zu bef rch ten sind und Warnhinweise entsprechende Sch den nicht ohne weiteres verhindern k n nen kann eine entsprechende Fehlerbehebung anstelle eines Warnhinweises in Be tracht kommen Im Vordergrund der Herstellerpflichten steht aber die Vermeidung von Sch den an anderen Rechtsg tern durch den weiteren Gebrauch des Produktes so dass in fast allen F llen eine ausdr ckliche Warnung gen gt die den Softwarenutzer von der weiteren Verwendung des Produktes abh lt alles andere w re auf das quiva lenzinteresse gerichtet Modifiziert werden kann diese Lage allenfalls durch das ffent lich rechtliche Produk
264. e Verfahren untersagt werden Im Wege des Verwaltungszwangs k n 816 Zudem dient sie auch der nen die einzuhaltenden Pflichten auch durchgesetzt werden Kontrolle des Datenschutzbeauftragten An die Aufsichtsbeh rde k nnen sich auch be troffene Dritte wenden die sich ber die Verletzung eigener Rechte durch datenschutz rechtlich nicht erlaubtes Handeln beschweren ffentliche Stellen F r die Kontrolle der ffentlichen Stellen des Bundes ist nach 24 Abs 1 BDSG der Bun desbeauftragte f r den Datenschutz zust ndig f r die ffentlichen Stellen der L nder liegt die Zust ndigkeit bei den Landesdatenschutzbeauftragten Er nimmt haupts ch lich eine Beraterrolle ein Dementsprechend beschr nken sich seine Kontrollkompe tenzen auf ein Auskunfts und Betretungsrecht er teilt seine Ansicht bzw Beanstan dungen der ffentlichen Stelle mit Er kann keine verbindlichen Weisungen erteilen 819 die Beanstandung ist auch nicht als solche aufzufassen Zus tzlich kann er Rechts verletzungen bei der jeweiligen h chsten Aufsichtsbeh rde beanstanden die anschlie Bend im Rahmen ihrer Fach oder Rechtsaufsicht entsprechende Schritte einleiten 820 kann Dies gilt ebenso f r die Landesdatenschutzbeauftragten f r die das Instru ment der Beanstandung insgesamt durch die L nder bernommen wurde Vom Aufga Simitis Dammann 27 BDSG Rn 16 Hillenbrand Beck in Ro nagel Handbuch Datenschutz
265. e bereits dargelegt Rn 0 kann die Verletzung der Pflichten aus 9 BDSG mittelbar ber die Konkretisierung der geschuldeten Sorgfalt vertragliche An 1172 spr che oder gar eine deliktische Haftung ausl sen Wer also schon Sicherungsma 1173 Dem Anwalt k nnen nahmen nach dem BDSG nicht ergreift unterliegt der Haftung also jedenfalls mindestens die Pflichten eines kommerziellen Nutzers auferlegt werden Die Verpflichtung zur Ergreifung von Sicherungsma nahmen endet auch nicht mit der Aufgabe oder Beendigung des Mandats Soweit auch die Aufbewahrung von Akten ber diesen Zeitraum hinaus notwendig ist wirken die Pflichten als nachwirkende Ver tragspflichten fort ai d Deliktische Haftung Sanktionen f r die Verletzung entsprechender Pflichten k nnen sich neben der vertrag lichen Haftung auch aus 823 Abs 1 BGB ergeben bei der vors tzlichen Preisgabe zu s tzlich aus 823 Abs 2 BGB i V m 203 StGB oder 826 BGB Schutzgut des 823 Abs 1 StGB ist dabei das Recht auf informationelle Selbstbestimmung Wieder um sind die jeweiligen Verkehrssicherungspflichten des Anwalts ma geblich auch im Hinblick auf das gesch tzte Rechtsgut Aufgrund der extrem hohen Sensibilit t der Da ten ist der Anwalt demnach einem besonders hohen Standard in Bezug auf die Siche rungspflichten unterworfen Die dem kommerziellen Nutzer obliegenden Pflichten sind somit als absoluter Mindeststandard anzusehen Auch hier kann der Anhang z
266. e der Sparda Bank und der DAB Bank durch sog Cross Site Scripting L cken XXS abrufbar unter http www heise de newsticker meldung 76258 Antwort der Bundesregierung vom 4 7 2000 auf die Kleine Anfrage der Abgeordneten Rainer Funke Dr Edzard Schmidt Jortzig Dr Max Stadler weiterer Abgeordneter und der Fraktion der F D P Drucksa che 14 3603 BT Drucks 14 3757 S 3 So auch Kind Werner CR 2006 353 359 Recknagel Vertrag und Haftung beim Internet Banking S 207 225 Zur Unterscheidung zwischen anerkannten Regeln der Technik Stand der Technik und Stand von Wis senschaft und Technik grundlegend Marburger Die Regeln der Technik im Recht S 121 ff Marburger Die Regeln der Technik im Recht S 439 Marburger Die Regeln der Technik im Recht S 126 f Prof Dr Gerald Spindler 214 511 512 998 999 1000 1001 1002 Online Banking durch das Risiko betr chtlicher Verm genssch den und die Offenba rung personenbezogener Daten des Kunden gekennzeichnet ist Im Bereich des Online Banking muss zudem ber cksichtigt werden dass sich die Online Dienstleistung der Banken gerade auch an den technisch nicht versierten Nutzer wendet Die Unterhaltung und der Betrieb technischer Systeme stellen Dauertatbest nde dar die eine Pflicht zur Anpassung der Systeme an den jeweils verbesserten technischen Stan dard nach sich ziehen wobei jedoch der mit einer Anpassung verbundene Sicherheits gewinn mit dem wirtscha
267. e g ltige TAN stets nur auf das Mobiltelefon des Kunden Ein Identit tsmissbrauch ist bei Verwendung von Systemen mit Medienbruch damit von vornherein nur dann denkbar wenn neben der PIN auch die zugeh rige Hardware TAN Generator Mobiltelefon in den Besitz des T ters gelangt was dann aber die Vermutung einer unsorgf ltigen Verwahrung dieser Ger te nahe legt unten Rn 576 Ein Aussp hen der TAN aufrein elektronischem Wege durch Trojaner u ist dagegen nicht m glich was insbesondere ein Handeln vom Ausland aus praktisch unm glich macht Da eine authentifizierte Transaktion durch unbefugte Dritte bei Verwendung von Siche rungsverfahren mit Medienbruch regelm ig nur denkbar ist wenn der T ter erstens die PIN kennt und zweitens auch in den Besitz der Hardware d h des TAN Generators oder des Mobiltelefons gelangt ist ist hier auch der Anscheinsbeweis f r ein pflicht widriges Handeln des Bankkunden gerechtfertigt Selbst wenn die PIN auf elektroni schem Wege abgefischt werden konnte m sste sich der T ter zus tzlich den TAN Generator bzw das Mobiltelefon des Bankkunden nebst der PIN des Mobiltelefons verschaffen Hier ist dann aber anders als bei Verfahren ohne zus tzliche Hardware die Parallele zur ec Kartenproblematik tats chlich gerechtfertigt da dem Kunden letztlich nichts anders abverlangt wird als TAN Generator bzw Mobiltelefon also k rperliche Gegenst nde sicher und von der PIN getre
268. eben Viren auch W rmer und andere schadhafte Software sog Malware erkennen und deren Ausf hrung verhindern k nnen ist der Einsatz von Firewalls zu empfeh len die an Schnittstellen zwischen Netzen oder Computersystemen den Datenverkehr kontrollieren und regulieren k nnen 112 Zu unterscheiden ist zwischen sog Personal Fi rewalls die lokal auf PCs eingesetzt werden k nnen und zentralen Firewalls die den Zugriff zwischen Netzen beschr nken k nnen Firewalls erm glichen es ebenso einzel nen Anwendungen Zugriff auf Netzwerkfunktionen zu erm glichen bzw zu verweigern wie auch den Zugang zu Netzwerkdiensten zu regulieren Eine h ufig angewandte Stra tegie zur Konfiguration von Firewalls sieht vor allen Dienste Anwendungen den Netz werkzugriff zu verweigern und nur die ben tigten Dienste Anwendungen freizuschal ten um die Angriffsfl che m glichst klein zu halten und somit auch der Infektion und Verbreitung von W rmern vorzubeugen Weiter l sst sich gegen die Verbreitung von W rmern empfehlen dem Nutzer vom Betriebssystem nur die Rechte einzur umen die er wirklich ben tigt was sich bei allen modernen Plattformen Windows Linux Mac OS etc einfach dadurch realisieren l sst im Alltag ohne Administratorrechte zu arbeiten Zus tzlich zu dem Einsatz von Firewalls und dem Entzug berfl ssiger Rechte emp fiehlt sich die Installation von Systemen die Angriffe aufgrund typischer Angriffsmus ter erkennen und
269. eben sich bereits eine Reihe von Fragen in Bezug auf IT Produkte a Verletzung personenbezogener Rechtsg ter 107 Eine Verletzung der Rechtsg ter Leben K rper und Gesundheit ist beispielsweise bei einem Brand infolge eines Kurzschlusses in der Hardware denkbar Durch Softwarefeh ler werden die Rechtsg ter des 823 Abs 1 BGB dagegen nicht unmittelbar beein tr chtigt allerdings k nnen infolge von Fehlfunktionen oder Ausf llen auch Sch den an 192 Die Relevanz von durch Soft Leben K rper Gesundheit oder Freiheit auftreten warefehler verursachten Personensch den wird in Zukunft wohl zunehmen wenn Steuerungsaufgaben mehr und mehr auf den Computer bertragen werden Dies gilt be sonders f r den Bereich der softwaregesteuerten Arbeitsmittel und industriellen Ferti gung z B Software zur Steuerung chemischer Anlagen Industrieroboter Personen sch den k nnen auch dort auftreten wo die Verkehrssteuerung auf dem Einsatz von Software basiert z B Flugsicherung Verkehrsleitsysteme oder Software im medizini schen Bereich eingesetzt wird 193 Im privaten Bereich steigt die Bedeutung softwarege steuerter Systeme und damit auch die Gefahr von durch Softwarefehler verursachten Personensch den beispielsweise durch den Softwareeinsatz im privaten Pkw z B Anti Blockier System ABS elektronisches Stabilit tsprogramm ESP automatische Fahr abstandsregelung elektronischer Bremskraftverst rker Als seltenes Beispiel einer
270. echt in AcP 206 2006 205 299 Wente J rgen K Das Recht der journalistischen Recherche Prof Dr Gerald Spindler LXV UFITA Band 71 Jur Diss Univer sit t G ttingen Baden Baden 1987 Werner Stefan Elektronischer Zahlungsverkehr in MMR 1998 338 342 Westermann Harm Peter Hrsg Erman B rgerliches Gesetzbuch Hand kommentar Bd 1 und 2 11 Aufla ge M nster K ln 2004 zitiert Erman Bearbeiter Weyers Hans Leo Unfallsch den 1971 Wiebe Andreas Wettbewerbs und zivilrechtliche Rah menbedingungen der Vergabe und Verwendung von G tezeichen in WRP 1993 74 90 Wiebe Andreas Identit t eines Teilnehmer an einer Inter netauktion in MMR 2002 257 258 Wiesgickl Margareta Rechtliche Aspekte des Online Banking in WM 2000 1039 1050 Wilhelm Rudolf Qualit tsmanagement Systeme nach den Normen DIN ISO 9 000 ff in Soft ware Unternehmen in DuD 1995 330 337 Wilrich Thomas Ger te und Produktsicherheitsgesetz Kommentar Berlin 2004 Wimmer Konrad MaRisk berblick und Konsequenzen f r die Gesch ftsleitung in BKR 2006 146 153 Winter Ralf Darlegungs und Beweislast bei Online auktion Prof Dr Gerald Spindler LXVI in MMR 2002 836 837 Witte J rgen Hrubesch Boris Die pers nliche Haftung von Mitglieder
271. echt 254 ff Kullmann Pfister Kullmann Produzentenhaftung Kz 1520 S 15 f Kullmann Pfister Kullmann Produzentenhaftung Kz 1520 S 15 unter Verweis auf BGH NJW 1990 906 907 und Berufung auf arzthaftungsrechtliche Grunds tze wie z B BGHZ 8 138 140 weniger restriktiv BGH NJW 1987 2927 BGHZ 80 186 192 NJW 1981 1603 Zum ffentlich rechtlichen Verst ndnis ausf hrlich Spindler Unternehmensorganisationspflichten 505 ff BGH NJW 1998 2814 2815 BGH NJW 1994 3349 3350 LG Berlin MDR 1997 246 247 M nchKommBGB Wagner 823 BGB Rn 273 Staudinger J Hager Kap F Rn 10 Kullmann NIW 1996 18 22 BGHZ 99 167 176 f NJW 1987 1009 f r Zubeh rteile Mit dem Gesetz ber technische Arbeitsmittel und Verbraucherprodukte Ger te und Produktsicherheits gesetz GPSG wurden das Ger tesicherheitsgesetz GSG und das Produktsicherheitsgesetz ProdSG zu einem Gesetz zusammengef hrt sowie die Richtlinie ber die allgemeine Produktsicherheit Richtlinie 2001 95 EG v 3 12 2001 ABIEG 2002 Nr L 11 S 4 in nationales Recht umgesetzt Das GPSG wurde am 6 Jan 2004 ver ffentlicht BGBl I 2004 S 2 und trat am 1 Mai 2004 in Kraft GSG und ProdSG traten am 1 Mai 2004 au er Kraft erster berblick bei Klindt NIW 2004 465 ff Potinecke DB 2004 Prof Dr Gerald Spindler 17 18 19 40 41 42 standards den Produzenten nicht und stehen h heren zivilrechtlich relevanten Sicher hei
272. edeutet dass sich der Eingriff gegen den Betrieb als solchen richten muss und nicht lediglich vom Gewerbebetrieb abl sbare Rechtspositionen beeintr chtigen darf Bei fahrl ssigen Datenl schungen die z B aufgrund von Stromunterbrechung erfolgen fehlt es daher meist an der Betriebsbezo genheit so dass dem Recht am eingerichteten und ausge bten Gewerbebetrieb in Bezug auf Daten wenig Bedeutung zukommt 2 Verantwortlichkeit f r von Dritten verursachte Ver letzungen Steht die Verletzung eines Rechtsguts fest bedarf es ferner der Zurechnung der Verlet zung zum Hersteller W hrend normalerweise das Produkt und sein Fehler selbst die 220 221 222 223 224 225 226 Entwickelt von Meister Datenschutz im Zivilrecht S 121 ff noch vor der Anerkennung des Rechts auf informationelle Selbstbestimmung im Volksz hlungsurteil grds demgegen ber positiv u ernd Bruns Informationsanspr che gegen Medien 65 f ergebnisoffen BGHZ 91 231 237 ff Meister Datenschutz im Zivilrecht S 114 f Meister Datenschutz im Zivilrecht S 124 Meier Wehlau NJW 1998 1585 1588 Spindler Kl hn VersR 2003 410 412 Bamberger Roth Spindler 823 BGB Rn 93 Staudinger Hager 823 Rn C 173 Wente 97 Simitis Simitis Einleitung Rn 26 Ehmann AcP 188 1988 266 f ausf hrlich Sodtalbers Softwarehaftung im Internet Rn 524 f BVerfGE 65 1 43 Volksz hlungsurteil St Rspr BGH NJW 1951 643 64
273. eflectors html zuletzt abgerufen am 09 10 2006 Dazu abrufbar unter http de wikipedia org wiki Denial_of_Service zuletzt abgerufen am 05 06 2007 zwar werden in der theoretischen Informatik Methoden zur R ckverfolgen Traceback auch bei gef lsch ten Adressen behandelt ihnen ist jedoch gemein dass sie entweder eine Erweiterung des Internet Proto col IP oder der Routerprogrammierung ben tigen oder einen erheblichen Aufwand erfordern den die angegriffene Maschine in der Regel nicht wird leisten k nnen Gegen DDoS Angriffe w chst der Auf wand nat rlich mit der Anzahl der angreifenden Systeme bei DRDoS Angriffen kann nur der vermeintli che Angreifer ermittelt werden s bspw Stone CenterTrack An IP Overlay Network for Tracking DoS Floods abrufbar unter http www arbornetworks com downloads research5 1 stone00centertrack_new pdf zuletzt abgerufen am 09 10 2006 Schulz in Bigdoli Handbook of Information Security Volume 3 S 206 Schulz in Bigdoli Handbook of Information Security Volume 3 Threats Vulnerabilities Prevention Detection and Management S 207 Weitere m gliche Reaktionen auf einen Angriff in Results of the Distributed Systems Intruder Tools Workshop abrufbar unter http www cert org reports dsit_workshop pdf S 14 f zuletzt abgerufen am 05 06 2007 Prof Dr Gerald Spindler 41 89 90 91 eines DRDoS Angriffs gilt im Wesentlichen das Gleiche Zus tzlich sollten Provider an den
274. egelt ist aufzustellen 881 882 883 884 885 886 887 888 06 06 2007 Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 Vorbemerkung AT 1 3 Rn 1 abrufbar unter http www bafin de rundschreiben 89_2005 051220 htm zuletzt abgerufen am 06 06 2007 vgl auch Grabau Schlee Kreditwesen 2005 392 Zimmermann BKR 2005 208 210 Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 3 5 Rn 1 abrufbar unter http www bafin de rundschreiben 89_2005 051220 htm zu letzt abgerufen am 06 06 2007 s zur Gesamtverantwortung der Gesch ftsleitung ausf hrlich Zimmer mann BKR 2005 208 209 Pfingsten Maifarth Rieso Die Bank 2005 34 35 Vgl Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 4 2 6 Rn 1 abrufbar unter http www bafin de rundschreiben 89_2005 051220 htm zu letzt abgerufen am 06 06 2007 Pfinsten Maifarth Rieson Die Bank 2005 34 35 Anlage 1 MaRisk Regelungstext mit Erl uterungen vom 20 12 2005 AT 4 2 8 Rn 1 abrufbar unter http www bafin de rundschreiben 89_2005 051220_anl1 pdf zuletzt abgerufen am 06 06 2007 Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 4 3 6 ff abrufbar unter http www bafin de rundschreiben 89_2005 051220 htm zu letzt abge
275. egen Vergleiche zur ec Karte nahe Der Kunde darf die Legi timationsmedien nicht an Dritte weitergeben und die PIN nicht auf einem am Bild schirm befestigten Zettel zu notieren oder auf dem PC abspeichern Bei der Eingabe von PIN und TAN muss sichergestellt sein dass Dritte diese nicht aussp hen k nnen Hier bei handelt es sich um Vorg nge die auch in der Laiensph re leicht nachzuvollziehen sind und die jeder Kunde in ihrer Bedeutung f r die Geheimhaltung und Funktionsf higkeit des Gesamtsystems unschwer erkennen und befolgen kann Die Bedeutung der Geheimhaltung der Legitimationsmedien ist berdies von der ec Karte und Kreditkarte dem Bankkunden vertraut Die von der Rechtsprechung zur ec Karte entwickelten Grunds tze d rften insoweit auch bertragbar sein es b IT spezifische Pflichten des Bankkunden beim Online Banking i Grunds tze Weitgehend ungekl rt ist welche IT spezifischen Sorgfaltspflichten insbesondere Umgang mit Phishing E Mails Installation von Virenschutz Firewalls usw dem Kun den zumutbar auferlegt werden k nnen Auszugehen ist hierbei von den allgemeinen Pflichten privater IT Nutzer Rn 275 ff Denn Pflichten welche den privaten Nutzer aufgrund deliktischer Verkehrspflichten gegen ber Dritten treffen sind grunds tzlich S dazu auch Erfurth WM 2006 2198 2201 Kind Werner CR 2006 353 354 Vgl etwa zu den Sorgfaltsanforderungen an die Verwahrung der ec Karte und PIN in der Wohnung
276. egt es am Bankkunden den Anscheinsbe weis zu ersch ttern voraussetzt dass der Gegner hier der Bankkunde Tatsachen be hauptet und beweist aus denen sich die ernsthafte M glichkeit eines abweichenden 1138 atypischen Geschehensablaufs im konkreten Einzelfall ergibt Die Tatsachen aus denen die M glichkeit eines abweichenden Ablaufs abgeleitet werden sollen bed rfen 1139 des Vollbeweises Die Ersch tterung des Anscheinsbeweises ist nicht mit den stren geren Anforderungen des Beweises des Gegenteils gleich zu setzen F r den oben Rn 556 formulierten alternativen Anscheinsbeweis bedeutet dies dass der Bankkunde den Anscheinsbeweis f r die Urheberschaft ersch ttern kann indem er die ernsthafte M glichkeit einer Veranlassung des Bankgesch fts durch einen unbefug ten Dritten darlegt und erforderlichenfalls beweist Gelingt dem Kunden die Ersch tte rung des Anscheinsbeweises f r die Urheberschaft bedeutet dies indessen nicht not wendig dass es der Bank nunmehr verwehrt ist das Konto des Kunden zu belasten Vielmehr wird angenommen dass der Kunde die Transaktion des Unbefugten durch die Verletzung eigener Sorgfaltspflichten erm glicht hat Hier zeigt sich dass die Festle gung der Sorgfaltspflichten des Kunden zugleich mitbestimmend f r die Ersch tterung des Anscheinsbeweises ist Kann der Kunde diesen Anscheinsbeweis nicht ersch ttern haftet er nach 280 Abs 1 241 Abs 2 BGB gegen ber der Bank
277. egutachtung Vgl bspw zum Einfluss technischer Regelwerke auf die im Verkehr erforderliche Sorgfalt Bamber ger Roth Unberath 276 BGB Rn 24 Palandt Heinrichs 276 BGB Rn 18 M nchKommBGB Grundmann 276 BGB Rn 64 zu M glichkeiten des Selbstschutzes des Verletzten M nchKomm BGB Grundmann 276 BGB Rn 63 Prof Dr Gerald Spindler 19 21 22 23 24 Gerade in neuen Regelungsbereichen wie dem IT Recht k nnen sich die Denkmodelle der konomischen Rechtsanalyse als besonders n tzlich erweisen Ausgangspunkt konomischer Denkmodelle ist die Ressourcenknappheit Ziel ist eine effiziente Verteilung dieser Res sourcen Wann eine effiziente Verteilung also Alokationseffizienz erreicht ist l sst sich nach verschiedenen Kriterien messen Nach dem Pareto Kriterium besteht Allokationseffizienz wenn eine konomische Situation erreicht ist in der niemand besser gestellt werden kann ohne jemand anderen schlechter zu stellen Weiter gefasst ist das Kaldor Hicks Kriterium Danach ist Allokationseffizienz erreicht wenn keine Ver nderung mehr m glich ist bei der die Gewinner ihre Gewinne h her bewerten als die Verlierer ihre Verluste Die konomische Analyse l sst sich dabei sowohl auf der Ebene der Rechtsetzung als auch auf der Ebene der Rechtsanwendung fruchtbar machen Auf der Ebene der Rechts anwendung k nnen einzelne Tatbestandsmerkmale insbesondere im Haftungsrecht auch nach konomischen Kriter
278. ehabt h tte die Ma nahmen zur Gew hrleistung der techni schen Sicherheit verbindlich festzulegen Diese Verordnungserm chtigung wurde aber im neuen 109 TKG gestrichen da davon nach aktueller Einsch tzung kein Gebrauch 1310 gemacht werden solle weil aufgrund aktueller Studien belegt sei dass eine hohe Si cherheit und Leistungsf higkeit in der deutschen Telekommunikationsinfrastruktur be 1311 st nde Empfehlungen zur Verbesserung des Sicherheitsniveaus wurden zwar bereits vom Bundesamt f r Sicherheit in der Informationstechnik abgegeben so dass ein Schritt in Richtung Mindeststandard vollzogen wurde Allerdings handelt es sich dabei um einen Ma nahmenkatalog aus dem Jahr 1998 der aufgrund der schnellen Entwick S cker Klesczewski 109 TKG Rn 10 So Cornelius Tschoepe K amp R 2005 269 271 Dendorfer Niedderer AuR 2006 214 217 Zum Verh ltnis der Anordnungsbefugnisse nach 115 und 126 TKG S cker Klesczewski 115 TKG Rn 5 S cker Ruffert 126 TKG Rn 4 IdS auch Geppert Ruhle Schuster Handbuch Recht und Praxis der Telekommunikation Rn 777 So ausdr cklich die Gesetzesbegr ndung zu 107 TKG E BT Drucks 15 2316 S 91 S dazu Beck scher TKG Kommentar Bock 109 TKG Rn 3 BSI Sicherer Einsatz von digitalen Telekommunikationsanlagen abrufbar unter http www bsi bund de literat tkanlage 6001 pdf zuletzt abgerufen am 06 06 2007 Prof Dr Gerald Spindler 296
279. ehen Auch l sst die Rechtsprechung zunehmend die M glichkeiten des Aussp hens oder Abfangens der PIN als Ersch tterung des Anscheinsbeweises ge n gen Sie fragt dann aber h ufig nach Einhaltung der gebotenen Sorgfalt zur Ab schirmung der PIN Eingabe denn es liegt weitgehend im Macht und Einflussbe reich des Kunden ob Dritte Kenntnis von der PIN erhalten etwa indem er bei der Ein gabe der PIN diese verdeckt h lt etc Da beim Online Banking ebenfalls mit PIN ge arbeitet wird liegt eine bertragung dieser Grunds tze nahe Der BGH hatte die Frage 1104 des Anscheinsbeweises beim ec Kartenmissbrauch bislang offen gelassen In der Entscheidung vom 5 Oktober 2004 hat das Gericht nunmehr die bisherige Rechtspre chungslinie der Instanzgerichte best tigt b Internet Auktionen Ganz anders ist die Rechtslage im Bereich der Internet Auktionen Die Vergabe von Passw rtern begr ndet nach der Rechtsprechung der Instanzgerichte und dem wohl berwiegenden Teil der Literatur keine Vermutung f r die Verwendung durch den In haber Anders als bei ec Karten und dem Online Banking tr gt somit bei Internet Auktionen der Erkl rungsempf nger die volle Beweislast f r den Vertragsschluss Die 1098 1099 1100 1101 1102 1103 1104 1105 1106 St Rspr der meisten Instanzgerichte s etwa KG NJW 1992 1051 1052 LG Bonn NJW RR 1995 815 LG Darmstadt WM 2000 911 913 f LG Frankfurt
280. ehmenspr fungen und die erh hten Publizit ts pflichten bez glich zu ver ffentlichender Unternehmensinformationen von Bedeu 703 704 705 706 Berndt Hoppler BB 2005 2623 2625 Eingehend Arbeitskreis Externe und Interne berwachung der Unternehmen der Schmalenbach Gesellschaft f r Betriebswirtschaft e V BB 2004 2399 2399 ff mwN Arbeitskreis Externe und Interne berwachung der Unternehmen der Schmalenbach Gesellschaft f r Betriebswirtschaft e V BB 2004 2399 2401 Ausf hrlich Arbeitskreis Externe und Interne berwachung der Unternehmen der Schmalenbach Gesellschaft f r Betriebswirtschaft e V BB 2004 2399 2399 ff mwN Prof Dr Gerald Spindler 159 374 375 376 707 708 709 710 711 712 707 tung Da es nur noch selten Gesch ftsvorg nge gibt die ohne die Verwendung von IT Applikationen stattfinden Kommt insofern unter Verl sslichkeitsgesichtspunkten dem IT Riskmanagement erh hte Bedeutung zu So verpflichtet Section 302 SOX die Unternehmensleitung im Hinblick auf den Einsatz von IT Systemen dazu die Sicherheit und die Verf gbarkeit der im Zusammenhang mit der Rechnungslegung verwendeten Technik nachzuweisen und zu kontrollieren Auch im Hinblick auf Section 404 versch rfen die Anforderungen an die Sicherheit der Prozesse und der Wirksamkeit interner berwachungsma nahmen nicht zuletzt die An forderungen die an das IT Riskmanagem
281. eingangs dargestellten Kriterien bzgl der Pflichtenbestimmung im IT Bereich ma geblich Demnach sind die berechtigten Sicherheitserwartungen des Verkehrs und der zumutbare Aufwand f r die Bestimmung der Selbstschutzpflichten entscheidend Es ist eine wertende Interessenab w gung vorzunehmen bei der das Ausma der drohenden Gefahr sowie die M glich keit und Zumutbarkeit der Gefahrenvermeidung auf Seiten des Gefahrverursachers und des Selbstschutzes auf Seiten des Gef hrdeten unter Ber cksichtigung von Vertrauens schutzgesichtspunkten gewichtet werden m ssen Unter Ber cksichtigung dieses Ma stabs wird angesichts des allgemein bekannten Risikos von Computerviren und der geringen Kosten f r die Einrichtungen eines aktuellen Virenschutzprogramms teilweise ausdr cklich auch f r Privatpersonen die Zumutbarkeit von Selbstschutzma nahmen bejaht und eine Schadensbegrenzungspflicht angenommen F r eine solche Verpflichtung privater IT Nutzer spricht insbesondere der Umstand dass das Ausma des drohenden Schadens entscheidend von der dem IT Hersteller re gelm ig unbekannten Tatsache abh ngt welche Daten sich auf der verwendeten Hardware befinden und wof r diese benutzt werden Der IT Anwender kann folglich das Schadensrisiko wesentlich besser absch tzen und durch entsprechende Vorkehrun gen auffangen Richtigerweise ist allerdings unter Bezugnahme auf das Kriterium der Zumutbarkeit der Gefahrenvermeidung zwischen den v
282. eise wie f r kommerzielle IT Nutzer ein allerdings modifiziert durch ihre jeweilige Funktion und durch eingreifende besondere Haftungsprivilegierungen zu ihren Gunsten die ihr Prof Dr Gerald Spindler 269 Verantwortlichkeitsrisiko sowohl straf als auch zivilrechtlich teilweise signifikant re duzieren Dies gilt insbesondere f r alle Anbieter von Leistungen die gleichzeitig als Telekommunikationsdienstleistungen qualifiziert werden k nnen da hier die Haftungs begrenzung nach 44a TKG eingef gt durch die j ngste Reform des TKG als Nachfolger der TKV aF eingreift wonach f r Verm genssch den die Haftung insge samt auf 12 500 Euro beschr nkt ist im Gegensatz zum sonstigen Zivilrecht selbst bei grober Fahrl ssigkeit Begr ndet wird die Haftungsbegrenzung mit den kaum ab sch tzbaren wirtschaftlichen Risiken die sich bei einem Verzicht auf eine Haftungs 1211 h chstgrenze ergeben k nnten Unerheblich f r die Haftungsbegrenzung ist die Ent stehungsgeschichte und der Rechtsgrund des Schadensersatzanspruchs 2 Allerdings gilt sie ausdr cklich nur f r prim re Verm genssch den zu denen nach der Begr n dung des Verordnungsentwurfs 1214 Folgesch den aus Sach oder Personensch den nicht z hlen Ferner kann 44a TKG nicht f r Sch den Dritter eingreifen die keine ver tragliche Beziehung zu dem Telekommunikationsunternehmen haben Der Anwen dungsbereich der 43a ff Teil 3 be
283. eit der Daten sicherstellen Au erdem sind die IT Systeme nach AT 7 2 der MaRisk vor ihrem erstmaligen Einsatz und auch nach wesentlichen Ver nderungen zu testen und von den fachlichen sowie von den technisch zust ndigen Mitarbeitern abzunehmen F r Notf lle in kritischen Aktivit ten und Prozessen ist gem AT 7 3 der MaRisk ein Notfallkonzept zu treffen welches geeignet sein muss das Ausma m glicher Sch den zu reduzieren und Gesch ftsf hrungs sowie Wiederanlaufpl ne zu umfassen hat Die Wirksamkeit und Angemessenheit ist regelm ig durch Notfalltests zu berpr fen Innerhalb eines angemessenen Zeitraums m ssen die Wiederanlaufpl ne die R ckkehr zum Normalbetrieb erm glichen und die im Notfall zu verwendenden Kommunikationswege sind festzulegen http www bafin de rundschreiben 89_2005 051220_anll pdf zuletzt abgerufen am 06 06 2007 34 Pfingsten Maifarth Rieso Die Bank 2005 34 36 Angerm ller Eichhorn Ramke Kreditwesen 2005 396 s auch Zimmermann BKR 2005 208 216 der insbesondere auf die finanziellen Herausforderun gen des IT Sektors hinweist Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 7 2 9 Rn 2 abrufbar unter http www bafin de rundschreiben 89_2005 051220_anll pdf zuletzt abgerufen am 06 06 2007 Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 7 3 10 Rn 1 fa abrufbar unte
284. eits im Zeitpunkt des Inverkehrbringens vorlag Hinsichtlich der objektiven Verkehrs pflichtverletzung als auch des Verschuldens greift zugunsten des Gesch digten eine Beweislastumkehr ein wonach sich der Hersteller in Bezug auf alle seine Hilfskr fte zu entlasten hat Keine Beweiserleichterung nicht aber daf r greift dagegen hinsichtlich des Umstandes dass bei ordnungsgem er Instruktion der Schaden nicht eingetreten w re Auch bei Verletzungen der Produktbeobachtungspflicht greift keine Beweislastumkehr zuguns ten des Gesch digten hinsichtlich des objektiven Pflichtversto es ein da hier nur all gemein zug ngliche Informationen in Rede stehen zu denen der Gesch digte notfalls durch Sachverst ndigengutachten ebenso Zugang wie der Hersteller hat Die von der Rechtsprechung entwickelte Befundsicherungspflicht des Herstellers sich vor Inverkehrgabe seiner Produkte ber den Status bzw Befund seiner Produkte und deren etwaige Fehlerhaftigkeit zu vergewissern und der damit verbundenen Beweislastumkehr hinsichtlich des Vorliegens eines Fehlers bei Inverkehrgabe des Wilhelm DuD 1995 330 335 Sodtalbers Softwarehaftung im Internet Rn 275 Koch Computer Vertragsrecht Rn 287 Bamberger Roth Spindler 823 BGB Rn 553 M nchKommBGB Wagner 823 BGB Rn 612 Vgl BGHZ 80 186 196 best tigt wiederum in BGH NJW 1996 2507 2508 BGH NJW 1999 1028 Foerste in v Westphalen ProdHaftHdB 30 Rn 46 f
285. el 2 Abs 2 GPSG definiert Arbeitsmittel als verwendungsfertige Arbeitseinrichtungen und de ren Teile Zubeh rteile sowie Schutzausr stung Der Wortlaut legt somit eine Be schr nkung der technischen Arbeitsmittel auf k rperliche Gegenst nde nahe Dies wird auch durch die Vorg ngerregelung des 2 Abs 1 GSG best tigt welcher als Beispiele f r Arbeitseinrichtungen Werkzeuge Arbeitsger te Arbeits und Kraftmaschinen He be und F rdereinrichtungen sowie Bef rderungsmittel nennt Der Wortlaut des 1968 erlassenen GSG fr her Maschinenschutzgesetz orientiert sich indessen weithin an den Gef hrdungslagen der industriellen Arbeitswelt und ber cksichtigt die Entwicklun gen der Computertechnologie und ihren Einfluss auf die Arbeit nicht Soweit der Ein satz selbst ndiger Software Sicherheit und Gesundheit von Menschen gef hrden kann Rn 221 ff k me nach Sinn und Zweck des GPSG daher grunds tzlich zumindest eine analoge Anwendung der Bestimmungen ber technische Arbeitsmittel in Betracht b Pers nlicher und sachlicher Schutzbereich Schutzziel des GPSG ist neben dem Schutz des Wettbewerbs durch Gew hrleistung des Handels mit sicheren Produkten der Arbeitsschutz und der Schutz der Verbraucher Der Kreis der vom GPSG gesch tzten Produktverwender ist danach auf 468 469 470 471 Runte Potinecke CR 2004 725 727 Zscherpe Lutz K amp R 2005 499 500 Klindt GPSG 2 GPSG Rn
286. el ber Exper tenkenntnisse bzw entsprechendes Personal das auch die Beobachtung und berwa chung neuer Gefahrenpotentiale und l sungen bew ltigen kann 671 H ufig sind Intermedi re allerdings auch nur Nutzer des Dienstangebots anderer Inter medi re So verwendet der Host Provider h ufig die Dienste eines anderen Host Providers meist teilen sich mehrere eine Computeranlage die teilweise vermietet wird Hier treffen den Intermedi r nur insoweit Pflichten als er tats chlich Zugriff hat und die Gefahrenquelle damit beherrscht a Vernichtung von Daten des Nutzers 672 Das Eigentum eines Nutzers kann au erhalb des Bereichs der bertragung von Inhal ten zu denen wie oben dargelegt Rn 108 ff grunds tzlich auch Software z hlt insbesondere dann verletzt sein wenn sein Datenbestand durch einen Angriff aus dem Netz etwa durch Viren vernichtet oder jedenfalls teilweise besch digt wird Wie be reits dargelegt Rn 108 ff spricht hierf r dass das Eigentum in der neueren Recht sprechung des BGH auch im Hinblick auf seine Funktionsf higkeit definiert wird so dass auch Daten auf Festplatten oder Arbeitsspeichern etc als m glicher Inhalt des Ei gentums bzw der Funktionsf higkeit des Speichermediums angesehen werden k nnen ausf hrlich oben Rn 109 Auch im Werkvertragsrecht betrachtet der BGH den 1233 Zu parallelen berlegungen im Rahmen der Interessenabw gungen bei Sperrverf g
287. el Manfred Die Rationalit tsannahme in den Wirt schaftswissenschaften oder Der ho mo oeconomicus und seine Ver wandten in Jahrbuch f r Sozialwissenschaft Bd 32 1981 Heft 2 115 139 Tilborg Henk C A van Enyclopedia of Cryptography and Security berlin u a 2005 Tinnefeld Marie Therese Ehmann Eugen Ger ling Rainer W Einf hrung in das Datenschutzrecht 4 Auflage Oldenburg 2005 Tita Rolf Thomas Umfang und Grenzen der Softwareversi cherung nach KI 028 zu den ABE Teil T und Teil ID in VW 2001 1696 1781 1785 Trapp Andreas Zivilrechtliche Sicherheitsanforderungen an eCommerce in WM 2001 1192 1202 Trute Hans Heinrich Spoerr Wolfgang Bosch Wolfgang Telekommunikationsgesetz mit FTEG Kommentar Berlin New York 2001 zitiert Trute Spoerr Bosch Bearbeiter Prof Dr Gerald Spindler LXII Ulmer Peter Produktbeobachtungs Pr fungs und Warnpflichten eines Warenherstel lers in Bezug auf Fremdprodukte in ZHR 152 564 599 Ultsch Michael Zugangsprobleme bei elektronischen Wil lenserkl rungen Dargestellt am Beispiel der Electronic Mail in NJW 1997 3007 3009 Unbekannt Italien H here Haftung f r Boote in VW 1995 580 v Bar Christian Produktverantwortung und Risikoakzep tanz M nchen 1998 zitiert Bearbeiter in Produktverantwor tung und Risi
288. el dem deutschen Recht entzogen und ist allein Angelegenheit des nach Art 31 Abs 1 EGBGB anwendbaren Rechts Der Gesetzge ber der IPR Reform hat die nach dem fr heren 10 Nr 8 AGBG aF vorgesehene In haltskontrolle von Rechtswahlklauseln bewusst ausgeschlossen da sie in Widerspruch zu der von Art 27 gesch tzten Rechtswahlfreiheit stehe u Sofern Software nicht unmittelbar vom Hersteller bezogen wird sondern ber einen H ndler sind die Anreize f r den Hersteller sichere Software zu produzieren von vornherein mediatisiert Nur soweit der H ndler ihn in Regress nehmen kann werden Sch den auf den Hersteller zur ck verlagert Handelt es sich um mangelhafte Standard software greift zwar zugunsten des H ndlers die zwingende Regelung des 478 BGB ein so dass er stets Regress nehmen kann Doch zeigt schon 478 IV S 2 BGB dass der Hersteller den Schadensersatzanspruch bzw den diesbez glichen Regress abbedin gen kann so dass gerade die f r IT Sch den relevanten Mangelfolgesch den nicht mehr vom Regress erfasst w ren Zudem kann der H ndler nur dann vom K ufer auf Schadensersatz belangt werden wenn er den Fehler und den Mangelfolgeschaden damit zu vertreten hat dies wird indes in den seltensten F llen gelingen da der H ndler nicht der Hersteller den Code h tte kennen und zudem der konkrete Schaden h tte vorhersehbar sein m ssen meist wird es daher am Vertretenm ssen des H ndlers feh len Abgesehen davon ist
289. elektronischer Nachricht z B E Mail eine damit bersandte Verkn pfung zum vermeintlichen Online Banking der Bank anzuw hlen und dar ber pers nliche Zugangsdaten einzugeben darf nicht gefolgt werden Auf einer Login Seite Startseite zum vermeintlichen Online Banking der Bank darf keine TAN eingegeben werden Der Kunde hat sich regelm ig ber aktuelle Sicherheitshinweise zum Online Banking auf der Website der Deutschen Bank zu informieren Der Kunde hat vor seinem jeweiligen Zugang zum Online Banking sicherzustellen dass auf seinem verwendeten System handels bliche Sicherheitsvorkehrungen wie Anti Viren Programm und Fire wall installiert sind und diese ebenso wie die verwendete Systemsoftware regelm ig aktualisiert werden Beispiele handels blicher Sicherheitsvorkehrungen kann der Kunde der Website der Deut schen Bank entnehmen 528 Die AGB der comdirect Bank enthalten unter anderem die Regelung Die Sicherheitsvorkehrungen gem Nr 4 sollten nicht abgespeichert werden insbesondere ist im Inter net der Cache des verwendeten Browsers zu deaktivieren oder nach der Nutzung zu l schen vgl Si cherheitshinweise im Internet 529 Die Vereinbarkeit vieler derzeit gebr uchlicher Bedingungen f r die Online Nutzung mit den Vorschriften der 307 ff BGB war bislang noch nicht Gegenstand gerichtli cher Entscheidungen Angesichts der oben entwickelten Kriterien f r Sorgfaltspflichten 1026 102
290. emessen b Beweis des ersten Anscheins i Voraussetzungen des Anscheinsbeweises Die berwiegende Ansicht in der Literatur bel sst es bei der Beweislast der Bank spricht sich in Anlehnung an die Rechtsprechung und hM zur ec Karte dazu Rn 562 1084 1085 D jedoch f r einen alternativen Anscheinsbeweis zugunsten der Bank aus er 1078 1079 1080 1081 1082 1083 1084 OLG Oldenburg NJW 1993 1400 ff OLG K ln VersR 1993 840 ff OLG K ln VersR 1998 725 ff Das OLG Oldenburg spricht bspw von einer tats chlichen Vermutung was trotz Bezugnahme auf den Sph rengedanken auf einen blo en Anscheinsbeweis hindeutet s OLG Oldenburg NJW 1993 1400 1401 Trapp WM 2001 1192 1195 hnl Sieber N ding ZUM 2001 199 208 f Flexibilit t f r k nftige technische Entwicklungen erfor derlich S etwa BGH NJW 1991 2021 Bamberger Roth Spindler 823 BGB Rn 22 ff Dies verkennt Trapp WM 2001 1192 1200 f der hier eine gesetzliche Spezialregelung des Beweisma Bes annehmen will hnl wie hier aber Melullis MDR 1994 109 111 Recknagel Vertrag und Haftung beim Internet Banking S 144 f s auch Ro nagel MMR 2000 451 459 So Langenbucher Die Risikozuordnung im bargeldlosen Zahlungsverkehr S 146 Prof Dr Gerald Spindler 234 557 558 559 1085 1086 1087 1088 1089 Beweis des ersten Anscheins spricht nach Ansicht des Schrifttums demnach f r die Ta
291. en falls eine erh hte Sicherungspflicht 1199 1200 1201 1202 1203 1204 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 26 BGHZ 63 306 309 76 249 261 97 273 BGH NJW 1981 613 Quaas Zuck Zuck 2 Rn 48 vgl Schlund in Laufs Uhlenbruck 77 Rn 2 S o Rn 607 f Zum deliktischen Arzthaftungsrecht Bamberger Roth Spindler 823 BGB Rn 585 ff mwN S o Rn 599 ff Prof Dr Gerald Spindler 262 628 629 630 631 6 Zwischenergebnis besondere Verantwortlichkeit von Experten und beratenden Berufen Obwohl IT Sicherheit nicht speziell f r beratende Berufe und Experten geregelt ist k nnen die vorhandenen Regelungskomplexe dennoch ohne weiteres auf diese ange wandt werden Grunds tzlich sind die normierten Sicherungspflichten ausgepr gter orientieren sich aber zumindest als Mindeststandard an dem f r andere kommerzielle IT Nutzer Unterschiede ergeben sich jedenfalls bei der vertraglichen und deliktischen Haftung Aufgrund des besonderen Vertrauensverh ltnisses lassen sich einerseits erh hte vertrag liche Nebenpflichten in Form von speziellen Sicherungspflichten und andererseits ver sch rfte Verkehrssicherungspflichten herleiten VI Pflichten kommerzieller Nutzer bersicht Die Pflichten der kommerziellen Nutzer werden wie gezeigt durch verschiedene Nor men umschrieben bzw geregelt Wie dargestellt existieren teilweise sektorspezifische Regelungen die best
292. en BImSchG Bundesimmissionsschutzgesetz BMWI Bundesministerium f r Wirtschaft und Arbeit BORA Berufsordnung f r Rechtsanw lte BOStB Berufsordnung der Steuerberater BRAO Bundesrechtsanwaltsordnung BR Drucks Bundesratsdrucksache BSI Bundesamt f r Sicherheit in der Informati onstechnik BSIG Gesetz ber die Errichtung des Bundesamtes f r Sicherheit in der Informations technik bspw beispielsweise BT Drucks Bundestagsdrucksache Btx Bildschirmtext BVerfG Bundesverfassungsgericht BVerwG Bundesverwaltungsgericht Prof Dr Gerald Spindler LXX bzw beziehungsweise CE Communaut s Europeenes CEN Europ ische Komitee f r Normung CENELEC Europ isches Komitee f r Elektrotechnische Normung CEO Chief Executive Officer CFO Chief Financial Officer ChemG Chemikaliengesetz CR Computer und Recht DB Der Betrieb d h das hei t DDoS Distributed Denial of Service DIN Deutsche Institut f r Normung e V DKE Deutsche Elektrotechnische Kommission im DIN und VDE DNS Domain Name Server DoS Denial of Service DRDoS Distributed Reflected Denial of Service DRL Datenschutz Richtlinie DSB Datenschutzberater DuD Datenschutz und Datensicherung EC Eurocheque EDV Elektronische Datenverarbeitung EG Europ ische Gemeinschaft Einf Einf hrung E Mail Electronic Mail Prof Dr Gerald Spindler LXXI
293. en Sinne hatte auch der BGH zum alten 3 GSG entschieden Entsprechend ist der Beg riff Gefahr in der nur f r Verbraucherprodukte geltenden Vorschrift des 5 GPSG auszulegen vgl 5 Abs 2 GPSG Allerdings kann der Schutzbereich im europ isch harmonisierten Bereich auf Grundlage von 3 Abs 1 GPSG per Rechtsverordnung auf weitere Rechtsg ter erstreckt werden Im nicht harmonisierten Bereich ist der Schutzumfang hingegen auf die Abwehr von Personensch den beschr nkt Das Gesetz bezweckt demnach nicht die Sicherung der Qualit t von Produkten allgemein 8 Damit ergeben sich im Hinblick auf IT Produkte bereits wesentliche Einschr n kungen da in der Mehrzahl der Schadensf lle Eigentum und Verm gen betroffen sein werden Personensch den dagegen eher die Ausnahme bilden wenngleich durch Soft 472 473 474 475 476 477 478 479 480 Wilrich Einleitung Rn 2 4 Wilrich Einleitung Rn 5 Wilrich Einleitung Rn 6 Runte Potinecke CR 2004 725 728 Zur Frage der Eigentumsverletzung bei unberechtigter L schung von Daten siehe Rn 110 ff Wilrich Einleitung Rn 6 ebenso zu 6 ProdSG Klindt GPSG 4 GPSG Rn 8 M nchKommBGB Wagner 823 BGB Rn 619 Wagner BB 1997 2541 2542 Klindt GPSG 6 ProdSG Rn 5 Foerste in v Westphalen ProdHaftHdB 90 Rn 26 91 Rn 6 Kullmann Pfister Kullmann Kz 2705 S 8f BGH NJW 2006 1589 1590 BGH NJW 1983 812 813 Hebeb hne
294. en sind um typische Risiken aufzufangen und um sich ihrer bewusst zu werden oder aus Abstimmungsverfahren mit anderen Abteilungen damit nach einem Vier Augen Prinzip eine gegenseitige Kontrolle gew hrleistet wird Der Bereich der IT Sicherheit ist nicht ausdr cklich vom Wortlaut des 91 Abs 2 AktG erfasst Insofern kommt der Auslegung der Norm entscheidende Bedeutung zu Um die inhaltlichen Anforderungen richtig zu erfassen ist insbesondere auch der Hin tergrund der Herausbildung von Risk Management Systemen im Bereich des Kreditwe 630 631 632 633 634 Zwar fehlt es hier an einer entsprechenden Regelung in 35 43 GmbHG doch ist es allg M dass 91 Abs 2 AktG jedenfalls sinngem darauf angewandt werden kann s dazu Drygala Drygala ZIP 2000 297 301 Hommelhoff in FS Sandrock 373 ff Altmeppen ZGR 1999 291 300 ff Bockslaff NVersZ 1999 104 109 Schon zuvor bestanden in zahlreichen Einzelgebieten Pflichten zur ordnungsgem en Organisation und zum Risikomanagement umfassend dazu Spindler Unternehmensorganisationspflichten 2001 passim Spindler in Fleischer Handbuch des Vorstandsrechts 19 Rn 8 ff Seibert in FS Bezzenberger 427 437 Fleischer AG 2003 291 298 Zimmer Sonneborn in Lange Wall 1 Rn 180 f Be cker Janker M ller DStR 2004 1578 1579 Hauschka AG 2004 461 467 f Becker Janker M ller DStR 2004 1578 1579 Schwintowski NZG 2005 200 201 Roth
295. en um Pflichten zur nachtr gli Elektrotechniker f r einen Elektroofen 444 445 Koch Versicherbarkeit von IT Risiken Rn 627 Taschner Frietschh 1 ProdHaftG Rn 42 v Westphalen in v Westphalen ProdHaftHdb 71 Rn 28 ff M nchKommBGB Wagner 1 Prod HaftG Rn 3 f Marly Software berlassungsvertr ge Rn 1307 Prof Dr Gerald Spindler 93 204 205 206 446 447 448 449 450 chen Verbesserung der Software zu begr nden Patches denn hier ist oftmals das quivalenzinteresse ber hrt das gerade nicht vom Deliktsrecht erfasst wird Im Bereich der verschuldensunabh ngigen Produkthaftung ist die Einordnung von Software als Produkt noch immer von Unsicherheiten gekennzeichnet Die Reichweite der Haftung wird stark eingeschr nkt indem allein Sachsch den an anderen Sachen als dem fehlerhaften Produkt ersatzf hig sind und auch dann nur wenn es sich um privat genutzte Sachen handelt Sch den an gewerblich genutzten Sachen scheiden demnach von vornherein aus Damit wird der Bereich der verschuldensunabh ngigen Produkthaf tung erheblich eingeschr nkt da zahlreiche Produkthaftungsf lle sich im B2B Sektor abspielen Schlie lich ist beiden Bereichen gemein dass f r die Frage der Kausalit t keine Be weislastumkehr eingreift in der Regel auch nicht f r das Vorliegen eines Fehlers der Software bei Inverkehrgabe IV ffentlich rechtliche Produktsicherheit insbesondere d
296. en Gemeinschafts rechts Berlin 1995 R sler Hannes Zur Zahlungspflicht f r heimliche Diale reinwahlen in NJW 2004 2566 2569 R sser Heinz quid Datenschutzzertifizierung Prof Dr Gerald Spindler XLVI in DuD 2003 401 405 Ro nagel Alexander Europ ische Techniknormen im Lichte des Gemeinschaftsvertragsrechts in DVBl 1996 1181 1189 Ro nagel Alexander Marktwirtschaftlicher Datenschutz eine Regulierungsperspektive in Bizer Johann Lutterbeck Bernd Rie Jo achim Hrsg Umbruch von Regu lierungssystemen in der Informati onsgesellschaft Freundesgabe f r Alfred B llesbach Stuttgart 2002 S 131 150 Ro nagel Alexander Datenschutzaudit Braunschweig 2000 Ro nagel Alexander Auf dem Weg zu neuen Signaturregelun gen in MMR 451 461 Ro nagel Alexander Hrsg Recht der Multimedia Dienste Kommen tar 7 Erg nzungslieferung M n chen 2005 zitiert Bearbeiter in Ro nagel Recht der Multimedia Dienste Ro nagel Alexander Hrsg Handbuch Datenschutzrecht M nchen 2003 zitiert Bearbeiter in Ro nagel Handbuch Datenschutzrecht Roth Birgit Schneider Uwe K IT Sicherheit und Haftung in ITRB 2005 19 22 R cker Daniel Softwareerstellung und 651 BGB Dis kussion ohne Ende oder Ende der Diskussion Prof Dr Gerald Sp
297. en Online Banking Systemen und die mangelnde Sicherung des privaten Computers Eine strenge Risikoverteilung nach Gefahrenbereichen kommt hierbei je doch nicht in Betracht An den durchschnittlichen privaten Nutzer k nnen beim Online Banking insbesondere im technischen Bereich nur begrenzte Sorgfaltsanforderungen gestellt werden z B Virenschutz Systemupdates Soweit ein Restrisiko im Bereich der privaten Nutzung verbleibt ist dieses wertungsm ig der Bank zuzurechnen Wegen des von der hM angenommenen Anscheinsbeweises kann dieses Restrisiko aber nach gegenw rtiger Rechtslage im Einzelfall beweisrechtlich auf den Bankkunden verlagert werden wenn eine Manipulation der Online Transaktion insbesondere im Falle eines Pharming Angriffs nicht nachweisbar ist Prof Dr Gerald Spindler 251 7 Zwischenergebnis besondere Verantwortlichkeit im Banken und Finanzsektor 595 Im Banken Versicherungs und Finanzsektor ist durch KWG WpHG VAG und die entsprechenden Mindestanforderungen wie z B MaRisk eine starke Aufsicht vorhan den Die Pflichten sind auch hinsichtlich der Verwendung von Informationstechnik ge regelt Die Aufsichtsbeh rde hat zus tzlich auch entsprechende Mittel um diese Anfor derungen durchzusetzen Zwar sind die Normen nicht als Schutzgesetze 1 S d 823 Abs 2 BGB zu qualifizieren durch die M glichkeit sie zur Konkretisierung der Ver kehrssicherungspflichten im Rahmen des 823 Abs 1 BGB heranzuziehen
298. en Probleme Internet Provider unterfallen nach hM den Regelungen des TKG soweit sie Telekommunikationsdienste 1291 Entschei erbringen wobei eine funktionale Abgrenzung zugrunde zu legen ist dend ist demnach die Art der erbrachten Dienste Bestehen diese lediglich in der Bereit stellung von bertragungskapazit ten Network Provider oder handelt es sich aus schlie lich um die Bereitstellung des Internetzugangs Internet by Call Anbieter dann werden nur Telekommunikationsdienste erbracht Content Provider welche allein In halte auf mit dem Internet verbundenen Servern zur Verf gung stellen erbringen dage gen allein Telemediendienste Handelt es sich um einen kombinierten Dienst welcher Telekommunikationsdienste und Telemediendienste miteinander verbindet z B t online ist nicht der Schwerpunkt des Dienstes ma geblich sondern das jeweils ein schl gige Gesetz auf die einzelnen Bestandteile anzuwenden d h der Dienst ist in seine Bestandteile aufzuteilen was auch 1 Abs 3 TMG zeigt der davon spricht dass das TMG das Telekommunikationsrecht unber hrt l sst 2 Anforderungen des TKG an die IT Sicherheit S cker S cker Einl I Rn 2 f Beck scher TKG Kommentar Gersdorf Einleitung Teil C Rn 18 20 S cker S cker 3 TKG Rn 38 Spindler Schmitz Geis Spindler 2 TDG Rn 22 Beck scher TKG Kommentar Gersdorf Einleitung Teil C Rn 22 f S cker S cker 3 TKG Rn 40 Spindler Schmitz Geis Sp
299. en Rn 473 ff beschriebenen Angriffsszenarien berhaupt nicht bis zur Bank sondern wird vorher quasi abgesogen und gesammelt werden so dass sie dann f r einen Ein satz durch Dritte zusammen mit der PIN Nummer zur Verf gung steht Dazu Marburger Die Regeln der Technik im Recht S 162 437 allgemein dazu M nchKommBGB Wagner 823 BGB Rn 271 ff BGH NJW 1990 906 907 BGH NJW 1994 517 519 f BGH NJW 1994 3349 3350 Kull mann in Kullmann Pfister Kz 1520 Bl 60 f M nchKommBGB Wagner 823 BGB Rn 580 602 So auch Kind Werner CR 2006 353 359 Recknagel Vertrag und Haftung beim Internet Banking S aTf So wohl auch Kind Werner CR 2006 353 357 So f r das Btx Banking Hellner FS Werner S 251 270 Prof Dr Gerald Spindler 215 513 Ein Teil der Banken hat auf die neue Bedrohungslage bereits reagiert und neue Varian ten des PIN TAN Verfahrens eingef hrt Nach Einsch tzung des BSI sind f r das On line Banking allein Verfahren geeignet bei welchen ein Medienbruch durch den Ein satz zus tzlicher Hardware erfolgt Von den gegenw rtig im Einsatz befindlichen PIN TAN Sicherungsverfahren entsprechen diesen Anforderungen einzig Verfahren mit TAN Generator und Verfahren bei welchen eine Best tigung der bermittelten Trans aktionsdaten auf das Mobiltelefon des Kunden erfolgt mTAN Beide Verfahren er m glichen es dass Manipulationen der Transaktionsdaten durch ein Schadprogramm
300. en Vorsatzes wird eine Haftung privater Nutzer oftmals nur auf die Verletzung deliktischer Verkehrspflichten gest tzt werden k nnen Der fol gende Abschnitt befasst sich mit deliktischen Verkehrspflichten privater Nutzer die da bei herausgearbeiteten Wertungen k nnen jedoch auch im vertraglichen Bereich heran gezogen werden zum Online Banking unten Rn 535 ff Die Sorgfaltspflichten pri vater Nutzer k nnen in doppelter Hinsicht relevant werden Zum einen bei Sch digung Dritter infolge unterlassener Sicherungsma nahmen Rn 278 ff zum anderen spiegel bildlich im Rahmen des Mitverschulden Rn 314 ff a Rechtsgutverletzung Die Haftung nach 823 Abs 1 BGB beruht auf der schuldhaften Verletzung eines der dort aufgez hlten Rechtsg ter oder absoluten Rechte Hinsichtlich der Verletzung der Ausf hrlich dazu Mankowski in Ernst Hacker Cracker amp Computerviren Rn 500 ff 512 ff Dazu Gola Schomerus 43 BDSG Rn 23 Mankowski in Ernst Hacker Cracker amp Computerviren Rn 502 S dazu Palandt Heinrichs 280 BGB Rn 28 M nchKommBGB Ernst 280 BGB Rn 104 Bamber ger Roth Gr neberg Sutschet 241 BGB Rn 92 Prof Dr Gerald Spindler 119 279 280 540 541 542 543 Rechtsg ter Leben K rper Gesundheit und Freiheit kann im Wesentlichen auf die zur Produkthaftung gemachten Ausf hrungen verwiesen werden oben Rn 107 Ein Eingriff in diese Rechte d rfte bei privaten IT Nutzern kaum vor
301. en lassen Gleiches gilt f r Arbeitnehmer die von zu Hause oder allgemein mit einem eigenen Computersystem arbeiten Auch sie treffen bei privater Nutzung die gleichen Pflich ten wie bei der Nutzung als Arbeitnehmer sofern sie sich die entsprechenden Siche rungsinfrastrukturen ihrer Arbeitgeber zunutze machen k nnen Bei sog Telearbeitern w re schlie lich zu berlegen ob nicht eine Abgrenzung nach dem Umfang der nicht privaten Nutzung eines Computersystems angebracht w re wie sie bereits bei der Un ternehmereigenschaft im Sinne von 13 14 BGB eine Rolle spielt und auch im Produkthaftungsrecht angewandt wird Wenn also ein berwiegender Teil der Rech nernutzung kommerziell erfolgt w re der Nutzer als kommerzieller Nutzer anzusehen c Expertenwissen Keine Probleme bei der Einordnung als privater oder kommerzieller Nutzer bereitet das Vorliegen von Expertenwissen Dem IT Experten k nnen grunds tzlich schon auf grund vorhandener Verantwortlichkeitsregelungen im Einzelfall weitergehende Pflich ten obliegen d Zwischenergebnis Nach Berichten aus der Praxis ist etwa der Einsatz von digitaler Signaturen zum Online Banking daran weitgehend gescheitert dass die Kunden das Online Banking vom Arbeitsplatz aus durchf hren wollten hier aber kein Signaturkarteneinsatz m glich ist sondern nur das PIN TAN Verfahren LEGAL IST Workshop zu Privacy Identity Management 17 3 2006 G ttingen Schon allein diese T
302. en unber cksichtigt l sst Ebenso wenig sind allgemeine technische Regeln nach dem nationalen Normungsverfahren im GPSG zu verzeichnen D Verantwortlichkeit der IT Nutzer I Grunds tzliche berlegungen 1 Die Doppelrolle von IT Nutzern 259 Den Pflichten der IT Hersteller aber auch anderer IT Verwender in der Wertsch p fungskette stehen m gliche Pflichten der IT Nutzer zum Selbstschutz gegen ber Im Zivilrecht findet dieser Gedanke des zumutbaren Selbstschutzes seinen Niederschlag in erster Linie in 254 BGB 260 Damit w rde sich indes die Problematik kaum ersch pfen Denn anders als in klassi schen Wertsch pfungsketten bei denen definitiv von einem Endverbraucher gesprochen werden kann der ein Produkt konsumiert ist die Situation in der IT Branche anders IT Nutzer verwenden typischerweise die IT Produkte ihrerseits um andere Produkte herzustellen oder Dienstleistungen zu erbringen Selbst wenn die IT Nutzer nicht eigen st ndig in anderen Wertsch pfungsketten eingeschaltet sind stehen sie doch in vielf l tiger Weise in Interaktion mit anderen IT Nutzern oftmals durch ihre Anbindung an entsprechende Netze wie das Internet und die damit gegebenen Kommunikationsm g lichkeiten Daher w re es verk rzt sich nur auf die Selbstschutz und Schadensminde rungspflichten der IT Nutzer im Verh ltnis zu IT Herstellern oder Intermedi ren zu Prof Dr Gerald Spindler 113 261 262 263 konzentrieren
303. en und welche Schutzma nahmen insbesondere bei diesem Personenkreis erforderlich w ren Das Risiko f r den Provider selbst f r Verm gens sch den zu haften w re kaum mehr kalkulierbar Zum anderen stellt sich die T tigkeit der Provider im Internet f r den Nutzer nicht als einheitlicher Vorgang dar dessen be sondere Risiken aus der Arbeitsteilung nicht auf den Nutzer berw lzt werden d rften Stattdessen handelt es sich um jeweils spezifische Dienstleistungen im Internet die mit einander verwoben sind die aber keine hnlichkeit etwa mit einer berweisungskette im Inter Banken Verkehr aufweisen 667 Dar ber hinaus mangelt es im Bereich der bermittlung von Daten im Internet sogar h ufig an jeglichen Vertragsbeziehungen etwa f r das Routing zwischen verschiedenen Rechnern Hier versagen von vornherein alle Konstruktionen ber vertrags hnliche An spr che 3 Deliktische Verantwortlichkeit 668 Wendet man sich den deliktischen Pflichten bzw den Sicherungspflichten allgemein der IT Intermedi re zu lassen sich drei Bereiche des Schutzes des Nutzers und anderer Internet Teilnehmer unterscheiden der Schutz des Eigentums insbesondere an Daten der Schutz der Privat und Intimsph re der Schutz des Rechts am eingerichteten und ausge bten Gewerbebetrieb 669 Grundlage der Beurteilung ist auch hier eine Abw gung zwischen dem bestehenden Risiko sowie der wirtschaftlichen Zumutbarkeit der Ergreifung von Sicheru
304. en werden in 665 666 667 668 669 670 671 672 absehbarer Zeit nochmals mittelbar durch das Kreditaufsichtsrecht versch rft was breitfl chige Auswirkungen auch auf kleinere oder mittlere Unternehmen gleich wel cher Rechtsform haben wird da die Fremdkapitalquote in Deutschland nach wie vor be achtlich ist Denn aufgrund der sogenannten Basel II Anforderungen m ssen die Ban ken in qualifizierter Weise das Risiko jeder Gesellschaft per Rating vor jeglicher Fremdmittelvergabe einsch tzen Mit der Neufassung der Richtlinie 2000 12 EG und der Richtlinie 93 6 EWG wird die auf der Grundlage der Baseler Eigenkapital vereinbarung von 1988 sog Basel I berarbeitete Baseler Eigenkapitalvereinbarung von 2004 Basel II auf europ ischer Ebene umgesetzt Im deutschen Recht erfolg te die Umsetzung im Kreditwesengesetz den Mindestanforderungen an das Risiko 671 management MaRisk und der Solvabilit tsverordnung SolvV Ziel der Regelun gen ist es die Eigenkapitalanforderungen st rker als bisher vom eingegangenen Risiko abh ngig zu machen und die allgemeinen und besonderen Entwicklungen an den Fi nanzm rkten sowie im Riskmanagement der Institute zu ber cksichtigen K mpel Bank und Kapitalmarktrecht Rn 19 91 Fritz A mus Tuchtfeldt ORDO 54 2003 267 270 f Polke Die darlehensvertragliche Umsetzung der Eigenkapitalgrunds tze nach Basel II 73 ff Richtlinie 2000 12 EG
305. end kostspieligen Ma nahmen ergriffen werden Demgem sind die grunds tzlichen Pflichten des 9 BDSG auch aus dem Berufsrecht herleitbar Insofern ist bisher der einzige relevante Unterschied was die Pflicht zur Er greifung von Sicherungsma nahmen im Bereich der IT Sicherheit angeht dass im einen Fall die Aufsichtsbeh rde nach 38 BDSG die Einhaltung der Voraussetzungen des 9 BDSG im speziellen im anderen Fall die Rechtsanwaltskammern die Einhaltung der vermutlich kongruenten Pflichten nach Berufsrecht kontrollieren Zwar enth lt 38 Abs 3 Satz 2 BDSG ein Auskunftsverweigerungsrecht ber alle diejenigen Daten de ren Herausgabe dem Auskunftspflichtigen unter Androhung von Strafe verboten ist Ge st tzt auf diese Ausnahme kann der Anwalt somit jegliche inhaltlichen Daten zur ck halten Hinzu k men die Schranken der 43a Abs 2 56 Abs 1 BRAO 1168 Diese w rde nat rlich nicht f r Daten gelten die schon von Anfang an voll dem BDSG unter fallen Auskunft erteilen m sste der Anwalt aber z B ber die grunds tzlichen Rah menbedingungen seiner Datenverarbeitung wie die Umst nde der regelm igen Daten sicherung Allerdings ist gerade die Auskunftspflicht im Rahmen der BRAO sehr diffe renziert ausgestaltet Aus diesem Grunde tritt 38 BDSG jedenfalls vollst ndig zu r ck 11 3 Ergebnis Insofern kann offen bleiben ob das BDSG insgesamt subsidi r ist oder nur im Einzel fall als allgemeineres Gesetz zur
306. ender einer E Mail ausdr cklich vor m glichen Abh rma nahmen Dritter und bietet er beispielsweise Verschl sselungen an so kann sich der gesch digte Nutzer der trotzdem eine ungesicherte E Mail absendet nicht auf ein Vertrauen in die Einhaltung von Sicherheitsstandards berufen H ufig werden hier zudem bereits vertragliche Haftungsausschl sse eingreifen Macht der Nut zer von bereitgestellter Verschl sselungssoftware keinen Gebrauch muss er sich dies zumindest als Mitverschulden gem 254 BGB auf seinen Anspruch anrechnen lassen Der geforderte Sicherheitsstandard kann wiederum bei kostenlosen Angeboten insbe sondere bei E Mail Accounts abgesenkt werden da hier zum einen der Grundgedanke des Schenkungsrechts durchschl gt zum anderen auch eine analoge Anwendung der ber die Verarbeitung personenbezogener Daten und den Schutz der Privatsph re in der elektronischen Kommunikation Datenschutzrichtlinie f r elektronische Kommunikation gelten die Begriffsbestimmun gen des Art 2 der Richtlinie 95 46 EG auch f r diese Richtlinie 1255 Ausf hrlich Spindler Schmitz Geis Schmitz 4 TDDSG Rn 23 ff 136 Vgl f r das BDSG als Schutzgesetz zuletzt OLG Frankfurt aM ZIP 2005 654 OLG Hamm NJW 1996 131 OLG Hamm ZIP 1983 552 Prof Dr Gerald Spindler 283 689 690 691 Ma st be des Schenkungsrechts nahe liegt da der Nutzer oftmals wenn auch unent geltliche vertragliche Beziehung zu dem IT Intermedi r
307. ent im Unternehmen zu stellen sind Dabei sollen sogenannte Control Frameworks wie die von COSO oder COBIT dazu die nen dass Gefahren f r die Rechnungslegung eliminiert oder wenigstens gemindert wer 70 den b Allgemeine zivilrechtliche Pflichten Wechselt man die Perspektive und betrachtet die Pflichtenlage der kommerziellen IT Nutzer im Hinblick auf ihre Sicherungspflichten gegen ber Dritten ergeben sich erheb liche Unterschiede in den geschuldeten Verkehrspflichten Ausgangspunkt ist zun chst wiederum dass derjenige der eine Gefahrenquelle schafft oder beherrscht nach 823 Abs 1 BGB grunds tzlich verpflichtet ist die notwendigen und zumutbaren Vorkehrungen zu treffen um eine Sch digung anderer zu vermei den wobei wie bereits dargelegt zur genaueren Konkretisierung des Inhalts und Umfangs der Verkehrssicherungspflicht in erster Linie auf die berechtigten Sicherheits erwartungen der betroffenen Verkehrskreise abzustellen ist ferner auf die M glich keit und Zumutbarkeit der Gefahrenvermeidung einerseits auf der Versenderseite ande rerseits auf der Empf ngerseite B low Datenschutz Berater 10 2005 13 13 vgl auch Gruson Kubicek AG 2003 337 337 ff und AG 2003 393 393 ff Knolmayer Wermelinger Der Sarbanes Oxley Act und seine Auswirkungen auf die Gestaltung von In formationssystemen abrufbar unter http www ie iwi unibe ch publikationen berichte resource WP 179
308. entsprechen de Erfahrungss tze formuliert werden k nnen Als Vermutungsgrundlage des An scheinsbeweises hat die Bank daher die technische Sicherheit ihres Online Banking Systems gegen Eingriffe Dritter zu beweisen Rn 559 Die hM bejaht f r das Online Banking einen Anscheinsbeweis mit dem mehr oder minder pauschalen Hinweis auf den hohen technischen Sicherheitsstandard der verwendeten PIN TAN Sicherungssysteme Diese k nnten nur mit einem Aufwand berwunden werden wel cher unter technischen oder wirtschaftlichen Gesichtspunkten unwahrscheinlich er scheine Die Annahme hinreichender technischer Sicherheit beim Online Banking bildet somit die tats chliche Basis f r die erforderliche hohe Wahrscheinlichkeit dass die Erkl rung vom Kunden selbst oder einem autorisierten Dritten abgesandt wurde So Mankowski CR 2003 44 45 Mankowski CR 2003 44 45 Hoffmann in Leible Sosnitza Versteigerungen im Internet Teil 3 Kap B Rn 176 Ernst Vertragsgestaltung im Internet Rn 29 Mankowski MMR 2004 182 ff Mankowski CR 2003 44 45 Kr ger B ttner MDR 2003 181 186 Hoffmann in Leible Sosnitza Versteigerungen im Internet Teil 3 Kap B Rn 184 Ernst Vertragsges taltung im Internet Rn 26 ff Mankowski CR 2003 44 46 Werner MMR 1998 338 339 Wiesgickl WM 2000 1039 1047 1050 Trapp WM 2001 1192 1199 Bock in Br utigam Leupold Kap VO Rn 83 Kunst MMR Beilage 9 2001 23 24
309. er 73 Durchf hrung eines Konformit tsbewertungsverfahrens die zivil und strafrechtliche Verantwortlichkeit unber hrt l sst 161 Die dargestellten Grunds tze gelten auch f r Zertifikate des BSI oder privater Zertifizie rungsunternehmen in Bezug auf IT Produkte Zertifizierungen k nnen auch hier in al ler Regel nicht per se haftungsbefreiend wirken Der Aussagegehalt einer Zertifizierung anhand technischer Normen welche wie oben Rn 146 ausgef hrt stets nur den Mindeststandard widerspiegeln beschr nkt sich naturgem auf die Dokumentation der Einhaltung der Mindest Anforderungen der technischen Norm Von der Frage der pauschalen Haftungsentlastung ist die Bedeutung von Zertifikaten im Rahmen des Nachweises der Einhaltung der erforderlichen Sicherheitsanforderungen zu unterschei den dazu unten Rn 181 ff b Versch rfung der Haftung durch Zertifizie rung i Grunds tze 162 Schwieriger ist die Frage inwiefern sich Zertifikate auf die Sicherheitserwartungen der ma geblichen Verkehrskreise auswirken k nnen In beschr nktem Umfang d rften Zer tifikate bei der Bestimmung des Inhalts von Verkehrspflichten relevant werden sofern Produktzertifikate Einfluss auf die Erwartungen der Nutzer nehmen Mit Zertifikaten k nnen insbesondere bei Werbung mit dem Zertifikat beim Kunden oder Verbrau cher erh hte Erwartungen hinsichtlich Sicherheit und Qualit t begr ndet werden an denen sich das jeweilige ze
310. er IT Risiken als Teil des Gesch ftsrisikos sind z T aber auch branchenspezifisch so wird ein Unternehmen dessen Gesch ft ausschlie lich auf Online Handel basiert ein sehr hohes IT Risiko besitzen w hrend bei Finanzdienstleistern die finanziellen Risiken z B in Form von Wertberichtigungen berwiegen Insgesamt werden von der Bonit ts pr fung im Unternehmenskreditgesch ft bezogen auf die Anf lligkeit der IT Systeme gerade mittelst ndische Unternehmen betroffen sein Damit besteht aber indirekt ein breitfl chiger Zwang f r diese Unternehmen ein ad quates Riskmanagement vorzuweisen das die f r das Controlling essentiellen Elemente des EDV Einsatzes einschlie lich des Rechtemanagements umfasst Eine Darlehensvergabe ohne jegliche Pr fung der Risikovorsorge deren Bestandteil auch die Absicherung der IT Risiken einschlie lich der Rechtssituation ist wird daher nicht mehr m glich sein Denn als Folge der Relevanz der dargestellten Faktoren kann ein darauf vorbereitetes Unternehmen mit gut dokumentiertem IT Riskmanagement bei der Kreditvergabe einer Bank f r g nstigere Konditionen sorgen und umgekehrt k nnen die Kreditbedingungen f r einen Kreditnehmer eher schlechter sein wenn dieser eine anf l lige IT Infrastruktur besitzt Eine Investition in ein IT lastiges Unternehmen wird f r die Bank dann rentabel sein wenn das Unternehmen neben den betriebswirtschaftlichen 676 677 678 679 Capellaro F ser Di
311. er Gew hrung von Rechten kann der Nutzer die Fire wall sogar vollkommen deaktivieren ohne dass er dies merkt Sofern n mlich eine hochpriorisierte Regel den generellen Netzwerkzugriff erlaubt so greifen auch sch t zende Regeln nicht mehr Dennoch signalisiert die Firewall Bereitschaft Es fehlt somit bereits an der Bekanntheit unter privaten Nutzern dass Firewalls als L sungsm glichkeit zur Verf gung stehen Zus tzlich ist die Benutzung kompliziert und daher auch technisch dem Durchschnittsnutzer nicht zumutbar w hrend wegen der geringen Kosten eine wirtschaftliche Zumutbarkeit wohl gegeben w re Eine grunds tz liche Pflicht zum Einsatz von Firewalls besteht demnach zumindest f r Privatnutzer nicht 3 System und Programmupdates Ein weiteres gro es Sicherheitsproblem stellen L cken im Betriebssystem oder Teilen desselben dar Aufgrund der hohen Komplexit t von Betriebssystemen bzw Program men sind Fehler nicht auszuschlie en Einerseits k nnen lokal ausgef hrte Program me solche L cken nutzen um ihre Zugriffsrechte auf dem Computersystem unbefugt zu erh hen andererseits k nnen solche L cken durchaus auch von au en ber ein Netz werk bzw das Internet ausgenutzt werden Damit sind System und Programmupdates eine Abwehrma nahme auch gegen Trojaner Indem z B Webseiten speziell pr pariert werden und einen Fehler in einem Programm ausl sen k nnen sie eigene Computeran weisungen ausf hren die z B
312. er ist es absolut notwendig die besonders kritischen Softwarekomponenten Betriebssystem Schutzsoftware und Serverdienstsoftware stets aktuell zu halten was durchaus bedeuten kann mehrmals t glich Aktualisierungen ein zuspielen Neben der Aktualisierung der eigentlichen Software m ssen auch die Daten banken von Virenscannern und anderer Schutzsoftware aktuell gehalten werden damit diese neue Malware und Angriffsmuster erkennen und die Anwender davor sch tzen k nnen Der zweite Schritt zu einem sicheren System besteht in dem Anpassen der Sicherheits einstellungen des Computers Grunds tzlich kann der Rat gegeben werden den Be nutzern eines Systems immer nur die Rechte einzur umen die sie ben tigen um ihre Aufgaben zu erf llen Keinesfalls sollten Anwender mit unbeschr nkten Rechten Ad ministrator Rechte unter Windows arbeiten um zu verhindern dass ggf vorhandene Malware ebenfalls unbeschr nkte Rechte erh lt 6 Webbasierte Dienste Durch die Verbreitung des Internets werden h ufig Anwendungen als webbasierte Dienste angeboten d h die Anzeige Repr sentation von Anwendungen erfolgt mit Hilfe eines lokal installierten Webbrowsers w hrend die Logik und Datenhaltung auf zentralen Webservern geschieht F r die Repr sentation wird in der Regel die Auszeichnungssprache HTML verwendet die vom Browser interpretiert und als Internetseite dargestellt wird Da es sich bei HTML um keine Programmiersprache handelt s
313. eralverpflichtung zur berwachung und Sicher stellung der EDV Systemsicherheit Im Vergleich hierzu sind die Vorschriften in 25a Abs 1 Nr 2 KWG zur Sicherheit von IT Systemen deutlich pr ziser Die Einf hrung einer Aufzeichnung und Archivierungspflicht hat auch f r den IT Bereich Bedeutung Nach Art 51 Abs 2 sind Aufzeichnungen so auf einem Datentr ger zu speichern dass sie der Beh rde leicht zug nglich gemacht werden k nnen wobei diese Aufzeichnungen insbesondere nicht anderweitig manipulierbar oder ver nderbar sein d rfen 5 Zwischenergebnis besondere Verantwortlichkeit im Banken und Finanzsektor Im Banken Versicherungs und Finanzsektor ist durch KWG WpHG VAG und die entsprechenden Mindestanforderungen wie z B MaRisk eine starke Aufsicht vorhan den Die Pflichten sind auch hinsichtlich der Verwendung von Informationstechnik ge regelt Die Aufsichtsbeh rde hat zus tzlich auch entsprechende Mittel um diese Anfor derungen durchzusetzen Zwar sind die Normen nicht als Schutzgesetze 1 S d 823 Abs 2 BGB zu qualifizieren durch die M glichkeit sie zur Konkretisierung der Ver kehrssicherungspflichten im Rahmen des 823 Abs 1 BGB heranzuziehen besteht aber dennoch ein enger Zusammenhang auch zur deliktischen Haftung 6 Die Verteilung der Risiken bei Online Bankgesch ften In den letzten Jahren Konnte ein stetig ansteigendes Auftreten neuartiger Bedrohungen des E Commerce durch den Missbrauch im I
314. erden k nnen da sich daraus deren Pflichtenprogramm ableiten kann 53 Werden Pflichten an eine wie auch immer geartete Zumutbarkeitsabw gung gekn pft wird auch eine Einsch tzung ber die voraussichtlichen Kosten ben tigt Diese ist nat rgem im vorgegebenen Rahmen dieser Untersuchung ungenau und soll nur eine Richtlinie darstellen Notwendig ist im Rahmen einer solchen Abw gung jeweils eine Einzelfallbetrachtung und n here technisch betriebswirtschaftliche Analyse So k nnen Kosten bei gr eren Systemen berdurchschnittlich skalieren wobei auch die Gefahrensituation mit der Gr e von Rechensystemen und netzen wachsen kann Anhaltspunkte f r Bedrohungspotentiale und Gefahrenlagen lassen sich aus den Aufga ben des IT Managements im Allgemeinen und f r die IT Sicherheit im Speziellen ent nehmen die darin bestehen die Integrit t Verf gbarkeit und Vertraulichkeit von Daten und Diensten sowie die Authentizit t eines Senders Empf ngers sicherzu stellen u Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 1 2 S 9 Rn 2 abrufbar unter http www bafin de rundschreiben 89_2005 051220_anl1 pdf zuletzt abgerufen am 20 02 2006 Prof Dr Gerald Spindler 29 55 56 57 90 91 92 93 94 Integrit t bedeutet dass nur autorisierte und im Sinne der Systemfunktionalit t gewollte Modifizie rungen von Hardware Software und Daten dur
315. ere paper113 pdf Arbeitskreis Externe und Interne berwachung der Unternehmen der Schmalenbach Gesellschaft f r Betriebswirtschaft e V BB 2004 2399 2400 B ssow Taetzner BB 2005 2437 3438 f Ausf hrlich H tten Stromann BB 2003 2223 2224 f Taetzner BB 2005 2437 2437 ff Gru son Kubicek Der Sarbanes Oxley Act 37 ff abrufbar unter http www jura unifrankfurt de ifawz 1 baums Bilder_und_Daten Arbeitspapiere paper113 pdf Pellens DBW 2003 473 B low Datenschutz Berater 10 2005 13 ausf hrlich zu Sec 404 SOX auch B ssow Taetzner BB 2005 2437 ff Prof Dr Gerald Spindler 157 370 697 698 699 700 701 702 SOX verf gt wonach die Anforderungen erst f r die Gesch ftsjahre zu erf llen sind die nach dem 15 07 2006 enden Insofern haben auch die betroffenen deutschen Un ternehmen eine letzte Gnadenfrist erhalten das interne Kontrollsystem den Anforderun gen des Sarbanes Oxley Act anzupassen und ihr IT Sicherheitsmanagement entspre chend einzurichten Schlie lich verdient auch die Einrichtung eines Audit Committees als berwachungs organ gem Section 301 SOX besondere Beachtung im Zusammenhang mit den vom 698 Sarbanes Oxley Act geforderten berwachungsma nahmen Ihm kommt die Aufga be zu das Rechnungs und das Finanzberichtswesen zu berwachen und Unterneh 699 mensabschl sse zu berpr fen Das Audit Committee ist zudem f r die Ein
316. eren das Auslagerungsunternehmen mit der erforderlichen Sorgfalt aus zuw hlen und die erforderlichen Weisungsbefugnisse vertraglich zu sichern Vor allem aber muss der ausgelagerte Bereich in das interne Kontrollsystem des auslagernden In stituts integriert bleiben als ob die Dienstleistung intern vom Institut selbst erbracht es 848 w rde c Rechtsfolgen Bei Verst en gegen die Organisationspflichten des 25a Abs 1 Satz 3 Nr 4 KWG kann die BaFin aufsichtsrechtliche Ma nahmen ergreifen Hierzu geh ren informelle unverbindliche Ma nahmen ebenso wie Anordnungen im Einzelfall Verwaltungsakte 6 Abs 3 KWG erm chtigt die BaFin gegen ber den Instituten und ihren Gesch ftslei tern Anordnungen zu treffen die geeignet und erforderlich sind um Verst e gegen aufsichtsrechtliche Bestimmungen zu unterbinden oder um Missst nde in einem Institut zu verhindern oder zu beseitigen welche die Sicherheit der dem Institut anvertrauten Verm genswerte gef hrden k nnen oder die ordnungsgem e Durchf hrung der Bank gesch fte oder Finanzdienstleistungen beeintr chtigen Dar ber hinausgehend findet Boos Fischer Schulte Mattler Braun 25a KWG Rn 2 Fleischer ZIP 2003 1 10 Spindler in Fleischer Handbuch des Vorstandsrechts 19 Rn 19 VG Frankfur M WM 2004 2157 2160 Preu ner NZG 2004 303 305 NZG 2004 57 59 B rkle WM 2005 1496 1497 Witte Hrubesch BB 2004 725 730 vorsichtiger Spindler in Flei
317. ergeben 3 c Rechtsfolgen Diese Pflichten richten sich allein an die Finanzinstitute so dass Basel II und die ent sprechende Gesetzgebung zur Umsetzung weder eine Pflicht noch eine Obliegenheit f r die kreditnehmenden Unternehmen begr nden und damit auch keine Rechtsfolgen in Form von Sanktionen oder in Form eines Rechtsverlustes haben k nnen Allerdings ent steht eine mittelbare Wirkung da Unternehmen bei fehlendem oder nicht ausreichen dem Riskmanagement bei der internen oder externen Risikoeinsch tzung der Finanzin stitute schlechter abschneiden und jene zum Ausgleich der h heren Eigenmittelanforde rungen schlechtere Kreditkonditionen bieten werden d Anhaltspunkte f r IT Konkretisierung F r Zwecke des Ratings eines Unternehmens arbeiten die Banken heute mit branchen spezifischen Risikoprofilen wobei im IT Bereich wie in anderen Risikobereichen eine branchentypische Risikodisposition unterstellt wird Unter dem Gesichtspunkt der IT Sicherheit kann ein Unternehmen f r das im Ausgangspunkt eine branchentypische Ri sikodisposition angenommen wird ein g nstigeres Rating also eine positivere Risiko Hierzu ausf hrlich Schubert Grie mann VW 2004 1399 ff Fischer VW 2002 237 ff Schulte Mattler von Kenne Die Bank 2004 37 ff Boos Fischer Schulte Mattler Schulte Mattler Basel II Rn 10 ff M ller Reichart Dura Fischer Nosty VW 2002 625 Capellaro F ser Die Bank 2005 68 68 f Vgl BegrRegE zum Entw
318. erkannte Sicherheitsrisiken zu warnen und ggf Sicherheitsma nahmen zu ergreifen Be Der Access Provider hat daf r zu sorgen dass heraufgeladene Dateien oder Software nicht mit Viren befallen sind Ebenso wenig darf der Access Provider durch sorglosen Umgang mit Sicherungsma nahmen seien sie technischer oder organisatorischer Natur das Risiko f r Eingriffe in die Sph re des Nutzers erh hen beispielsweise durch Hacker Der Nutzer darf insbesondere bei ent geltlichem Internet Zugang ein Minimum an Kontrollen erwarten die seiner eigenen technischen Sicherheit dienen Wie f r den Service Provider gilt auch hier dass das Anbieten wirksamer Anti Virus Programme in der Regel gen gt um den Pflichten des Access Providers zu gen gen 3 Haftung von Betreibern von Router Rechnern 679 Davon zu unterscheiden ist die Haftung der Betreiber von im Internet Verkehr zwi schengeschalteten Rechnern In Betracht k nnen hier h chstens technische Sicherungs pflichten kommen wie sie z B auch f r einen Spediteur best nden der fremde G ter transportiert Auszuscheiden ist beispielsweise eine Haftung f r die Weiterleitung von Viren da die Router Rechner die eingegangenen Datenmengen so weiterleiten wie sie ankommen und die Daten in der Regel in verschiedene Pakete unterteilt verschiede ne Rechner passieren k nnen nn Spindler in Spindler Vertragsrecht der Internet Provider Teil IV Rn 357 zust Mankowski in Ernst Hac
319. erlangt werden k nnen Die Rspr tendiert dazu den Schaden auf die Kosten des Ausbaus der fehlerhaften Teile zu beschr nken nicht jedoch die Kosten f r den Einbau neuer fehlerloser Teile zu erstat 278 ten W hrend der Hersteller bei zuvor unterlassenem R ckruf f r einen eingetretenen Schaden ersatzpflichtig ist fehlt es grunds tzlich an einer Rechtsgutsverletzung und 280 einem Schaden wenn lediglich die Gefahr einer Sch digung besteht Jedoch ist der Hersteller verpflichtet Gefahren f r von 823 Abs 1 BGB gesch tzte Rechtsg ter zu vermeiden so dass zumindest ein Anspruch aus 1004 BGB anzunehmen ist Daher hat der Hersteller die Kosten in vollem Umfang jedenfalls f r die R cknahme des Pro duktes zu tragen wenn von dem Produkt Gefahren f r andere Rechtsg ter drohen Bei einem drohenden Schaden allein am Produkt selbst gen gt eine Warnung des Pro duktbenutzers da ansonsten das quivalenzinteresse und die Erwartung das Produkt nutzen zu k nnen gesch tzt w rde Dementsprechend kann aus dem Produkthaftungsrecht prinzipiell keine Pflicht abgelei tet werden dass Patches oder ein Support zur Verf gung gestellt wird da es gen gen w rde dass der Kunde das Produkt nicht mehr benutzt um seine Integrit tsinteressen zu wahren Eine Pflicht zur fortdauernden Softwarepflege kann daher deliktisch nicht abgeleitet werden stellers sowie 8 Abs 4 Nr 7 GPSG 9 ProdSG aF beh rdliche
320. ernen Hierzu besteht eine regelm ige Verpflichtung z B einmal in der Woche g Ergebnis Grunds tzlich tritt die Pflicht zum Einsatz von Sicherungsma nahmen beim Intermedi r eher ein und ist auch sch rfer anzusetzen So kann eine st ndige Beobachtung auch neuer Gefahrenpotentiale viel eher verlangt werden notwendige Aktualisierungen sind so oft vorzunehmen wie dies n tig ist Zusammenfassung Deliktische und vertragliche Anspr che gegen den IT Intermedi r wegen Verletzung seiner Sicherungspflichten k nnen sich vor allem auf die Zerst rung von Daten oder die Besch digung von Hardware infolge von Virenbefall oder anderen Arten von Angriffen aus dem Netz ergeben Nur vertragliche Anspr che sind dagegen f r Daten des Nutzers auf einem Server des Providers einschl gig Der IT Intermedi r hat den Nutzer vor Angriffen aus dem Netz durch entsprechende Sicherungsma nahmen f r seine Rechner zu bewahren Bei Virenbefall gen gt es aller dings dass der Provider den Nutzer entsprechende Anti Viren Programme anbietet und bereith lt Ist dem Provider eine technische Sicherung gegen Angriffe nach dem Stand Prof Dr Gerald Spindler 289 708 709 710 711 712 der Technik nicht m glich so hat er den Nutzer intensiv auf entsprechende Gefahren hinzuweisen und Schutzma nahmen zu empfehlen Dies gilt auch f r den reinen Access Provider dem Systemsicherungspflichten obliegen Auch Betreiber von Router Rech
321. erschiedenen IT Anwendern zu differenzieren W hrend professionellen IT Anwendern bei entsprechenden Kenntnis sen und Ressourcen derartige Selbstschutzma nahmen zumutbar sind sind die Vor aussetzungen bei privaten IT Nutzern h her Der Einsatz von Virenscannern ist ihnen aber zuzumuten oben Rn 297 Neben dem Zumutbarkeitskriterium kann hier als ma geblicher Ankn pfungspunkt f r diese Differenzierung auch der Gedanke der Vorteilsziehung herangezogen werden Nicht alle IT Anwender nutzen Softwareprodukte in gleichem Ma e und profitieren dementsprechend davon Der Gedanke der Vorteilsziehung ist in Rechtsprechung und Lehre gleicherma en als Ankn pfungspunkt zur Bestimmung von Art und Ausma der der G nther CR 1997 389 394 Koch NIW 2004 801 804 ff Schmidbauer Schadensersatz wegen Viren abrufbar unter http www i4j at news aktuell36 htm zuletzt abgerufen am 22 2 2006 Vgl Koch NJW 2004 801 804 Libertus MMR 2005 507 509 So bez glich der Risiken im E Mail Verkehr Koch NJW 2004 801 807 In Anlehnung an die Rechts figur der Betriebsgefahr im Stra enverkehr will der Autor einen Mitverschuldensanteil von 25 bei un gen genden Virenschutzvorkehrungen veranschlagen Koch NJW 2004 801 804 Libertus MMR 2005 507 509 S unten Rn 375 ff Prof Dr Gerald Spindler 135 320 321 322 Verkehrspflichten sowie als Rechtfertigungsgrund zur haftungsrechtlichen Ungleichbe han
322. erstand erschlie en etwa die Aufbewahrung einer ec Karte zusammen mit der PIN in einem Jackett im B ro etc ist das Bewusstsein f r IT Risiken wesentlich geringer ausgepr gt da die technischen Vorg nge komplex und f r den berwiegenden Teil der Kunden schwer zu durchschauen sind Dies trifft in besonderem Ma e auf die neuen Bedrohungslagen des Phishing und Pharming zu welche den meisten Online Banking Kunden nicht oder nur wenig bekannt sind Um entsprechende Sorgfaltspflichten im Umgang mit den Legitimationsmedien beim Online Banking anzunehmen die sich auch auf Risiken des EDV Einsatzes beziehen muss ein Mehr an Aufkl rung und Information sowie an Sicherungsma nahmen seitens der das System einsetzenden Bank verlangt werden Erst die Weitergabe des n tigen Wissens und die Schaffung eines Risikobewusstseins auf Seiten des Kunden versetzt diesen bei technisch komplexen Dienstleistungen in die Lage die angemessenen Si cherheitsvorkehrungen zu ergreifen Die vom Kunden verlangten Pflichten sind daher stets im Lichte der Pflichten die der Bank obliegen zu sehen Ob mangels ausreichen der Aufkl rung und Instruktion bereits eine Pflichtverletzung des Bankkunden zu ver neinen oder der Anspruch der Bank nach 254 BGB zu k rzen ist wird sich nur im Einzelfall beurteilen lassen Pflichten der Bank Die Bestimmung der Pflichten der Bank erlangt in zweifacher Hinsicht Bedeutung zum einen kann die Verletzung der die Bank tref
323. ersteller aber kostenlos eine CD zur Verf gung greifen die entsprechenden Beschr n kungen f r die Pflichten des Herstellers ebenfalls c Schadensabwendungspflichten Eher die Ausnahme sind Pflichten des Softwarenutzers insbesondere gewerblicher etwaigen Sch den durch eine eigenst ndige Bearbeitung des Programms zuvorzukom men da ihnen oftmals nicht der Quellcode bekannt ist und sie zudem das Risiko einge hen mit urheberrechtlichen Beschr nkungen durch den Softwarehersteller konfrontiert zu sein Zwar darf nach 69d I UrhG der Nutzungsberechtigte Bearbeitungen am Pro gramm im Rahmen einer bestimmungsgem en Nutzung vornehmen worunter auch die Fehlerbeseitigung f llt Doch kann aus dieser Erw gung nicht generell die Pflicht des Softwarebenutzers abgeleitet werden auf eigenes Risiko hin Fehler im Programm zu beheben Eine Ausnahme w re nur dann gegeben wenn die drohenden Sch den in kei nem Verh ltnis mehr zu den m glichen Risiken einer Urheberrechtsverletzung stehen der Gesch digte ber dem Hersteller gleichwertige Kenntnisse verf gt und das Pro gramm nicht ohne Weiteres ausgetauscht werden kann Ebensowenig ist dem Softwarenutzer zuzumuten zur Schadensabwendung die neueste Version einer Software zu kaufen die keine IT Sicherheitsl cken mehr aufweist Eine solche Pflicht zum Update Kauf w rde letztlich die Verantwortung f r einen Schaden von der Entscheidung des Herstellers abh ngig machen ein neues verb
324. ert Somit mag zwar ein punktuelles Fehlverhalten vorliegen bspw die sorglose Weitergabe von PIN und TAN im Zusammenhang mit Phishing Mails dieses gen gt jedoch nicht um es in der Rechtswirkung dem bewussten Dulden gleich zu stellen es begr ndet vielmehr al 974 975 976 977 978 Nach 56 362 HGB wird im kaufm nnischen Verkehr ein Rechtsschein auch rein objektiv zugerechnet Dazu Langenbucher die Risikozuordnung im bargeldlosen Zahlungsverkehr S 25 Canaris Die Vertrauenshaftung im deutschen Privatrecht S 51 477 ff Langenbucher Die Risikozu ordnung im bargeldlosen Zahlungsverkehr S 25 146 mwN Gleiches gilt f r die Duldungsvollmacht und den Blankettmissbrauch 172 BGB analog BGH NJW 1996 1469 ff Canaris Die Vertrauenshaftung im deutschen Privatrecht S 62 Auch bei der abhanden gekommenen Vollmachtsurkunde gen gt die blo Be Fahrl ssigkeit des Vertretenen nicht siehe BGH NJW 1975 2101 2102 In diese Richtung auch Canaris Bankvertragsrecht Rn 527 ff Zum Streit um die Anscheinsvollmacht im nicht kaufm nnischen Bereich Canaris Die Vertrauenshaftung im deutschen Privatrecht S 48 ff BGH JZ 2006 1073 1074 mit Anm Lobinger Die Anscheinsvollmacht entpuppt sich somit als abgeschw chte Duldungsvollmacht Bei der Duldungs vollmacht begr ndet bereits das erstmalige Auftreten als Vertreter den Rechtsschein jedoch nur deshalb weil der Vertretene das Handeln bewusst duldet Palandt Heinrichs
325. eschlossen hat dessen Laufzeit noch nicht beendet ist stellt sich dieses Problem nicht Allerdings ergibt sich hier ein signifikanter Unterschied f r die Haftung gegen ber Dritten wenn man die Perspektive wechselt und die Pflichten des kommerziellen IT Nutzers aus Sicht potenziell gesch digter Dritter betrachtet z B durch Versand ver seuchter Daten durch Bot Netze ber den kommerziellen befallenen IT Nutzer Denn das letztlich auf das quivalenzinteresse abstellende Argument im Verh ltnis von IT Hersteller zu Gesch digten dass der Gesch digte nicht zu st ndigem Neukauf eines Produktes verpflichtet sein kann verf ngt in diesen Konstellationen nicht Zu ber ck sichtigen ist hier dass der Hersteller innerhalb gewisser Grenzen rechtm ig die Unter st tzung des Produkts vollst ndig einstellen kann da er angesichts kurzer Produkt 733 1 zyklen den Support nicht st ndig aufrechterhalten wil Er ist zwar f r eine gewisse Zeit nach Ablauf des Lebenszyklus zu Pflege und Wartungsarbeiten am Programm verpflichtet doch finden auch diese Pflichten eine zeitliche Grenze Es w re jedoch nicht angebracht den kommerziellen IT Nutzer wegen des mangelnden Supports durch Ebenso BSI IT Grundschutzhandbuch 2005 M 4 83 Spindler NIW 2004 3145 3150 Spindler NIW 1999 3737 3744 Zum Softwarepflegevertrag Zahrnt CR 2000 205 mwN Vgl z B bez glich der Unterst tzung von Windows NT durch Microsoft he
326. ese manipulieren oder zerst ren k nnen wovon auch der externe Zugriff durch unbefugte Dritte erfasst ist Die Pflicht kann hier die Verwendung sicherer Authentifizierungsmethoden also insbe sondere Passw rter aber auch den Schutz vor dem Zugang von au en durch eine Fire wall umfassen Auch der Einsatz von Virenscannern z hlt zum Stand der Technik 767 768 769 770 771 772 7 13 774 775 Wohlgemuth Gerloff Datenschutzrecht S 158 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 135 ff Schneider Handbuch des EDV Rechts Kap B Rn 499 Bizer DuD 2006 5 Spindler Unternehmensorganisationspflichten S 273 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 135 Spindler Unternehmensorganisati onspflichten S 270 Wohlgemuth Gerloff Datenschutzrecht S 162 LG K ln CR 2003 724 725 JurPC 62 2004 Rn 38 BGH NJW 1996 2924 2926 OLG Karlsruhe NJW RR 1997 554 krit zur teilweise widerspr chlichen Rechtsprechung bei der vertraglichen Risikoverteilung Erben Zahrnt CR 2000 88 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 123 ff Ernestus in Ro nagel Handbuch Datenschutzrecht Kap 3 2 Rn 25 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 42 68 Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 662 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 131 Prof Dr Gerald Spindler 173 41
327. esondere Branchen gerichtet und haben insoweit einen abgegrenzten Adressatenkreis 11 Konsequenz dieser Unterschiede hinsichtlich der Schutzzwecke und der dogmatischen Grundlagen ist daher an sich dass die Konkretisierung der Schutzpflichten in den jewei ligen Bereichen unterschiedlichen Grunds tzen zu folgen hat Trotz dieser Unterschiede im Einzelnen k nnen bestimmte Pflichtenkriterien destilliert werden die quasi abs trakt f r alle Pflichtenbestimmungen gelten da sie das Fundament f r alle weiteren Pflichtenversch rfungen oder pr zisierungen bilden Diese Grunds tze sollen hier zu n chst vorgestellt werden um in einem weiteren Schritt als Ergebnis der Anwendung dieser Grunds tze die konkreten Rechtspflichten der IT Verwender aufzuzeigen Da im Deliktsrecht die f r jedermann geltenden Pflichten bestimmt werden liegt es nahe tieft worden s dazu Spindler Kl hn CR 2003 81 ff sowie dies VersR 2003 273 ff dazu auch Rede ker CR 2004 88 ff Marly Software berlassungsvertr ge Rn 35 ff Zu den vergleichbaren vertragsrechtlichen Fragen im Rahmen des Jahr 2000 Fehlers s Spindler DB 1999 1991 Wohlgemuth MMR 1999 59 v Westphalen in v Westphalen Langheid Streitz Der Jahr 2000 Fehler Rz 383 637 Hohmann NJW 1999 521 ff mwN bei Junker NJW 2000 1304 1311 s auch LG Leipzig NJW 1999 2975 m Anm H rl CR 1999 605 allgemein zur Leistungsst rung bei Software s Marly Software berlassu
328. essertes Produkt auf den Markt zu bringen Anders ist dies nur zu beurteilen sofern eine starke Ge f hrdungslage besteht und dem Nutzer keine andere M glichkeit verbleibt als die Software zu ersetzen Ein in der Praxis offenbar weit verbreitetes Ph nomen ist die zeitliche Verz gerung mit der Firmennetzwerke durch das Einspielen von Patches gesichert werden und die Dritten in der Zwischenzeit entsprechende Angriffe erm glichen Auch hier ist zu be r cksichtigen dass gerade Unternehmen eine Organisationspflicht trifft auftretende Si 615 616 OLG Karlsruhe NJW 1996 2583 2584 Schricker Loewenheim 69d UrhG Rn 9 Schneider Hand buch des EDV Rechts C Rn 200 ff Haberstumpf in Lehmann Rechtsschutz und Verwertung von Computerprogrammen Kap II Rz 159 169 f r das schweizerische Recht Rigamonti SJZ 1998 430 433 Zum Vorteilsausgleich wenn der Hersteller dem Nutzer ein verbessertes Paket mit erweiterter Funktiona lit t zur Verf gung stellt um den Fehler zu beheben s n her Spindler NIW 1999 3737 3744 mwN Prof Dr Gerald Spindler 137 cherheitsprobleme m glichst schnell zu bew ltigen um den Schaden gering zu halten Nat rlich k nnen Sicherheitspatches nicht in jedem Fall unbesehen einfach auf alle PCs eines Netzwerkes aufgespielt werden dennoch muss der unternehmerische Nutzer von Software seinerseits alles Zumutbare veranlassen um Sicherheitsl cken mit Hilfe von Sicherheitsupda
329. et nicht von den individuellen F higkeiten des Sch digers abh n gig Im obigen Beispiel kann durch Festlegung der erforderlichen Sorgfalt bei 10 Ein heiten eine Optimierung erreicht werden da f r den Akteur ein Anreiz besteht diesen M nchKommBGB Wagner Vor 823 BGB Rn 40 Behrens Die konomischen Grundlagen des Rechts S 83 ff Vgl statt vieler Brown J Towards a Theory of Liability 323 ff Vgl 8276 II BGB Fahrl ssig handelt wer die im Verkehr erforderliche Sorgfalt au er acht l sst Wohl hM vgl etwa Br ggemeier Deliktsrecht Rn 113 Prof Dr Gerald Spindler 21 28 29 30 31 62 63 Sorgfaltsma stab einzuhalten weil er ansonsten haftet also die externen Effekte zu tra gen hat Diese Feststellungen lassen sich zur sogenannten marginalisierten Learned Hand For mel verallgemeinern Danach ist dann kein Verschulden anzunehmen wenn das Sorg faltsniveau so gew hlt ist dass weitere Sorgfaltsanstrengungen V h here Kosten ver ursachen w rden als sie Schadensh he S mal Schadenswahrscheinlichkeit q reduzie ren Ein Verschulden ist also zu verneinen wenn V lt Stgq Ist der Sorgfaltsma stab durch Rechtsprechung oder gesetzliche Regelung zu hoch an gesetzt so ist es f r den Sch diger nicht unbegrenzt wirtschaftlich sinnvoll diesen ein zuhalten An einem bestimmten Punkt im obigen Beispiel ab einem Vorsorgeaufwand von 40 Einheiten f
330. et Sind allerdings in der Ausgangssituation weniger als 50 der Schiffe mit einem Funk ger t ausgestattet ist es ineffektiv neue Schiffe mit einem solchen auszur sten Es be steht wiederum ein Nash Gleichgewicht allerdings auf gesamtgesellschaftlich ineffi zientem niedrigem Sorgfaltsniveau Dieses Gleichgewicht kann nun aber mit Hilfe ei ner Verschuldenshaftung durchbrochen werden Wird das Fahren ohne Funkger t als fahrl ssig definiert besteht dadurch auch bei einer Funkger tepenetration von weniger als 50 ein Anreiz daf r Schiffe mit einem Funkger t auszur sten Das ineffiziente Nash Gleichgewicht wird durchbrochen 3 Anwendung auf IT Bereiche Diese allgemeinen Kriterien lassen sich ohne weiteres auch auf IT Produkte und Dienst leistungen bertragen allerdings mit der Ma gabe dass der Komplexit t der Produkte und der diffizilen Fehlerentdeckung Rechnung getragen werden muss a Technische Standards Allgemeing ltige technische Standards etwa in Gestalt von ISO Normen liegen so weit ersichtlich f r IT Produkte und erst recht f r IT Dienstleistungen bislang nicht breitfl chig vor Von Relevanz werden im Rahmen der weiteren Analyse vor allem auf Seiten der Produzenten die sog Common Criteria Standards die sich als internatio naler Standard f r IT Produkte und deren Sicherheitsbewertung ISO Norm 6 heraus gebildet haben Im Zusammenhang mit sog Protection Profiles die halbstandardisiert f
331. et Nutzer heute ohne weiteres verst ndli che Vorsorgema nahmen welche keine speziellen IT Kenntnisse erfordern Bei der Feststellung der Pflichten des Bankkunden wird man zudem ber cksichtigen m ssen dass Phishing E Mails mit Bankabsender aufgrund der Aufkl rungsarbeit der Banken und Medienberichten in der Masse der Spam E Mails eine gewisse Bekanntheit auch unter privaten Nutzern erlangt haben Besondere Vorsicht ist zudem geboten wenn be reits der u ere Anschein oder die sprachliche Aufmachung der E Mail z B gebroche 1042 nes Deutsch Zweifel an der Urheberschaft der Bank begr nden Eine Pflichtverlet zung wird aber zu verneinen sein wenn die Bank selbst E Mails zur Kommunikation mit dem Kunden nutzt und der Kunde davon ausgehen durfte es handele sich um eine 1043 K Nachricht seiner Ban Viele Banken stellen mittlerweile in ihren Informationsmate rialien klar dass sie den Kunden unter keinen Umst nden per E Mail kontaktieren oder gar zur Preisgabe von PIN und TAN auffordern werden Recknagel Vertrag und Haftung beim Internet Banking S 221 Vgl abrufbar unter http www heise de newsticker meldung 9349 Karper DuD 2006 215 217 Recknagel Vertrag und Haftung beim Internet Banking S 222 f So auch Erfurth WM 2006 2198 2202 Borges NJW 2005 3313 3314 f jedenfalls st nde ein Mitverschulden der Bank im Raum Prof Dr Gerald Spindler 226 539 540 541 iv Pflichten bei
332. etrifft haupts chlich private IT Anwender die weder das Wissen noch die finanziellen M glichkeiten haben um ihre Systeme sicher einzurichten und durch Wartung auch langfristig sicher zu betreiben Unternehmen besitzen eigene IT Abteilungen oder nehmen Dienstleister in Anspruch um eine sichere Konfiguration ihrer Netze und Systeme zu erreichen Der erste Schritt zu einem sicheren System ist der Einsatz aktueller Software um be kannt gewordene und durch den Hersteller beseitigte Sicherheitsl cken zeitnah zu schlie en Dies betrifft neben dem Betriebssystem insbesondere Schutzsoftware wie Vi renscanner und Firewalls und alle durch Dritte nutzbaren Serverdienste Ebenfalls muss die Aktualit t der Anwendungssoftware Textverarbeitung Mediaplayer etc sicherge stellt sein um indirekte Angriffe zu verhindern Besonders W rmer nutzten in den ver Chan in Bigdoli Handbook of Information Security Volume 3 S 137 Chan in Bigdoli Handbook of Information Security Volume 3 S 137 Chan in Bigdoli Handbook of Information Security Volume 3 S 141 f Chan in Bigdoli Handbook of Information Security Volume 3 S 142 f Nach Sch tzungen sind rund 15 aller Notebooks und 20 aller Desktop Systeme mit Spyware infiziert PC PitStop Statistics 2004 Prof Dr Gerald Spindler 36 77 78 gangenen Jahren Sicherheitsl cken die nicht ausreichend schnell geschlossen wurden um sich rasant zu verbreiten Dah
333. eutschem Recht nur aus allgemeinen Pflichten zu weshalb der europ ische Richtlinienvorschlag diese allgemeinen Sorgfaltspflichten konkretisieren w rde Allerdings steht die Annahme des Vorschlags der Kommission weiterhin aus weshalb auch Art 39 des Richtlinienvorschlags zur Modernisierung der Pr ferrichtlinie gegenw rtig noch nicht zur Konkretisierung der Aufgaben des Auf sichtsrates herangezogen werden kann Es bleibt insofern vorerst bei der zu 91 Abs 2 AktG dargelegten Gesetzesauslegung c Rechtsfolgen Bei Versto gegen die Pflichten aus 91 Abs 2 AktG greift zum einen die bereits er w hnte gesamtschuldnerische Haftung der Vorstandsmitglieder gem 93 Abs 2 S 1 AktG ein Sorgen die einzelnen Vorstandsmitglieder nicht f r die Einrichtung eines Risk Managements das auch die IT Risiken umfasst kann eine entsprechende Haf tung auf Schadensersatz gegen ber der Gesellschaft sie pers nlich treffen gem 93 I AktG Eine pers nliche Haftung gegen ber Dritten ist jedoch selbst unter Zugrundele 646 647 gung der Rechtsprechung eher die Ausnahme Zudem kann ein wichtiger Grund zur Abberufung und fristlosen K ndigung vorliegen Maul Lanfermann BB 2004 1861 1865 Maul Lanfermann BB 2004 1861 1866 Schultze Melling CR 2005 73 76 Roth Schneider ITRB 2005 19 19 BGHZ 109 297 302 VI Zivilsenat NJW 1990 976 Baustoff II JZ 1990 486 m Anm Wagner zust Br ggemeier Ac
334. f Schneider Handbuch des EDV Rechts Kap B Rn 490 Prof Dr Gerald Spindler 172 416 417 418 s tzlich ein solches erforderlich Neben der Analyse der Sensitivit t der Daten im Rahmen des 9 Satz 2 BDSG werden die konkreten Risiken beleuchtet sowie deren 768 Hierbei k nnen formalisierte Methoden und Do Minimierung oder Ausschaltung kumente wie das IT Grundschutzhandbuch des BSI angewandt werden Zur Erstel lung des Sicherheitskonzepts geh rt jedenfalls auch die entsprechende Dokumentation bereits im Rahmen der Planung i Datensicherung Backup Bereits aus der Anforderung der Verf gbarkeitskontrolle ergibt sich dass eine bestimm te Form der Datensicherung in Form von Kopien Backup oder hnlich zu erfolgen hat was von der zivilrechtlichen Rechtsprechung als Selbstverst ndlichkeit bezeichnet wird Hierbei kann eine regelm ige Sicherung auf externen Datentr gern Sicherun gen auf anderen Rechnern oder auch die jederzeitige Verdopplung von Daten sog RAID Systeme verwendet werden Grunds tzlich empfiehlt sich insbesondere bei hochsensitiven Daten eine Kombination dieser Methoden iv Erkennung und Abwehr externer Angriffe Insbesondere die unter den Begriffen Zugangs Zugriffs und Weitergabekontrolle erfassten Sicherungsma nahmen k nnen bei Angriffen von au en relevant sein Danach soll gew hrleistet werden dass Dritte nicht auf Daten zugreifen di
335. f M nchKommBGB Wagner 823 BGB Rn 608 Staudinger Hager 823 BGB Rn F 43 BGH NJW 1968 247 ff MinchKommBGB Wagner 823 BGB Rn 609 Vgl BGH DB 1999 891 891 OLG Frankfurt NJW RR 1999 27 30 Vgl die in BGHZ 80 186 195 ff s auch BGHZ 116 69 72 f aufgestellten Grunds tze wonach ab Inverkehrgabe der Gesch digte die Verletzung der Pflicht zu beweisen hat Pr tting in Produktverant wortung und Risikoakzeptanz S 49 52 krit demgegen ber Foerste in v Westphalen ProdHaftHdb 30 Rn 89 M nchKommBGB Wagner 823 BGB Rn 611 Tiedtke in FS Gernhuber S 471 480 Prof Dr Gerald Spindler 77 172 173 174 348 349 350 351 352 353 Produktes kann nicht bertragen werden Denn diese Pflicht beschr nkt sich auf diejenigen Produkte deren erhebliche Risiken f r den Verbraucher in der Herstellung geradezu angelegt sind und deren Beherrschung deshalb einen Schwerpunkt des Produktionsvorganges darstellt so dass ber die bliche Warenendkontrolle hinaus besondere Befunderhebungen des Herstellers erforderlich sind Gerade daran fehlt es aber bei den stets identischen Produkten im Bereich des Softwarevertriebs Die Beweislast f r die Kausalit t des Produktfehlers bzw der Verkehrspflichtverlet zung des Herstellers f r die eingetretene Rechtsgutsverletzung tr gt der Gesch digte Eine Beweislastumkehr greift ferner grunds tzlich nicht ein Der Gesch digte m
336. f Malzer CR 1989 991 992 Dies wird von v Westphalen Langheid Streitz Rz 829 f zu wenig ber cksichtigt Zutr Foerste in v Westphalen ProdHaftHdb 24 Rn 298 H lzlwimmer Produkthaftungsrechtliche Risiken des Technologietransfers durch Lizenzvertr ge S 40 v Bar in Produktverantwortung und Ri sikoakzeptanz S 29 40 Staudinger Hager 823 BGB F Rn 21 aA LG Frankfurt NJW 1977 1108 L we DAR 1978 288 290 Dietrich Produktbeobachtungspflicht und Schadenverh tungspflicht der Produzenten S 121 f Produktbeobachtungspflicht endet sp testens nach 10 Jahren diff Pauli PHi 1985 134 139 der von einem sp teren Wiederaufleben der Produktbeobachtungspflicht bei Sch den ausgeht Prof Dr Gerald Spindler 62 135 136 137 265 266 267 268 269 270 Indes ist mit der Produktbeobachtungspflicht nicht der Support Patches zu ver wechseln Denn selbst eine l nger wirkende Produktbeobachtungspflicht besagt bei l teren Softwareprodukten nichts dar ber zu welchen Ma nahmen der Hersteller gehal ten ist hier k nnte etwa eine allgemeine Warnung vor Sicherheitsl cken gen gen v Produktbeobachtung f r Fremdsoftware Die Produktbeobachtungspflicht erstreckt sich nach der Rechtsprechung auch auf Ge fahren die durch die Kombination des eigenen mit fremden Produkten insbesondere mit auf dem Markt angebotenen Zubeh rteilen entstehen k nnen Die Produktbeo bachtungspflic
337. f r Inhalte betreffen nicht aber die Haftung f r die Funktionst chtigkeit und die Sicherheit der vom Service Provider angebotenen Diens 1222 te Hier muss differenziert werden 661 Wird die Datei eines Nutzers durch einen Virus infiziert der sich in einer Datei bzw Information befand die ein Dritter auf den Rechnern des Providers abgespeichert hat findet 10 TMG im Prinzip Anwendung sofern es sich bei dem Dritten wiederum um einen Nutzer handelt der berechtigterweise auf den Rechnern des Providers Dateien speichern durfte Handelt es sich dagegen um einen Hacker der sich unberechtigter weise Zugang zu den Rechnern des Providers verschafft hat kann 10 TMG nicht ein greifen da 10 TMG nicht generell jede Verkehrssicherungsma nahme des Providers ausschalten will Im Falle von Access Providern greift dagegen 8 TMG ein wenn der Virus sich in einer weitergeleiteten Datei befand nicht dagegen wenn der Hacker sich Zugang zu dem System des Providers verschafft hat Werden die Daten und Infor mationen daher erst beim Intermedi r schadhaft so kann ihn grunds tzlich eine Haftung 1223 aus der Verletzung von Sicherungspflichten treffen Es greifen die allgemeinen Haf tungsnormen ein sei es Vertrags oder Deliktsrecht ma Ungeachtet der Haftungsprivi legierungen werden jedoch aufgrund der oftmals vorhandenen vertraglichen Beziehun gen ber die deliktisch gesch tzten Rechtsg ter hinaus auch Verm genssch
338. f Mindeststandards kein Zwangstatbestand vor vgl Marburger in FS Lukes 97 100 BGH NJW RR 1990 406 f dazu Kullmann NJW 1991 675 678 f S Rn 145 ff Dies ist die Kernaussage der unten Fn 160 erw hnten Lehre vom cheapest cost avoider Prof Dr Gerald Spindler 18 20 43 44 45 46 47 schulden gem 254 BGB verschwimmt Vielmehr muss die Pr fung eindeutig erge ben dass der Dritte ohne gro en Aufwand die Verletzung vollst ndig vermeiden kann w hrend dem Pflichtigen selbst mit hohen Kosten die vollst ndige Gefahrenbeherr schung nicht m glich ist So hat die Rechtsprechung anerkannt dass der Verkehrs pflichtige darauf vertrauen kann dass bei einer Gefahr die mit H nden zu greifen ist und der ohne weiteres ausgewichen werden kann der Betroffene diese erkennt und sich selbst sch tzt Bei jedermann erkennbaren und bekannten Gefahren muss auf diese nicht besonders hingewiesen oder vor ihnen gesch tzt werden Erst recht sind Siche rungspflichten nicht gegen ber denjenigen angebracht die gerade selbst zur Gefahren kontrolle oder beseitigung bestellt oder beauftragt wurden Die vorstehend genannten Kriterien sind zwar auf den ersten Blick allein auf die Pro dukthaftung zugeschnitten bei n herer Analyse wird jedoch deutlich dass sie verall gemeinerungsf hige Aussagen enthalten die auf das Ausma und die Kontrolle einer Gefahrenquelle die bedrohten Rechtsg ter die Zumutbar
339. f einen bestimmten Ablauf als ma geblich f r den Eintritt eines bestimmten Erfolgs Borges NJW 2005 3313 3316 Karper DuD 2006 215 218 f Kunst MMR Beilage 9 2001 23 25 Recknagel Vertrag und Haftung beim Internet Banking S 149 ff Werner MMR 1998 232 235 Bock in Br utigam Leupold Kap VII Rn 83 Neumann Bock Zahlungsverkehr im Internet Rn 180 K mpel Bank und Kapitalmarktrecht 4 752 Werner in Hellner Steuer Band 6 19 84 Werner in Schwarz Peschel Mehner Recht des Internet Teil 2 Kap 2 A Rn 24 f Borges in Derle der Knops Bamberger Handbuch zum deutschen und europ ischen Bankrecht 8 Rn 79 einschr nkend Wiesgickl WM 2000 1039 1050 Das LG Bonn begr ndet seine Ablehnung des Anscheinsbeweises bei Internet Auktionen jedoch aus dr cklich auch mit dem Unterschied zwischen dem blo en Passwortschutz und der Verwendung von PIN und TAN s MMR 2004 179 181 Gegen einen Umkehrschluss zu 292a ZPO jetzt 371a Abs 1 Satz 2 ZPO nF im Zusammenhang mit Internet Auktionen auch Mankowski CR 2003 44 47 Ernst Vertragsgestaltung im Internet Rn 28 Stockhausen WM 2001 605 618 Wiesgickl WM 2000 1039 1050 Bock in Br utigam Leupold Kap VII Rn 84 Recknagel Vertrag und Haftung beim Internet Banking S 150 BGH NJW 2004 3623 ec Karte BGH NJW 2001 1140 1141 BGH NJW 1987 2876 Musielak Foerste 286 ZPO Rn 23 Prof Dr Gerald Spindler 235 560 561 562
340. fenden Vertragspflichten nach 280 Abs 1 241 Abs 2 BGB eine Schadensersatzhaftung gegen ber dem Kunden begr nden zum anderen beeinflussen die Sorgfaltsanforderungen der Bank quasi spiegelbildlich die Obliegenheiten der Bank im Rahmen der Pr fung des Mitverschuldens 254 BGB dazu unten Rn 548 989 S etwa f r den vergleichbaren Fall der gemeinsamen Aufbewahrung von ec Karte und Scheckvordrucken in einem im B ro aufgeh ngten Jackett AG Hannover WM 1996 2013 f s auch LG K ln NIJW RR 2001 1340 1341 Prof Dr Gerald Spindler 213 a Technische Sicherheit 509 Die Bank unterliegt beim Online Banking den f r ein Unternehmen blichen Sorgfalts 510 anforderungen Die allgemeinen Organisationspflichten im IT Bereich ergeben sich hierbei aus 25a KWG oben Rn 435 ff Als grundlegende Pflicht obliegt der Bank die Bereitstellung eines technisch sicheren Online Banking Systems Das System muss danach einerseits Schutz vor gegen die Bank selbst gerichteten Angriffen bieten Genauso hat die Bank durch die technische Gestaltung des Online Banking Verfahrens aber auch die technischen Voraussetzungen f r eine sichere Benutzung des Online Banking durch den Kunden zu schaffen und soweit technisch m glich Missbr uchen durch Dritte bereits auf technischer Ebene zu begegnen Schlie lich ist durch regelm Bige berpr fungen die Sicherheit des Systems auch w hrend des Betriebs zu gew hr
341. ffen da die Vertr ge v llig unterschiedliche Leis tungsinhalte haben und damit auch unterschiedlichen gesetzlichen Leitbilder folgen k nnen etwa das Webhosting dem Mietvertrag 1226 oder das Access Providing dem Dienstvertrag Dar ber hinaus k nnen Leistungsbeschreibungen in den AGB der IT Intermedi re ebenso eine Rolle spielen wie die Anwendbarkeit des TKG Weitestgehend gemein ist jedoch allen Vertragstypen dass sie Schutzpflichten f r den Vertragspartner als Nebenpflichten vorsehen Diese k nnen auch nur in sehr einge schr nktem Ma e durch Allgemeine Gesch ftsbedingungen ausgeschlossen werden da sie oftmals zwar selbst keine Hauptleistungspflicht darstellen aber f r die Erbringung der Hauptleistung des Vertrages doch so wesentlich sind dass sie als sog Kardinal pflichten bezeichnet werden k nnen Anders formuliert n tzt dem Kunden die Erbrin gung einer Speicherleistung nichts wenn der entsprechende Server in keinster Weise gegen ber unbefugten Zugriffen Dritter gesch tzt ist Derartige Kardinalpflichten sind indes gem 307 Abs 2 Nr 2 BGB freizeichnungsfest Dieser Pflichtenkanon ist h ufig weitgehend hnlich den deliktischen Sicherungspflichten wenngleich er auch nicht an bestimmte Rechtsgutsverletzungen allein ankn pft Hinzu k nnen im Einzelfall Pflichten zur Information ber Gefahren oder Abwehr der Gefahren kommen Des Wei teren kann als Nebenpflicht auch die Sicher
342. ffsszenarien Nicht gegen alle kann sich der Nutzer effektiv wehren Die Gef hrlichsten sind jedoch durchaus mit den entsprechenden Ma nahmen abwendbar IV Abgrenzung der Verantwortlichkeitssph ren Hersteller Nutzer Intermedi re Dienstleister Mit dem erforderlichen Ma des Eigenschutzes im Bereich der Verkehrssicherungs pflichten ist bereits eine Hauptaufgabe der Rechtsordnung im Bereich der Gew hrleis tung von Sicherheit ob im IT Sektor oder in anderen Bereichen angesprochen Die 153 154 155 156 157 158 Schulz in Bigdoli Handbook of Information Security Volume 3 S 215 Schulz in Bigdoli Handbook of Information Security Volume 3 S 215 Tanenbaum Computer Net works S 778 Tanenbaum Computer Networks S 778 779 Schulz in Bigdoli Handbook of Information Security Volume 3 S 215 weitere pr ventive und reaktive Ma nahmen finden sich auf den S 214 ff Kurose Ross Computer Networking S 649 Schulz in Bigdoli Handbook of Information Security Volume 3 S 207 Prof Dr Gerald Spindler 42 Verteilung der sicherheitsnotwendigen Anforderungen auf bestimmte Risikosph ren Potenzielle Normadressaten sind dabei drei Gruppen von Personen die mit Informati onstechnik in Ber hrung kommen Die Hersteller von IT Produkten die Nutzer dieser Produkte sowie die Gruppe der IT Intermedi re die eine Zwischenstellung einneh men da sie sowohl selbst Nutzer von IT Produk
343. ftHdb v Westphalen Friedrich Langheid Theo Streitz Siegfried Der Jahr 2000 Fehler Haftung und Versi cherung K ln 2001 zitiert Bearbeiter in v Westphalen Langheid Streitz Der Jahr 2000 Fehler v Wulffen Matthias SGB X Kommentar 5 Auflage M nchen 2005 zitiert v Wulffen Bearbeiter Vo bein Reinhard Datenschutzauditierung Prof Dr Gerald Spindler LXIV in DuD 2003 92 97 Wagner Christoph Lerch Janusz Alexander Mandatsgeheimnis im Internet in NJW CoR 1996 380 385 Wagner Gerd Rainer Janzen Henrik Umwelt Auditing als Teil des betriebli chen Umwelt und Risikomanage ments in BFuP 1994 573 604 Wagner Gerhard Das neue Produktsicherheitsgesetz f fentlich rechtliche Produktverant wortung und zivilrechtliche Folgen Teil ID in BB 1997 2541 2546 Wagner Gerhard ffentlich rechtliche Genehmigung und zivilrechtliche Rechtswidrigkeit K ln 1989 Waldenberger Arthur Grenzen des Verbraucherschutzes beim Abschluss von Vertr gen im Inter net in BB 1996 2365 2371 Wandt Manfred Internationale Produkthaftung Heidelberg 1995 Weber Rolf Informatik und das Jahr 2000 Risiken und Vorsorgem glichkeiten aus rechtli cher Sicht Z rich 1998 Wendehorst Christiane Das Vertragsrecht der Dienstleistungen im deutschen und k nftigen europ i schen R
344. ftlichen Aufwand in Relation zu setzen ist Hier lassen sich Parallelen zum Recht der Anlagensicherheit aber auch zum Produkthaftungsrecht zie hen Der Hersteller eines Produkts haftet zwar nicht f r im Zeitpunkt des Inver kehrbringens nach dem Stand von Wissenschaft und Technik nicht erkennbare Fehler Entwicklungsfehler doch ist er verpflichtet seine k nftige Produktion auf die neu auf getretene Gefahrenlage einzustellen Diese Wertung ist auf die Bank als IT Dienstleister bertragbar so dass sie zur Behebung von Sicherheitsl cken ihres Systems bzw Umstellung des Online Banking Sicherungsverfahrens verpflichtet ist wenn sich herausstellt dass das verwendete PIN TAN Verfahren nach geltendem Stand der Technik nicht mehr sicher ist Man wird der Bank f r die Umstellung ihrer Systeme aber eine bergangszeit einr umen m ssen Gegenw rtig d rfte aufgrund der Erfahrungen mit Phishing und Pharming davon auszu gehen sein dass ein konventionelles PIN TAN Verfahren nicht mehr dem Stand der Technik entspricht da es f r Angriffe Dritter aus dem Netz insbesondere durch Schadprogramme die den PC unbemerkt kontrollieren eine erh hte Anf lligkeit auf 1001 weist Die f r Btx wohl noch g ltige Annahme dass die TAN Sicherheit ver spricht da sie zwar ausgesp ht werden kann aber schon w hrend des Aussp hens ver braucht ist hilft nicht weiter Denn die TAN die eingesetzt wird gelangt in den ob
345. ftragter noch als Unternehmensbeauftragter einzuordnen ist was be deutet dass GmbH amp Co KG OHG und AG nicht f r jeden ihrer Betriebe einen ge sonderten Datenschutzbeauftragten bestellen m ssen sondern nur f r jede rechtlich selbstst ndige Einheit Sofern der Datenschutzbeauftragte nicht selbst fahrl ssig oder vors tzlich seinen Pflich ten nicht nachgekommen ist ist vertragsrechtlich nicht er sondern der Rechtstr ger des Unternehmens verantwortlich Der Datenschutzbeauftragte haftet somit grunds tzlich nicht pers nlich sondern ist nur intern verantwortlich gegen ber der nach au en ver 785 pflichteten Stelle Denkbar sind Schadensersatzanspr che der verantwortlichen Stelle gegen den Datenschutzbeauftragten bei Pflichtverletzungen Eine Haftung nach 823 Abs 1 oder Abs 2 BGB i V m den 4f g BDSG gegen ber Dritten dagegen kommt grds nicht in Betracht da der Beauftragte selbst keine Ma nahmen durchf hren und veranlassen kann weil er weder Entscheidungs noch Anordnungsbefugnisse besitzt und sich weiter der sch tzenswerte Personenkreis nicht derart abgrenzen l sst wie es f r ein Schutzgesetz nach 823 Abs 2 BGB erforderlich ist Eine Haftung des Da tenschutzbeauftragten selbst nach Handbuch Datenschutzrecht 823 BGB w re daher nur denkbar wenn die verantwortliche Stelle ihm derartige Kompetenzen zum Treffen von Ma nahmen erteilt h tte so das eine pers nliche Haftung des
346. g der PIN TAN Sicherungsverfahren sei nur mit unvertretbarem Aufwand m glich und liege daher au erhalb jeder Wahr scheinlichkeit heute zumindest f r Systeme ohne Medienbruch Rn 512 als obsolet angesehen werden Wie oben beschrieben Rn 512 liegt der Nachteil dieser PIN TAN Verfahren in der M glichkeit PIN und TAN auf rein elektronischem Wege im Zweifel damit auch aus dem weit entfernten Ausland beispielsweise durch Trojaner auszusp hen F r die unberechtigte Nutzung von Nutzer Accounts bei Internet Auktionen stellte das LG Konstanz auf der Grundlage eines Sachverst ndigengutachtens fest das Aussp hen des Passworts durch Trojaner usw sei eine reale Gefahr Die vielf ltigen Manipu lationsm glichkeiten im Internet lie en damit keinen sicheren R ckschluss auf die Per son des Erkl renden zu Das OLG K ln verneinte f r Internet Auktionen trotz der Schwierigkeiten bei der Entschl sselung des Passworts den f r die Annahme eines An scheinsbeweises typischen Geschehensablauf weil ein Missbrauch auch ohne vorherige Entschl sselung des Passwortes durch blo es Aussp hen m glich sei 1 LG Konstanz MMR 2002 835 dazu auch Winter MMR 2002 836 LG Konstanz MMR 2002 835 Das OLG K ln MMR 2002 813 814 f hrt hierzu aus Auf die vom Kl dargestellten Probleme einer Entschl sselung des Passworts kommt es in diesem Zusammenhang nicht an Ein Missbrauch setzt n mlich eine vorherige Entsc
347. g des Einsatzes Behnke Sch ffter DSB 2002 Heft 7 8 10 Ebenso anonymus VW 2002 1050 zur Komplexit t solcher Systeme und der Anforderungen BSI IT Grundschutzhandbuch 2005 M 5 71 Als Open Source Projekt existiert z B Snort abrufbar unter http www snort org Prof Dr Gerald Spindler 167 397 398 399 400 401 402 doch tiefe Kenntnisse von Netzwerken und Netzwerkverkehr weshalb regelm ig Ex perten notwendig sind Tritt ein Angriff auf z B dadurch dass ein Virus oder Wurm einen Teil des Systems befallen hat so kann das Programm einen entsprechenden Alarm ausl sen In der Folge kann die Weiterverbreitung verhindert werden Ein Gro teil der Gefahren kann aller dings schon durch den Einsatz von Firewalls und Virenscanner abgewehrt werden Intrusion Detection Systeme sind folglich nachgelagert und dienen der Erkennung falls die prim ren Abwehrmechanismen versagt haben Der hohe Aufwand rechtfertigt den Einsatz nur in Unternehmen mit gr eren Netzwer 742 ken und entsprechendem Know how Eine generelle Pflicht zum Einsatz solcher Sys teme besteht nicht PD Malware Entfernungsprogramme Es besteht weiter die Frage ob nicht nur Abwehr sondern auch Vorsorgema nahmen im Sinne einer best ndigen Beobachtung bzw berpr fung durch den Nutzer verlangt werden k nnen So k nnen Malware Entfernungsprogramme zur Erkennung und teil weise auch zur Abwehr von Programmen dienen die trotz de
348. gativ abgegrenzt alle diejenigen gelten die nicht privater Nutzer sind wobei auch hier eine rollenspezifische bzw funktionale Betrachtungsweise ma geblich ist F r bestimmte Bereiche existieren ausdr ckliche Regelungen bzw Re gelungen die die IT Nutzung unter Auslegung der Norm erfassen k nnten Hinzu k n nen deliktische Anspr che bei Nichtergreifung der geregelten Pflichten kommen sofern sie als Schutzgesetz 1 S d 823 Abs 2 BGB einzuordnen sind Weiter k nnen auch im Rahmen der Haftung nach 823 Abs 1 BGB bei kommerziellen Nutzern allgemeine Verkehrssicherungspflichten bestehen wobei sich der Pflichtenma stab von demjeni gen bei privaten IT Nutzern durchaus unterscheiden kann Diese Pflichten gelten wie derum spiegelbildlich im Bereich der nach 254 BGB den kommerziellen IT Nutzern abzuverlangenden Selbstschutzpflichten die oftmals im Bereich der Organisation be sonders konkretisiert sind 2 Gefahrenpotential und Gegenma nahmen 332 In der Regel liegen bei kommerziellen Nutzern unternehmenswichtige Daten vor die entweder den Betrieb selbst bzw dessen Organisation oder Umst nde der Beziehungen zu den Kunden betreffen Verlust oder Manipulation dieser Daten k nnen demnach auch das gesamte Unternehmen bedrohen Hinzu kommt dass mit der zunehmenden Vernetzung gerade in gr eren Unternehmen viele Akteure die Kommunikation bestimmen Die Angriffsfl che ist damit h ufig gr er als bei einzelnen Privaten Dem ents
349. geboten wenn besonde re Gefahrenpotentiale vorliegen die in diesem Abschnitt beschrieben werden Dies be inhaltet eine Absch tzung des Risikos eines Gefahrenpotentials und der m glichen Ge genma nahmen jedoch keine rechtliche Bewertung Der Schwerpunkt wird nachfolgend auf Szenarien gelegt bei denen Angreifer das Ziel verfolgen fremde Systeme unter ihre Kontrolle zu bringen um mit diesen kompromit tierten Systemen wiederum Angriffe gegen Dritte durchzuf hren Vergleichbare Szena Datensicherheit in Industrie und Wirtschaft S amp S International GmbH uti maco GmbH 1994 Singh in Bidgoli Handbook of Information Security Volume 1 S 28 Zur Funktionsweise Radia Perlman in Bidgoli Handbook of Information Security Volume 1 S 852 ff und Bradley S Rubin in Bidgoli Handbook of Information Security Volume 2 S 548 ff Singh in Bidgoli Handbook of Information Security Volume 1 S 28 Verordnung EG Nr 460 2004 des Europ ischen Parlaments und des Rates vom 10 M rz 2004 zur Er richtung der Europ ischen Agentur f r Netz und Informationssicherheit Abl L 77 13 3 2004 Holzna gel Recht der IT Sicherheit S 11 Eckert IT Sicherheit S 5 Prof Dr Gerald Spindler 30 58 59 95 96 97 98 99 100 101 102 103 104 rien bzw Schadensf lle lassen sich f r zahlreiche andere L nder nachweisen etwa f r sterreich 1 Angriffe gegen Einzelsysteme a Systeme unter Kontrolle des
350. geltlicher berlassung von Software scheidet eine verschuldensu nabh ngige Haftung folglich von vornherein aus Dies betrifft zum einen Freeware und frei zug ngliche Open Source Software welche von Programmieren in ihrer Freizeit Hoeren in v Westphalen Vertragsrecht und AGB Klauselwerke IT Vertr ge Rn 95 Tasch ner Frietsch 2 ProdHaftG Rn 33 Larenz Canaris 84 I 1 c S 647 Koch Versicherbarkeit von IT Risiken Rn 609 Larenz Canaris 84 I 1 c S 647 Dazu auch Koch Versicherbarkeit von IT Risiken Rn 614 637 Palandt Sprau 3 ProdHaftG Rn 2 ff M nchKommBGB Wagner 3 ProdHaftG Rn 29 Prof Dr Gerald Spindler 91 201 erstellt und im Internet zum kostenlosen Download bereitgestellt wird Dagegen fin det das ProdHaftG auf Shareware Anwendung da damit zumindest mittelbar ein wirt schaftlicher Zweck verfolgt wird Gem 1 II Nr 5 ProdHaftG wird nach dem Pro dukthaftungsgesetz zudem nicht f r Fehler gehaftet die nach dem Stand von Wissen schaft und Technik vom Hersteller nicht erkannt werden konnten als der das Produkt in Verkehr brachte Entwicklungsfehler Demgem kann bei objektiv bei Inverkehr gabe nicht erkennbaren Programmierungsfehlern keine Haftung eingreifen so dass an gesichts der wohl nicht zu erreichenden Fehlerlosigkeit bei Software von vornherein ei ne Reihe von Softwarefehlern nicht zur Haftung f hren Anders als nach Deliktsrecht besteht nach dem ProdHaf
351. gemeinheit treffen werden auch ffentlich rechtliche Pflichten meist an bestimmte Mindestkriterien gekn pft Hier kann als qualifizierendes Merkmal z B das Vorliegen eines gewerblichen Handelns oder aber wie im Datenschutz die Verarbeitung von Daten ber den pers nlichen oder famili ren Bereich hinaus in Betracht kommen was im Ergebnis fast immer nur bei kommerziellen Nutzern der Fall sein wird 2 Die Abgrenzung der IT Nutzung Definition Zun chst ist zu kl ren wer als privater Nutzer anzusehen ist Als normative Ankn p fungspunkte hierf r k nnten zun chst 13 14 BGB dienen aber auch europarechtli che Vorgaben sowie Regelungen des Produkthaftungsrechts Diese Differenzierungen beanspruchen auch f r das ffentliche Recht G ltigkeit sofern dieses zwischen privaten und gewerblichen Abnehmern unterscheidet auch wenn grunds tzlich die eigenst ndi 526 527 Objektiver Ma stab hM Bamberger Roth Unberath 254 BGB Rn 10 M nchKommBGB Oerker 254 BGB Rn 35 Palandt Heinrichs 254 BGB Rn 8 Erman Kuckuk 254 BGB Rn 24 Looschel ders Schuldrecht AT Rn 1023 S dazu n her unten Rn 404 ff Prof Dr Gerald Spindler 114 264 265 266 528 529 gen Definitionen der jeweiligen ffentlich rechtlichen Norm zu ber cksichtigen sind Bereits hier wird die oben Rn 259 angesprochene Doppelfunktion deutlich a Privater Nutzer Verbraucher und Unternehmer 13 14 BGB regeln
352. gen bzw Telefonleitungen auch hohe Kosten verursachen k nnen Aus diesem Grunde sind auch gr ere Systemup dates durchaus wirtschaftlich zumutbar Allerdings kann sich hier im Einzelfall durch aus eine Unzumutbarkeit ergeben etwa wenn die Updates von Programmen derart um fangreich sind dass sie mit einer zu dem entsprechenden Zeitpunkt verkehrs blichen 585 586 587 588 Zu sog Root Kits die eben diese Techniken verwenden K hnhauser DuD 2003 218 f Zu automatisierten Software Updates Probst DuD 2003 508 hnl Probst DuD 2003 508 Im Bereich der Endanwender kann die Automatisierung dass die aus Unwissenheit unterbliebene Systemwartung berhaupt erfolgt Als Beispiel habe ein Update eine Gr e von ca 50 MB der Nutzer hat ein normales Modem und ber tr gt damit ca 5 KByte s wobei er bei seinem Internetprovider 3 Cent min bezahlt Die bertragung wird ca 3 Stunden ben tigen und damit ca 5 kosten Prof Dr Gerald Spindler 130 306 307 308 309 Datenverbindung nicht zu bew ltigen sind wie dies etwa noch f r den Service Pack 2 f r das Betriebssystem Windows XP der Fall war Im Ergebnis wird man unter Einbeziehung der durch ungesichterte private Rechner dro henden Sch den Multiplikatorwirkung zumindest die Zumutbarkeit von wichtigen System und Programmupdates bejahen m ssen die automatisiert oder halb automatisch also durch einen im System vera
353. gramme v 08 05 1989 ABl EG Nr C 114 S 42 Daf r Spindler Kl hn VersR 2003 410 412 Spindler MMR 1998 119 121 Wagner NJW 1996 2899 2904 Taeger CR 1996 257 261 Sodtalbers Softwarehaftung im Internet Rn 164 ff Koch Versicherbarkeit von IT Risiken Rn 607 Mankowski in Ernst Hacker Cracker amp Computerviren Rn 441 v Westphalen in v Westphalen ProdHaftHdb 73 Rn 40 M nchKommBGB Wagner 2 ProdHaftG Rn 16 dagegen Erman Schiemann 2 ProdHaftG Rn 2 Staudinger Oechler 2 ProdHaftG Rn 65 69a Taschner Frietsch 2 ProdHaftG Rn 22 So etwa v Westphalen in v Westphalen ProdHaftHdb 73 Rn 40 f r online bertragene Software H ckelmann Die Produkthaftung f r Verlagserzeugnisse S 141 ff f r online bertragene Verlagser zeugnisse f r eine Analogie zur Elektrizit t Meyer ZUM 1997 26 28 33 Wagner NJW 1996 2899 2900 Spindler in Spindler Rechtsfragen bei Open Source Kap E Rn 11 Spindler MMR 1998 119 120 Taschner Frietsch 2 ProdHaftG Rn 22 Staudinger Oechsler 2 ProdHaftG Rn 12 67 Taschner Frietsch 2 ProdHaftG Rn 17 Kullmann Pfister Kullmann Kz 3603 S 1 Palandt Sprau 2 ProdHaftG Rn 1 Staudinger Oechsler 2 ProdHaftG Rn 11 Prof Dr Gerald Spindler 87 weis auf die fehlende gegenst ndliche Verk rperung auf einem Datentr ger Diese Argumentation greift indessen zu kurz Im Hinblick auf den verbrauchersch tzende
354. gsgrundlagen beruhendes unternehmerisches Handeln bewegen muss deutlich berschritten sind die Bereitschaft unternehmerische Risiken einzugehen in unverant wortlicher Weise berspannt worden ist oder das Verhalten des Vorstandes aus anderen Gr nden als pflichtwidrig gelten muss Als Anhaltspunkte f r die Erforschung der Gefahren im Unternehmen k nnen die fol genden Punkte dienen die Bedeutung des EDV Systems f r die Gesch ftst tigkeit des Unternehmens die Beschaffenheit und Stabilit t der eingesetzten EDV Systeme die Komplexit t der Gesch ftsprozesse die Abh ngigkeit der Funktionsf higkeit der EDV Systeme von Dritten Software Lieferanten die Gef hrdung der Gesch ftsabl ufe durch den Ausfall einzelner Softwarekomponenten bis hin zum Ausfall des kompletten IT Systems mit der Aufteilung in Steuerungs und Datenverarbeitungs software sowie Hardware die Abh ngigkeit des Gesch ftsbetriebs von EDV Dienstleistern im Falle ausgelagerter Systeme Terlau CR 1999 284 286 Streitz in v Westphalen Langheit Streitz Jahr 2000 Fehler Rn 238 ff BGH ZIP 1997 883 885 Prof Dr Gerald Spindler 147 346 347 348 654 655 656 657 die Abh ngigkeit des Gesch ftsbetriebs von der Ordnungsm igkeit des Gesch ftsbetriebes Dritter Zulieferer Kunden etc Insbesondere in Bereichen sogenannter kritischer Infrastrukturen wie Verkehr Lo gistik Gesundheit Finanzbereichen um nur
355. gsvertr ge Rn 1306 Spind ler in Spindler Rechtsfragen bei Open Source Kap E Rn 15 Koch Versicherbarkeit von IT Risiken Rn 611 v Westphalen in v Westphalen ProdHaftHdb 72 Rn 56 Marly Software berlassungsvertr ge Rn 1306 Marly Software berlassungsvertr ge Rn 1310 Palandt Sprau 3 ProdHaftG Rn 12 M nch KommBGB Wagner 3 ProdHaftG Rn 36 1 ProdHaftG Rn 61 Palandt Sprau 1 ProdHaftG Rn 9 25 M nchKommBGB Wagner 1 ProdHaftG Rn 76 ff Bamber ger Roth Spindler 823 Rn 552 ferner OLG D sseldorf NIW RR 1997 1344 1345 OGH 6 Ob 157 98a Dabei handelte es sich um den Zeichengenehmigungsausweis der VDE Pr fstelle Verband Deutscher Prof Dr Gerald Spindler 22 202 203 den Verweis auf die Einhaltung relevanter Normen und Standards ISO NORM etc umfassen f Rechtsfolgen Der Umfang des zu ersetzenden Schadens richtet sich im Ausgangspunkt nach den 249 ff BGB Zu ersetzen sind hierbei entgegen einer in der Literatur vertretenen 444 Hierbei bestehen gegen ber dem Deliktsrecht je Meinung auch Sachfolgesch den doch zwei wichtige Einschr nkungen Bei Sachbesch digungen also auch Datensch den hat der Gesch digte einen Selbstbehalt von 500 selbst zu tragen 11 Prod HaftG Allgemein beschr nkt 10 Abs 1 ProdHaftG die Haftung auf einen H chstbe trag von 85 Millionen Im Einzelfall kommt eine K rzung des Schadensersatzan spruchs wegen
356. h Martin Produktbeobachtungspflicht und Schaden verh tungspflicht der Produzenten Frankfurt M 1994 D rner Heinrich Rechtsgesch fte im Internet in AcP 202 2002 363 396 Dornseif Maximillian Schumann Kay H Klein Christian Tats chliche und rechtliche Risiken draht loser Computernetzwerke in DuD 2002 226 230 Dreier Thomas Schulze Gernot Urhebergesetz Kommentar 2 Aufl M n chen 2006 zitiert Dreier Schulze Bearbeiter Drygala Tim Drygala Anja Wer braucht ein Fr hwarnsystem in ZIP 2000 297 305 Dustmann Andreas Die privilegierten Provider Baden Baden 2001 Eckert Claudia IT Sicherheit Konzepte Verfahren Pro tokolle 4 Auflage M nchen 2006 Eder Klaus Die Autorit t des Rechts in Zeitschrift f r Rechtssoziologie 8 1987 193 230 Ehmann Eugen Helfrich Marcus EG Datenschutzrichtlinie Kurzkommentar K ln 1999 Ehmann Horst Informationsschutz und Informationsver kehr im Zivilrecht in AcP 1888 1988 230 380 Eidenm ller Horst Effizienz als Rechtsprinzip T bingen 2005 Elbel Thomas Die datenschutzrechtlichen Vorschriften f r Prof Dr Gerald Spindler XII Diensteanbieter im neuen Tele kommunikationsgesetz auf dem Pr fstand des europ ischen und deutschen Rechts Berlin 2005 Endres Alfred konomische Grundlagen de
357. h des Rechts am Eigentum Zudem werden urheberrechtlich oder andere immaterialg terrechtlich gesch tzte Wer ke die auch in Gestalt von Daten verk rpert sein k nnen ebenso wie Software glei cherma en nach den jeweiligen Spezialregelungen z B 97 UrhG gesch tzt Dar ber hinaus wird auch ein Recht am verk rperten Datenbestand als sonstiges Recht nach 823 Abs 1 BGB angenommen Dadurch soll der Schutz der Verf gbarkeit der Da ten auch bei ausgelagerten Daten gew hrleistet werden Erm glicht demnach eine Softwarel cke einen Virenbefall des Computers und werden gespeicherte Daten durch diesen Virus vernichtet liegt eine Eigentumsverletzung ge m 823 Abs 1 BGB vor Voraussetzung f r eine Eigentumsverletzung ist jedoch stets dass die Daten auf einem Datentr ger im Eigentum des Gesch digten gespeichert waren Die Ver nderung oder Vernichtung von Daten die auf dem Rechner eines Pro Sodtalbers Softwarehaftung im Internet Rn 513 ff 518 Taeger Au ervertragliche Softwarehaftung f r fehlerhafte Computerprogramme S 260 f Bamberger Roth Spindler 823 BGB Rn 69 OLG Karlsruhe NJW 1996 200 201 zust Meier Wehlau NJW 1998 1585 1587 ff Staudinger Hager 823 BGB Rn B 60 Imhof Wahl WpK Mitt 1998 136 137 Taeger Au ervertragliche Haf tung f r fehlerhafte Computerprogramme S 261 aA LG Konstanz NJW 1996 2662 AG Dachau NJW 2001 3488 BGHZ 76 216 220f NJW 1980 1518 O
358. h folglich nicht darauf verlassen eine Genehmigungs oder Zulassungsbeh rde werde etwaige M ngel aufdecken und dann die Genehmigung bzw Zulassung versagen Rechte Dritter werden durch ffentlich rechtliche Genehmigungen nur insoweit ausgeschlossen als verwaltungsrechtliche Fachgesetze S 8 Abs 2 Satz 3 4 GPSG f r das CE Kennzeichen und das GS Zeichen und unten Rn 253 ff Spindler Unternehmensorganisationspflichten S 833 Bamberger Roth Spindler 823 BGB Rn 253 490 Soergel Krause Anh II 823 BGB Rn 48 Anh III 823 BGB Rn 16 M nchKommBGB Wagner 823 BGB Rn 275 f Staudinger Hager 823 BGB E Rn 34 Laranz Canaris 76 II 4 f S 416 Foerste in v Westphalen ProdHaftHdb 24 Rn 94 Bamberger Roth Spindler 823 BGB Rn 490 Soergel Krause Anh II 823 BGB Rn 48 BGH NJW 1987 1009 1011 BGH NJW 1987 372 373 BGH NJW 1987 372 373 Kullmann Pfister Kullmann Kz 1520 S 5 Foerste v Westphalen Prod HaftHdB 24 Rn 94 Schmidt Salzer Produkthaftung IV1 Rn 4 761 BGH NJW 1987 372 373 BGH NJW 1987 1009 1011 Prof Dr Gerald Spindler 12 159 160 eine Pr klusion privater Rechte Dritter ausdr cklich anordnen z B 14 BImSchG 11 WHG Diese Grunds tze gelten erst Recht f r Pr fungen und Zertifizierungen durch den T V oder sonstige private Zertifizierungsunternehmen Insbesondere die Verleihung des GS Zeichens Gepr fte Sicherheit s 7 GPSG und
359. h nach der zeitiger Rechtslage die Frage ob die Bank vom Kunden die Erstattung des berwei sungsbetrages verlangen kann Als Anspruchsgrundlagen kommt ein Aufwendungser satzanspruch unten a oder ein Schadensersatzanspruch unten b in Betracht Eine verschuldensunabh ngige Haftung des Bankkunden aufgrund von AGB Klauseln kommt hingegen nicht in Betracht dazu unten c a Aufwendungsersatzanspruch der Bank i Vertragsschluss Ein Aufwendungsersatzanspruch der Bank gem 670 675 676a BGB auf Erstat tung des berwiesenen Betrages beruht auf vertraglicher Grundlage und setzt damit ei nen wirksam zustande gekommenen berweisungsvertrag zwischen dem Kunden und der Bank in Bezug auf die konkret ausgef hrte Transaktion voraus Gelingt einem An greifer aufgrund einer Phishing oder Pharming Attacke die Veranlassung einer ber weisung so kommt zwischen Kunde und Bank kein Vertragsschluss zustande Die Problematik liegt hierbei in der Praxis im Bereich der Beweislast Denn die Bank wird sich auf den Standpunkt stellen dass die Erkl rung welche aufgrund der Verwendung des einschl gige Legitimationsmediums z B PIN und TAN dem Kunden objektiv zuzurechnen ist auch tats chlich von diesem oder einem autorisierten Dritten stammt Verlangt die berweisende Bank nun vom Kunden Aufwendungsersatz steht sie wenn der Kunde den Vertragsschluss bestreitet vor dem Problem im Prozess die anspruchsbegr ndende Tatsac
360. han in Bigdoli Handbook of Information Security Volume 3 S 136 Prof Dr Gerald Spindler 35 13 74 75 76 123 124 125 126 127 liert doch auch bereits das Besuchen einer Website die den u U automatischen Download von bestimmter Software ben tigt um richtig angezeigt zu werden kann zur Infizierung gen gen 14 Die gesammelten Daten werden dann an einen Dritten meist den Anbieter des Programms weitergeleitet dieser kann die gesammelten Daten dann verkaufen oder mit anderen Datenbanken verschmelzen M gliche Gegenma nahmen Neben den bereits erw hnten Firewalls und Intrusion Detection Systemen IDS empfiehlt sich der Einsatz eines Anti Spyware Scanners sowie der Einsatz von Pop Up Blockern 126 Zudem sollte der Nutzer das sog Safe and Sane Browsing verfolgen in dem er bei der Installation von kostenfreien Program men vorsichtig agiert Einsch tzung des Gef hrdungspotenzials W hrend der Schaden der durch eine aku te Virusinfektion oder eine massive Wurmattacke ausgel st wurde offensichtlich ist kann eine durch einen Trojaner eingeschleuste oder auf anderem Wege installierte Spy ware Gesch ftsgeheimnisse an Dritte weiterleiten wodurch ebenfalls ein schwerwie gender Schaden entstehen kann 5 Unsichere Konfiguration Viele der oben erkl rten Angriffsm glichkeiten werden erst durch unsichere Konfigu ration von Computersystemen erm glicht Dies b
361. he Konkretisierung von Verkehrspflichten behandelt BGH VersR 2002 247 BGH NJW 2001 2019 2020 Reiff in Marburger Technische Regeln im Um welt und Technikrecht S 167 ff BGH NJW 1987 372 373 BGH NJW 1984 801 M nchKommBGB Mertens 3 Aufl 1997 823 BGB Rn 28 der allerdings in diesem Fall zum Wegfall des Verschuldensvorwurfs tendiert BGH NJW 1982 1049 K hler BB 1985 Beil Nr 4 10 10 f Marburger Die Regeln der Technik im Recht S 462 ff 466 Marburger VersR 1983 597 603 OGH 6 Ob 73 04Ak 3 Ob 547 95 6 Ob 157 98a So f r die ISO 9000 ff Heussen Schmidt CR 1995 321 328 Schlutz PHI 1996 122 123 135 Adams L hr QZ 36 1991 24 26 allgemeiner wohl auch Marburger AcP 192 1992 1 11 M llers Rechtsg terschutz im Umwelt und Haftungsrecht S 244 M llers DB 1996 1455 1460 f Cosack Umwelthaftung im faktischen GmbH Konzern S 61 vorsichtiger Ensthaler F ler Nuissl Juristische Aspekte des Qualit tsmanagements S 195 ISO 9004 grunds tzlich geeignet aber erg nzungsbed rftig generell f r die Einhaltung von technischen Regelwerken als Wahrung der erforderlichen Sorgfalt Mar burger VersR 1983 597 602 f v Westphalen DB 1987 Beil Nr 11 S 10 Gegen ein Entfallen des Verschuldensvorwurfs Reiff in Marburger Technische Regeln im Umwelt und Technikrecht S 168 Prof Dr Gerald Spindler 79 176 bestehen Jedenfalls hat die Rechtsprechung stets betont da
362. he Vertr glichkeit in 482 483 484 485 486 487 488 489 490 Wilrich Einl Rn 44 Eingehend Wilrich Einl Rn 44 ff Abgedeckt sind derzeit einfache Druckbeh lter Spielzeug Bauprodukte Maschinen pers nliche Schutzausr stung nicht selbstt tige Waagen aktive implantierbare medizinische Ger te Gas verbrauchseinrichtungen Warmwasserheizkessel Explosivstoffe f r zivile Zwecke Medizinprodukte Sportboote Aufz ge elektrische Haushaltsk hl und Gefrierger te Druckger te In vitro Diagnostika sowie Telekommunikationseinrichtungen und Satellitenfunkanlagen Dazu geh ren derzeit die Niederspannungsrichtlinie die Richtlinie zur elektromagnetischen Vertr glich keit und die Richtlinie bez glich Ger ten und Schutzsystemen in explosionsgef hrdeten Bereichen BGBl I 1979 629 zuletzt ge ndert durch Art 10 des Gesetzes vom 6 1 2004 BGBl I 2 219 BGBl I 1989 2541 zuletzt ge ndert durch Art 11 des Gesetzes vom 6 1 2004 BGBl I 2 BGBl I 1993 704 zuletzt ge ndert durch Art 14 der Verordnung vom 23 12 2004 BGBl I 3758 BGBl I 1994 1963 neugefasst durch Bekanntmachung vom 7 8 2002 BGBl I 3146 zuletzt ge ndert durch Art 109 der Verordnung vom 25 11 2003 BGBl I 2304 BGBl I 1998 2882 zuletzt ge ndert durch Art 3 Abs 5 des Gesetzes vom 7 7 2005 BGBl I 1970 Prof Dr Gerald Spindler 102 230 231 232 233 491 492 nationales Recht um so dass hiermit folglich
363. he des Vertragsschlusses beweisen zu m ssen dazu aus f hrlich unten Rn 552 ff Das Risiko einer gef lschten berweisung tr gt grund 95 ken s tzlich die Ban Denkbar w re jedoch auch mit einem Teil der Literatur eine Rechtsscheinshaftung des Kunden anzunehmen dazu sogleich 952 953 954 955 Bock in Br utigam Leupold Kap VII Rn 81 Palandt Sprau 676a BGB Rn 11 So auch Borges NJW 2005 3313 3316 Borges NIW 2005 3313 3316 Karper DuD 2006 215 218 BGH NJW 2001 2968 2969 BGH NJW 1994 2357 2358 BGH NJW 1994 3344 3345 Prof Dr Gerald Spindler 206 492 493 494 Bindung kraft Rechtsscheins Aus Sicht der Bank unterscheidet sich ein gef lschter Online berweisungsauftrag welcher unter Verwendung des Legitimationsmediums des Kunden z B PIN TAN HBCI elektronische Signatur erstellt wurde nicht von einem vom berechtigten Konto inhaber stammenden Auftrag Es entsteht mithin der Schein einer ordnungsgem en Willenserkl rung des Bankkunden Ein Teil der Literatur leitet eine Bindung des Bankkunden gegen ber der Bank folglich aus Rechtsscheinsgrunds tzen her Schon im Rahmen des Btx Systems wurde f r den missbr uchlich handelnden Dritten eine Anscheinsvollmacht angenommen und dem Inhaber des Btx Anschlusses damit die Erkl rung des Dritten zugerechnet wenn er den Missbrauch von PIN und TAN erm g lich hatte In den meisten Verfahren welche eine behau
364. hen Neumann Bock Zahlungsverkehr im Internet Rn 167 Kind Werner CR 2006 353 357 Neumann Bock Zahlungsverkehr im Internet Rn 167 N her Bamberger Roth Spindler 823 BGB Rn 502 ff M nchKommBGB Wagner 823 BGB Rn 588 ff Prof Dr Gerald Spindler 219 d Organisationspflichten 521 Erlangt die Bank Kenntnis von missbr uchlichen Transaktionen hat sie daf r Sorge zu 1021 Daneben tragen dass keine weiteren unberechtigten Transaktionen erfolgen K nnen hat die Bank Vorkehrungen dahingehend zu treffen dass der Kunde den Zugang zum Online Banking bei Kenntnis oder Verdacht eines Missbrauchs jederzeit sperren lassen 1022 kann i Pflichten des Kunden 522 Die vertraglichen Schutzpflichten nach 280 Abs 1 241 Abs 2 BGB entsprechen inhaltlich weitgehend den deliktischen Verkehrspflichten zu den deliktischen Verkehrspflichten des privaten Nutzers ausf hrlich oben Rn 275 ff Schutzma nah men welche vom privaten IT Nutzer nach deliktsrechtlichen Grunds tzen verlangt werden k nnen bilden im vertraglichen Bereich grunds tzlich zugleich den Mindestge halt der vertraglichen Schutzpflichten nach 241 Abs 2 BGB Im Einzelfall k nnen die vertraglichen Sorgfaltsanforderungen angesichts der bestehenden Sonderverbindung und der damit verbundenen verst rkten Einwirkungsm glichkeit auf die Rechte und Rechtsg ter des Vertragspartners ber die deliktischen Pflichten hinausgehen Die Pflichten des
365. hics 1985 Nr 4 1 16 Prof Dr Gerald Spindler XLI Neumann Diana Bock Christian Zahlungsverkehr im Internet M nchen 2004 Nickel Friedhelm Kaufmann Lars Produktsicherheit und Produzentenhaf tung in VersR 1998 948 954 Niebling J rgen Die CE Kennzeichnung Stuttgart Hanno ver 1995 Niebling J rgen Gew hrleistung und Produkthaftung bei fehlender CE Kennzeichnung in DB 1996 80 81 Otto Franz Verkehrssicherungspflichten Anmer kung zu OLG Karlsruhe Urteil v 2 10 1996 7 U 210 93 in VersR 1997 1155 1157 Palandt Otto B rgerliches Gesetzbuch 66 Auflage M nchen 2007 zitiert Palandt Bearbeiter Paul Stephan Stein Stefan Kaltofen Daniel Kapitalanforderungen f r Retail Portfolios nach Basel II in Die Bank 2004 342 349 Pauli A Die Produktbeobachtungspflichten in der verbraucherpolitischen Auseinan dersetzung in PHi 1985 134 ff Pauly Mark V Kenneth J Arrow Ihe Economics of Moral Hazard in The American Economic Review Nashville Tenn Bd 58 1968 531 537 Pawlowski Hans Martin Allgemeiner Teil des BGB 6 Auflage Prof Dr Gerald Spindler XLII Heidelberg 2000 zitiert Pawlowski Allgemeiner Teil des BGB Peikari Cyrus Chuvakin Anton Kenne Deinen Feind K ln 2004 Peine Franz Joseph Gesetz ber technische
366. hl sselung gar nicht voraus Vielmehr kann jemand der mit Abl ufen im Netz ausreichend vertraut ist was heute schon bei einer Vielzahl der Jugendlichen gegeben ist ohne allzu gro en Aufwand das Passwort lesen Von einer f r einen Anscheinsbeweis ausreichenden Typizit t wird man m glicherweise bei der Verwendung einer elektronischen Signatur ausgehen k nnen nicht aber bei einem ungesch tzten Passwort Prof Dr Gerald Spindler 241 571 572 1126 1127 1128 1129 1130 Gegen ber dem blo en Passwortschutz bei Internet Auktionen bieten Verfahren mit PIN und TAN zwar einen deutlich h heren Schutz gegen Entschl sselung Auch dieses System hilft indessen nicht wenn ein Angreifer aufgrund einer Phishing E Mail oder Pharming Zugriff auf PIN und TAN selbst erh lt Auf die von der hM angef hrten tech nischen und finanziellen Hindernisse bei der Entschl sselung kommt es aber nicht an wenn PIN und TAN abgefangen und das Sicherheitssystems des Internet Banking somit umgangen werden kann Mit der Begr ndung des OLG K ln und des LG Kob lenz l sst sich im Ergebnis auch der Anscheinsbeweis beim Online Banking mit PIN TAN Verfahren ohne Medienbruch in Zweifel ziehen Angesichts der beschriebe nen Anf lligkeit von Sicherungsverfahren ohne Medienbruch f r Identit tsmissbrauch vgl die Bedrohungsszenarien und oben Rn 512 und der Vielzahl der technischen M glichkeiten des Aussp hens der Legitimationsmedien d
367. hlern Prof Dr Gerald Spindler XVII in CR 1986 673 677 G ttert Helmut Sicherheit f r Datennetze in VW 2001 1972 Gounalakis Georgius Hrsg Rechtshandbuch Electronic Business M nchen 2003 zitiert Bearbeiter in Gounalakis Grabau Maik Schlee Klaus Die neuen MaRisk Herausforderungen aus Sicht der Sparkassen Finanzgruppe in Kreditwesen 2005 392 394 Grant Colin Whistle Blowers Saints of Secular Cul ture in Journal of Business Ethics 2002 Vol 39 Nr 4 391 399 Greger Reinhard Mitverschulden und Schadensminde rungspflicht Treu und Glauben im Haftungsrecht in NJW 1985 1130 1134 Gross Werner Deliktische Au enhaftung des GmbH Gesch ftsf hrers in ZGR 1998 551 569 Grundmann Stefan Europ isches Vertragsrechts bereinkom men EWG Vertrag und 12 AGBG in IPRax 1992 1 5 Gruson Michael Kubicek Matthias Der Sarbanes Oxley Act Corporate Go vernance und das deutsche Aktien recht http www jura uni frank Prof Dr Gerald Spindler XIX furt de ifawz 1 baums Bilder_und_D aten Arbeitspapiere paperl13 pdf Gruson Michael Kubicek Matthias Der Sarbanes Oxley Act Corporate Go vernance und das deutsche Aktien recht Teile I und II in AG 2003 337 352 393 406 G nther Andreas Produkthaftung f r Infor
368. hluss daran k nnen die beschriebenen Ma nahmen angefangen mit einer kon kreten Risikoanalyse ergriffen werden wobei die Beantwortung der vorgeschlagenen Fragen als Indiz f r die Intensit t und damit auch den zumutbaren wirtschaftlichen und technischen Aufwand gewertet werden darf VII Endergebnis Die IT Sicherungspflichten ebenso wie die Selbstschutzpflichten h ngen erheblich da von ab welche T tigkeiten der IT Nutzer durchf hrt ob diese rein privater oder kom merzieller Natur sind Ein Sonderwissen des IT Nutzers dass dieser im Rahmen seiner gewerblichen T tigkeit gewonnen hat muss diesem bei einer privaten T tigkeit zuge rechnet werden sofern der IT Nutzer auch au erhalb seiner gewerblichen T tigkeit die M glichkeit hat auf die entsprechenden Ressourcen zuzugreifen was bei Arbeitneh mern differenziert zu beurteilen ist Generell sind kommerzielle IT Nutzer zu wesent lich h heren Sicherungen verpflichtet als private IT Nutzer Prof Dr Gerald Spindler 267 646 647 648 649 F r private Nutzer bestehen jetzigen Zeitpunkt nur eingeschr nkte Sicherungspflichten zum Mangels ausreichender Bekanntheit von Problem und L sung sind diese lediglich zum Einsatz von Virenscannern sowie zu entsprechenden Aktualisierungen verpflichtet Im Bereich der Schadensminderungs und Selbstschutzpflichten k nnen die Grunds tze des Dialer Urteils des BGH angewandt werden indem private IT Nutzer nicht routine m ig
369. hme des Provi ders durch den Kunden scheitert wiederum am fehlenden Schaden des Bankkunden Konnte dagegen die Verantwortlichkeit des Intermedi rs schon gegen ber der Bank nicht nachgewiesen d h der Anscheinsbeweis ersch ttert werden d rfte auch hier eine Inanspruchnahme des Intermedi rs regelm ig aus Beweisnot unterbleiben Eigene ver tragliche Anspr che der Bank gegen den Provider des Kunden bestehen ebenso wie de liktische Anspr che regelm ig nicht 7 Private Nutzer 593 Hat ein privater Nutzer etwa ein Freund oder Bekannter den Trojaner in einem E Mail Anhang an den Bankkunden gesandt stellen sich im Schadensfall die oben er w hnten Probleme zur Haftung privater Nutzer s Rn 275 ff Mangels Vertragsver h ltnis und Eigentumsverletzung infolge der Installation des Trojaners Rn 114 wird ein Schadensersatzanspruch gegen den Versender aber allenfalls bei Versto gegen ein Schutzgesetz 823 Abs 2 BGB oder vors tzlich sittenwidriger Sch digung zu beja hen sein 826 BGB c Ergebnis 594 Zum gegenw rtigen Zeitpunkt muss davon ausgegangen werden dass das Online Banking ber Internet Verbindung unter Verwendung eines normalen PC keine hinrei chende Sicherheit zu bieten vermag Prim r obliegt es der das Online Banking anbie tenden Bank ein dem Stand der Technik entsprechendes Sicherungsverfahren vorzuhal ten Die Schwachstellen des Online Bankings bilden derzeit zum einen Sicherheitsl cken in d
370. hnik beruhen Zusammengefasst haben technische Standards damit eine dreifache Wirkung Sie begr nden eine Vermutung daf r dass sie die anerkannten Regeln der Technik wiedergegeben Ihre Befolgung begr ndet starkes Indiz nach aA einen Anscheinsbeweis daf r dass der Pflichtige die im Verkehr erforderliche Sorgfalt eingehalten hat sofern keine besonderen Gefahrenlagen vorla gen Ihre Verletzung begr ndet ein starkes Indiz nach aA einen Anscheinsbeweis daf r dass der Pflich tige die im Verkehr erforderliche Sorgfalt verletzt hat Steht die Nichteinhaltung einer technischen Norm fest spricht ein Anscheinsbeweis daf r dass die Sch digung die in rtlichem und zeitlichem Zusammenhang mit dem Versto eingetreten ist durch die Pflichtverletzung verursacht wurde c Beweisrechtliche Bedeutung von Zertifikaten i Grunds tze In diesem Rahmen ist auch die beweisrechtliche Bedeutung von erteilten Zertifikaten einzuordnen Wie oben Rn 157 dargestellt K nnen Zertifikate den Hersteller zwar nicht pauschal von der Haftung entlasten doch kann ihnen im Einzelfall eine beweis rechtliche Bedeutung zukommen Auch hier ist indessen Zur ckhaltung angebracht Zudem ist wie im sterreichischen Recht genau darauf abzustellen wof r das Zerti fikat erteilt wurde ob f r ein Herstellungsverfahren ein Produkttyp oder f r das Pro dukt selbst das Zertifikat kann allenfalls f r den jeweiligen Bereich eine entlastende
371. hriften ab gestellt werden selbst wenn diese sich an einen breiten Leserkreis wenden Vielmehr muss auch derjenige der sich nicht direkt und gezielt informiert die M glichkeit gehabt haben von der Problematik Kenntnis zu erlangen etwa bei umfangreicher Berichter stattung in Print Rundfunk und TV Medien Zus tzlich m ssen aber auch die generel len L sungsm glichkeiten bekannt sein z B durch die Installation entsprechender Ab wehrprogramme 4 Zumutbarkeit der Schutzma nahmen Wirtschaftlich aufw ndige aber auch technisch anspruchsvolle L sungen die den Normalnutzer berfordern k nnen nicht verlangt werden Gerade im Privatbereich muss danach gefragt werden ob dem potenziell Pflichtigen also dem Durchschnittsnut zer die Ergreifung der Sicherungsma nahmen berhaupt von seinen F higkeiten her m glich ist etwa wenn technische L sungen nur durch zahlreiche teils komplizierte Schritte zu erreichen sind Fehlbedienungen k nnen z B bei Firewalls durchaus gerade den gegenteiligen Effekt hervorrufen und das System anf lliger f r Angriffe machen a Technische Zumutbarkeit Technisch zumutbar ist der Einsatz einer L sung wenn sie auch f r den Nichtfachmann mit geringem Einarbeitungsaufwand installiert werden kann Die Anforderungen an pri vate Nutzer d rfen hierbei insbesondere im technischen Bereich z B der Konfiguration von Firewalls nicht bertrieben streng gehandhabt werden siehe im Einzelnen unten
372. ht h ngt hier entscheidend von der Art und Gr e der geschaffenen Ge fahr ab Sind Leib und Leben bedroht hat der Hersteller ber die Pflicht zur Sammlung und Verwertung einschl giger Informationen hinaus bei konkretem Anlass auch die durch die Kombination entstandenen Gefahren sowie die durch Verwendung von feh lerhaftem Zubeh r mit dem Produkt entstehenden Risiken selber zu berpr fen Diese Pflichten reduzieren sich erheblich sofern nicht hochrangige Rechtsg ter bedroht sind oder der Markt zu un bersichtlich ist um allen Gefahren nachgehen zu k nnen Auch kann sich ein Hersteller grunds tzlich auf den eigenverantwortlichen Umgang weiterer Produzenten mit einem Vorprodukt verlassen Die Rechtsprechung schie t indes ber ihr Ziel hinaus Eine generelle Ausdehnung der Beobachtungspflichten auf Zubeh rteile oder Kombinationsgefahren kann nicht al lein damit begr ndet werden dass der Hersteller ohnehin zur Beobachtung der Produkte verpflichtet ist grunds tzlich ist der Hersteller nur f r die Gefahren verantwortlich die er selbst geschaffen hat nicht aber f r Gefahrenerh hungen die durch Dritte verursacht 270 werden erst recht wenn die Zubeh rprodukte wesentlich sp ter nach Entwicklung Konstruktion und Fabrikation auf den Markt gebracht werden Jedenfalls muss es als BGHZ 99 167 172 ff NJW 1987 1009 BGH NJW 1995 1286 1287 ausf hrlich dazu Ulmer ZHR 152 564 575 ff der sich
373. ht vollkommen gekl rt F r die allgemeine delikti sche Haftung zeigen sich hnlich dem Produktsicherheitsrecht die gleichen Probleme indem Ver m genssch den nur ausnahmsweise erfasst werden Zudem bedarf es einer extensiven Interpretation des Eigentumsbegriffs die bislang nicht h chstrichterlich abgesichert ist um Sch den an Daten und Datenbest nden zu erfassen Gleiches gilt f r das Recht am eingerichteten und ausge bten Gewer bebetrieb Der Gesch digte tr gt zudem die Beweislast f r die Fehlerhaftigkeit der Software sowie f r die Kausalit t zwischen fehlerhaftem Produkt und Rechtsgutsverletzung sowie Schaden Trotz der Um kehr der Beweislast f r die Frage der Pflichtwidrigkeit sieht sich der Gesch digte daher gerade bei IT Produkten einer schier un berwindlichen Beweislast gegen ber da zum einen IT Produkte h u fig gemeinsam mit anderen IT Produkten und dienstleistungen eingesetzt werden zum anderen Bedienungs oder Installationsfehler nie auszuschlie en sind 1316 Oben Rn 91 ff Prof Dr Gerald Spindler 298 729 730 731 Das Deliktsrecht kann keine Sch den erfassen die grunds tzlich vom quivalenzinteresse gedeckt sind Ob Patches bzw die nachtr gliche Schlie ung von Sicherheitsl cken noch vom Deliktsrecht als Pflichten erfasst werden etwa als R ckrufpflichten ist mehr als fraglich Hingegen k nnen Produktsicherheits und Produkthaftungsrecht als Modelle auch f r andere Rege
374. hulenurg Johann Matthias Hacker gibt es wirklich Wachsende Ge f hrdung der Versicherungswirt schaft durch Hacker Angriffe in VW 2002 565 B mer Roland Risikozuweisung f r unvermeidbare Softwarefehler in CR 1989 361 367 Boos Karl Heinz Fischer Reinfried Schulte Mattler Hermann Kreditwesengesetz Kommentar zuKWG und Ausf hrungsvorschriften 2 Auflage M nchen 2004 zitiert Boos Fischer Schulte Mattler Bearbeiter Borges Georg Rechtsfragen des Phishing Ein berblick in NJW 2005 3313 3317 Prof Dr Gerald Spindler VII Borsum Wolfgang Hoffmeiser Uwe Rechtsgesch ftliches Handeln unberech tigter Personen mittels Bildschirm text in NJW 1985 1205 1207 Borsum Wolfgang Hoffmeister Uwe Rechtsgesch ftliches Handeln unberech tigter Personen mittels Bildschirm text in NJW 1985 1205 1207 Brandi Dohrn Matthias Gew hrleistung bei Hard und Software m ngeln BGB Leasing und UN Kaufrecht 2 Auflage M nchen 1994 Br utigam Peter Leupold Andreas Hrsg Online Handel M nchen 2003 zitiert Bearbeiter in Br utigam Leupold Breulmann G nter Normung und Rechtsangleichung in der Europ ischen Rechtsangleichung Berlin 1993 Br cker Klaus Tim Czychowski Christian Sch fer Detmar Praxishandbuch Geistiges Eigentum im Internet M nchen 2003 zitiert Be
375. hutzrecht Kap 4 3 Rn 38 f Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 169 f Gola Schomerus 2 BDSG Rn 4 Simitis Dammann 1 Rn 228 Prof Dr Gerald Spindler 170 409 410 752 753 754 755 756 757 758 759 760 761 a Die Pflichten zur Organisation und technischen Schutzma nahmen 9 BDSG i berblick Zentrale Norm f r die datenschutzrechtliche Pflicht Sicherheitsma nahmen zu ergrei fen ist 9 BDSG Er ist auch deshalb wichtig f r alle Stellen die Daten verarbeiten weil er fast immer Anwendung findet sei es kraft einer expliziten Verweisung oder bei fehlenden bereichsspezifischen Regelungen zur Sicherheit von Daten Durch 9 BDSG wird IT Sicherheit in den Dienst des Datenschutzes gestellt Nach 9 BDSG sind technische und organisatorische Ma nahmen zu treffen um die 754 gesetzlichen Anforderungen zu gew hrleisten Ziel der Norm ist den ordnungsgem en Ablauf der Datenverarbeitung durch Sicherung von Hard und Software sowie von Daten vor Verlust Besch digung aber eben auch Missbrauch Diebstahl und Verf l 755 schung zu treffen Hierzu geh ren insbesondere regelm ige Datensicherungen auch Ma nahmen zur Abwehr von Viren Grunds tzlich d rfen keine Verfahren oder Techniken eingesetzt werden die zu einer erheblichen Gef hrdung der grundrechtlich gesch tzten Rechte des Betroffenen f hren die M
376. i Sch digung von Daten ein f r den Einzelnen fast un bersehbares Haftungsrisiko das sich in praxi wohl nur aufgrund des erforderlichen Kausalit tsnachweises relativiert denn das deutsche Haftungsrecht verlangt ansonsten keinen Vorsatz oder keine Pflichtwidrigkeit hinsicht lich des Schadens selbst bzw bez glich des haftungsausf llenden Tatbestandes 2 Sicherheitserwartungen des Verkehrs Grunds tzlich lassen sich gegen die vielen Bedrohungen Gegenma nahmen ergreifen Zur genaueren Konkretisierung des Inhalts und Umfangs der Verkehrspflicht ist in ers ter Linie auf die berechtigten Sicherheitserwartung der betroffenen Verkehrskreise abzustellen zu deren Bestimmung die M glichkeit und Zumutbarkeit der Gefahren vermeidung einerseits auf der Versenderseite andererseits auf der Empf ngerseite ge geneinander abzuw gen ist F r die Bestimmung der Reichweite der Pflichten des Nutzers kommt es auf eine objektivierte Betrachtung anhand einer Nutzergruppe an nicht auf die individuellen F higkeiten und Ressourcen des individuellen Nutzers An gesichts der Entwicklung des Internet zum Massenph nomen wird man sich indes vor berspannten Sorgfaltsanforderungen an einen vermeintlich typischen Internetnutzer h ten m ssen da das Wissen um Einstellungen Softwareverwendung und Risiken bei privaten Nutzern insbesondere zwischen den Altersgruppen zum Teil erheblich vari iert Ebenso ist im schnelllebigen IT Sektor stets zu ber
377. ich effiziente Sorgfaltsma st be angewendet werden Zur Vereinfachung soll dies an einem Beispiel aus der Schifffahrt illustriert werden wo bei eine gewisse Vergleichbarkeit mit der Situation in gr eren Netzwerken besteht Angenommen durch die Einf hrung von Funkger ten l sst sich das Kollisionsrisiko zwischen zweier so ausger steter Schiffe eliminieren Ein Funkger t kostet 5 Einheiten der erwartete Schaden Wahrscheinlichkeit mal Schadensh he durch Kollisionen be tr gt 10 Einheiten Sind nun in der Ausgangssituation mehr als 50 der Schiffe mit ei nem Funkger t ausgestattet ist es unter Kostengesichtspunkten effektiv neue Schiffe mit einem Funkger t auszur sten Im Laufe der Zeit haben so alle Schiffe ein Funkge M Adams konomische Analyse der Gef hrdungs und Verschuldenshaftung S 73 ff Endres kono mische Grundlagen des Haftungsrechts S 9 ff Ebenso Miceli Economics of the Law S 29 Shavell The Journal of Legal Studies Vol 9 No 1 1980 S 1 ff ders Economic Analysis of Accident Law S 29 S Rn 27 f Bsp stark modifiziert nach Sch fer Ott Lehrbuch der konomischen Analyse des Zivilrechts S 231 ff Prof Dr Gerald Spindler 26 44 45 46 47 85 86 87 r t Keiner der Akteure hat Veranlassung sein Verhalten zu ndern weshalb ein stabiler Zustand Nash Gleichgewicht erreicht ist Damit hat sich die gesamtgesellschaftlich effiziente Sorgfalt herausgebild
378. iche Rechtsberatung via Internet Stuttgart 2004 Schricker Gerhard Hrsg Urheberrecht Kommentar 3 Auflage M nchen 2006 zitiert Schricker Bearbeiter Schubert Thomas Grie mann Gundula solveny II Basel II X in VW 2004 1399 Schulte Martin Hrsg Handbuch des Technikrechts Berlin 2003 zitiert Bearbeiter in Schulte Handbuch des Technikrechts Schulte Mattler Hermann Manns Thorsten Basel II Falscher Alarm f r die Kredit kosten des Mittelstandes Prof Dr Gerald Spindler LI in Die Bank 2004 376 380 Schulte Mattler Hermann von Kenne Ulrich Basel II Framework Meilenstein der Ban kenaufsicht in Die Bank 2004 37 40 Schulze Reiner Ebers Martin Streitfragen im neuen Schuldrecht in JuS 2004 462 468 Schulze Melling Jyn IT Sicherheit in der anwaltlichen Bera tung in CR 2005 73 80 Schumann Jochen Grundz ge der mikro konomischen Theo rie Berlin 1999 Schuster Fabian Hrsg Schwab Hans Josef Vertragshandbuch Telemedia M nchen 2001 zitiert Bearbeiter in Schuster Vertrags handbuch Telemedia Zur Mithaftung des Bef llpersonals das bei vorhandener elektronischer F ll standsanzeige von einer manuellen Freiraummengenmessung abgese hen hatte f r den beim berlaufen eines ltanks verursachten Scha den Anmerkung zu OLG K ln Urteil v 24
379. ichtige Rolle Hier gilt zun chst wiederum in Anwendung der allgemeinen Grunds tze dass gegen ber professionellen IT Anwendern prinzipiell re duzierte Pflichten gelten sofern diese selbst in der Lage sind den n tigen Eigenschutz zu gew hrleisten Allerdings versagt dies gerade dort wo der Code nicht zug nglich ist oder der IT Anwender nicht ber entsprechende Kenntnisse verf gt Ferner kommt es darauf an ob und inwieweit allgemein bekannte Tools oder Softwareschutzmecha nismen dem Nutzer zur Verf gung stehen 4 Sicherheitspflichten innerhalb von Vertragsverh lt nissen Im Unterschied zum Deliktsrecht zeichnet sich das Vertragsrecht dadurch aus dass es den Parteien aufgrund der Privatautonomie hier selbst obliegt die Pflichtensph ren f r die IT Sicherheit festzulegen Im Rahmen von Individualvertr gen haben die Parteien hier weiteste Gestaltungsspielr ume die lediglich durch zwingende gesetzliche Rege lungen und gesetzliche Verbote bzw Sittenwidrigkeit 134 138 begrenzt werden Gr erer Kontrolle unterliegt jedoch die Vertragsgestaltung durch Allgemeine Ge sch ftsbedingungen F r Vertr ge zwischen Unternehmern und Verbrauchern statuieren die 308 f BGB zahlreiche Klauselverbote Diese sind auch f r Vertr ge ber IT Produkte anwendbar f r spezifische IT Risiken treffen sie jedoch keine gesonderten Regelungen Umso gr ere Bedeutung erlangt somit die Generalklausel des 307 BGB Danach sind Bestimmungen
380. ie ser Entscheidung Ernst CR 2006 590 ff Prof Dr Gerald Spindler 249 Die aufgezeigten Gefahren beim Online Banking werfen die Frage nach den R ckgriffsm g 590 591 592 lichkeiten des von seiner Bank in Anspruch genommenen Kunden auf Da die eigent lichen T ter entweder nicht identifizierbar oder etwa bei Wohnsitz im Ausland nur schwer greifbar sind kommen als m gliche Anspruchsgegner meist nur die Hersteller fehlerhafter IT Produkte sowie Internet Provider und private Nutzer in Betracht 5 IT Hersteller Nutzt ein Trojaner eine Sicherheitsl cke in einer vom Bankkunden verwendeten Soft ware beispielsweise seinem Betriebssystem Internet Browser usw stellt sich im Schadensfall die Frage einer Haftung des IT Herstellers gegen ber dem Kunden Man gels Eigentumsverletzung Rn 108 ff Kommen gegen den IT Hersteller regelm ig nur vertragliche Anspr che in Betracht Wurde aber die Installation des Trojaners durch einen Fehler der Software erm glicht ist im Ausgangspunkt zun chst festzuhalten dass kein Schadensersatzanspruch der Bank gegen den Kunden besteht da dieser nicht pflichtwidrig gehandelt hat Gleichfalls entf llt mangels Schaden ein produkthaftungs rechtlicher Regressanspruch des Kunden gegen den Hersteller Soweit man den Anscheinsbeweis bejaht s oben Rn 556 lautet die praktisch relevante Frage in diesem Zusammenhang ob es dem Kunden berhaupt gelingt die Urs chlich keit
381. ie EU eine europaweite Harmonisierung der Hauptrechte und pflichten der Nutzer und Anbieter von Zahlungsdiensten an Der Anwendungsbereich der Richtlinie erstreckt sich auf alle Zahlungsdienste gem Art 2 Abs 1 i V m Anhang Zahlungsdienste unabh ngig von der Art und Weise technischen Durchf hrung Erfasst werden demnach ec Kartensysteme ebenso wie Online Banking Gem ihrer Zielsetzung bezweckt die Richtlinie zwar die Verbesserung des grenz berschreitenden Zahlungsverkehrs im In teresse einer einheitlichen Rechtslage wird die auf europ ischer Ebene gefundene L sung jedoch wohl auch auf reine Inlandsf lle ausstrahlen Der Vorschlag regelt die wesentlichen Sorgfaltspflichten des Zahlungsdienstnutzers Art 46 und der Pflichten des Zahlungsdienstleisters Art 47 in Bezug auf Zahlungs verifikationsinstrumente Der Nutzer ist danach verpflichtet bei der Verwendung eines Zahlungsverifikationsinstruments die Bedingungen f r dessen Ausgabe und Benutzung einzuhalten Art 46 lit a sowie dem Zahlungsdienstleister unverz glich nach Feststel lung den Verlust Diebstahl die widerrechtliche Aneignung oder die sonstige nicht au torisierte Verwendung des Zahlungsverifikationsinstruments anzeigen Art 46 lit b Der Zahlungsdienstleister hat hierzu die erforderlichen organisatorischen Vorkehrungen zu treffen Art 47 Abs 1 lit c Ebenso muss der Dienstleister sicherstellen dass die personalisierten Sicherheitsmerkmale des Zahl
382. ie Einf hrung des HBCI Standards aus bankrechtlicher Sicht in WM 2001 605 619 Stodolkowitz Heinz Dieter Beweislast und Beweiserleichterung bei Prof Dr Gerald Spindler LIX der Schadensurs chlichkeit von Aufkl rungspflichtverletzungen in VersR 1994 11 15 Stoll Hans Anmerkung zu BGH Urteil v 18 1 1983 VI ZR 310 79 in JZ 1983 499 504 Stollberger Thomas Marktreport IT St rf lle in Unternehmen nehmen zu Risikomanagement beeinflusst auch Kreditw rdigkeit http www verivox de news Article Details asp PM 1 amp aid 2542 Stone Robert CenterTrack An IP Overlay Network for Tracking DoS Floods http www arbornetworks com dow nloads research5 1 stone00centertrac k_new pdf Streinz Rudolf Europarecht 7 Auflage Heidelberg 2005 Streinz Rudolf Hrsg EUV EGV Vertrag ber die europ ische Union und Vertrag zur Gr ndung der Europ ischen Gemeinschaft M nchen 2003 zitiert EUV EGV Bearbeiter Streitz Siegfried Sicherheit und Datenkommunikation in NJW CoR 2000 208 214 Str mer Tobias H Online Recht Heidelberg 1997 Taeger J rgen Au ervertragliche Haftung f r fehlerhafte Computerprogramme T bingen 1995 Taeger J rgen Produkt und Produzentenhaftung bei Sch den durch fehlerhafte Compu Prof Dr Gerald Spindler LX terprogramme in CR 1996
383. ie Hersteller von IT Produkten sei es Hard oder sei es Software stehen am Anfang der IT Wertsch pfungskette Folgerichtig gelten f r Hersteller von IT Produkten im Grundsatz dieselben Anforderungen wie f r andere Hersteller auch in erster Linie die Grunds tze der deliktischen Produzentenhaftung Rn 104 ff und des verschulden sunabh ngigen ProdHaftG Rn 189 ff Neben diese Anspr che k nnen im Einzelfall vertragliche Anspr che gegen den Hersteller treten Rn 98 berlagert werden die zivilrechtlichen Anforderungen durch ffentlich rechtliche Re gulierungen im Bereich der Produktsicherheit insbesondere des Ger te und Pro duktsicherheitsgesetzes GPSG als grundlegendes Gesetz Hauptinstrument der Ge w hrleistung von Sicherheit sind hier in materiell rechtlicher Hinsicht bestimmte Grundpflichten der Hersteller in verfahrensrechtlicher Hinsicht Zertifikate f r sichere Produkte gegebenenfalls auch die Genehmigungsbed rftigkeit von Produkten Typisch f r das deutsche und europ ische Produktsicherheitsrecht ist dabei der R ckgriff auf be stimmte in einem den Vorschriften des Gesetzes entsprechenden Verfahren erlassene technische Normen an die sich unter Umst nden sogar Vermutungswirkungen kn pfen k nnen ffentlich rechtliches Produktsicherheitsrecht und zivilrechtliche Produkthaftung sind dabei in doppelter Hinsicht miteinander verzahnt Zum einen k nnen die ffentlich rechtlichen Produktsicherheitsvorschrif
384. ie Weitergabe des 1121 erm glichen kann Passwortes etwa im Familienkreis nicht un blich sein d rfte werden die Legi timationsmedien f r das Online Banking regelm ig auch im Familienkreis und erst recht im Bekanntenkreis vertraulich behandelt Bei der Frage des Anscheinsbeweises vielfach unber cksichtigt bleiben indes die in neuerer Zeit aufgetretenen M glichkeiten des Aussp hens der Legitimationsmedien durch Phishing E Mails und Trojaner F r ec Karten hat der BGH die M glichkeit des Aussp hens der PIN mit Hilfe optischer oder technischer Hilfsmittel bzw Manipulation des Geldautomaten zwar als M glichkeit zur Kenntnis genommen Das Gericht sah den Anscheinsbeweis aufgrund solcher Ph nomene aber nicht generell in Frage gestellt Diese Erw gungen K nnen aufgrund der v llig anders gelagerten M glichkeiten die Le gitimationsmedien auszusp hen jedoch nicht unbesehen auf das Online Banking ber tragen werden Zwar kann auch beim Online Banking das Aussp hen konventionell 1118 1119 1120 1121 1122 Werner in Schwarz Peschel Mehner Recht des Internet Teil 2 Kap 2 A Rn 73 Kind Werner CR 2006 353 369 Wiesgickl WM 2000 1039 1047 Ebenso die Antwort der Bundes regierung vom 4 7 2000 auf die Kleine Anfrage der Abgeordneten Rainer Funke Dr Edzard Schmidt Jortzig Dr Max Stadler weiterer Abgeordneter und der Fraktion der F D P Drucksache 14 3603 BT Drucks 14
385. ie deren Zubeh rteile Da insofern auf die Verwen dung zu gesch ftsm igen Zwecken abgestellt wird fallen Produkte die von Verbrau chern in Anlehnung an 13 BGB weder zur gewerblichen noch zur selbst ndigen beruf lichen T tigkeit genutzt werden aus dem Definitionsbereich der technischen Arbeits mittel heraus Verbraucherprodukte sind demgegen ber gem 2 Abs 3 GPSG Gebrauchsgegens t nde und sonstige Produkte die f r Verbraucher bestimmt sind oder unter vern nfti gerweise vorhersehbaren Bedingungen von Verbrauchern benutzt werden k nnen selbst wenn sie nicht f r diesen bestimmt sind Insbesondere sind also neben solchen Produk ten die bestimmungsgem innerhalb einer Lieferkette an private Endverbraucher ab gegeben werden auch sog Migrationsprodukte in den Anwendungsbereich des GPSG mit einbezogen also solche die urspr nglich nicht f r Verbraucher bestimmt waren die jedoch in vorhersehbarer Weise von Verbrauchern benutzt werden Inwieweit IT Produkte in den Anwendungsbereich des GPSG fallen ist weithin unge kl rt Unter Ber cksichtigung der Beschr nkung des Anwendungsbereichs des GPSG auf technische Arbeitsmittel und Verbraucherprodukte ist hierbei zwischen Hardware und Software zu unterscheiden 2 Hardware Hardware Teile z B Computer Laptops Monitore Drucker Keyboards und anderes Zubeh r fallen als k rperliche Gegenst nde unproblematisch unter den Produktbegriff des GPSG Da
386. iegt das entscheidende Moment der Inverkehrgabe des Produk tes Software in der vom Anbieter offerierten M glichkeit die Software herunterzula 418 den Denn ab diesem Zeitpunkt kann der Kunde das Produkt jederzeit wiederbenut zen wobei er nicht mehr auf die Netzverbindung angewiesen ist Die Rechtslage kann hier nicht anders beurteilt werden als wenn dem Kunden nur noch eine unwesentliche Fertigungshandlung obliegt um das Endprodukt herzustellen etwa bei zusam menschraubbaren Fertigm beln b Rechtsgutsverletzung e A gt oo N A Staudinger Oechsler 2 ProdHaftG Rn 11 66 Wagner NIW 1996 2899 2900 Spindler Kl hn VersR 2003 410 412 Spindler MMR 1998 119 120 Mankowski in Ernst Hacker Cracker amp Computerviren Rn 441 Taeger Au ervertragliche Haf tung f r fehlerhafte Computerprogramme S 160 ff M nchKommBGB Wagner 2 ProdHaftG Rn 16 Spindler in Spindler Rechtsfragen bei Open Source Kap E Rn 11 f Spindler MMR 1998 119 121 M nchKommBGB Wagner 2 ProdHaftG Rn 16 M nchKommBGB Wagner 2 ProdHaftG Rn 16 Dazu Taschner Frietsch 2 ProdHaftG Rn 8 Staudinger Oechsler 2 ProdHaftG Rn 42 Abl daher Smith Hamill PHI 1988 85 M nchKommBGB Wagner 2 ProdHaftG Rn 16 Prof Dr Gerald Spindler 88 193 194 195 Wie auch der Anspruch aus 823 Abs 1 BGB beruht die Haftung nach ProdHaftG auf der Verletzung der dort aufgez hlten Re
387. ien ausgelegt werden Auf der Ebene der Rechtssetzung ist die Grundfrage hingegen wie Rechtsnormen gestaltet sein m ssen um eine pr ventiv schadensmindernde Regelungsstruktur zu erhalten a Steuerungsfunktion f r das Niveau der Schutzma nah men Bekannterma en entstehen durch IT Sicherheitsprobleme Sch den mit betr chtlichem wirtschaftlichem Ausma Solche Sch den k nnen durch entsprechende Ma nahmen z B Rechtebeschr nkung in IT Systemen einged mmt werden Diese Ma nahmen verursachen aber wiederum selbst Kosten z B Lizenzgeb hren f r die Schutzsoftware Personalaufwand Es entsteht somit ein Optimierungsproblem Ab einem gewissen Aufwand f r Schutzma nahmen ist die unter Kostengesichtspunkten optimale Struktur erreicht denn zus tzlicher Aufwand w rde h here Kosten verursachen als Sch den ver hindert w rden Exemplarische Darstellung des Optimierungsproblems Freiwald Harvard Journal of Law and Technology Vol 14 2001 S 574 580 K bler in FS Steindorff S 687 689 Salje Rechtstheorie 15 1984 277 285 R Zebre Jr Economic Efficiency in Law and Economics S 3 Behrens Die konomischen Grundlagen des Rechts S 83 ff Mathis Effizienz statt Gerechtigkeit S 70 Baumol W Economic Theory and Operations Analysis S 402 R Zebre Jr Economic Efficiency in Law and Economics S 4 Taupitz AcP 196 1996 114 125 ff Beispiele bei K tz Sch fer Judex oeconomicus 2003 Prof D
388. ienkonformer Auslegung die Unterrichtungspflicht als sonstige Ma nahme im Sinne des 109 TKG zu qualifizieren Im Unterschied zur Vorg ngerregelung des 87 TKG 1996 richtet sich die Vorschrift nicht nur an die Betreiber von Telekommunikationsanlagen sondern an jeden Diensteanbieter Diensteanbieter ist nach 3 Nr 6 TKG jeder der Telekommunikati onsdienste 3 Nr 24 TKG ganz oder teilweise gesch ftsm ig erbringt oder an der Erbringung solcher Dienste mitwirkt Internet Provider k nnen danach den Anforde rungen des 109 TKG unterliegen wenn sie nach den obigen Grunds tzen Telekom munikationsdienste erbringen Nach 109 Abs 1 TKG haben Diensteanbieter angemessene vgl 109 Abs 2 S 4 TKG technische Vorkehrungen oder sonstige Ma nahmen zum Schutze des Fernmel degeheimnisses personenbezogener Daten und der Telekommunikations und Daten verarbeitungssysteme gegen unerlaubte Zugriffe zu treffen Gesch tzt werden soll da 1293 1294 1295 1296 S dazu Trute Spoerr Bosch Trute 87 Rn 6 Richtlinie 2002 48 EG ber die Verarbeitung personenbezogener Daten und den Schutz der Privatsph re in der elektronischen Kommunikation Datenschutzrichtlinie f r elektronische Kommunikation vom 12 Juli 2002 S dazu auch S cker Klesczewski 109 TKG Rn 4 So S cker Klesczewski 109 TKG Rn 5 Prof Dr Gerald Spindler 294 1297 1298 1299 1300 1301 1302 1303 1304 durch vor allem
389. iesem Sinne sind gem 2 Abs 16 GPSG nicht verbindliche technische Spezifikation die 1 von einer europ ischen Normenorganisation nach den in der Richtlinie 98 34 EG des Europ i schen Parlaments und des Rates vom 22 6 1998 ber ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften festgelegten Verfahren angenom men und 2 deren Fundstelle im Amtsblatt der Europ ischen Gemeinschaften ver f fentlicht wurde Die Einhaltung der harmonisierten technischen Normen ist f r den Hersteller freiwillig er ist an sie nicht gebunden und kann das von der EU Richtlinie geforderte Sicherheits niveau auf einem anderen technischen Weg erreichen Die Vermutungswirkung bildet Zustimmend Hoeren Ernstschneider MMR 2004 507 509 ABI EG Nr L 204 S 37 Prof Dr Gerald Spindler 103 234 235 236 493 Entscheidet sich der jedoch einen Anreiz zur Einhaltung der technischen Normen Hersteller nicht nach den Vorgaben einer harmonisierten Norm zu produzieren tr gt er die Beweislast daf r dass sein Produkt den Vorgaben der einschl gigen Richtlinie ent 494 spricht Diese Kombination von Freiwilligkeit und positiver Vermutungswirkung kann auch als sanfter Zwang zur normgerechten Produktion bezeichnet werden 2 Nichtharmonisierter Bereich 4 Abs 2 GPSG Au erhalb des durch vertikale und sektorale Richtlinien harmonisierten Bereichs oben 1 wenn somit keine Rechtsverordn
390. iesen Ger ten keine Gefahren aufgrund mechanischer Einwirkung auf Arbeitnehmer oder Dritte aus gehen 3 Software Probleme bereitet dagegen die Einordnung von Software als lediglich geistiger Leis tung da f r den Produktbegriff hnlich wie im ProdHaftG Rn 190 ff in der Regel 461 d auf die Verk rperung abgestellt wir Das Abstellen auf die Verk rperung bei techni schen Arbeitsmitteln legte im alten Ger tesicherheitsgesetz bereits der Titel Ger te nahe Die Beispiele im neuen GPSG in der Legaldefinition von technischen Arbeits mittel in 2 Abs 1 GPSG die sich wiederum ausschlie lich auf Ger te beziehen legen es nahe auch weiter auf die Verk rperung abzustellen hnliches gilt f r den Begriff des Verbraucherprodukts Dieser kann laut der Gesetzesbegr ndung alles sein was aus einem Herstellungsprozess hervorgeht von technischen Gegenst nden bis hin zu Stof 463 fen Dadurch wird deutlich dass auch hier die K rperlichkeit klar im Vordergrund steht Wenn die geistige Leistung daher auf einem Speichermedium verk rpert ist ist 464 Dar ber hinaus ist al zumindest der Datentr ger ein vom GPSG erfasstes Produkt lerdings fraglich ob das geistige Werk selbst und nicht nur der Datentr ger an sich erfasst wird Im Unterschied zum MPG in dessen 3 Nr 1 MPG ausdr cklich auch Software in den Anwendungsbereich einbezogen wird enth lt das GPSG keine aus dr ckliche Rege
391. ifische Regelungen die die Betreiber von Telemediendiensten betreffen 109 TKG wiederum konkretisiert die Verpflichtungen aus dem BDSG 1207 steht also im Spezialit tsverh ltnis zu 9 BDSG wobei dessen Anforderun gen nicht verdr ngt werden Somit gilt auch hier dass jeweils ein Basisschutz ge w hrleistet werden muss der durch die weiteren Normen im Rahmen ihres Anwen dungsbereichs erg nzt wird Abgrenzungsschwierigkeiten aufgrund der Konvergenz von Diensten k nnten mit Einf hrung des Telemediengesetzes aufgel st werden 5 Ergebnis 642 Kommerziellen Nutzern ist nach diesen Ausf hrungen zu raten in jedem Fall die Erf l lung derjenigen Pflichten anzustreben und auch zu dokumentieren die im Grunde allen hier dargestellten Normen gemein sind Nicht nur erreichen sie damit bereits einen rela tiv hohen Grad des technischen Schutzes zus tzlich wird sichergestellt dass sie von eventuellen rechtlichen Folgen die sich f r sie ergeben k nnen profitieren Wenn also z B Haftungserleichterungen oder Erleichterungen f r die Beweisf hrung m glich sind 1206 Spindler Schmitz Geis Schmitz Einf TDDSG Rn 1 1207 S cker Klesczewski 109 TKG Rn 8 708 Scheurle Mayen Zerres 87 TKG aF Rn 4 Prof Dr Gerald Spindler 266 643 644 645 kann die Erf llung der generellen Handlungspflichten bereits solche Rechtsfolgen in der Regel herbeif hren Je nachdem ob spezielle Funktionen erf llt wer
392. iktisch Die Sicherungs pflichten gegen ber Aussp hversuchen der Daten der Kunden sind ohne Weiteres als Nebenpflicht einzustufen 685 Zur Konkretisierung der Schutzpflichten k nnen die datenschutzrechtlichen Bestim 1253 mungen herangezogen werden So sch tzt die EG Richtlinie zum Datenschutzrecht auch die bertragung von Dateien mit pers nlichen Daten Art 2 b bermittlung mithin den Datentransport ber das Internet z B E Mails Sie verlangt nach Art 17 vom Verantwortlichen technische und organisatorische Ma nahmen zum Schutz der Daten mit pers nlichem Charakter insbesondere gegen Ver nderung oder unerlaubten Zugriff Einen Hinweis auf die Abgrenzung der Verantwortlichkeiten bietet auch Art 2 d der Richtlinie wonach nur derjenige der ber die Zwecke und Mittel der Verarbei tung der Daten entscheidet als Verantwortlicher zu betrachten ist und nicht derjenige 1254 der die Dienstleistung anbietet Das TMG enth lt ebenfalls spezifische datenschutz 1251 BVerfGE 65 2 42 ff BVerfGE 80 367 373 BVerfG MMR 2007 93 BVerfG DVBl 2007 497 ff 1252 Spindler in Spindler Vertragsrecht der Internet Provider Teil IV Rn 147 1253 Richtlinie 95 46 EG des Europ ischen Parlaments und des Rates vom 24 Oktober 1995 zum Schutz na t rlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ABl EG Nr L 281 vom 23 November 1995 S 31 1354 Nach Art 2 I der Richtlinie
393. im Empf nger infolge der befallenen Nachrichten entstanden sind in Frage kommen In gleicher Weise m ssen die Betreiber f r die notwendigen Sicherungsma nahmen sorgen die verhindern dass ihre Rechner zu Angriffen auf andere Internet 1249 Teilnehmer missbraucht werden k nnen Die Situation ist hier nicht anders als in den oben diskutierten F llen zu bewerten wenn Dritten der Missbrauch einer Gefahren quelle leichtfertig er ffnet wird In beiden F llen liegt eine fehlende Sicherung einer Gefahrenquelle vor f r deren Missbrauch der Betreiber der Gefahrenquelle einstehen muss b Verletzungen des allgemeinen Pers nlichkeitsrechts au Berhalb von u erungsdelikten Besondere Fragen werfen Verletzungen des allgemeinen Pers nlichkeitsrechts auf die nicht mit u erungen Dritter zusammenh ngen die also nicht auf Inhalte bezogen sind die Dritte auf Rechnern der IT Intermedi re gespeichert oder mit deren Hilfe weiterge leitet haben Mit diesem Bereich ist der Schutz der Kommunikationskan le von Privaten und Unternehmen angesprochen der ber IT Intermedi re er ffnet wird Die essentielle Bedeutung dieses Bereichs erschlie t sich unmittelbar wenn man sich die heutige Be S Nachw Rn 110 ff Ebenso Koch BB 1996 2049 2057 Vgl BGH NJW 1991 459 f r die Haftung des Kfz Halters eines ungesichert abgestellten Kfzs das von Dritten zu deliktischen Handlungen verwendet wurde BGH NJW 2004 1449
394. im konkreten Fall eine erg nzende Vertragsauslegung vorgenommen BGH NJW 2004 1590 JZ 2004 1124 m Anm Spindler So auch Ernst CR 2006 590 593 LG Berlin ZAP 2002 565 KG Berlin NJW RR 2003 637 s auch AG M nchen JurPC Web Dok 391 2002 AG Dillenburg CR 2003 686 BGH NJW 2004 1590 JZ 2004 1124 m Anm Spindler Dem folgend f r Schutzma nahmen gegen Trojaner LG Stralsund CR 2006 487 489 mit zu Recht krit Anm Ernst CR 2006 590 ff Vgl auch LG K ln NJW 1999 3206 BGH NJW 2004 1590 1592 JZ 2004 1124 m Anm Spindler Leible Wildemann K amp R 2004 288 289 hnl Argumentation f r Viren Schmid abrufbar unter http www bwl tu darmstadt de jus4 lehre IuD I_ws_05 ws_0506_vorl_ueb_iud_1_modul_6_060123 pdf 43 Prof Dr Gerald Spindler 123 288 289 290 Sorgfaltsma stab einer steten Ver nderung unterworfen Gegenw rtig wird man auch vom durchschnittlichen IT Nutzer zumindest die Kenntnis grundlegender Sorgfalts ma nahmen im IT Verkehr erwarten k nnen Dazu geh rt beispielsweise die Verwen dung von Anti Virus Programmen im Einzelnen unten Rn 295 ff Wann indes ein Sicherheitsproblem im Einzelfall als allseits bekannt unterstellt wer den kann ist bislang wenig gekl rt Ein Problem wird nicht bereits dann weithin be kannt sein wenn Fachzeitschriften dar ber berichten gerade angesichts der massenwei sen Verbreitung von IT Produkten kann hier etwa nicht auf Computerzeitsc
395. immte bereichsspezifische Anforderungen an kommerzielle Nut zer festlegen Hinzu k nnen sich Anspr che aus Deliktsrecht ergeben sofern die festge legten Pflichten als Schutzgesetz im Rahmen von 823 II BGB einzuordnen sind Schlie lich k nnen im Rahmen der Haftung nach 823 I BGB allgemeine Schutz pflichten bestehen die mit den Selbstschutzpflichten privater Nutzer spiegelbildlich korrelieren Dadurch ergibt sich zwangsl ufig eine gewisse Zersplitterung der Pflichten abh ngig davon welche tatbestandlichen Voraussetzungen ein kommerzieller Nutzer erf llt Um kommerziellen Nutzern eine m glichst kompakte und handhabbare ber sicht ber die Pflichten zu geben m ssen demnach die insgesamt bereinstimmenden Pflichten die Unterschiede sowie das Verh ltnis der einschl gigen Normen zueinander bestimmt werden Dabei ist zu beachten dass nur die wenigsten gesetzlichen Regelungen berhaupt aus dr cklich IT spezifischen Inhalt besitzen also die Konkretisierung auf einzelne Pflich ten jeweils das Ergebnis einer Rechtsfortbildung seitens der Rechtsprechung oder durch die Anwendung von Auslegungsregeln ist Zur Folge hat dies aber auch dass Pflichten selten ganz konkret benannt werden k nnen bzw Alternativen nur in Ausnahmef llen tats chlich ausgeschlossen sind Vielmehr handelt es sich um weiche Normen deren Zielsetzung in unterschiedlicher Weise erreicht werden kann und erreicht werden darf wobei die Anforderungen an das
396. in v Westphalen ProdHaftHdb 24 Rn 10 48 BGH NJW 1990 906 907 BGH NJW 1990 908 909 M nchKommBGB Wagner 823 BGB Rn 576 K tz Deliktsrecht Rn 449 Staudinger J Hager Kap F Rn 8 BGH NJW 1990 908 909 Foerste in v Westphalen ProdHaftHbd 24 Rn 10 M nchKommBGB Wagner 823 BGB Rn 576 K tz Deliktsrecht Rn 449 BGHZ 104 323 328 NJW 1988 2611 BGH NJW 1990 906 BGH NJW 1987 372 Kull mann Pfister Kullmann Produzentenhaftung Kz 1520 S 3 f BGHZ 80 186 192 NJW 1981 1603 vgl BGHZ 104 323 329 NJW 1988 2611 M nch KommBGB Wagner 823 BGB Rn 591 BGHZ 106 273 283 NJW 1989 1542 BGHZ 80 186 192 NJW 1981 1603 Prof Dr Gerald Spindler 16 17 setzen sondern kann sich idR auf die vorherrschende berzeugung in Fachkreisen ver lassen Sind Gefahren bekannt aber nicht die M glichkeiten zu ihrer Vermeidung kann das Produkt nur in Verkehr gebracht werden wenn der Verkehr eine entsprechend reduzierte Sicherheit erwartet wobei dem Hersteller ein Anpassungsermessen bei Wandel des Gefahrenbewusstseins und bei neuen technischen Entwicklungen zuge standen wird Der Hersteller muss den Weg der gr eren Vorsicht w hlen wenn Unsi cherheiten ber die Sicherheitsvorkehrungen bestehen Besonders bedeutsam f r die Konkretisierung der geschuldeten Verkehrspflichten ist in diesem Zusammenhang der Stand von Technik und Wissenschaft hinsichtlich der
397. ind die M glichkeiten der Interaktion deutlich eingeschr nkt und jede Ver nderung der lokalen Repr sentation bspw Eingabe eines Suchbegriffs ist mit einem Anfrage Antwort Zyklus an den zentralen Server verbunden Um diese Einschr nkung zu umgehen wurden die sogenannten Aktiven Inhalte JavaScript 130 Microsoft Active X Plug Ins wie Flash oder Java entwickelt die Erweiterungen des Browsers darstellen und es erlauben dynamisch auf Benutzeraktionen zu reagieren Aktive Inhalte vor allem Active X und Java Applets werden als sog mobile code bezeichnet da sie auf dem Computer des Nutzers ausgef hrt werden also vor dem 128 129 130 131 Eckert IT Sicherheit S 69 ff Tanenbaum Computer Networks S 816 Seila Miller in Bidgoli Encyclopedia of Informationsystems Volume 2 2002 S 693 Garfolo in Bidgoli Encyclopedia of Informationsystems Volume 2 2002 S 715 Opyrchal in van Tilborg Encyclopedia of Crypthography and Security S 657 Prof Dr Gerald Spindler 37 79 80 81 132 133 134 135 136 132 Durch teilweise fehlerhafte Ausf hren vom Server zum Client bertragen werden Implementierungen dieser Erweiterungen in nahezu allen am Markt relevanten Browsern und der Ausnutzung dieser Schwachstellen durch Malware sind Aktive Inhalte in den letzten Jahren zu einem ernsthaften Sicherheitsproblem geworden u M gliche Gegenma nahmen Neben der Grundvoraussetzung der
398. indler XLVII in CR 2006 361 368 R hl Christiane Rechtswahlfreiheit und Rechtswahlklauseln in allgemeinen Gesch ftsbedingun gen Baden Baden 1999 Runte Christian Potinecke Harald Software und GPSG in CR 2004 725 729 Runte Christian Potinecke Harald Software und GPSG in CR 2004 725 729 R pke Giselher Ein Beauftragter f r den Datenschutz in der Anwaltskanzlei in AnwBl 2004 552 555 Sack Rolf Produzentenhaftung und Produktbeobach tungspflicht in BB 1985 813 819 S cker Franz J rgen Hrsg Berliner Kommentar zum Telekommuni kationsgesetz Frankfurt am Main 2006 zitiert S cker Bearbeiter Sailer Kathrin Pr vention im Haftungsrecht Frankfurt am Main 2005 Salje Peter konomische Analyse des Rechts aus deutscher Sicht in RECHTSTHEORIE 15 1984 277 312 Sch fer Hans Bernd Ott Claus Lehrbuch der konomischen Analyse des Zivilrechts 4 Auflage Berlin Hei delberg Bonn New York 2005 Schenke Wolf R diger Ruthig Josef Amtshaftungsanspr che von Bankkunden bei der Verletzung staatlicher Ban kenaufsichtspflichten Prof Dr Gerald Spindler XLVIII in NJW 1994 2324 2329 Scherer Josef Butt Mark Eric Rechtsprobleme bei Vertragsschluss via Internet in DB 2000 1009 1016 Scheurle Klaus D Mayen Thomas Hrsg
399. indler 2 TDG Rn 22 Spindler CR 2007 239 242 Prof Dr Gerald Spindler 293 721 722 723 Das TKG enth lt in den 108 ff besondere Regelungen im Interesse der ffentlichen Sicherheit zu denen gem 109 TKG auch technische Schutzma nahmen geh ren wobei 109 TKG nicht durch die im November 2006 verabschiedete Reform ber hrt wird 109 TKG findet wie auch schon die Vorg ngervorschrift des 87 TKG eu 1294 roparechtlich seine Vorgabe in Art 4 der Datenschutzrichtlinie 109 Abs 2 TKG sinngem Art 4 Abs 1 DSRL Durch 109 Abs 1 TKG geht er Dabei entspricht aber ber die Vorgabe der Datenschutzrichtlinie noch hinaus indem er auch jeden Diensteanbieter anstatt lediglich den Betreiber von Telekommunikation zum Treffen von technischen Schutzma nahmen verpflichtet ce Unterrichtungspflicht des Art 4 Abs 2 der Datenschutzrichtlinie in 109 TKG Nach Nicht erw hnt wird dagegen die Art 4 Abs 2 der Datenschutzrichtlinie muss der Betreiber eines ffentlich zug nglichen elektronischen Kommunikationsdienstes wenn ein besonderes Risiko der Verletzung der Netzsicherheit besteht die Teilnehmer ber dieses Risiko und wenn das Risiko au erhalb des Anwendungsbereichs der vom Diensteanbieter zu treffenden Ma nahmen liegt ber m gliche Abhilfen einschlie lich der voraussichtlich entstehenden Kosten unterrichten Da diese Umsetzung fehlt wird vorgeschlagen in richtlin
400. ine Selbst verst ndlichkeit sei Schuppert in Spindler Vertragsrecht der Internet Provider Teil V Rn 66 Prof Dr Gerald Spindler 274 bereits nach der vertraglichen Vereinbarung die hohe Sensibilit t der Daten deutlich wird Dies kann z B die Information ber zuverl ssige Abwehrprogramme sowie ihre Einrichtung umfassen 2 Vertrags hnliche Anspr che 664 Bislang nicht er rtert ist die Frage ob der Nutzer vertrags hnliche Anspr che gegen Betreiber von Rechnern hat die nicht in das Vertragsverh ltnis zwischen Nutzer und Provider eingeschaltet sind Vor allem Anspr che aus Vertrag mit Schutzwirkung zu gunsten Dritter k nnen hier zugunsten des Nutzers eingreifen etwa wenn der Host Pro vider mit einem Content Provider Vertr ge ber die Bereitstellung von Inhalten getrof fen hat und durch mangelnde Sicherheitsvorkehrungen des Content Providers Hacker Virenbefall etc Sch den beim Nutzer eintreten Aber auch Vertr ge zwischen Access und Host Provider soweit nicht bereits miteinander identisch ber die Bereitstellung von Speicherkapazit ten der Weiterleitung von Daten etc k nnen grunds tzlich als Ankn pfungspunkt f r Schutzpflichten gegen ber Dritten herangezogen werden Von praktischer Bedeutung ist die Frage von Anspr chen aus Vertr gen mit Schutzwirkung zugunsten Dritter vor allem wegen der bekannten Unterschiede zum Deliktsrecht insbe sondere der nicht m glichen Entlastung f r Erf
401. iner bestimmten Vertrauensw r digkeitsstufe k nnte also nur als allgemeing ltig angesehen werden wenn das Zertifi kat sich auf die Auslieferungskonfiguration beziehen w rde und nderungen an der Konfiguration nicht auch nderungen des Sicherheitsstandards nach sich ziehen w r den Eine sinngem e bertragung einer vom Nutzerkreis vorgestellten Sicherheitsstufe von einem Produkt auf ein anderes der gleichen Produktklasse wird damit erheblich er schwert Selbst unter Annahme der Bekanntheit der Common Criteria und des Profils w re somit eine Einordnung schwierig Hinzu kommt die Unbekanntheit der Common Criteria sowie die Vielzahl der m glichen Protection Profiles a Ausf hrlich Spindler Unternehmensorganisationspflichten S 815 f Prof Dr Gerald Spindler 75 166 167 168 Zur angemessenen Bewertung des Evaluierungsergebnisses muss auch der Evaluie rungsreport ber cksichtigt werden Insbesondere Pr ftiefe Pr fmethoden und bedingungen geben erst gemeinsam eingehend Auskunft ber die Qualit t des Zertifi kats Der Hersteller des Produkts kann sich bzw sein Produkt n mlich unterschiedlich strengen Evaluationen unterziehen Das erhaltene Zertifikat sagt demnach nur unter Be r cksichtigung auch des Pr fungsumfangs etwas ber den eingehaltenen Standard aus Bei Betrachtung dieser Bewertungskriterien als Grundlage f r eine gesteigerte Sicher heitserwartung durch den Einsatz eines Zertifikats wird deu
402. ings Enforcement Probleme IT Grundschutz handbuch BSI Prof Dr Gerald Spindler 303 Kommerzielle IT Nutzer bran chenspezifisch Finanzdienst leistungssektor Zusammenspiel Sicher heitsanforderungen und Anscheinsbeweis bzw Pflichtenbestimmung gegen ber Kunden Aufsichtsrecht allge meine Pflicht zum IT Riskmanagement 25a KWGj Konkretisierung bislang unklar MatRisk BaFin aber relativ abstrakt Prof Dr Gerald Spindler G Literaturverzeichnis Abel Ralf Bernd Hrsg Datenschutz in Anwaltschaft Notariat und Justiz 2 Auflage M nchen 2003 zitiert Bearbeiter in Abel Datenschutz in Anwaltschaft Notariat und Justiz Adams Michael konomische Analyse der Gef hrdungs und Verschuldenshaftung Heidel berg 1985 Adams Heinz L hr Volker Bedeutung von Qualit tssicherungssyste men in der entstehenden Haftungs gesellschaft in QZ 36 1991 24 26 Altmeppen Holger Die Auswirkungen des KonTraG auf die GmbH in ZGR 1999 291 313 Altmeppen Holger Haftung der Gesch ftsleiter einer Kapital gesellschaft f r Verletzung von Verkehrssicherungspflichten in ZIP 1995 881 882 884 891 Angerm ller Niels O Eichhorn Michael Ramke Thomas MaRisk Noch mehr Regulierung in Sicht in Kreditwesen 2004 833 834 Angerm ller Niels O Eichhorn Michael Ramke
403. ionen k nnen hier heran gezogen werden Im IT Bereich st t die Informationspflicht an die Grenzen des technischen Verst ndnisses des Durchschnittskunden Unbedenklich sind in diesem Zusammenhang Hinweise zur Verwahrung und Geheimhaltung der Legitimationsme dien selbst z B sichere Verwahrung von PIN und TAN oder der Chipkarte bei HBCI Anders w re dies zu beurteilen wenn die Bank dem Kunden Informationen beispiels weise zu komplizierten Einstellungen von Browser oder Firewall zukommen l sst die zwar erh hte Sicherheit gew hrleisten einen Gro teil der Bankkunden aber berfordern und f r sie ohne fremde Hilfe nicht zu bewerkstelligen sind ausf hrlich zu den Sorg faltsanforderungen an private Nutzer im IT Bereich oben Rn 280 ff zu Firewalls Rn 298 Die Bank kann die Risiken des Online Banking nicht durch bererf llung ihrer Aufkl rungs und Instruktionspflicht auf den Kunden abw lzen Denn es w rde ein Ri siko auf den Kunden verlagert welchem dieser durch eigene Ma nahmen nicht zu be gegnen vermag So aber Bock in Br utigam Leupold Kap VII Rn 67 ebenso Hellner FS Werner S 251 260 f aller dings f r das Btx Banking das geringere Probleme als das Internet aufwies So zutreffend Canaris Bankvertragsrecht Rn 527 q Fervers WM 1988 1037 1041 aA Recknagel Vertrag und Haftung beim Internet Banking S 220 mit dem Argument eine derartige Nachl ssigkeit d rfte nicht zu Lasten der Bank ge
404. is 1978 S 1 ff Nicht der Schaden verpflichtet zum Schadensersatz sondern die Schuld Jhering das Prof Dr Gerald Spindler 24 38 39 40 Kompensationsfunktion und nicht der Steuerungsfunktion des Haftungsrechts liegt Im brigen ist der Unterschied in der normpraktischen Ausgestaltung geringer als so eben theoretisch skizziert da die Steuerungswirkung durch Haftungsobergrenzen In formationsdefizite und Versicherungsm glichkeiten begrenzt ist Haftungsobergrenzen schr nken die Steuerungsfunktion des Haftungsrechts ein und f hren so zu einem h heren Aktivit tsniveau So wie der Akteur Sch den bei denen er mangels Verschulden nicht haftet nicht in seine Kalkulation mit einbezieht bezieht der Akteur bei Haftungsobergrenzen Sch den oberhalb dieser Grenzen nur mit der maxima len Haftungssumme in seine Kalkulation ein Bei einer Verschuldenshaftung wird dieser Effekt nicht vollst ndig erzielt Wie ge sehen kann zwar durch richtige Wahl des Verschuldensma stabes ein optimales Ma an Sorgfalt erreicht werden Allerdings wird das Aktivit tsniveau nicht auf das gesamtge sellschaftliche Optimum gesenkt Denn f r Sch den die trotz Einhaltung der Sorgfalts pflichten entstehen haftet der Akteur nicht Diese werden von Dritten getragen Ergo verursachen seine Handlungen bei ihm weniger Kosten als bei der Gesellschaft insge samt Und Sch den f r die er nicht haftet wird der Akteur nicht in seine Kalk
405. is zwischen Arzt und Patienten greifen nicht die Bedenken die f r den Anwalt gelten W hrend beim Anwalt keine Datenzugriffsbefugnisse bestehen werden im Rahmen der Sozialgesetzb cher weitreichend Daten unter strenger Zweck bindung bermittelt Wenn staatliche Stellen die Abrechnung bernehmen und anhand Zu Einzelheiten Krauskopf in Laufs Uhlenbruck 36 Rn 18 ff Schlund in Laufs Uhlenbruck 76 Rn 16 Hermeler Rechtliche Rahmenbedingungen der Telemedizin S 55 Quaas Zuck Zuck 2 Rn 45 S o Rn 409 ff ebenso Hermeler Rechtliche Rahmenbedingungen der Telemedizin S 82 Empfehlungen der Bundes rztekammer zur rztlichen Schweigepflicht Datenschutz und Datenverarbei tung in der Arztpraxis abrufbar unter http www bundesaerztekammer de page asp his 0 7 47 3228 amp all true zuletzt abgerufen am 06 06 2007 Gola NJW 1993 3109 3115 Prof Dr Gerald Spindler 261 624 625 626 627 der bertragenen Daten auch Kontrollen z B zur Abrechnung durchf hren d rfen so ist nicht ersichtlich warum die staatlichen Aufsichtsbeh rden von der Kontrolle ausge schlossen sein sollten solange der Schutz der h chstpers nlichen Daten durch das Ver weigerungsrecht des Arztes gew hrleistet ist Den Arzt treffen somit die in 9 BDSG und dem zugeh rigen Anhang konkretisierten speziellen Pflichten zur Ergreifung von Sicherungsma nahmen Auf den Verh ltnism Bigkeitsgrundsatz nach 9 Satz 2 BDSG k
406. ise online Meldung v 09 03 2001 abrufbar unter http www heise de newsticker meldung 15958 Lier VW 2004 554 556 Zahrnt CR 2000 205 f wobei die Frage ob ein Softwarepflegevertrag vor Ablauf von 5 Jahren gek n digt werden darf verneint wird ebenso LG K ln CR 1999 218 dazu im Bereich Produktsicherheit AG M nchen NJW 1970 1852 anders OLG Koblenz CR 2005 482 Ca 5 Jahre LG K ln CR 1999 218 eher l nger Jaeger CR 1999 209 211 10 Jahre Bartsch CR 1998 193 Prof Dr Gerald Spindler 166 395 396 735 736 137 738 739 740 741 den IT Hersteller im Verh ltnis zu gesch digten Dritten zu entlasten Denn er verf gt ber die M glichkeiten die Software entweder zu ersetzen oder die potenziellen Gefah renquellen zu isolieren vom Netz nehmen und dadurch die Gefahren zu minimie ren Sind die Supportzyklen des Herstellers ausreichend lang so k nnen dem IT Nutzer anschlie end in entsprechenden Abst nden aus dem Blickwinkel des Haftungs rechts durchaus wiederkehrende Kosten auch in Form des Neukaufs aktueller Software alternativ der Abschluss eines entsprechenden Softwarepflegevertrags zugemutet werden sofern dies die einzige M glichkeit zur Ergreifung notwendiger Sicherungs ma nahmen ist d Nutzung von Nutzerkonten mit eingeschr nkten Rechten Im Normalbetrieb eines kommerziellen Nutzers werden lediglich die vorhandenen Pro gramme genutzt Eingriffe in das System
407. ist auf die aktive Mitwirkung des Bank kunden angewiesen der die E Mail ffnen dem angegebenen Link folgen und schlie lich PIN und TAN eingeben muss Am Kunden ist es zun chst den Anscheinsbeweis f r die Urheberschaft der Erkl rung zu ersch ttern was beim Phishing wohl gelingen wird sofern die Phishing E Mail noch nachweisbar vorhanden ist Auch wenn der Nachweis eines Angriffs Dritter erfolgreich gef hrt wird steht der Kun de vor dem Problem auch den Anscheinsbeweis einer Pflichtverletzung zu ersch ttern Er wird dann darzulegen haben dass er gutgl ubig auf die Absenderschaft der Bank f r die Phishing E Mail vertraut hat und deshalb PIN und TAN bermittelt hat Die An forderungen an die Ersch tterung des Anscheinsbeweises sind dabei abh ngig davon welche Sorgfaltsanforderungen dem Bankkunden auferlegt werden Sofern bereits die blo e Beantwortung einer Phishing E Mail eine Pflichtverletzung begr ndet wird die Ersch tterung des Anscheinsbeweises in der Regel wohl ausscheiden ii Szenario 2 Der Bankkunde kann den Beweis des ersten Anscheins f r seine Urheberschaft f r eine Transaktion ersch ttern wenn er die ernsthafte M glichkeit einer Manipulation darlegt Hierbei wird es entscheidend darauf ankommen ob die Rechtsprechung beispielsweise die geh ufte Verbindung zu einigen IP Adressen als Ersch tterung des Anscheinsbe weises ausreichen l sst Gelingt dem Bankkunden schon der Nachweis einer Manipula
408. it unabh ngig von vertraglichen Regelungen fehlen indes die Strukturen stellen sich als inhomogen dar Lediglich die Regelungen im Datenschutzrecht bez g lich einer datenschutzsichernden Organisation die Elemente eines IT Riskmanagements umfassen erstrecken sich als spezifische IT bezogene Normen breitfl chig auf zahlrei che Nutzer und IT Anbieter Im geltenden Recht muss daher im Wesentlichen auf die allgemeinen Regelungen im b rgerlichen sowie im ffentlichen Recht rekurriert wer den Dabei kann grob zwischen produkt dienstleistungs und organisationsbezogenen Regelungen unterschieden werden F r IT Hersteller sind vor allem die produktbezogenen Sicherungspflichten des Pro dukthaftungs und des Produktsicherheitsrecht einschl gig Allerdings offenbaren sich hier erhebliche Defizite Im ffentlich rechtlichen Produktsicherheitsrecht finden sich bislang kaum relevante technische Re geln f r IT Produkte wenn dann nur als Abfallprodukt anderer Normungen Ausnahmen wie das Medizinproduktegesetz best tigen hier die Regel Zudem sind die meisten Produktsicherheitsnor men erst recht das allgemeine GPSG auf K rpersch den sowie auf Verbraucherschutz beschr nkt die f r IT Produkte typischen Sch den wie Verm gens oder Eigentumssch den werden gerade nicht erfasst Im Produkthaftungsrecht ist im Rahmen der verschuldensunabh ngigen Haftung zun chst die Eigen schaft der Software als Produkt nach wie vor nic
409. izin und Arbeitsschutz siehe 2 Abs 14 und 12 GPSG Prof Dr Gerald Spindler 105 239 240 241 242 Soweit Hard und Software als Verbraucherprodukt im Sinne von 2 Abs 3 GPSG einzuordnen sind treffen den Hersteller die besonderen Pflichten nach 5 GPSG Der Hersteller ist daher insbesondere verpflichtet ber von dem Produkt ausgehende Gefah ren zu informieren 5 Abs 1 Nr la GPSG seinen Namen und seiner Adresse auf dem Produkt anzubringen 5 Abs 1 Nr 1b GPSG und Vorkehrungen zu treffen damit er imstande ist zur Vermeidung von Gefahren geeignete Ma nahmen zu veranlassen bis hin zur R cknahme des Verbraucherprodukts der angemessenen und wirksamen War nung und dem R ckruf 5 Abs 1 Nr Ic GPSG Gehen von den in Verkehr gebrachten Produkten Gefahren f r die Gesundheit und die Sicherheit von Personen aus hat der Hersteller unverz glich die zust ndige Beh rde zu informieren 5 Abs 2 GPSG Die genannten Pflichten sind ohne weiteres auf die Hersteller von Hardware anwendbar Ihre bertragung auf Software st t dagegen auf Schwierigkeiten Beispielsweise ist die Informationspflicht nach Nr la wohl nur schwer auf Software zu bertragen denn Software weist an sich keine gef hrliche Beschaffenheit auf sondern wird erst in folge eines Programmierfehlers oder nachtr glicher Einflussnahme zu einer Gefahr Die Identifikation des Herstellers Nr 1b kann bei online bertragener Software nur durch g
410. k 2005 48 52 Prof Dr Gerald Spindler XXIV Hohmann Harald Haftung der Softwarehersteller f r das Jahr 2000 Problem in NJW 1999 521 526 Hollmann Hermann H Die EG Produkthafunsgslinie Teile I und aD in DB 1985 2389 2396 und 2439 2443 Holznagel Bernd Recht der IT Sicherheit M nchen 2003 Hommelhoff Peter Risikomanagement im GmbH Recht in Berger Klaus P Ebke Werner F Elsing Siegfried H Hrsg Festschrift f r Otto Sandrock zum 70 Geburtstag Heidelberg 2000 373 383 Honsell Heinrich Produkthaftungsgesetz und allgemeine Deliktshaftung in JuS 1995 211 215 Hopt Klaus J Grundsatz und Praxisprobleme nach dem Wertpapiergesetz in ZHR 159 135 163 1965 H ffer Uwe Aktiengesetz 7 Auflage M nchen 2006 Huth Rainer Die Bedeutung technischer Normen f r die Haftung des Warenherstellers nach 823 BG und dem Produkthaf tungsgesetz Frankfurt am Main Berlin Bern New York 1992 H tten Christoph Stromann Hilke Umsetzung des Sarbanes Oxley Act in der Unternehmenspraxis in BB 2003 2223 2227 Imhof Ralf Wahl Adalbert Auf der Suche nach der verlorenen Zeit Prof Dr Gerald Spindler XXV Das Jahr 2000 Problem in WpK Mitt 1998 136 141 Intveen Michael Weitere Einzelheiten zu Haftungsklauseln in Allgemeinen Gesch ftsbedingun
411. keit von Gefahrenabwehr ma nahmen den Sicherheitserwartungen des Verkehrs und gegebenenfalls des Ver tragspartners und dem m glichen Ausma des Eigenschutzes abstellen Diese Ma st be k nnen zwar im Einzelfall durch vertragliche Vereinbarungen modifiziert werden doch sind sie immer wieder bei der Konkretisierung der im Verkehr erforderlichen und blichen Sorgfalt nach 276 BGB anzutreffen 2 Methodischer Hintergrund Die rechts konomische Perspektive Insoweit zutr M llers VersR 1996 153 158 Hasselblatt Die Grenzziehung zwischen verantwortlicher Fremd und eigenverantwortlicher Selbstgef hrdung im Deliktsrecht S 131 ff f r eine st rkere ber lappung von Fremd und Eigenverantwortlichkeit dagegen Zeuner in FS Medicus S 693 699 ff BGHZ 104 323 328 NJW 1988 2611 BGH NJW RR 1989 219 220 OLG K ln VersR 1993 1494 f M nchKommBGB Wagner 823 BGB Rn 251 Staudinger J Hager Kap E Rn 32 BGHZ 104 323 328 f NJW 1988 2611 Getr nkeflasche BGH NJW 1999 2815 2816 BGH NJW 1986 52 53 Feuerwerk Silvesternacht BGH NJW 1985 1076 1077 Nicht fertig gestellte Loggia OLG K ln VersR 1992 470 471 Feuerwehr OLG Zweibr cken BauR 1994 781 782 Rev nicht angenommen BGH Beschl v 5 7 1994 VI ZR 346 93 Sicherungsposten einer Baustelle OLG Jena VersR 1998 903 904 Rev nicht angenommen BGH Beschl v 24 3 1998 VI ZR 274 97 Sachver st ndige zur Gefahrenb
412. ker Cracker amp Computerviren Rn 495 Spindler in Spindler Vertragsrecht der Internet Provider Teil IV Rn 357 zust Mankowski in Ernst Hacker Cracker amp Computerviren Rn 495 Spindler in Spindler Vertragsrecht der Internet Provider Teil IV Rn 357 7 Zu diesem Vergleich s Koch CR 1997 193 199 Fu n 30 1245 1246 Prof Dr Gerald Spindler 280 680 681 682 1248 1249 1250 Dagegen m ssen auch die Betreiber der zwischengeschalteten Rechner daf r Sorge tra gen dass ihr Transportgut nicht in ihrer Einflusssph re mit Viren befallen werden kann und die transportierten Daten verseucht werden Diese Sicherheitsma nahmen werden vern nftigerweise vom Verkehr erwartet Allerdings ist zu ber cksichtigen dass es sich hier stets um nur mittelbare Rechtsgutsverletzungen handelt da an den ver schickten Datenpaketen selbst kein Eigentum besteht Selbst wenn man Daten wie 1248 hier als eigentumsf higes Recht betrachtet setzt dies doch in irgendeiner Weise eine Verk rperung z B auf einer Festplatte voraus deren Substanz oder Funktionsf higkeit verletzt werden kann Mit der Zwischenspeicherung auf dem Router Rechner wird aber gerade nicht fremdes Eigentum durch Verk rperung begr ndet sondern wer den nur zugeleitete Daten abgelegt Daher k nnen nur mittelbare Rechtsgutsverletzun gen beim Empf nger die durch die Vernichtung oder Beeintr chtigung des Datenbe standes be
413. koakzeptanz v Bar Christian Vorbeugender Rechtsschutz vor Verkehrs pflichtverletzungen in 25 Jahre Karlsruher Forum Jubil ums ausgabe 1983 S 80 85 v Bar Christian Verkehrspflichten K ln Berlin Bonn M nchen 1980 v Gamm Otto Friedrich Datenschutz und Wettbewerbsrecht in GRUR 1996 574 579 v Lewinski Kai Anwaltliche Schweigepflicht und E Mail in BRAK Mitt 2004 12 17 v Westphalen Friedrich Die allgemeine Verkehrssicherungspflicht und die Beleuchtungspflicht auf f fentlichen Stra en in DB 1987 Beilage Nr 11 1 15 Prof Dr Gerald Spindler LXIII v Westphalen Friedrich Warn oder R ckrufaktion bei nicht siche ren Produkten 8 9 ProdSG als Schutzgesetz i S von 823 Abs 2 BGB Rechtliche und versiche rungsrechtliche Konsequenzen in DB 1999 1369 1374 v Westphalen Friedrich Jahr 2000 Fehler und deliktische Haf tung in DStR 1998 1722 1724 v Westphalen Friedrich Die Millennium Garantie und ihre Rechts folgen in PHi 1998 222 227 lt Westphalen Friedrich Hrsg Vertragsrecht und AGB Klauselwerke Loseblatt Stand Oktober 2006 zitiert Bearbeiter in v Westphalen Ver tragsrecht und AGB Klauselwerke v Westphalen Friedrich Produkthaftungshandbuch Band I M n chen 1997 zitiert Bearbeiter in v Westphalen Prod Ha
414. kommen ist aber nicht v llig auszuschlie en Deutlich mehr praktische Relevanz d rfte bei privaten Nutzern eine Eigentumsverletzung wegen St rung der Integrit t von Daten z B infolge der Weiterverbreitung von Viren haben oben Rn 108 ff Denkbar ist zudem eine Beeintr chtigung der bestimmungsgem en Verwendung eines Computersystems Problematisch ist in diesem Zusammenhang etwa die Teilnahme an Attacken die nur die Funktionsf higkeit des Systems beeintr chtigen aber im Grunde keine Datenver nderung vornehmen Hierzu geh rt beispielsweise die durch unterlasse ne Sicherungsma nahmen erm glichte Instrumentalisierung des Rechners eines priva ten Nutzers f r eine Denial of Service Attacke Zur Eigentumsverletzung wegen Nutzungsst rungen ausf hrlich oben Rn 112 Richtet sich der Denial of Service Angriff gegen ein gewerbliches Unternehmen so kommt abgesehen von den genann ten Rechten die Beeintr chtigung des Rechts am eingerichteten und ausge bten Gewer bebetrieb als Auffangrecht in Betracht Allerdings bestehen hier oftmals Probleme hinsichtlich der notwendigen Betriebsbezogenheit b Verkehrspflichten Der private Nutzer muss die Rechtsgutsverletzung durch zurechenbares und pflichtwid riges Handeln oder Unterlassen verursacht haben Eine bewusste Sch digungshand lung wird dabei die Ausnahme darstellen Regelm ig wird der Privatnutzer entweder fahrl ssig zur Sch digung Dritter beitragen
415. kt oder Ver fahren aus erarbeitet hierzu ein Datenschutzkonzept und legt dem Gutachter die ent sprechenden Unterlagen zur Pr fung und Bewertung vor Dabei umfasst die Pr fung auch eine Rechtm igkeitskontrolle also die Bewertung der Erf llung der allgemeinen Spindler Unternehmensorganisationspflichten S 287 f mwN Ro nagel in Ro nagel Handbuch Datenschutzrecht Kap 3 7 Rn 83 Vo bein DuD 2004 92 93 11c BdgDSG 10a DSG NW 4 Abs 2 43 Abs 2 LDSG SH s dazu B umler DuD 2004 80 Simi tis Bizer 9a BDSG Rn 32 Zur Datenschutzzertifizierung Reil nder Weck DuD 2003 692 R sser DuD 2003 401 Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 455 Gola Schomerus 9a BDSG Rn 4 Simitis Bizer 9a BDSG Rn 69 Ro nagel in Ro nagel Handbuch Datenschutzrecht Kap 3 7 Rn 93 Ro nagel in Ro nagel Handbuch Datenschutzrecht Kap 3 7 Rn 92 Simitis Bizer 9a BDSG Rn 70 hnl Ro nagel in Ro nagel Handbuch Datenschutzrecht Kap 3 7 Rn 100 106 f Prof Dr Gerald Spindler 176 425 801 802 803 804 805 objektiven Vorgaben des BDSG Zus tzlich werden auch die technischen Einrichtun gen und Verfahren durch den Auditor berpr ft Die n heren Anforderungen ergeben sich aus dem nach 9a Satz 2 BDSG zu erlassenden Ausf hrungsgesetz f r das aller dings bislang hinsichtlich der Durchf hrung des fakultativen Audits gem 9a BDSG kei
416. kte zur Nutzung f r ffentliche Stellen 80 de geeignet sin Das Unabh ngige Landeszentrum f r Datenschutz Schleswig Holstein ULD bietet hierzu ein Datenschutz G tesiegel an welches nachweist dass die Vereinbarkeit eines Produktes mit den Vorschriften ber Datenschutz und Datensicher 811 heit in einem f rmlichen Verfahren festgestellt worden ist Die Zertifizierung soll vorrangig Beh rden die Auswahl datenschutzgerechter Produkte zu erleichtern s 4 Abs 2 LDSG SH das ULD empfiehlt die Verwendung des Datenschutz G tesiegels aber auch als Wettbewerbsvorteil im Privatkundensektor Es kann auch von Anbietern und Herstellern au erhalb Schleswig Holsteins erworben werden 4 Aufsicht und Durchsetzung Relevant f r die weitr umige Verbreitung von sicherer IT Sicherheitsinfrastruktur sind nicht nur die positiv vorhandenen Pflichten sondern insbesondere die Durchsetzung in Form von Aufsicht und Sanktionen Nur anhand dieser l sst sich auch die Effektivit t der vorhandenen Regelungen beurteilen Enforcement a Aufsicht Die Durchsetzung der datenschutzrechtlichen Pflichten erfolgt grunds tzlich im Rah 813 men der staatlichen Aufsicht die erg nzend neben die Selbstkontrolle tritt Dabei ist wiederum zwischen den ffentlichen und den nicht ffentlichen Stellen zu unterschei den hnl berlegungen stellt M nch RDV 2003 223 224 f an Common Criteria Teil 2 Nr 8 1 Common
417. l KG Kapitalgesellschaft krit kritisch KWG Gesetz ber das Kreditwesen LDSG Landesdatenschutzgesetz LG Landgericht Lit Literatur MaH Mindestanforderungen an das Betreiben von Handelsgesch ften Prof Dr Gerald Spindler LXXIII MalR Mindestanforderungen an die Interne Revisi on MaK Mindestanforderungen an das Kreditgesch ft MatRisk Mindestanforderungen an das Risikomana gement MiFID Markets in Financial Instruments Directive MMR Multimedia und Recht MPG Medizinproduktegesetz mTAN Mobile Transaktionsnummer M nchKommAktG M nchner Kommentar zum AktG M nchKommBGB M nchner Kommentar zum BGB mwN mit weiteren Nachweisen NJW Neue juristische Wochenschrift NJW RR Neue juristische Wochenschrift Rechtspre chungsreport Nr Nummer NZG Neue Zeitschrift f r das Gesellschaftsrecht OLG Oberstes Landgericht NORM sterreichisches Normungsinstitut OVG Oberstes Verwaltungsgericht PDA Personal Digital Assistant PDCA Plan Do Check Act PIN Pers nliche Identifikationsnummer ProdHaftG Produkthaftungsgesetz ProdSG Produktsicherheitsgesetz PTSG Post und Telekommunikationssicherstel lungsgesetz Prof Dr Gerald Spindler LXXIV PTZSV Post und Telekommunikations Zivilschutzverordnung RAID Systeme RDV Recht der Datenverarbeitung RichtI
418. l tze Stadler Thomas Haftung f r Informationen im Internet 2 Auflage Berlin 2005 Staudinger Ansgar Der R ckgriff des Unternehmers in grenz berschreitenden Sachverhalten in ZGS 2002 63 64 Staudinger Julius von J von Staudingers Kommentar zum B r gerlichen Gesetzbuch mit Einf h rungsgesetz und Nebengesetzen 13 Bearbeitung Berlin 1993 ff zitiert Staudinger Bearbeiter Prof Dr Gerald Spindler LVII Steffen Erich Haftung im Wandel in ZVersWiss 82 1993 13 37 Steffen Erich Die haftungsrechtliche Bedeutung der Qualit tssicherung in der Kranken versorgung in Ahrens Hans J rgen v Bar Christi an Fischer Gerfried Spickhoff Andreas Taupitz Jochen Hrsg Festschrift f r Erwin Deutsch zum 70 Geburtstag K ln Berlin Bonn M nchen 1999 799 814 Stein Friedrich Jonas Martin Kommentar zur Zivilprozessordnung 22 Auflage T bingen 2002 zitiert Stein Jonas Bearbeiter Shavell Steven Strict Liability versus Negligence in The Journal of Legal Studies Vol 9 No 1 1980 1 25 Stichtenoth Jonas Software berlassungsvertr ge nach dem Schuldrechtsmodernisierungsge setz in K amp R 2003 105 110 Stober Rolf Customer Relationship Management Ri sikomanagement und Wirtschafts verwaltungsmanagement in D V 2005 333 338 Stockhausen Lothar D
419. l in ffentlichen als 780 auch in nicht ffentlichen Stellen ein Datenschutzbeauftragter zu bestellen Im f fentlichen Bereich gibt es auch entsprechende Regelungen der L nder Mit der Wahl der Verpflichtung zur Bestellung wurde eine Regelung geschaffen die zwischen staatli cher Aufsicht und wirtschaftlicher Eigenkontrolle liegt Entsprechend 4g BDSG wirkt der Beauftrage auf die Einhaltung des BDSG sowie anderer datenschutzrechtli cher Bestimmungen hin Er ist somit auch verantwortlich f r die durch 9 BDSG sowie Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 131 Vgl Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 650 Daf r Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 133 f IuK Mindestanforderungen 2001 abrufbar unter http www bsi de gshb deutsch hilfmi extern IuKMindestanforderungen pdf Ausf hrlich Spindler Unternehmensorganisationspflichten S 283 ff Abel in Ro nagel Handbuch Datenschutzrecht Kap 5 6 Rn 5 K nigshofen in Ro nagel Handbuch Datenschutzrecht Kap 5 5 Rn 3 f Prof Dr Gerald Spindler 174 422 783 784 785 786 787 788 789 790 die zugeh rige Anlage normierten Pflichten Mittelbar bernimmt er folglich f r alle Anlagen und Daten f r die das BDSG Anwendung findet auch die Aufgabe des IT Sicherheitsbeauftragten Zu beachten gilt dass der Datenschutzbeauftragte weder als betrieblicher Beau
420. laro F ser Die Bank 2005 68 69 f Capellaro F ser Die Bank 2005 68 69 Capellaro F ser Die Bank 2005 68 70 Capellaro F ser Die Bank 2005 68 70 Prof Dr Gerald Spindler 154 364 365 Falle des Versagens der Software ergeben Ein Kreditunternehmen w re daher u U schon von Rechts wegen gehalten zus tzliche Sicherheiten oder einen h heren Kredit zins zu verlangen Ein schlechtes IT Riskmanagement kann sich daher auf die Finanzie rungskonditionen eines Unternehmens unmittelbar auswirken Jedenfalls bez glich des von dem Zertifikat erfassten Risikobereichs sollte sich das Fi nanzinstitut aber auf die Vorlage eines Zertifikats berufen k nnen um den Nachweis zu erbringen dass im Bereich des IT Managements des Unternehmens eine ausreichende Risikoeinsch tzung stattgefunden hat F r die Annahme dass ein Zertifikat eine eigene Risikoeinsch tzung durch das Finanzinstitut ersetzt spricht dass die Erteilung der ge nannten Zertifikate an hohe Anforderungen gekn pft ist und jene Anforderungen um fassend sind so dass kein Raum f r zus tzliche Anforderungen seitens der Finanzinsti tute besteht Zwar ist zu bedenken dass das Verfahren und die Entscheidung zur Zutei lung der Zertifikate fehlerbehaftet sein k nnen doch ist es nicht praktikabel und nicht zu erwarten dass das Finanzinstitut eine berpr fung des Verfahrens vornimmt Au erdem w rde der Effizienzgewinn durch die Standardisierung sta
421. ler 232 4 Prozessuale Rechtslage insbesondere Anscheinsbe weis 552 Nach allgemeinen Beweislastgrunds tzen tr gt die Bank die Darlegungs und Beweis 553 last daf r dass zwischen ihr und dem Kunden ein berweisungsvertrag zustande ge kommen ist oder wenn ein Missbrauchsfall vorliegt dass der Kunde die ihm oblie gende Sorgfalt verletzt hat die Beweislastumkehr des 280 Abs 1 Satz 2 BGB gilt nur 1073 hinsichtlich des Vertretenm ssens Bestreitet der Kunde Urheber des elektronischen berweisungsauftrages zu sein wird die Bank im Regelfall nicht beweisen k nnen dass gerade der Kunde oder ein von ihm bevollm chtigter Dritter die f r die berwei sung erforderlichen Eingaben get tigt und das Legitimationsmedium verwandt hat 4 Angesichts der Beweisnot der Bank kommen Beweiserleichterungen in Form entweder einer Umkehr der Beweislast a oder eines Anscheinsbeweises b zu Lasten des Kunden in Betracht a Umkehr der Beweislast Eine Beweislastumkehr zugunsten der Bank so dass der Kunde nachweisen m sste dass er nicht die elektronische Willenserkl rung abgegeben hat findet keine Grundlage 1075 im Gesetz und w re auch nicht sachgerecht da sie dem Kunden den Vollbeweis aufb rden w rde Der Kunde ist selbst unter Zugrundelegung von Gedanken aus der 1076 Gefahrenkreis bzw Sph rentheorie nicht in der Lage Risiken zu beherrschen die nicht aus seinem Bereich stammen gerade
422. lerhafte Computerprogramme S 262 Staudin ger Hager 823 BGB Rn D 67 BGHZ 29 65 74 BGHZ 90 113 123 n her dazu Bamberger Roth Spindler 823 BGB Rn 108 M nchKommBGB Wagner 823 BGB Rn 185 Bartsch Software und das Jahr 2000 S 159 s dagegen f r Virenbefall Koch NJW 2004 801 803 Taeger Au ervertragliche Haftung f r fehlerhafte Computerprogramme S 260 f Ausf hrlich Koch Versicherbarkeit von IT Risiken Rn 633 ff BGHZ 67 359 364 f BGHZ 86 256 258 BGH NJW 1998 1942 1943 ausf hrlich Bamber ger Roth Spindler 823 BGB Rn 60 ff BGHZ 86 256 258 f Prof Dr Gerald Spindler 51 110 111 203 204 205 206 207 208 209 wenn ein Softwarefehler zur Besch digung oder Zerst rung der Sache z B Maschine 203 Fahrzeug usw f hrt in die sie eingebaut ist ii Verletzung der Datenintegrit t und verf gbarkeit Im Grundsatz erfasst das nach 823 Abs 1 BGB gesch tzte Eigentum auch die Integ rit t von Daten da schon die Funktionalit t und innere Ordnung des Eigentums z B einer Sammlung auch ohne Substanzsch digung gesch tzt wird Da jede Fest platte eine innere Ordnung der gespeicherten Daten voraussetzt f hrt die Zerst rung dieser Ordnung durch Ver nderung oder L schung von Daten grunds tzlich zu einer Eigentumsverletzung Ein erheblicher Teil von Daten und Datenbanken f llt somit in den Schutzbereich von 823 Abs 1 BGB in den Bereic
423. letzung von einer sp rbaren Beeintr chtigung des Marktwertes abh ngig gemacht wird 66 muss doch ber cksichtigt werden dass vor allem der fehlende Zugang zum Unterneh men dessen Marktwert f r einen potenziellen K ufer mindert sofern die Behinderung ber einen nicht unerheblichen Zeitraum andauert Dar ber hinaus k nnen Anspr che aus 823 Abs 1 826 BGB vorliegen wenn der E Mail Posteingang eines Unternehmens durch massenhaft versandte E Mail dem sog 1267 Mail Bombing verstopft wird z B im Rahmen von Boykott oder anderen Kam pagnen gegen ein Unternehmen 1269 Derartige Anspr che richten sich dann aller 1260 1261 1262 1263 1264 1265 1266 1267 1268 Ebenso f r das schweizerische Recht Alder in Hilty Information Highway S 331 344 ff allerdings unter dem Gesichtspunkt des Pers nlichkeitsrechts S Fn 1259 BGH VersR 1977 616 617 s auch OLG D sseldorf VersR 1997 589 kein betriebsbezogener Eingriff in den eingerichteten und ausge bten Gewerbebetrieb bei unterlassener Eintragung einer Telefonnummer in die Gelben Seiten Vgl BGHZ 86 152 Im entschiedenen Fall ging es um einen infolge verschuldeten Dammbruchs tro ckengelaufenen Kanal der zu einem Umschlagbetrieb f hrte Der BGH lehnte einen Anspruch ab weil der Dammbruch nicht zu einem Eingriff in die Sachsubstanz der Lagerei und Umschlaganlagen gef hrt habe 155 BGH NJW 1983 812 813
424. lgesch den vgl nur Palandt Heinrichs vor 249 BGB Rn 8 ff mwN Beck scher TKG Kommentar Sch tz 3 Nr 8 TKG Rn 25 Prof Dr Gerald Spindler 270 654 Gegen ber der bislang geltenden TKV enth lt 44a TKG jedoch auch etliche Verbes serungen f r den Gesch digten Anders als in 7 TKV aF entf llt in 44a TKG die in dividuelle Haftungsbegrenzung zugunsten einer nur insgesamt wirkenden Haftungsbe grenzung allerdings wie bisher auch f r alle selbst grob fahrl ssig herbeigef hrten Verm genssch den Begr ndet wird dies von der Bundesregierung damit dass das Ent fallen der individuellen Haftungsbeschr nkung zu einer Besserstellung der Gesch dig ten in den F llen f hre in denen nur wenige von einer Sch digung betroffen sind Damit wird in vielen F llen vermieden dass Ersatzanspr che selbst dann begrenzt wer den wenn ein Anbieter den von ihm verursachten Schaden tats chlich ohne Not tragen kann der jedoch f r den Gesch digten z B bei Datenverlusten eine die wirtschaftli che Existenz bedrohende Dimension haben kann 6 655 Die Pflichtenstellung der IT Intermedi re leitet ber zu der Frage welche Gemeinsam keiten und Unterschiede zwischen der deliktischen Haftung und einer Haftung f r 1217 Dienstleistungen noch bestehen Ohne hier auf Details eingehen zu k nnen sind die grunds tzlichen Unterschiede noch einmal ins Ged chtnis zu rufen die deliktische Haftung greif
425. liche gegen ber ffentlichen Stellen b Pers nliche T tigkeiten 3 Datenschutzrechtliche Pflichten und IT Konkretisierung Prof Dr Gerald Spindler 132 132 133 133 136 137 137 139 140 140 140 140 141 141 141 142 144 145 147 147 150 150 151 151 151 154 154 155 158 158 159 160 162 162 163 164 166 166 167 167 168 168 168 168 168 169 169 169 a Die Pflichten zur Organisation und technischen Schutzma nahmen 9 BDSG i berblick ii IT Sicherheitskonzept ii Datensicherung Backup iv Erkennung und Abwehr externer Angriffe v Schaffung verbindlicher Regelungen vi Dokumentation vii Datenschutzbeauftragter vii Datenschutzaudit 9a BDSG 4 Aufsicht und Durchsetzung a Aufsicht G Nicht ffentliche Stellen ii ffentliche Stellen b TMG c TKG d Ergebnis IV Besondere Sicherheitsanforderungen im Banken und Finanzsektor Vorbemerkung 2 Anforderungen nach dem KWG a Hintergrund b Pflichten und Adressat c Rechtsfolgen d Anhaltspunkte f r IT Konkretisierungen e Die MaRisk 3 Anforderungen nach dem WpHG a Hintergrund b Pflichten und Adressat c Rechtsfolgen d Anhaltspunkte f r IT Konkretisierungen 4 Die MiFID a Hintergrund b Pflichten und Adressat c Rechtsfolgen d Anhaltspunkte f r IT Konkretisierung 5 Zwischenergebnis besondere Verantwortlichkeit im Banken und Finanzsektor 6 Die Verteilung der Risiken bei Online Bankgesch ften a Gefah
426. lichen Ge w hrleistung allein Sch den an anderen Sachen als dem fehlerhaften Produkt F r h Eine andere Sache im die Abgrenzung ist die Verkehrsauffassung ma geblic Sinne der Vorschrift liegt ohne weiteres vor wenn eine von dem fehlerhaften Produkt k rperlich getrennte Sache besch digt wird Im IT Bereich ist dies etwa bei einer me chanischen Einwirkung auf eine andere Sache infolge fehlerhafter Steuerungssoftware im privaten Pkw denkbar z B Auffahrunfall Wird die fehlerhafte Software selbst 419 420 421 422 423 424 S dazu Taschner Frietsch 2 ProdHaftG Rn 22 Palandt Sprau 1 ProdHaftG Rn 5 M nchKommBGB Wagner 823 BGB Rn 6 f Koch Versicherbarkeit von IT Risiken Rn 608 So zu Recht M nchKommBGB Wagner 1 ProdHaftG Rn 7 Larenz Canaris 84 I 1 c S 646 M nchKommBGB Wagner 1 ProdHaftG Rn 9 BT Drucks 11 2447 S 13 Taschner Frietsch 1 ProdHaftG Rn 38 Prof Dr Gerald Spindler 89 196 197 425 426 427 428 429 430 431 432 433 durch ihren Fehler gel scht und damit zerst rt kann dieser Schaden nicht ber das ProdHaftG liquidiert werden Streitig ist im Rahmen des ProdHaftG die Behandlung von Weiterfressersch den da zu bereits Rn 109 also die Frage inwieweit ein fehlerhaftes Teilprodukt im Ver h ltnis zum Endprodukt eine andere Sache sein kann Unter Hinweis auf 1 Abs 1 Satz 2 2 Satz 2 4 ProdHaftG wird in der Lite
427. lichkeit eines Phishing oder Pharming Angriffs und damit ein atypi scher Geschehensablauf dargelegt wird Rechtslage bei ec Karten und Internet Auktionen a ec Karten F r den Einsatz von ec Karten bejaht die obergerichtliche Rechtsprechung seit langem einen Anscheinsbeweis daf r dass bei Einsatz der PIN tats chlich auch der Verf gungsberechtigte die ec Karte ben tzt oder jedenfalls grob fahrl ssig den Missbrauch 1090 1091 1092 1093 1094 1095 1096 1097 BGH NJW 2004 3623 ec Karte BGH NJW 2001 1140 1141 BGH WM 1997 1493 1496 BGHZ 100 31 33 S BGHZ 100 241 216 Ausf hrlich M nchKommZPO Pr tting 286 ZPO Rn 55 ff Stein Jonas Leipold 286 ZPO Rn 90 M nchKommZPO Pr tting 286 ZPO Rn 47 Z ller Greger Vor 284 ZPO Rn 29 Z ller Greger Vor 284 ZPO Rn 29 BGH NJW 2004 3623 ec Karte BGH VersR 1991 460 462 Z ller Greger Vor 284 ZPO Rn 29 BGH NJW 2004 3623 3624 Stein Jonas Leipold 286 ZPO Rn 90 S auch Karger DuD 2006 215 219 Prof Dr Gerald Spindler 236 563 1098 Die hM nimmt hierbei an dass die bei den Banken verwendeten Si erm glicht hat cherheitssysteme f r ec Karten und Geldautomaten Manipulationen durch Dritte mit sehr hoher Wahrscheinlichkeit ausschlie en oder zumindest nachtr glich erkennbar ma 1099 chen Im Einzelfall d rfte zwar nach wie vor Streit ber die Verschl sselungsg te des Systems best
428. licht Nicht empfehlenswert ist es entgegen vereinzelten Stel lungnahmen im Schrifttum im Vertrag mit dem Endnutzer festzulegen dass die Dienste mit einem Risiko im Hinblick auf die Sch digung durch Dritte z B Hacking oder Vi renverseuchung behaftet seien und der Nutzer die Dienste auf eigene Gefahr in An 1243 spruch nehme Eine entsprechende Klausel w re als vollst ndiger Haftungsaus schluss auch f r Gefahren aus dem eigenen Verantwortungsbereich zu qualifizieren der Zu den Anforderungen an Warnpflichten und Instruktionspflichten s Bamberger Roth Spindler 823 Rn 484 ff S auch oben Rn 128 f So aber Roth in Loewenheim Koch Praxis des Online Rechts S 57 143 Prof Dr Gerald Spindler 279 insbesondere in AGB nach den 307 309 Nr 7b BGB unwirksam ist Im Rahmen des Zumutbaren obliegen auch dem Access Provider grundlegende Verkehrspflichten die sich auf den Schutz seines Systems vor Angriffen Unbefugter beziehen Zu ber ck sichtigen ist in diesem Zusammenhang dass der Provider Gefahren die aus seinem Sys tem stammen oder sich dar ber verbreiten aufgrund seiner personellen und technischen Ausstattung regelm ig leichter und effektiver bek mpfen Kann als der private Nut 1245 ZET 678 Vollst ndige Sicherheit kann und muss der Access Provider nicht gew hrleisten Er ist jedoch verpflichtet sein Medium zu beobachten Meldungen oder Beschwerden seiner Nutzer nachzugehen die Nutzer ber
429. lichten und Beweiserleichterun gen in Risikolagen T bingen 1996 M llers Thomas M J Qualit tsmanagement Umweltmanage ment und Haftung in DB 1996 1455 1461 M llers Thomas M J Versicherungspflichten gegen ber Kin dern Prof Dr Gerald Spindler XL in VersR 1996 153 160 Moritz Hans Werner Quo vadis elektronischer Gesch ftsver kehr in CR 2000 61 72 M ller Hengstenberg Claus D Der Vertrag als Mittel des Risikomana gements in CR 2005 385 392 M ller Hengstenberg Claus D Kremar Hel mut Mitwirkungspflichten des Auftraggebers bei IT Projekten in CR 2002 549 ff M ller Hengstenberg Claus D Computersoftware ist keine Sache in NJW 1994 3128 3134 M ller Reichart Matthias Dura Annett Fi scher Harry Nosty Filip M nch Peter Finanzberater und Versicherungsmakler als Risk Advisors nach Basel I in VW 2002 625 Harmonisieren dann Auditieren und Zertifizieren in RDV 2003 223 231 Musielak Hans Joachim Beweislastverteilung nach Gefahrenberei chen in AcP 176 1976 465 486 Musielak Hans Joachim Zivilprozessordnung Kommentar ZPO 5 Auflage M nchen 2007 zitiert Musielak Bearbeiter Near J P Miceli M P Organizational Dissidence The Case of Whistle blowing in Journal of Business Et
430. lie t dass die Zivilgerichte im Einzelfall ber die dort nieder gelegten Verhaltensanforderungen hinausgehen Sie bestimmen mithin die Sorgfalts anforderungen nicht abschlie end und binden die Zivilgerichte mangels Rechtsnorm qualit t nicht Die technischen Normen geben jedoch nicht in jedem Fall die anerkannten Regeln der Technik wieder sie k nnen im Einzelfall auch hinter ihnen zur ckbleiben Der Hersteller muss daher nach Ansicht des BGH grunds tzlich selbst ndig pr fen ob 290 291 292 293 294 295 296 297 Reiff in Marburger Technische Regeln im Umwelt und Technikrecht S 159 Bamberger Roth Spindler 823 BGB Rn 255 M nchKommBGB Wagner 823 BGB Rn 578 BGH NJW 2004 1449 1450 BGHZ 139 16 19 BGHZ 103 338 341 R thel in Marburger Tech nische Regeln im Umwelt und Technikrecht S 31 45 Reiff in Marburger Technische Regeln im Umwelt und Technikrecht S 159 Bamberger Roth Spindler 823 BGB Rn 257 Foerste in v Westphalen ProdHaftHdB 24 Rn 20 M nchKommBGB Wagner 823 BGB Rn 273 578 BGH NJW 2004 1449 1450 BGH NJW RR 2002 525 526 BGH NJW 2001 2019 2020 BGH VersR 1988 632 633 Bamberger Roth Spindler 823 BGB Rn 255 M nchKommBGB Wagner 823 BGB Rn 272 Reiff in Marburger Technische Regeln im Umwelt und Technikrecht S 159 161 ff BGH NJW 2004 1449 1450 BGH VersR 1987 102 103 Reiff in Marburger Technische Regeln i
431. liegen einer Phishing Mail bzw eines Trojaners auf dem Rechner des Kunden ausrei chen Um diese Vermutung zu widerlegen und nachzuweisen dass der Zahlungsdienst nutzer die Zahlung autorisiert bzw in betr gerischer Absicht oder in Bezug auf die ihm gem Art 46 obliegenden Pflichten grob fahrl ssig gehandelt hat reicht die vom Zah lungsdienstleister aufgezeichnete Nutzung eines Zahlungsverifikationsinstruments allein nicht aus Abs 3 Die blo e Verwendung von PIN und TAN k nnte danach nicht mehr zur Begr ndung eines Anscheinsbeweises f r Urheberschaft oder pflichtwidriges Han deln des Kunden herangezogen werden Der Zentrale Kreditausschuss ZKA hat die Regelung des Art 48 Abs 3 des Entwurfs als unausgewogen kritisiert und hierbei insbesondere auf die Gefahr betr gerischer Handlungen von Kunden unter Ausnutzung der Beweisregel hingewiesen Der ZKA fordert die bisherigen Beweislastgrunds tze im deutschen Recht damit den Anscheins beweis beizubehalten da andernfalls das Online Banking Angebot eingeschr nkt oder erheblich verteuert werden m sste Die vom BGH zu ec Karten best tigen Grunds t ze zum Anscheinsbeweis sollten durch gesetzgeberische Ma nahmen auf europ ischer Ebene nicht angetastet werden Die Bestimmungen ber die Haftung des Kunden Art 50 sehen eine Haftungs h chstgrenze von 150 f r Sch den vor die vor Erf llung der Anzeigepflicht gem Art 46 lit b aus der Verwendung eines
432. llen dass der Missbrauch der Daten verhindert wird etwa durch die Wahl ge eigneter Verschl sselungsstandards 2 Unerbetene elektronische Post und St rerhaftung Eine andere eng mit Pers nlichkeitsrechten verkn pfte Frage betrifft die deliktsrechtli che Verantwortlichkeit der IT Intermedi re f r die Zusendung unerbetener elektroni scher Post Diese Frage kann hier indes nur angedeutet werden da sie eine eigene Un tersuchung rechtfertigen w rde Spam Versand und rechtspolitisch sinnvolle Gegen ma nahmen Im Weitesten Sinne kann auch die Vorkehr vor unerw nschten Mail Sendungen zu Sicherungspflichten eines IT Intermedi rs geh ren etwa durch die Ein 1257 N her Spindler DuD 2005 139 ff Prof Dr Gerald Spindler 284 richtung von Spam Filtern die aber durch den IT Nutzer beherrschbar bleiben m s 1258 sen c St rung der Au enbeziehung des im Internet pr senten Unternehmens 692 Neben den zahlreichen F llen in denen ein Anspruch wegen Verletzung der Unterneh menskennzeichen neben namens wettbewerbs marken oder sonstigen zeichenrecht lichen Anspr chen gegeben sein kann und der daher in deren Zusammenhang zu behan deln ist Kann das Recht am eingerichteten und ausge bten Gewerbebetrieb durch die Sperrung eines Internet Zugangs verletzt sein Eine solche Zugangsbehinderung kann beispielsweise durch die Verstopfung der E Mail Adresse oder durch den Zusammen bruch der Web Seite des
433. llmann Kz 1520 S 5 Kullmann Pfister Kullmann Kz 1520 S 5 Foerste in v Westphalen ProdHaftHdB 24 Rn 96 BGH NJW RR 1990 406 f unter Hinweis auf BGH NJW 1987 1009 1011 BGH NJW 1987 372 373 s auch OLG Celle NJW 2003 2544 M nchKommBGB Wagner 823 BGB Rn 578 OLG Oldenburg NJW RR 2005 1338 1339 OLG Stuttgart bei Schmidt Salzer Entscheidungssammlung Produkthaftung IL 117 1 f Schleifschei be Schmidt Salzer Produkthaftung Bd IIV 1 Rn 4 887 Bamberger Roth Spindler 823 BGB Rn 490 BGH NJW RR 1990 406 f Foerste in V Westphalen ProdHaftHdB 26 Rn 61 Soergel Krause Anh III 823 BGB Rn 16 Prof Dr Gerald Spindler 83 185 186 187 Hersteller des Endprodukts beauftragt worden ist bestimmte Produktteile unter Ver wendung der ihm von dem Endprodukthersteller zur Verf gung gestellten Formen her zustellen Die in der industriellen Praxis h ufig anzutreffenden Zertifikate nach DIN ISO 9001 ff k nnen dem Hersteller nicht seinen Entlastungsbeweis abnehmen da kein Auditoren team in den f r die Qualit tszertifizierungen blichen kurzen Zeitspannen in der Lage sein d rfte alle m glichen Fehlerquellen einer Betriebsorganisation zu berpr fen Der Nachweis einer l ckenlosen Qualit tsregelung reicht im Bereich der Produkthaf tung angesichts der erforderlichen Entlastung hinsichtlich s mtlicher Hilfspersonen durch deren individuelle Fehlleistung der Produk
434. llungsgehilfen 278 BGB und der Er fassung von reinen Verm genssch den 665 In der Regel d rften die Voraussetzungen f r derartige Anspr che nicht gegeben sein Denn Leitbild des Vertrages mit Schutzwirkung zugunsten Dritter ist bislang dass der Schuldner bei Vertragsabschluss damit rechnen kann dass Dritte auf Seiten des Gl ubi 1232 Er gers in den Bereich des Vertrages einbezogen werden wie etwa im Mietrecht forderlich ist daher eine gewisse berschaubarkeit derjenigen die in den Genuss der Schutzpflichten des Vertrages kommen nicht zuletzt damit der Schuldner seine Risiken kalkulieren kann Zwar sind Aufweichungstendenzen in der Rechtsprechung feststell bar etwa bei berweisungsauftr gen im Mehr Banken Verkehr doch handelt es sich hier in der Regel um bereichsspezifische Ausnahmen die Risiken f r den Kunden berwinden helfen sollen die allein aufgrund der arbeitsteiligen Erledigung der Auftr ge entstehen 1232 S nur Palandt Gr neberg amp 328 BGB Rn 16 ff mwN M nchKommBGB Gottwald 328 BGB Rn 117 154 1233 OLG Frankfurt WM 1984 726 f r Lastschriften BGH WM 1985 1391 Prof Dr Gerald Spindler 275 666 Auf das Internet sind solche berlegungen nicht bertragbar Denn zum einen ist bei Vertragsabschluss zwischen Providern untereinander in der Regel berhaupt nicht vorhersehbar wie viele Nutzer auf Seiten eines Providers in den Vertrag einbezogen werden woher diese stamm
435. lt sich insbesondere bei der hier vorzunehmenden Abgrenzung bei Arbeitnehmern Diese handeln regelm ig im Rahmen des Betriebs und k nnen dabei auch Kundenkontakt haben M glicherweise fehlt ihnen jedoch die Berechtigung Schutzma nahmen berhaupt zu ergreifen Admin Rechte Selbst wenn sie die Berech tigung haben so sind die Pflichten dem Betriebsinhaber zuzuweisen nicht aber dem einzelnen Arbeitnehmer Auch ist m glich dass der Arbeitnehmer an seinem privaten Computer arbeitet und mit diesem dem kommerziellen Betrieb zuzuordnen sein k nnte Fraglich ist ob die Pflichten die sie bei der Handlung am Arbeitsplatz haben K nnten auch im rein privaten Bereich weiter gelten m ssten Zwar k nnte sich hier die Zurech nung der Gefahrenquellen zum Betriebsinhaber wiederum wegen fehlender Zugriffs m glichkeiten auf den privaten Rechner des Nutzers schwierig gestalten doch w rde damit verkannt dass der Betriebsinhaber es in der Hand hat berhaupt den Einsatz von privaten Rechnern zuzulassen einschlie lich von Richtlinien zur entsprechenden Kon figuration von Sicherheitsma nahmen Auch hier ist auf den Ankn pfungspunkt einer m glichen Pflicht abzustellen Der Ar beitnehmer der nicht am betriebseigenen Systemen arbeitet kann tats chlich w hrend seiner T tigkeit f r das Unternehmen nicht gegen ber anderen Mitarbeitern zu Lasten des Gesch digten privilegiert werden Seine Pflichten bez glich der IT Sicherheit des Systems e
436. lung Im Umkehrschluss lie e sich behaupten dass k rperlich nicht fi 457 458 459 460 461 462 463 464 Zscherpe Lutz K amp R 2005 499 500 Hoeren Ernstschneider MMR 2004 507 f Hoeren Ernstschneider MMR 2004 507 508 So Zscherpe Lutz K amp R 2005 499 500 Dazu Hoeren Ernstscheider MMR 2004 507 S Rn 190 ff Klindt GPSG 2 GPSG Rn 13 Wilrich 2 GPSG Rn 4 Runte Potinecke CR 2004 725 ferner Hoeren Ernstschneider MMR 2004 508 S Runte Potinecke CR 2004 726 BT Drucks 15 1620 S 26 Hoeren Ernstschneider MMR 2004 507 508 Wilrich 2 Rn 10 Prof Dr Gerald Spindler 97 216 217 218 465 466 467 xierte Software nicht vom Ger te und Produktsicherheitsgesetz erfasst sein soll Al lerdings kann diese Argumentation kaum berzeugen da aus der Formulierung in 3 Nr 1 MPG nach der Medizinprodukte als alle einzeln oder verbunden verwendeten Instrumente einschlie lich der f r ein einwandfreies Funktionieren des Medizin produktes eingesetzten Software definiert werden lediglich ersichtlich ist dass Soft ware kein Instrument ist Die Einordnung von Software unter das GPSG bedarf insofern einer differenzierteren Betrachtung bei der zwischen sogenannter embedded Software also solcher die in ein Endprodukt integriert ist und Steuerungsfunktionen erf llt und solcher die selb st ndig zu nutzen ist unterschieden werden muss a
437. lungen im Hinblick auf die rechtliche Bedeutung von technischen Stan dards und Regeln herangezogen werden So wie DIN Normen oder andere technische Standards Vermutungswirkungen Produktsicherheitsrecht oder Beweiserleichterungen ausl sen Produkthaftungsrecht k nnen auch die f r IT Produkte entwickelten Com mon Criteria im Zusammenhang mit Protection profiles als allgemein anerkannte Re geln der Technik im Bereich der Software f r bestimmte Produkte angesehen werden Von den produktbezogenen Regeln und Standards sind die t tigkeitsbezogenen Pflich ten der IT Intermedi re und IT Nutzer zu unterscheiden Hier besteht f r IT Intermedi re eine Gemengelage aus Haftungsprivilegierungen durch das TMG bzw die E Commerce Richtlinie einerseits Pflichten zur Sicherung der eigenen IT Systeme andererseits Letztere werden schlie lich im Bereich der Telekom munikationsdienste die die meisten der IT Intermedi re erfasst wenn sie selbst elekt ronische Kommunikationsnetze betreiben erheblich durch die Haftungsprivilegierung des 44a TKG abgeschw cht Ob und inwieweit diese Haftungsbegrenzungen gegen ber dem IT Intermedi r auch auf Sch den anzuwenden sind die der Nutzer eines Net zes infolge von Einwirkungen Dritter erleidet Hacking etc ist bislang noch ungekl rt wohl aber anzunehmen Allerdings greifen diese Haftungsprivilegierungen nicht gegen ber Dritten die ber die Netze des IT Intermedi rs gesch digt werden da keine
438. m ig Au erdem wird meist auch darauf hingewiesen dass mit sogenannten Virenscannern eine relativ einfach zu handhabende Vorsorgem glichkeit besteht Der Nutzer muss le diglich ein entsprechendes Programm kaufen oder kostenfrei im Internet herunterladen und installieren Bei neu erworbenen Computern geh rt ein vorinstalliertes Viren schutzprogramm zum blichen Lieferumfang Die Verwendung eines Antivirenschutz programms ist dabei auch dem Durchschnittsnutzer sowohl technisch als auch wirt 572 schaftlich zumutbar Technische Vorkenntnisse sind nicht erforderlich da die Stan dardprogramme entsprechende Nutzerf hrungen enthalten Wirtschaftliche Argumente gt 08 Mankowsski in Ernst Hacker Cracker amp Computerviren Rn 516 gt 59 Koch NJW 2004 801 803 Libertus MMR 2005 507 509 0 LG K ln NJW 1999 3206 Koch NIW 2004 801 802 Libertus MMR 2005 507 509 Schmidbauer abrufbar unter http www i4j at news aktuell36 htm Schultze Melling CR 2005 7 Schneider G nther CR 1997 389 394 Spindler JZ 2004 1128 1129 Tita VW 2001 1781 1784 gt 71 OLG Hamburg MMR 2005 119 120 G ttert VW 2001 1972 ma Mankowski in Ernst Hacker Cracker amp Computerviren Rn 516 Prof Dr Gerald Spindler 126 296 297 298 573 574 575 576 577 gegen den Einsatz von Virenscannern d rften schon deshalb nicht verfangen weil sol che kostenlos im Internet als Freeware zum Downl
439. m Umwelt und Technikrecht S 161 Bamberger Roth Spindler 823 BGB Rn 20 255 Soergel Krause Anh II 823 BGB Rn 49 M nchKommBGB Wagner 823 BGB Rn 272 Staudinger Hager 823 BGB Rn G 34 Vieweg in Schulte Handbuch des Technikrechts S 355 Bamberger Roth Spindler 823 BGB Rn 255 Vieweg in Schulte Handbuch des Technikrechts S 360 BGH NJW 1987 372 373 Foerste in v Westphalen ProdHaftHdB 24 Rn 37 BGHZ139 16 20 OLG N rnberg NJW RR 2002 1538 Reiff in Marburger Technische Regeln im Umwelt und Technikrecht S 161 f Prof Dr Gerald Spindler 67 148 und welche Sicherungsma nahmen erforderlich sind Die Einhaltung der einschl gi gen technischen Norm entlastet nur dann wenn sie die jeweiligen Gefahren ausreichend ber cksichtigt also z B auch besonders gef hrdete Verkehrskreise mit einbezieht ber die normierten Standards hinausgehende Sicherheitsma nahmen wird man dann fordern m ssen wenn die technischen Normen veraltet sind besonderen Gefahrenlagen zu begegnen ist oder sich das Produkt an einen besonders gef hrdeten Nutzerkreis wen det 300 Insbesondere f r DIN Normen besteht bei Einhaltung der in technischen Normen geregelten Standards jedoch eine tats chliche Vermutung f r die Wiedergabe der anerkannten Regeln der Technik die nicht unterschritten werden d rfen Keine anderen Grunds tze gelten auch f r europ isch harmonisierte Normen im Rahmen des sog
440. mBGB Micklitz 13 BGB Rn 10 Prof Dr Gerald Spindler 118 276 277 278 537 538 539 au ervertragliche Anspr che gest tzt werden kann Spezialgesetzlich normierte Pflichten bestehen f r Private im IT Sektor soweit ersichtlich nicht 1 Vors tzliche Verletzungshandlungen Als vors tzliche Sch digungshandlungen kommen im Bereich der IT Sicherheit vor allem Hacking Denial of Service Attacken und die bewusste Weiterverbreitung von Viren in Betracht Gegen ber dem privaten Nutzer als T ter kommen in diesem F l len Schadensersatzanspr che wegen der Verletzung von Schutzgesetzen 823 Abs 2 BGB und wegen vors tzlich sittenwidriger Sch digung 826 BGB in Betracht so dass ohne R cksicht auf eine Rechtsgutsverletzung im Sinne von 823 Abs 1 BGB auch prim re Verm genssch den ersatzf hig sind Relevantes Schutzgesetz in diesem Bereich ist neben strafrechtlichen Normen wie beispielsweise 202a StGB Aussp hen von Daten oder 303a StGB Datenver nderung vor allem 43 Abs 2 Nr 4 BDSG Danach handelt ordnungswidrig wer die bermittlung personenbezogener Daten wel che nicht allgemein zug nglich sind durch unrichtige Angaben erschleicht Soweit dem Gesch digten hiernach ein Anspruch zusteht wird eine Inanspruchnahme des T ters jedoch h ufig an praktischen Durchsetzungsproblemen scheitern 2 Sicherheitspflichten privater IT Nutzer gegen ber Dritten Mangels eines entsprechend
441. mak_rs34_2002 pdf zuletzt abgerufen am 06 06 2007 Prof Dr Gerald Spindler 188 450 874 wird MaH in die Mindestanforderungen an das Risikomanagement MaRisk dem Konzept einer einheitlichen Risikobetrachtung Rechnung getragen In den neuen Rahmenvorgaben werden detailliert Pflichten bez glich der Ausgestaltung der Lei tungs Steuerungs und Kontrollprozesse als elementare Bestandteile des institutsinter nen Risikomanagements festgelegt wobei 25 Abs 1 Nr 1 und 2 KWG als zentraler Ankn pfungspunkt dient Mit den MaRisk sollen zugleich die an die Kreditinstitute gerichteten qualitativen Anforderungen der zweiten S ule Qualitative Bankenauf sicht von Basel II abgedeckt werden Die modular aufgebaute MaRisk bestehend aus einem Allgemeinen und Besonderen Teil greift zum Teil die dargestellten Grunds tze der bestehenden Rahmenvorgaben 880 Be auf Insbesondere die allgemeinen Anforderungen an das Risikomanagement wurden 873 874 875 876 877 878 879 880 BaKred Verlautbarung ber Mindestanforderungen an das Betreiben von Handelsgesch ften vom 25 10 1995 sog MaH Rundschreiben abrufbar im Internet unter abrufbar unter http www bafin de verlautbarungen minanfhg htm zuletzt abgerufen am 06 06 2007 Zur Auslegung der MaH sind insbesondere das Rundschreiben 4 98 abrufbar unter http www bafin de rundschreiben 96_1998 va_rs4_98 pdf se
442. management durchaus Einfluss auf die Sicherheits 337 erwartungen nehmen Anwendung auf IT Hersteller 164 Derzeit wird man davon auszugehen m ssen dass die Sicherheitserwartung der Nutzer aufgrund von Zertifikaten f r IT Produkte erst dann signifikant steigen wenn sich einzelne Pr fmethoden in einem Produktbereich durchgesetzt haben und in Nutzerkrei sen einen entsprechenden Bekanntheitsgrad erreicht haben Beispielsweise die Zertifi kat Angabe dass ein Produkt einem gewissen Protection Profile mit einer bestimmten Vertrauensw rdigkeitsstufe gen gt kann erst dann die Sicherheitserwartungen der Nut zer ma geblich beeinflussen wenn Existenz und Inhalt der Zertifizierung weitge hend bekannt sind 165 Bei den Common Criteria erfolgt eine Zertifizierung anhand eines Protection Profile und den entsprechenden Zertifikatsbedingungen wie z B besonderer Konfigurationen Zudem kann der Hersteller auch die Vertrauensw rdigkeitsstufe des Zertifikats w hlen Der tats chliche Inhalt eines Zertifikats ergibt sich somit aus dem Dreigespann von Pro fil Bedingungen und Vertrauensw rdigkeitsstufe Zwar k nnen das Profil und die Stufe als objektivierter Ma stab angesehen werden dennoch verkompliziert sich die Aussage erheblich Nimmt man die vom Hersteller vorgegebenen Bedingungen hinzu so lassen sich bereits bei demselben Produkt keine eindeutigen Aussagen mehr treffen Die Aus sage ein Produkt an sich entspreche einem Profil in e
443. mationsg ter K ln 2001 Hadding Walther Hopt Klaus J Schimansky Herbert Hrsg Entgeltklauseln in der Kreditwirtschaft und E Commerce von Kreditinstituten Bankrechtstag 2001 Berlin New York 2002 zitiert Bearbeiter in Had ding Hopt Schimansky Hager G nter Zum Schutzbereich der Produzentenhaf tung in AcP 184 1984 413 438 Hager Johannes Die Kostentragung bei R ckruf fehlerhaf ter Produkte in VersR 1984 799 807 Hammer Volker Bizer Johann Beweiswert elektronisch signierter Doku mente in DuD 1993 689 699 Hanau Peter Hoeren Thomas Private Internetnutzung durch Arbeitneh mer M nchen 2003 zitiert Hanau Hoeren Private Internetnut zung durch Arbeitnehmer H rting Niko IT Sicherheit in der Anwaltskanzlei in NJW 2005 1248 1250 Prof Dr Gerald Spindler H rting Niko Unverschl sselte E Mails im anwaltlichen Gesch ftsverkehr Ein Versto ge gen die Verschwiegenheitspflicht in MDR 2001 61 63 H rting Niko Schirmbacher Martin Dialer Das Urteil f llt und viele Fragen offen in CR 2004 334 338 Hartung Wolfgang Holl Thomas Anwaltliche Berufsordnung 2 Auflage M nchen 2001 Hasselblatt Gordian N Die Grenzziehung zwischen verantwortli cher Fremd und eigenverantwortli cher Selbstgef hrdung im Delikts recht Frankfurt Oder 199
444. mehr dar ber hat bei wem sich welche Versionen der Software befinden Hier ist die Software bereits in Verkehr gebracht und nicht mehr im unmittelbaren Einflussbereich des Produzenten so dass nur die nachtr glichen Pflichten des Herstellers eingreifen s Rn 127 ff Fraglich kann daher nur sein wie viel Zeit dem Hersteller einger umt werden kann um die Sicherheitsl cke zu beseitigen hier ist mit Sicherheit zu bedenken dass Software ein komplexes Produkt darstellt und die Korrektur solcher L cken nicht mit der Aktua lisierung von Virenscannern verglichen werden kann da es um das Einpassen neuer Codes in vorhandene Software geht Andererseits kann der Softwarehersteller sich nicht darauf berufen dass ihm die n tigen Ressourcen zur Anpassung fehlen da er zumindest in den letzten Jahren angesichts sich h ufender Sicherheitsl cken allgemein damit rech nen muss dass neue Probleme auftauchen Welcher Zeitraum hier angemessen ist kann nur im Einzelfall beurteilt werden dabei werden als Ausgangspunkt die in der Branche blichen Anpassungszeiten aber auch eine best practice herangezogen werden m s sen da ein niedriger Sicherheitsstandard nicht ma geblich sein kann Zudem sind Scha densumfang und ausma sowie die Bedeutung der Software einschlie lich der Vor teilsziehung f r den Softwarehersteller im Sinne einer Kosten Nutzen Abw gung in die Beurteilung einzubeziehen 4 Pflichten nach Inverkehrgabe 249 Meie
445. men b Aussagen ber die Auswahl des Haftenden c Steuerung des Aktivit tsniveaus d Mehrpersonenkonstellationen Anwendung auf IT Bereiche a Technische Standards b Anpassung an bestimmte Marktanforderungen c Verh ltnis zum Eigenschutz Sicherheitspflichten innerhalb von Vertragsverh ltnissen Gefahrenpotential und Gegenma nahmen Angriffe gegen Einzelsysteme a Systeme unter Kontrolle des Angreifers bringen 1 Viren 2 W rmer 3 Trojaner 4 Spyware 5 Unsichere Konfiguration 6 Webbasierte Dienste b Koordination der angegriffenen Systeme Bot Netze Koordinierte Angriffe a Ausnutzung von Software Schwachstellen exploits 1 Sicherheitsl cken 2 Input Validierung b Gezielte berlastung von Diensten Denial of Service Angriffe 3 Ergebnis IV Abgrenzung der Verantwortlichkeitssph ren Hersteller Nutzer Intermedi re Dienstleister Verantwortlichkeit der IT Hersteller Produktbezogene Pflichten I II berblick Vertragliche M ngelhaftung IH Au ervertragliche Produkthaftung l Verschuldensabh ngige Produzentenhaftung a Rechtsg terbezogene Produkthaftung 823 Abs 1 BGB 1 Softwareversagen und Rechtsg terschutz a Verletzung personenbezogener Rechtsg ter b Verletzungen des Eigentums 1 Substanzverletzungen 10 11 11 13 14 18 19 22 23 24 26 26 21 27 27 28 30 30 30 31 33 34 35 36 37 38 38 38 39 39 41 41 42 43 43 48 48
446. men der IT Produkthaftung keine Erfassung von Verm genssch den Beweis probleme zum anderen kann lediglich f r v llig offensichtliche Gef hrdungslagen von einem Verschulden der privaten IT Nutzer ausgegangen werden berlappt werden alle Probleme schlie lich durch Darlegungs und Beweisprobleme f r Gesch digte was wiederum zu einer Abschw chung von rechtlichen Anreizen f r Verantwortliche f hrt Diese Beweisprobleme betreffen sowohl den Nachweis dass eingesetzte IT Produkte fehlerhaft sind als auch den Nachweis dass genau dieser Feh ler zu dem eingetretenen Schaden gef hrt hat Ferner sind IT Nutzer h ufig mit der Fra Prof Dr Gerald Spindler 301 ge konfrontiert welche Standards gelten insbesondere welche Beweiserleichterungen wenn es um den Nachweis der Identit t und der Authentizit t geht etwa im Bereich des Online Banking Der bislang angenommene Anscheinsbeweis beruht auf der Annahme dass die eingesetzten Verfahren sicher sind was wiederum im Prozess der Nutzer der zeit zu ersch ttern hat was ihm meist nicht gelingt schon aufgrund seiner Unterlegen heit bei den einsetzbaren Ressourcen Kosten f r Sachverst ndigengutachten Informa tionsdefizite Tabellarische bersicht Verantwortli Zivilrecht ffentliches Recht Standards cher IT Hersteller Vertragsrecht Produktsicherheitsrecht Common Crite Haftungsaus im Wesentlichen BAUBEBIOIEC schl sse nur anwendbar tion P
447. men f r fremde Inhalte Host Provider ber die Zug nglichmachung elektronischer Netze Access Provider bis hin zu verschiedensten Mehrwertdiensten die ber elektronische Netze angeboten werden etwa sogenannten Web Services die es Unternehmen erlauben mit Hilfe von Dritten spezifische Funktionen wie den Einkauf und das electronic invoicing auszula gern und ber elektronische Kommunikationsnetze wieder mit Hilfe von IT Intermedi ren abzuwickeln Letzteres berlappt sich stark mit kommerziellen IT Nutzern die ihrerseits IT Dienstleistungen erbringen so dass diesbez glich auf das ent sprechende Kapitel verwiesen wird 652 IT Intermedi re k nnen ebenso wie andere IT Nutzer zahlreichen Gefahren ausgesetzt sein die sich auf ihre IT Nutzer durchschlagen k nnen Zahlreiche f r kommerzielle IT Nutzer beschriebene Szenarien o Rn 584 ff sind mutatis mutandis auf IT Intermedi re ohne Weiteres anwendbar da sie h ufig die IT Infrastrukturen gerade f r Unternehmen zur Verf gung stellen die selbst diese Infrastrukturen nicht vorhalten wollen Outsourcing Als Beispiel seien etwa die Zurverf gungstellung von Web Plattformen im elektronischen Handel f r andere IT Unternehmen oder Banken er w hnt die mit Hilfe der IT Dienstleistungen der Intermedi re ihre eigentlichen Dienst leistungen Banking Handel etc anbieten und abwickeln k nnen 653 Demgem greifen f r IT Intermedi re zahlreiche Pflichten in hnlicher W
448. ments und des Rates vom 8 Juni 2000 ber bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft insbesondere des elektronischen Gesch fts verkehrs im Binnenmarkt Richtlinie ber den elektronischen Gesch ftsverkehr Dazu Spindler Schmitz Geis Spindler vor 8 TDG Rn 10 BGH NJW 2004 3102 Spindler JZ 2005 37 Leible Sosnitza NJW 2004 3225 3226 Koch NJW 2004 801 806 Spindler NJW 2002 921 922 Hoffmann MMR 2002 284 288 Schwarz Poll JurPC 73 2003 Rn 61 S nur Spindler Schmitz Geis Spindler 8 TDG Rn 4 ff mwN Zu Schutzpflichten bei eigenen Angeboten s z B OLG N rnberg NJW RR 2003 628 629 Prof Dr Gerald Spindler 291 717 718 1285 1286 1287 1288 1289 delt sich hierbei um Informationen die der Diensteanbieter im Auftrag des Nutzers speichert was auch unbewusst geschehen kann M glich ist dies z B dadurch dass der Nutzer mit Viren verseuchte Dateien ablegt oder selbst Programme installiert von de nen Angriffe auf Dritte ausgehen Eine Beendigung der Sch digung durch den Provider w re durch Abschaltung der Anlage oder durch die Entfernung des den Angriff verursa chenden Programms z B des Virus F r die Kenntnis der Umst nde zur Begr ndung eines Schadensersatzanspruchs nicht f r die strafrechtliche Verantwortlichkeit kann es nach 10 S 1 Nr 2 TMG gen gen wenn auff llige Netzwerkaktivit ten erkannt und gemeldet werden z B durch ein Intrusion
449. mit PIN und Online Banking mit PIN und TAN F r die hM l sst sich hierbei die gesetzgeberische Wertung des 371a Abs 1 Satz 2 ZPO 292a ZPO aF anf hren wonach erst eine qualifizierte elektronische Sig natur den Anscheinsbeweis rechtfertigt zur Bedeutung dieser gesetzlichen Wertung f r das Online Banking unten Rn 558 Soweit diese Beweislastverteilung f r den K u fer im Einzelfall ein Reuerecht begr nden sollte wird dies in der Rechtsprechung hin genommen weil der Verk ufer dieses Risiko bei der Nutzung einer Internet Auktion in Kenntnis der Missbrauchsm glichkeiten eingehe Be Ein Teil der Literatur argumentiert dagegen f r die Authentizit t einer unter einer E Mail Adresse abgegebenen und durch Passwort gesch tzten E Mail spreche die allge Mankowski CR 2003 44 Ernst Vertragsgestaltung im Internet Rn 26 OLG K ln MMR 2002 813 814 LG Bonn MMR 2002 255 256 LG Bonn MMR 2004 179 180 LG Bonn MMR 2004 179 180 LG Bonn MMR 2002 255 257 LG Bonn MMR 2004 179 181 Borges NJW 2005 3313 3317 Wiebe MMR 2002 257 258 Wiebe in Spindler Wiebe Internet Auktionen und Elektronische Markt pl tze Kap 4 Rn 61 Gegen die Zugrundelegung bestimmter technischer Sicherheitsstandards weil es sich hierbei um eine normative berh hung handele s Mankowski CR 2003 44 45 Mehrings in Hoeren Sieber Kap 13 1 Rn 290 Wiebe MMR 2002 257 258 Wiebe in Spind ler Wiebe Interne
450. mme S 261 Bamberger Roth Bamberger 12 Rn 160 Simitis Simitis 7 Rn 29 ff M nchKommBGB Rixecker Anh 12 Rn 102 S dazu M nchKommBGB Rixecker Anh 12 Rn 106 Prof Dr Gerald Spindler 54 117 118 220 kennen Das Recht am eigenen Datum soll ein umfassendes Selbstbestimmungsrecht 221 Die Vertreter des Rechts des Einzelnen ber ihn betreffende Informationen umfassen am eigenen Datum begr nden die Notwendigkeit damit dass das Interesse der Selbstbe stimmung ber personenbezogene Informationen wie das Eigentum gegen ber jeder mann schutzw rdig sein m sse Zu Recht ist ein solches Recht aber berwiegend nicht anerkannt Das BVerfG hat im Volksz hlungsurteil in dem das Recht auf in formationelle Selbstbestimmung begr ndet wurde ausdr cklich betont dass der Ein zelne kein Recht auf absolute und unbeschr nkbare Herrschaft ber seine Daten hat und auch personenbezogene Information nicht ausschlie lich dem Betroffenen allein zuge ordnet werden k nnen Diese Aussage steht daher in Widerspruch zur Annahme ei nes absolut gesch tzten Rechts am eigenen Datum iii Recht am Unternehmen Bei fahrl ssigen Datenl schungen k nnte eine Verletzung des als sonstiges Recht iSd 823 Abs 1 BGB anerkannten Rechts am eingerichteten und ausgerichteten Gewerbe betrieb in Betracht kommen Voraussetzung f r eine Verletzung dieses Rechts ist aber das Korrektiv der Betriebsbezogenheit Das b
451. mmerzielle IT Nutzer muss zun chst gekl rt werden ob und inwiefern sie dem Anwendungsbereich des BDSG unterfallen Aufgrund der Verwendung von IT 746 Weichert in Killian Heussen Kap 135 Rn 1 Reil nder Weck DuD 2003 692 ff Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 2 Opaschowski in Ro nagel Handbuch Datenschutzrecht Kap 2 1 Rn 7 f Vgl dazu BVerfG NJW 1984 419 422 wonach es kein belangloses Datum mehr gebe Hierunter fallen Ma nahmen zum Schutz von Daten Programmen und Datenverarbeitungssystemen vor m glichen Gefahren dazu Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 384 Schneider Handbuch des EDV Rechts Kap B Rn 487 s ferner die Abbildung bei Tinne feld Ehmann Gerling Einf hrung in das Datenschutzrecht S 386 Prof Dr Gerald Spindler 169 406 407 408 747 748 749 750 751 Systemen greifen Ausnahmen f r nicht automatisierte vorliegende Daten wie z B Ak ten vorliegend generell nicht Das BDSG unterscheidet zun chst zwischen nicht ffentlichen und ffentlichen Stellen a Nicht ffentliche gegen ber ffentlichen Stel len Bei der Einordnung als nicht ffentliche Stelle kommt es lediglich auf die privatrechtli che Organisationsform an Der pers nliche Anwendungsbereich umfasst sowohl na t rliche als auch juristische Personen aber auch Personenvereinigungen und Perso nengesellschaften des privaten Recht
452. n agement 2006 Bigdoli Hossein Encyclopedia of Informationsystems Vol ume 1 Academic Press Boston 2002 Bigdoli Hossein Encyclopedia of Informationsystems Vol ume 2 Academic Press Boston 2002 Bigdoli Hossein Encyclopedia of Informationsystems Vol ume 4 Academic Press Boston 2002 Birkmann Andreas Produktbeobachtungspflicht bei Kraft fahrzeugen Entwicklung und Wei terentwicklung der Produktbeobach tungspflicht durch die Rechtspre chung des Bundesgerichtshofs in DAR 1990 124 130 Bizer Johann Bausteine eines Datenschutzaudits in DuD 2006 5 12 Blaurock Uwe Haftung der Banken beim Einsatz neuer Techniken im Zahlungsverkehr in CR 1989 561 567 Prof Dr Gerald Spindler VI B cker Klaus Spielberg Holger Basel II und konomisches Kapital Risi koaggregation und Kopulas in Die Bank 2005 56 59 Bockslaff Klaus Die eventuelle Verpflichtung zur Errich tung eines sicherungstechnischen Risikomanagements durch das KonTraG in NVersZ 1999 104 110 Bodewig Theo Vertragliche Pflichten post contractum finitum JURA 2005 505 512 Boecken Winfried Deliktsrechtlicher Eigentumsschutz gegen reine Nutzungsbeeintr chtigungen Berlin 1995 Bohne Marco Zugriffsrechte effizient verwalten in VW 2004 1583 1584 B lscher Jens Kaiser Christian v Sc
453. n z B durch die Weiterverbreitung von Viren vorgebeugt werden Der Einsatz der entsprechenden Programme ist durchaus anwenderfreundlich Zudem sind die Ent fernungsprogramme meist kostenlos erh ltlich Zweifelhaft ist jedoch ob die Existenz dieser Programme bereits so bekannt ist dass auch dem normalen Nutzer der Einsatz zuzumuten ist Mangels der notwendigen Bekanntheit ist der private Nutzer nicht ver pflichtet Malware Entfernungsprogramme einzusetzen 7 Verhalten im E Mail Verkehr Von den Verkehrspflichten des privaten Nutzers im technischen Bereich zu unterschei den sind Verhaltenspflichten bei der Nutzung von E Mail und Internet So enthalten Spam E Mails h ufig Anh nge welche beim ffnen unbemerkt ein Virusprogramm oder ein trojanisches Pferd auf dem Rechner des Nutzers installieren Neben der Gefahr f r den eigenen Datenbestand besteht hierbei die M glichkeit der Weiterverbreitung des Schadprogramms auf andere Nutzer Immer st rker in den Vordergrund tritt zudem ge genw rtig der Identit tsmissbrauch im Internet unter Verwendung von heimlich auf dem Rechner des Privatnutzers installierten Trojanern s dazu die Ausf hrungen zum Online Banking Rn 479 ff S o Rn 65 Dazu eingehend BSI Studie Einf hrung von Intrusion Detection Systemen Rechtliche Aspekte ab rufbar unter http www bsi bund de literat studien ids02 dokumente Rechtv10 pdf Zum Begriff s o Rn 63 68 Prof Dr Gerald Spindler
454. n 19 M nchKommBGB Wagner 823 BGB Rn 275 307 f Wagner ffentlich rechtliche Genehmigung und zivilrechtliche Rechtswidrigkeit S 123 ff Foerste in v Westphalen ProdHaftHdb 24 Rn 95 Siehe BGH NJW RR 1990 406 f s auch OLG Celle NJW 2003 2544 2545 M nchKommBGB Wagner 823 BGB Rn 578 OLG Hamm NJW RR 2001 1248 1249 Die Einhaltung der normativen Voraussetzungen T V Genehmigung f r den Betrieb einer Anlage hier Nautic Jet Sprungboot spricht indiziell daf r dass die Anlage den Sicherheitserwartungen der Benutzer entspricht Niebling DB 1996 80 81 Niebling Die CE Kennzeichnung S 23 f Foerste in v Westphalen Prod HaftHdb 24 Rn 94 Bamberger Roth Spindler 823 BGB Rn 490 Wilrich 6 GPSG Rn 31 S dazu Taupitz in Produktverantwortung und Risikoakzeptanz S 119 134 ff So Wilrich 4 GPSG Rn 26 8 GPSG Rn 18 Klindt EuZW 2002 133 135 Fn 27 Niebling DB 1996 80 Niebling Das CE Kennzeichen S 15 Wilrich 6 GPSG Rn 6 S dazu auch Europ ische Kommission Leitfaden f r die Umsetzung der nach dem neuen Konzept und dem Gesamtkonzept verfassten Richtlinien S 45 Die Gesamtverantwortung f r die Konformit t eines Produktes mit allen Anforderungen der anzuwendenden Richtlinie verbleibt jedoch immer beim Herstel ler selbst wenn einige Etappen der Konformit tsbewertung unter der Verantwortung einer benannten Stelle durchgef hrt werden Prof Dr Gerald Spindl
455. n Daher geh rt zum gesch tzten Bereich des Unternehmens 158 Ausf hrlich und n her dazu Spindler Ernst CR 2004 437 ff Hoeren NIW 2004 3513 ff 79 BGHZ 29 65 ff BGHZ 41 123 125 f der allerdings im konkreten Fall eine Eigentumsverletzung annimmt anders BGH NJW 1992 41 f M nchKommBGB Wagner 823 BGB Rn 212 Foerste in v Westphalen ProdHaftHdb 21 Rn 122 f Prof Dr Gerald Spindler 285 694 695 auch der freie Zugang hier per E Mail und Web Seite 1260 Zwar hat der BGH es bisher abgelehnt die Unterbrechung der Energiezufuhr als einen Eingriff in das Recht am ein gerichteten und ausge bten Gewerbebetrieb anzusehen 1261 Auch f r unterbrochene Te lefon und Telefaxkabel hat die Rechtsprechung einen deliktsrechtlichen Schutz ebenso 1262 1263 wenig gew hrt wie f r unterbrochene Zugangswege Eine Verletzung des delik tisch gesch tzten Rechtsguts des eingerichteten und ausge bten Gewerbebetriebs soll nur dann vorliegen wenn der Betrieb in seinen Grundlagen bedroht sei oder gerade der Funktionszusammenhang der Betriebsmittel auf l ngere Zeit aufgehoben sei 4 Gerade wenn man aber akzeptiert dass das Eigentum in seinem Wert ganz wesentlich von den aus bbaren Funktionen abh ngt kann nicht daran vorbeigegangen werden dass die Beziehungen einer Sache insbesondere eines Unternehmens zu seiner Au Benwelt erheblich dessen Wert beeinflussen Auch wenn die Eigentumsver
456. n Thomas Die Pflicht zur berlassung des Quellco des in CR 2004 721 724 Hoeren Thomas Produkthaftung f r Software Zugleich eine kritische Erwiderung auf Bau er PHI 1989 38ff und 98ff Prof Dr Gerald Spindler XXI in PHi 1989 138 144 Hoeren Thomas Virenscanning und Spamfilter Rechtli che M glichkeiten im Kampf gegen Viren Spams amp Co in NJW 2004 3513 3517 Hoeren Thomas Risikopr fung in der Versicherungswirt schaft in VersR 2005 1014 1023 Hoeren Thomas Ernstschneider Thomas Das neue Ger te und Produktsicherheits gesetz und seine Anwendung auf die IT Branche in MMR 2004 507 513 Hoeren Thomas Sch ngel Martin Hrsg Rechtsfragen der digitalen Signatur Berlin 1999 zitiert Bearbeiter in Hoeren Sch ngel Hoeren Thomas Sieber Ulrich Hrsg Handbuch Multimedia Recht 13 Erg n zungslieferung M nchen 2006 zitiert Bearbeiter in Hoeren Sieber H rl Bernhard Nachbesserung und Gew hrleistung f r fehlende Jahr 2000 F higkeit von Software Anmerkung zu LG Leipzig Urteil v 23 07 1999 03 O 2479 99 in CR 1990 605 609 Hoffmann Helmut Zivilrechtliche Haftung im Internet in MMR 2002 284 289 Hofmann Christof Lesko Michael Vorgrimler Stefan Risikomanagement Eigene EAD Sch tzung f r Basel II in Die Ban
457. n ZBB 2000 258 268 Prof Dr Gerald Spindler II Bamberger Heinz Georg Roth Herbert Kommentar zum B rgerlichen Gesetzbuch Bd 1 3 M nchen 2003 zitiert Bamberger Roth Bearbeiter Bartl Harald Produkthaftung nach neuem EG Recht Kommentar zum deutschen Pro dukthaftungsgesetz Landsberg Lech 1989 Bartsch Michael Software und das Jahr 2000 in CR 1998 193 196 Bartsch Michael Computerviren und Produkthaftung in CR 2000 721 725 Bartsch Michael Rechtsm ngelhaftung bei berlassung von Software CR 2005 1 10 Bartsch Michael Software und das Jahr 2000 Haftung und Versicherungsschutz f r ein techni sches Gro problem Baden Baden 1998 Bauer Axel Produkthaftung f r Software nach gelten dem und k nftigem deutschen Recht Teile 1 und 2 in PHi 1989 38 48 98 108 Baum Florian Gestaltung von Software Maintenance Vertr gen in der internationalen Praxis in CR 2002 705 ff Baumbach Adolf Hueck Alfred GmbH Gesetz 18 Auflage M nchen 2006 zitiert Baumbach Hueck Bearbeiter Baumbach Adolf Hopt Klaus J Handelsgesetzbuch Kommentar M nchen 2006 Prof Dr Gerald Spindler IV zitiert Baumbach Hopt Bearbeiter B umler Helmut Ein G tesiegel f r den Datenschutz in DuD 2004 80 84 Baumol Wiliam J Ecomonic Theory and Operations Analysis
458. n Zweck des ProdHaftG kann die Frage der Anwendbarkeit der verschuldensunabh ngi gen Haftung nicht davon abh ngen ob bereits die bertragung in k rperlicher Form er folgte Entscheidend ist vielmehr dass zumindest beim Nutzer der Software eine dauer hafte Verk rperung durch Speicherung auf einem Datentr ger erfolgt F r die An wendbarkeit des ProdHaftG ist demnach danach zu differenzieren ob die Software le diglich zeitweise w hrend der Benutzung der Dienste des Service Providers genutzt werden kann oder ob der Nutzer sie durch Download auf seinen eigenen Rechner dau erhaft verwenden kann Ein Provider welcher dem Kunden lediglich vor bergehend die Nutzung einer Software erm glicht ohne diese auf den Rechner herunter zu la den unterliegt nicht der Haftung nach dem ProdHaftG der Provider erbringt hier letzt lich nichts anderes als eine Dienstleistung welche nicht in den Anwendungsbereich des Gesetzes f llt Bei dauerhafter Verk rperung auf dem Rechner findet die Ma terialisierung erst beim Kunden statt indem die Software oder die Information auf der Festplatte oder einem anderen Medium gespeichert wird Eine Verk rperung und damit ein Produkt im Sinne des 2 ProdHaftG liegt dann vor Zwar hat hier erst der Kunde durch eigenen Willensentschluss die K rperlichkeit des Produktes herbeigef hrt so dass man an der Herstellung des Produktes im Organisationsbereich des Herstellers zweifeln K nnte Doch l
459. n des Aufsichtsrats einer AG unter besonderer Ber cksichtigung der Haftung bei Kreditvergaben in BB 2004 725 732 Wohlgemuth Hans H Gerloff J rgen Datenschutzrecht eine Einf hrung mit praktischen F llen Neuwied 2005 Wohlgemuth Michael Das Jahr 2000 Problem Vertragliche und vertrags hnliche Haftung in MMR 1999 59 67 Wuermeling Ulrich Einsatz von Programmsperren in CR 1994 585 595 Zahrnt Christoph Abschlu zwang und Laufzeit beim Soft warepflegevertrag in CR 2000 205 207 Zerbe Richard O Economic efficiency in law and economics Cheltenham UK 2001 Zeuner Albrecht St rungen des Verh ltnisses zwischen Sache und Umwelt als Eigentums verletzung Gedanken ber Inhalt und Grenzen von Eigentum und Ei gentumsschutz in Jakobs Horst Heinrich Knobbe Keuk Brigitte Picker Eduard Wilhelm Jan Hrsg Festschrift f r Werner Flume zum 70 Geburtstag K ln 1978 775 787 Zeuner Albrecht Zum Verh ltnis zwischen Fremd und Eigenverantwortlichkeit im Haf Prof Dr Gerald Spindler LXVII tungsrecht in Beuthien Volker Fuchs Maximili an Roth Herbert Schiemann Gott fried Wacke Andreas Hrsg Fest schrift f r Dieter Medicus zum 70 Geburtstag K ln Berlin Bonn M nchen 1999 693 706 Zimmermann Steffen Die MaRisk als regulatorischer Imperativ in BKR 2005
460. n Bew ltigung von bekannt ge wordenen Sicherheitsl cken Allerdings kann dies nur besondere F lle betreffen da dem IT Nutzer oftmals enge Grenzen zur Selbsthilfe gesetzt sind zum einen durch rechtliche Grenzen im Rahmen von 69c d UrhG zum anderen durch technische 713 Koch NJW 2004 801 803 Prof Dr Gerald Spindler 161 380 381 714 715 716 717 718 Grenzen der Aufarbeitung komplexer Software Grunds tzlich ist nach 69c Nr 2 UrhG die Bearbeitung oder Umarbeitung von Computerprogrammen nur mit Gestattung des Rechteinhabers m glich Davon erfasst sind Ab nderungen des gesch tzten Com puterprogramms 69c Rn 17 69d I UrhG stellt klar dass auch die Fehlerbeseiti gung eine Umarbeitung darstellt Fehler k nnen Bugs Funktionsst rungen Programm abst rze Viren trojanische Pferde oder hnliches sein nicht davon erfasst ist dagegen das Entfernen von Kopierschutzvorrichtungen wie ein Dongle Fehlerbeseitigungen sind nach 69d I UrhG aber grds von der Gestattungspflicht ausgenommen Allerdings 716 Denn die h ngt diese Ausnahme wiederum von dem Willen des Rechteinhabers ab ser hat nach 69d I 1 Hs UrhG Soweit keine besonderen vertraglichen Bestimmun gen vorliegen die M glichkeit Ausnahmeregelung des 69d I UrhG vertraglich abzubedingen oder ihren Umfang einzuschr nken wobei allerdings die Fehlerbeseiti gung einen sogenannten abredefesten Kern darstellt der
461. n Mittel und Verfahren vorzuhalten und wirksam einzusetzen Bei der Auslegung dieser Norm kann auf 25a Abs 1 KWG zur ckgegriffen wer den Wie 25a Abs 1 KWG stellt auch 33 Abs 1 WpHG eine Umsetzung des 901 Art 10 der Wertpapierdienstleistungs Richtlinie von 1993 dar Die Auslegung orien tiert sich daher an den Zielen der Richtlinie die Anleger zu sch tzen sowie die Stabilit t und das reibungslose Funktionieren der Wertpapierm rkte bzw des Finanzsystems zu gew hrleisten So m ssen die Unternehmen die Risiken und die Art ihrer Bew lti gung st ndig im Auge behalten und angemessene Vorsorge betreiben c Rechtsfolgen SYSC 3A 7 8 Zur Abgrenzung von Bank und Marktaufsicht Schwark Schwark 1 WpHG Rn 6 Spindler in Fleischer Handbuch des Vorstandsrechts 19 Rn 41 Schwark Schwark 33 WpHG Rn 6 Spindler in Fleischer Handbuch des Vorstandsrechts 19 Rn 42 Erw gungsgr nde 37 und 38 der Richtlinie 93 22 EWG des Rates vom 10 Mai 1993 ABl Nr L 141 vom 11 Juni 1993 27 Assmann Schneider Koller 33 WpHG Rn 6 Prof Dr Gerald Spindler 193 455 456 457 Ein Versto gegen die Organisationspflichten des 33 Abs 1 Nr 1 WpHG zieht weder straf noch ordnungswidrigkeitsrechtliche Folgen nach sich Da es sich um ffentli ches Aufsichtsrecht handelt kann ein Versto jedoch aufsichtsrechtliche Konsequenzen haben Bei der Organisationsvorschrift des 33 WpHG han
462. n Systeme trifft die Bank auch die Pflicht die Sicherheit des Online Bankings insoweit zu beobachten als nicht die Bank selbst sondern der Kunde Angriffsziel ist Ma gebliche Wertung ist hierbei dass die Bank als berlegene Systembeherrscherin ber das spezifische Wissen um Risiken 1006 bertragen verf gt oder sich dieses zumindest leichter aneignen kann als der Kunde auf Phishing und Pharming bedeutet dies dass die Bank Vorkehrungen treffen muss um neu auftauchende Formen von Bedrohungen aus dem Internet zu erkennen und durch entsprechende Reaktionen zu beseitigen oder zumindest zu minimieren Entsprechend der Produktbeobachtungspflicht des Herstellers 1007 kann hierbei eine pas sive und aktive Beobachtungspflicht unterschieden werden Die Bank hat daher Hin weisen auf Missbr uche aufgrund von bekannt gewordenen Missbrauchsf llen und Kundenbeschwerden nachzugehen Ebenso ist die Bank aber auch gehalten aktiv im In ternet einschl gigen Fachpublikationen usw Informationen ber neue Risiken zu be schaffen Die Beobachtungspflichten der Bank d rfen hierbei nicht berspannt werden Es gen gt daher wenn die Bank sich auf die Beobachtung markt blicher und von Kun den blicherweise eingesetzter Betriebssysteme und Software beschr nkt Organisato risch ist sicherzustellen dass diese Informationen an den Kunden z B auf der Website der Bank durch Informationsbriefe und Flyer auch weiter gegeben werden zur Warn pflicht
463. n United States v Caroll Towing Co 159 F 2d 169 2d Cir 1947 vgl Cooter Journal of Economic Perspectives Vol 5 1991 11 ff 14 Diese Definition f r Internalisierung findet sich auch bei Schumann Grundz ge der Mikro konomischen Theorie S 38 und S 492 ff K Mathis Effizienz statt Gerechtigkeit S 70 Prof Dr Gerald Spindler 22 32 33 34 64 65 66 67 68 haben i E kein Unterschied Allerdings f hrt die Gef hrdungshaftung auch zu einer tendenziellen Reduktion des Aktivit tsniveaus berhaupt da gleichg ltig wie viel der Sch diger an Schutzma nahmen durchf hrt er auf jeden Fall f r eintretende Sch den haftet so dass Anreize auch zu einer Verringerung des Gef hrdungsniveaus bestehen unten Rn 32 ff b Aussagen ber die Auswahl des Haftenden Die konomische Analyse kann aber nicht nur bei der Frage nutzbar gemacht werden wann ein potenzieller Sch diger zu haften hat sondern auch wer unter einer Vielzahl von Verursachern die Kosten tragen sollte Anreize zur Implementierung von Schutz vorkehrungen bestehen f r denjenigen der wei dass er im Schadensfall haftet Wird nun demjenigen die Haftung auferlegt der die Schutzvorrichtungen mit niedrigstem Kostenaufwand umsetzen Kann entstehen die gesamtgesellschaftlich geringsten Kosten der sog cheapest cost avoider Vor einer rechtlichen Umsetzung dieses Modells stellt sich aber immer zun chst die Frage ob nicht
464. n Zwang zur Inanspruchnahme ihres Online Angebots Auch wenn Vorteile und Risiken somit vornehmlich bei der Bank liegen wird man den Bankkunden nicht aus allen Sorgfaltspflichten entlassen k nnen Der Kunde verf gt mit seinem privaten Computer ber eine potenzielle Gefahrenquelle allgemein Rn 282 Hinzu kommt dass bei Phishing und Pharming der PC des Kunden das prim re An griffsziel bildet und Sicherheitsvorkehrungen somit notwendig auch beim Kunden sei 983 984 985 986 987 988 Zu hnl Erw gungen im Rahmen der Rechtsprechung zu Dialern s BGH MMR 2004 308 311 LG Stralsund MMR 2006 487 488 Ebenso Erfurth WM 2006 2198 2206 Erfurth WM 2006 2198 2206 Ebenso Kind Werner CR 2006 353 356 So auch Erfurth WM 2006 2198 2206 Spindler in Hadding Hopt Schimansky S 179 Recknagel Vertrag und Haftung beim Internet Banking S 225 f Prof Dr Gerald Spindler 212 506 507 508 nem PC selbst ansetzen m ssen Ein ma geblicher Gesichtspunkt ist hierbei die M g lichkeit des Selbstschutzes allg Rn 294 ff d h inwieweit der Kunde mit einfachen und kosteng nstigen Mitteln eigene Schutzvorkehrungen treffen kann wobei aber ins besondere im technischen Bereich keine berzogenen Anforderungen an die Sorgfalt des Durchschnittsnutzers gestellt werden d rfen n her unten Rn 531 ff Anders als in den ec Karten F llen in denen viele Sachverhalte sich dem gesunden Menschenv
465. n objektiv zu bestim menden Mindestsicherheitsstandard einrichten muss der nach denjenigen Sicherheits erwartungen festzulegen ist die allgemein bez glich der gesamten Produktkategorie vorherrschen also z B auch von anderen Herstellern erbracht werden Erheblich ist ferner ab welcher Schwelle der Bedrohung von Rechtsg tern Dritter der Produzent Ma nahmen zur Sicherung ergreifen muss Die Pflicht zum Eingreifen wird umso eher ausgel st je h herrangiger die bedrohten Rechtsg ter sind Daraus folgt dass der Hersteller bei Bedrohung von Gesundheit und Leben bereits bei ernstli chen Verdachtsmomenten t tig werden muss er kann nicht bis zum ersten Schadensfall abwarten Der Hersteller muss die einschl gigen Ver ffentlichungen hierzu auswerten und den Stand von Wissenschaft und Technik ber cksichtigen Andererseits muss er sich nicht mit vereinzelt gebliebenen Auffassungen zu Gefahrenmomenten auseinander 20 21 22 23 24 25 26 BGHZ 105 346 351 NJW 1989 707 BGHZ 116 60 65 ff NJW 1992 560 OLG Oldenburg NJW RR 1997 1520 1521 M nchKommBGB Wagner 823 BGB Rn 588 Staudinger J Hager Kap F Rn 36 dagegen Littbarski NIW 1995 217 219 BGHZ 105 346 351 NJW 1989 707 BGHZ 106 273 283 NJW 1989 1542 BGHZ 116 60 65 ff NJW 1992 560 BGHZ 139 79 84 NJW 1998 2905 OLG Karlsruhe VersR 1998 63 M nchKommBGB Wagner 823 BGB Rn 588 591 Ausf hrlich dazu Foerste
466. n zwar die genannten IT Standards ber cksichtigt doch ohne dass bislang deren rechtlicher Stellenwert v llig gekl rt w re Besonderen Pflichten unterliegen schlie lich einige Wirtschaftssektoren und Berufe denen entweder eine besonders hohe volkswirtschaftliche Bedeutung zukommt Ban ken Finanzsektor oder bei denen eine besonders intensive Vertrauensbeziehung zu den Kunden bestehen wie etwa Anw lte Steuerberater und rzte Bei Letzteren lassen sich insbesondere aufgrund des besonderen Vertrauensverh ltnisses erh hte vertragliche 1209 BGH NJW 2004 1590 1592 JZ 2004 1124 1127 m Anm Spindler Prof Dr Gerald Spindler 268 Nebenpflichten in Form von speziellen Sicherungspflichten und andererseits versch rfte Verkehrssicherungspflichten herleiten 650 Allerdings muss der Nutzer insbesondere der kommerzielle bei Programmen mit be kannten Sicherheitsl cken dieses Programm sperren und darf es nicht mehr einsetzen Benutzt er es dennoch sehenden Auges und entstehen hierdurch aufgrund von Ha ckerangriffen Sch den kann sich wie soeben er rtert ein v lliger Ausschluss des Schadensersatzanspruchs ergeben E Verantwortlichkeit von IT Intermedi ren I _ berblick 651 Quasi zwischen IT Hersteller und IT Nutzer stehen die IT Intermedi re die gerade ber elektronische Kommunikationsnetze Dienstleistungen erbringen Die Anwendungsge biete reichen von der Bereithaltung von elektronischen Plattfor
467. nd programme vorher nicht bekannt sind muss hierf r der Nutzer gefragt werden Die zugeh rigen Nachrichten sind jedoch meist kryptisch und unverst ndlich Viele Fi rewalls geben z B an dass von einer bestimmten IP Adresse aus eine Anfrage an den eigenen Rechner gestellt wurde oder dass ein lokales Programm Zugriff auf eine ent fernte IP Adresse w nscht Aufgrund der Vielzahl der Programme und Dienste k nnen Firewalls auch keine direkte Aussage dar ber treffen ob der Zugriff gef hrlich ist Der Nutzer muss also anhand der netzwerkspezifischen Informationen entscheiden Die Be 578 579 580 581 Eckert IT Sicherheit S 88 BSI IT Grundschutzhandbuch 2005 M 2 76 Zu den Folgen der berwindung von Firewalls Quack Grobecker Funke VW 1999 157 158 Vgl Eckert IT Sicherheit S 72 Aufstellen und Aktualisieren der Filterregeln ist keine einfache Aufgabe BSI IT Grundschutzhandbuch 2005 M 2 76 Prof Dr Gerald Spindler 128 301 302 582 583 584 antwortung ist damit schwierig Hinzu kommt dass die Antworten direkt der Regeler stellung dienen Blockiert der Nutzer also aus Vorsicht eine wichtige Anwendung so ist diese m glicherweise nicht mehr einsatzf hig bzw kann erst durch die komplizierte Entfernung der Regel wieder in einen funktionsf higen Zustand versetzt werden Durch solche Erfahrungen kann der Nutzer veranlasst sein auch bei gef hrlichen Programmen Zugriffsrechte zu erteilen Mit d
468. nd Technik f r die Produkthaftung bei fehlerhaften Compu terprogrammen Littbarski in Kilian Heussen Kap 180 Rn 53 Prof Dr Gerald Spindler 57 124 samten Serie der Software derselbe Fehler anhaftet hnlich der Produktbeobach tungspflicht ist der Hersteller gehalten alle allgemein oder ihm speziell zug nglichen Erkenntnisquellen auszusch pfen Entscheidend ist demnach ob dem Softwareher steller bereits bei der Inverkehrgabe die Sicherheitsl cken bekannt sein mussten Die Kenntnis wird auch bereits durch eine einzelne Mitteilung ber eine Sicherheitsl cke an den Softwarehersteller begr ndet selbst wenn sie geheim gehalten wird da nicht auszuschlie en ist dass andere ebenfalls diese L cke entdecken und ausn tzen Umge kehrt f hren Sicherheitsl cken die erst sp ter bekannt werden nicht dazu dass dem Hersteller ein Konstruktionsfehler anzulasten w re hier handelt es sich vielmehr um ei nen Entwicklungsfehler so dass allein nachtr gliche Pflichten im Rahmen der Pro duktbeobachtung eingreifen K nnen Ferner ist der Hersteller selbstverst ndlich gehalten seine Konstruktion Fertigung oder Instruktion zu ndern um den Fehler in Zukunft zu verhindern Sind Gefahren be kannt aber nicht die M glichkeiten zu ihrer Vermeidung kann das Produkt im Prinzip nicht in den Verkehr gebracht werden Allerdings ist dem Hersteller ein Anpassungs ermessen bei Wandel des Gefahrenbewusstseins un
469. nde nach einem erkannten Missbrauch gehalten seine PIN zu ndern a Eine weitergehende verdachtsunabh ngige Pflicht zur nderung der PIN in regelm igen Abst nden ist dagegen abzulehnen da der Durchschnittskunde infolge der wachsenden Zahl von im Alltag verwendeten Identifikationsnummern und Passw rtern schnell berfordert w re 1044 1045 1046 1047 1048 1049 1050 1051 Das Sicherheitszertifikat kann durch Doppelklick auf das Schlosssymbol eingesehen werden So Karper DuD 2006 215 216 So auch Kind Werner CR 2006 353 356 Erfurth WM 2006 2198 2202 Erfurth WM 2006 2198 2202 Ausf hrlich zu den Manipulationsm glichkeiten Erfurth WM 2006 2198 2202 Borges NJW 2005 3313 3314 Werner MMR 1998 338 339 Werner in Hellner Steuer Band 6 19 68 Recknagel Vertrag und Haftung beim Internet Banking S 223 Werner in Hellner Steuer Band 6 19 68 Recknagel Vertrag und Haftung beim Internet Banking S 224 Spindler in Hadding Hopt Schimansky S 218 Werner in Hellner Steuer Band 6 19 70 Recknagel Prof Dr Gerald Spindler 227 i Zusammenfassende Bewertung der Bedro hungsszenarien a Szenario 1 542 Der Kunde hat wenn man so weitgehende Sorgfaltspflichten berhaupt bejahen kann s Rn 539 durch berpr fung der Online Verbindung sorgfaltsgem gehandelt Die URL im Adress Feld das Schloss Symbol und die Zertifikatsinformationen waren durch Vis
470. ne besondere Kenntnis der Gr nde ist vorhanden Ob daraus allerdings auch darauf geschlossen werden kann dass auch die L sung n mlich die Einrichtung einer Firewall bekannt ist ist eher fraglich Mit aktuellen Betriebssystemen wird meist eine integrierte Firewall geliefert Beim Ein satz von sogenannten Internetroutern f r den breitbandigen Internetzugang ist zudem h ufig eine Firewall in die Hardware integriert die zumindest die gr ten Gefahren mi nimiert Weder dieser Schutz noch die zurzeit beigelegten Firewalls sind allerdings zum absoluten Schutz geeignet da sie nur eine rudiment re Funktionalit t bieten So k nnen z B die sog well known Ports bzw trusted Ports also die Ports von 0 bis 255 bzw 1024 offen sein Wenn hier fehler oder schadhafte Software auf Verbindungen war tet so bieten die integrierten L sungen keinen bzw kaum Schutz Programme die aktive Inhalte ausf hren und denen Zugang zum Netz gew hrt wurde bergen die weite re Gefahr dass selbstverst ndlich auch die aktiven Inhalte die f r die Firewall nicht vom Programm unterscheidbar sind die entsprechende Berechtigung zum Netzzugriff haben Hier bietet die Firewall keinen Schutz Hinzu kommt die schwierige Bedienbarkeit der Programme Firewalls arbeiten auf der Basis eines bestimmten Regelsatzes Anhand dieser Regeln entscheiden sie ob be stimmte Kommunikationsvorg nge erlaubt werden sollen Da die Kommunikationspart ner u
471. nen Informationsspeicherung unterschieden wer den Unabh ngig von der Frage des vertraglichen Haftungsausschlusses kann der Host Pro vider sich seiner Haftung allerdings weitgehend dadurch entziehen dass er dem Nutzer wirksame Anti Viren Programme zur Verf gung stellt und ihn auffordert diese re gelm ig zu benutzen denn in diesem Fall erm glicht der IT Intermedi r dem Nutzer Schutzma nahmen die zu den Schutzmechanismen des Host Providers quivalent sein k nnen F r sonstige Angriffe aus dem Netz die nicht nutzerseitig mit Hilfe von speziellen Software Programmen aufgefangen werden k nnen gilt dies indes nicht Soweit hier eine Absicherung aus technischen Gr nden auf Seiten des IT Intermedi rs nicht voll st ndig m glich ist ist der IT Intermedi r zumindest gehalten den Nutzer zu warnen und ausf hrlich ber M glichkeiten des Selbstschutzes wie etwa der Installation von Firewalls zu instruieren Die Warn und Instruktionshinweise m ssen so deutlich er folgen dass dem Nutzer die Tragweite der darin beschriebenen Sicherheitsrisiken klar 1242 d vor Augen gef hrt wir Unterl sst der Nutzer trotzdem entsprechende Sicherheits ma nahmen so hat der Host seine Verkehrspflichten erf llt 2 Haftung von Access Providern Aber auch der Access Provider Kann nicht von jeglicher Sicherungspflicht frei sein insbesondere wenn er sowohl das Herunter als auch das freie Heraufladen von Daten auf seine Server erm g
472. nen daher grunds tzlich keine Schadensersatzanspr che abgeleitet werden Bei Verletzung eines Rechtsguts oder absoluten Rechts im Sinne von 823 Abs 1 BGB kommen Schadens ersatzanspr che nach dieser Vorschrift in Betracht Prim re Verm genssch den sind danach jedoch nicht ersatzf hig Zur Konkretisierung der Verkehrspflichten im Rahmen des 823 Abs 1 BGB kann auf die Anforderungen des 25a Abs 1 KWG zur ckge griffen werden da sich die Verkehrserwartungen daran ausrichten Daneben kommt f r den Vorstand eines als Aktiengesellschaft organisierten Instituts eine Haftung nach 88 93 91 Abs 2 AktG in Betracht d Anhaltspunkte f r IT Konkretisierungen Gem 25a Abs 13 Nr 4 KWG sind angemessene Sicherheitsvorkehrungen f r den Einsatz der elektronischen Datenverarbeitung zu treffen Hintergrund dieser Regelung ist die Dominanz von IT Produkten in allen Gesch ftsbereichen der Kredit und Finanz 849 850 851 852 853 854 Boos Fischer Schulte Mattler Braun 25a KWG Rn 25 Boos Fischer Schulte Mattler Braun 25a KWG Rn 7 Boos Fischer Schulte Mattler Braun Einf KWG Rn 63 Boos Fischer Schulte Mattler Braun Einf KWG Rn 63 anders die fr here Rechtsprechung des BGH s BGH WM 1979 482 WM 1979 482 allgemein Schenke Ruthig NIW 1994 2324 Boos Fischer Schulte Mattler Braun Einf KWG Rn 67 mwN F r den Bereich der Haftung f r die Weiterverbreitung von Viren Koch NJW 2004 801 805 Prof
473. nerlei bundeseinheitliche Regelungen bestehen die die Rahmenbedingungen hin sichtlich der Akkreditierung der Gutachter die Registrierung und deren Widerruf sowie die Verwendung des Datenschutzauditzeichens abstecken Ma stab der Bewertung ist die Verbesserung von Datenschutz und Datensicherheit 9a BDSG bezieht ausdr ck lich nicht nur den Datenschutz sondern auch die Datensicherheit in das Audit ein Begutachtet werden k nnen demnach auch Konzepte und Umsetzung der Pflichten aus 9 BDSG sowie der zugeh rigen Anlage Allerdings verlangt 9a S 2 BDSG dass die n heren Anforderungen an das Audit Verfahren sowie die Auswahl und Zulassung der Gutachter in einem besonderen Gesetz geregelt werden m ssen Ein solches Ausf h 804 rungsgesetz existiert aber bislang nicht bislang daher lediglich in Schleswig Holstein die in 43 Abs 2 LDSG Schleswig Praktisch angewandt wird die Auditierung Holstein das Unabh ngige Landeszentrum f r Datenschutz ULD als Begutachter be nennen bei denen ffentliche Stellen ihr Datenschutzkonzept pr fen und beurteilen k nnen Dabei wird unterschieden zwischen einem Beh rdenaudit nach 43 Abs 2 LDSG SH und einem Produktaudit nach 4 Abs 2 LDSG SH Die zum Datenschutz konzept verwendeten Produkte k nnen danach dem ULD vorgelegt werden Das ULD berpr ft dann die Produkte und verleiht ihnen gegebenenfalls ein Zertifikat G tesie 805 gel Materielle Standards sind allerdings soweit
474. nern m ssen daf r sorgen dass Daten im Bereich ihres Einflusses nicht von au en besch digt werden k nnen allerdings wird es hier oftmals an einer Rechtsgutsverlet zung mangels Eigentums an den Daten fehlen Allerdings werden entsprechende An spr che durch 44a TKG begrenzt sofern es sich um Verm genssch den und entspre chende Telekommunikationsdienste handelt Anspr che aus Vertrag mit Schutzwirkung zugunsten Dritter zwischen verschiedenen Providern scheitern an der erforderlichen berschaubarkeit der beteiligten Nutzer F r Provider w re das Risiko eines Verm gensschadens von Nutzern die ihrerseits in Be ziehung mit einem Provider stehen nicht mehr zu kalkulieren Provider haben Nutzer aber auch vor Angriffen auf die Privat und Intimsph re zu sch tzen insbesondere vor dem Aussp hen von E Mails Auch wenn Nutzer weitge hend darauf verwiesen werden k nnen ihre E Mail zu verschl sseln muss der Provider zumindest Passw rter f r den Zugang zu E Mail Konten vergeben und f r gelegentliche Stichproben auf unbefugten Zugang sorgen Entgegen der Rechtsprechung ist ein deliktsrechtlicher Schutz der Au enbeziehungen des Unternehmens anzuerkennen der auch den Zugang mittels E Mail und Website um fasst Dar ber hinaus bestehen selbstverst ndlich Anspr che aus 823 Abs 1 826 BGB gegen Versender sog E Mail Bomben die den Zugang des Unternehmens verstopfen oder gegen Hacker die Informationen des Unternehmens au
475. nforderungen vermag den Produkthersteller daher in Bezug auf die 306 zivilrechtliche Haftung nicht in jedem Fall zu entlasten Dies wird auf europarechtli cher Ebene schlie lich durch das Nebeneinander von Produktsicherheits und Produkt haftungsrichtlinie verdeutlicht Nicht zu untersch tzen ist indes die faktische Autorit t harmonisierter wie rein natio naler Normen f r die Bestimmung der Verkehrspflichten so dass die Einhaltung der Normvorgaben den Hersteller im praktischen Ergebnis oftmals gleichbedeutend mit der Wahrung der im Verkehr erforderlichen Sorgfalt sein wird In der Tat gehen die Ge richte nur in seltenen F llen ber die Anforderungen der einschl gigen technischen Norm hinaus Dagegen werden Pflichtverst e oftmals schon allein deshalb bejaht weil technische Normen missachtet wurden b Technische Standards f r den IT Bereich Common Criteria und Protection Profiles Bislang existieren im IT Bereich keine allgemeing ltigen Sicherheitsstandards so dass hinsichtlich der Sicherheitserwartungen des Verkehrs praktisch keine Konkretisierung 311 durch technische Normen erfolgt Vor allem der rasante Fortschritt in der Software entwicklung behindert dabei die Versuche zur Festlegung eines allgemeing ltigen Si cherheitsstandards der nicht sofort wieder berholt ist Zunehmend werden IT Produkte nach den sog Common Criteria Standards zertifi ziert und gepr ft die sich
476. ng an die Rechtsprechung zu ec Karten strengere Anforderungen anlegen k nnen da ein Miss brauch praktisch nur dann m glich ist wenn der T ter Zugriff auf die Hardware TAN Generator Mobiltelefon und zugleich auf die PIN erlangt Der Anscheinsbeweis w re hier beispielsweise dann ersch ttert wenn beispielsweise die erforderliche Hardware und die Legitimationsdaten bei einem Diebstahl entwendet wurden ohne dass dem In haber Fahrl ssigkeit vorgeworfen werden k nnte b Er rterung der Beweislage bei den einzelnen Bedrohungsszenarien LG Stralsund MMR 2006 487 488 f Eine Pflichtverletzung wegen unterlassenen Virenschutzes ver neinte das Gericht unter Berufung auf die Dialer Rechtsprechung des BGH Borges NJW 2005 3313 3317 Karper DuD 2006 215 219 So Kind Werner CR 2006 353 360 Borges NJW 2005 3313 317 Karper DuD 2006 215 219 So zutreffend Erfurth WM 2006 2198 2206 Prof Dr Gerald Spindler 247 583 584 585 586 587 Bejaht man mit der bislang vorherrschenden Ansicht den Anscheinsbeweis auch bei Verwendung von PIN TAN Verfahren ohne Medienbruch ergeben sich im Einzelfall erhebliche Beweisschwierigkeiten und Prozessrisiken die insbesondere beim Einsatz von Trojanern oftmals nicht berwindbar sein werden Im Einzelnen stellt sich die Be weislage in den eingangs geschilderten Bedrohungsszenarien wie folgt dar i Szenario l Das Phishing per E Mail und Visual Spoofing
477. ng von Sicherungsma nahmen jedenfalls dann wenn sie nicht vollkommen au erhalb jedes vern nftigen Verh ltnisses zu dem mit der Ma nahme verbundenen Sicherheitsgewinn steht So k nnen monatlich zu entrichtende Betr ge durchaus angemessen sein sofern sie nicht ein bestimmtes Ma berschreiten z B f r ein monatliches Virenscan Update Zur L sung von IT Sicherheitsproblemen ist stets auch der Einsatz entsprechender Ex perten denkbar Allerdings sind die Kosten hierf r meist unverh ltnism ig hoch Der Private wird in aller Regel nur Ma nahmen ergreifen welche ihm ohne fremde Hilfe m glich sind Eine Pflicht zur kostenpflichtigen Heranziehung von Fachkr ften d rfte bei privaten Nutzern indessen unzumutbar sein c Allgemeines Lebensrisiko Zur Begr ndung einer Verkehrspflicht m ssen von der beherrschten Gefahrenquelle bzw der geschaffenen Gefahrenlage besondere ber das allgemeine Lebensrisiko hi nausgehende Gefahren ausgehen Bei einem weit verbreiteten und damit auch weit hin bekannten Problem k nnte man davon ausgehen die Gefahr einem solchen Angriffs zum Opfer zu fallen werde bei Nutzung des Internet in Kauf genommen so dass Sch den in den Verantwortungsbereich des zum Selbstschutz verpflichteten Gesch digten 567 fallen Zum gegenw rtigen Zeitpunkt wird man so weit allerdings nicht gehen k n Erman Schiemann 823 BGB Rn 20 Staudinger Hager 823 BGB Rn 33 vgl auch BGH NJW 1996 1533 BG
478. ngen erbringen oder Produkte mit Hilfe der eingesetzten IT erzeugen Diese unterliegen zahlreichen Selbstschutzpflichten die ihrerseits auch wiederum Verkehrssicherungspflichten gegen ber Dritten entsprechen wobei diese Dritthaftung in hnlicher Weise wie bei den IT Herstellern auf die Verlet zung bestimmter Rechtsg ter beschr nkt ist Hier ist zu unterscheiden zwischen t tig keits und organisationsbezogenen Pflichten So k nnen etwa bei der Erbringung von IT Dienstleistungen wozu auch das Online Banking geh rt bestimmte Mindestsicher heitsstandards vom Kunden vertraglich erwartet werden deren Verletzung sowohl Konsequenzen im prozessualen Bereich als auch im materiell rechtlichen Bereich f r die Bank hat etwa fehlende Verschl sselungen etc All dies sind auf die jeweilige T tigkeit bzw IT Dienstleistung bezogene Anforderungen Defizite bestehen hier im Wesentlichen nicht bei den rechtlichen Grundlagen an sich da die allgemeinen rechtli chen Vorgaben wie die im Verkehr bliche Sorgfalt nach 276 BGB in der Lage sind flexible Antworten auf neue Gefahren zu geben vielmehr besteht hier in erster Linie das Problem im Fehlen weitgehend konsentierter Standards die als Mindestsicherheit auf jeden Fall zu beachten sind und deren Verletzung per se eine Haftung ausl st H u fig zeigt sich dass Kunden nicht ber die n tigen Informationen verf gen um gegebe nenfalls ihre Anspr che durchsetzen zu k nnen Enforcement Problem
479. ngen technisch aufw ndig waren Ent gegen zuvor ergangenen instanzgerichlichen Entscheidungen stellte der III Zivilse nat fest dass f r den Nutzer keine Pflicht zur berwachung des eigenen Computersys tems besteht solange kein konkreter Hinweis auf einen Missbrauch besteht Verall gemeinert man diesen Gesichtspunkt so kommt es grunds tzlich darauf an ob ein ver st ndiger objektiver Nutzer nicht von einer entsprechenden Gefahr wusste oder zumin dest damit rechnen musste Grund hierf r ist auch dass der Bekanntheitsgrad die Verkehrserwartung beeinflusst Im zu entscheidenden Fall war f r den Nutzer nicht erkennbar dass eine Beeintr chtigung des Systems stattgefunden hatte bzw diese nicht einfach beseitigt werden konnte Hinzu kam dass der Nutzer auch grunds tzlich nicht misstrauisch sein und demgem keine Sicherungsma nahmen z B Dialer Schutzprogramm ergreifen musste Ob allerdings angesichts der weiteren Entwicklung heute noch davon ausgegangen wer den kann dass die Allgemeinheit bzw ein verst ndiger Nutzer keine Kenntnis von den Gefahren der Informationstechnologie und den m glichen Schutzmechanismen hat ist 562 zweifelhaft Wie die technische Entwicklung ist auch der den Nutzer treffende http www i4j at news aktuell36 htm BGH VersR 1972 70 71 H rting Schirmbacher CR 2004 334 337 dem hat sich der BGH im Dialer Urteil NJW 2004 1590 jedoch nicht angeschlossen sondern hat
480. ngs in Hoeren Sieber Kap 13 1 Rn 270 ff Wiebe in Spindler Wiebe Internet Auktionen und Elektronische Marktpl tze Kap 4 Rn 61 Prof Dr Gerald Spindler 237 564 565 1107 1108 1109 1110 1111 1112 Durchsetzung vertraglicher Anspr che wird mithin regelm ig ausscheiden wenn der registrierte Nutzer behauptet er habe die Erkl rung nicht abgegeben was in der Litera tur als Widerrufsrecht kraft Beweislast kritisiert wird LER Die instanzgerichtliche Rechtsprechung verneint unter Hinweis auf den derzeitigen Si cherheitsstandard der im Internet verwendeten Passw rter und das Fehlen einheitli cher Ma st be f r die Verschl sselung den f r die Annahme eines Anscheinsbeweises typischen Geschehensablauf Der Sicherheitsstandard f r Passw rter sei nicht ausrei chend um aus der Verwendung eines geheimen Passworts auf denjenigen als Verwen 1108 der zu schlie en dem dieses Passwort urspr nglich zugeteilt worden ist Die Tatsa che dass weltweit tagt glich Millionen von Rechtsgesch ften per Internetauktion klag los abgewickelt werden lasse den Schluss auf die Verl sslichkeit des Mediums Internet im Allgemeinen und der Kommunikationsplattform Internet Auktion im Besonderen nicht zu Hervorgehoben wird dabei der Unterschied der Verwendung eines blo en Passwortes welches noch dazu online ohne Identit tspr fung vergeben wird gegen ber den Sicherungsverfahren bei ec Karten
481. ngsma nahmen Im Rahmen der wirtschaftlichen Zumutbarkeit ist Raum f r eine Konkrete Ein zelfallbetrachtung die auch die Umst nde der Leistungserbringung einzubeziehen hat einschlie lich der Frage welchen Preis ein Nutzer f r einen Dienst aufbringt ns 670 Dennoch k nnen Intermedi re keinesfalls von den Privilegierungen f r private Nutzer im Rahmen der allgemeinen Haftung profitieren Denn aufgrund der Multiplikations 1234 BGH NJW 1990 906 907 Pferdeboxen BGH NJW 1990 908 909 Weinkorken Bamberger Roth Spindler 823 BGB Rn 486 M nchKommBGB Wagner 823 BGB Rn 576 Foerste in v Westpha len ProdHaftHdb 24 Rn 10 48 Prof Dr Gerald Spindler 276 wirkung und funktion der Intermedi re und dies betrifft sowohl Host als auch Ac cess Provider besteht ein stark erh htes Risiko etwa durch die schnelle Verbreitung von Gefahren Andererseits sind Intermedi re f r die Bereitstellung der Kommunikati onsinfrastruktur essentiell so dass an ihnen und ihren Diensten ein starkes ffentliches Interesse besteht 15 Ingesamt verschiebt sich die Beurteilung der Pflichten von Inter medi ren fast vollst ndig hin zur Beurteilung der Zumutbarkeit der Ergreifung von Si cherungsma nahmen da sie die Gefahrenquelle tats chlich beherrschen k nnen aber auch unabdingbar f r die modernen Kommunikationstechnologien und neuen Dienste sind Des Weiteren verf gen zumindest die Access Provider in aller Reg
482. ngsvertr ge Rn 588 ff 750 ff et passim Schneider Handbuch des EDV Rechts Kap D Rz 728 ff et passim Einen Anspruch aus positiver Forderungsverletzung bzw 280 I 241 II BGB k nnen Dritte demgegen ber nur dann geltend machen wenn sie in den Schutzbereich des Vertrages zwischen Softwarever u e rer und abnehmer einbezogen sind was selten der Fall sein d rfte aA im Rahmen des Jahr 2000 Fehlers noch Hohmann NJW 1999 521 524 1 S dazu auch Larenz Schuldrecht I 21 Hierzu Larenz Canaris Schuldrecht 11 2 75 Prof Dr Gerald Spindler 14 12 13 an die Kriterien die f r Verkehrspflichten entwickelt wurden anzukn pfen Denn der Ma stab der im Verkehr blichen Sorgfalt nach 276 BGB der f r das gesamte Schuldrecht und damit auch f r vertragliche Pflichten gilt ebenso f r das Mitverschul den nach 254 BGB und damit die Pflichten zum Eigenschutz entspricht strukturell weitgehend den deliktisch abgeleiteten Verkehrspflichten 1 Allgemeine Grunds tze der deliktischen Haftung ins besondere Verkehrssicherungspflichten Zentral f r die Haftung ist das Konzept der Verkehrssicherungspflichten sie sind aus schlaggebend um Sch den die durch mittelbare Verletzungen entstanden sind wie et wa in der Produzentenhaftung zuzurechnen Sie beanspruchen aber auch allgemeine Geltung f r die Ableitung von Pflichten die aus der Beherrschung von Gefahrenquellen erwachsen F r di
483. nische Arbeitsmittel AtA ein reines Beratungs gremium war ist seit der Einf hrung des GPSG zum einen die Zust ndigkeit f r Verbraucherschutz hinzugekommen zum anderen ist er nunmehr ein echter Rege lungsausschuss wobei sich seine Funktion jedoch in der Ermittlung von Normen und Spezifikationen ersch pft und nicht auch die Aufstellung von Normen umfas st Grund daf r ist die im Zuge des nationalen New Approach eingef hrte Vermutungs wirkung in 4 Abs 2 GPSG Die Bundesanstalt f r Arbeitsmedizin und Arbeitsschutz ist als beauftragte Stelle im Rahmen des Normungsverfahrens lediglich f r die Bekanntmachung im Bundesanzei ger zust ndig Auch dies ist Voraussetzung f r das Eingreifen der Vermutungswirkung An der Ermittlung der Normen hat sie jedoch keinen Anteil 3 Zertifizierung a CE Kennzeichen Durch die CE Kennzeichnung Abk rzung f r Communaut s Europ amp enes erkl rt der Hersteller bzw Importeur selbst dass das Produkt entsprechend der Bestimmun gen der auf ihn anwendbaren EU Richtlinien hergestellt wurde und somit im Europ i schen Binnenmarkt in Verkehr gebracht werden darf 208 Die CE Kennzeichnung ist ob ligatorisch sofern das Produkt einer Richtlinie unterf llt die eine CE Kennzeichnung 504 505 506 507 508 Amtl Begr ndung GPSG BT Drucks 15 1620 S 33 f Klindt 13 GPSG Rn 5 Wilrich 13 GPSG Rn 4 Richtlinie 93 68 EWG des Rates vom 22 Juli
484. nkerten Update Dienst installiert werden k nnen 4 Nutzung von Nutzerkonten mit eingeschr nkten Rechten Eine weitere M glichkeit die Gefahren zumindest zu minimieren ist die Arbeit unter einem Benutzerkonto mit eingeschr nkten Rechten Als Folge k nnte ein erfolgrei cher Angriff diejenigen eingeschr nkten Nutzerrechte erlangen sofern er nicht andere L cken zur Erh hung ausnutzt Damit kann eine dauerhafte Verankerung des Schad programms im System verhindert oder zumindest erschwert werden W hrend bei Unix Systemen die Arbeit als Nutzer die Regel ist und nur in Ausnahmef llen Administrator rechte genutzt werden ist dies bei Windows Betriebssystemen anders Hier arbeitet der Hauptnutzer regelm ig mit Administratorrechten Viele Programme sind auch ohne diese Rechte gar nicht lauff hig so dass der Betrieb nur eingeschr nkt m glich ist wenn der Nutzer nicht st ndig zwischen dem Administratorkonto und dem einge schr nkten wechseln will Diese M glichkeit ist jedoch keineswegs als weithin bekannt einzustufen Der Durch schnittsnutzer ist sich dieser M glichkeit gar nicht bewusst und kann deshalb auch die entsprechenden Ma nahmen die auch spezielle Anleitungen oder Expertenwissen und einigen Aufwand erfordern und damit auch technisch nicht zumutbar w ren nicht er greifen Es besteht somit keine Verkehrspflicht f r private Nutzer im Regelfall mit ein geschr nkten Rechten zu arbeiten 5 Intr
485. nnen Allerdings ist das Gefahrenpotential durch Viren sehr hoch auch Leben und Gesundheit k nnen betroffen sein zudem besteht ein starkes Eigeninteresse hinsichtlich des Schutzes der eigenen Daten und Anlagen In die sem Rahmen berwiegen die eigenen Schutzinteressen sowie diejenigen Dritter den wirtschaftlichen Aufwand Eine wirtschaftliche Zumutbarkeit liegt demnach vor Der Einsatz von Virenscannern ist Teil der Verkehrssicherungspflichten der Nutzer Nach dem BSI Grundschutz ist eine permanente berwachung als Schutz vor Viren absolut 72 notwendig Eine nderung k nnte sich auch in der notwendigen Aktualisierungsfrequenz ergeben Allerdings ist eine st ndige Aktualisierung auch dem kommerziellen Nutzer nicht zu mutbar solange auch gebr uchliche Standardvirenscanner nur w chentlich automati sche Aktualisierungen anbieten Sollte sich jedoch das st ndige Angebot von Updates durchsetzen so kann zumindest an Arbeitstagen von einer t glichen Updatepflicht aus 72 gegangen werden b Firewall Der Einsatz von Firewalls kann von privaten IT Nutzern nicht generell verlangt werden Grund hierf r ist einerseits dass zwar die abstrakte Gefahr Internet aber nicht die L sung ber eine Firewall bekannt ist Hinzu kommt der nur unzureichende Schutz so wie als Hauptargument die technische Unzumutbarkeit des Einsatzes Im Bereich der Haftung der kommerziellen Nutzer besteht dieses letzte Erfordernis jedoch nicht
486. nnen diese Produktstan dards mittelbar rechtliche Wirkung entfalten indem sie die n tige Mindestsicherheit f r bestimmte Bereiche konkretisieren Als Common Criteria werden die Gemeinsa men Kriterien f r die Pr fung und Bewertung von Sicherheit von Informationstechnik nach der im Jahre 2000 beschlossenen ISO Norm 15408 bezeichnet die den ameri kanischen Standard TCSEC sowie den europ ischen Standard ITSEC abl sen sollen Sie stellen ein weltweit anerkanntes Rahmenwerk f r die Bewertung von Softwarepro dukten dar Ziel ist eine vergleichbare berpr fung und entsprechend auch Zertifizie rung von IT Produkten mit unterschiedlich modellierbarer Pr fungsintensit t Com mon Criteria definieren somit an sich keine berpr fung f r IT Produkte sondern legen f r die Bewertung eine gemeinsame Basis fest Daf r definieren die Common Criteria 11 Funktionalit tsklassen sowie deren Abh ngigkeiten die f r ein Produkt sicherheits relevante Vorg nge beschreiben Die Funktionalit tsklassen sind allgemeine Grund funktionen der Sicherheitsarchitektur eines zu zertifizierenden Produkts bzw einer Pro duktklasse wie z B der Schutz der Benutzerdaten die Privatsph re Kommunikation 317 oder Sicherheitsprotokollierung Diese Grundfunktionen sind getrennt zu bewerten Allein f r sich genommen w rden jedoch die Common Criteria keine Sicherheitsbewer tung erlauben Hierzu sind Protection Profiles erforderlich di
487. nnt zu verwahren Dies ent 1135 LG Bonn MMR 2004 179 180 Prof Dr Gerald Spindler 244 spricht weitgehend den Anforderungen welche die Rechtsprechung f r die sichere und getrennte Verwahrung von PIN und ec Karte aufgestellt hat Der Fall dass die PIN auf elektronischem Wege noch dazu wie h ufig aus dem Ausland durch einen Trojaner usw ausgesp ht der Aufenthalt des Bankkunden ermittelt und dann noch die Hardware entwendet wird d rfte blo theoretische Relevanz besitzen Entsprechend der Recht sprechung zu ec Karten Rn 562 erscheint daher eine tats chliche Vermutung f r die Weitergabe oder unsorgf ltige Verwahrung der PIN und der Hardware gerechtfertigt d Zwischenergebnis 577 Nach derzeit hM im juristischen Schrifttum wird es der Bank regelm ig gelingen die technische Sicherheit der PIN TAN Systeme als Grundlage des Anscheinsbeweises zu beweisen Insbesondere die Gefahr des Aussp hens trifft damit beweisrechtlich den Kunden da dieser die Legitimationsmedien geheim halten m sse und folglich eine tat s chliche Vermutung daf r spreche dass der Kunde den Missbrauch von PIN und TAN 1136 zumindest fahrl ssig erm glicht habe Wegen des vermeintlich hohen technischen Sicherheitsstandards wird angenommen die Ursache eines Missbrauchs k nne nur aus der Sph re des Kunden kommen Phishing und Pharming werden damit nicht als Frage der mangelnden Sicherheit des Online Banking ge
488. ns ten ebenso wie in sonstiger popul rer Software ausnutzen Von W rmern sind auch Plattformen betroffen die von Viren bisher verschont geblieben sind So sind ge genw rtig auch Mobiltelefone mit fehlerhafter Implementierung des Bluetooth Slade in Bidgoli Encyclopedia of Informationsystems Volume 1 2002 S 263 80 der bei der Bundesverwaltung erkannten Schadprogramme waren W rmer und Trojaner BSI Lagebericht 2005 abrufbar unter http www bsi de literat lagebericht lagebericht2005 pdf S 17 zuletzt abgerufen am 09 10 2006 Slade in Bidgoli Encyclopedia of Informationsystems Volume 1 2002 S 259 358 f Tita VW 2001 1696 Lang JurPC 205 2001 Rn 41 Eckert IT Sicherheit S 57 Prof Dr Gerald Spindler 32 63 64 65 110 111 112 113 Standards bedroht Im Gegensatz zu Viren die versuchen m glichst viele Dateien zu infizieren nisten sich W rmer im Wirtssystem so ein dass sie m glichst unerkannt bleiben und bei jedem Systemstart ausgef hrt werden Das Ziel von W rmern muss nicht die Ausf hrung von Schadfunktionen sein sondern Kann auch in der reinen Wei terverbreitung liegen die an sich bereits gro en wirtschaftlichen Schaden anrichten kann da zur Weiterverbreitung h ufig enorme Ressourcen auf Seiten der infizierten der zu infizierenden und vermittelnden Systeme gebunden werden M sliche Gegenma nahmen Neben dem standardm igen Einsatz von Virenscannern die n
489. ns Netz angebun dene Server gef hrlich ist Peikari Chuvakin Kenne Deinen Feind S 171 ff Sviatoslav Braynow in Bigdoli Handbook of Information Security Volume 3 S 58 S dazu auch Rhodenizeri in Bidgoli Encyclopedia of Informationsystems Volume 4 2002 S 49 ff Kabay in Bidgoli Encyclopedia of Informationsystems Volume 1 2002 S 356 BSI Lagebericht 2005 abrufbar unter http www bsi de literat lagebericht lagebericht2005 pdf S 19 zuletzt abgerufen am 09 10 2006 Anonymous Der neue hacker s guide 375 ff Cronin in van Til borg Encyclopedia of Crypthography and Security S 143 B lscher Kaiser Schulenburg VW 2002 565 Kurose Ross Computer Networking S 648 Prof Dr Gerald Spindler 40 88 147 148 149 150 151 152 solcher DoS Angriff von mehreren Bots eines Bot Netzes ausgef hrt so spricht man von einem Distributed Denial of Service Angriff DDoS da es sich um eine Vielzahl 147 von Angreifern handelt die allerdings koordiniert handeln Eine weitere Variante die ebenfalls mit Hilfe von Bot Netzen durchgef hrt werden kann sind sogenannte Distri buted Reflected Denial of Service Angriffe DRDoS Hierbei sendet der Angreifer seine Datenpakete nicht direkt an das Opfer sondern an regul re Internetdienste Unbe 148 teiligter tr gt jedoch als Absenderadresse die des Opfers ein Die Antworten auf die se Anfragen stellen f r das Opfer den eigentlichen DoS
490. nt vollst ndig erfasst und in angemessener Weise dargestellt werden k nnen Operationelle Risiken werden im Modul BTR 4 behandelt in welchem es um angemessene Risikosteuerungs und controllingprozesse geht Darunter sind Verlustrisiken zu verstehen die ihre Ursache in inad quaten und fehlerhaften internen Prozessen Personen und Systemen oder externen Ereignissen haben In BTR 4 der MaRisk ist vorgesehen dass wesentliche operationelle Risiken zumindest j hrlich identifiziert und beurteilt werden bedeutende Schadensf lle sind hingegen unverz glich hinsichtlich ihrer Ursachen zu analysieren Es ist zudem j hrlich hier ber an die Gesch ftsleitung detailliert Bericht zu erstatten woraufhin entschieden werden muss welche Ma nahmen zu ergreifen sind Daneben spielt auch die Interne Revision eine erhebliche Rolle Ihr ist nach AT 4 4 der MaRisk zur Wahrnehmung der Aufgaben ein vollst ndiges und uneingeschr nktes Informationsrecht einzur umen hierf r erh lt sie auch das Recht Einblick in die Aktivit ten und Prozesse sowie in die IT Systeme des 893 Kreditinstituts zu nehmen Zwar sind die weiteren besonderen Anforderungen an die 889 890 891 892 893 http www bafin de rundschreiben 89_2005 051220 htm zuletzt abgerufen am 6 06 2007 n her hierzu Zimmermann BKR 2005 208 215 In dem zweiten Entwurf wurden alle Dokumentationsanforderungen des ersten Entwurf zugunsten einer Generalklausel
491. nternetverkehr verwendeter Legitimati 925 Spindler Kasten AG 2006 785 786 Prof Dr Gerald Spindler 198 472 926 927 928 929 onsmedien beobachtet werden Waren Angriffe auf die Sicherheit der Informationssys teme bislang meist von dem Wunsch getrieben St rungen um ihrer selbst Willen zu verursachen z B Denial of Service Attacken verlagert sich die Motivation zuneh mend hin zu blo em Gewinnstreben Besonders betroffen waren hierbei bislang die Kunden des Online Banking insbesondere der Deutschen Bank der Postbank sowie der Volks und Raiffeisenbanken aber auch die Kunden des Internet Auktionshauses eBay Angesichts der fortschreitenden Verlagerung des Wareneinkaufs im Internet und der vermehrten Online Abwicklung von Bankgesch ften d rfte k nftig eine Zunahme dieser F lle zu verzeichnen sein was neben hier nicht zu behandelnden strafrechtli chen Konsequenzen verst rkt Fragen der zivilrechtlichen Haftung aufwirft Ent scheidend sind hierbei die Fragen der Risikoverteilung und Risikobeherrschung im Verh ltnis von Unternehmer hier Bank und Kunde beim Gesch ftsverkehr im Internet s zum Online Banking Rn 503 ff Probleme bereiten im Haftungsfall vor allem die Beweisf hrung hinsichtlich einer Identit tst uschung oder einer Pflichtverletzung des Nutzers Im Folgenden wird f r das Online Banking zun chst das Gefahrenpotential anhand dreier beispielhafter Szenarien a
492. ntwortlichkeiten in der IT klar geregelt sein der Mitarbeitereinsatz ist inso E 681 fern an den Erfordernissen auszurichten In das Rating k nnen durchaus auch andere IT Zertifikate einbezogen werden So kann das Zertifikat als Nachweis dienen dass ein IT Sicherheitsmanagementsystem vorhanden ist und ein BS 7799 Zertifikat bzw ein ISO 27001 Einfluss auch auf die Bewertung nach Basel II haben Allerdings ist im Rahmen eines Ratings darauf zu ach ten ob der f r die Zertifizierung gew hlte G ltigkeitsbereich sich auch mit den Unter nehmensbereichen deckt die wesentlich die Werthaftigkeit oder die Wertsch pfung des Unternehmens widerspiegeln Die f r das BSI 7799 2 bzw ISO 27001 erstellte Risi koanalyse kann hierf r nur bedingt herangezogen werden da sich diese definitionsge m auf den G ltigkeitsbereich der entsprechenden Zertifizierung und nicht auf das Ge 684 samtunternehmen bezieht Eine direkte bertragbarkeit und damit ein unmittelbarer Nachweis im Sinne von Basel II l sst sich hierin folglich nicht sehen Beispiel Hat ein Unternehmen keinerlei Kontrolle im Bereich des Einkaufs von Soft ware bzw IT Produkten und sind diese Produkte kritisch f r die Erbringung der Leis tungen des Unternehmens K nnen sich existentielle Risiken f r das Unternehmen im Haar Sch dler Verbaselt abrufbar unter http www heise de ix artikel 2004 12 099 zuletzt abgerufen am 05 06 2007 Beispiele nach Capel
493. nutzer in NJW 2004 3145 3150 Spindler Gerald Der Jahr 2000 Fehler Vertragsrechtliche Haftungsfragen des Softwarever u Berers in DB 1999 1991 1998 Spindler Gerald Haftung und Verantwortlichkeit im IT Recht in CR 2005 741 747 Spindler Gerald Risiko der heimlichen Installation eines automatischen Einwahlprogramms Dialer Anmerkung zu BGH Ur teil v 04 03 2004 III ZR 96 03 in JZ 2004 1128 1132 Spindler Gerald Haftungs und vertragsrechtliche Proble me von Web Services in DuD 2005 139 141 Spindler Gerald Verantwortlichkeit eines Plattformbetrei bers f r fremde Inhalte in JZ 2005 37 40 Spindler Gerald Das Gesetz zum elektronischen Ge sch ftsverkehr Verantwortlichkeit der Diensteanbieter und Herkunfts Prof Dr Gerald Spindler LVI landprinzip in NJW 2002 921 927 Spindler Gerald Steuerungsfunktionen des Produkthaftungs recht im IT Recht und Reformbe darf in H nlein Andreas Ro na gel Alexander Hrsg Wirtschafts verfassung in Deutschland und Eu ropa Festschrift f r Bernhard Na gel Kassel 2007 21 30 zitiert Spindler in FS Nagel Spindler Gerald Risiko der heimlichen Installation eines automatischen Einwahlprogramms Dialer in JZ 2004 1128 1132 Spindler Gerald Verschuldensunabh ngige Produkthaftung im Internet
494. nwendung unmittelbare Einwirkungen auf die reale Welt verbunden w ren Produktfehler werden in diesem Bereich somit kaum jemals in Personensch den resultieren c Anforderungen an die Produktsicherheit 4 GPSG Gem 4 GPSG d rfen Produkte nur in Verkehr gebracht und ausgestellt werden so weit sie den Anforderungen an die Produktsicherheit gen gen Hinsichtlich der Anfor derungen ist zu unterschieden zwischen Produkten welche europ ischen Vorgaben ent sprechen m ssen harmonisierter Bereich dazu 1 und solchen die lediglich natio nalen Anforderungen unterliegen dazu 2 1 Harmonisierter Bereich 4 Abs 1 GPSG 4 Abs 1 GPSG bezieht sich auf Produkte welche einer Rechtsverordnung nach 3 Abs 1 GPSG unterfallen und damit einen Teil des europ ischen Harmonisierungs konzeptes im Bereich der Produktsicherheit des sogenannten New Approach Neues Konzept darstellen a Rechtsverordnungen nach 3 Abs 1 GPSG 481 Ausf hrlich zum New Approach Klindt EuZW 2002 133 ff Prof Dr Gerald Spindler 101 221 228 229 Die in den Harmonisierungsrichtlinien festgelegten europ ischen Anforderungen an Produkte werden durch die nach 3 Abs 1 GPSG zu erlassenen Rechtsverordnungen in deutsches Recht umgesetzt Das GPSG dient derzeit der Umsetzung von nicht weniger als 14 Richtlinien des sog New Approach der Europ ischen Kommission Bei den Richtlinien k nnen die Kategorien sektoral
495. nzuf hren sowie Vorsorge f r den Fall des Ver lusts oder l ngeren Ausfalls von Systemen zu treffen F r den Bereich der IT Sicherheit finden sich zudem Vorgaben zum Riskmanagement in den Empfehlungen Riskmanagement for Electronic Banking vom M rz 19988 863 3 und Risk Management Principles for Electronic Banking vom Juli 200 Die Sicherheitsvorkehrungen m ssen alle IT spezifischen Sicherheitsrisiken abde cken Es muss insbesondere sichergestellt sein dass eingesetzte Programme nachvoll ziehbar und fehlerfrei arbeiten und Dokumentationen der Programme vorgehalten sind Die Software muss gepr ft sein Bei Ausfall der eigenen EDV Anlage muss die Ge sch ftst tigkeit fortgesetzt werden k nnen hierzu sind Notfallpl ne zu erstellen I m Einzelnen lassen sich vier Fehlerkategorien unterscheiden materielles Fehlerrisiko Formalfehlerrisiko technisches Ausfallrisiko und Fremdnutzungsrisiko Materielle Fehler beruhen auf sachlich falschen gespeicherten Daten oder ermittelten Verarbei tungsergebnissen Formalfehler entstehen durch Nichtbeachtung von Formalvorschrif ten im Zusammenhang mit der Datenverarbeitung was regelm ig auf organisatorische Schw chen zur ckzuf hren ist Das technische Ausfallrisiko realisiert sich wenn Hard oder Software bzw Daten nicht oder nicht unversehrt vorhanden sind oder Software fehler zu unkontrollierten Programmabst rzen f hren Nutzen Dritte unberechtigt di
496. oad bereit stehen Allerdings muss im Einzelfall genau gepr ft werden ob diese Programme weithin bekannt und einfach verf gbar sowie installierbar sind Problematisch ist indessen wie h ufig der Nutzer seinen Virenschutz aktualisieren muss Hierzu ist zun chst zu beachten dass auch die aktuellste Virendefinitionsdatei keinen absoluten Schutz bietet Werden neue Viren erstellt so brauchen auch die Viren labore der Antivirensoftwarehersteller einige Zeit um hierauf zu reagieren In dieser Zeit ist selbst ein st ndig aktuell gehaltenes Computersystem vor dem speziellen Virus ungesch tzt 1 Zudem stellen die Hersteller von Antiviren Software nicht st ndig neue Updates zur Verf gung Teilweise werden die automatischen Updates z B im w chent lichen Rhythmus bereitgestellt Weiter bedeutet ein Update regelm ig den Download gr erer Dateien Zwar nimmt die Verbreitung breitbandiger Internetzug nge zu Es kann gegenw rtig aber noch nicht davon ausgegangen werden dass der Durchschnitts nutzer einen solchen besitzt Daher d rfte es derzeit berzogen sein eine st ndige Pflicht zur Aktualisierung des privaten Systems zu fordern Grunds tzlich ist damit maximal eine w chentliche Aktualisierung zumutbar Im Ergebnis l sst sich danach festhalten dass dem privaten IT Nutzer die Pflicht zur Einrichtung Wartung und w chentlichen Aktualisierung eines Virenscanners obliegt 2 Firewall Ein weiteres Ab
497. odukthaftung infolge Schutzgesetzverletzung 823 Abs 2 BGB ffentlich rechtliche Produktsicherheitsnormen 2 Verschuldensunabh ngige Produkthaftung ProdHaftG a Produktbegriff des ProdHaftG 2 ProdHaftG b Rechtsgutsverletzung 1 Andere Sache 2 Privater Gebrauch c Verursachung durch einen Fehler des Produkts d Haftungsausschlussgr nde e Beweislast f Rechtsfolgen 3 Zusammenfassung IV ffentlich rechtliche Produktsicherheit insbesondere das GPSG 1 Anwendungsbereich und Anforderungsprofil des GPSG a Produktbegriff 1 Grunds tze 2 Hardware Prof Dr Gerald Spindler 51 52 53 53 53 54 54 55 55 56 58 59 59 60 61 61 62 63 65 65 68 70 71 71 73 73 74 76 76 11 81 81 83 84 85 85 87 88 90 90 90 91 92 92 93 94 94 94 95 I 3 Software a Im Endprodukt integrierte Software b Selbst ndige Software b Pers nlicher und sachlicher Schutzbereich c Anforderungen an die Produktsicherheit 4 GPSG 1 Harmonisierter Bereich 4 Abs 1 GPSG a Rechtsverordnungen nach 3 Abs 1 GPSG b Konformit tsvermutung 2 Nichtharmonisierter Bereich 4 Abs 2 GPSG a Pflichten der IT Hersteller b Nationaler New Approach d Besondere Pflichten bei Verbraucherprodukten 5 GPSG Normungsverfahren nach dem GPSG a Verfahren im harmonisierter Bereich b Verfahren im nicht harmonisierten Bereich Zertifizierung a CE Kennzeichen b GS Zeichen
498. ohne Computertechnologie kaum vorstellbar IT Produkte finden sich heutzutage in jeder Form von Ger ten sei es als embedded systems in Konsumger ten oder als spezielle Steuerungsger te in Industrieanlagen Vor diesem Hintergrund besitzen Sicherheitsaspekte einen berragenden Stellenwert Der drohende volkswirtschaftliche Schaden schadhafter IT Produkte die Betriebsabl u fe und Steuerungen zum Erliegen bringen liegt auf der Hand Auch aus betriebswirt schaftlicher Sicht ist die Beherrschung der bestehenden IT Risiken von fundamentaler Bedeutung Zu den Krisenszenarien aus unternehmerischer Sicht z hlen nicht nur die vertraglichen Risiken vielmehr ist IT Sicherheit zu einem entscheidenden Faktor in der Wertsch pfungskette generell geworden der die Risikoexposition eines Unternehmens seine Kreditw rdigkeit ebenso wie seine Haftpflichtversicherungspr mien entscheidend beeinflussen kann Auch wenn im vertraglichen Verh ltnis zahlreiche Vorkehrungen gegen Krisenszenarien getroffen werden k nnen verbleiben sowohl gegen ber Dritten als auch f r das Unternehmen intern zahlreiche Pflichten die sich in erheblicher Weise auswirken k nnen Dies wurde schon im Rahmen des damals bef rchteten Jahr 2000 Problems deutlich und hat sich seitdem eher noch versch rft Fast w chentliche Meldungen ber neu ent deckte Sicherheitsl cken in Softwareprogrammen und neue Varianten von W rmern Dazu BSI Gutachten zur rechtlichen Analyse des
499. olitischer Sicht stellt sich die Frage ob das Recht mit seinen bisherigen Steuerungsinstrumenten in der Lage ist und war den neuen Risiken ausrei chend Rechnung zu tragen Das nunmehr seit etlichen Jahren diskutierte Problem der IT Sicherheit scheint nach wie vor nicht bew ltigt zu sein so dass Defizite des gelten den Rechts nahe liegen 5 Die tats chliche Relevanz dieser Problematik steht in einem gewissen Gegensatz zur rechtlichen Durchdringung der bestehenden Sicherheitspflichten im Bereich der Infor mationstechnologie Schwierigkeiten bereitet einerseits die lediglich partiell bestehende spezialgesetzliche Normierung dieser Pflichten anderseits die starke Zersplitterung der Materie auf eine Vielzahl von Einzelgesetzen Zudem sind bislang nur ansatzweise die traditionellen Verantwortlichkeitsnormen auf ihre Tragf higkeit zur Bew ltigung und Zuweisung von Risiken hin untersucht worden B Allgemeiner Teil I Rechtliche Grundlagen von Sicherheitspflichten 6 Ziel dieses Gutachtens ist es einen berblick ber die derzeit bestehenden Sicherheits anforderungen zu geben die die Rechtsordnung teilweise in Gestalt von Spezialgeset zen in erster Linie jedoch durch die Auslegung bestehender allgemeiner Rechtsvor schriften an alle Verwender von IT Produkten stellt Dazu ist es n tig die f r diesen Bereich in Frage kommenden Rechtsmaterien und den in ihnen niedergelegten Bestand an Rechtspflichten zu sichten Als Pflichten
500. organisationspflichten S 805 Foerste in v Westphalen ProdHaftHdB 24 Rn 20 Marburger Die Regeln der Technik im Recht S 470 M nchKommBGB Wagner 823 BGB Rn 578 K hler BB 1985 Beilage 4 S 10 11 Reiff in Mar burger Technische Regeln im Umwelt und Technikrecht S 172 Spindler Unternehmensorganisations pflichten S 806 Foerste in v Westphalen ProdHaftHdB 24 Rn 20 Marburger Die Regeln der Technik im Recht S 472 Spindler Unternehmensorganisationspflichten S 806 Vieweg in Schulte Handbuch des Technikrechts S 361 BGH NJW 2001 2019 2020 BGH NJW 1991 2021 2022 Reiff in Marburger Technische Regeln im Umwelt und Technikrecht S 162 172ff Foerste in v Westphalen ProdHaftHdB 30 Rn 103 Bamberger Roth Spindler 823 BGB Rn 280 Staudinger Hager 823 BGB Rn E 72 Soergel Krause Anh II 823 BGB Rn 74 M nchKommBGB Wagner 823 BGB Rn 272 316 Palandt Sprau 823 BGB Rn 80 Marburger Die Regeln der Technik im Recht S 448 ff insb 453 f Prof Dr Gerald Spindler 81 180 181 182 374 375 diger muss den Anscheinsbeweis ersch ttern indem er darlegt und beweist dass der Schaden auch dann eingetreten w re wenn er die Norm eingehalten h tte Der BGH geht wohl zum Teil von einer Beweislastumkehr aus wenn er davon spricht die Bekl h tten daher darzulegen und zu beweisen dass die Sch den nicht auf der Verletzung an erkannter Regeln der Tec
501. orstandsrechts 19 Rn 6 Spindler in Fleischer Handbuch des Vorstandsrechts 13 Rn 51 ff Prof Dr Gerald Spindler 146 343 344 345 652 653 Neben der Pflicht zu einem ausreichenden Risikomanagement aus 91 Abs 2 AktG greift hinsichtlich der Buchf hrungssoftware auch die Pflicht des Vorstands zu ord nungsgem er Buchf hrung aus 91 Abs 1 AktG bzw parallel hierzu aus 41 Abs 1 GmbHG und verpflichtet die Gesch ftsleitung dazu angemessene organisatorische Ma nahmen zur Risikominimierung zu treffen Hierzu geh rt nicht allein die Datensi cherung sondern auch die Ber cksichtigung alternativer Buchf hrungssysteme im Falle des EDV Ausfalls Eine genaue Zahl der Datensicherungs und Kontrollabst nde l sst sich allerdings nur individuell f r jede AG und den jeweils verwendeten IT Baustein einzeln bestimmen da ansonsten dem Leitungsermessen des Vorstandes widersprochen w rde Die Unter nehmensleitung hat insofern unter den zur Beseitigung des Risikos verf gbaren Ma nahmen im Rahmen des von der Rechtsprechung anerkannten zul ssigen Risikos eine Auswahl zu treffen Exemplarisch f hrt der BGH in einem obiter dictum zum ARAG Garmenbeck Urteil grundlegend aus Eine Schadensersatzpflicht kann erst in Betracht kommen wenn die Grenzen in denen sich ein von Verantwortungsbewusstsein getragenes ausschlie lich am Unternehmenswohl orientiertes auf sorgf ltiger Ermittlung der Entscheidun
502. owie das ETSI Europ i sches Institut f r Telekommunikationsstandards Auch die nationalen Normungsgre mien die in Anhang Il der Richtlinie 98 34 EG aufgelistet sind sind nach Ma gabe von Art 2 3 RiLi 98 34 EG in den Normierungsprozess eingebunden Deutsche Normungs gremien sind gegenw rtig das Deutsche Institut f r Normung e V DIN und die Deut sche Elektrotechnische Kommission im DIN und VDE DKE Allerdings kann die Kommission gem Art 2 Abs 4 der Richtlinie 98 34 EG auf Grundlage der Mitteilung eines Mitgliedstaates den Anhang II ndern und gegebenenfalls den Kreis der involvier ten nationalen Normungsgremien erweitern Beschlie t ein nationales Normungsgremium die Aufnahme einer neuen Norm in das Normungsprogramm so hat es die europ ischen und nationalen Normungsgremien so wie die Kommission davon zu unterrichten Art 2 Abs 1 Richtlinie 98 34 EG ber diese nationalen Normungsaktivit ten ber t ein st ndiger Ausschuss der aus von den Mitgliedsstaaten ernannten Vertretern besteht in Zusammenarbeit mit Vertretern der europ ischen und nationalen Normungsgremien Art 5 6 Abs 1 RiLi 98 34 EG Soweit der Ausschuss dies f r sinnvoll erachtet regt er bei der Kommission die Erarbeitung ei ner europ ischen Norm durch ein europ isches Normungsgremium an Art 6 Abs 3 Richtlinie 98 34 EG b Verfahren im nicht harmonisierten Bereich Im nicht harmonisierten Bereich kommt die Vermutungswirkung gem 4 Abs 2 S
503. passenden Clients aktiv bei sei nem Opfer Schaden anrichten und Informationen ausspionieren M gliche Gegenma nahmen Zus tzlich zu den bereits oben genannten Schutzm g lichkeiten durch Virenscanner und Firewalls ist der generelle Hinweis zum Verzicht auf Programme aus unbekannten oder unsicheren Quellen f r einen Schutz gegen Tro janer sinnvoll Benutzern von PCs eines Unternehmensnetzwerks sollte es durch ent sprechende Beschr nkung der Rechte in einem System grunds tzlich nicht m glich sein selbst Software zu installieren oder Software auszuf hren die nicht explizit frei gegeben ist Einsch tzung des Gef hrdungspotentials Insgesamt geht von Trojanern eine erhebli che Gefahr f r die IT Sicherheit da der durch sie entstehende Schaden nicht unbedingt zeitnah ersichtlich sein muss 4 Spyware Unter Spyware versteht man Programme die keinen direkten Schaden am System des Nutzers verursachen es daf r aber ausspionieren 122 Wie bei der Attacke mit einem tro janischen Pferd soll auch dieser Angriff f r den betroffenen Benutzer unsichtbar ablau fen um vor der Entdeckung m glichst viele Daten ber die T tigkeiten des Benutzers zu sammeln Spyware wird h ufig zusammen mit kostenfreien Programmen instal 119 120 121 122 Slade in Bidgoli Encyclopedia of Informationsystems Volume 1 2002 S 260 360 Bidgoli Handbook of Information Security Volume 3 S 97 Eckert IT Sicherheit S 62 C
504. pdf 1 Knolmeyer Wermelinger Der Sarbanes Oxley Act und seine Auswirkungen auf die Gestaltung von In formationssystemen abrufbar unter http www ie iwi unibe ch publikationen berichte resource WP 179 pdf 7 f BGH NJW RR 2003 1459 NJW 1990 1236 NJW RR 2002 525 mwN BGH NJW RR 2002 525 526 BGH NJW 1978 1629 BGH NJW 1990 906 907 Bamberger Roth Spindler 823 BGB Rn 234 Schwarz Peschel Mehner Schwerdtfeger Gottschalck Kap 2 Rn 246 Koch NJW 2004 801 804 Libertus MMR 2005 507 509 Bamberger Roth Spindler 823 BGB Rn 234 Prof Dr Gerald Spindler 160 377 378 379 Keine Unterschiede ergeben sich hinsichtlich der potenziell bedrohten Rechtsg ter Drit ter von gesch tzten Daten Urheberrechten bis hin zum Recht am eingerichteten und ausge bten Gewerbebetrieb Auch l sst sich der Angriff des IT Nutzers auf den Ge sch digten jedenfalls mittelbar auf das vors tzliche Handeln des urspr nglichen Angrei fers z B des Virenerstellers bzw verbreiters zur ckf hren so dass die Pflicht des 713 Nutzers bestehen bleibt Die Unterschiede liegen vielmehr in den zumutbaren Ver kehrssicherungspflichten f r kommerzielle IT Nutzer 1 Herleitung von Pflichten im IT Bereich nderungen gegen ber den privaten IT Nutzern ergeben sich vor allem hinsichtlich des zumutbaren f r den Schutz einzusetzenden Aufwandes den Sicherheitserwartungen des betroffenen Kreises gegen ber kommerziellen I
505. pezifische Spezialregelung vor die das BDSG verdr ngt Au erhalb dieser Teilbereiche gelten das BDSG und damit die Anforderungen des 9 BDSG weiter Ins gesamt sind die Anforderungen des 9 BDSG inklusive der zugeh rigen Anlage auch im Rahmen des 13 TMG anzuwenden soweit sie nicht den speziellen Regelungen be z glich der Nutzungsdaten nach 13 Abs 4 i V m 15 TMG widersprechen c TKG Vorgaben f r die Datensicherheit werden schlie lich auch durch das Telekommunikati onsrecht getroffen Denn durch das Fernmeldegeheimnis werden Inhalt und Umst nde der Kommunikation gesch tzt so dass die individuelle Nachricht ebenso wie die Ver bindungsdaten erfasst werden Diensteanbieter i S d TKG m ssen nach 109 Abs 1 TKG angemessene technische Vorkehrungen zum Schutz der im Rahmen des Tele Handbuch des EDV Rechts Rn 498 zur vertraglichen Haftung Gola Schomerus 7 BDSG Rn 16 ff Horns in Abel Datenschutz in Anwaltschaft Notariat und Justiz 14 Rn 73 Holznagel Recht der IT Sicherheit S 176 Palandt Sprau 823 BGB Rn 85 Spindler Schmitz Geis Schmitz 4 TDDSG Rn 1 24 Spindler Schmitz Geis Schmitz 4 TDDSG Rn 34 BT Drucks 14 6098 14 Ro nagel Bizer 4 TDDSG Rn 78 Holznagel Recht der IT Sicherheit S 188 Ro nagel Bizer 4 TDDSG Rn 80 Weichert in Killian Heussen Kap 136 Rn 2 Prof Dr Gerald Spindler 181 kommunikationsvorgangs anfallenden Daten treffen
506. pflichten Andererseits gibt es keine allge meine Rechtspflicht andere vor Sch den zu bewahren so dass die Annahme von Ver kehrspflichten besonderer Begr ndung bedarf W hrend f r IT Hersteller Rn 94 ff und auch IT Intermedi re Rn 651 ff weitgehend Einigkeit dar ber besteht dass sie Verkehrspflichten zumindest aufgrund ihrer Herrschaft ber Gefahrenquellen treffen ist die Bestimmung von Inhalt und Umfang der den privaten Nutzer treffenden Pflichten im IT Bereich noch weitgehend ungekl rt Eine Zurechnung von Verkehrspflichten Kommt grunds tzlich bei der Beherrschung einer besonderen Gefahrenquelle sowie bei der Schaffung einer besonderen Gefah renlage aus vorangegangenem Tun in Betracht Der IT Nutzer hat als Besitzer die Verf gungsgewalt ber sein Computersystem Ist der Computer durch einen vorheri gen Angriff Kompromittiert und f hrt selbst entsprechende Angriffe aus sei es durch Versendung von E Mails mit Viren oder aber durch die Teilnahme an Denial of Service Attacken so geht von dieser Computeranlage eine Gef hrdung f r die Com puter und Daten und ggf weitere Rechtsg ter Dritter aus Damit besteht hier durchaus ein Ankn pfungspunkt in Gestalt der Beherrschung einer Gefahrenquelle Allerdings ist zweifelhaft ob der Nutzer f r alle m glichen Sch den einstehen sollte die von seinem Computer ausgehen etwa im Rahmen eines Bot Netzes und davon aus renz Canaris 75 113 c S
507. prechend aufw ndiger ist dann auch die Ergreifung von Gegenma nahmen 3 Anforderungen an die kommerziellen Unternehmen 333 IT Riskmanagementpflichten k nnen sich sowohl aus allgemeinen gesellschafts und wirtschafts wie zivilrechtlichen Vorschriften als auch aus datenschutzrechtlichen Rege lungen ergeben Im Folgenden werden zun chst die relevanten Einzelvorschriften dar gestellt Dabei sind der Hintergrund der Regelung die daraus resultierenden Pflichten und der Adressat die m glichen Rechtsfolgen und die Anhaltspunkte f r IT Prof Dr Gerald Spindler 141 334 335 Konkretisierung von Interesse Anschlie end erfolgt eine Gesamtbetrachtung der Vor schriften a Gesellschafts wirtschafts und allgemein zivilrechtliche Anforderungen Praktisch f r fast alle kommerziellen IT Nutzer k nnen Pflichten verallgemeinert werden die aus allgemeinen handels und gesellschaftsrechtlichen Pflichten abgeleitet werden Allerdings gelten diese Pflichten zun chst allein im Innenverh ltnis zwischen den Organen und der juristischen Person sie k nnen nicht ohne weiteres auf das Au enverh ltnis bertragen werden sei es f r Sch digungen Dritter sei es f r die Konkretisierung von 254 BGB Dennoch geben sie wichtige Anhaltspunkte auch f r entsprechende Selbstschutzpflichten da oftmals organisatorische Anforderungen in Rede stehen die quasi vom Innen auf das Au enverh ltnis bertragen werden Als Reaktionen auf ve
508. ptete missbr uchliche Ver wendung von ec Karten zum Gegenstand hatten wurde dagegen keine Rechtsscheins haftung angenommen sondern nur ein Anscheinsbeweis zugunsten der Tatsache dass der Karteninhaber oder ein von ihm autorisierter Dritter gehandelt hat n her Rn 562 Allerdings ist einzur umen dass die Rechtsprechung diese Frage kaum thema tisiert hat Allerdings hat sich der BGH im Rahmen von R Gespr chen zum Thema der Anscheinsvollmacht ge u ert und klargestellt dass die entwickelten Grunds tze der Anscheinsvollmacht also eine gewisse Dauer und H ufigkeit f r ein Greifen unbe dingt vorliegen m ssen F r Internet Auktionen haben Instanzgerichte in neueren Entscheidungen eine Anscheinsvollmacht zwar nicht grunds tzlich abgelehnt aber die Zurechenbarkeit des Rechtsscheins und im Hinblick auf den derzeitigen Sicherheits standard des Internet ein schutzw rdiges Vertrauen des Kl gers verneint Soweit die Literatur zum Online Banking eine Rechtsscheinshaftung bejaht verweist 960 sie auf die Grunds tze der Anscheinsvollmacht oder nimmt in Fortbildung dieser 956 957 958 959 960 So f r ber Btx get tigte Rechtsgesch fte OLG Oldenburg NJW 1993 1400 1401 OLG K ln NJW RR 1994 177 178 LG Ravensburg NJW RR 1992 111 LG Koblenz NJW 1991 1360 Vgl etwa KG NJW 1992 1051 1052 LG Bonn NJW RR 1995 815 LG Darmstadt WM 2000 911 913 LG Frankfurt WM 1999 1930 1932
509. r mationen nur verschl sselt zu bertragen So wird die Frage aufgeworfen ob das Versenden von unverschl sselten E Mails an den eigenen Mandanten der offenen Versendung von Postkarten gleichkommt und aus diesem Grunde eine Verletzung von 43a Abs 2 BRAO und 203 Abs 1 Nr 3 StGB vorliegen kann 5 Dies wird man jedoch zu verneinen haben da die E Mails nur an den Mandanten gerichtet sind und E 1156 de Mailkonten regelm ig durch Passw rter gesch tzt sin Fraglich ist ob dies auch dann gilt wenn der Kommunikationsverkehr mittels Funktechniken unverschl sselt oder nicht ausreichend gesichert bertragen wird W hrend es relativ komplex ist Daten eines kabelgebundenen Kommunikationsvorgangs abzufangen und auszulesen stellt dies im Fall von drahtlosen bertragungsformen wie etwa WLAN kein Problem dar Wird ein Funknetz ohne Verschl sselung genutzt und werden hierbei E Mails oder an F r das anwaltliche Vertrauensverh ltnis Henssler NIJW 1994 1817 1818 f r das rztliche Vertrau ensverh ltnis Hermeler Rechtliche Rahmenbedingungen der Telemedizin 45 Dazu BVerfG NJW 2005 1917 1919 Henssler NIW 1994 1817 1818 Dazu H rting NJW 2005 1248 1248 ff mwN So mit guten Gr nden Backu ITRB 2003 251 251 Jungk AnwBl 2001 170 172 Lapp BRAK Mitt 1997 106 107 Streitz NIW CoR 2000 208 209 Wagner Lerch NIJW CoR 1996 380 384 diffe renzierend v Lewinski BRAK Mitt 2004 12 13 So H
510. r 2 haben Insbesondere Software hersteller haben daher ggf etwaige Kompatibilit tsprobleme mit anderen Programmen zu ber cksichtigen b Nationaler New Approach In 4 Abs 2 Satz 4 GPSG vollzieht der deutsche Gesetzgeber die europ ische Konzep tion f r den nicht harmonisierten Bereich als eine Art nationalen New Approach nach Auch im nicht harmonisierten Bereich gilt somit eine Freiwilligkeit der Produkti on nach technischen Normen 4 Abs 2 Satz 3 GPSG formuliert lediglich dass bei der Beurteilung der Produktsicherheit Normen und andere technische Spezifikationen zugrunde gelegt werden k nnen Aber auch hier gilt die aus dem New Approach stam mende Vermutungswirkung zugunsten normkonform hergestellter Produkte Nationales Gegenst ck der europ ischen harmonisierten Norm ist hier eine Norm oder sonstige technische Spezifikation die 1 vom Ausschuss f r technische Arbeitsmittel und Verbraucherprodukte 13 GPSG ermittelt und 2 von der beauftragten Stelle im Bundesanzeiger bekannt gemacht wurde 4 Abs 2 Satz 4 GPSG Anders als im euro p ischen Recht wird indes die Normsetzung nicht an private Normungsgremien wie das DIN oder die CEN delegiert sondern in dem besagten gesetzlich geregelten Ausschuss vorgenommen d Besondere Pflichten bei Verbraucherprodukten 5 GPSG 497 498 499 Hoeren Ernstschneider MMR 2004 507 510 Klindt NIW 2004 465 466 Bundesanstalt f r Arbeitsmed
511. r 2 Abs 2 TKG beispielsweise die Vorhaltung redundanter Systeme oder von 1303 berbr ckungsaggregaten zu verstehen Bietet ein Diensteanbieter beispielsweise Voice over IP an so werden Sprachpakete ber das Internet versendet Um zu verhin dern dass dadurch ein offenes Netz entsteht ist der Diensteanbieter gem 109 Abs 1 TKG gehalten durch entsprechende Verschl sselung der Datenpakete f r sichere Ver bindungen zu sorgen und unerbetene Lauschangriffe auf die Internet Telefonie wirksam 1304 zu verhindern Die sonstigen Ma nahmen betreffen vor allem Kontroll und Organi sationsma nahmen z B Zugangskontrollen Zugriffsbeschr nkungen bzgl Daten Mit Koenig Loetz Neumann Telekommunikationsrecht S 209 Koenig Loetz Neumann Telekommunikationsrecht S 209 Elbel Die datenschutzrechtlichen Vorschriften f r Diensteanbieter im neuen Telekommunikationsgesetz auf dem Pr fstand des europ ischen und deutschen Rechts S 104 Geppert Ruhle Schuster Handbuch Recht und Praxis der Telekommunikation Rn 785 Elbel Die daten schutzrechtlichen Vorschriften f r Diensteanbieter im neuen Telekommunikationsgesetz auf dem Pr f stand des europ ischen und deutschen Rechts S 104 Beck scher TKG Kommentar Bock 109 TKG Rn 29 Koenig Loetz Neumann Telekommunikationsrecht S 209 Scheurle Mayen Zerres 87 TKG Rn 16 S cker Klesczewski 109 TKG Rn 10 S cker Klesczewski 109 TKG Rn 18 Katko CR
512. r Gerald Spindler 20 25 26 27 Aufwand f r Erwarteter Schaden Scha Gesellschaftliche Schutz densh he Wahr Gesamtkosten ma nah scheinlichkeit men 0 40 40 10 25 35 20 20 40 Im obigen Beispiel Tabelle Betreibt der Akteur einen Sicherungsaufwand von 10 Einheiten so ist der zu erwartende Schaden 25 Einheiten Sicherungsaufwand und Schaden ergeben gesellschaftliche Gesamtkosten von 35 Einheiten Damit ist das Opti mum erreicht W rde der Aufwand auf 0 Einheiten gesenkt oder auf 20 Einheiten ge steigert w rden die gesamtgesellschaftlichen Kosten steigen Der zu erwartende Schaden berechnet sich dabei aus der Schadensh he bei einem einzelnen Schadenser eignis multipliziert mit der Wahrscheinlichkeit des Eintritts eines solchen Ereignis ses Mit dem Haftungsrecht ist dem Gesetzgeber ein Werkzeug an die Hand gegeben um Anreize f r einen effizienten Aufwand f r Sicherungsma nahmen zu schaffen Denkt man Haftungsregeln zun chst hypothetisch hinweg so sind die erwarteten Sch den im obigen Beispiel externe Effekte also negative Folgen f r Dritte die der Akteur nicht in seine Entscheidung einbezieht Eine Verschuldenshaftung ist aus konomischer Perspektive nun die Festlegung eines bestimmten Sorgfaltsstandards dessen Nichteinhaltung zur Haftung f hrt Dieser Sorgfaltsma stab wird objektiv bestimmt und ist juristisch beim Terminus des Ver schuldens verort
513. r Gerald Spindler 56 121 122 123 h r die hier zumindest eine Produktbeobachtungspflicht annimmt dementsprechend sind diese Komplexe im Rahmen der Produktbeobachtung zu thematisieren Allerdings muss von vornherein der Anwendungsbereich der Produkthaftung einge grenzt werden Denn f r mangelnde Kompatibilit t mit einzelnen Fremdprodukten kann keine deliktische Haftung eingreifen da damit der Bereich des deliktisch ge a nee ER sch tzten Integrit tsinteresses verlassen w rde Denn die Inkompatibilit t der eige nen Hard und Software mit einzelnen Fremdkomponenten liegt bereits beim Erwerb vor so dass von vornherein mangelhaftes Eigentum erworben wurde Allein das qui valenzinteresse ist damit betroffen f r dessen Ausgleich ausschlie lich das Gew hrleis tungsrecht sorgt 3 Pflichten vor Inverkehrgabe IT Sicherheitsl cken als Konstruktionsfehler In der Produkthaftung unterscheidet man typischerweise Konstruktions und Fabrikati onsfehler f r die gehaftet werden muss w hrend f r Entwicklungsfehler keine Haf tung eingreift Bei Hardwareprodukten k nnen beide Fehlerkategorien auftreten Da gegen spielt f r Software eindeutig der Konstruktionsfehler die ma gebliche Rolle wird doch Software digital eins zu eins kopiert so dass nur in seltenen F llen eine fehlerhaf te Fabrikation urs chlich f r eine Rechtsgutsverletzung sein d rfte z B wenn Software CDs DVDs fehlerhaf
514. r http www bafin de rundschreiben 89_2005 051220_anl1 pdf zuletzt abgerufen am 06 06 2007 895 896 Prof Dr Gerald Spindler 192 452 453 454 897 898 899 900 901 902 903 Demgegen ber verweist das britische Recht in seinem FSA Financial Services Autho rity Handbook in der Sektion Senior Management Arrangements Systems and Controls SYSC neben einer Reihe von einzelnen Pflichten vor allem auf die Einhal tung der ISO 17799 85 3 Anforderungen nach dem WpHG a Hintergrund Das WpHG ist die zentrale Regelung des deutschen vertriebs und marktbezogenen Ka pitalmarktrechts Es handelt sich hierbei um ffentliches Aufsichtsrecht Die Marktauf sicht nach dem WpHG steht in engem Zusammenhang mit der Bankenaufsicht nach dem KWG da Kreditinstitute und Finanzdienstleitungsinstitute sowohl dem KWG als auch dem WpHG unterfallen Die Bundesanstalt f r Finanzdienstleitungsaufsicht Ba Fin ist neben der Bankenaufsicht nach KWG auch f r die berwachung und Durchset zung der Vorgaben des WpHG zust ndig 4 Abs 1 Satz 1 WpHG b Pflichten und Adressat Die Vorschriften der 31 ff WpHG verpflichten die Kreditinstitute und Wertpapier handelsunternehmen zu anlegerschutz orientierter Organisation Nach 33 Abs 1 Nr 1 WpHG sind die Wertpapierdienstleistungsunternehmen verpflichtet die f r eine ordnungsm ige Durchf hrung der Wertpapierdienstleistung und Wertpapierneben dienstleistung notwendige
515. r Ergreifung der Siche rungsma nahmen erfolgreich Zugang zum Computer gefunden haben H ufig sind diese Programme kostenlos verf gbar Ihr Einsatz kann bei intensiver Be sch ftigung damit auch programmiert und wiederholt ablaufen so dass das Programm so gesteuert wird dass es die t gliche Arbeit nicht direkt st rt Der wirtschaftliche Auf wand ist damit relativ gering so dass der Einsatz dieser Programme verlangt werden kann Die nachtr gliche Kontrolle als zweite Stufe ist nicht so h ufig notwendig wie die Ak tualisierung der prim ren Sicherungsprogramme Ein regelm iger Einsatz alle zwei bis vier Wochen d rfte hier ausreichen g Ergebnis Kommerzielle Nutzer m ssen abh ngig auch von der Gr e ihrer IT Infrastruktur Ma nahmen zur Sicherung ihrer IT Systeme ergreifen Dazu geh ren die prim re Ab wehr die sekund re berpr fung durch Suchprogramme sowie die notwendige Aktua lisierung der Programme 742 Ebenso Tita VW 2001 1781 1784 Behnke Sch ffter DSB 2002 Heft 7 8 10 Prof Dr Gerald Spindler 168 403 404 405 c Zwischenergebnis Allg Verantwortlichkeit kommer zieller Unternehmen als Nutzer Im Ergebnis zeigt sich dass kommerziellen IT Nutzern weitgehende Pflichten obliegen Diese sind jedoch meist mit der einmaligen Einrichtung und entsprechender Konfigura tion auch f r die Zukunft sicher einzurichten So kann das Update von Virenscannern Firewall Intrusion De
516. r Wehlau CR 1990 95 97 Bauer PHi 1989 38 47 s auch Schneider G nther CR 1997 389 ff Bartsch CR 2000 721 722 ff Prof Dr Gerald Spindler 59 127 128 129 250 251 252 253 254 255 256 257 258 Nach Inverkehrgabe wird der Hersteller nicht vollst ndig von seiner Verantwortung f r das Produkt frei Vielmehr muss er bei Kenntnis von Sch den durch das Produkt die zu diesem Zeitpunkt erforderlichen und ihm zumutbaren Gefahrenabwehrma nahmen er greifen Zu Sch den muss es noch nicht gekommen sein Ankn pfungspunkt f r die Haftung des Produzenten ist die Verletzung der Produktbeobachtungspflicht Haf tungsgrund ist die Schaffung einer andauernden Gefahrenquelle deren Ursachen aus der Sph re des Herstellers stammen unabh ngig davon welcher Fehlerkategorie sie ange 5 252 h ren a Produktbeobachtungs und Warnpflichten i Grunds tze F r bereits vor Bekanntwerden der Sicherheitsl cken vertriebene Software ist der Her steller zur Produktbeobachtung insbesondere zur Sammlung und Auswertung zug ngli 253 cher Literatur und Erkenntnisse ber m gliche Defekte seiner Software und zur Warnung gegebenenfalls auch zum R ckruf verpflichtet Gerade aus dem Wissen um die objektive Unvermeidbarkeit von Programmierungsfehlern Bugs erw chst eine 255 Pflicht des Herstellers zur besonders sorgf ltigen Produktbeobachtung Bei drohen den Gefahren f
517. r sind entsprechend zu informieren und bei Bedarf zu schu len Zudem m ssen notwendige Ressourcen f r die verschiedenen Aufgaben des IT Riskmanagements benannt und zur Verf gung gestellt werden Zu festgelegten Daten sollte schlie lich eine interne unabh ngige berpr fung stattfin den Zus tzlich soll eine regelm ige Pr fung durch das Management stattfinden Es zeigt sich dass Riskmanagement durch die ISO 27001 spezialisiert auf IT Risiken bertragen wird Im Anhang werden spezifische Aufgaben bez glich wichtiger Risiken f r verschiedene Einsatzbereiche z B den Online Handel oder Telearbeit im IT Sektor benannt Dabei stellen die Anforderungen der ISO 27001 nur einen Teil des Ge samtriskmanagements dar und sind in dieses einzubetten Die m glichen Rechtsfolgen liegen auf der Hand hnlich wie im Deliktsrecht oder auch in anderen Rechtsbereichen wie dem Vertragsrecht sind diese Standards geeignet als allgemein anerkannte Regeln der Technik die n tige Sorgfalt im Sinne der objekti ven Pflicht zu konkretisieren wenn auch nicht abschlie end sondern nur in dem Sin ne dass vermutet wird dass sie die vom Gesetz gestellten Anforderungen erf llen ISO 27001 2005 4 2 1 f 4 Ausf hrlich dazu oben Rn 174 ff Prof Dr Gerald Spindler 150 2 Mittelbare Wirkung von Basel II Kreditwesenauf sichtsrecht a Hintergrund 357 Diese im Wesentlichen aus dem Gesellschaftsrecht stammenden Pflicht
518. r techni schen Norm quivalent ist Die Beweislastverschiebung zu Lasten des Herstellers f r die Erreichung eines gleichwertigen Sicherheitsniveaus kam im praktischen Ergebnis einer Vermutung f r eine Verkehrspflichtverletzung bei der Abweichung von techni schen Regelwerken recht nahe F r den Bereich der Produkthaftung ist bei Nichteinhaltung technischer Normen in Bezug auf den Nachweis der Sorgfaltswidrigkeit des Herstellerhandelns zu bedenken dass die Darlegungs und Beweislast f r die Verletzung der u eren und inneren Sorg falt ohnehin beim Hersteller liegt Rn 169 dieser sich also vom Vorwurf der objekti ven Verkehrspflichtverletzung und des Verschuldens entlasten muss Hier wird der Her steller in seltenen Einzelf llen versuchen nachzuweisen dass die von ihm gew hlte Alternativl sung gleiche oder h here Sicherheit gegen ber der Norm bietet Die Beweislast hinsichtlich der Kausalit t des Produktfehlers bzw der Verletzung der Herstellerpflichten obliegt im Grundsatz dem Gesch digten Rn 172 Steht fest dass der Hersteller eine technische Norm verletzt hat spricht nach BGH ein Anscheinsbe weis daf r dass die Sch digung die in rtlichem und zeitlichem Zusammenhang mit dem Versto eingetreten ist durch die Pflichtverletzung verursacht wurde Der Sch 369 370 371 372 373 Reiff in Marburger Technische Regeln im Umwelt und Technikrecht S 171 Spindler Unternehmens
519. ratur zum Teil vertreten dass auch Sch den am Endprodukt ersatzf hig sejen Andere stellen darauf ab ob das Teilprodukt aus Sicht des Betroffenen im Markt als eigenst ndige Ware behandelt wird Die ganz hM lehnt eine bertragung der Weiterfresser Rechtsprechung zur deliktischen Produ zentenhaftung auf das ProdHaftG indessen ab da das in Verkehr gebrachte Endpro dukt nach der Verkehrsauffassung insgesamt das fehlerhafte Produkt sei Eine Haf tung f r Eigentumsverletzungen aufgrund von Softwarefehlern scheidet danach auf Grundlage des ProdHaftG jedenfalls dann aus wenn die Software in das fertige End produkt integriert war Nach berwiegender Auffassung gilt dies auch dann wenn der Hersteller des Endprodukts nicht mit dem Hersteller der Software identisch ist Nicht nach dem ProdHaftG ersatzf hig sind danach Datensch den durch fehlerhafte Software wenn die Software auf einem handels blichen Computer vorinstalliert war Ebenso sind Sch den am privaten Pkw des Nutzers in den eine fehlerhafte Software z B automati sche Fahrabstandsregelung eingebaut worden ist nicht ersatzf hig 4 Anders liegt der Fall wenn ein Teil einer Sache erst nachtr glich als Ersatz oder Zu satz mit dem Rest oder Endprodukt verbunden worden ist Dies d rfte bei spielsweise dann gelten wenn Software getrennt vom Rechner erworben und auf dem Sodtalbers Softwarehaftung im Internet Rn 317 Ausf hrlich zum Streitstand M
520. rbei sind zwei grundlegende Fragen zu unterscheiden erstens ob Zertifikaten seien es Zer tifikate des BSI oder privater Zertifizierungsunternehmen eine haftungsbefreiende Wirkung zukommt dazu Rn 157 ff und zweitens ob Zertifizierungen geeignet sind die Sicherheitserwartungen der Nutzer von IT Produkten f r die Bestimmung des Inhalts der Herstellerpflichten ma gebend zu beeinflussen dazu Rn 162 ff a Keine pauschale Haftungsfreizeichnung durch Zertifizierung Zertifikate bewirken keine pauschale Entlastung des Herstellers im Sinne einer ab schlie enden Definition der vom Hersteller einzuhaltenden Sicherheitsanforderungen Selbst einer beh rdlichen Genehmigung oder Zulassung wird eine pauschale Recht fertigungswirkung gegen ber der zivilrechtlichen Haftung von der ganz hM versagt da diese jeweils nur den Mindeststandard konkretisieren den Hersteller im brigen aber nicht von eigenverantwortlichen Gefahrenerforschung und Gefahrenabwehr befreien Auch insoweit gilt dass der zivilrechtliche Sorgfaltsma stab deliktsautonom zu bestimmen ist und die haftungsrechtliche Verantwortung nicht vom Hersteller auf den Zertifizierer bergeht 24 So hat beispielsweise der BGH der beh rdlichen Betriebserlaubnis f r ein Kfz eine entlastende Wirkung zugunsten des Herstellers versagt Durch die beh rdliche Genehmigung geht die Verantwortung grunds tzlich nicht vom Hersteller auf die Beh rde ber Er darf sic
521. rdings darf nicht jede M glichkeit des Eigenschutzes dazu f hren dass die Grenze zum Mitver S 55 ff Littbarski VersR 2005 448 Lenz MDR 2004 918 BGH VersR 1972 149 Kullmann Pfister Kullmann Produzentenhaftung Kz 1520 S 26 Schmatz N thlichs Sicherheitstechnik Bd I Teil 1 3 GSG Anm 5 3 7 Taschner Frietsch 1 Prod HaftG Rn 89 Richtl Art 7 Rn 31 Wagner BB 1997 2541 2541 f Niebling DB 1996 80 81 Tau pitz in Produktverantwortung und Risikoakzeptanz 119 135 zum Einflu des 22 KrW AbfG auf den Mindestsicherheitsstand und die Sicherheitserwartungen bei Abfall s Gesmann Nuissl Wenzel NIW 2004 117 ff BGHZ 99 167 176 NJW 1987 1009 BGHZ 139 79 83 NJW 1998 2905 BGH NJW 1999 2815 2816 krit dazu Littbarski NJW 2000 1161 1162 Darauf deuten auch die Ausf hrungen der EG Kommission hin vgl ein Globales Konzept f r Zertifizie rung und Pr fwesen Instrument zur Gew hrleistung der Qualit t bei Industrieerzeugnissen KOM 89 209 endg SYN 208 Mitteilung Nr 89 C 267 03 der Kommission an den Rat vorgelegt am 15 6 1989 Abl EG Nr C 267 3 vom 19 10 1989 S 12 Kapitel I Ziff 4 Pr ambel der Richtlinie 92 59 EWG des Rates vom 29 Juni 1992 ber die allgemeine Produktsicherheit Abl EG Nr L 228 S 24 ebenso Niebling DB 1996 80 81 allerdings nicht f r sog C Normen des h chsten Sicherheitsstandards auch nach 1 II Nr 4 ProdHaftG liegt wegen der Beschr nkung au
522. re ein Unternehmen dieses Programm sperren und darf es nicht mehr einsetzen Benutzt er dennoch sehenden Auges die fehlerhafte Software und entstehen hierdurch aufgrund von Hackerangriffen Sch den so kann sich ein v lliger Ausschluss des Schadensersatz 614 anspruchs ergeben Schlie lich sind Nutzer grunds tzlich auch zum Einspielen von kostenlos zur Verf gung gestellten Patches verpflichtet so dass sich der Hersteller bzw Pflichtige in der Regel auf ein Mitverschulden des Gesch digten berufen kann wenn dieser einen Patch nicht verwandt hat Allerdings kann dies nicht uneingeschr nkt gelten da manche Pat BGHZ 5 378 384 NJW 1952 1050 BGH LM Nr 10 zu 823 Db BGB v Bar Verkehrspflichten S 126 mwN s auch Raab JuS 2002 1041 1044 f BGH NJW 2004 1590 1592 JZ 2004 1124 1127 m Anm Spindler s auch die parallelen Erw gungen des BGH im Fall der R Gespr che BGH NJW 2006 1971 Tz 22 ff MMR 2006 453 456 in concreto Zumutbarkeit von Eigenschutzma nahmen abgelehnt Zust Spindler JZ 2004 1128 1128 ff R sler NJW 2004 2566 2566 ff Mankowski MMR 2004 312 312 f ders CR 2004 185 188 S o Rn 275 ff Bartsch Software und das Jahr 2000 S 86 Prof Dr Gerald Spindler 136 323 324 325 ches einen derartigen Umfang haben das sie selbst bei breitbandigen Internet Zug ngen kaum herunterladbar sind etwa das Service Pack 2 f r Windows XP Stellt hier der H
523. recht Kap 5 4 Rn 44 Schneider Handbuch des EDV Rechts Kap B Rn 513 Auernhammer 38 BDSG Rn 14 Simitis Petri 38 BDSG Rn 64 Tinnefeld Ehmann Gerling Einf hrung in das Datenschutzrecht S 427 Heil in Ro nagel Handbuch Datenschutzrecht Kap 5 1 Rn 57 Gola Schomerus 25 BDSG Rn 4 BVerwG CR 1993 242 Gola Schomerus 24 BDSG Rn 7 Prof Dr Gerald Spindler 179 benbereich des Bundesdatenschutzbeauftragten sind auch die Sicherungsma nahmen des 9 BDSG erfasst Sanktionen Neben dem verwaltungsrechtlichen Zwang enth lt das BDSG in 43 f BDSG Bu geld und Strafvorschriften Jedoch werden die Pflichten nach 9 BDSG nicht von diesen Sanktionen mangels Verweis in 43 BDSG erfasst Neben die Strafvorschriften treten Haftungsinstrumente etwa in Gestalt von 7 BDSG der f r den Betroffenen einen eigenst ndigen Schadensersatzanspruch f r die unzu l ssige Erhebung Verarbeitung oder Nutzung von Daten vorsieht Nach der Legalde finition in 3 Abs 4 Nr 1 BDSG erfasst das Verarbeiten von Daten auch das Spei chern im Sinne von Erfassen Aufnehmen oder Aufbewahren personenbezogener Da ten auf einem Datentr ger zum Zweck ihrer weiteren Verarbeitung oder Nutzung Demnach ist jedenfalls auch ein Backup von der Haftungsregelung erfasst Im unternehmerischen Bereich wurde aufgrund des Wettbewerberschutzes nach 1 UWG 1 V m 9 BDSG ein Anspruch der Wettbewerber sowie der Verbrauchers
524. rehaftung im Internet Rn 518 Grundlegend BGHZ 55 153 159 Fleetfall ausf hrlich Bamberger Roth Spindler 823 BGB Rn 50 ff BGHZ 86 152 155 Bamberger Roth Spindler 823 BGB Rn 51 BGHZ 55 153 159 ff BGHZ 105 346 350 BGH NJW 1994 517 518 BGH NJW RR 1995 342 342 f BGH NJW 1996 2507 2508 Larenz Canaris 76 II 3 b S 387 Erman Schiemann 823 BGB Rn 31 Staudinger Hager 823 BGB Rn D 98 BGH NJW 1994 517 518 Sodtalbers Softwarehaftung im Internet Rn 512 Prof Dr Gerald Spindler 53 114 115 116 reit gemacht werden kann Anders kann im Einzelfall zu entscheiden sein wenn auf das System ber einen l ngeren Zeitraum nicht zugegriffen werden kann Keine Eigentumsverletzung wird man regelm ig auch bei der Installation eines Tro janers auf dem Rechner bejahen k nnen Zwar mag mit der Pr senz dieses Schadpro gramms eine gewisse psychologische Hemmschwelle hinsichtlich einer Nutzung im In ternet verbunden sein Die Gebrauchstauglichkeit des Computers wird im brigen z B Textverarbeitung usw aber nicht ber hrt und der Trojaner kann meist innerhalb relativ kurzer Zeit entfernt werden wodurch die volle Gebrauchsf higkeit wiederhergestellt wird c Verletzung sonstiger Rechte i Allgemeines Pers nlichkeitsrecht Das Allgemeine Pers nlichkeitsrecht sch tzt auch die unzul ssige Erhebung Nutzung und Verarbeitung pers nlicher und personenbezogener Daten wod
525. reich der verschuldensunabh ngigen Produkthaf tung Pa Dies beruht zum einen auf der Erw gung dass im unternehmerischen Bereich besonders hohe Verm gensfolgesch den drohen zum anderen ist einem Unternehmen eher als einem Privaten ein Abschluss einer Versicherung gegen derartige Sch den zu 435 mutbar c Verursachung durch einen Fehler des Produkts Ein Produkt ist gem 3 ProdHaftG fehlerbehaftet wenn es nicht die Sicherheit bietet die unter Ber cksichtigung aller Umst nde insbesondere seiner Darbietung des Gebrauchs mit dem billigerweise gerechnet werden kann und des Zeitpunktes in dem es in den Verkehr gebracht wurde berechtigterweise erwartet werden kann Die Krite rien zur Bestimmung der Fehlerhaftigkeit von IT Produkten entsprechen insoweit den zur deliktischen Produzentenhaftung gemachten Ausf hrungen so dass insoweit auf Rn 105 ff verwiesen wird d Haftungsausschlussgr nde Die Haftung nach dem ProdHaftG ist ausgeschlossen wenn einer der Ausschlussgr nde des 1 Abs 2 ProdHaftG erf llt ist Die Beweislast hierf r tr gt der Hersteller 1 Abs 4 Satz 2 ProdHaftG Hinsichtlich der Herstellung und des Vertriebs von Software kann der Haftungsausschlussgrund des 1 Abs 2 Nr 3 ProdHaftG Bedeutung erlan gen soweit die Software weder f r den Verkauf oder Vertrieb mit wirtschaftlichem Zweck hergestellt noch im Rahmen einer beruflichen T tigkeit hergestellt oder vertrie ben wird Bei unent
526. renpotential 1 Szenario 1 Phishing ohne Trojaner mit Visual Spoofing 2 Szenario 2 Man in the middle Angriff mittels DNS Spoofing Pharming i w S 199 3 Szenario 3 Pharming i e S mit Trojaner b Haftungsverteilung zwischen den am Online Banking Beteiligten 1 Rechtliche Grundlagen des Online Banking 170 170 171 172 172 173 173 173 175 177 177 178 178 180 180 181 181 181 182 182 182 183 184 187 192 192 192 192 193 194 194 195 197 197 197 197 198 198 200 200 201 2 Vorschlag der EU Kommission f r eine Zahlungsdiensterichtlinie SEPA 202 3 Materiell rechtliche Rechtslage a Aufwendungsersatzanspruch der Bank i Vertragsschluss ii Bindung kraft Rechtsscheins a Anscheinsvollmacht 205 205 205 206 207 b Allgemeine Haftung f r fahrl ssig gesetzte Rechtsscheinstatbest nde 208 Prof Dr Gerald Spindler 7 b Schadensersatzanspr che der Bank 1 Interessenlage und Zurechnungskriterien ii Pflichten der Bank a Technische Sicherheit b Beobachtungspflichten c Aufkl rungs Instruktions und Warnpflichten d Organisationspflichten ii Pflichten des Kunden c Allgemeine Gesch ftsbedingungen der Banken 1 Online Banking AGB in der Praxis ii Inhaltskontrolle a Geheimhaltung und sichere Verwahrung der Legitimationsmedien b IT spezifische Pflichten des Bankkunden beim Online Banking i Grunds tze ii Pflicht zur Sicherung des pri
527. rfolgen aber regelm ig nicht aufgrund eigenen berlegenen Wissens son dern weil er im Rahmen des Verantwortungsbereichs des Unternehmens auch besondere Gef hrdungen auszuschlie en hat Insofern wird ihm ein berlegenes Wissen bzw eine Organisationsstruktur des Unternehmens zugerechnet was wiederum auch die Zu ordnung zum Unternehmen erm glicht Der Arbeitnehmer muss im Rahmen des Orga nisationsverbundes seines Unternehmens die notwendigen Anstrengungen zum Schutz seiner Kunden und Dritter treffen verantwortlich ist indes hierf r der Arbeitgeber als 530 BGH NJW 1995 1339 1341 BGH NJW 1993 1066 BGHZ 135 202 mwN Prof Dr Gerald Spindler 116 269 270 271 531 332 533 Herrscher ber die Gefahrenquellen insgesamt Diese Organisationsstruktur steht dem Arbeitnehmer dagegen im privaten Umfeld nicht zur Verf gung Daher kann ihm ein entsprechendes Wissen das ihm im Rahmen seines Arbeitsumfeldes zur Verf gung steht oder st nde nicht zugerechnet werden so dass Arbeitnehmer auch an mobilen Rechnersystemen Laptops PDAs etc die sowohl privat als auch beruflich genutzt werden nicht zwangsl ufig als kommerzielle Nutzer einzustufen sind wenn sie privat handeln Handelt der Arbeitnehmer dagegen von seinem beruflichen Umfeld aus jedoch in privater Funktion profitiert er von den Sicherungsvorkehrungen seines Arbeitge bers und muss sich die entsprechenden Sicherungsm glichkeiten zurechn
528. richtung eines Whistleblowing Verfahrens verantwortlich dass f r Emittenten durch Section 301 SOX verbindlich vorgeschrieben ist um die Gefahr deliktischer Handlungen die mitunter auch die Existenz der Gesellschaft bedrohen k nnen zu verringern Kenn zeichnend f r den Begriff des Whistleblowings sind drei Merkmale Ein Organisations insider erkennt illegale illegitime oder unmoralische Praktiken von gleichfalls der Or ganisation angeh renden Personen und meldet diese einer speziellen geeigneten Stel 701 le Das Merkmal der illegalen Praktiken wird dabei sehr weit verstanden und umfasst insbesondere auch Nachl ssigkeiten und Organisationsm ngel von Verantwortlichen Dementsprechend stellt das Whistleblowing Verfahren auch und gerade hinsichtlich IT Anwendungen besondere Anforderungen im Rahmen eines Sicherheits Managements Die Unternehmen trifft konkret die Pflicht zur Einrichtung interner oder externer Whistleblowing Stellen die prinzipiell dazu in der Lage sein m ssen den Hinweisen nachzugehen und ein festgestelltes haftungsrelevantes Verhalten zu unterbinden Da sich zun chst nicht aufgedeckte deliktische Handlungen von Tochtergesellschaften auch SEC Press Release 2005 25 vom 2 3 2005 Die Fristverl ngerung wird angeordnet durch die SEC Final Rule Release No 33 8545 abrufbar unter http www sec gov Arbeitskreis Externe und Interne berwachung der Unternehmen der Schmalenbach Gesellschaft f r Betriebs
529. rk gemindert wenn sie keinen Nutzen im Rahmen von Ratingverfahren bringen k nnte Dies gilt vor allem f r KMUs f r die Basel II eine besonders hohe H rde bei der Kreditfinanzierung dar stellt Eine klare Rechtsgrundlage zu diesen Pr fungsverfahren und der Rolle von Zerti fikaten ist allerdings bislang im Rahmen des Basel II Verfahrens nicht ersichtlich 3 Anforderungen durch den Sarbanes Oxley Act SOX a Hintergrund Mit dem US amerikanischen Sarbanes Oxley Act vom 30 07 2002 15 U S C 7201 werden die Anforderungen an bestimmte Unternehmen bez glich der Einrichtung eines IT Riskmanagements und dessen rechtliche Implikationen zuk nftig noch erheblich komplexer Das Gesetz bezweckt nach der Gesetzesbegr ndung den Schutz von Anle gern durch genauere und verl sslichere wertpapierrechtliche Publizit tspflichten der b rsennotierten Unternehmen Zu diesem Zweck werden die Verantwortlichkeiten der Unternehmensf hrung und der Wirtschaftspr fer geregelt und strenge Ma st be f r die Zusammenarbeit aufgestellt Das Artikelgesetz das vor allem nderungen im Secu rities und Exchange Act of 1934 Exchange Act vorsieht ist insofern als Reaktion 685 686 Abrufbar unter http www law uc edW CCL SOact soact pdf Dem Gesetzestext geht folgender Einleitungssatz voraus An Act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws and for other pur
530. rmann Harm Peter Mock Klaus Hrsg Festschrift f r Gerold Bez zenberger zum 70 Geburtstag Ber Prof Dr Gerald Spindler LIII lin New York 2000 427 438 Sessinghaus Karel BGH Internet Versteigerung ein gemeinschaftsrechtswidriges Ab lenkungsman ver in WRP 2005 697 703 Shavell Steven Foundations of Economic Analysis of Law Harvard 2004 Sieber Stefanie N ding Toralf Die Reform der elektronischen Unter schrift in ZUM 2001 199 210 Siebert Lars Michael Das Direktbankgesch ft Baden Baden 1998 Siegel Volker Siemer John Philipp Die Auswirkungen von Solvency II auf IT Projekte in ITRB 2006 13 15 Das Coase Theorem Inhalt Aussagewert und Bedeutung f r die konomische Analyse des Rechts M nster 1999 Simitis Spiros Hrsg Kommentar zum Bundesdatenschutzgesetz 6 Auflage Baden Baden 2006 zitiert Simitis Bearbeiter Simitis Spiros Dammann Ulrich Mallmann Otto Reh Hans Joachim Altauflage Kommentar zum Bundesdatenschutzgesetz 3 Auflage Baden Baden 2003 zitiert Simitis Dammann Mallmann Reh Altauflage Bearbeiter Smith Graham P Hamill Robert M Neuregelung der Produkthaftpflicht im Vereinigten K nigreich Der Con sumer Protection Act 1987 in PHi 1988 82 88 Prof Dr Gerald Spindler LIV Sodtalbers Axel Softwarehaftung im Interne
531. rmen werden sich aus einem Verweis in 33 WpHG auf den erweiterten 25a KWG RefE und aus spezifischen Vorschriften ergeben 920 921 922 923 Abrufbar unter http www bundesfinanzministerium de lang_de DE Geld__und__Kredit Aktuelle__Gesetze 005__c tem plateld raw property publicationFile pdf zuletzt abgerufen am 06 06 2007 Spindler Kasten AG 2006 785 786 Spindler Kasten AG 2006 785 787 Zur weiteren Konkretisierung siehe CESR CESR O5 24c s 13 ff Prof Dr Gerald Spindler 196 464 Im Hinblick auf das Outsourcing von Gesch ftsprozessen enth lt die MiFID kein Ver bot allerdings muss die Auslagerung wichtiger betrieblicher Aufgaben also des Kern managements i S d Art 13 DRL im Unterschied zu untergeordneten Bereichen den be sonderen Anforderungen des Art 13 Abs 5 1 Unterabs Satz 2 MiFID gen gen wo nach eine Auslagerung die Qualit t der internen Kontrolle oder die M glichkeit einer aufsichtsrechtlichen berpr fung nicht beeintr chtigen darf Der RefE zeichnet diese Unterscheidung nicht nach sondern unterstellt s mtliche Auslagerungen ob kritische Arbeitsbereiche betreffend oder nicht den h heren Anforderungen Die M glichkeit der Auslagerung h ngt von der Ordnungsm igkeit der Gesch ftsorganisation des ange messenen und wirksamen Risikomanagements und der Erhaltung der Verantwortung der Gesch ftsleitung ab im Rahmen des WpHG darf au erdem das Rechtverh ltnis zum Kunden nicht ver
532. rnehmen und dabei auch Behinderungen im Betrieb hinnehmen Es werden immer wieder neue Sicherheitsl cken entdeckt und bekannt gegeben Programmaktualisierungen folgen ebenso h ufig Die Folge w re dass der Unternehmer st ndig und immer wieder produktive Einheiten frei Ebenso und sogar f r zweistufige Anlage der Firewall Behnke Sch ffter DSB 2002 Heft 7 8 S 10 hnl Empfehlung zum minimalen Betriebssystem BSI IT Grundschutzhandbuch 2005 M 4 95 Prof Dr Gerald Spindler 165 392 393 394 729 730 731 732 733 734 stellen m sste was einen enormen wirtschaftlichen Aufwand bedeutet Dennoch ist er im Rahmen der Abw gung nicht vollst ndig frei von Pflichten zu stellen Sind ihm kritische Sicherheitsl cken bekannt so kann davon ausgegangen werden dass er diese baldm glichst z B innerhalb von einer Woche zu schlie en versucht Bei anderen Sicherheitsproblemen ist ihm jedenfalls eine regelm ige berpr fung und Ak tualisierung z B einmal im Monat bei sensitiven Branchen wie etwa im Online Banking durchaus auch k rzer zuzumuten Der Nutzer kann jedoch im Sinne einer Selbstschutzpflicht nach 254 BGB nicht gezwungen werden ein Nachfolgeprodukt zu erwerben um den geforderten Sicher heitsstandard zu erreichen Ansonsten w re die Pflicht von der Entscheidung des Herstellers ein neues Produkt herauszubringen abh ngig Sofern der Nutzer einen Softwarepflegevertrag g
533. roduktqualit t von online bertragener Software Denkbar w re es die bertragung von Daten mittels elektromagnetischer Str me als Unterfall des Pro duktes Elektrizit t einzuordnen welche in 2 S 1 ProdHaftG ausdr cklich als Pro 409 d dukt im Sinne des ProdHaftG genannt wir Allerdings bietet die Elektrizit t als ein zige Ausnahme keinen Raum f r die Annahme einer Regelungsl cke und damit f r Analogien weglichen Sache in 2 ProdHaftG Nach wohl hM ist der Sachbegriff des 90 BGB Entscheidend ist demnach letztlich die Auslegung des Begriffs der be aus der Auslegung des 2 ProdHaftG zugrunde zu legen Eine Ansicht in der Litera tur verneint die Produkteigenschaft online bertragener Software daher auch unter Hin Rn 15 Staudinger Oechsler 2 ProdHaftG Rn 64 Spindler Kl hn VersR 2003 410 412 M nchKommBGB Wagner 2 ProdHaftG Rn 15 Dazu BGH NJW 1993 2436 2437 BGH NJW 1990 320 321 Taschner Frietsch 2 ProdHaftG Rn 23 Marly Software berlassungsvertr ge Rn 1303 Taeger Au ervertragliche Haftung f r fehlerhafte Com puterprogramme S 168 v Westphalen in v Westphalen ProdHaftHdb 73 Rn 39 Staudinger Oechsler 2 ProdHaftG Rn 69 a A M nchKommBGB Wagner 2 ProdHaftG Rn 15 Stellungnahme der Kommission der Europ ischen Gemeinschaften auf die Schriftliche Anfrage Nr 706 88 von Herrn Gijs de Vries an die Kommission Produkthaftung f r Computerpro
534. rofiles Schwierige Ein ordnung der Software als Sa che Verbrauchsg terkauf Keine Haftung von H ndler f r Mangelfolge sch den Kein zwingender Regress bei in ternationalem Software berlas sung H ndler kette Produkthaftungsrecht Anwendung ProdHaftG auf auf K rpersch den nur Verbraucher eingeschlossen insgesamt noch stark im Fluss Prof Dr Gerald Spindler 302 Software umstrit ten Eigentumsbegriff unklar Daten keine Verm genssch den schwierige Be weislage Kausa lit t IT Intermedi r Deliktsrecht wie bei IT Hersteller Vertragsrecht Haf tungsbegrenzung durch Telekommunikations recht hnlich Daten schutzrecht Siche rungspflichten nur hin sichtlich der ungest rten Nur wenige Standards ISO Norm zur Netzwerksi cherheit zu TKG selbst bei grober Hahrl ssi keit Kommunikation k nftige Nor men BSI Kommerzielle Gesellschaftsrecht prin Aufsichtsrecht ISO 27 001 ff IT Nutzer all gemein IT Riskmanage ment zipiell Ansatz ber Pflicht zum Riskmana gement aber ausf l lungsbed rftig Vertragsrecht Haftungsaus schl sse umstr An scheinsbeweis Sicherheitsan forderungen Deliktsrecht Pflicht zur Sicherung der eigenen Systeme auch gegen ber Dritten 9a BDSG Pflichten zur Organisation zum Datenschutz allerd
535. rschiedene Firmenzusammenbr che sowohl in den USA als auch in Deutschland sind zudem seit 1998 die Anforderungen an das unternehmensinterne Management gesetzlich verankert teilweise auch versch rft worden was auch Auswirkungen auf das IT Management im Unternehmen hat Neben den deutschen Vorschriften zum Riskmanagement sind hier in erster Linie der von den beiden US Kongressabgeordneten Paul Sarbanes und Michael Oxley angeregte amerikanische Sarbanes Oxley Act SOX ebenso wie die Regelwerke zur Pr fung von Fremdkapital Basel II zu nennen Demgem werden zun chst die im Rahmen der Corporate Governance entwickelten IT Riskmanagementpflichten betrachtet Rn 335 ff einschlie lich der mittelbar aus den neuen Fremdkapitalvergabevorschriften Basel II folgenden Vorgaben Rn 357 ff anschlie end dann die jeweiligen Selbstschutz bzw Verkehrssicherungspflichten Rn 375 ff 1 IT Riskmanagement als Gesch ftsleiterpflicht a Hintergrund Die Steuerung von Risiken beim Softwareeinkauf und einsatz war seit jeher ein Thema berwiegend der Betriebswirtschaft Softwarepflege gemeinsame Projektrealisierung und implementierung dominier t en die Themenpalette Erst mit Einf hrung des 91 Abs 2 AktG durch das KonTraG 1998 ist die rechtlich verbindliche Pflicht der 628 629 S etwa M ller Hengstenberg CR 2005 385 ff Schneider CR 2000 27 ff Karger ITRB 2004 208 ff zu entsprechenden Vertragsgestaltungen
536. rtifizierte Unternehmen festhalten lassen muss wenn sei ne Produkte oder seine Produktionst tigkeit von diesen Erwartungen abweichen Zer tifikate k nnen die Einhaltung eines generell h heren Sicherheitsniveaus suggerieren da durch eine entsprechende Sicherheitsorganisation die Wahrscheinlichkeit von Feh lern beim Pflichtigen verringert werden soll Dabei kommt es nicht auf die objektive Geeignetheit solcher Zertifikate zur Feststellung einer ordnungsgem en Produktbe schaffenheit an sondern nur wie im Rahmen von Werbeaussagen auf deren generelle Eignung gesteigerte Sicherheitserwartungen bei den Adressaten hervorzurufen 163 Auch Zertifikate hinsichtlich des Qualit tsmanagements wie DIN EN ISO 9000 ff k nnen durchaus f r sich eine deutliche Aussage auch f r den Bereich der Werbung enthalten Die Werbung mit dem Zertifikat ist relativ leicht mit der Werbung in Ein n Spindler Unternehmensorganisationspflichten S 815 vgl Wagner Janzen BFuP 1994 573 596 f insofern auch Kassebohm Malorny ZfB 1994 693 701 f Prof Dr Gerald Spindler 74 klang zu bringen dass ein hoher Qualit tsstandard bei der Softwareerstellung verfolgt wird Unter Zugrundelegung hnlicher Erfahrungen bzw Kenntnis z B ber den Auto mobilbereich k nnen leicht Parallelen gezogen werden die eine zumindest laienhafte Bewertung eines Qualit tsmanagement im Softwarebereich erm glichen Damit k nnen Zertifikate im Bereich Qualit ts
537. rufen am 6 06 2007 s hierbei insbesondere auch die genauen Vorgaben in AT 4 3 1 zur Auf bau und Ablauforganisation und AT 4 3 2 zu den Risikosteuerungs und controllingprozessen s hierzu Zimmermann BKR 2005 208 210 Vgl Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 4 4 7 Rn 1 3 abrufbar unter http www bafin de rundschreiben 89_2005 051220 htm zuletzt abgerufen am 6 06 2007 Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 BT 1 und BT 2 abrufbar unter http www bafin de rundschreiben 89_2005 051220 htm zu letzt abgerufen am 6 06 2007 N her zur Internen Revision Pfingsten Maifarth Rieso Die Bank 2005 34 35 Grabaw Schlee Kreditwesen 2005 392 Vgl Rundschreiben BaFin Nr 18 2005 ber Mindestanforderungen an das Risikomanagement vom 20 12 2005 AT 5 8 Rn 3 a bis d abrufbar unter Prof Dr Gerald Spindler 190 451 sowie eine Dokumentationspflicht aller Gesch fts Kontroll und berwachungsma nahmen sollen die Einhaltung der genannten Vorgaben sichern Nach AT 4 3 2 der MaRisk hat ein Kreditinstitut bei der Einrichtung eines angemessenen Risikosteuerungs und controllingprozesses zun chst die Identifizierung Beurteilung Steuerung sowie die berwachung und Kommunikation der wesentlichen Risiken zu gew hrleisten d h die wesentlichen Risiken m ssen fr hzeitig erkan
538. s 13 9712 15 Terlau CR 1999 284 286 KOM 2003 286 Mitteilung der Kommission an den Rat und das Europ ische Parlament St rkung der Abschlusspr fung in der EU KOM 2004 0177 endg Vom 16 3 2004 abrufbar unter http www europarl eu int oeil file jsp id 241922 Prof Dr Gerald Spindler 144 340 643 644 645 646 sion und des internen Kontrollsystems In Deutschland verf gen bereits fast alle b r sennotierten Gesellschaften ber Audit Committees in Form von Aussch ssen des Auf sichtsrates Allerdings bezieht sich der Richtlinienvorschlag dar berhinaus auch auf sonstige Unternehmen des ffentlichen Interesses wie Banken und Versicherungen so dass auch in diesen Branchen die Einrichtung eines solchen Gremiums vonn ten w re Der im Vorschlag der Kommission verankerte Aufgabenkatalog stimmt ansonsten im Wesentlichen mit den Vorgaben des Abschnittes 5 3 2 DCGK berein geht aber in Art 39 mit der Statuierung der berwachung des internen Kontrollsystems und der In nenrevision dar ber hinaus Zudem konkretisiert der Richtlinienvorschlag die Vorgaben des 91 Abs 2 AktG Explizit ergibt sich daraus als IT relevanten Ankn pfungspunkt allein die Pflicht des Vorstandes zur Einrichtung eines Risikomanagementsystems so dass dem Aufsichtsrat im Rahmen seiner allgemeinen berwachungst tigkeit auch die Kontrolle des Risk Managements obliegt Die Einrichtung eines internen Kontrollsys tems kommt ihm hingegen nach d
539. s auch wenn ihnen keine eigene Rechtspers nlich keit zukommt also z B nicht rechtsf hige Vereine Demgegen ber geh ren zu den ffentlichen Stellen i S d BDSG Beh rden Organe der Rechtspflege und andere ffentlich organisierte Einrichtungen sofern sie nicht als f fentlich rechtlich organisierte Einrichtungen am Wettbewerb teilnehmen Ferner sind diejenigen Stellen erfasst die zwar privatrechtlich organisiert sind aber hoheitliche Aufgaben wahrnehmen ffentlich rechtlich organisierte Unternehmen die am Wett bewerb teilnehmen werden dagegen nach 12 27 BDSG ebenfalls als nicht ffentliche Stellen behandelt b Pers nliche T tigkeiten Weiter eingegrenzt wird der Anwendungsbereich durch sachliche Kriterien Werden Daten nur f r pers nliche oder famili re T tigkeiten erhoben so findet das BDSG keine 751 Anwendung Damit verwendet das BDSG zur Abgrenzung letztlich ein hnliches Kriterium wie es oben Rn 259 ff im Hinblick auf die rollenspezifische Abgrenzung von IT Nutzern entwickelt wurde Ein und dieselbe Person kann daher je nach T tigkeit dem BDSG unterfallen oder aufgrund rein pers nlicher T tigkeiten aus dessen Anwen dungsbereich ausscheiden 3 Datenschutzrechtliche Pflichten und IT Konkretisierung Gola Schomerus 2 BDSG Rn 19 Wedde in Ro nagel Handbuch Datenschutzrecht Kap 4 3 Rn 32 f Gola Schomerus 2 BDSG Rn 19 Wedde in Ro nagel Handbuch Datensc
540. s Haftungs rechts Heidelberg 1991 Endres Johannes Heute ein Admin in c t Archiv 23 2005 112 114 Endres Haftungsregeln f r gentechnische Unf lle das Problem der Haftungsobergren ze in Jahrbuch f r Sozialwissenschaft Bd 24 1 51 76 Engel Friedrich Wilhelm Produzentenhaftung f r Software in CR 1986 702 708 Ensthaler J rgen F ler Andreas Nuissl Dag mar Juristische Aspekte des Qualit tsmanage ments Berlin 1997 Erben Meinhard Zahrnt Christoph Die Rechtsprechung zur Datensicherung in CR 2000 88 91 Erfurth Ren Haftung f r Missbrauch von Legitimati onsdaten durch Dritte beim Online Banking in WM 2006 2198 2207 Erman Walter B rgerliches Gesetzbuch Kommentar Bd l und 2 11 Aufl K ln 2004 zitiert Erman Bearbeiter BGB Bd Ernestus Walter Protection Profile Formale Beschrei bung von Sicherheitsanforderun gen Prof Dr Gerald Spindler XIV in DuD 2003 68 Ernst Stefan Die Verf gbarkeit des Source Code in MMR 2001 208 213 Ernst Stefan Wireless LAN und das Strafrecht in CR 2003 898 901 Ernst Stefan Internet und Recht in JuS 1997 776 782 Ernst Stefan Trojanische Pferde und die Telefonrech nung in CR 2006 590 594 Ernst Stefan Vertragsgestaltung im Internet
541. s f r PIN TAN Verfahren ohne Medienbruch zu verneinen ist da die zu fordernde Typizit t angesichts der neuen Bedrohungsformen nicht mehr gegeben ist 22 Belie e man es bei der gegenw rtigen hM w rden die Risiken der k nftigen Entwicklung von Schadprogrammen letztlich in weiten Teilen beweisrecht lich einseitig dem Kunden aufgeb rdet obwohl die Banken durch den Einsatz besserer technischer Systeme schon heute Abhilfe schaffen k nnen Der Anscheinsbeweis kann bei Verwendung von PIN TAN Verfahren ohne Medien bruch auch nicht auf das h ufig insbesondere in Bankenkreisen verwendete Argu ment gest tzt werden erfolgreiche Phishing und Pharming Attacken stellten nur Ein zelf lle dar so dass die ordnungsgem e Transaktion der typische Geschehensablauf 1133 sei Diese Behauptung entbehrt angesichts sich h ufender Meldungen ber Miss br uche beim Online Banking allerdings einer gesicherten tats chlichen Grundlage Die Banken d rften ber aussagekr ftiges Zahlenmaterial verf gen halten sich diesbe z glich jedoch bedeckt Im Hinblick auf die Rechtsprechung der Instanzgerichte zu In ternet Auktionen ist die Tragf higkeit des Arguments insgesamt zweifelhaft Denn die 1131 1132 1133 1134 Erfurth WM 2006 2198 2206 So auch Kind Werner CR 2006 353 359 Erfurth WM 2006 2198 2206 Zweifel auch bei Borges NJW 2005 3313 3317 So im Ergebnis Borges NJW 2005 3313 3317 Karper
542. schen Binnenmarkts Ver mutungswirkung technischer Nor mung in EuZW 2002 133 136 Klindt Thomas Das neue Ger te und Produktsicherheits gesetz in NJW 2004 465 471 Klindt Thomas Ger te und Produktsicherheitsgesetz GPSG M nchen 2007 zitiert Klindt GPSG Prof Dr Gerald Spindler XXVII Klinger Max Die Produktbeobachtungspflicht bez glich Fremdzubeh rteilen T bingen 1998 Klutzny Alexander Online Demonstrationen und virtuelle Sitz blockaden Grundrechtsaus bung oder Straftat in RDV 2006 50 59 Knolmayer Gerhard Wermelinger Thomas Der Sarbanes Oxley Act und seine Auswir kungen auf die Gestaltung von In formationssystemen http www ie iwi unibe ch publikati onen berichte resource WP 179 pdf Koch Frank A Computer Vertragsrecht 6 Auflage Frei burg 2002 Koch Frank A Rechtsfragen der Nutzung elektronischer Kommunikationsdienste in BB 1996 2049 2058 Koch Frank A Zivilrechtliche Anbieterhaftung f r Inhalte in Kommunikationsnetzen in CR 1997 193 203 Koch Robert Haftung f r die Weiterverbreitung von Viren durch E Mails in NJW 2004 801 807 Koch Robert M ngelbeseitigungsanspr che nach den Grunds tzen der Produzenten Pro dukthaftung in AcP 203 2003 603 632 Koch Robert Versicherbarkeit von IT Risiken Berlin 2
543. scher Hand buch des Vorstandsrechts 19 Rn 19 Boos Fischer Schulte Mattler Braun 25a KWG Rn 550 Boos Fischer Schulte Mattler Braun 25a KWG Rn 613 ff Prof Dr Gerald Spindler 184 441 442 sich in 25a Abs 1 Satz 4 KWG nunmehr eine besondere Anordnungsbefugnis f r die BaFin gegen ber den Instituten nicht auch den Gesch ftsleitern wenn diese im Ein zelfall nicht die ad quaten internen Ma nahmen zur Erf llung der Organisationspflich ten des 25a Abs 1 KWG ergreifen Die Anordnungsbefugnis dient damit der Gefah renpr vention Der BaFin stehen zur Durchsetzung der Vorgaben des KWG Zwangsmittel zur Verf gung Im Extremfall kann dies bis zur Abberufung des Ge sch ftsleiters 36 Abs 2 KWG oder dem Widerruf der Erlaubnis 35 KWG rei chen Das KWG hat keine drittsch tzende Wirkung zugunsten individueller Gl ubiger Es dient ausschlie lich dem Schutz der Allgemeinheit und der Funktionsf higkeit des Kre ditgewerbes Dies folgt aus 4 Abs 4 FinDAG welcher der BaFin ausdr cklich nur Aufgaben im ffentlichen Interesse zuweist Bei Verletzung der Aufsichtspflicht durch die BaFin bestehen daher keine Amtshaftungsanspr che nach 839 BGB i V m Art 34 GG Grunds tzlich sind die Vorschriften des KWG auch keine Schutzgesetze im Sinne von 823 II BGB zugunsten der einzelnen Bankkunden Aus der Verlet zung der IT spezifischen Organisationspflichten nach 25a Abs 1 KWG k n
544. schr nkt sich auf Kunden Kunden sind nach der Legaldefition des 1 I TKV aF die nach der Ratio aber auch f r das neue TKG ge nutzt werden kann Personen die Telekommunikationsdienstleistungen vertraglich in Anspruch nehmen oder begehren Die Anwendbarkeit der 43a ff TKG auf Kunden ergibt sich zum einen aus der Teilbereichs berschrift Kundenschutz des Teil 3 TKG und zum anderen aus der Formulierung Endnutzer in 44a TKG womit aber lediglich Kunden gemeint sind 1215 Diese Annahme entspricht auch der Tatsache dass 44a TKG im Wesentlichen dem 7 Abs 2 TKV aF entspricht Die Telekommunikations Kundenschutzverordnung die nach 1 Abs 1 TKV aF auch nur auf Kunden anwendbar war wurde j ngst durch das TK nderungsgesetz in Teil 3 des TKG integriert Bei den meisten Sch den f r Unternehmen oder andere IT Nutzer durch Dienstleistungen von IT Intermedi ren werden die Betroffenen jedoch vertragliche Beziehungen zu diesen unterhalten etwa bei beim Hosting von Daten auf einem Web Server oder der Zurver f gungstellung von Portalen so dass oftmals die 44a ff TKG eingreifen k nnen 1210 1211 1212 1213 1214 1215 S Bundesgesetzblatt Teil 1 Nr 5 vom 23 2 2007 S 106 ff BR Drucks 551 97 S 28 BT Drucks 15 5213 S 21 Beck scher TKG Kommentar Dahlke 44a TKG E Ran 9 Scheurle Mayer Schadow 41 TKG Rn 51 BR Drucks 551 97 S 28 f Zur Abgrenzung des reinen Verm gensschadens von anderen Fo
545. se die eine Mischung aus Soft wareherstellung und Softwarepflege umfassen 163 Wobei die Pflege h ufig als Zusatz leistung angeboten wird so etwa bei den sog Volumenlizenzvertr gen der Firma Microsoft sei es als entgeltlicher Pflegevertrag oder unentgeltliche Zusatzleistung in 164 Je nach Art des Softwarevertriebs Form von frei verf gbaren Patches im Internet werden z B bei Online Beschaffung von Software Allgemeine Gesch ftsbedingungen AGB genutzt die wiederum je nach Markt bzw Verhandlungsmacht Haftungs und Gew hrleistungsausschlussklauseln enthalten Grunds tzlich gilt selbstverst ndlich die Privatautonomie Soweit es sich dabei um individuelle Vereinbarungen und keine AGB handelt muss sich die Wirksamkeit dieser Vereinbarungen daher lediglich an den Grenzen der Sittenwidrigkeit nach 138 BGB und des gesetzlichen Verbots 134 BGB messen lassen Handelt es sich aber um Haftungs und Gew hrleistungsaus schl sse in Allgemeinen Gesch ftsbedingungen bildet die Inhaltskontrolle nach dem 307 BGB die Grenze der Privatautonomie selbst bei B2B Gesch ften und sorgt dadurch daf r dass auch in vertraglichen Beziehungen ein Mindestma an Sicherheit nicht abbedungen werden kann In diesem Zusammenhang stellt sich die Frage ob durch die Schuldrechtsreform auch die Haftungsfreizeichnung f r mangelbezogene Folgesch den die nunmehr direkt ber 280 I BGB erfasst werden klauselfest ist mithin
546. sehen sondern einseitig dem Verantwortungsbereich des Unsicherheitsfaktors Benutzer zugewiesen der nun sei nerseits den Anscheinsbeweis ersch ttern muss 578 Verfahren ohne Medienbruch weisen indessen keine hinreichende technische Sicher heit gegen ber Manipulationen Dritter auf welche die Vermutung zulie e der Kunde selbst habe die Transaktion initiiert oder aber seine Pflichten verletzt s Rn 512 ff Anders ist dies bei Sicherungsverfahren mit Medienbruch bzw einem zweiten unab h ngigen Kommunikationskanal Zwei Kanal Verfahren da bei diesen Eingriffe von au en mit an Sicherheit grenzender Wahrscheinlichkeit auszuschlie en sind Nur bei diesen bislang nur vereinzelt eingesetzten Verfahren kommt daher ein An scheinsbeweis in Betracht iv Ersch tterung des Anscheinsbeweises 1136 Karger DuD 2006 215 219 Borges NJW 2005 3313 3316 Recknagel Vertrag und Haftung beim Internet Banking S 127 137 Dazu Werner MMR 1998 232 235 Wiesgickl WM 2000 1039 1050 G mann in Bankrechts Handbuch 55 Rn 26 Auch der Trojaner Angriff auf das HBCI Verfahren wurde nicht als Angriff auf die Sicherungssysteme des Online Banking sondern als Angriff auf den Computer des Kunden gewertet s Neumann Bock Zahlungsverkehr im Internet Rn 183 Prof Dr Gerald Spindler 245 379 580 581 1138 1139 1140 1141 1142 1143 a Grundsatz Soweit man den Anscheinsbeweis bejaht li
547. son dern ist vielmehr nur Teil der wirtschaftlichen Erw gungen In Firmennetzen werden h ufig zentrale Firewalls eingesetzt die dann auch zentral ein 726 gerichtet oder gewartet werden Aufgrund der Komplexit t der Aufgabe wird regel m ig besonders geschultes Personal oder die Herbeiziehung externen Experten not Vgl zum Beispiel heise online v 25 4 2006 abrufbar unter http www heise de newsticker meldung 72366 BSI IT Grundschutzhandbuch 2005 B 1 6 So aber Schmidbauer abrufbar unter http www i4j at news aktuell36 htm Kurze Abst nde Tita VW 2001 1781 1784 Vgl BSI IT Grundschutzhandbuch 2005 M 2 76 Prof Dr Gerald Spindler 164 389 390 391 727 728 wendig sein F r die Wartung und berwachung aber auch f r die lokale Einrichtung ist es dem Unternehmen durchaus zuzumuten Experten heranzuziehen Diese k nnen z B das eigene Personal unterweisen und schulen Zudem k nnen h ufig die elemen tarsten Sicherungen bereits durch den kosteng nstigen Einsatz einer Hardwarefirewall bzw eines entsprechenden Routers ergriffen werden Aufgrund der hohen Gef hrdung der eigenen und fremden Daten ist die wirtschaftliche Zumutbarkeit des Einsatzes von Firewalls jedenfalls gegeben Es besteht somit die Pflicht zum Einsatz von Firewalls c System und Programmupdates Bereits dem privaten Nutzer ist das Einspielen von Systemupdates zuzumuten sofern diese automatisch oder
548. ss die Haftung des Ver kehrspflichtigen trotz Einhaltung einer DIN Norm eingreifen kann wenn die techni sche Entwicklung ber sie hinweggegangen ist oder sich bei der Benutzung Gefahren zeigen die in den DIN Normen noch nicht ber cksichtigt sind Der Pflichtige muss daher stets pr fen ob die technische Norm in der gegebenen Situation anwendbar ist und ob sie f r den konkreten Fall ausreicht insbesondere ber die technischen Regel werke hinaus neuere Erkenntnisse ber cksichtigen vor allem wenn die betreffende Norm lteren Ursprungs ist oder Divergenzen zwischen verschiedenen Normen beste hen Gerade wenn die technische Norm keine abschlie ende Erfassung s mtlicher re levanten Fragen enth lt muss der Anwender sorgf ltig untersuchen ob er weitere Ma nahmen f r den konkreten Einzelfall zu treffen hat Bei Nichteinhaltung der technischen Regeln wird zum Teil ein Anscheinsbeweis f r eine Verkehrspflichtverletzung bej aht was in dieser Pauschalit t indes nicht zutrifft da technische Normen keine zwingenden Verhaltensnormen und abweichende tech nisch ebenso sichere L sungen folglich zul ssig sind Der BGH bejaht im Falle der Nichteinhaltung einer technischen Norm zwar keinen Anscheinsbeweis f r die Pflicht widrigkeit geht aber zumindest von einer starken Indizwirkung des Versto es gegen technische Normen f r das Vorliegen einer Verkehrspflichtverletzung aus 362 363 364 365
549. ssch sse weiter Wilrich 4 GPSG Rn 44 8 GPSG Rn 19 die Vermutung nach 4 Abs 2 Satz 4 GPSG bezieht sich dagegen nur auf die betreffenden Anforderungen der Norm oder technischen Spezifikation Wilrich 8 GPSG Rn 19 Prof Dr Gerald Spindler 112 die verschuldensabh ngige Produkthaftung greift grunds tzlich nur bei Rechtsgutsverletzungen ein hier bestehen noch zahlreiche Unsicherheiten ber die Reichweite Insbesondere bei Verm gens sch den sowie Betriebsausfallsch den besteht die Gefahr dass derartige Sch den nicht von der ver schuldensabh ngigen Produkthaftung erfasst werden das Produkthaftungsrecht sieht grunds tzlich keine Pflichten vor dass ein IT Hersteller Patches zur Verf gung stellt er kann sich mit Warnungen begn gen die Verantwortlichkeit f r Schnittstellen zu anderen Programmen ist nach wie vor ungekl rt Im verschuldensunabh ngigen Produkthaftungsrecht ist nach wie vor ungekl rt ob Software als Produkt berhaupt erfasst wird Zudem ist auch hier der Kreis der erfassten Sch den auf Eigentums sch den bei Verbrauchern sowie K rperschaden allgemein begrenzt 258 Im ffentlich rechtlichen Produktsicherheitsrecht fehlt es bislang vor allem auf europ i scher Ebene an entsprechenden sektorspezifischen Richtlinien f r den IT Bereich auf nationaler Ebene ist die Verengung des GPSG auf Gefahren f r Leib und Leben Ge sundheit zu beklagen die zahlreiche IT Risik
550. ssen in ZfB 1994 693 716 Kassebohm Kristian Malorny Christian Die strafrechtliche Verantwortung des Managements in BB 1994 1361 1371 Katko Peter Voice over IP in CR 2005 189 193 Kaufmann Bernd Neuordnung des Rechts der technischen Anlagensicherheit im Hinblick auf den Europ ischen Binnenmarkt in DB 1994 1033 1038 Keenan J P Blowing the Whistle on Less Serious Forms of Fraud A Study of Execu tives and Managers in Employee Responsibilities and Rights Journal Vol 12 Nr 4 199 217 Keller Gernot Schl ter Kai Grit Peer Review Perspektiven nach dem Sar Prof Dr Gerald Spindler XXVII banes Oxley Act of 2002 in BB 2003 2166 2174 Kilian Wolfgang Vertragsgestaltung und M ngelhaftung bei Computersoftware in CR 1986 187 196 Kilian Wolfgang Heussen Benno Computerrechts Handbuch Computer technologie in der Rechts und Wirtschaftspraxis Loseblatt Ausg M nchen 1990 zitiert Bearbeiter in Kilian Heussen Kind Michael Werner Dennis Rechte und Pflichten im Umgang mit PIN und TAN in CR 2006 353 360 Kirchg ssner Gebhard Homo oeconomicus 2 Auflage T bingen 2000 Klapdor Martin IT Risiken im virtuellen Netzwerk reali t tsnah pr fen in VW 2005 507 Klindt Thomas Der new approach im Produktrecht des europ i
551. ssp hen II Intermedi r als reiner Mittler von Informationen Geht der Angriff dagegen nicht direkt vom Intermedi r aus leistet der IT Intermedi r aber einen wesentlichen Beitrag zur Verletzung Dritter indem er die sch digende In formation weitergeleitet gespeichert oder bereitgestellt hat stellt sich parallel zu den Sicherungspflichten f r eigene Systeme die Frage ob der Intermedi r gehalten ist den Datenverkehr auf seinen Systemen im Hinblick auf Rechtsverletzungen Dritter zu kon trollieren So k nnte etwa ein Host Provider verpflichtet sein das Angebot seiner Kun den auf Viren zu untersuchen um die Sch digung Dritter zu verhindern Auf diesen Problemkreis haben sowohl der deutsche als auch der europ ische Gesetz bzw Richtliniengeber reagiert indem die Verantwortlichkeitsprivilegierungen der 7 Prof Dr Gerald Spindler 290 713 714 715 716 1278 1279 1280 1281 1282 1283 1284 10 TMG bzw die entsprechenden Regelungen der E Commerce Richtlinie Art 12 15 ECRL eingef hrt wurden 1279 Greifen diese Privilegierungen so ist die Haftung bzw Verantwortlichkeit ausgeschlossen allerdings mit der f r die Praxis gewichtigen Ausnahme der St rerhaftung bzw des Unterlassungsanspruchs nach 1004 BGB Grunds tzlich treffen den IT Intermedi r nach 7 Abs 2 TMG keine allgemeinen Pflichten bermittelte oder gespeicherte Informationen die nicht eigene Informationen n
552. st die Einf hrung eines Datenschutzaudits in 9a BDSG Das Vorbild hierzu entstammt dem Bereich des Umweltrechts und dessen Umweltauditvorgaben im BImSchG bzw der EG ko Audit VO Ziel des Audits ist die Verbesserung des Da tenschutzes in einem kontinuierlichen und auch wirtschaftlich motivierten Prozess Die Norm wendet sich an ffentliche wie nicht ffentliche Stellen welche personenbezoge ne Daten unter Einsatz von IT Systemen verarbeiten Regelungen zum Datenschut zaudit finden sich mit jeweils unterschiedlichem Normadressat auch an anderer Stelle so z B in 78c SGB X Einige Landesdatenschutzgesetze enthalten ebenfalls entspre chende Regelungen zu Datenschutzaudits f r die ffentlichen Stellen des Landes die ihr Datenschutzkonzept und ihre technischen Einrichtungen einer Pr fung unterziehen k nnen Durch ein Audit wird eine externe und neutrale Begutachtung des vorhandenen Daten schutzkonzepts durchgef hrt Das Audit ist nach der Fassung des 9a BDSG nicht obligatorisch Entsprechende Zertifikate sollen insbesondere wirtschaftliche Vorteile hervorrufen Allerdings ist die Zertifizierung finanziell aufw ndig und damit vor allem 797 f r kleinere Unternehmen praktisch nicht finanzierbar Das Verfahren der Pr fung umfasst die Pr fung und Bewertung der Vorgaben die die Pr fung veranlassende Stel 798 le also das Unternehmen vorgibt Das Unternehmen w hlt hierf r Produ
553. stel 1273 len Ebenso f r das schweizerische Recht Alder in Hilty Information Highway S 331 344 ff R H Weber in Hilty Information Highway S 531 554 viel zu kurz gegriffen daher Str mer Online Recht S 109 der mangels vertraglicher Beziehungen und wegen reinen Verm gensschadens kategorisch Anspr che aus 823 Abs 1 BGB verneint Vgl aus schweizerischer Sicht Hilty in Hilty Information Highway S 437 481 sowie Briner in Hil ty Information Highway S 489 508 ff S nur BGHZ 24 200 ff Boykottaufruf BGHZ 90 113 ff M nchKommBGB Wagner 823 BGB Rn 201 ff mwN S oben Rn 682 ff Zum fehlenden deliktsrechtlichen Schutz des Verm gens M nchKommBGB Wagner 823 BGB Rn Prof Dr Gerald Spindler 287 698 699 700 1274 1275 1276 1277 4 Einzelne Sicherungspflichten a Virenscanner Wie die kommerziellen Nutzer trifft den Intermedi r in jedem Fall die Pflicht zur Siche rung des eigenen Systems mit Hilfe von Virenscannern Etwaige Privilegierungen priva ter Nutzer kann er aufgrund des hohen Gef hrdungspotentials nicht geltend machen b Firewall Sofern der Provider selbst Netzwerktechnik einsetzt muss er diese auch besonders si chern Hierzu geh rt auch die Einrichtung und Wartung einer Firewall Daf r spre chen auch 104 TKG der die Gew hrleistung der ausreichenden Datensicherheit vom Telekommunikationsanbieter verlangt sowie aus datenschutzrechtlicher
554. stellen m ssen ob die E Mail von einem bekannten und vertrauensw rdigen Absender stammte Das ffnen von Spam E Mails als solches begr ndet grunds tzlich zwar noch keine Pflichtverletzung jedoch hat auch der private Nutzer beim Umgang mit Anh ngen unbekannter Herkunft besondere Sorgfalt walten zu lassen Kann dem Vertrag und Haftung beim Internet Banking S 224 1052 So auch Kind Werner CR 2006 353 356 Erfurth WM 2006 2198 2202 Borges NJW 2005 3313 3315 Prof Dr Gerald Spindler 228 546 547 1053 1054 1055 1056 1057 Kunden nicht vorgeworfen werden kann er habe fahrl ssig einen unbekannten E Mail Anhang ge ffnet kommt eine Pflichtverletzung wegen mangelnder Sicherung des eige nen PC mit Anti Virus Software und Systemupdates in Betracht Die Sorgfaltsanforde rungen an den privaten Nutzer und Bankkunden sind dabei in oben dargelegtem Um fang beschr nkt iv Vertretenm ssen des Kunden 280 Abs 1 Satz 2 BGB Die von den Banken f r das Online Banking entwickelten AGB enthalten keine speziel le Haftungsregelung Anders als nach den ec Bedingungen haftet der Kunde somit nicht nur f r grobe sondern bereits f r einfache Fahrl ssigkeit 276 Abs 1 2 BGB 1054 Wobei vermutetet wird dass der Kunde ein pflichtwidriges Verhalten auch zu vertreten hat 280 Abs 1 Satz 2 BGB F r die Reichweite der Haftung des Bankkun den kommt es daher ganz entscheidend darauf an wie eng oder
555. streift werden da er f r hier interes sierenden Fragen der IT Sicherungspflichten letztlich nicht entscheidend ist So decken 1163 ohne dass dies sich die Ziele des 9 BDSG weitgehend mit denen des Berufsrechts speziell kodifiziert w re Im Rahmen der Selbstverwaltung unterliegt der Anwalt nach 73 Abs 2 Nr 4 BRAO einer gewissen Kontrolle durch die Rechtsanwaltskam mern Diese k nnen auf die Einhaltung des Berufsrechts achten und im Verletzungs fall berufsrechtliche Schritte bis hin zum Entzug der Anwaltszulassung nach 114 BRAO gerichtlich erwirken Dem Anwalt obliegt demnach auch auf Basis des Berufs rechts der sorgsame Umgang mit den Daten allerdings lassen sich diese Pflichten tat s chlich nicht konkret benennen Sie d rften zumindest was z B die regelm ige Da tensicherung sowie den Einsatz von allgemein bekannten Sicherungssystemen betrifft hnlich den durch 9 BDSG und der zugeh rigen Anlage geregelten Pflichten sein on Die Anlage zu 9 Satz 1 BDSG enth lt eine allgemeing ltige Beschreibung professio neller Standards deren Nichtbeachtung sowohl standes als auch strafrechtlich relevant w re Durch das besondere Schadenspotential das durch den Verlust oder die Ent wendung von Daten aus dem Verh ltnis zwischen Mandant und Anwalt verwirklicht werden kann sind bei der Verwendung von Rechnersystemen in der anwaltlichen T tigkeit dem Anwalt jedenfalls die Sicherungsma nahmen zuzumuten deren Gefahr
556. t c BDSG Das BDSG findet auf die durch rzte erhobenen und verarbeiteten Daten Anwen 1195 dung f hrungen insbesondere zu 9 BDSG Die Pflichten des Anhangs zu 9 BDSG Insofern gelten die zum Umfang der Pflichten von Anw lten gemachten Aus werden allerdings durch eine Empfehlung der Bundes rztekammer weiter konkreti siert So ist z B die Fernwartung ausgeschlossen Zielrichtung des Anhangs ist je doch haupts chlich der Schutz vor dem direkten Zugriff von Unbefugten vor Ort oder durch unsachgem en Transport von Datentr gern Im Rahmen der Benutzerkontrolle wird empfohlen keine st ndige Verbindung ins Internet zu halten und den Zugang von au en nur dann zu gestatten wenn die Daten gesch tzt sind was entsprechende Siche rungsma nahmen impliziert 39 BDSG enth lt dar ber hinausgehende Restriktionen hinsichtlich der Zweckbindung von Daten die durch Stellen erhoben werden die einem Berufsgeheimnis unterliegen Hierzu geh ren auch medizinische Daten Die Offenbarung von medizinischen Daten ist demnach sowohl strafrechtlich als auch durch das BDSG selbst sanktioniert Problematisch ist erneut die Kontrolle Die Auf sicht f hren grunds tzlich die Aufsichtsbeh rden der L nder Der Arzt kann sich jedoch auf 38 Abs 3 Satz 2 BDSG berufen und die Herausgabe der Patientendaten verwei gern Die Kontrolle ist insofern beschr nkt erfolgt aber dennoch durch die Aufsichtsbe h rden Im Verh ltn
557. t sache dass derjenige der das Legitimationszeichen verwandt hat entweder der Kunde selbst ist oder zumindest von diesem autorisiert wurde die Willenserkl rung abzugeben hilfsweise f r die Tatsache dass der Kunde den Missbrauch der Legitimationszeichen schuldhaft erm glicht hat Gerichtliche Entscheidungen zur Beweislast beim Online Banking stehen soweit er sichtlich noch aus 1 86 F r das PIN TAN Verfahren und das HBCI Verfahren ist anders als in 371a Abs 1 Satz 2 ZPO 292a ZPO aF f r die qualifizierte elektronische Signatur nach dem Sig naturgesetz SigG kein Anscheinsbeweis f r die Echtheit der Erkl rung im Gesetz an geordnet Dies schlie t indessen nicht aus aufgrund der allgemeinen Grunds tze des Beweisrechts einen Anscheinsbeweis auch f r diese Sicherungsverfahren zu beja 1087 hen F r Sicherungsverfahren auf Basis einer elektronischen Signatur wie beispiels weise HBCI liegt eine Parallele zu der gesetzlichen Regelung in 371a Abs 1 Satz 2 ZPO 292a ZPO nahe Grundlage des Anscheinsbeweises ist dass sich unter Ber cksichtigung aller unstreiti gen und festgestellten Einzelumst nde und besonderen Merkmale des Sachverhalts ein f r die zu beweisende Tatsache nach der Lebenserfahrung typischer Geschehensablauf ergibt Ein typischer Geschehensablauf setzt voraus dass ein bestimmter Sachverhalt feststeht der nach der allgemeinen Lebenserfahrung auf eine bestimmte Ursache oder au
558. t Auszuloten sind in diesem Bereich somit in erster Linie die Grenzen der Ver tragsgestaltung mittels Allgemeiner Gesch ftbedingungen Besonderes Gewicht erlan gen dabei die Schutz und Nebenpflichten innerhalb von vertraglichen Beziehungen Demgegen ber k nnen vertragliche Hauptleistungspflichten hier nur am Rande Ber ck sichtigung finden da sie nur in besonderen F llen die IT Sicherheit zum Gegenstand gegenseitig geschuldeter Pflichten machen Dies schlie t nicht aus dass die Gew hr leistung einer grundlegenden IT Sicherheit zu den sog Kardinal oder auch vertragswe sentlichen Pflichten z hlt von denen sich ein Anwender nicht freizeichnen kann Diese Schutz und Nebenpflichten entsprechen oftmals den vor allem im Deliktsrecht dem IT Verwender auferlegten Sicherheitspflichten die gegen ber jedermann also nicht nur gegen ber Vertragspartnern bestehen In erster Linie sind hier die von der Rechtsprechung entwickelten Verkehrssicherungspflichten Gegenstand der Untersu chung Trotz der Schuldrechtsreform mit ihrer Verl ngerung der Gew hrleistungsfristen im Kauf und Werkvertragsrecht und der Einf hrung einer allgemeinen vertragsrecht ber entsprechende Konkretisierungen in der Verwaltungspraxis und Auslegung von Tatbestandselemen ten Zu den Kardinalpflichten s BGH NJW 1993 335 BGH NJW RR 1993 560 561 BGH NJW 2002 673 674 zuletzt BGH NJW RR 2005 1496 1505 ff WM 2005 2002 2013 CR 2006 228 22
559. t Frankfurt am Main 2006 Soergel Hans Theodor B rgerliches Gesetzbuch 13 Auflage Stuttgart Berlin K ln Mainz 1999 ff zitiert Soergel Bearbeiter Sommerville Ian Software Engineering 7 Auflage Harlow 2004 Sonntag Matthias IT Sicherheit kritischer Infrastrukturen M nchen 2005 Spickhoff Andreas Postmortaler Pers nlichkeitsschutz und rztliche Schweigepflicht in NJW 2005 1982 1984 Spindler Gerald Das neue Telemediengesetz Konvergenz in sachten Schritten in CR 2007 239 245 Spindler Gerald Unternehmensorganisationspflichten K ln Berlin Bonn M nchen 2001 Spindler Gerald Das Jahr 2000 Problem in der Produkthaf tung Pflichten der Hersteller und der Softwarenutzer in NJW 1999 3737 3745 Spindler Gerald Hrsg Rechtsfragen bei Open Source K ln 2004 zitiert Bearbeiter in Spindler Rechtsfra gen bei Open Source Spindler Gerald Vertragsrecht der Internet Provider 2 Auf lage K ln 2004 zitiert Bearbeiter in Spindler Vertrags recht der Internet Provider Prof Dr Gerald Spindler LV Spindler Gerald Vertragsrecht der Telekommunkations Anbieter K ln 2000 zitiert Bearbeiter in Spindler Vertrags recht der TK Anbieter Spindler Gerald IT Sicherheit und Produkthaftung Si cherheitsl cken Pflichten der Her steller und der Software
560. t kann die Bank das Risiko f r ein von ihr nicht verschuldetes Versagen der Sicherheitssysteme nicht im Wege einer ver schuldensunabh ngigen Risikohaftung auf den Kunden verlagern F r die Haftung beim Online Banking ist dabei entscheidend die Pflichtenverteilung zwischen Kunde und Bank die gerade im IT spezifischen Bereich bislang wenig gekl rt ist Gerichtliche Ent scheidungen zu den Pflichten im Zusammenhang mit Online Banking liegen soweit er sichtlich noch nicht vor i Interessenlage und Zurechnungskriterien Der Bank obliegen als Initiator des Online Banking Pflichten zur Sicherung der in die sem Verfahren get tigten Bankgesch fte Dahinter steht die Wertung dass die Bank 979 980 981 982 Im Ergebnis ebenso Langenbucher Die Risikozuordnung im bargeldlosen Zahlungsverkehr S 146 Borges NJW 2005 3313 3314 Kind Werner CR 2006 353 354 Karper DuD 2006 215 216 Bock in Br utigam Leupold Kap VII Rn 81 Langenbucher Die Risikozuordnung im bargeldlosen Zahlungsverkehr S 146 Neumann Bock Zahlungsverkehr im Internet Rn 178 OGH 4 Ob 179 02f Prof Dr Gerald Spindler 211 504 505 durch die Er ffnung des Online Verkehrs ein Risiko veranlasst hat welches sie mit ihren personellen finanziellen und technischen Ressourcen besser beherrschen kann als der Kunde Hinzu kommt die M glichkeit der Banken Sicherungsaufwand und Sch den auf durch entsprechende Preisgestaltung
561. t 00 Ein R ckruf von Software erscheint da einen Hinweis im Programm selbst erfolgen gegen kaum denkbar Im Regelfall werden bei erkannten Sicherheitsrisiken unter Ver h ltnism igkeitsgesichtspunkten eine Warnung der Verwender und die Zurverf gungstellung eines Updates ausreichen 2 Normungsverfahren nach dem GPSG Die Vermutungswirkung zugunsten normkonformer Produkte gilt freilich nur f r die Konformit t mit solchen Normen die den Anforderungen des GPSG an Normgeber und Verfahren entsprechen Auch hier wird zwischen harmonisiertem und nicht harmoni siertem Bereich unterschieden a Verfahren im harmonisierter Bereich Gem 2 Abs 16 GPSG gilt die Vermutungswirkung f r solche Normen die von einer europ ischen Normenorganisation nach dem Verfahren der Richtlinie 98 34 EG ber ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften angenommen und im Amtsblatt der Europ ischen Gemeinschaften ver ffentlicht wor 500 501 502 Runte Potinecke CR 2004 725 729 Runte Potinecke CR 2004 725 729 Richtlinie 98 34 EG des Europ ischen Parlaments und des Rates vom 22 06 1998 ABl Nr L 204 S 37 Prof Dr Gerald Spindler 106 243 244 245 den sind In concreto handelt es sich bei den Normenorganisationen gem Anhang I der Richtlinie 98 34 EG um das CEN Europ ische Komitee f r Normung das CENE LEC Europ isches Komitee f r Elektrotechnische Normung s
562. t Auktionen und Elektronische Marktpl tze Kap 4 Rn 62 OLG Naumburg NJOZ 2005 2222 2224 LG Bonn MMR 2004 179 180 Abweichend davon m chte Wiebe in Spindler Wiebe Internet Auktionen und Elektronische Marktpl tze Kap 4 Rn 68 die das Missbrauchsrisiko nicht einem der beiden Vertragspartner des Kaufvertrags sondern als Betreiber des elektronischen Marktplatzes und Nutznie er des Gesch ftsverkehrs dem dritten Auktionshaus auferle gen Prof Dr Gerald Spindler 238 566 meine Lebenserfahrung was bereits unabh ngig von einem technischen Sicherheits 1113 standard einen Anscheinsbeweis rechtfertige Das Aussp hen des Passwortes sei wegen der zu berwindenden technischen H rden nicht jedermann m glich sondern 1114 verlange besondere Fachkenntnisse Die Wahrscheinlichkeit einer Manipulation sei folglich trotz der mangelnden Sicherheit des Passwortsystems im Verh ltnis zum Ge 1115 samtumfang des E Mail Aufkommens denkbar gering Wertungsm ig wird ber dies darauf hingewiesen der Nutzer habe das Missbrauchsrisiko zu tragen weil er sich des Internets in Kenntnis seiner Risiken bediene i Bestehen eines Erfahrungssatzes beim On line Banking a Ausgangspunkt der hM Techni sche Sicherheit des Online Banking Grundlage f r beide Formen des Anscheinsbeweises Urheberschaft f r die Erkl rung und Sorgfaltspflichtverletzung ist dass f r das Online Banking berhaupt
563. t erfasst werden V Ergebnis Aus rechtspolitischer Sicht sind insbesondere folgende Defizite zu beklagen 522 523 524 525 Dazu Entschlie ung des Rates vom 7 Mai 1985 ber eine neue Konzeption auf dem Gebiet der techni schen Harmonisierung und der Normung ABl EG Nr C 136 vom 4 6 1985 S 1 Anhang II Modellricht linie B VII Finke Die Auswirkungen der europ ischen technischen Normen und des Sicherheitsrechts auf das nationale Haftungsrecht S 90 Wilrich 9 GPSG Rn 8 Europ ische Kommission Leitfaden f r die Umsetzung der nach dem neuen Konzept und dem Gesamt konzept verfassten Richtlinien S 58 ff H lt die Kommission die Ma nahmen f r gerechtfertigt setzt sie den betreffenden Mitgliedstaat sowie die brigen Mitgliedstaaten umgehend davon in Kenntnis andern falls fordert sie den betreffenden Mitgliedstaat auf seine Ma nahmen aufzuheben und unverz glich das N tige zu veranlassen damit die Produkte im Gebiet des betreffenden Staates wieder zum freien Waren verkehr zugelassen werden Wird die Schutzklausel aufgrund einer L cke in einer harmonisierten Norm auf die sich eine Konformit tsvermutung gr ndet in Anspruch genommen leitet die Kommission die Angelegenheit nach Anh rung der betroffenen Parteien an den gem Richtlinie 98 34 EG eingerichteten Ausschuss f r Normen und technische Vorschriften und ggf sofern dies in der den Harmonisierungs richtlinien vorgesehen ist spezielle Sektorau
564. t gegen ber jedermann die vertragliche nur gegen ber dem Vertrags partner und den in den Schutzbereich einbezogenen Dritten deren Kreis von der Rechtsprechung al lerdings teilweise erheblich ausgedehnt wird E die deliktische Haftung ist weitgehend von der Verletzung bestimmter Rechtsg tern abh ngig in dem insbesondere Verm genssch den nicht erfasst werden im Gegensatz zur vertraglichen Haftung 2 die deliktische Haftung erfasst nur das Integrit tsinteresse nicht das quivalenzinteresse Unterschiede bestehen ferner nach wie vor bei der Verj hrung trotz der Harmonisierung in der Schuldrechtsreform durch 199 BGB da die vertragliche Haftung hinsichtlich des Verj hrungsbe ginns nach wie vor von einem objektiven System ausgeht 656 Tendenziell ist daher das nach wie vor gr te Risiko beim IT Einsatz der Verm gens schaden und insbesondere der Betriebsausfallschaden nicht von der deliktischen Haf tung erfasst sondern nur von der vertraglichen Haftung Aber auch hier zeichnen sich Konvergenzen ab indem zum einen vertragliche Haftungseingrenzungen f r Verm genssch den teilweise sogar gesetzliche Haftungsbeschr nkungen wie im TKG zuge lassen werden zum anderen die Reichweite des Rechtsg terschutzes in 823 I BGB ausgedehnt wird auf Funktionalit ten des Eigentums 1216 Begr RegE BT Drucks 16 2581 zu 44a TKG S 24 1217 S dazu Wendehorst AcP 206 2006 205 ff Prof Dr Gerald Spindler 271
565. t genutzt werden sind somit erfasst Hier zu k nnte beispielsweise eine computergest tzte Verwaltung Consumer Relationship Management Systeme u z hlen Privater Nutzer kann zudem nur eine nat rliche Person sein juristischen Personen fehlt es insoweit am Privatleben Die Produkthaftungsrichtlinie stellt demnach auf die Nutzung einer Sache ab Die genutzte Sache w re vorliegend ein Rechnersystem auf das sich eventuelle Pflichten beziehen w rden Als privater Nutzer ist demnach ne gativ abgegrenzt anzusehen wer als nat rliche Person ein Rechnersystem nicht ber wiegend gewerblich oder freiberuflich nutzt Der Arbeitnehmer unterf llt nur im Rah men seiner Arbeitnehmert tigkeit den Pflichten f r kommerzielle Nutzer I Private IT Nutzung Private Nutzer treffen im Bereich der IT Sicherheit regelm ig keine vertraglichen Pflichten Eine wichtige Ausnahme bildet jedoch die Teilnahme am E Commerce ins besondere die den Bankkunden treffenden Pflichten beim Online Banking dazu aus f hrlich unten Rn 280 ff Regelm ig wird es jedoch gerade im Verh ltnis zwischen Privaten an vertraglichen Beziehungen fehlen so dass eine Haftung Privater nur auf Schmidt Salzer Hollmann Schmidt Salzer Art 9 RL Rn 47 v Westphalen in v Westphalen ProdHaftHdb Bd 2 72 Rn 21 ff Faber ZEuP 1998 854 883 Taschner Frietsch 1 ProdHaftG Rn 36 ebenso der Verbraucherbegriff in 13 BGB M nchKom
566. t kopiert wurden Ma geblich sind daher Konstruktionsfehler wenn bei der Inverkehrgabe des Produk tes nicht der Stand von Wissenschaft und Technik ber cksichtigt wurde da der ge 235 236 237 238 239 240 Grundlegend dazu BGH v 9 12 1986 VI ZR 65 86 Honda BGHZ 99 167 MDR 1987 396 CR 1987 230 dazu Ulmer ZHR 152 564 570 ff Foerste in v Westphalen ProdHaftHdb 25 Rz 176 ff Kullmann Pfister Kullmann Rz 1520 S 52 Pfister EWiR 1987 235 BGHZ 86 256 258 ff NJW 1983 810 811 JZ 1983 499 m Anm Stoll M nchKommBGB Wagner 823 BGB Rn 122 Bamberger Roth Spindler 823 BGB Rn 60 mwN BGHZ 39 366 367 NIW 1963 1827 BGHZ 67 359 364 NJW 1977 379 BGHZ 86 256 259 NJW 1983 810 BGHZ 96 221 228 NJW 1986 922 BGH NJW 1992 1678 1994 2231 2232 2001 1346 1347 Grundst ck mit Schlacke f hrt zur Besch digung von darauf stehenden Bauwerken OLG D sseldorf NJW RR 1997 1344 1346 OLG Koblenz NJW RR 1998 374 Bamberger Roth Spindler 823 BGB Rn 60 Staudinger J Hager Kap B Rn 108 Soergel Spickhoff Vor 823 BGB Rn 49 Hinsch VersR 1992 1053 Bamberger Roth Spindler 823 BGB Rn 494 ff M nchKommBGB Wagner 823 BGB Rn 581 ff 584 ff Bamberger Roth Spindler 823 BGB Rn 493 M nchKommBGB Wagner 823 BGB Rn 264 579f Foerste in v Westphalen ProdHaftHdB 24 Rn 18 82 ff Zur Relevanz des Standes von Wissenschaft u
567. tG damit auch keine verschuldensunabh ngige Einstands pflicht f r Fehler bei der Produktbeobachtung e Beweislast F r die verschuldensunabh ngige Produkthaftung gilt dass sie lediglich dem Gesch digten den Nachweis der Pflichtwidrigkeit des Herstellers abnimmt indem die Scha densersatzpflicht allein schon beim Vorliegen eines fehlerhaften Produktes das kausal f r die Rechtsgutsverletzung geworden ist abnimmt Dem Gesch digten obliegt aber nach wie vor die Darlegungs und Beweislast daf r dass das Produkt fehlerhaft war und genau dieser Fehler f r die Rechtsgutsverletzung verantwortlich war Kausalit t Damit treten aber genau dieselben Probleme wie im Bereich der verschuldensabh ngi gen Produkthaftung auf insbesondere hinsichtlich des Kausalit tsnachweises Hinzu weisen ist in diesem Rahmen auf die f r das sterreichische Recht vertretene Auffas sung dass der Hersteller nur darlegen muss dass das Produkt zur Zeit zu der es in Ver kehr gebracht worden war wahrscheinlich noch nicht den schadenskausalen Fehler hat 442 te Dieser erleichterte Beweis soll grunds tzlich mit den getroffenen Feststellungen erbracht sein dass das Produkt dem Stand der Technik entspricht und etwa das techni 443 sche Pr fzeichen einer f r die Pr fung anerkannten Anstalt aufweist Dies soll auch 437 438 439 440 441 442 443 Koch Versicherbarkeit von IT Risiken Rn 611 Marly Software berlassun
568. te zum Abruf bereith lt Der Host Provider stellt also seinen Kunden nur Spei cherplatz bzw eine Plattform zur Verf gung den diese mit eigenen Inhalten f llen k nnen Access Provider ist derjenige der technisch den Zugang zum Netz bzw die Einwahl ins Internet erm glicht I Sicherungspflichten der IT Intermedi re f r ihre eigenen Systeme 659 Grunds tzlich ist der IT Intermedi r ein kommerzieller Nutzer von Informationstechnik Ankn pfungspunkt f r Sicherungspflichten ist auch hier die Beherrschung seiner eige nen Systeme als Gefahrenquelle allerdings auch kombiniert mit Schutzpflichten da er in aller Regel direkten Zugriff auf alle Daten hat aber auch der einzige ist der die Da ten Dritter seiner Vertragspartner etc sch tzen kann 660 Anders als bei den Verantwortlichkeitsprivilegierungen nach 7 ff TMG deren Rechtsgrund die Unm glichkeit einer Kontrolle durch die schiere Datenmenge und ent 218 Sessinghaus WRP 2005 697 1219 Stadler Haftung f r Informationen im Internet Rn 10 Sessinghaus WRP 2005 697 122 Stadler Haftung f r Informationen im Internet Rn 11 Prof Dr Gerald Spindler 212 gegenstehende Rechte bildet kann dieser Gedanke f r die Sicherungen des eigenen Systems nicht verfangen wie 7 Abs 1 TMG schon f r eigene Informationen klar stellt Die Haftungsmodifizierungen der 8 10 TMG finden hier nur eingeschr nkt Anwendung da sie nur die Haftung
569. tection Systemen und Malware Entfernungsprogrammen automa tisiert erfolgen Andere Pflege erfordert durchaus auch personellen Aufwand Im Rah men der Abw gung der betroffenen G ter unter Einbeziehung des hohen Eigeninteres ses ist jedoch auch dieser angemessen 4 Der Einfluss des Datenschutzrechts auf die Pflichten von IT Nutzern Datensicherheit und Datenschutz a BDSG 1 Hintergrund Aus ffentlich rechtlicher Sicht enth lt vor allem das Datenschutzrecht allgemeine Vor gaben f r kommerzielle IT Nutzer Denn die Sicherheit von IT Systemen bedingt im mer auch die Sicherheit der in diesen Systemen kursierenden Daten Regelm ig werden die in einem System verarbeiteten Daten in irgendeiner Form personenbezogen 1 S d 3 Abs 1 BDSG sein Zwar bezieht sich der Datenschutz prim r auf den Schutz des durch die Daten Betroffenen in seinen pers nlichen Belangen wohingegen der Begriff der Datensicherung die Sicherheit der Daten an sich betrifft Allerdings sind einerseits die Bem hungen um Datensicherheit weitgehend mit denen um Daten schutz deckungsgleich andererseits betrifft das von der Datensicherheit erfasste Ge f hrdungspotential in der Folge immer auch den pers nlichkeitsorientierten Bereich des Datenschutzes Sofern sich also datenschutzrechtlich Pflichten zum Schutz der Daten ergeben umfassen diese regelm ig auch Pflichten zum Schutz der IT Systeme 2 Kommerzieller IT Nutzer als Adressat Bezogen auf ko
570. ten als Schutzgesetze gem 823 Abs 2 BGB qualifiziert werden so dass sie deliktsrechtlich flankiert werden zum anderen k nnen aber auch ffentlich rechtliche Normen und erteilte Zertifizierungen unter Umst nden eine Einschr nkung der deliktischen Haftung herbeif hren sei es materiell rechtlich sei es verfahrensrechtlich ber bestimmte prozessuale Wirkungen Umgekehrt k nnen de liktische Produkthaftungspflichten die Bestimmung ffentlich rechtlicher Pflichten be einflussen Beide Bereiche sind daher von zentraler Bedeutung f r die Pflichten und die Risiken von IT Herstellern beide Bereiche k nnen in rechtspolitischer Hinsicht gestaltend die Verteilung der Risiken aus IT Produkten beeinflussen II _ Vertragliche M ngelhaftung Je nach gew hltem Vertriebsweg kommen bei fehlerhaften IT Produkten auch vertragli che Anspr che gegen den Hersteller in Betracht Hardwareprodukte werden auch im Prof Dr Gerald Spindler 44 99 100 Internet regelm ig nicht vom Hersteller selbst sondern von selbst ndigen Vertriebsge sellschaften angeboten so dass idR kein Vertrag mit dem Hersteller zustande kommt Insbesondere im Unternehmensbereich B2B Gesch ft bei Software steht die vertrag liche Haftung des IT Herstellers klar im Vordergrund 162 da hier h ufig direkte Vertr ge mit den Softwareherstellern geschlossen werden Oftmals handelt es sich auch um dau erhafte oder zumindest langfristige Vertragsverh ltnis
571. ten hat d h ob er vors tzlich oder fahrl ssig gehandelt hat Die Zul ssigkeit der Freizeichnung unterliegt der Inhaltskontrolle der 307 ff BGB Nach dem Wortlaut des 309 Nr 7b BGB ist eine Haftungsfreizeichnung f r sonstige Sch den bei leicht fahrl ssiger Pflichtverletzung zul ssig Ob dies aber auch f r eine Freizeichnung bez glich mangelbezogenen Folgesch den gilt ist h chst umstritten kann hier aber nicht weiter vertieft werden Pauschale Aussagen verbieten sich hier letztlich wird auf die Frage der Vorhersehbarkeit eines konkreten Schadens abgestellt werden m ssen Klauseln die die Haftung f r Mangelfolgesch den bei leichter Fahrl ssigkeit auf vorhersehbare Sch den beschr nken d rften daher eher nicht zu beanstanden sein 12 ebenso wenig auch Klauseln die versuchen f r Folgesch den eine Haftungsobergrenze einzuf hren Unmittelbare vertragliche Beziehungen mit dem IT Hersteller werden auch beim Bezug von kommerziell hergestellter Software ber das Internet in der Regel bestehen Ein praktisch wichtiges Beispiel sind automatische Updates f r Betriebssysteme und Anti Virus Programme welche oftmals schon im Lieferumfang handels blicher Computer enthalten sind und deren Abonnement sp ter auf der Hersteller Homepage verl ngert werden kann Auch in sonstigen F llen in denen der Hersteller Software direkt auf sei ner Homepage zum Download bereitstellt bestehen unmittelbare vertragliche Anspr
572. ten hinsichtlich der erforderli chen Abwehr von Viren wie sie f r die Produkthaftung entwickelt wurden Rn 150 ff und Angriffen aus dem Netz aber auch hinsichtlich anderer technischer 1238 1239 1240 1241 tum bei dem der deliktische Eigentumsschutz des 823 Abs 1 BGB eingreifen muss Wuermeling CR 1994 585 590 Hoeren PHI 1989 138 141 Meier Wehlau NIW 1998 1585 1587 offen ge lassen Koch BB 1996 2049 2057 offen Schneider G nther CR 1997 389 392 f abl LG Konstanz CR 1997 84 ebenso Ertl CR 1998 179 182 BGH NJW 1996 2924 2926 Optikprogramm Vgl zur Abgrenzung der Anwendungsbereiche von TKG und TDG bei Access Providern Spind ler Schmitz Geis Spindler 2 TDG Rn 26 Dazu aus schweizerischer Sicht Briner in Hilty Information Highway S 489 511 Schmitz v Netzer in Schuster Vertragshandbuch Telemedia Kap 12 Rz 21 f zur ckhaltender wohl Komarnicki in Hoeren Sieber 12 Rz 72 in der Regel nur gegen zus tzliche Verg tung Prof Dr Gerald Spindler 278 675 676 677 1242 1243 Sicherungspflichten hier entsprechend herangezogen werden Geht allerdings die Ge fahr von einer Information Datei aus die ein Dritter auf den Rechnern des Host Providers gespeichert hat greift grunds tzlich die Haftungsprivilegierung nach 10 TMG ein demgem muss grunds tzlich zwischen von au en kommenden Angriffen Hacking und vom Provider zugelasse
573. ten sind als auch Dritten die Nutzung von Informationstechnik als Host Content bzw Access Provider erm glichen 92 Die Auswahl einer dieser Gruppen als Adressat von Sicherheitspflichten hat prinzipiell nach deren Verantwortungsbereichen zu erfolgen die sich wiederum in Anwendung des aus der konomischen Analyse des Rechts entstammenden Kriteriums des cheapest cost avoider danach bestimmen l sst wer ber die besten Gefahrabwendungsm g lichkeiten sowie Kenntnisse ber m gliche Gefahren verf gt 93 _Demgem kann vergr bert von einer Skala gesprochen werden an deren einem Ende die IT Hersteller als diejenigen stehen die am intensivsten Schutzpflichten unterliegen am anderen Ende die IT Anwender die je nach Professionalit t am wenigsten in der Lage sind IT Risiken zu beherrschen Allerdings ist auch hier danach zu differenzieren ob es sich um professionelle IT Anwender handelt insbesondere Unternehmen die ber entsprechende Ressourcen zum Selbstschutz verf gen k nnten In der Mitte der Skala sind diejenigen Unternehmen platziert die selbst IT Produkte professionell einsetzen ihrerseits aber wiederum IT Dienstleistungen erbringen IT Intermedi re insbesondere die Gruppe der Access und Host Provider Sie sind zwar prim r Dienstleister doch n dert dies nichts daran dass sie im Grundsatz hnlichen Pflichten wie die IT Hersteller f r ihre Produkte unterliegen C Verantwortlichkeit der IT Hersteller
574. ten verbreitet sein Dem Online Banking liegt im Verh ltnis des Kunden zur Bank ein neben dem eigentli chen Girovertrag und den Allgemeinen Bankenbedingungen bestehender Online Bankingvertrag zugrunde welcher durch die Online Bedingungen bzw Homeban king Bedingungen der Banken n her ausgestaltet wird Hierbei handelt es sich im Grundsatz um einen Gesch ftsbesorgungsvertrag nach 675 BGB Weist der Kunde die Bank beispielsweise an einen bestimmten Betrag von seinem Konto auf ein anderes Konto zu berweisen liegt der einzelnen Transaktion ein berweisungsvertrag 676a ff BGB zugrunde Ein solcher wird bei einer Online berweisung mittels elektronischer Willenserkl rung des Kunden durch Eingabe von PIN und TAN und konkludenter Annahme durch die Bank 362 HGB geschlossen Die Bank erwirbt aufgrund der berweisung einen Aufwendungsersatzanspruch 670 675 BGB in H he des berweisungsbetrages und belastet das Konto des berweisenden Kunden 2 Vorschlag der EU Kommission f r eine Zahlungs diensterichtlinie SEPA Die k nftige Rechtslage im Bereich des Online Banking wird ma geblich durch den europ ischen Gesetzgeber mitbestimmt werden Nachdem die EU Kommission bereits 1997 in der rechtlich nicht verbindlichen Empfehlung vom 30 Juli 1997 zu den Gesch ften die mit elektronischen Zahlungsinstrumenten get tigt werden eine ge wisse Hilfestellung bei der Ausformung der Rechte un
575. tert an dass sich ein Virus mit Namen Backdoor Explorer 32 Trojan auf dem Rechner des Tele 1144 fonkunden befunden hatte Beim Phishing soll man zumindest den Anscheinsbeweis f r die Urheberschaft durch eine noch vorhandene Phishing E Mail ersch ttern k n 45 In der Literatur wird dar ber hinaus zum Teil die Ansicht vertreten die ernst nen hafte M glichkeit eines atypischen Geschehensablaufs k nne bereits mit Hilfe von Me dienberichten und einschl giger Fachliteratur ber Pharming Angriffe bewiesen wer N Bejaht man jedoch den Erfahrungssatz gen gen allein abstrakte Berichte ber den m gliche Bedrohungen ohne Bezug zum konkreten Einzelfall nicht um den Anscheins beweis zu entkr ften Gerade beim Pharming werden aber oftmals greifbare Anhalts punkte f r eine Manipulation durch Dritte fehlen da diese Angriffe nachtr glich kaum d Ebenso kann dem Kunden entgegen gehalten werden er habe die feststellbar sin Installation eines Schadprogramms oder l ckenhafter Software nachtr glich in manipu latorischer Absicht bewirkt was diesen zum Vollbeweis des atypischen Geschehensab laufs zwingt Zu strenge Anforderungen an die Ersch tterung des Anscheinsbeweises und tats chliche Nachweisprobleme k nnen im Ergebnis einer Beweislastumkehr oder gar einer in AGB unzul ssigen verschuldensunabh ngigen Haftung des Bankkunden gleichkommen Bei PIN TAN Verfahren mit Medienbruch wird man dagegen in Anlehnu
576. tes zu stopfen Dies umfasst auch die durch den Einsatz von ungesicher ten Laptops drohende Gefahr f r Netzwerke hier sind Netzwerkbetreiber gehalten ent sprechende Vorkehrungen gegen den Anschluss nicht gesicherter Notebooks zu treffen sei es durch Kontrollen oder Sicherung solcher Ger te oder des Netzwerks d Schadensminderung 326 IT Sicherheitsl cken und dadurch bedingte Angriffe durch Hacker mit der Folge von Datenverlusten werfen die Frage auf zu welchen Schadensminderungsma nahmen der Nutzer verpflichtet ist Dies l sst sich pauschal kaum beantworten h ngt es doch wiederum vom Gefahrenpotential dessen Wahrscheinlichkeit und dem Rang der betroffenen Rechtsg ter ab ob etwa der Nutzer z B ein Krankenhaus gehalten ist Reservesysteme vorzuhalten Oftmals entsteht aber auch bei diesen Systemen das Problem dass sie dieselben Programme verwenden m ssen so dass auch hier die IT Sicherheitsl cke fortbesteht In der Regel wird der Hersteller daher nicht den Nutzer auf den Einsatz von Reservesystemen bei IT Sicherheitsproblemen verweisen k nnen F r Daten ist indes inzwischen anerkannt dass eine regelm ige Datensicherung der gebotenen Pflicht zur Schadensminderung entspricht bei deren Verletzung ein Schadensersatzanspruch vollst ndig entfallen kann 4 Beweisfragen 327 Nach allgemeinen Grunds tzen tr gt der Gesch digte die Darlegungs und Beweislast f r die haftungsbegr ndenden Voraussetzungen
577. tet so dass sie in der Lage sind m glichst alle Datenpakete in einem Netzwerk zu analysieren verd chtige Aktivit ten zu melden und ggf Gegenma nahmen einzulei ten Als Ma nahme gegen einen Wurmangriff kann ein netzwerkbasiertes IPS in der Lage sein die erh hte Netzwerkaktivit t zu erkennen und die Firewall Regeln so anzu passen dass der Angriff gestoppt werden kann Einsch tzung des Gef hrdungspotentials Die Gefahr die von W rmern ausgeht ist signifikant h her als die von Viren Durch die selbstst ndige Weiterverbreitung nach einer Infektion und die Nutzung der Netzwerkinfrastruktur sind W rmer in der Lage in k rzester Zeit einen enormen wirtschaftlichen Schaden anzurichten 3 Trojaner Als Trojanische Pferde kurz auch Trojaner genannt werden Programme bezeichnet die als n tzliche Anwendung getarnt sind aber zus tzliche Funktionen beinhalten die 118 ohne Wissen und Zutun des Anwenders ausgef hrt werden Das Ziel besteht darin heimlich Aktionen auf dem System auszuf hren so dass diese vom Anwender nicht bemerkt werden Trojaner verbreiten sich hnlich wie Viren meist mit Hilfe des An hacker s guide S 290 ff Chari in Bidgoli Encyclopedia of Informationsystems Volume 2 2002 S 327 Peikari Chuvakin Kenne Deinen Feind S 462 f Funktionsweise Probleme und Beispiele bei Zhang Lee Huang Intrusion Detection Techniques for Mo bile Wireless Networks abrufbar unter http citeseer
578. tfehler entstanden oder unentdeckt sein kann nicht aus Ebenso wenig darf sich derjenige der Verkehrspflichten im Wege vertraglicher Arbeitsteilung delegiert allein auf die Zertifizierung des bernehmers 388 verlassen Anwendung auf IT Hersteller Ausgehend von den oben dargestellten Grunds tzen wird man auch Zertifikaten f r IT Produkte im zivilen Haftungsrecht nur eine eingeschr nkte beweisrechtliche Bedeu tung beimessen k nnen zur Bedeutung im ffentlichen Produktsicherheitsrecht siehe unten Rn 253 ff Insbesondere kann ein Zertifikat den konstruktionsverantwortlichen Hersteller regelm ig nicht entlasten Bei der Herstellung von Hardwarekomponenten in horizontaler Arbeitsteilung k nnen die oben genannten Grunds tze Rn 184 zum Tragen kommen Gleiches gilt f r Software die allerdings kaum typische Fabrikati onsfehler aufweisen wird da sie 1 1 vom Original kopiert wird daher allenfalls Kopier fehler etc eine Rolle spielen k nnen Der Zertifizierung anhand anerkannter technischer Normen welche die anerkannten Regeln der Technik wiedergeben wird im Einzelfall indizielle Bedeutung f r den 383 384 385 386 387 388 389 BGH NJW RR 1990 406 f Kullmann NJW 1991 675 678 Anders wohl Kassebohm Malorny BB 1994 1361 1365 Zutr Wagner Janzen BFuP 1994 573 596 Kassebohm Malorny ZfB 1994 693 701 704 BGH NJW 1968 247 ff Bayer Auswirkungen eines zertifizierten Qualit
579. tlich dass der durchschnitt liche Nutzer aus der blo en Konfrontation mit einem solchen Standard ohne weiterge hende Informationen bzgl Inhalt und Verl sslichkeit der Sicherheitspr fung h u fig keinerlei R ckschl sse ziehen kann Der Einsatz eines Produktzertifikats im Be reich der IT Produkte kann also in der Regel die Sicherheitserwartungen der entspre chenden Kreise nicht steigern Die Normenreihe DIN EN ISO 9000 ff stellt auch im IT Bereich ein branchen bergrei fendes Qualit tssicherungsmodell dar dessen Anwendung auf die Softwareentwicklung in DIN EN ISO 9000 3 vermittelt wird Sowohl auf Seiten des Softwareherstellers als auch auf Seiten des eink ufers ist die Regelung zur unabh ngigen berpr fung der Qualit tssicherungsma nahmen auf gro e Resonanz gesto en Dennoch sind diese Normen f r die Sicherheitserwartung der K ufer und somit f r die Haftung nach 823 Abs 1 BGB insofern nur von begrenzter Bedeutung als dass sie praktisch nur bei Soft warek ufen zwischen Unternehmen und im Wesentlichen auch nur bei Individualsoft ware herangezogen werden Nur in diesem abgesteckten Rahmen kann die Einhal tung der Sicherheitsnormen auch die Verkehrserwartung beeinflussen Zus tzlich stellen die Normen nur Anforderungen an das Software Produktionsverfahren Da Softwareprodukte aufgrund ihrer Komplexit t praktisch nicht fehlerfrei zu konstruieren sind zielt das effektive Qualit tsmanagement darauf ab die
580. tlichung der Endfas sung der MaRisk abrufbar unter http www bafin de schreiben 89_2005 051220 htm zuletzt abgerufen am 06 06 2007 Angerm ller Eichhorn Ramke Kreditwesen 2004 833 Zimmermann BKR 2005 208 209 Grabau Schlee Kreditwesen 2005 392 Zu den Anforderungen der S ule I s Boos Fischer Schulte Mattler Schulte Mattler KWG Basel I Rn 159 ff Zur Gliederung der MaRisk n her Schwirten Zattler Die Bank 2005 52 52 f Angerm l ler Eichhorn Ramke Kreditwesen 2005 396 Grabau Schlee Kreditwesen 2005 392 Angerm ller Eichhorn Ramke Kreditwesen 2005 396 zust Grabau Schlee Kreditwesen 2005 392 vgl auch Schwirten Zattler Die Bank 2005 52 ausdr cklich Pfingsten Maifarth Rieso Die Bank 2005 34 diese Bausteine werden in die MaRisk bewusst und explizit aufgenommen S auch das Anschreiben der BaFin an die Verb nde zum ersten Entwurf vom 02 02 2005 in dem es hei t dass der integrierte Ansatz die gro e Chance zur Entwicklung eines konsistenten und umfassenden Gesamtwerks auf der Ba sis des 25a Abs 1 KWG er ffnet abrufbar unter http www bafin de marisk 050202 htm zuletzt ab gerufen am 06 06 2007 bzgl der Implementierung der Mindestanforderungen an das Betreiben von Handelsgesch ften MaH aus dem Jahr 1995 s auch das Anschreiben der BaFin an die Verb nde vom 22 09 2005 abrufbar unter http www bafin de marisk marisk2_anschreiben htm zuletzt abgerufen am Prof Dr Gerald Spindler
581. tserwartungen nicht entgegen Ist f r den Hersteller trotz Einhaltung der techni schen Regeln und Wahrung etwaiger beh rdlicher Zulassungsvoraussetzungen eine von seinem Erzeugnis ausgehende Gefahr erkennbar so hat er die dar ber in Unkenntnis be findlichen Benutzer zumindest zu warnen Auch Zertifizierungen und Pr fungen ber hren hinsichtlich der materiell rechtlichen Pflichten grunds tzlich nicht die zivilrechtliche Haftung des Herstellers Sie k nnen nur die Risiken und damit die Wahrscheinlichkeit eines Schadens mindern nicht aber wei tergehende Sicherheitserwartungen des Verkehrs beschr nken Sie k nnen jedoch auf der Ebene der Entlastung f r bestimmte Pflichten eine Rolle spielen Andere in den Fer tigungsprozess eingeschaltete Unternehmer wie z B ein Auftragsfertiger die hinsicht lich Konstruktionsgefahren geringeren Sorgfaltspflichten als der eigentliche Hersteller unterliegen k nnen sich jedoch im Einzelfall damit entlasten dass das Produkt durch den T V oder einen anderen Sachverst ndigen berpr ft wurde Auf diese Auswir kungen von Zertifizierungen ist sp ter noch zur ckzukommen Die Anforderungen an die Verkehrspflicht stehen in einem engen Verh ltnis zu den dem Dritten abzuverlangenden Bem hungen an vern nftigem Eigenschutz Nicht ge gen jedes Risiko kann Schutz verlangt werden wenn der Dritte einfacher und mit gerin gerem Aufwand eine Sch digung als der Pflichtige vermeiden kann Alle
582. tsg ter einzugreifen dass eine Sch digung meist nicht verm gensrelevant einzuordnen bzw aufzuwiegen ist und die Daten bereits deshalb eines maximalen Schutzes bed rfen Dar ber hinaus k n nen vermehrte Verst e zu einer Ersch tterung des Vertrauens des Rechtsverkehrs in diese spezifischen Berufe f hren was insgesamt zu Marktst rungen f hren Kann Aus Prof Dr Gerald Spindler 252 598 599 600 1154 1155 diesem Grunde sind allgemein das Rechtsverh ltnis zwischen Klienten und Berufstr ger 152 sowie spezifisch die hierbei offenbarten Informationen einem auch strafrechtlich abgesicherten strengen Schutzregime unterworfen 3 Rechtsanw lte Ein solches Vertrauensverh ltnis besteht insbesondere f r Rechtsanw lte in ihrer Bezie hung zu Mandanten Dementsprechend sind f r Daten die einem Anwalt anvertraut sind neben den Vorschriften des BDSG und des StGB die Bundesrechtsanwaltsordnung BRAO und die Berufsordnung f r Rechtsanw lte BORA zu beachten a 43a Abs 2 BRAO Verschwiegenheitspflicht Nach 43a Abs 2 BRAO ist der Anwalt zur Verschwiegenheit verpflichtet wobei sich diese Pflicht auf alles bezieht was ihm in Aus bung seines Berufs bekannt geworden ist Verletzt der Anwalt vors tzlich seine Pflicht aus 43a Abs 2 BRAO so ist regel m ig auch 203 Abs 1 Nr 3 StGB verwirklicht In diesem Rahmen ist etwa fraglich ob ein Anwalt verpflichtet ist elektronische Info
583. tsicherheitsrecht 271 272 273 274 275 276 In der Tendenz auch BGHZ 99 167 174 NJW 1987 1009 Zusammenfassend M nchKommBGB Wagner 823 BGB Rn 603 ff Staudinger J Hager 823 Rz F 20 f Bamberger Roth Spindler 823 BGB Rn 516 ff Pieper BB 1991 985 v Bar 25 Jahre Karlsru her Forum S 80 ff Hager VersR 1984 799 ff Herrmann BB 1985 1801 ff Schwenzer JZ 1987 1059 ff Sack BB 1985 1801 ff Zu Recht abl Foerste in v Westphalen ProdHaftHdb 24 Rn 260 ff 266 274 280 mwN Bartsch Der Jahr 2000 Fehler S 157 Imhof Wahl WpK Mitt 1998 136 139 weisen zutreffend darauf hin dass eine Deinstallation der Software im Sinne eines physischen R ckrufs wenig Sinn machen w rde Vgl OLG Frankfurt NJW RR 2000 1268 1272 OLG M nchen NJW RR 1999 1657 Rev n angen BGH 27 5 1999 III ZR 103 98 BGH NJW 1990 2560 Foerste DB 1999 2199 2199 f Schwengzer JZ 1987 1059 1061 Kullmann Pfister Kullmann Kza 1520 S 62 f M nchKommBGB Wagner 823 BGB Rn 605 v Bar in Produktverantwortung und Risikoakzeptanz S 29 40 f Vgl 5INr 1 c GPSG 4 II ProdSG aF ffentlich rechtliche Produktbeobachtungspflicht des Her Prof Dr Gerald Spindler 64 140 Unklar ist auch ob mit der R ckrufpflicht auch eine Pflicht zur kostenlosen Beseiti 141 277 278 279 280 281 282 283 gung der Gefahr einhergeht und welche Kosten ersetzt v
584. tspflege gelten da sie keine Stelle des Bundes oder der L nder sind 2 Verh ltnis des BDSG zur BRAO Da sowohl das BDSG als auch die BRAO Pflichten zum Datenschutz bzw Verschwie genheit regeln liegt es auf der Hand dass das Verh ltnis zwischen beiden Regelungen Probleme bereitet In Rede stehen sowohl die Verdr ngung des BDSG durch die BRAO als lex specialis als auch die Subsidiarit t des BDSG 1 Abs 3 BDSG die aller Dazu n her Dornseif Schumann Klein DuD 2002 1 zur strafrechtlichen Beurteilung Ernst CR 2003 898 H rting NIW 2005 1248 1249 H rting MDR 2001 61 62 v Lewinski BRAK Mitt 2004 12 16 aA Eylmann in Henssler Pr tting BRAO 2 Aufl 2004 43a BRAO Rn 64 Eylmann in Henssler Pr tting 43a BRAO Rn 28 ff Feuerich Weyland 43a BRAO Rn 12 ff Hartung in Hartung Holl 43a BRAO Rn 25 ff und 2 BORA Rn 1 ff Zuck in Abel Datenschutz in Anwaltschaft Notariat und Justiz 2 Rn 27 vgl Wedde in Ro nagel Handbuch Datenschutzrecht Kap 4 3 Rn 34 Gola Schomerus 2 BDSG Rn 12 S dazu Stellungnahme der Bundesrechtsanwaltskammer BRAK zu der Frage der Bestellung eines Be auftragten f r Datenschutz in Rechtsanwaltskanzleien abrufbar unter Prof Dr Gerald Spindler 254 1163 1164 1165 1166 1167 dings nur dann greifen w rde wenn die BRAO besondere Regelungen bereith lt Dieser grunds tzliche Streit kann hier nur ansatzweise ge
585. ttels Informationstechnik abgewickelt werden andererseits Fehler oder Systemausf lle schnell zu hohen Schadenssummen und schwerwiegenden Folgen f r die gesamte Volkswirtschaft f hren k nnen Daher ist es nicht verwunderlich dass gerade f r diesen Sektor spezielle Regelungen existieren insbesondere im Hinblick auf ein Risikomanagement Der Finanzsektor kann in drei Sektoren untergliedert werden den Bankenbereich KWG Rn 435 ff den Wertpapierhandel WpHG Rn 453 ff sowie schlie lich den Versicherungsbereich wobei die ersten beiden Sektoren einer ge naueren Untersuchung unterzogen werden sollen 36 S cker Klesczewski 109 TKG Rn 1 Scheurle Mayen Zerres 87 TKG aF Rn 1 Beck scher TKG Kommentar Ehmer 87 TKG aF Rn 1 87 S cker Klesczewski 109 TKG Rn 6 Prof Dr Gerald Spindler 182 435 436 437 2 Anforderungen nach dem KWG a Hintergrund F r den Bereich der Bankenaufsicht regelt 25a KWG als Teil der qualitativen Ban kenaufsicht spezielle Organisationspflichten f r die beaufsichtigten Kredit und Finanz dienstleitungsinstitute Eine ordnungsgem e Organisation umfasst gem 25a Abs 1 Satz 3 Nr 4 KWG ausdr cklich auch angemessene Sicherheitsvorkehrungen f r den Einsatz der elektronischen Datenverarbeitung Zweck des KWG ist es durch vorbeugende berwachung allgemein das Entstehen von Sch den im Kreditwesen zu verhindern Aufgabe der zust ndigen Bundesanstalt f r Fin
586. ttierte System eine Gefahrenquelle dar die nur der Nutzer beherrschen kann Es ist somit zu kl ren ob dem Nutzer die Verkehrspflicht obliegt solche Angriffe abzuwehren indem er wichtige Systemupdates und Programmupdates beschafft und installiert W hrend das Wissen ber Viren relativ verbreitet ist ist das Bewusstsein dass auch ein gegen Viren gesch tztes System durchaus verwundbar ist beim durchschnittlichen privaten Nutzer noch kaum vorhanden Anderes wird man aber dann annehmen m ssen wenn ein auf dem System laufender Dienst an Updates erinnert bzw diese sogar automatisch oder halb automatisch herunterl dt und installiert In diesem konkreten Fall kann von einer Bekanntheit und ebenso der technischen Zumut barkeit ausgegangen werden Aus Nutzersicht ist es zum Teil jedoch gar nicht erw nscht dass jedes Programm das er installiert hat nach Updates fragt da dadurch grunds tzlich auch die Gefahr besteht dass Daten ber das Nutzerverhalten oder hnliches bertragen werden Man k nnte dann zwar eine Pflicht des Nutzers annehmen sich selbst ber vorhandene Updates zu informieren Dies Kann jedoch bei der Vielzahl der Programme nicht geleistet werden zumal er h ufig gar nicht wei dass eine Firewall oder ein hnliches Programm den In ternetzugriff des Programms unterdr ckt Die wirtschaftliche Zumutbarkeit ist besonders bei gr eren Updates schwierig zu be antworten da diese ber langsame Internetanbindun
587. u 9 BDSG als Orientierungshilfe dienen e Ergebnis Bamberger Roth Gr neberg Sutschet 241 BGB Rn 44 Abel in Ro nagel Handbuch Datenschutzrecht Kap 7 11 Rn 28 Horns in Abel Datenschutz in Anwaltschaft Notariat und Justiz 14 Rn 73 Die Pflicht zur Aufbewahrung der Handakten ergibt sich aus 50 Abs 2 S 1 BRAO Besteht diese Pflicht so muss die Aufbewahrung nat rlicherweise bei Mandatsende genauso ausgestaltet sein wie bei Fortf hrung des Mandats Abel in Ro nagel Handbuch Datenschutzrecht Kap 7 11 Rn 28 Prof Dr Gerald Spindler 257 610 6ll 612 613 614 1176 1177 1178 1179 1180 Der Anwalt ist verpflichtet diejenigen Pflichten zu ergreifen die auch einem kommer ziellen Nutzer obliegen w rden Durch das besondere Vertrauensverh ltnis zwischen ihm und seinen Klienten besteht diesbez glich auch eine besondere vertragliche Pflicht die auch deliktsrechtlich untermauert wird 4 Steuerberater Das Verh ltnis zwischen dem Steuerberater und seinem Klienten ist durch ein hnliches Vertrauensverh ltnis gekennzeichnet Es ist deshalb f r den Steuerberater anerkannt dass das Vertrauensverh ltnis mit dem zwischen Anwalt und Mandant vergleichbar 1176 ist Der Steuerberater nimmt ebenfalls eine unabh ngige Organstellung ein die Steuerberatung ist nur ein Teil der Rechtsberatung F r Steuerberater enth lt 9 der Berufsordnung der Steuerberater BOStB
588. u dieser Problematik aktuell drei Str mungen her auskristallisieren Ein Teil der Literatur verneint die Sachqualit t von Software so dass 651 BGB schon vom Wortlaut nicht greife und Werkvertragsrecht unproblematisch bei individuell hergestellter Software Anwendung finde Andere bejahen weiterhin die Sachqualit t von Software Diese Auffassung untergliedert sich weiter in den Teil der konsequent 651 BGB auf individuell hergestellte bzw angepasste Software an ff Marly Software berlassungsvertr ge Rn 55 ff 63 Spindler Kl hn CR 2003 85 Mankowski MDR 2003 857 M nchKommBGB ZLorenz 478 Rn 10 Staudinger ZGS 2002 64 So die st ndige Rechtsprechung BGH GRUR 1985 1055 1056 1988 406 408 NJW 1990 320 321 NJW 1993 2436 2437 NJW 2000 1415 ff CR 2007 75 76 zustimmend in der Literatur Marly Software berlassungsvertr ge Rn 96 ff insb Rn 110 Palandt Heinrichs 90 BGB Rn 2 M nchKommBGB Holch 90 Rn 27 Schneider Handbuch des EDV Rechts D Rn 96 Erman Michalski 90 BGB Rn 3 BT Drucks 14 6040 S 242 Stichtenoth K amp R 2003 106 f Junker NIW 2005 2831 Heussen CR 2004 7 Redeker CR 2004 88 f Diedrich CR 2002 475 Schneider in Schneider v Westphalen Software Erstellungsvertr ge B Rb 39 ff Prof Dr Gerald Spindler 48 104 105 184 185 186 187 188 189 190 191 wendet und so zum Kaufrecht gelangt und den Teil der 651 BGB mit
589. ual Spoofing f r den Kunden nachgebildet und als T uschung nicht erkenn bar Die Verwendung von Aktiven Inhalten stellt eine Pflichtverletzung auf Seiten der Bank dar Rn 515 Da der Bankkunde schon zur Nutzung des regul ren Online Banking Angebots Aktive Inhalte in seinem Browser freischalten musste kann darin seinerseits keine Pflichtverletzung gesehen werden 543 Davon zu trennen ist die Frage der Pflichtverletzung durch die blo e Antwort auf eine Phishing E Mail Bei entsprechender Aufkl rung des Kunden durch die Bank wird man hier eine Pflichtverletzung seitens des Kunden bejahen k nnen wenn keine besonderen Umst nde vorliegen auf Grund derer er auf eine E Mail seiner Bank vertrauen durfte Eine Pflichtverletzung scheidet regelm ig aus wenn die Bank selbst zum Kunden per E Mail in Kontakt getreten ist b Szenario 2 544 Der Angriff mittels DNS Spoofing richtet sich gegen den Server des Providers nicht gegen den PC des Bankkunden Der Kunde handelt unter keinem Gesichtspunkt sorg faltswidrig da der Angriff f r ihn nicht erkennbar noch verhinderbar ist Das Risiko f r den Kunden besteht hier darin ob es ihm berhaupt gelingt den von der hM bejahten Anscheinsbeweis f r seine Urheberschaft zu ersch ttern unten Rn 579 ff c Szenario 3 545 Beim Pharming i e S kommt eine Pflichtverletzung des Bankkunden zun chst unter dem Gesichtspunkt des ffnens des E Mail Anhangs in Betracht Hierbei wird man darauf ab
590. uch der Einkauf die Implementierung und die regelm ige Kontrolle von Software deren Risikopotentiale abgesch tzt und gesteuert werden m ssen Versagt die Software oder darf sie nicht eingesetzt werden k nnen einem Unternehmen aber auch anderen Ver wendern wie Beh rden erhebliche Sch den drohen die bis hin zur fast v lligen Lahm legung eines Unternehmens gehen k nnen Unter diesen Umst nden droht mithin eine Bestandsgef hrdung und der Vorstand hat die Risiken die sich aus dem IT Einsatz er geben in die Risikoabsch tzung zur Erkennung von Ver nderungen einflie en zu las sen Insbesondere der Ausfall von IT gest tzten Steuerungs oder Buchf hrungssyste men kann bereits innerhalb weniger Tage zu einem gr eren Schaden f r das Unter nehmen f hren licher Begr ndung Altmeppen ZIP 1995 881 886 f zusammenfassend Gross ZGR 1998 551 562 ff Zur Kritik an der Rechtsprechung bzgl des Vorliegens von Verkehrssicherungspflichten bei mittelbarer Verletzungshandlung M nchKommAktG Hefermehl Spindler 93 AktG Rn 188 M nchKommBGB Wagner 823 BGB Rn 394 mwN eingehend Spindler Unternehmensorganisationspflichten 2001 844 ff KG NZG 2004 1165 s auch VG Frankfurt M WM 2004 2157 M nchKommAktG Hefermehl Spindler 91 AktG Rn 28 mwN Spindler in Fleischer Handbuch des Vorstandsrechts 13 Rn 41 M nchKommAktG Hefermehl Spindler 91 AktG Rn 12 mwN Spindler in Fleischer Handbuch des V
591. uch dann in Betracht wenn eine Beeintr chtigung der bestimmungsgem en Verwendung erfolgt Bei der Annahme einer Eigentums verletzung ist indessen Vorsicht geboten da die Grenze zum nach 823 Abs 1 BGB nicht ersatzf higen prim ren Verm gensschaden nicht berschritten werden darf Die Rechtsprechung hat jedoch die erhebliche Beeintr chtigung der bestimmungsge m en Verwendung einer Sache als Eigentumsverletzung angesehen Ma gebliche Kriterien sind letztlich die Intensit t und der Zeitraum der Nutzungsbeeintr chti gung Insbesondere im unternehmerischen Bereich drohen durch Softwarefehler hohe Scha denssummen wenn der Ausfall des EDV Systems zu Betriebsst rungen und Produkti onsausf llen f hrt Ebenso kann bei privater Nutzung ein Softwaremangel die Verwen dung des Computers einschr nken wobei jedoch ungleich geringere Haftungsrisiken bestehen denkbar sind etwa Kosten zur Wiederherstellung der Betriebsbereitschaft bzw oftmals berhaupt kein ersatzf higer Schaden vorliegen wird Eine Eigentumsver letzung wird man beim Systemausfall nur in engen Grenzen annehmen k nnen da sich die Funktionsuntauglichkeit der Sache die mit der Software gesteuert wird in der Regel in einem tempor ren Vorgang ersch pft der die Sache Hardware nicht auf Dauer ihrer Gebrauchstauglichkeit enthebt sondern die mit einer neuen Software wieder einsatzbe Spindler in Hoeren Sieber Rn 364 Sodtalbers Softwa
592. uf die organisatorischen Anforderungen an Wertpa pierfirmen und die Bedingungen f r die Aus bung ihrer T tigkeit sowie in Bezug auf die Definition be stimmter Begriffe f r die Zwecke der genannten Richtlinie ABl EG Nr L 241 v 2 9 2006 26 Verord nung EG Nr 1287 2006 der Kommission v 10 8 2006 zur Durchf hrung der Richtlinie 2004 39 EG des Europ ischen Parlaments und des Rates betreffend die Aufzeichnungspflichten f r Wertpapierfirmen die Meldung von Gesch ften die Markttransparenz die Zulassung von Finanzinstrumenten zum Handel und bestimmter Begriffe im Sinne dieser Richtlinie ABl EG Nr L 241 v 2 9 2006 1 Spindler Kasten AG 2006 785 EuGH v 11 8 1995 Rs C 433 93 Kommission Deutschland Sig 1995 1 2303 Rz 18 ff v 30 5 1991 Rs C 361 88 Kommission Deutschland Sig 1991 1 2567 Rz 15 ff TA Luft Ruffert in Callies Ruffert 249 EGV Rz 51 EUV EGV Schroeder Art 249 EGV Rz 93 ff 95 Zu allen Aspekten ausf hrlich Spindler Kasten AG 2006 785 ff Prof Dr Gerald Spindler 195 459 460 461 462 463 Der Referentenentwurf zur Umsetzung der MiFID vom 27 9 2006 920 sieht hinsichtlich der Ausf hrung von Wertpapiergesch ften nderungen unter anderem am KWG und am WpHG vor wobei hier nur die neuen Organisationsanforderungen von Interesse sind Da die Anforderungen in 33 WpHG und 25a KWG zum Teil aber schon einen h heren Konkretisierungsgrad besitzen als die Vorgaben der
593. ukts mit den Anforderungen des GPSG sowie anderer Rechtsvorschriften hinsicht lich der Gew hrleistung von Sicherheit und Gesundheit durch eine Baumusterpr fung sowie der Nachweis dass die Voraussetzungen eingehalten werden die bei der Herstel lung der technischen Arbeitsmittel und verwendungsfertigen Gebrauchsgegenst nde zu beachten sind um ihre bereinstimmung mit dem gepr ften Baumuster zu gew hrleis ten 7 Abs 1 GPSG In regelm igen Abst nden f hrt die Zertifizierungsstelle zu dem Fertigungskontrollen durch wobei berpr ft wird ob das Produkt noch dem ge pr ften Baumuster entspricht 7 Abs 2 GPSG 4 Anordnungsbefugnisse der Markt berwachungsbe h rden a Verwaltungsrechtliche Befugnisse Die nach Landesrecht zust ndigen Markt berwachungsbeh rden s 8 Abs 1 Satz 1 GPSG haben das Inverkehrbringen von Produkten sowie in Verkehr gebrachte Produk te aufgrund eines berwachungskonzeptes zu berwachen 8 Abs 2 GPSG Hat die Beh rde den begr ndeten Verdacht dass ein Produkt nicht den Anforderungen nach 4 GPSG entspricht ist sie gehalten die erforderlichen Ma nahmen zu treffen 8 Abs 4 GPSG Die Beh rde kann nach GPSG insbesondere Ma nahmen anzuordnen die gew hrleisten dass ein Produkt erst in den Verkehr gebracht wird wenn es den Anforderungen nach 4 Abs 1 und 2 entspricht anzuordnen dass ein Produkt von einer zugelassenen Stelle oder einer in gleicher Weise geeigneten
594. ulation einbeziehen Er wird die Handlung damit h ufiger ausf hren als dies f r die Gesamtge sellschaft optimal w re Die Internalisierung der externen Effekte erf llt auch dann keine Steuerfunktion wenn der Schaden nicht vorhersehbar ist was f r IT Sch den eines der zentralen Prob leme darstellt Denn mit einem solchen Schaden kalkuliert der Akteur nicht Ein hnlich gelagertes Problem besteht dann wenn der Akteur spontane Entscheidungen treffen muss die Steuerfunktion ist gr er wenn der Akteur die M glichkeit hat die Situation planend zu berdenken Durch Versicherungen wird das Interesse des Akteurs von dem der Allgemeinheit entkoppelt denn durch Einschaltung der Versicherung tr gt der Akteur nicht direkt den Schaden die Steuerungswirkung ist entsprechend weiter ein geschr nkt d Mehrpersonenkonstellationen 75 76 77 78 79 Schuldmoment im r mischen Privatrecht S 40 Larenz Lehrbuch des Schuldrechts S 423 vgl auch Sailer Pr vention im Haftungsrecht S 1 mwN Vgl Miceli Economics of the Law S 28 Sch fer Ott Lehrbuch der konomischen Analyse des Zivilrechts S 214 Weyers Unfallsch den S 466 ff Details bei Pauly Kenneth The Economics of Moral Hazard S 531 Prof Dr Gerald Spindler 25 41 42 43 80 81 82 83 84 In der Realit t insbesondere im IT Bereich wird eine effektive Schadensvermeidung h ufig erst durch die Anstreng
595. umzulegen Die Kreditinstitute ent scheiden in eigener Verantwortung ber das angebotene Sicherungssystem und steuern damit gerade im Hinblick auf neue Formen von Bedrohungen aus dem Internet das beim Kunden verbleibende Restrisiko und die von ihm zu treffenden Sicherungsma nahmen So verwenden einige Banken noch immer Aktive Inhalte in ihren Webangeboten wel che auf der Kundenseite ein gro es Angriffspotential er ffnen n her Rn 515 Hinzu kommt ein gro er Informationsvorsprung der Banken gerade auch im Hinblick auf neu auftretende Bedrohungsformen 2 Die Banken ziehen aus dem Online Banking betr chtliche eigene Vorteile Diese liegen in der Einsparung von Personal Filialen und zeitgeistgerecht jederzeitiger Erreich barkeit der Bank f r den Kunden und der M glichkeit einer Marktexpansion ohne gr Beren Investitionsaufwand Man wird zwar zugeben m ssen dass Online Banking etwa in Form geringerer berweisungsgeb hren und Unabh ngigkeit von Bank ff nungszeiten auch dem Bankkunden Vorteile bietet Bei wertender Betrachtung liegen die Vorteile indessen berwiegend auf Seiten der Bank die sich berdies an die breite Masse der Bankkunden wendet und nicht nur an den technisch versierten Internet Nutzer Wegen h herer Transaktionskosten beim herk mmlichen Bankgesch ft schafft die Bank zudem selbst Anreize durch den Abbau von Filialen etwa in l ndli chen Gebieten aber auch faktische
596. und vertikal unterschieden werden Sekt orale Richtlinien enthalten produktbezogene Vorgaben also Anforderungen an be 484 stimmte Produktgruppen Demgegen ber sind vertikale Richtlinien gefahrbezogen und stellen einheitliche sektoral bergreifende Anforderungen an Produkte F r den IT Bereich sind hier insbesondere die Erste Verordnung zum Ger te und Produktsicherheitsgesetz Verordnung ber das In Verkehr Bringen elektrischer Betriebsmittel zur Verwendung innerhalb bestimmter Spannungsgrenzen die Zweite Verordnung zum Ger te und Produktsicherheitsgesetz Verordnung ber die Sicherheit 487 von Spielzeug und die neunte Verordnung zum Ger te und Produktsicherheitsgesetz Maschinenverordnung von Bedeutung Der Vollst ndigkeit halber sei aufgrund der offenkundigen Relevanz der Regelwerke f r IT Produkte auch das Gesetz ber Medizinprodukte und das Ge setz ber die elektromagnetische Vertr glichkeit von Ger ten erw hnt W hrend 8 Abs 1 MPG eine eigenst ndige Vermutungsregel statuiert ist fraglich ob das EMVG an der in 4 Abs 1 GPSG festgesetzten Privilegierung teilhaben kann Zwar stellt das Gesetz keine Rechtsverordnung nach 3 Abs 1 GPSG dar so dass es gem dem Wortlaut von 4 Abs 1 GPSG nicht dessen Anwendungsbereich unterliegt Allerdings setzt das EMVG die EG Richtlinie 89 336 EWG zur Angleichung der Rechtsvorschriften der Mitgliedstaaten ber die elektromagnetisc
597. ung der Daten des Kunden bestehen Dies befreit nat rlich die Nutzer umgekehrt nicht von der Pflicht der eigenen regelm 1230 Bigen Datensicherung Im Einzelfall kann vom Website Host auch die Vorhaltung 1231 redundanter Hardware verlangt werden z B eines gespiegelten Servers etwa wenn Schuppert in Spindler Vertragsrecht der Internet Provider IV Rn 47 Cichon Internetvertr ge Rn 182 f 184 ff BGH CR 2005 816 817 obiter dictum ausf hrlich Spindler in Spindler Vertragsrecht der Internet Provider IV Rn 93 N her dazu Spindler in Spindler Vertragsrecht der Internet Provider IV Rn 21 ff St Rspr BGH NJW 1993 335 BGH NJW RR 1993 560 561 BGH NJW 2002 673 674 zuletzt BGH NJW RR 2005 1496 1505 ff wonach der Verwender von AGB sich nicht darauf beschr nken d rfe die Verletzung von Kardinalpflichten von der Haftungsfreizeichnung auszunehmen Er m sse zwar die Kardinalspflichten nicht abschlie end in der Klausel aufz hlen jedoch den Begriff zumindest abstrakt erl utern um die Unwirksamkeit seiner Freizeichnungsklausel wegen Versto es gegen das Transparenz gebot 307 12 BGB zu vermeiden Vgl Komarnicki in Hoeren Sieber Teil 12 Rn 73 Czychowski in Br cker Czychowski Sch fer 13 Rn 107 Zur Pflicht Datensicherungen durchzuf hren s OLG Karlsruhe CR 1996 346 f OLG Karlsruhe NJW 1996 200 201 BGH NJW 1996 2924 2926 Optikprogramm wonach Datensicherung e
598. ung der im Verkehr erforderlichen Sorgfalt M nchKommBGB Wagner 823 BGB Rn 63 ff BGHZ 104 323 329 NJW 1988 2611 Libertus MMR 2005 507 509 wN bei Bamberger Roth Spindler 823 BGB Rn 532 v Bar in Produktverantwortung und Risikoakzeptanz S 29 31 f OLG Hamm NJW RR 2001 1248 1249 Osteoporosegesch digter Benutzer eines Sprungbootes BGH NJW 1990 906 BGH NJW 1992 2016 2018 s aber auch BGH NJW 1996 2224 2226 Prof Dr Gerald Spindler 15 14 15 16 im Rahmen der allgemeinen Zweckbestimmung des Produktes h lt und vom Herstel ler objektiv vorhergesehen werden kann oder nahe liegt Einfluss auf die berechtigten Sicherheitserwartungen haben ferner vor allem der Preis und die Bestimmung des Produktes einschlie lich dessen allgemeiner Anpreisung in der Werbung Im Rahmen einer gewissen Bandbreite kann ein niedrigerer Preis auch ein niedrigeres Sicherheitsniveau rechtfertigen da der Verkehr allgemein nicht von der Einhaltung h herer Standards ausgeht sofern dies offenbar wird Stets ist jedoch eine Basissicherheit zu gew hrleisten von deren Einhaltung der Ver kehr auf jeden Fall ausgeht Eng damit verkn pft ist der Einfluss von m glichen Selbstschutzma nahmen Je mehr dem Produktbenutzer an Eigenschutz zugemutet werden kann desto eher wird der Verkehrspflichtige nur zu Warnhinweisen verpflichtet sein F r den Hersteller hat dies zur Folge dass er sich auf eine
599. ung nach 3 Abs 1 GPSG vorliegt richtet sich die Zul ssigkeit der Inverkehrgabe nach 4 Abs 2 GPSG a Pflichten der IT Hersteller Nach 4 Abs 2 Satz 1 GPSG m ssen Produkte so beschaffen sein dass bei ordnungs gem er Verwendung oder vorhersehbarer Fehlanwendung Sicherheit und Gesundheit von Verwendern oder Dritten nicht gef hrdet werden Diese allgemeinen Sicherheitsan forderungen werden in 4 Abs 2 Satz 2 Nr 1 bis 4 GPSG siehe auch Art 2 lit b 3 Abs 3 Produktsicherheitsrichtlinie 2001 95 EG n her konkretisiert 4 Abs 2 Satz 3 GPSG betont ausdr cklich dass bei der Beurteilung der Produktsicherheit Normen und andere technische Spezifikationen zugrunde gelegt werden k nnen Bei der Bestimmung der Pflichten der IT Hersteller nach dem GPSG ist zu ber cksich tigen dass die Herstellerpflichten und daran anschlie end die Befugnisse der zust n digen Beh rde grunds tzlich an eine Gefahr f r die Sicherheit und Gesundheit der Produktverwender und Dritter ankn pfen 4 GPSG Sie bleiben daher wegen der Ausklammerung von Eigentums und Verm genssch den zwangsl ufig hinter den zivil rechtlichen Pflichten aus 823 Abs 1 BGB dazu ausf hrlich oben Rn 119 ff zur ck welche auch den Schutz des Eigentums und des Rechts am eingerichteten und ausge b ten Gewerbebetrieb Recht am Unternehmen umfassen Gegen ber einem IT Hersteller k nnen nach GPSG folglich nur dann beh rdliche Anordnungen ergehen
600. ung sowohl des Akteurs als auch des Gesch digten zu er reichen sein Bei einer Verschuldenshaftung ist der Gesch digte schon aus Eigeninteres se unabh ngig von Mitverschuldensregelungen zu Schutzma nahmen angehalten Schlie lich muss der Gesch digte damit rechnen dass der Sch diger alle Sorgfaltsstan dards einh lt und er der Gesch digte somit etwaige Sch den alleine tragen muss Bei einer Gef hrdungshaftung allerdings ist eine Mitverschuldensregelung erforderlich um Anreize f r Schutzma nahmen durch den Gesch digten zu setzen Ebenso wie die Sorgfaltsanstrengungen des Sch digers als auch des Gesch digten die Schadenswahrscheinlichkeit beeinflussen beeinflusst in der Regel nicht nur das Aktivi t tsniveau des Akteurs sondern auch das des Gesch digten die Schadenswahrschein lichkeit Nach dem Theorem von Shavell lassen sich aber weder durch eine Verschul denshaftung noch durch eine Gef hrdungshaftung beide Aktivit tsniveaus auf das ge sellschaftliche Optimum reduzieren Eine solche Steuerung tritt n mlich wie darge legt nur dann ein wenn die jeweilige Person das volle Risiko des Schadenseintritts trifft dieses Risiko kann aber nicht gleichzeitig sowohl dem Sch diger als auch dem Gesch digten auferlegt werden K nnen mehrere Personen durch ein Ereignis sowohl einen Schaden verursachen als auch gesch digt werden so kann die Situation eintreten dass schon ohne Haftungsrege lungen gesamtgesellschaftl
601. ungen Bock in Br utigam Leupold Kap VII Rn 3 ff Bock in Br utigam Leupold Kap VII Rn 4 G mann in Bankrechts Handbuch Band I 55 Rn 1 Hellner Escher Weingart in Hellner Steuer Band 3 Teil 6 96 Koch Versicherbarkeit von IT Risiken Rn 806 Vgl das Homebanking Abkommen vom 1 10 1997 Bock in Br utigam Leupold Kap VII Rn 4 G mann in Bankrechts Handbuch Band I 55 Rn 1 27 Koch Versicherbarkeit von IT Risiken Rn 806 Hellner Escher Weingart in Hellner Steuer Band 3 Teil 6 96 Neumann Bock Zahlungsverkehr im Internet Rn 109 Borges in Derleder Knops Bamberger Handbuch zum deutschen und europ ischen Bankrecht 8 Rn 1 G mann in Bankrechts Handbuch Band I 55 Rn 27 Das Homebanking Computer Interface Verfahren HBC auf Grundlage des Homebanking Abkommens von 1997 soll gegen ber dem PIN TAN Verfahren eine h here Sicherheit gew hrleisten Ausf hrlich dazu Stockhausen WM 2001 605 ff Die Online Bedingungen und Homebanking Bedingungen sind abgedruckt in WM 2001 650 ff und G mann in Bankrechts Handbuch Band I Anh 6 und 7 zu 52 55 S 1147 ff Prof Dr Gerald Spindler 202 483 484 TAN Verfahren findet daher gegenw rtig auch im Internet Anwendung Das Homebanking Abkommen verpflichtet die Banken jedoch Online Banking zumindest 940 auch im HBCI Dialog durchzuf hren In der Praxis d rfte gegenw rtig das PIN TAN Verfahren noch am weites
602. ungen gegen ber IT Intermedi ren Providern s OVG M nster MMR 2003 348 ff Spindler Volkmann K amp R 2002 398 ff Spindler Schmitz Geis Spindler 8 TDG Rn 41 9 Rn 41 ff Leitentscheidung BGHZ 55 153 Fleet Fall wesentlich weitergehender Boecken Deliktsrechtlicher Eigentumsschutz gegen reine Nutzungsbeschr nkungen S 122 ff 160 ff 1237 Ebenso im Ergebnis OLG Karlsruhe NJW 1996 200 201 Taeger Au ervertragliche Haftung f r feh lerhafte Computerprogramme S 261 unter Berufung auf BGHZ 76 216 220 f r Sachgesamtheiten die gerade durch ihre Vollst ndigkeit und Ordnung einen Wert repr sentieren der nicht nur der Summe der Werte der darin zusammengefassten Einzelsachen entspricht sondern diese oft bersteigt bspw Briefmarkensammlungen Bibliotheken Fachmuseen etc Wird eine solche Sacheinheit durch eine uner laubte physische Handlung zerst rt dann handelt es sich gleichfalls um einen Angriff auf das Eigen 1236 Prof Dr Gerald Spindler 277 673 674 Verlust des Datenbestandes aufgrund einer fehlerhaften Sicherung als m gliche Verlet zung eines selbst ndigen verm genswerten Gutes 1238 Der Virenbefall ber die Platt form des IT Intermedi rs oder andere Arten von Angriffen die zur Vernichtung von Daten des Nutzers auf seinem Rechner f hren z B w hrend eines offenen Kommunika tionsvorgang mit dem IT Intermedi r sind daher grunds tzlich geeignet einen An spru
603. ungsverifikationsinstruments keiner an deren Person als dem Inhaber zug nglich sind Art 47 Abs 1 lit a Detaillierte IT spezifische Sorgfaltspflichten enth lt der Vorschlag nicht Ebenso trifft der europ ische Gesetzgeber eine ausdr ckliche Regelung der Beweislast verteilung bei strittiger Autorisierung Art 48 Bestreitet der Zahlungsdienstnutzer ei nen abgeschlossenen Zahlungsvorgang hat die Bank nachzuweisen dass der Zahlungs vorgang authentifiziert war ordnungsgem aufgezeichnet und verbucht und nicht durch eine technische Panne oder einen anderen Mangel beeintr chtigt worden ist Abs 1 Streitet der Nutzer die Autorisierung der Zahlung auch nach Vorlage dieser Nachweise noch ab hat er seinerseits Fakten oder Umst nde vorzutragen die die Ver 948 Vorschlag f r eine Richtlinie des Europ ischen Parlaments und des Rates ber Zahlungsdienste im Bin nenmarkt und zur nderung der Richtlinien 97 7 EG 2000 12 EG und 2002 65 EG vom 1 Dezember 2005 KOM 2005 603 endg von der Kommission vorgelegt Prof Dr Gerald Spindler 204 488 489 949 950 951 mutung zulassen dass er die Zahlung nicht autorisiert und nicht in betr gerischer Ab sicht oder grob fahrl ssig in Bezug auf die ihm nach Art 46 lit b obliegenden Pflichten Rn 486 gehandelt haben kann Abs 2 Im Fall des Online Banking k nnte hierzu un ter Umst nden schon die Anzeige eines Diebstahls der Legitimationsmedien oder Vor
604. ungsverkehr im Internet Rn 176 Spindler in Hadding Hopt Schimansky S 216 f Hartmann in Hadding Hopt Schimansky S 319 Recknagel Vertrag und Haftung beim Internet Banking S 141 f Werner in Hellner Steuer Band 6 19 82 BGH NJW 2003 1447 1448 Palandt Heinrichs 307 BGB Rn 25 BGHZ 135 116 121 BGHZ 114 238 242 f BGHZ 135 116 121 BGHZ 114 238 242 f Prof Dr Gerald Spindler 231 1070 Er ffnung des Online Banking Verkehrs das Risiko geschaffen hat und sie die Si cherheit des Online Banking entscheidend durch die Auswahl der technischen Systeme mitbestimmt Eine alleinige Risikozuweisung an den Kunden ist auch deshalb abzu lehnen weil M glichkeiten des Kunden zur Gefahrbeherrschung ma geblich durch die Instruktion und Aufkl rung seitens der Bank mitbestimmt werden Da die Risikoabw l zung auch nicht durch Vorteile des Kunden ausgeglichen wird ist eine Klausel welche ohne R cksicht auf schuldhafte Pflichtverletzungen das Missbrauchsrisiko dem Kunden zuweist als nach Treu und Glauben unangemessene Benachteiligung zu werten 307 Abs 1 2 Nr 1 BGB e Zwischenergebnis 551 In materiell rechtlicher Hinsicht kommen in den F llen des Missbrauchs der Legitima tionsmedien beim Online Banking Anspr che der Bank gegen den Kunden aus 670 BGB bzw 280 Abs 1 241 Abs 2 BGB in Betracht Eine verschuldensunabh ngige Haftung zu Lasten des Kunden kann in AGB nicht wirksam
605. ungsvertr ge Rn 1311 Prof Dr Gerald Spindler 61 132 133 134 261 262 263 264 selben Intensit t wie bei anderen Abnehmern da diesen die Problematik grunds tzlich vertraut ist i Herausgabe des Quellcodes Eine deliktsrechtlich begr ndete Herausgabepflicht des Quellcodes ist in aller Regel nicht anzunehmen Denn die Pflicht des Herstellers ist darauf gerichtet eine Sch digung anderer Rechtsg ter des Softwarenutzers abzuwenden was allein schon durch den Nichtgebrauch der Software erreicht wird Ma nahmen zur Fehlerbehebung an der Software selbst sind dagegen auf das quivalenzinteresse gerichtet iv Ende des Supports bei lteren Produkten Im schnelllebigen IT Markt ist schlie lich von besonderem Interesse wann die Pro duktbeobachtungspflicht endet so stellen auch bekannte Softwarefirmen wie Microsoft nach ca 5 7 Jahren den Support f r ihre Produkte ein Hier ist zu differenzieren Allgemein gilt dass die Produktbeobachtungspflicht selbst nach l ngerer Bew hrung eines Produktes nur dort enden kann wo keine Langzeitsch den zu bef rchten sind In soweit kann allerh chstens von einer graduellen Abschw chung der Beobachtungs pflichten und Orientierung an anderen Arten von Sch den wie Sp tsch den ausgegan gen werden Vgl etwa zu abgeschw chten Instruktionspflichten gegen ber gewerblichen Abnehmern BGH NJW 1996 2224 2225 Kullmann Pfister Kullmann
606. unterhalten wird Trotz entsprechender Warnungen muss jedenfalls ein Mindeststandard an Sicherungs ma nahmen seitens der Provider ergriffen werden der verhindert dass E Mail Nachrichten von jedermann gelesen werden k nnen Hierzu d rfte die Vergabe von Passw rtern z hlen und die stichprobenartige berwachung der Mail Server auf uner laubte Zugriffsversuche Dritter Ferner kann eine Haftung der Betreiber von Router Rechnern wegen unterlassener technischer Sicherungsma nahmen im Bereich des Zugriffs unautorisierter Dritter auf die Datenpakete in Betracht kommen z B Abh ren von Kreditkarteninformationen oder Zahlungsvorg ngen Aber auch hier ist zu bedenken dass die Betreiber von Rou ter Rechnern in der Regel keinerlei Kenntnis von den Datenpaketen haben werden f r deren Transport ihr Rechner verwendet wird so dass entsprechende Sicherungsma nahmen nicht zumutbar erscheinen Zudem d rfte es in der Regel an jedem entgeltli chen Gesch ftskontakt mit den Absendern der sensiblen Informationen fehlen so dass im Sinne der Zuordnung der Verantwortung f r Risiken dort wo sie am besten be herrscht und versichert werden k nnen eine Verantwortlichkeit der Betreiber von Rou ter Rechnern auch unter diesem Gesichtspunkt ausscheidet Sofern die Kreditwirt schaft oder Unternehmen das Internet durch vollautomatisierte Sofwarekomponenten zur Abwicklung ihrer Gesch ftsvorf lle verwenden Web Services m ssen sie selbst sicherste
607. urch Anspr che auf Unterlassung Beseitigung Auskunft und Ersatz des materiellen und immateriellen Schadens nach den 823 1004 BGB und 7 8 BDSG ausgel st werden k nnen Davon umfasst wird iSd Rechts auf informationelle Selbstbestimmung die Befugnis des einzelnen grunds tzlich selbst dar ber zu entscheiden ob und wer ber seine pers nli chen und sachlichen Verh ltnisse unterrichtet ist oder wird Zu denken ist hier an den Schutz bei besonders gefahrentr chtiger Informationsverwaltung wie z B der Speiche rung von Fingerabdr cken politischen Einstellungen Gesundheitsbildern Informatio nen zum eigenen Verm gensstand oder der Kreditf higkeit u Derartig sensible Da ten m ssen entsprechend gesch tzt aufbewahrt werden Lassen sich die Daten dagegen unproblematisch durch Dritte mithilfe von Trojanern etc aussp hen kann dies uU zur Verletzung des Allgemeinen Pers nlichkeitsrechts f hren Recht am eigenen Datum Z T werden im Rahmen des 823 Abs 1 BGB eigene Rechte in Bezug auf Daten als sonstige Rechte diskutiert So wurde in der Vergangenheit gefordert ein Recht am ei genen Datum das sich aus dem Recht auf informationelle Selbstbestimmung ableiten soll als absolut gesch tztes sonstiges Recht im Sinne von 823 Abs 1 BGB anzuer 216 217 218 219 Sodtalbers Softwarehaftung im Internet Rn 512 vgl auch Taeger Au ervertragliche Haftung f r feh lerhafte Computerprogra
608. urch Phishing E Mails und Pharming l sst sich ein Anscheinsbeweis f r die Urheberschaft bei Verwendung die ser Systeme nicht mehr begr nden 7 Ebenso wenig ist eine Vermutung f r eine Pflichtverletzung des Kunden gerechtfertigt Gegen Bedrohungen durch Phishing und Pharming ist ein wirksamer Schutz durch den Kunden selbst schon wegen mangelnder IT Kenntnisse regelm ig nur in sehr begrenz tem Umfang m glich zu den Pflichten des Kunden im Einzelnen oben Rn 281 ff Insbesondere bei der zunehmend zu beobachtenden Verwendung von Trojanern kann selbst dann Zugriff auf die Zugangsdaten erlangt werden wenn der Kunde alle zumut 1128 baren Sicherheitsvorkehrungen getroffen hat Zum Teil werden eigene Sicherheits ma nahmen des Kunden auch durch Ma nahmen der Bank konterkariert so etwa bei Verwendung Aktiver Inhalte auf den Websites der Bank Rn 515 Keine Pflichtverlet zung des Kunden ist beispielsweise auch dann anzunehmen wenn der Identit tsmiss brauch durch eine l ckenhafte Webanwendung erm glicht wurde Beispielhaft hierf r 1129 sind etwa Sicherheitsl cken im Internet Explorer von Microsoft oder anderer Pro 1130 Ya a gramme Keineswegs kann gegenw rtig somit davon ausgegangen werden die Ebenso Erfurth WM 2006 2198 2205 Anders Karper DuD 2006 215 219 der zufolge die Einsch t zung des LG Koblenz auf das Verfahren unter Nutzung von PIN und TAN wegen dessen h heren Schutzniveau nicht
609. urf eines Gesetzes zur Umsetzung der neu gefassten Bankenrichtlinie und der neu gefassten Kapitalad quanz Richtlinie vom 15 02 2006 1 2 s auch Capellaro F ser Die Bank 2005 68 68 Schultze Melling CR 2005 73 78 Roth Schneider ITRB 2005 19 f Boos Fischer Schulte Mattler Schulte Mattler Basel II Rn 134 Prof Dr Gerald Spindler 152 361 einsch tzung bez glich des Unternehmens als hinsichtlich der Branche insgesamt und damit verbunden g nstigere Kreditkonditionen nur erreichen wenn es gegen ber der Bank nachweist dass es effektivere IT Sicherheitsma nahmen als der Durchschnitt be 676 Je mehr das Unternehmen bei seinen Gesch ftsabl ufen auf eine funktionieren sitzt de IT angewiesen ist desto gr eres Gewicht haben IT Sicherheitsrisiken demzufolge bei der Risikovorsorge des Unternehmens Gefordert ist ein IT Riskmanagement wel ches sich mit allen Aspekten der IT Sicherheit f r das jeweilige Unternehmen befasst es m ssen wichtige IT Systeme vorhanden und verf gbar sein sowie Angriffe auf diese Systeme wirksam abgewehrt werden k nnen und Notfallpl ne vorliegen Missbrauch der IT durch externe oder interne Mitarbeiter insbesondere durch Weitergabe von ver traulichen Firmendaten an externe Stellen Gesch ftsunterbrechungen durch IT Systemausf lle oder Schadensersatzforderungen auf Grund unsicherer IT werden sich daher negativ auf das Risikoprofil des Unternehmens auswirken Die Relevanz d
610. usgabeverpflichtungen nicht ein Hierin unterscheidet sich das Berufsrecht der rz te grundlegend von dem der Anw lte Die vors tzliche mindestens also bedingter Vorsatz und unbefugte Verletzung der Schweigepflicht kann mit Berufsverbot nach 70 Abs 1 StGB durch die Berufsgerichte oder Strafgerichte sanktioniert werden Sowohl 203 StGB als auch 9 BerufsO regeln jedoch nur den typischen Fall der be wussten sprich vors tzlichen Weitergabe der anvertrauten Informationen auch 1191 durch Er ffnung des Zugriffs durch Unterlassen Eine explizite Normierung zur Si cherung der Daten bzw Informationskomponenten besteht hingegen nicht b SGB Die Sozialgesetzb cher enthalten grunds tzliche Regelungen f r diejenigen die Sozial leistungen in Anspruch nehmen Hierzu geh ren nach 21 ff SGB I u a diejenigen die als gesetzlich Krankenversicherte rztliche Hilfe in Anspruch nehmen Die im Zuge der Behandlung erhobenen verarbeiteten oder genutzten Daten also personenbezogene Einzelangaben ber pers nliche oder sachliche Verh ltnisse sind nach 67 SGB X So zialdaten und unterliegen nach 35 SGB I dem Sozialgeheimnis Dazu geh ren sowohl 1192 Die Sozialdaten sollen einem be 1193 die behandelnden rzte sowie deren Diagnosen sonderen dem Steuergeheimnis vergleichbaren Schutz unterliegen Der Arzt ist jedoch keine Stelle 1 S d 35 SGB I was sich z B aus 76 SGB X ergibt nach dem Daten
611. usion Detection Systeme In Erweiterung zu Firewalls dienen Intrusion Detection Systeme der Erkennung von Angriffen die auch aus dem internen Netzwerk unterst tzt werden Sie berwachen 589 590 591 592 Mankowsski in Ernst Hacker Cracker amp Computerviren Rn 516 S dazu Endres c t Archiv 23 2005 112 S o Rn 85 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 133 Prof Dr Gerald Spindler 131 310 311 593 594 595 den Netzwerkverkehr sowie die Systemkonfiguration und melden dem Nutzer verd ch tige Aktionen oder Ver nderungen Intrusion Detection Systeme sind allerdings be reits ihrer Bestimmung nach nur f r gr ere Netzwerke geeignet Die Anpassung an das jeweilige System sowie die entsprechende berwachung erfordern jedenfalls Exper tenwissen bzw Kenntnis von der Funktionsweise der Kommunikation in Netzwerken Beim Einsatz von Intrusion Detection Systemen fallen in der Regel personenbezogene Daten an die datenschutzrechtlichen Vorgaben sind demnach einzuhalten Unabh n gig davon ob diese Sicherungswerkzeuge also dem Durchschnittsnutzer bekannt sind ist dem privaten Nutzer der Einsatz von Intrusion Detection Systemen jedenfalls nicht technisch zumutbar 6 Malware Entfernungsprogramme Verf gbar sind auch Programme zur Entfernung von sog Malware die sich bereits im System tats chlich eingenistet hat Dadurch kann insbesondere Schadensf llen bei Dritte
612. uss da her beispielsweise den Einwand des Herstellers der Schaden sei auf einen Fehlgebrauch 352 des Produktnutzers zur ckzuf hren widerlegen Doch kann im Einzelfall ein Beweis des ersten Anscheins in Betracht kommen wenn es beispielsweise im Zusammenhang mit der Verwendung des betreffenden Produkts zu parallelen Schadensf llen gekommen ist zur Nichteinhaltung technischen Normen unten Rn 179 Gerade bei IT Produkten ist der Nachweis der haftungsbegr ndenden Kausalit t in der Praxis f r den Gesch digten schwer zu f hren da er h ufig mit dem Einwand konfron tiert wird dass sein Schaden auf anderen Ursachen insbesondere anderer schadhafter Software oder mangelhafter Installation beruht Gerade in diesem Zusammenhang kommt daher Beweiserleichterungen besondere Bedeutung zu b Beweisrechtliche Bedeutung technischer Nor men Die Rechtsprechung geht zun chst davon aus dass f r technische Normen eine tats chliche Vermutung f r die Wiedergabe der anerkannten Regeln der Technik eingreift oben Rn 147 Zumindest im Ausgangspunkt l sst sich die Einhaltung einer technischen Norm daher mit der Einhaltung der im Verkehr erforderlichen Sorgfalt BGHZ 104 323 332 ff BGH NJW 1993 528 529 best tigt in BGHZ 129 353 361 f 365 aus f hrlicher dazu Bamberger Roth Spindler 823 BGB Rn 500 f mwN So BGH NJW 1993 528 529 OLG Dresden NJW RR 1999 34 Rev vom BGH nicht angenommen Beschl v
613. vaten Computers ii Pflichten bei der Teilnahme am E Mail Verkehr iv Pflichten bei der Durchf hrung von Online Bankgesch ften v Verhaltenspflichten im Missbrauchsfall ii Zusammenfassende Bewertung der Bedrohungsszenarien a Szenario 1 b Szenario 2 c Szenario 3 iv Vertretenm ssen des Kunden 280 Abs 1 Satz 2 BGB v Schaden der Bank vi Mitverschulden der Bank 254 BGB d Verschuldensunabh ngige Haftung des Kunden aufgrund AGB e Zwischenergebnis 4 Prozessuale Rechtslage insbesondere Anscheinsbeweis a Umkehr der Beweislast b Beweis des ersten Anscheins i Voraussetzungen des Anscheinsbeweises ii Rechtslage bei ec Karten und Internet Auktionen a ec Karten b Internet Auktionen ii Bestehen eines Erfahrungssatzes beim Online Banking a Ausgangspunkt der hM Technische Sicherheit des Online Banking b Sicherungsverfahren ohne Medienbruch c Sicherungsverfahren mit Medienbruch d Zwischenergebnis iv Ersch tterung des Anscheinsbeweises a Grundsatz b Er rterung der Beweislage bei den einzelnen Bedrohungsszenarien i Szenario 1 ii Szenario 2 ii Szenario 3 c Zwischenergebnis 5 IT Hersteller 6 Intermedi re 7 Private Nutzer c Ergebnis 7 Zwischenergebnis besondere Verantwortlichkeit im Banken und Finanzsektor Prof Dr Gerald Spindler 210 210 212 213 216 217 219 219 219 219 222 22 222 222 224 225 226 226 227 227 227 227 228 228 229 229 231 232 232
614. ver tragliche Beziehungen zwischen gesch digtem Dritten und dem IT Intermedi r beste hen die 44a TKG aber voraussetzt indes sieht sich hier der gesch digte Dritte s mtli chen Einschr nkungen und Beweisproblemen gegen ber die auch gegen ber IT Herstellern eingreifen insbesondere Kausalit t Anspruchsgrundlage deliktisch bzw kein Schutz von Verm genssch den etc Aus ffentlich rechtlicher Sicht trifft die IT Intermedi re zwar eine grunds tzlich vorgesehene Pflicht zur Sicherung ihrer Netze aber auch diese ist offenbar nicht spezifisch auf IT Sicherheitsfragen ausgerichtet und bislang wenig konkretisiert worden wenngleich im Grundsatz hier Erm chtigungs grundlagen zur Verf gung st nden 109 TKG ist aber schwerpunktm ig auf die Si cherung des Netzes gegen Kommunikationsst rungen ausgerichtet nicht aber hinsicht lich des Schutzes auch Dritter gegen ber Angriffen ber das Netz Die anderen Siche rungspflichten entsprechen denjenigen des Datenschutzrechts Auch ist bislang unge Prof Dr Gerald Spindler 299 132 733 kl rt in welchem Verh ltnis solche Anforderungen zu denjenigen der IT Sicherheit von Intermedi ren stehen Selbst im Vergleich zu den IT Herstellern bestehen daher f r IT Intermedi re insgesamt nur geringe Anreize die IT Sicherheit zu verbessern Anders sieht die Situation dagegen f r IT Nutzer aus insbesondere bei kommerziellen IT Nutzern die ihrerseits wiederum Dienstleistu
615. vereinbarungen geregelt Ausf hrlich zur arbeitsrechtlichen Problematik Hanau Hoeren Private Internetnutzung durch Arbeitnehmer Prof Dr Gerald Spindler 225 537 538 1039 1040 1041 1042 1043 platzrechner zu gebrauchen wenn er davon ausgehen musste dass dieser auch Dritten zug nglich ist und keine besonderen Sicherheitsvorkehrungen bestanden Aber auch hier ist eine Aufkl rung ber die Risiken erforderlich da vielen Kunden nicht bewusst ist welche technischen M glichkeiten des Aussp hens am Computer bestehen iii Pflichten bei der Teilnahme am E Mail Verkehr Bei der Durchf hrung von Online Bankgesch ften kann vom privaten Bankkunden die Einhaltung gewisser grundlegender Verhaltensstandards verlangt werden Hierzu geh rt 1039 und bei der Verwen etwa PIN und TAN nicht auf dem Computer abzuspeichern dung von HBCI die Chipkarte nach Abschluss der Transaktion aus dem Leseger t zu entfernen um ein Aussp hen durch Trojaner zu verhindern Ebenso gelten die unter Rn 311 f beschriebenen Pflichten im Umgang mit unbekannten E Mail Anh ngen Nach geh riger Aufkl rung durch die Bank wird man von Teilnehmern am Online Banking auch erwarten k nnen dass er Phishing E Mails mit vermeintlichem Bank absender nicht beantwortet Szenario 1 Insbesondere darf der Kunde auf E Mail Anfrage keine PIN und TAN auf vermeintlichen Login Seiten eingeben 1041 Hierbei handelt es sich um einfache und jedem Intern
616. verlorenen oder gestohlenen Zahlungsverifika tionsinstruments entstanden sind Dagegen haftet der Nutzer ohne Haftungsh chstbetrag f r alle Sch den die durch nicht autorisierte Zahlungsvorg nge entstanden sind wenn er sie in betr gerischer Absicht oder durch grobe Fahrl ssigkeit gegen ber den ihm nach Artikel 46 obliegenden Pflichten herbeigef hrt hat Nach Anzeige des Verlusts Siehe zu dieser Einsch tzung auch Burgard WM 2006 2065 2069 zum Anscheinsbeweis beim ec Kartenmissbrauch BGH NJW 2004 3623 ff Anmerkungen des Zentralen Kreditausschusses zum Vorschlag der Europ ischen Kommission f r eine Richtlinie des Europ ischen Parlaments und des Rates ber Zahlungsdienste im Binnenmarkt und zur nderung der Richtlinien 97 7 EG 2000 12 EG und 2002 65 EG vom 1 Dezember 2005 KOM 2005 603 endg ltig S 5 38 f abrufbar unter http www bankenverband de pic artikelpic 022006 sp0602_eu_NLF ZKA_final_dt pdf zuletzt abgeru fen am 06 06 2007 Prof Dr Gerald Spindler 205 490 491 des Diebstahls oder der widerrechtlichen Aneignung des Zahlungsverifikationsinstru ments beim Zahlungsdienstleister tr gt der Zahler keinerlei finanzielle Folgen aus der Verwendung des verlorenen gestohlenen oder widerrechtlich angeeigneten Instruments es sei denn er hat in betr gerischer Absicht gehandelt 3 Materiell rechtliche Rechtslage Bei F llen der Identit tst uschung aufgrund Phishing und Pharming stellt sic
617. von rzten den Sozialstellen nur zu bermitteln sind sofern 203 Abs 1 StGB dies zul sst Die Daten i S d Sozialgesetzb cher werden folglich vom Arzt erhoben nicht aber vom Patienten Die diesbez glichen Pflichten treffen damit die So zialtr ger Die Spezialregelungen bez glich der Pflichten von Daten erhebenden Stellen in 88 67 ff SGB X treffen die rzte somit nicht Allerdings sehen die Sozialgesetzb cher gerade bermittlungstatbest nde vor Nach 295 SGB V sind z B f r die Abrechnung die Daten bez glich der Behandlung inklu Zum Beispiel bei der Verpflichtung die bei Versicherungsleistungen notwendigen Daten an die Kran kenkassen herauszugeben dazu Krauskopf in Laufs Uhlenbruck 36 Rn 18 Sch nke Schr der Lenckner 203 StGB Rn 20 Sch nke Schr der Lenckner 203 StGB Rn 20 unklar bzw nur auf den objektiven Tatbestand abstel lend Hermeler Rechtliche Rahmenbedingungen der Telemedizin S 46 v Wulffen Bieresborn 67 SGB X Rn 7 f BT Drucks 8 4022 S 80 96 Prof Dr Gerald Spindler 260 622 623 1194 1195 1196 1197 1198 1194 Diese Daten sind nicht etwa ano nymisiert sondern werden nach 295 1 V m 291 Abs 2 SGB V unter Angabe der Pa sive Diagnose der Krankenkasse zu bermitteln tientendaten der Krankenkasse mitgeteilt Eine absolute Verschwiegenheit wie beim Anwalt ist demnach gerade nicht gew hrleistet sie wird zugunsten der Sozialtr ger ge locker
618. von konkreten Schadensf llen entgegenwirkt und das Kopfgeld auch erst im Fall der Aufde ckung f llig wird bzw die Forderung erst entsteht Es ist somit f r die zu ergreifenden Ma nahmen zu ermitteln ob die Tatsache dass ein Problem besteht bekannt ist bzw bekannt sein muss ferner ob die Ergreifung der Sicherungsma nahme wirtschaftlich zumutbar ist wobei einzubeziehen ist inwiefern bereits der Eigenschutz derart stark wiegt dass auch an sich unzumutbare Ma nahme ber den kumulativen Effekt des Eigeninteresses doch als zumutbar anzusehen ist sowie wie h ufig der Nutzer Aktualisierungen vornehmen muss 2 Einzelfragen Diese Punkte sind nun wie bereits bei den privaten IT Nutzern bei den jeweiligen Si cherungsma nahmen zu berpr fen a Virenscanner BGH NJW 1976 286 Erman Kuckuk 249 BGB Rn 71 Bamberger Roth Schubert 249 BGB Rn 99 M nchKommBGB Oetker 249 BGB Rn 195 BGH NJW 1980 119 S dazu Bamberger Roth Schubert 249 BGB Rn 101 Prof Dr Gerald Spindler 163 385 386 387 388 722 723 724 725 726 Der Einsatz von Virenscannern ist bereits Privaten zumutbar Als Grund warum den kommerziellen Nutzern von Computersystemen hier geringere Pflichten obliegen sol len kommen die erh hten Kosten in Betracht So sind die Programmlizenzen h ufig pro genutzten Computer zu erwerben so dass bei einer Vielzahl von Rechnern durchaus merkbare Kosten entstehen k
619. von KO manipuliert d h vor allem H he und Empf nger der Transaktion werden ver ndert An B wird die manipulierte Transaktion bermittelt an N jedoch eine Best tigung ber die Ausf hrung der beabsichtigten Transaktion mit dem vermeintlich richtigen Kontostand N beendet die Verbindung 477 Der Angriff von KO beginnt Freitag abend in der Hoffnung dass bei B signifikante Abweichungen m glichst sp t entdeckt werden Z B soll B m glichst sp t erkennen dass sich die Verbindungen zu einigen IP Adressen h ufen n mlich zu den KO Servern 478 Dem Angriff l sst sich leicht begegnen indem die Banken ihren Kunden die festen IP Adressen der Online Banking Portale mitteilen und nicht die URL Unter dieser Vor aussetzung m sste der Angreifer Routing Tabellen im Internet manipulieren oder Tro janische Pferde einsetzen um den Online Kunden auf seinen Server zu lotsen DNS Spoofing und die Manipulation des IP Routing gelten als die Achillesfersen des Inter nets 3 Szenario 3 Pharming i e S mit Trojaner 479 Mithilfe eines Interesse erweckenden E Mail Anhangs gelingt es dem Angreifer A ein Trojanisches Pferd auf dem Rechner des Nutzers N zu platzieren Der Trojaner erg nzt die host Datei auf dem Rechner um den manipulierten Eintrag f r das Online Banking Portal der Bank B Daraufhin werden Aufrufe des Bank Portals auf den Web server von A geleitet A bernimmt die Rolle eines Man in the middle Ansonsten ent
620. wachung zur Errichtung einer Compliance Organisation in AG 2003 291 300 Fleischer Holger Zur Leitungsaufgabe des Vorstands im Aktienrecht in ZIP 2003 1 11 Fleischer Holger Hrsg Handbuch des Vorstandsrechts M nchen 2006 zitiert Bearbeiter in Fleischer Handbuch des Vorstandsrechts Flume Werner Allgemeiner Teil des B rgerlichen Rechts Prof Dr Gerald Spindler XVI Erster Band Zweiter Teil Die ju ristische Person Berlin Heidelberg New York Hongkong u a 1983 zitiert Flume AT II Foerste Ulrich Deliktische Haftung f r Schlechterf l lung in NJW 1992 27 28 Foerste Ulrich Zur R ckrufpflicht nach 823 BGB und 9 ProdSG Wunsch und Wirklich keit in DB 1999 2199 2201 Foerste Ulrich Nochmals Pers nliche Haftung der Un ternehmensleitung die zweite Spur der Produkthaftung in VersR 2002 1 6 Freiwald Susan Comparative Institutional Analysis in Cy berspace The Case of Intermediary Liability for Defamation in Harvard Journal of Law and Technol ogy Vol 14 2001 569 654 Fritz A mus Dieter Tuchtfeld Egon Basel Il als internationaler Standard zur Regulierung von Banken in ORDO 54 2003 269 288 Fritzsche J rg Malzer Hans M Ausgew hlte zivilrechtliche Probleme elektronisch signierter Willenserkl rungen in DNotZ 1995 3 26
621. warnen Soweit aufgrund der neuen Risikolage erforder lich hat die Bank ihre Benutzerinformation entsprechend umzustellen 2 Die Information des Kunden kann in einem pers nlichen Beratungsgespr ch einer ge sonderten schriftlichen Bedienungsanleitung sowie den Online bzw Homebanking Bedingungen s Rn 482 einer Benutzerf hrung auf dem Bildschirm und durch ei ne auff llige Information auf der Website des Kreditinstituts insbesondere in der N he des Login Buttons erfolgen Nicht empfehlenswert ist hierbei die Verwendung von Pop Up Fenstern da diese von vielen Browsern geblockt werden 1014 Ob die Anord 1008 1009 1010 1011 1012 1013 1014 Kind Werner CR 2006 353 356 Karper DuD 2006 215 218 Bock in Br utigam Leupold Kap VII Rn 65 ff Neumann Bock Zahlungsverkehr im Internet Rn 167 Canaris Bankvertragsrecht Rn 527 ff G mann in Bankrechts Handbuch Band I 55 Rn 19 ff Recknagel Vertrag und Haftung beim Internet Banking S 220 ff Bock in Br utigam Leupold Kap VII Rn 66 Recknagel Vertrag und Haftung beim Internet Banking S 220 f Bock in Br utigam Leupold Kap VII Rn 67 G mann in Bankrechts Handbuch Band I 55 Rn 20 Ebenso f r das Btx System schon Hellner FS Werner S 251 260 f Siebert Das Direktbankgesch ft S 125 allgemein f r automatisierte Einrichtungen bereits K hler AcP 182 1982 126 129 ff Ebenso Kind Werner CR 2006 353
622. wehrprogramm ist die sog Firewall welche insbesondere der Abwehr von Angriffen aus Netzwerken dient und damit wichtig f r die generelle Sicherheit des 577 Computers ist Durch eine Firewall wird einerseits der Zugriff auf Programme und Systemfunktionen von au en bereits im Aufbau blockiert Andererseits erm glichen die sog Personal Firewalls dar ber hinaus die Freigabe oder Verweigerung von Netz zugriffsrechten lokaler Programme So kann z B ein Programm das auf Ressourcen im Ernst CR 2006 590 593 Heibey in Ro nagel Handbuch Datenschutzrecht Kap 4 5 Rn 131 Schmidbauer abrufbar unter http www i4j at news aktuell36 htm w chentlich oder k rzer Koch NIW 2004 801 807 ebenso BSI IT Grundschutzhandbuch 2005 M 4 3 Ebenso Ernst CR 2006 590 593 Mankowski in Ernst Hacker Cracker amp Computerviren Rn 516 Abzulehnen LG Stralsund CR 2006 487 489 Vgl LG K ln JurPC Web Dok 62 2004 wonach zu einem Sicherheitskonzept auch eine Firewall geh rt Schneider G nther CR 1997 389 394 Prof Dr Gerald Spindler 127 299 300 Internet zuzugreifen versucht hieran durch entsprechende Regeln gehindert werden Fi rewalls dienen damit auch dem Schutz vor Trojanern Die Unsicherheit des Betriebs von Computern im Internet bzw die Angreifbarkeit ist weithin bekannt Dies bezieht sich zwar haupts chlich auf Viren aber zumindest die abstrakte Kenntnis des Nutzers von der Gef hrlichkeit oh
623. weise sollte indes der Produktbegriff vergleichbar der Diskussion im ProdHaftG Rn 209 ff auch im Verbrauchsg terkauf entsprechend erweitert verstanden wer den Schlie lich kann der Regress f r den gerade international wichtigen IT Softwareverkauf durch Rechtswahl nach Art 27 EGBGB abbedungen werden da 478 BGB nicht zu den international zwingenden Normen nach Art 34 EGBGB z hlt Wie Software rechtlich zu qualifizieren ist war lange Zeit und ist es seit der Schul rechtsreform wieder umstritten W hrend vor der Schuldrechtsmodernisierung durch die stetige Rechtsprechung weitestgehend Einigkeit herrschte dass Software zumindest wenn sie in irgendeiner Weise verk rpert ist als Sache zu qualifizieren sei und so die Vorschriften ber den Kauf der lediglich f r Sachen und Rechte gilt anwendbar sei 181 en Durch die Schuldrechtsreform wurde 453 BGB eingef gt wonach die kauf rechtlichen Vorschriften nun auch auf sonstige Gegenst nde anwendbar sind In der Ge setzesbegr ndung wurde weiter Software als sonstiger Gegenstand genannt was ein Teil der Literatur zum Anlass nahm die Diskussion um die Einordnung von Software erneut zu aufzunehmen da eine Qualifikation als Sache insbesondere im Rahmen des neu formulierten 651 BGB nach dem Wortlaut die Konsequenz h tte dass bei Liefe rung oder Erzeugung von Software nicht Werkvertragsrecht sondern Kaufrecht anzu wenden w re Insgesamt lassen sich z
624. wendungspflichten d Schadensminderung 4 Beweisfragen 5 Ergebnis III Einsatz von IT bei kommerziellen Unternehmen als Nutzer 1 berblick 2 Gefahrenpotential und Gegenma nahmen 3 Anforderungen an die kommerziellen Unternehmen a Gesellschafts wirtschafts und allgemein zivilrechtliche Anforderungen 1 IT Riskmanagement als Gesch ftsleiterpflicht a Hintergrund b Pflichten und Adressat c Rechtsfolgen d Anhaltspunkte f r IT Konkretisierung e Riskmanagementpflichten in anderen Rechtsformen Das IT Riskmanagementsystem nach ISO 27001 2 Mittelbare Wirkung von Basel II Kreditwesenaufsichtsrecht a Hintergrund b Pflichten und Adressat c Rechtsfolgen d Anhaltspunkte f r IT Konkretisierung 3 Anforderungen durch den Sarbanes Oxley Act SOX a Hintergrund b Pflichten und Adressat c Rechtsfolgen d Anhaltspunkte f r IT Konkretisierung b Allgemeine zivilrechtliche Pflichten 1 Herleitung von Pflichten im IT Bereich 2 Einzelfragen a Virenscanner b Firewall c System und Programmupdates d Nutzung von Nutzerkonten mit eingeschr nkten Rechten e Intrusion Detection Systeme Malware Entfernungsprogramme g Ergebnis c Zwischenergebnis Allg Verantwortlichkeit kommerzieller Unternehmen als Nutzer 4 Der Einfluss des Datenschutzrechts auf die Pflichten von IT Nutzern Datensicherheit und Datenschutz a BDSG 1 Hintergrund 2 Kommerzieller IT Nutzer als Adressat a Nicht ffent
625. wesentli chen nur die ffentlich rechtlichen Normen zur Produktsicherheit allen voran das als Rahmengesetz f r die Produktsicherheit gedachte Ger te und Produktsicherheitsge setz GPSG daneben aber auch Spezialgesetze wie das Medizinproduktegesetz die individuellen Schutz entfalten k nnen Da das GPSG als Schutzgesetz nach 823 Abs 2 BGB zu qualifizieren und Software nicht vom GSPG ausgenommen ist n her unten Rn 209 ff sind entsprechende zivilrechtliche Schadensersatzanspr che grunds tzlich denkbar Ein Anspruch des Produktbenutzers besteht aufgrund des ein geschr nkten Schutzbereichs des GPSG jedoch nur bei Personensch den so dass der Anwendungsbereich des GPSG bei fehlerhaften IT Produkten gering sein d rfte unten Rn 209 ff Bei fehlerhaften Medizinprodukten mit Softwaresteuerung s 3 Nr 1 MPG k nnen ggf die Vorschriften des MPG als Schutzgesetz zur Anwendung gelan gen 390 391 392 393 394 395 396 Bamberger Roth Spindler 823 BGB Rn 491 N her unten Rn 206 ff allgemein zum GPSG Klindt NIW 2004 465 ff Potinecke DB 2004 55 ff Deutsch Spickhoff Medizinrecht Rn 1248 Foerste in v Westphalen ProdHaftHdb 32 Rn 13 Bam berger Roth Spindler 823 BGB Rn 190 Zum Schutzgesetzcharakter des GPSG s Potinecke DB 2004 55 60 Spindler NJW 2004 3145 3148 Molitoris in RAnwHdb C 14 Rn 221 Klindt GPSG 4 GPSG Rn 75 Reinicke Tiedtke Rn
626. wirtschaft e V BB 2004 2399 2402 Gruson Kubicek Der Sarbanes Oxley Act 6 ff abruf bar unter http abrufbar unter http www jura uni frankfurt de ifawz1 baums Bilder_und_Daten Arbeitspapiere paper113 pdf auch AG 2003 337 340 ff Schiessl AG 2002 593 600 H tten Stromann BB 2003 2223 2223 f Schwalbach AG 2004 186 188 zur Stellung des Audit Commitee Financial Experts eingehend ZLuttermann BB 2003 745 ff Festgelegt in Sec 3 a 58 A Exchange Act eingef gt durch Sec 205 SOX Ausf hrlich zum Whistleblowing Verfahren Berndt Hoppler BB 2005 2623 s auch H tten Stromann BB 2003 2223 2224 Near Miceli Journal of Business Ethics 1985 4 Keenan Employee Responsibilities and Rights Journal 2000 200 Berndt Hoppler BB 2005 2623 2624 f mwN Grant Journal of Business Ethics 2002 391 f Johnson Whistleblowing When it works and why 31 ff Leisinger Whistleblowing und Coporate Reputation Management 259 ff Prof Dr Gerald Spindler 158 371 312 373 als Gef hrdung der Unternehmensfortf hrung der Muttergesellschaft auswirken k nnen empfiehlt sich die Einrichtung eines einheitlich geregelten Whistleblowing Verfahrens f r alle Konzernteile um sich nicht straf oder zivilrechtlichen Sanktionen ausgesetzt zu 703 sehen Im Gegensatz zu den besonderen Anforderungen an die Ausgestaltung des internen berwachungssystems ist schlie lich festzuhalten dass die interne Revision
627. zt abgerufen am 06 06 2007 dem Problem von Interessenkonflikten und Verm gensverwaltung widmet sich Kruithof Conflicts of Interest in Institutional Asset Management Is the EU Regulatory Approach adequate Financial Law Institute Universiteit Gent Working Paper Series WP 2005 07 Dec 2005 Bolton Freixas Shapiro NBER wor king paper series No 10571 abzurufen unter http www2 law columbia edu contracteconomics papers Bolton Conflicts_Interest_Info pdf zuletzt ab gerufen am 06 06 2007 Cain Loewenstein Moore J Leg Studies 34 2005 1 abzurufen unter www Jjournals uchicago edw JLS journal issues v34n1 340105 340105 web pdf zuletzt abgerufen am 06 06 2007 Prof Dr Gerald Spindler 197 467 468 469 470 471 c Rechtsfolgen Da die MiFID keine eigenen Regelungen zur Sanktionierung der genannten Pflichten enth lt und auch die nach dem Referentenentwurf geplanten nderungen des KWG und WpHG nicht die Rechtsfolgen betreffen bleibt die oben dargestellte Rechtslage von der neueren Entwicklung unber hrt d Anhaltspunkte f r IT Konkretisierung Konkrete Anhaltspunkte f r die Umsetzung der Organisationspflichten im IT Bereich sind nur vereinzelt vorhanden So werden die Wertpapierfirmen etwa in Art 13 Abs 5 2 Unterabs MiFID das Risikomanagement betreffend dazu verpflichtet wirksame Kontroll und Sicherheitsmechanismen f r Datenverarbeitungssysteme einzurichten Art 5 Abs 3 DRL enth lt nur die Gen
628. zung geltend machen kann Aus dogmatischer Sicht kann dieses Unbehagen gegen ber einer Anscheinsvollmacht schlie lich damit begr ndet werden dass hier statt einer Zurechnung einer Erkl rung die auf einer Handlung und einem Erkl rungsbewu tsein beruhen m sste letztlich eine Haftung auf das positive Interesse f r die fahrl ssige Verletzung von rechtsverkehrs bezogenen Sorgfaltspflichten eingef hrt wird ein Tatbestand wie er f r die Pflicht verletzungen im vorvertraglichen Stadium eher typisch ist Eine weit verbreitete Leh re m chte die Anscheinsvollmacht daher insgesamt auf den Handelsverkehr beschr n ken b Allgemeine Haftung f r fahrl ssig gesetzte Rechtsscheinstatbest nde Ein Teil der Literatur bejaht eine besondere Rechtsscheinsvollmacht in Fortbildung der Grunds tze zur Anscheinsvollmacht wobei jedoch auf das Erfordernis der gewissen H ufigkeit und Dauer verzichtet werden soll Bei R Gespr chen lehnt der BGH in der Regel die herk mmliche Anscheinsvollmacht ab Allerdings komme eine Rechts scheinshaftung bei R Gespr chen aber doch in Betracht wenn ein Minderj hriger wie derholt und ber gewisse Dauer R Gespr che angenommen hat und der Anbieter durch das Begleichen der Rechnung durch den Anschlussinhaber davon ausgehen konnte dass 973 dieser die Inanspruchnahme dulde Das bedeutet dass der BGH gerade nicht auf das anerkannte Merkmal der gewissen H ufigkeit
629. zung kommt in den F llen in Betracht in denen Ger te Maschinen oder Anlagen mit Hilfe von Software gesteuert werden und die Software somit indirekt in mechanischer Weise auf die Umwelt ein wirkt In diesem Zusammenhang stellt sich das Problem des sog Weiterfresser schadens wenn der Fehler einer in eine Maschine usw eingebauten Software zu einer 200 Besch digung oder Zerst rung der Gesamtsache f hrt Nach gefestigter Rechtspre chung des BGH sind Sch den an einem ansonsten fehlerfreien Produkt welche durch ein integriertes fehlerhaftes Teilprodukt verursacht wurden nach 823 Abs 1 BGB wegen Verletzung des Eigentums am fehlerfreien Rest zu ersetzen zum ProdHaftG s unten Rn 193 ff Nachdem der BGH eine Eigentumsverletzung zun chst bei funk tionaler Abgrenzbarkeit des fehlerhaften Teils bejahte stellt er nunmehr auf die Unter scheidung zwischen dem vertraglich gesch tzten quivalenzinteresse und dem delik tisch gesch tzten Integrit tsinteresse ab Eine Eigentumsverletzung liegt demnach vor wenn der Minderwert welcher der Sache von Anfang an anhaftete nicht mit dem einge 202 tretenen Schaden stoffgleich ist Dies wird man regelm ig dann bejahen k nnen BGHZ 138 311 315 Bamberger Roth Spindler 823 BGB Rn 114 mwN Dazu ausf hrlich Koch Versicherbarkeit von IT Risiken Rn 360 Sodtalbers Softwarehaftung im Inter net Rn 523 Taeger Au ervertragliche Haftung f r feh
630. zur Bew ltigung des Gesch ftsbetriebs bzw Teilen davon z B der Buchhaltung auch bei Ausfall der Prim rsysteme Kontrolle aller Ma nahmen durch das Management insb nach SOX 3 Unterschiede Unterschiede zwischen den Pflichten ergeben sich insbesondere im Hinblick auf die Zielrichtung W hrend die Pflichten nach AktG und GmbHG St rungen des Gesch fts betriebs verhindern bzw beheben k nnen sollen zielen KWG und WpHG auch und be sonders auf die st rungsfreie Durchf hrung der Auftr ge ab Auf der einen Seite steht somit der Schutz des Unternehmens auf der anderen der Schutz Dritter bzw weiterer Verfahren wie denen des Finanzverkehrs Das Datenschutzrecht sowie die Pflichten von Telekommunikationsanbietern haben zudem einen stark technischen Charakter Ziel ist hier der Schutz der Daten verlangt werden deshalb angemessene technische Vorkehrungen Daraus lassen sich zwar auch Pflichten in Richtung eines IT Sicherheitsmanagements ableiten aber im Vorder grund steht die Erreichung eines technischen Schutzes Zudem kann nach 4f BDSG die Bestellung eines Datenschutzbeauftragten erforderlich sein Eine Sonderstellung hat des Weiteren der Sarbanes Oxley Act Er soll insbesondere die korrekte Rechnungslegung sichern im Einzelnen siehe III 3 a 3 b fordert aber ber die Festlegung von entsprechenden Zust ndigkeiten hinaus auch sogenannte Whistleblowing Verfahren Audit Commitees sowie eine interne Revision als Kontroll
631. zuschalten um das Online Banking Angebot berhaupt nutzen zu k nnen Die Freischaltung Aktiver Inhalte f hrt auf der 103 Selbst das HBCI Verfahren hat sich bei einem gestellten Angriff durch den Chaos Computer Club in Zusammenarbeit mit dem Hessischen Rundfunk als nicht v llig sicher gegen ber Trojanern erwiesen wenn der Bankkunde seine Chipkarte im Leseger t stecken l sst vgl abrufbar unter http www heise de newsticker meldung 9349 Sofern der Kunde dar ber instruiert war die Chipkarte nach Beendigung des Online Banking aus dem Leseger t zu entfernen wird man hier eine Pflichtverlet zung des Kunden annehmen k nnen 104 Vgl Stockhausen WM 2001 605 606 105 Im Ergebnis ebenso Kind Werner CR 2006 353 359 Dazu auch Spindler in Had ding Hopt Schimansky S 212 f Prof Dr Gerald Spindler 216 516 517 1006 1007 Kundenseite jedoch zugleich zu einer deutlich erh hten Gef hrdung da Aktive Inhalte wichtige Hilfsmittel f r mehr oder weniger aufw ndige Angriffe Dritter sind Alternati ve M glichkeiten zur ansprechenden Gestaltung von Webseiten ohne Aktive Inhalte sind verf gbar und mit nur geringem Aufwand auch noch nachtr glich umsetzbar Ver wendet die Bank auf ihren Webseiten dennoch Aktive Inhalte wird man im Schadens fall eine eigene Pflichtverletzung zumindest aber ein Mitverschulden der Bank anneh men m ssen b Beobachtungspflichten Neben der fortlaufenden berwachung der eigene
Download Pdf Manuals
Related Search