12.07.2016

OGH: „Schockrechnung“ nach Hackerangriff (Schutz- und Sorgfaltspflichten des Telekom-Betreibers)

OGH 15.06.2016, 4 Ob 30/16i
[...] Es überspannt nicht die Schutz- und Sorgfaltspflichten der Klägerin als Betreiberin von Kommunikationsdiensten, wenn man von ihr verlangt, ihr leicht mögliche Maßnahmen zur Abwehr von Hackerangriffen zu ergreifen. Eine ergänzende Vertragsauslegung führt zum Ergebnis, dass jene Leistungen, die unter Verletzung von Schutz- und Sorgfaltspflichten durch die Klägerin entstanden sind, nicht zu vergüten sind. Es handelt sich bei den durch den Hackerangriff verursachten Leistungen um solche, die bei Einhaltung der gebotenen Sorgfalt der Klägerin nicht angefallen wären. Deren Existenz gelangte nämlich wesentlich früher in den Wahrnehmungsbereich der Klägerin als in jenen der Beklagten. Dessen ungeachtet hat es die Klägerin unterlassen, den Angriff abzuwehren bzw die Beklagte zumindest rechtzeitig zu warnen.
Quelle: OGH-Pressemeldung
Aus dem Urteil:
[...] 7. In der Literatur wird vertreten, dass die einem Betreiber von Kommunikationsdiensten obliegenden Schutz- und Sorgfaltspflichten im Fall ungewöhnlich hoher Verbindungsentgelte eine Reaktion desselben erfordern, etwa in Form einer Warnnachricht (Hasberger/Wagner, Zur Sperrverpflichtung der Kommunikationsanbieter bei Kostenüberschreitung, MR 2013, 346), und dass das bloße Absenden einer Warnnachricht, ohne dass sich der Betreiber versichert, dass ihr Inhalt dem Nutzer auch tatsächlich zur Kenntnis gelangt, in der Regel nicht ausreichend ist (Goldbacher/Dama, Zur Sperrverpflichtung der Kommunikationsanbieter bei Kostenüberschreitung – eine Replik, MR 2014, 113). Gerade deshalb, da die Telekomunternehmen wüssten, dass der Kunde oftmals überfordert ist, seien sehr strenge Schutz-, Aufklärungs- und Sorgfaltspflichten anzunehmen (Schneider, Von „Schockrechnungen“ und dem Mythos, diese bezahlen zu müssen, AnwBl 2012, 309).
8. Im konkreten Fall erbrachte die Klägerin gegenüber der Beklagten Verbindungsleistungen im Rahmen eines ISDN-Anschlusses. Die – im Anlassfall verwirklichte – Gefahr eines Hackerzugriffs wäre für die Klägerin insofern beherrschbar gewesen, als es ihr sowohl personell als auch technisch leicht möglich gewesen wäre, das Wirksamwerden dieser Gefahr durch ein Gebührenmonitoring und eine entsprechende Warnung der Beklagten zu verhindern. Nach den Feststellungen hätten entsprechende Schutzmaßnahmen durch die Klägerin vollautomatisiert und ohne Personaleinsatz erfolgen können, und überdies hat sie im zweiten Halbjahr 2014 ohnehin ein Gebührenmonitoring auf Basis der übermittelten Verrechnungsdaten eingeführt. Die Beklagte selbst hatte hingegen keine Möglichkeit, die Gefahr eines Hackerangriffs durch eigene Vorkehrungen abzuwenden, zumal sie keine Änderungen der Basiseinstellungen an der – durch ein Drittunternehmen installierten – Telefonanlage vornehmen konnte.
9. Es überspannt daher nicht die Schutz- und Sorgfaltspflichten der Klägerin als Betreiberin von Kommunikationsdiensten, wenn man von ihr verlangt, ihr leicht mögliche Maßnahmen zur Abwehr von Hackerangriffen zu ergreifen. [...]