Bei strafbarem Verhalten (etwa dem Raubkopieren von Software) erstatten die Geschädigten verstärkt Strafanzeige. Die Behörden versuchen daraufhin die zur Strafverfolgung notwendigen Daten zu ermitteln. Nach der neueren Rechtsprechung werden Auskunftsansprüche der TK-Anbieter (Provider) nach §§ 89 VI, 113 TKG allgemein anerkannt. Auch der Arbeitgeber wird bei erlaubter Privatnutzung zum TK-Anbieter. Demnach müssen die öffentlichen Provider die IP-Adresse herausgeben und die Arbeitgeber anhand der IP-Adresse die persönliche Zuordnung zum konkreten Mitarbeiter vornehmen.

Solche Ermittlungen der Behörden bringen die Verantwortlichen in den Unternehmen nicht selten in schwierige Situationen, insbesondere wenn die Passwort- beziehungsweise Identitätsverwaltung beim Arbeitgeber so unzureichend ist, dass die persönliche Zuordnung der IP-Adresse auch den Falschen treffen kann. Je sensibler der verfolgte Straftatbestand ist, desto empfindlicher wird ein zu Unrecht beschuldigter Mitarbeiter reagieren. Denn die persönliche Zuordnung der IP-Adresse und Herausgabe der Daten führt zu unmittelbaren Ermittlungsmaßnahmen gegen den Mitarbeiter.

Verkehrssicherungspflichten
Zum besseren Verständnis der Haftungssystematik sind die obergerichtliche Rechtsprechung des Bundesgerichtshofes (BGH) zu den Verkehrssicherungspflichten sowie die Vorgaben des KonTraG für ein verbindliches Risikomanagement zu betrachten:“Wer eine Gefahrenquelle eröffnet oder sich an ihr beteiligt, muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen.” Der BGH spricht im Rahmen der Haftungssystematik von Verkehrssicherungspflichten:
 

• Die Kommunikationsvorgänge in Intranet und Internet eröffnen vielfältige Gefahren, sind also Gefahrenquellen im Sinne der Verkehrssicherungspflichten.
• Die Verkehrssicherungspflichten bestehen im Wesentlichen aus den Organisationspflichten bezüglich betrieblicher (technischer) Abläufe sowie den Aufsichtspflichten des Arbeitgebers gegenüber seinen Mitarbeitern.
• Hundertprozentige Sicherheit kann im Rahmen der Verkehrssicherungspflichten nicht verlangt werden, aber Maßnahmen nach der Verkehrserwartung, die wirtschaftlich zumutbar sind.
• Auch die vertraglichen Schutzpflichten orientieren sich an den Verkehrssicherungspflichten.

Die Verkehrssicherungspflichten ergeben sich aus einer Vielzahl gesetzlicher und vertraglicher Bestimmungen sowie der Rechtsprechung. Die konkretisierenden Normen werden von der Rechtsprechung als Maßstab für die angemessenen Sicherungserwartungen herangezogen. Der Umfang der Verkehrssicherungspflichten bestimmt sich insbesondere nach
 

• den Sicherheitserwartungen der beteiligten Verkehrskreise,
• der Marktüblichkeit der Sicherheits- Hardware und -Software,
• der Quantität der Datenverarbeitung,
• der Gefährlichkeit des Handelns,
• dem Prinzip der Verhältnismäßigkeit, also der Erforderlichkeit und Angemessenheit von Maßnahmen sowie
• der wirtschaftlichen Zumutbarkeit, also der Größe und Leistungsfähigkeit eines Unternehmens.

Nach der Rechtsprechung ist im gewerblichen Bereich eine zuverlässige, zeitnahe und umfassende Sicherung der IT-Systeme erforderlich. Ansonsten können betriebliche Brandherde – wie etwa raubkopierte Software oder der strafbare Download von MP3-Files aus P2PNetzwerken – zur Mitverantwortlichkeit in Unternehmen und Behörden führen. Umgesetzt werden die Pflichten zur Haftungsprävention durch ein Bündel von Maßnahmen, bestehend aus Technik, Nutzungsrichtlinien und rechtlicher Gestaltung:
 

• Ganzheitlichkeit: abgestimmter Mix aus technischen, organisatorischen und rechtlichen Maßnahmen,
• Technisch: upgedateter Virenschutz, URL-Filter, Content-, Spam-Filter et cetera,
• Organisatorisch: Zuständigkeits-, Verantwortlichkeitsverteilung, Policy, Nutzungsrichtlinien, Kontrolle der Beschäftigten et cetera,
• Rechtliche Gestaltung: Betriebs-/ Dienstvereinbarung, Steuerung durch Verträge, SLA,AGB und ähnliche,
• Transparenz der Regeln: Erzeugt Vertrauen und eine Warnfunktion mit Lenkungswirkung.

Störerhaftung für ungesicherte Netzwerke, offene WLANs
Das Landgericht Hamburg hat im Juli vergangenen Jahres entschieden, dass der Betreiber eines offenen WLANs für urheberrechtswidrige, strafbare Down- und Uploads über P2P-Netze zumindest im Rahmen der Störerhaftung verantwortlich ist. Bei einem offenen WLAN ohne Passwortschutz ist die Datenübertragung nicht gesichert. So können etwa illegale MP3-Dateien missbräuchlich über das offene Wireless LAN durch externe Dritte heruntergeladen werden.

Im Rechtssinne handelt es sich dabei um ein öffentliches Zugänglichmachen von Musikdateien über Peer-to-Peer. Dem Betreiber eines WLANs obliegen umfangreiche Verkehrssicherungspflichten. Wer seine Internetverbindung drahtlos betreibt, muss für die Sicherung des Netzwerkes sorgen, andernfalls verstößt er gegen zumutbare Prüfungspflichten.

Das Urteil reiht sich in eine mittlerweile große Zahl von Entscheidungen ein, welche die Störerhaftung für unsichere Netzwerke oder Plattformen bejahen. So haben etwa auch der Bundesgerichtshof oder das Oberlandesgericht (OLG) Brandenburg jüngst entschieden, dass für Markenpiraterie zu Schleuderpreisen auf Internetverkaufsplattformen das Auktionshaus haftet.

Es besteht eine Vorsorgepflicht gegen bekannte Missstände, der Einsatz von präventiver Filtersoftware ist zumutbare Prüfungspflicht (so auch Landgericht Berlin vom 22.05.2005), und bei eindeutigen Hinweisen (bedingter Vorsatz) besteht eine Schadensersatzpflicht.

Die dargestellte Rechtsprechung ist auf unsichere Netzwerke, Systeme oder Plattformen gleichermaßen anzuwenden. So wird man in Zukunft auch bei offenen Mail-Relays, über die Spamattacken oder Hackerangriffe erfolgen, eine Haftung des Betreibers bejahen müssen. Übertragen wir die dargestellten Haftungssysteme auf die spezielle Situation in der IT, so ergibt sich das nachfolgende Haftungsszenario.

Eigenhaftung der Mitarbeiter
Die Vermeidung persönlicher Eigenhaftung ist für die handelnden Mitarbeiter, wie etwa IT-Leiter, Sicherheitsbeauftragte, Administratoren und sonstige IT-Verantwortliche, ein entscheidender Faktor. Hierbei ist zwischen der zivilrechtlichen Haftung mit Schadensersatz, der arbeitsrechtlichen (Abmahnung, Kündigung) sowie der strafrechtlichen Haftung (Geld- oder Freiheitsstrafe) zu unterscheiden.

Aus dem Arbeitsverhältnis treffen grundsätzlich jeden Mitarbeiter sogenannte arbeitsvertragliche Nebenpflichten mit Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten. Als Sorgfaltsmaßstab gilt ein besonnener Mensch mit durchschnittlichen Fähigkeiten in der Situation des Arbeitnehmers. Dies bedeutet jedoch höhere Sorgfaltsanforderungen an leitende Mitarbeiter. Die Beweislast liegt gemäß § 619a BGB beim Arbeitgeber.

Die rechtlichen Folgen
Schadensersatzansprüche des Arbeitgebers wegen Verletzung der arbeitsvertraglichen Nebenpflichten sind in der Praxis nicht häufig, aber möglich. Aufgrund der  Fremdbestimmtheit der Arbeitsleistung trägt der Arbeitgeber das Unternehmensrisiko. Gegen Schadensersatzansprüche seines Arbeitgebers ist der redliche Arbeitnehmer,  der nicht vorsätzlich oder grob fahrlässig handelt, prinzipiell geschützt. Nur wer beispielsweise raubkopierte Software bewusst oder sehr leichtfertig herunterlädt, kann vom Arbeitgeber auch zivilrechtlich belangt werden. Diese Haftungserleichterung für den Mitarbeiter gilt grundsätzlich nur im Verhältnis zum Arbeitgeber. Im Verhältnis zu geschädigten Dritten besteht aber ein Freistellungsanspruch des Arbeitnehmers gegen den Arbeitgeber.

Für eine mögliche Strafbarkeit gilt dagegen der Grundsatz der vollständigen Eigenverantwortung. Ein Arbeitnehmer macht sich also selbst strafbar, wenn er etwa bewusst unlizenzierte Software installiert oder raubkopierte Inhalte herunterlädt. Die arbeitsvertragliche Haftungserleichterung ist nicht anwendbar. Eine Strafbarkeit ist bei vorsätzlichem Verhalten stets möglich, da die Urheberrechte auch strafrechtlich abgesichert sind.

Nicht von der Haftungserleichterung erfasst sind auch die arbeitsrechtlichen Sanktionen der Abmahnung oder Kündigung, welche bei Pflichtverstößen des Mitarbeiters stets eintreten können.

Haftung nach Telemediengesetz
Der Gesetzgeber unterscheidet im Telemediengesetz (TMG) zwischen eigenen und Fremdinhalten. Die gesetzliche Haftungssystematik bleibt allgemein und schablonenhaft, sodass sich die praktischen Fälle mit dem TMG allein nicht befriedigend lösen lassen.

Eindeutig ist aber, dass ein Anbieter – wie etwa ein Provider – für fremde Inhalte jedenfalls dann haftet, wenn er trotz Kenntnis beziehungsweise eindeutiger Hinweise nichts unternimmt. Im Übrigen arbeitet die Rechtsprechung mit den geschilderten Verkehrssicherungspflichten. Diese lassen sich wie gesehen aus einer Vielzahl von gesetzlichen und vertraglichen Bestimmungen entnehmen.

Compliance und Risikomanagement
Compliance, also die Einhaltung gesetzlicher und eigener Standards (etwa in der Policy), ist nicht nur ein Marketing- Schlagwort, sondern erfordert konkrete Maßnahmen – auch im Hinblick auf die Einhaltung der Urheberrechte und lizenzrechtlichen Bestimmungen.

Die Unternehmensleitung von Kapitalgesellschaften (AG, GmbH) hat für ein wirksames Risikomanagementsystem zu sorgen. Im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt der Gesetzgeber Sicherungsmaßnahmen vor, nach denen ein Überwachungssystem einzurichten ist, das bestandsgefährdende Entwicklungen frühzeitig erkennt. Dieses Frühwarnsystem erfordert unter anderem eine präventive Überwachung und Erkennung von Fehlentwicklungen in der IT-Sicherheit. Auch das BSI verweist in seinen Standards ausdrücklich auf die Vorgaben des KonTraG (etwa im "Leitfaden IT-Sicherheit"). Damit greift der Gesetzgeber in die "Corporate Governance", also die Führung und Überwachung des Unternehmens ein. Der Anwendungsbereich bezieht sich auf mittlere und große Aktiengesellschaften, aber auch auf vergleichbar große GmbHs.

Es bestehen demnach Organisations- und Sorgfaltspflichten des Vorstands nach § 91 Abs. 2 AktG: "Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden." So wäre etwa die Leitungsebene von Verkaufsplattformen oder Tauschbörsen im Internet gehalten, die bestandsgefährdende Präsenz von Urheber- und markenrechtswidrigen Produkten auf der eigenen Plattform zu erkennen und durch den Einsatz von Filtersoftware und organisatorischen Maßnahmen weitestgehend auszuschließen. Andernfalls ist das Unternehmen möglicherweise bestandsgefährdenden Unterlassungs- und Schadensersatzansprüchen der geschädigten Wirtschaftszweige ausgesetzt. Das zeigen Beispiele von Unternehmen wie vormals Napster deutlich auf.

Darüber hinaus bestimmt das KonTragG eine persönliche Haftung des Vorstands mit dem eigenen Vermögen. Auch wenn die Regelungen im KonTraG abstrakt und schablonenhaft bleiben, handelt es sich letztlich um eine Verlagerung der Verantwortlichkeit auf Geschäftsführer und Vorstände. Damit bestätigt die Regulierung im Zusammenspiel mit einer Vielzahl weiterer Normen auch im Hinblick auf Urheberrechtsverstöße die Verantwortlichkeit der Leitungsebene.

Horst Speichert/dr/ln