Lesezeichen
Myspace
Del.icio.us
PDF
Drucken
Stichworte
Auf shopbetreiber-blog.de wird unter Verweis auf die Berliner Kollegen Schwenke und Dramburg über eine Entscheidung des Amtsgerichts Mitte berichtet, das - so shopbetreiber-blog.de - die Haftung für Einladungsmails "bei einem Hackingangriff" ablehnt. In der Tat hat das Amtsgericht Mitte mit Beschluss vom 02.02.2011 zum Aktenzeichen 15 C 1001/11 einen Unterlassungsantrag im Eilverfahren, den die Kanzlei Richter Berlin für einen belästigten Empfänger einer der Einladungsmail gegen die von den Kollegen Schwenke und Dramburg vertretenen Betreiber des Portals mysportsbrands.de, die privatesportsale GmbH, und gegen deren Geschäftsführer gestellt hatte, zurückgewiesen.
Immer wieder gern lese ich Berichte über interessante Entscheidungen der Gerichte zu schwierigen Entscheidungen aus dem Bereich des Verbraucherschutzes, insbesondere aus dem Bereich des Werberechts. Gerade bei shopbetreiber-blog finde ich regelmäßig interessante Neuigkeiten hierzu. So kam mir denn der Artikel auch gleich bekannt vor. Als Vertreter der erstinstanzlich unterlegenen Antragstellerseite hätte es mich allerdings gefreut, wenn die Kollegen Schwenke und Dramburg den Autor Martin Rätze noch mit einigen zusätzlichen Details des Falles versorgt hätten bzw. wenn diese in die Veröffentlichung eingeflossen wären. So kann den nun das interessierte Publikum derzeit fröhlich darüber spekulieren, was denn genau hier unter einem Hack bzw. einem Hackerangriff zu verstehen sei. Sie werden überrascht sein: Ich frage mich das bis heute, obwohl ich die Schriftsätze der Kollegen kenne.Nach meinem Verständnis gehört zur Verwendung des Wortes Hackerangriff doch zumindest auch die Überwindung irgendwie gearteter Sicherungsmechanismen. Allein wurde ich auf der Suche nach konkreten Darlegungen in den Schriftsätzen der Kollegen, welche Sicherungsmechanismen der privatesportsale GmbH die angeblichen Angreifer auf mysportsbrands.de denn überwinden mussten, kaum fündig. Nach Darstellung von mysportsbrands.de von der privatesportsale GmbH im Verfahren seien am 18. und 19.12.2010 innerhalb von 72 Stunden 188.000 Einladungs-E-Mails versandt worden.
Die Behauptung, die unbekannten Angreifer hätten Passwortsicherungen geknackt oder ähnliches findet sich nirgends. Eidesstattlich versichert wurde zur Frage des Eindringens ins System von Mitgeschäftsführer Erik Pfannmöller lediglich:
"Von zwei IP Adressen wurden mehrfach Login Versuche unternommen, danach wurden Einladungsmails automatisiert versendet."
Aufgrund der Zahl, Zeitdifferenz und Dauer müsse dies automatisch geschehen sein. Nun, das mag sein, bedeutet aber nach meinem Verständnis noch keinen "Hack" oder gar keinen "Hackingangriff". Im Dunklen bleibt, ob irgendwelche Sicherheitseinrichtungen überwunden wurden. Der diesbezügliche Vortrag geht bisher sinngemäß dahin - die Kollegen mögen mich im Zweifel korrigieren - dass seitens angeblicher Unbekannter einfach neun Kundenkonten eingerichtet, in diese sich dann eingeloggt wurde und statt einer oder drei eben automatisiert ein paar tausend Freundschaftseinladungen versandt worden seien. Dies muss man wohl so dass die angeblichen Damen und Herren "Schädiger" einfach ordnungsgemäß angemeldet und eingeloggt haben, wie es ein normaler Nutzer macht? Das Gegenteil ist jedenfalls nicht konkret erkennbar vorgetragen. Wenn danach lediglich die Versendung der Einladungsmails selbst durch ein Skript beschleunigt wird, kann man das dann schon einen Hackerangriff nennen?
Die Argumentation des Amtsgerichts erscheint hier fragwürdig. Nach bisheriger Rechtsprechung derselben Abteilung des AG Mitte ist der (manuelle) Versand einer einzigen derartigen unerbetenen Einladungswerbung eine Rechtsverletzung. Die Richterin meint nun aber, dass dies dann anders sein solle, wenn die empfangene E-Mail eine von mehreren zehntausend sei, die über 3 Tage angeblich unbemerkt von angeblich Unbekannten versandt wurde. Das Gericht meint hier, es sei glaubhaft gemacht, dass die Versendung nicht durch ein "ordentliches Mitglied" erfolgt sei, sondern "dass mittels eines eingeschleusten Programms Dritte eine massenhafte Versendung angeblicher Einladungsmails veranlasst hätten". Was aber ist ein "ordentliches Mitglied" nach Auffassung des Gerichts? Dieselbe Handlung soll haftungsbegründend sein, nur weil sie besonders oft und schnell und mittels Hilfsmittel erfolgt? Eine Rechtsverletzungscharakter soll also im Ergebnis dadurch entfallen, dass die Rechtsverletzung statt einmal gegenüber einer Person, zugleich auch noch zugleich vieltausendfach gegenüber anderen Personen stattfand?
Mit anderen Worten: Wer über seinen Server nicht nur eine einzelne rechtswidrige Einladungszusendung zu verantworten hat, sondern schlampigerweise sogar zulässt, dass Dritte gleich über mehrere Tage viele Tausend gleichartige Einladungen versenden können, soll hier mit dem amtsgerichtlichen Persilschein belohnt werden? Dies auch noch, obwohl ausdrücklich vertreten wird, dass jede registrierte Person auch künftig noch binnen 24 Stunden bis 30 Einladungen verschicken kann, die das Amtsgericht in dieser manuell versandten Form auch weiterhin für rechtsverletzend hält?
Widersprüchlich erscheint es zudem auch, wenn das Amtsgericht nach der Bekräftigung der Rechtswidrigkeit bereits der einzelnen "normalen" Einladungsmail meint, dass
"eine Wiederholungsgefahr im geschehenen Sinne nicht besteht, da nunmehr die Einladungsfunktion zahlenmäßig beschränkt und zum Aktenzeichen (...) Strafanzeige gestellt wurde. Die Verfügungsbeklagten haben damit alles ihnen Mögliche unternommen um in Zukunft derartigen Zugriff auf ihr Portal zu unterbinden "
Hier stellt sich dogmatisch schon die Frage, warum überhaupt von Wiederholungsgefahr die Rede ist, wenn es doch bereits an einer Verantwortlichkeit fehlen soll.
Aber dies sollten nicht die einzigen Fragen bleiben. Bei der Registrierung, so die Prozessvertreter der privatesportsale GmbH erstinstanzlich, müsse ein Mitglied mindestens Namen, Adresse und ein Passwort angeben. Eine
"Verifizierung der E-Mailadresse findet via Double-Opt-in statt."
Eidesstattlich versichert ist diese Aussage interessanterweise und im Gegensatz zu allerhand anderen Ausführungen gerade nicht. Wie es der Zufall so will, erhielten nachweislich Personen, die bei einer Anmeldung den Bestätigungslink der Verifizierungs-E-Mail nicht geklickt hatten, denn auch frisch und munter Werbe-E-Mails von mysportsbrands.de.
Eidesstattlich versichert hat hingegen Mitgeschäftsführer Erik Pfannmöller unter dem 01.02.2011:
"Mir sind bisher auch keine Beschwerden von Empfängern dieser Einladungsmails bekannt"
Nachweisbar ist indes nicht nur, dass sich der Antragsteller zwischenzeitlich beschwert hatte, sondern auch, dass das "Supportteam von mysportsbrands.de" einen Eingang mindestens einer weiteren Beschwerdemail einer anderen Person ausdrücklich per E-Mail bestätigt hatte. Da war Herr Pfannmöller aber vermutlich leider gerade nicht da. Vielleicht nimmt er als Geschäftsführer der privatesportsale GmbH aber auch einfach grundsätzlich Beschwerden praktischerweise nicht zur Kenntnis. Auf jeden Fall wäre es dann nicht strafbar, eidesstattlich zu versichern, dass man von Beschwerden bislang keinerlei Kenntnis habe.
Bei dieser Gelegenheit kann ich mich doch nicht zurückhalten und frage die verehrte Leserschaft: Gibt es vielleicht noch jemanden, der sich wegen derartiger Mails Ende 2010 sofort bei mysportsbrands beschwert hatte, wovon Herr Erik Pfannmöller bedauerlicherweise mutmaßlich ebenfalls nichts mitbekommen hatte?
Schließlich stellt sich im Ergebnis vor allem auch die höchst interessanten Frage, was wohl die Intention der angeblich so böswilligen Angreifer gewesen sein mag, als sie die Welt kurz vor Abschluss des Weihnachsgeschäfts 188.000 fach auf das Shopping-Portal mysportsbrands.de der privatesportsale GmbH aufmerksam machten. Nicht völlig fernliegend war immerhin aus Sicht der angeblichen Schädiger vor ihrer Aktion, dass diese der privatesportsale GmbH einen rasanten Umsatzschub bescheren, statt sie schädigen würde.
Auf antispam.de im Forum des Verbraucherschutzvereins Antispam e. V. wird derweil auch über die Einladungsmails vom Portal mysportsbrands.de diskutiert.Klar und richtig erscheint mir im Ergbnis, dass ein tatsächlicher schädigender Dritteingriff dann nicht zur Haftung des Shop-Betreibers führen kann, wenn er sich grundsätzlich rechtmäßig verhält und sein System in üblicher Weise abgesichert hat. Betreibt man jedoch ein bereits grundsätzlich ein derart zweifelhaftes System wie die tell-a-friend-Funktion ohne zureichende Missbrauchskontrolle, ergreift selbst nach erfolgtem Missbrauch auch nicht etwa wirksame Maßnahmen, um die Wiederholung des Geschehenen zu verhindern, sondern beschränkt es nur in zweifelhaftem Umfang, dann sollte die Haftungsfrage keine sein.
Man darf gespannt, ob das AG Mitte hier wirklich das letzte Wort gesprochen hat oder ob das Landgericht den aufgeworfenen Fragen im Rahmen der Berufung nachgehen wird.
"Nach meinem Verständnis gehört zumindest bei Verwendung des Wortes Hackerangriff doch zumindest auch die Überwindung irgendwie gearteter Sicherungsmechanismen."
Finde ich vertretbar, aber nicht zwingend: Zum "Hack" kann auch der Missbrauch einer Software gehören, also eine zweckentfremdete Verwertung einer Software, die im schlimmsten Fall eine pervertierung der eigentlichen Funktionsbestimmung darstellt. Das Gesetz geht den gleichen Gedankengang, wenn im §303b StGB z.B. die Störung einer Datenverarbeitung durch Dateneingabe in Nachteilszufügungsabsicht sanktioniert ist (§303b I Nr.2 StGB).
"Schließlich stellt sich im Ergebnis vor allem auch die höchst interessanten Frage, was wohl die Intention der angeblich so böswilligen Angreifer gewesen sein mag,"
Scriptkiddies machen so etwas täglich, das ist keineswegs etwas Besonderes oder ein Indiz, um davon auszugehen, dass es doch der Shopbetreiber selber war.
Ich weiß, dass es einen weiten Begriff des Hackens gibt und einen meiner Beschreibung entsprechenden engeren, der wohl von den meisten Menschen geteilt wird.
Wenn es die Überwindung von Sicherungsmechanismen gegeben hat, dann fragt man sich aber doch, warum so dürr vorgetragen wird.
Natürlich gibt es eine theoretisch denkbare andere Erklärung. Die gibt es aber für fast alles im Leben. Wir haben bei der Wahrheitsfindung in der Rechtspflege immer nur mit mehr oder weniger hohen Wahrscheinlichkeiten zu tun.
Ich frage mich nur, warum sollte jemand anderes so einen seltsame Attacke fahren? Und wenn es so wäre, warum wird eine angebliche Double-Opt-In-Sicherung vorgetragen, während nachweislich jedenfalls Werbemails auch ohne Checkmail-Bestätigung von diesem Portal aus verschickt werden? Warum bemerkt man Beschwerden vom 20.12.2010 bis Anfang Februar nicht (Alternative: Warum lügt man eidesstattlich vor Gericht)? Warum wird, wenn man denn ach so geschädigt ist, eigentlich erst am 10. Januar 2011, also erst drei Wochen nach der Schädigung Strafanzeige gestellt mit der vorhersehbaren Folge, dass eine Ermittlung von IP-Inhabern aufgrund der verstrichenen Zeit leider, leider nicht mehr möglich ist?
Ich sage nur eins dazu: Shopbetreiber, die von einer Schädigeraktion getroffen sind, sind nicht zu beneiden. Ich verstehe auch die Sorge, unberechtigt wegen Spam in Anspruch genommen zu werden und würde auch jeden Shopbetreiber mit Vehemenz verteidigen, wenn ich überzeugt wäre, dass er zu Unrecht beschuldigt wird. Es gibt für Joe-Jobs meist auch recht deutliche Anzeichen. Hier spricht nach meiner Einschätzung alles gegen die Betreiber.
Wenn jemand im Weihnachtsgeschäft eine Guerilla-Marketing-Aktion starten wollte, sieht das in etwa so aus wie hier geschehen. Oft sind es nur Kleinigkeiten, die das eine vom anderen unterscheidet und manchmal bleibt das Ganze eben auch schlicht im Ungewissen und das geht dann natürlich zu Gunsten des Shopbetreibers. Und zwar zu Recht. Allerdings sollte man schon dafür sorgen, sich vor Gericht nicht mit solch einer fetten Ansammlung an Ungereimtheiten erwischen zu lassen.
MfG SR