Die Fälle von Online-Betrug jeder Art häufen sich. Im Zuge von einem wachsenden Datenmissbrauch und geklauten Nutzerdaten stellt sich die Frage, was eigentlich passiert, wenn eBay Nutzer Opfer einer Hacking-Attacke werden und ohne ihr Wissen über ihren Account Waren gekauft oder verkauft werden. Ergeben sich für den Kontoinhaber Pflichten aus dem vermeintlich geschlossenen Vertrag? Muss er für den fremden Eingriff haften? IT-Anwalt Christian Solmecke beantwortet die wichtigsten Fragen.

 

Müssen eBay Nutzer die Konsequenzen aus der missbräuchlichen Nutzung ihres Kontos tragen?

Nein, normalerweise haftet der Kontoinhaber nicht für den Missbrauch seines Accounts. Er muss nicht den Kaufpreis für eine Sache zahlen, die er nicht gekauft hat und schuldet auch nicht die Übergabe einer Sache, die er gar nicht zum Verkauf eingestellt hat. Der Grund ist, dass zwischen dem wahren Inhaber des Kontos und der Gegenseite gar kein Kaufvertrag zustande gekommen ist. Eine Ausnahme besteht nur dann, wenn eine Duldungs-oder Anscheinsvollmacht vorliegt und damit das Handeln des Dritten dem Kontoinhaber zugerechnet werden kann. Eine Duldungsvollmacht liegt vor, wenn der Vertretene es willentlich geschehen lässt, dass ein anderer für ihn wie ein Vertreter auftritt. Eine Anscheinsvollmacht liegt vor, wenn der Vertretene das Handeln des Scheinvertreters zwar nicht kennt, er es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können.

Der BGH nimmt verneinte selbst in einem Fall wo der Ehemann ohne Wissen seiner Frau, Einrichtungsgegenstände über ihr Konto zum Verkauf angeboten hatte, einen Kaufvertrag zwischen der Kontoinhaberin und dem Käufer (Urt. v. 11.05.2011, Az. VIII ZR 289/09). Da die Kontoinhaberin ihren Ehemann weder im Vorfeld zum Verkauf berechtigte, noch hinterher dessen Verhalten genehmigt hat, sind ihr die Erklärungen des Ehemannes nicht zuzurechnen. Da ein Kaufvertrag nur zustande kommt, wenn zwei übereinstimmende Willenserklärungen abgegeben werden, konnten hier keine vertraglichen Ansprüche des Käufers geltend gemacht werden. Es muss sich also noch nicht einmal um einen Missbrauch durch einen Hacker handeln, um vertragliche Ansprüche zu verneinen.

Ist dies nicht unfair gegenüber dem gutgläubigen Käufer?

Der BGH sagt nein und begründet seine Entscheidung wie folgt: „Denn auch, wenn den Zugangsdaten für die Internetplattform eBay eine Identifikationsfunktion zukommt, weil das Mitgliedskonto nicht übertragbar und das ihm zugeordnete Passwort geheim zu halten ist, kann hieraus angesichts der im Jahr 2008 gegebenen und auch derzeit vorhandenen Sicherheitsstandards im Internet auch bei einem eBay Account nicht zuverlässig geschlossen werden, dass unter einem registrierten Mitgliedsnamen ausschließlich dessen tatsächlicher Inhaber auftritt.“

Ähnlich drückte sich auch das Oberlandesgericht Bremen in einem Beschluss aus, das zu einem „eBay Hacking Fall“ erging: „Der Sicherheitsstandard im Internet sei derzeit nicht ausreichend, um aus der Verwendung eines geheimen Passworts auf denjenigen als Verwender zu schließen, dem dieses Passwort ursprünglich zugeteilt worden ist. Die hierdurch entstehende Unsicherheit für Nutzer von Internetplattformen sei hinzunehmen. Insbesondere habe der Verkäufer die Wahl der Plattform für sein Verkaufsangebot in der Hand und könne sichere Wege gehen“ (Az. 3 U 1/12).

Achtung: Wichtig ist hier zu wissen, dass es nur um Ansprüche aus dem Kaufvertrag geht, für die der Kontoinhaber nicht haftet. Anders kann es durchaus im deliktischen Bereich aussehen. Im Deliktsrecht wird eine Haftung des Kontoinhabers durchaus angenommen, wenn dieser nicht ausreichend seine Zugangsdaten vor dem Zugriff Dritter gesichert hat und dadurch beispielsweise eine Markenrechtsverletzung durch das Angebot von Waren über sein Konto ermöglicht hat (Vgl. BGH Urt. v. 11.03.2009, Az. I ZR 114/06 Halzband) .

Muss der eBay Kontoinhaber vor Gericht den Missbrauch auch beweisen?

Einen Beweis, dass Dritte seinen Account missbraucht haben, muss der Account-Inhaber nicht erbringen. Denn im Fall eines Streites vor Gericht muss zunächst der klagende Verkäufer beweisen, dass ein rechtswirksamer Vertrag mit dem Inhaber des Nutzer-Kontos zustande gekommen ist. Dies folgt allgemeinen Rechtsgrundsätzen, wie das OLG Hamm (Urt. v. 16.11.2006, Az. 28 U 84/06) in einem Fall klargestellt hat: „Die Beweislast dafür, dass der Beklagte das „Kaufgebot“ vom 20.10.2005 abgegeben und dadurch den Vertrag angenommen hat, wobei das Einstellen des Warenangebots als verbindliches Angebot zu werten wäre, liegt nach allgemeinen Regeln beim Kläger“. Das sieht auch der BGH im oben genannten Fall nicht anders.

Gibt es dennoch rechtliche Unsicherheiten?

Leider ja. Denn trotz der genannten richterlichen Grundsätze ist nicht gänzlich geklärt, ob es im gerichtlichen Streitfall genügt, dass der Inhaber lediglich allgemein behauptet, sein Account sei missbräuchlich verwendet worden. Es ist durchaus denkbar, dass manche Gerichte verlangen werden, dass der verklagte Nutzer einen Missbrauch durch dritte Personen plausibel macht.

Zudem ist wie bereits erwähnt in manchen Fällen eine Haftung aus Deliktsrecht denkbar.

Um eventuellen rechtlichen Problemen aus dem Weg zu gehen, sollten Internetnutzer daher nicht nur Passwörter ihrer verschiedenen Nutzer-Konten sicher aufbewahren, sondern allgemein ihre Rechner mittels aktueller Virenschutzsoftware sowie regelmäßiger Programmupdates vor Attacken und sonstigen Zugriffen schützen.