AG Gelnhausen: Haftung des Server-Inhabers bei DDoS-Attacken

20.10.2005

Das AG Gelnhausen (Urt. v. 06.10.2005 - Az.: 51 C 202/05) hatte darüber zu entscheiden, unter welchen Umständen ein Server-Inhaber für DDoS-Attacken durch Dritte haftet.

Die Klägerin, ein ISP, hatte an den Beklagten, der als Reseller auftrat, einen Web-Server vermietet. In den AGB der Klägerin stand die Klausel:

"Wenn Sie sich während der Benutzung des Service auf eine Weise verhalten, die gegen diese Richtlinien verstößt oder auf andere Art illegal oder unangemessen ist, behalten wir uns das Recht vor, Ihren Zugang zum Service vorübergehend oder endgültig aufzuheben.

In den meisten Fällen werden wir versuchen, Sie darüber zu informieren, daß bestimmte Aktivitäten gegen die Richtlinien verstoßen, und wir werden Sie bitten, diese Aktivitäten zu unterlassen; wir behalten uns jedoch das Recht vor, den Service ohne Ankündigung aufzuheben, falls die Funktionsfähigkeit des Netzwerks von IP Exchange gefährdet ist oder falls die Verstöße UCE/SPAM, die Versendung von E-Mails unter anderem Namen, die Veränderung der Informationen für Ihre Ausgangs-IP-Adresse, das Leugnen von Serviceattacken, illegale Aktivitäten, Belästigungen oder Urheberrechtsverletzungen einschließen.

Außerdem können wir bei Verstößen gegen die Richtlinien andere angemessene Maßnahmen juristischer oder anderer Art einleiten (...)."


Es kam zu DDoS-Attacken auf den Server des Beklagten durch unbekannte Dritte. Die Klägerin schaltete daraufhin den Server ohne Ankündigung ab und verlangte zugleich die Zahlung der Mietkosten, der erhöhten Traffic-Gebühren und die Entgelte für die besondere DDoS-Behandlung.

Die DDoS-Attacken lägen im Risiko-Bereich des Beklagten, so die Ansicht der Klägerin. Daher sei die Abschaltung gerechtfertigt gewesen.

Dem ist das AG Gelnhausen überwiegend gefolgt.

"Die Klägerin hat unstreitig das komplette Rechnersystem des Beklagten ohne Vorankündigung vom Netz genommen mit der Folge, dass der Beklagte gegenüber seinen Kunden keine Leistungen mehr erbringen konnte. Dazu war die Klägerin nicht berechtigt.

Aus [den AGB] lässt sich ein solches Recht der Klägerin nicht herleiten Voraussetzung dafür ist ein Fehlverhalten des Beklagten, das vorliegend lediglich pauschal behauptet wurde und mangels konkreter Darstellung unbeachtlich ist."


Das Gericht ist somit der Ansicht, dass der Vermieter zwar im vorliegenden Fall den Server hätte nicht abschalten dürften, aber im übrigen die sonstigen Kosten verlangen kann.

So sollen der zusätzliche DDoS-Traffic und sonstige zusätzliche Leistungen vom Mieter zu tragen sein:

"Der Angriff erfolgte auf den Server des Beklagten und lag damit grundsätzlich in seinem Risikobereich. Der erhöhte Datentransfer und die Leistungen zur Analyse und dem Stoppen der Attacken sind nicht der Klägerin anzulasten, sondern erfolgten im Vertragsverhältnis zwischen den Parteien zugunsten des Beklagten.

Wegen dieser Kosten kann der Beklagte Rückgriff bei den Verursachern der Angriffe nehmen, nicht aber die Leistung gegenüber der Klägerin verweigern."