Ein Unternehmen haftet auch dann nicht für urheberrechtswidrige Inhalte, die unbekannte Dritte (Hacker) auf die Webseite hochgeladen haben, wenn die Firma ein veraltetes Content-Management-System (hier: TYPO3 Version 6.2.29 LTS) nutzt (LG Hamburg, Urt. v. 22.01.2019 - Az.: 310 O 219/18).
Die Beklagten betrieben eine Webseite und setzen hierfür das bekannte Content-Management-System TYPO3 in der Version 6.2.29 LTS ein. Die neuere Version 8 war seit April 2017 verfügbar, wurde jedoch nicht verwendet, da diese nicht ausreichend abwärtskompatibel für die Zwecke der Beklagten war. Das letzte Sicherheitsupdate wurde im März 2017 eingespielt. Die Beklagten verwendeten zudem zwei veraltete Extensions.
Der Kläger stellte im Juni 2018 fest, dass auf der Homepage der Beklagten ein von ihm erstelltes Fotos zum Abruf bereitgehalten wurde. Als er außergerichtlich eine Abmahnung wegen der Urheberrechtsverletzung geltend machte, trugen die Beklagten vor, keiner ihrer Mitarbeiter hätte das Bild hochgeladen. Vielmehr habe ein unbekannter Dritter die Internetpräsenz gehackt, eine Unterseite eingefügt und zahlreiche Inhalte (über 39.000 Dateien) hinterlegt, so auch das betreffende Foto.
Der Kläger sah das als bloße Schutzbehauptung und beantragte eine einstweilige Verfügung.
Das Gericht lehnte den Antrag des Klägers ab.
Aufgrund des Vorbringens der Beklagten sei nicht ausreichend sicher, dass die Beklagten für die Urheberrechtsverletzung verantwortlich seien. Die Schuldner hätten umfangreich dargestellt, dass überhaupt nur einige, wenige Mitarbeiter die Rechte gehabt hätten, eine Unterseite anzulegen und einen Datei-Upload herbeizuführen. Diese Mitarbeiter hätten sämtlichst erklärt, das Foto nicht zu kennen.
Der Vortrag der Beklagten, es handle sich um einen Hackerangriff, erscheine insgesamt nicht gänzlich unplausibel. Diese liege vor allem daran, dass auf Beklagtenseite umfangreich einzelne Details vorgetragen worden seien:
"Dieser Fall liegt insofern deutlich anders als vorangegangene Fälle, in denen die Kammer bei (...) Rechtsverletzungen (...) mit (...) ähnlichen, meist aber nur sehr vagen Behauptungen betreffend den unerlaubten Eingriff eines unbekannten Dritten konfrontiert war.
So weist die Seite, auf welcher das streitgegenständliche Foto abrufbar war und welche die Beklagten als „reingehackt“ bezeichnen (die Verletzungsseite), ein völlig anderes Layout im Vergleich zu den weiteren Seiten der Beklagten auf (...).
Die Beklagten verweisen in diesem Zusammenhang auch zutreffend darauf, dass die Texte auf der Verletzungsseite teilweise spamartigen Charakter haben, dass sie auf Englisch gehalten sind, wohingegen die meisten anderen Teile des Internetauftritts der Beklagten in deutscher Sprache erscheinen, und dass es keinerlei inhaltlichen Zusammenhang zwischen dem Verkauf von Tapeten in Südafrika (...) und (...) den Themen auf der Internetpräsenz der Beklagten gibt.
Es scheint sich bei den Texten auf der Verletzungsseite (überwiegend) um das Ergebnis einer Suchanfrage zu den Begriffen (...) zu handeln (...). Unstreitig gab es auch keine Verlinkung von den übrigen Seiten der Beklagten auf die Verletzungsseite, und diese konnte auch nicht mittels der auf der Internetpräsenz der Beklagten bereitgestellten Suchfunktion gefunden werden.
Schließlich haben die Beklagten auch unmittelbar nach der Abmahnung durch den Kläger eine Strafanzeige gegen Unbekannt wegen Hackings gestellt."
Aufgrund dieser Umstände könne nicht mit der erforderlichen Sicherheit davon ausgegangen werden, dass die Beklagten die Urheberrechtsverletzung begangen hätten und möglicherweise doch nicht ein Dritter.
Schließlich setzt sich das Gericht auch mit der Frage auseinander, ob unter Umständen eine Sorgfaltspflicht der Beklagten dadurch gegeben sei, dass eine veraltete Version von TYPO3 verwendet wurde.
Die Beklagten trugen dazu vor, dass nicht 100% sicher sei, wie der Hackerangriff stattgefunden hätte. Möglicherweise sei der digitale Einbruch über einen geknackten FTP-Account erfolgt und gar nicht über das CMS. Der Kläger bestritt dies nicht, sondern stellte lediglich in Abrede, dass überhaupt ein Hackerattacke stattgefunden hatte.
Das Gericht lehnte daher eine Haftung der Beklagten aus diesem Grunde ebenfalls ab.
"Angesichts dieses Sachstands kann nicht davon ausgegangen werden, dass eine (...) Pflichtverletzung der Beklagten in Gestalt eines unsicheren Betriebs ihrer Internetseite kausal geworden sei für die Rechtsverletzung zu Lasten des Klägers.
Denn zum einen ist unstreitig, dass der (bestrittene) Hacking-Angriff auch mittels FTP-Zugriffs hätte erfolgen können, ohne dass insofern eine Pflichtverletzung der Beklagten vorgetragen oder ersichtlich wäre. Wäre das Foto auf diese Weise auf den Server der Beklagten geladen worden, käme es auf Sicherheitslücken im CMS nicht an.
Zum anderen ist weder vorgetragen noch ersichtlich, dass ein Einstellen des Fotos über einen Hacking-Angriff auf das CMS unmöglich gewesen wäre, wenn das CMS auf neustem Stand gewesen wäre.
Es ist nämlich - allgemein bekannt - nicht davon auszugehen, dass eine Software unangreifbar ist, nur weil sie auf dem neusten Stand ist. Im Gegenteil können auch solche Programme bzw. Systeme Sicherheitslücken haben, die erst später entdeckt und dann ihrerseits durch ein neues Update geschlossen werden (sollen), und das passiert auch laufend. In Anbetracht dessen könnte nach dem zugrunde zu legenden Sachstand selbst dann nicht von einer kausalen Pflichtverletzung der Beklagten ausgegangen werden, wenn feststünde, dass das Foto mittels eines Hacking-Angriffs auf das CMS auf den Server der Beklagten hochgeladen wurde."
Das Gericht wies die Klage daher ab.
Anmerkung von RA Dr. Bahr:
Die Entscheidung weist mehrere Besonderheiten auf und ist bereits deshalb lesenswert.
Das Ergebnis des Gerichts wäre nämlich (vermutlich) anders aufgefallen, wenn der Kläger ordnungsgemäß bestritten, dass auch ein Hackingangriff per FTP stattgefunden haben könnte. Dadurch, dass er dies nicht tat, ging das LG Hamburg unstreitig davon aus, dass möglicherweise die veraltete TYPO3-Version gar nicht kausal für die Urheberrechtsverletzung war.
Leider fehlen in dem Urteil einige, wichtige Informationen hinsichtlich des Sachverhaltes.
So ist es falsch, wenn das Gericht bereits deswegen von einem fehleranfälligen CMS ausgeht, weil die Beklagten weiterhin die Version 6.2.29 verwendeten, obgleich bereits die Version 8 existierte. Denn die Version hatte noch einen sogenanntenn "Long Term Support" (= LTS), bei dem über einen längeren Zeitraum auch für ältere Versionen Sicherheits-Updates bereitgestellt werden, vgl. dazu die offizielle TYPO3-Roadmap. Etwas anderes gilt für etwaige verwendete Extensions. Sollten diese wirklich veraltet gewesen und nicht upgedated worden seien, dann wies das CMS definitiv eine Sicherheitslücke auf.