Zur Haftung für Schäden infolge Passwort-Diebstahls

AG Gießen, Urteil vom 16. Oktober 2012 – 43 C 62/12

Zur Haftung für Schäden infolge Passwort-Diebstahls

Tenor

Die Klage wird abgewiesen.

Die Kosten des Rechtsstreits fallen dem Kläger zur Last.

Das Urteil ist vorläufig vollstreckbar.

Der Kläger kann die Zwangsvollstreckung durch Sicherheitsleistung oder Hinterlegung in Höhe von 110% des zu vollstreckenden Betrages abwenden, sofern nicht der Beklagte vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet.

Tatbestand

Der Kläger verlangt vom Beklagten ein vom Kläger über eBay versteigertes MacBook bezahlt.

Der Kläger verkaufte am 08.01.2012 im Rahmen einer eBay-Auktion ein MacBook vom Typ Air 33,80 cm zum Preis von 746,- € unter der Artikelnummer 170758141723. Als Accountinhaber und Käufer wurde dem Kläger der Beklagte bekannt gegeben. Mit E-Mail vom 08.01.2012wurde beim Kläger angefragt, wann das Notebook abgeholt werden könne. Daraufhin teilte der Kläger mit, dass das Notebook noch am Abend ab 19:00 Uhr abgeholt werden könne, was dann auch geschah.Die Person, die das Notebook abholte war nicht der Beklagte. Die Identität dieser Person ist unbekannt. Der Kläger ließ sich bei Abholung des Notebooks keine Ausweispapiere des Abholers zeigen.Die Zahlung des Kaufpreises in Höhe von 746,- € wurde zuvor per PayPal von dem Konto des Beklagten abgebucht. Nachdem der Kläger das Notebook übergeben hatte, erhielt er am Montag, dem 09.01.2012, seitens PayPal eine Nachricht, dass die Zahlung aufgrund einer Beschwerde gestoppt sei. Insoweit reichte der Beklagte eine Beschwerde bei PayPal ein und erhielt den ursprünglich von seinem Konto abgebuchten Betrag wieder gutgeschrieben. Gegenüber dem Kläger erklärte der Beklagte mittels E-Mail vom 09.01.2012, er selbst habe das Notebook nicht ersteigert, vielmehr sei sein eBay-Account gehackt worden. Beide Parteien stellten Strafantrag wegen Betruges gegen Unbekannt.

Der Kläger behauptet, der Computervirus TR/Ransom.EY.9 sei nicht dazu geeignet Passwörter auszuspähen und an unbefugte Dritte weiterzugeben. Ferner habe der Beklagte seinen Computer nicht ausreichend gegen solche Virusinfektionen geschützt.

Der Kläger beantragt,

den Beklagten zu verurteilen, an ihn 746,- €, sowie 213,49€ vorgerichtlicher Rechtsanwaltskosten als Nebenforderung jeweils zuzüglich gesetzlicher Zinsen in Höhe von 5%- Punkten über dem jeweiligen Basiszinssatz der EZB seit dem 28. Januar 2012 zu zahlen.

Der Beklagte beantragt:

die Klage abzuweisen.

Er behauptet, sein Computer sei zum Zeitpunkt der eBay-Auktion mit einem Computervirus, dem Trojaner TR/Ransom EY.9 infiziert gewesen. Ferner habe er am 09.01.2012 bei der Überprüfung seiner E-Mails festgestellt, dass sein E-Mail Zugang gesperrt gewesen,beziehungsweise sein ihm bekanntes Passwort zurückgewiesen worden sei. Dies sei darauf zurückzuführen, dass der Computervirus TR/Ransom.EY.9 seinen Computer ausspioniert habe und seine Passwörter und Zugangsdaten für sein eBay-Konto, sein PayPal-Konto und seine E-Mail-Adresse an einen unbefugten Dritten weitergeleitet habe. Dieser habe dann über seinen eBay-Account das MacBook des Klägers ersteigert. Ferner habe er nach besten Möglichkeiten und dem Stand der Technik dafür Sorge getragen, dass sein von ihm verwendeter PC sicher ist, insofern verwende er die aktuelle Version der Antivirensoftware AVIRA. Darüber hinaus sei bei seinem verwendeten Betriebssystem des Herstellers Microsoft eine Firewall vorgegeben.

Das Gericht hat gemäß Beschluss vom 25.06.2012 (Bl. 91 der Akte)Beweis erhoben durch Einholung eines schriftlichen Sachverständigengutachtens des Sachverständigen „…“. Wegen des Ergebnisses der Beweisaufnahme wird auf das Gutachten vom 10.07.2012 (Blatt 98 – 108 der Akte) verwiesen. Zur Ergänzung des Sach- und Streitstandes im Übrigen wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen.

Gründe

Die Klage ist unbegründet. Sie war daher abzuweisen.

Der Kläger hat keinen Anspruch auf Zahlung von 746,00 € im Zusammenhang mit dem eBay-Verkauf vom 08.01.2012.

Ein Anspruch ergibt sich nicht aus §433 BGB.

Der Beklagte bestreitet vorliegend, das fragliche unter seinem Mitgliedsnamen abgegebene Gebot abgesendet zu haben. Er habe zu diesem Zeitpunkt selbst gar keinen Zugriff auf seinen Computer gehabt. Dieser sei mit dem Computervirus TR/Ransom EY-9 infiziert gewesen. Dieses Computervirus habe seine Passwörter für eBay,PayPal und seine E-Mail-Adresse ausspioniert und an unbefugte Dritte weitergegeben.

Auf der Grundlage des beiderseitigen Parteivorbringens sowie der durchgeführten Beweisaufnahme kann nicht festgestellt werden, dass der Beklagte das Kaufangebot vom 08.01.2012 abgegeben hat.

Nach allgemeinen Beweisgrundsätzen ist diejenige Partei für die Umstände beweispflichtig, die für sie günstig sind. So hat auch der Anbieter im Rahmen einer Internetversteigerung darzulegen und zu beweisen, dass ein Vertrag mit der Person des Ersteigerers zustande gekommen ist. Wendet in einem solchen Fall der Beklagte ein, dass eine fremde Person unrechtmäßig mit seinem Passwort an der Versteigerung teilgenommen hat, tritt keine Beweislastumkehr nach Gefahrkreisen ein. Es ist gerichtsbekannt, dass die Nutzung des Internets mit Gefahren verbunden ist, weil es technisch möglich ist, auch ein ordnungsgemäß geschütztes Passwort „auszuspähen“ (Stichwort z. B. Trojaner und „Passwortklau“) und rechtswidrig zu Lasten des Inhabers zu nutzen. Mithin trägt der Kläger die Beweislast für den Vertragsschluss zwischen ihm und den Beklagten. Diesen Beweis ist er fällig geblieben.

Auch liegen die Voraussetzungen für einen Anscheinsbeweis nicht vor. Hierzu wäre erforderlich, dass sich unter Berücksichtigung aller unstreitigen und festgestellten Einzelumstände und besonderen Merkmale des Sachverhalts ein für die zu beweisende Tatsache nach der Lebenserfahrung typischer Geschehensablauf ergibt. Unabhängig von der Frage, inwieweit ein Anscheinsbeweis bei der Abgabe individueller Willenserklärungen überhaupt in Betracht kommt,lassen sich die vorgenannten Voraussetzungen bei einem Vertragsschluss im Rahmen einer Internetauktion nicht feststellen.Allein aus der Tatsache, dass das Gebot von einer Person abgegeben wurde, die das Passwort des Beklagten kannte, folgt kein Anschein zu Lasten des Beklagten. Im Hinblick auf den derzeitigen Sicherheitsstandard der im Internet verwendeten Passwörter als solche und auf die Art ihrer Verwendung kann nicht der Schluss gezogen werden, dass der Verwender eines Passworts nach der Lebenserfahrung auch derjenige ist, auf den dieses Passwort ursprünglich ausgestellt wurde. An einer elektronischen Signatur,die einen Missbrauch erschweren würde, fehlt es gerade. Hierfür spricht auch nicht, dass ein unbefugter Dritter eher selten ein wirtschaftliches Interesse an einem Eingriff in eine Internetauktion haben wird. Aber auch dann, wenn man von der grundsätzlichen Möglichkeit eines Anscheinsbeweises auszugehen hätte, wenn wie hier zwei passwortgeschützte Internetzugänge benutzt worden sind, wäre dieser Anscheinsbeweis auf der Grundlage der Ausführungen des Sachverständigen „…“ in seinem Gutachten vom 11.07.2012, auf die an anderer Stelle noch eingegangen wird, erschüttert, da die gem. Virenreport vom 10.01.2012 (Bl. 43 der Akte) auf dem Computer des Beklagten festgestellte Schadsoftware „TR/Rasom EY-9“ geeignet war, Benutzerdaten herunter zu laden und an Dritte weiterzugeben.

Der Beklagte trägt auch nicht allein deshalb, weil er bei eBay ein passwortgeschütztes Konto unterhält, das Missbrauchsrisiko mit der Folge einer Beweislastumkehr nach Gefahrenkreisen. Im Unterschied zum Bildschirmtext ist die Teilnahme an einer Internetauktion nämlich nicht an einen häuslichen Zugang gebunden,sondern kann weltweit von einem beliebigen Standort mit Strom- und Datenanschluss erfolgen und lässt so eine effektive Identitätskontrolle nicht zu.

Auch nach den Grundsätzen der Anscheinsvollmacht kann die Gebotsabgabe dem Beklagten nicht zugerechnet werden. Dabei ist bereits fraglich, ob der Beklagte zurechenbar den Rechtsschein für die Identität des tatsächlichen Bieters mit ihm als dem Inhaber des Mitgliedsnamens gesetzt hat. Jedenfalls fehlt es an einem schutzwürdigen Vertrauen des Klägers, dass tatsächlich der Inhaber des Mitgliedsnamens handelte. Angesichts des derzeitigen Sicherheitsstandards im Internet ist der Anbieter bei einer Internetauktion ebenso wenig schutzwürdig in seinem Vertrauen darauf, dass der Bieter mit dem Inhaber des eBay-Zuganges identisch ist, wie derjenige, bei dem telefonisch unter Namen und Anschrift einer existenten Person missbräuchlich etwas bestellt wird, und derjenige, bei dem im Mailorderverfahren jemand unter Verwendung einer fremden Kreditkartennummer bestellt.

Dieses Ergebnis erscheint auch deshalb nicht unbillig, weil sich sämtliche Teilnehmer einer Internetauktion – ob Anbieter oder Bieter des Auktionsgegenstands – der Gefahr eines Eingriffs unbefugter Dritter aussetzen. Zu berücksichtigen ist dabei in besonderem Maße, dass es gerade der Verkäufer ist, der die Vorteile des Internets für seine Zwecke nutzen möchte. Er profitiert einerseits von dem besonders großen Interessentenkreis und muss daher andererseits die bekannten Sicherheitsrisiken des Internets tragen.

Darüber hinaus führt der Sachverständige „…“aus, dass der auf der Seite 43 der Gerichtsakte abgedruckte Virenscan (Avira Virenreport vom 10.10.2012) das Vorhandensein der Schadenssoftware „TR/Ransom EY-9“ zeige. Diese sei prinzipiell durch Nachladen weiterer Schadsoftware dazu geeignet,Benutzerdaten wie eBay-Zugangsdaten, PayPal-Zugangsdaten oder auch E-Mail-Zugangsdaten abzuhören und an Dritte weiterzugeben (Blatt 107 der Akte). Der Sachverständige „…“beurteilte den Sachverhalt anhand der vorliegenden Akte. Diese enthält einen Virenscan- Report des betroffenen PCs. Die Informationen aus diesem Virenscan-Report wurden als Basis zur weiteren Recherche herangezogen. Das Gericht hat keine Bedenken diesen Feststellungen uneingeschränkt zu folgen. Als Diplomingenieur und Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung, insbesondere Software- Entwicklung und Qualitätsmanagement verfügt er über die für diese Feststellungen erforderliche Sachkunde. Seine Ergebnisse hat er schlüssig, nachvollziehbar und für das Gericht überzeugend dargetan.

Ein Anspruch des Klägers ergibt sich auch aus einer Verletzung von Pflichten im Rahmen eines rechtsgeschäftsähnlichen Schuldverhältnis gem. §§280 I, 311, 249 BGB. Es steht, wie bereits dargelegt, schon nicht fest, dass die Parteien in der Aufnahme von Vertragsverhandlungen §311 II Nr. 1 BGB oder der Anbahnung eines Vertrags §311 II Nr. 2 BGB gestanden hätten. Auch ein ähnlicher geschäftlicher Kontakt gem. §311 II Nr. 3 BGB ist zwischen den Parteien nicht zustande gekommen. Ein solcher geschäftlicher Kontakt kann nur entstehen, wenn die Parteien eine über einen allgemeinen sozialen Kontakt hinausgehende Sonderverbindung eingehen (Palandt/Heinrichs, BGB, 63. Auflage, § 311, Rn. 18). Eine derartige Sonderverbindung kann im Interesse der Sicherheit und Verlässlichkeit des Rechtsverkehrs nicht schon in der Mitgliedschaft bei eBay gesehen werden. Ansonsten würde die Haftung aus nicht vertragsgerichtetem Handeln im Internet ausufern.

Mangels Anspruch in der Hauptsache ist auch ein Anspruch auf die Nebenforderungen zu verneinen.

Die Kostenentscheidung beruht auf §91 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf §§ 708 Nr. 11, 711 ZPO.

Dieser Beitrag wurde unter Zivilrecht abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.