Die Cybersicherheit als Thema in der Zivilrechtsprechung – das Beispiel eBay-Käufe
Als Mitglied im Kompetenznetzwerk für das Recht der zivilen Sicherheit in Europa forscht das HIIG zu rechtlichen Fragen der Cybersicherheit. Neben den von uns behandelten “größeren” Fragen etwa der Grundrechtsdogmatik, des europäischen Computerstrafrechts oder des Verwaltungsinformationsrechts spielen Aspekte der Cybersicherheit aber auch in kleineren und alltäglicheren Kontexten eine entscheidende Rolle. Ein für die gemeine Nutzer_in relevantes Beispiel hierfür sind bei eBay geschlossene Kaufverträge.
Man stelle sich folgenden Fall vor: A bietet auf eBay seinen Gebrauchtwagen zum Mindestpreis von 5.000,00 € an den oder die Höchstbietende_n an. Das Höchstgebot von 12.000,00 € wird mit dem Account des B abgegeben. Nach Auktionsende wendet sich A an B und bittet um Kaufpreiszahlung zwecks Abwicklung des Kaufvertrags. B wendet jedoch ein, das Höchstgebot nicht abgegeben zu haben. Ihr Account müsse von einem oder einer Dritten gehackt worden sein, sie sei deshalb nicht zur Kaufpreiszahlung und Abnahme des Wagens verpflichtet.
Es steht die Frage im Raum, wer Recht hat: Hat A einen Anspruch auf Zahlung und Abnahme des PKW gegen B, oder ist B aus dem Schneider und nicht zur Zahlung und Abnahme verpflichtet?
Ähnliche Fälle sind bereits von verschiedenen Oberlandesgerichten entschieden worden. Alle Gerichte sind sich einig: B muss den Kaufpreis nicht zahlen und den PKW nicht abnehmen.
Das Ergebnis scheint nur dann billig und gerecht, wenn die Behauptung der B, das Gebot mit ihrem Account nicht abgegeben zu haben, zutrifft. Indes ist es nicht abwegig, dass B das Höchstgebot doch selbst abgegeben hat, dieses danach aber bereut – etwa weil ihr der Preis doch zu hoch erschien – und deshalb Abstand von dem Kaufvertrag nehmen will.
Die Frage ist also abhängig von der Vorfrage, ob der B hier zu glauben ist: Sagt sie tatsächlich die Wahrheit, oder will sie sich lediglich aus der Affäre ziehen? Die Rechtsprechung bewältigt solche Beweisprobleme wie folgt:
Grundsätzlich muss der- oder diejenige, die einen Anspruch durchsetzen will, dessen Voraussetzungen beweisen. Wird also Kaufpreiszahlung verlangt, muss von dem oder der Verlangenden nachgewiesen werden, dass der Kaufvertrag auch tatsächlich geschlossen wurde. Die sogenannte Beweislast liegt also bei dem oder der Verkäufer_in.
Es gibt aber Situationen, in denen dem oder der Anspruchsteller_in dieser Beweis nicht oder kaum gelingen kann, weil die zu beweisenden Umstände in der Sphäre des oder der Anspruchsgegner_in liegen. Für solche Fälle gibt es den sogenannten Anscheinsbeweis. “Voraussetzung seiner Anwendung ist ein sog. typischer Geschehensablauf, also ein sich aus der Lebenserfahrung bestätigender gleichförmiger Vorgang, durch dessen Typizität es sich erübrigt, die tatsächlichen Einzelumstände eines bestimmten historischen Geschehens nachzuweisen.” (MüKo ZPO/Prütting, § 286 Rn. 48)
In unserem Fall wäre nun zu erwägen, ob für den Anspruch der A ein Anscheinsbeweis streitet. In dem Umstand, dass mit dem von der B eingerichteten und dieser zugeordneten, passwortgesicherten eBay-Account das Höchstgebot für den PKW abgegeben wurde, könne ein typischer Geschehensablauf gesehen werden, der als Nachweis für den Vertragsschluss zwischen A und B genügt. Denn wegen der ausschließlichen Zuordnung des Accounts zu der B und der Passwortsicherung ist davon auszugehen, dass nur B Zugriff auf diesen Account hat und also nur sie entsprechende Verträge bei eBay schließen kann. Die Annahme eines entsprechenden Anscheinsbeweises liegt nahe, weil es dem oder der Verkäufer_in regelmäßig nicht gelingen dürfte, nachzuweisen, dass der Account des oder der Käufer_in nicht gehackt wurde, denn die entsprechenden Umstände liegen allein in der Sphäre des oder der Käufer_in.
Indes ist die obergerichtliche Rechtsprechung anderer Meinung. So entschied etwa das Oberlandesgericht Bremen:
“Es spricht kein Anscheinsbeweis dafür, dass eine über ein bestimmtes eBay-Mitgliedskonto abgegebene Willenserklärung [also das Angebot bzw. die Annahme eines Angebots zum Vertragsschluss] von dem jeweiligen Kontoinhaber abgegeben worden ist, da es an einem für die Annahme eines Anscheinsbeweises erforderlichen typischen Geschehensablauf fehlt. Der Sicherheitsstandard im Internet ist derzeit nicht ausreichend, um aus der Verwendung eines geheimen Passworts auf denjenigen als Verwender zu schließen, dem dieses Passwort ursprünglich zugeteilt worden ist.”
Ähnliches entschieden haben zuvor etwa auch die Oberlandesgerichte Hamm, Köln und Naumburg. Auch der BGH stellte in einem ähnlichen Fall – wenn auch im Kontext einer etwas anders gelagerten Fallfrage – fest, dass
“Auf das Erfordernis einer gewissen Häufigkeit oder Dauer der unbefugten Verwendung ihres Mitgliedskontos kann nicht schon deswegen verzichtet werden, weil dieses im Internetverkehr auf Grund der bei eBay erfolgten Registrierung allein der Bekl. zugeordnet wird. Denn auch wenn den Zugangsdaten für die Internetplattform eBay eine Identifikationsfunktion zukommt, weil das Mitgliedskonto nicht übertragbar und das ihm zugeordnete Passwort geheim zu halten ist […], kann hieraus angesichts des im Jahr 2008 gegebenen und auch derzeit vorhandenen Sicherheitsstandards im Internet auch bei einem eBay-Account […] nicht zuverlässig geschlossen werden, dass unter einem registrierten Mitgliedsnamen ausschließlich dessen tatsächlicher Inhaber auftritt […].”
Dies führt zu dem Ergebnis, dass bei Vertragsschlüssen auf Internetplattformen wie eBay grundsätzlich die bloße Behauptung, den Vertrag nicht geschlossen zu haben, für die Anspruchsabwehr genügt und so der oder die Käuferin faktisch jederzeit Abstand vom Vertrag nehmen ohne weitere Folgen nehmen kann. So explizit auch das OLG Naumburg:
“Es ist gerichtsbekannt, dass die Nutzung des Internets mit Gefahren verbunden ist, weil es technisch möglich ist, auch ein ordnungsgemäß geschütztes Passwort „auszuspähen” (Stichwort z.B. Trojaner und „Passwortklau”) und rechtswidrig zu Lasten des Inhabers zu nutzen.
3. Der Senat verkennt nicht, dass dann, wenn dem Verkäufer die Beweislast für das Zustandekommen des Vertrags im Rahmen einer Internetversteigerung auferlegt wird, Fälle von Kaufreue auf Seiten des Käufers ohne Folgen bleiben. Dieses Risiko geht der Verkäufer bei der Nutzung einer Internetauktion in Kenntnis der Missbrauchsmöglichkeiten ein.”
Kurz gesagt nimmt die Rechtsprechung also an, dass angesichts der derzeitigen allgemeinen Sicherheitslage im Netz nicht angenommen werden kann, dass hinter dem eBay-Account tatsächlich der oder die wirkliche Accountinhaber_ steht. Theoretisch müsste Vergleichbares auch etwa für E-Mail- Accounts und Ähnliches mehr gelten. Dieser Standpunkt erscheint grotesk, weil auf dieser Grundlage ein geregelter Geschäfts- und Rechtsverkehr nicht erfolgen kann, obgleich doch anzunehmen ist, dass aufgrund der Passwortsicherung in aller Regel allein der oder die Accountinhaber_in bzw. von ihm oder ihr autorisierte Personen den Account nutzen.
Interessant ist auch das argumentative Vorgehen der Rechtsprechung: Aufgrund bloßer Annahmen ohne empirische Belege wird “das Internet” am Maßstab “des Sicherheitsstandards im Internet” insgesamt und pauschal schlicht als unsicher erklärt, weshalb das Risiko der Nichterfüllung eines im Internet geschlossenen Vertrages beim Verkäufer liegen soll. Dem BGH etwa stützt seine These mit nur einem einzigen Verweis auf einen Aufsatz in einer juristischen Fachzeitschrift, der sich mit den Rechtsfolgen des Phishing beschäftigt, und der sich selbst wiederum auf nur einen empirischen Fakt stützt, wonach in den USA (!) 15 % aller Internetnutzer_innen bereits einmal infolge einer Phishingattacke sensible Daten preisgegeben haben sollen. Ergänzt wird dies durch einen Hinweis, dass in jüngerer Zeit auch in Deutschland zahlreiche “Phishing-Wellen” zu verzeichnen seien, wobei aber betont wird, dass verlässliche Statistiken gerade nicht vorliegen (Borges, NJW 2005, 3313).
Der Fall zeigt die Unsicherheiten hinsichtlich des Themas Cybersicherheit und der Einschätzung bestehender Gefährdungslagen auf und verdeutlicht die Notwendigkeit insbesondere empirischer Forschung im Bereich der Cybersicherheit zur Schaffung valider Entscheidungsgrundlagen etwa für die Rechtsprechung einerseits sowie der Notwendigkeit der Schaffung sicherer Systeme andererseits. Cybersicherheit ist nicht nur eine Frage des Schutzes kritischer Infrastrukturen oder des Schutzes vor Cyberattacken etwa zur Begehung von Vermögensdelikten im Internet, sie ist auch relevant für ganz alltägliche Rechtsgeschäfte im Internet.
Foto: User: Brian Cantoni / Flickr, CC BY 2.0
Dieser Beitrag ist Teil der regelmäßig erscheinenden Blogartikel der Doktoranden des Alexander von Humboldt Institut für Internet und Gesellschaft. Er spiegelt weder notwendigerweise noch ausschließlich die Meinung des Institutes wieder. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de.
Rechtsprechung und Literatur:
- OLG Bremen: Anscheinsbeweis bei eBay-Auktionsteilnahme, MMR 2012, 593.
- OLG Naumburg: Darlegungs- und Beweislast des Verkäufers im Rahmen einer Internetversteigerung über Vertragsschluss mit der Person des Ersteigerers, NJOZ 2005, 2222.
- OLG Hamm: Beweislast für Vertragsschluss bei eBay, MMR 2007, 449.
- OLG Köln: Bestreiten des Kaufgebots bei «Ebay»verhindert wirksamen Kaufvertrag, becklink 173640.
- BGH: Handeln unter fremdem Namen bei Nutzung eines fremden eBay-Mitgliedskontos, NJW 2011, 2421.
- Borges, Rechtsfragen des Phishing – Ein Überblick, in: Neue Juristische Wochenschrift 2005, 3313 ff.
Jetzt anmelden und die neuesten Blogartikel einmal im Monat per Newsletter erhalten.