Grob fahrlässiges Verhalten von Bankkunden bei Phishing-Attacke: Keine Schadenersatzpflicht der Bank

OGH-Entscheidung vom 24.7.2018, 9 Ob 48/18a Sachverhalt: Die Kläger sind Kunden einer Bank und OnlineBanking-Teilnehmer. Eines Tages wurde der Erstkläger von einer ihm unbekannten Telefonnummer von einer akzentfrei Deutsch sprechenden Frau angerufen. Diese gab sich als Angestellte der beklagten Bank aus und forderte ihn auf, ihr aufgrund einer notwendigen Datenaktualisierung den ihm soeben per SMS übermittelten Code bekannt zu geben. Während des laufenden Anrufs öffnete der Erstkläger das ihm soeben übermittelte TAC-SMS und gab der Anruferin den darin enthaltenen TAC-Code bekannt. Das an den Erstkläger im Zuge dieses Telefonats übermittelte TAC-SMS hatte den gleichen Inhalt, wie auch die sonst üblichen TAC-SMS der Beklagten. Insbesondere enthielt es die letzten 11 Stellen der IBAN jenes Kontos, auf das die Überweisung letztlich erfolgte, einen Überweisungsbetrag von 12.880 EUR und den vierstelligen TAC-Code. Noch am selben Tag wurde vom Konto der Kläger bei der Beklagten der Betrag von 12.880 EUR auf ein österreichisches Girokonto einer anderen Kreditanstalt der unbekannten Betrüger überwiesen. Die Betrüger hatten sich zuvor entweder durch Installieren eines Schadprogramms oder durch einen Phishing-Angriff Zugriff auf das System der Klägers geschaffen und damit dessen Zugangsdaten erhalten. Die Betrüger konnten sich somit in der Folge im netbanking-Portal des Erstklägers mit dessen Zugangsdaten anmelden und eine Überweisung erstellen. Auf das interne Rechen- und Informationssystem der Beklagten hatten die Betrüger keinen Zugriff erlangt. Wenig später gab der Erstkläger über einen Anruf von derselben Telefonnummer wiederum einen TAC-Code, der ihm auf sein Handy geschickt worden war, bekannt. Zu einer entsprechenden Überweisung von 4.800 EUR auf ein spanisches Konto kam es aber nicht, weil ein Mitarbeiter der Beklagten Verdacht schöpfte und mit dem Erstkläger telefonisch in Kontakt trat. Zuvor hatte die Bank...

BGH: Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk ist vererbbar

BGH-Urteil vom 12. Juli 2018 – III ZR 183/17 Der deutsche Bundesgerichtshofs hat heute entschieden, dass der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk grundsätzlich im Wege der Gesamtrechtsnachfolge auf die Erben des ursprünglichen Kontoberechtigten übergeht und diese einen Anspruch gegen den Netzwerkbetreiber auf Zugang zu dem Konto einschließlich der darin vorgehaltenen Kommunikationsinhalte haben. Sachverhalt: Die Klägerin ist die Mutter eines im Alter von 15 Jahren verstorbenen Mädchens und neben dem Vater Mitglied der Erbengemeinschaft nach ihrer Tochter. Die Beklagte betreibt ein soziales Netzwerk, über dessen Infrastruktur die Nutzer miteinander über das Internet kommunizieren und Inhalte austauschen können. 2011 registrierte sich die Tochter der Klägerin im Alter von 14 Jahren im Einverständnis ihrer Eltern bei dem sozialen Netzwerk der Beklagten und unterhielt dort ein Benutzerkonto. 2012 verstarb das Mädchen unter bisher ungeklärten Umständen infolge eines U-Bahnunglücks. Die Klägerin versuchte hiernach, sich in das Benutzerkonto ihrer Tochter einzuloggen. Dies war ihr jedoch nicht möglich, weil die Beklagte es inzwischen in den sogenannten Gedenkzustand versetzt hatte, womit ein Zugang auch mit den Nutzerdaten nicht mehr möglich ist. Die Inhalte des Kontos bleiben jedoch weiter bestehen. Die Klägerin beansprucht mit ihrer Klage von der Beklagten, den Erben Zugang zu dem vollständigen Benutzerkonto zu gewähren, insbesondere zu den darin vorgehaltenen Kommunikationsinhalten. Sie macht geltend, die Erbengemeinschaft benötige den Zugang zu dem Benutzerkonto, um Aufschluss darüber zu erhalten, ob ihre Tochter kurz vor ihrem Tod Suizidabsichten gehegt habe, und um Schadensersatzansprüche des U-Bahn-Fahrers abzuwehren. Entscheidung: Das Landgericht Berlin gab der Klage statt. Das Kammergericht wies die Klage ab. Hiergegen richtet sich die vom Berufungsgericht zugelassene Revision der Klägerin. Der BGH hob das Urteil des Kammergerichts...

EuGH: Facebook-Fanpage-Betreiber sind (mit)verantwortlich für Datensammlungen über ihre Nutzer

EuGH-Entscheidung vom 5.6.2018, Rechtssache C‑210/16 Sachverhalt: Die Wirtschaftsakademie Schleswig-Holstein GmbH bietet Bildungsdienstleistungen über eine auf Fanpage auf Facebook an. Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt. Weder die Wirtschaftsakademie noch die Facebook Ireland Ltd hat auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies oder die nachfolgende Datenverarbeitung hingewiesen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein trug der Wirtschaftsakademie daher auf, die Fanpage zu schließen. Die Wirtschaftsakademie weigerte sich und hatte im innerstaatlichen Instanzenzug zunächst Erfolg damit. Das deutsche Bundesverwaltungsgericht legte den Fall dem EuGH vor. Entscheidung: Der EuGH kam gleich bei Beantwortung der ersten beiden Vorlagefragen zu dem Ergebnis, dass der Begriff des „für die Verarbeitung Verantwortlichen“ auch den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst: Der Betreiber einer auf Facebook unterhaltenen Fanpage  gibt Facebook mit der Einrichtung die Möglichkeit, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei. Insbesondere kann der Fanpage-Betreiber demografische Daten über seine Zielgruppe verlangen, so u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das...

Mountainbiketour trotz Fahrverbot auf Website: Eigentumsfreiheitsklage gegen Host-Provider

OGH-Entscheidung vom 18.10.2017, 7 Ob 80/17s Sachverhalt: Auf der Website der Beklagten können von registrierten Nutzern Mountainbiketouren hochgeladen und veröffentlicht werden. Diese Wegbeschreibungen können von anderen Nutzern heruntergeladen werden. Einsicht und Download sind auch über eine Smartphone-App möglich. Die von Dritten auf das Tourenportal geladenen Mountainbiketouren können von der Beklagten sowohl geändert als auch gelöscht werden. In den AGB findet sich folgende Anmerkung in Kleindruck: „Die Autoren weisen besonders darauf hin, dass sämtliche Touren auf manchen Teilen einem Fahrverbot unterliegen können. Auf diesen Teilen ist das Rad bzw. Mountainbike zu schieben. Jegliche Haftung […] ist ausgeschlossen.“ Eine der abrufbaren Touren führte über etliche Kilometer über die Waldgrundstücke der Kläger. Sie wird als „leichte Rundtour gegen Uhrzeigersinn auf Forststraßen, 5 Min. Schieben“ beschrieben. Beim ersten dieser Waldgrundstücke befindet sich jeweils eine Absperrung mit einem Fahrverbotsschild und dem zusätzlichen, ausdrücklichen Hinweis „Radfahren verboten“. Die Kläger brachten ihre Klage auf Grundlage ihres Eigentumsrechts sowie des § 16 ECG ein. Auf den Liegenschaften der Kläger sei das Fahren mit Mountainbikes und sonstigen Fahrzeugen ausdrücklich untersagt. Infolge der Veröffentlichung sei vermehrte Präsenz von Mountainbikern festgestellt worden. Die Beklagte sei erfolglos zur Entfernung der Mountainbiketour von deren Homepage aufgefordert worden. Durch die Veröffentlichung werde in unzulässiger Weise in das Eigentumsrecht der Kläger eingegriffen bzw ein derartiger Eingriff durch dritte Personen provoziert, unterstützt und verursacht. Entscheidung: Das Erstgericht wies die Klage ab. Das Berufungsgericht bestätigte diese Entscheidung. Der OGH hingegen befand die Revision der Kläger für zulässig und auch berechtigt. Aus der Begründung: Nach § 16 Abs 1 ECG ist ein Diensteanbieter, der von einem Nutzer eingegebene Informationen speichert, […] für die im Auftrag eines Nutzers gespeicherten Informationen nicht verantwortlich,...

BitTorrent-Plattformen: OGH entscheidet über Sperrverfügungen gegen Access-Provider

OGH-Entscheidung vom 24.10.2017, 4 Ob 121/17y Sachverhalt: Die Antragstellerin ist eine Verwertungsgesellschaft. Sie nimmt die Rechte der von ihr vertretenen Tonträgerhersteller an ihren weltweit produzierten Musikaufnahmen sowie die Rechte der ausübenden Künstler an ihren Darbietungen treuhändig wahr. In Österreich vertritt die Antragstellerin ein umfassendes nationales und internationales Repertoire. Die Antragsgegnerinnen sind Anbieter von mobilen Internetanschlüssen in Österreich und ermöglichen ihren Kunden mit Endgeräten (wie zB Smartphones und Tablets) den Zugang zum World Wide Web. In diesem Verfahren war fraglich, ob Urheberrechtsverletzungen im Internet mittels BitTorrent-Plattformen, auf denen selbst zwar keine urheberrechtlich geschützten Werke zum Abruf gespeichert sind, deren Dateien (Torrents) aber als Wegweiser dienen und es Nutzern ermöglichen, urheberrechtlich geschützte Werke auszutauschen und abzurufen, mit Sperrverfügungen gegen Zugangsvermittler (Access-Provider) betreffend derartige Webseiten unterbunden werden können. Der OGH hatte das Revisionsrekursverfahren bereits im Mai 2017 bis zur Entscheidung des EuGH über einen niederländischen Parallelfall unterbrochen. Nachdem diese Entscheidung zwischenzeitlich ergangen ist und die Antragstellerin einen Fortsetzungsantrag gestellt hat, wurde das Verfahren fortgesetzt. Entscheidung: Der OGH gab dem Revisionsrekurs der Antragstellerin Folge und stellte die einstweilige Verfügung des Erstgerichts wieder her. Aus der Begründung: Das Bereitstellen und Betreiben einer BitTorrent-Plattform mit dem Zweck des Online-Filesharing unter den Nutzern dieser Plattform ist eine den Urhebern vorbehaltene „öffentliche Wiedergabe“. § 18a UrhG, der Art 3 InfoRL innerstaatlich umsetzt, gibt dem Urheber das ausschließliche Recht, das Werk der Öffentlichkeit drahtgebunden oder drahtlos in einer Weise zur Verfügung zu stellen, dass es Mitgliedern der Öffentlichkeit von Orten und zu Zeiten ihrer Wahl zugänglich ist. Wer unbefugt Sprachwerke, Lichtbilder oder Filmwerke in einen Internetauftritt zum interaktiven Abruf eingliedert, verstößt gegen das Verwertungsrecht des § 18a UrhG. Der Öffentlichkeitsbegriff stellt...

Rechtswidriges Erlangen und Verwerten von (Kunden)Daten verstößt gegen UWG

OGH-Entscheidung vom 25.10.2016, 4 Ob 165/16t Sachverhalt: Die Streitparteien erzeugen und vertreiben Ticket- und Eintrittssysteme für Skigebiete, Stadien und ähnliche Einrichtungen. Sie richten sich mit ihrem Angebot an dieselben Kundenkreise. Bei einigen Servern der Klägerin war es aufgrund der Verwendung einer Standardeinstellung möglich, unter Umgehung des Login-Vorgangs auf den Zwischenspeicher zuzugreifen. Dieser Zugriff erforderte jedoch mehrere Informationen, die einem Außenstehenden nicht bekannt waren und nur von IT-Spezialisten durch gezieltes Auskundschaften und Zuhilfenahme von Spezialsoftware erlangt werden konnten. Anfang 2015 begann ein Mitarbeiter der Beklagten, unter Umgehen des Kennwortschutzes auf die betroffenen Server zuzugreifen. Die Beklagte verwertete die durch die Zugriffe erhaltenen Informationen gezielt dazu, Kunden der Klägerin abzuwerben und der Klägerin beim Anwerben von Neukunden fehlende Datensicherheit zu unterstellen. Die Klägerin beantragte daher die Erlassung einer einstweiligen Verfügung. Die Beklagte sei rechtswidrig in ein fremdes Computersystem eingedrungen und habe sich dabei „(Kunden)Daten“ verschafft. Die von ihr auf diese Weise erstellten Berichte habe sie dazu verwendet, Kunden der Klägerin abzuwerben und unter Hinweis auf Sicherheitsmängel bei der Klägerin neue Kunden zu gewinnen. Dies begründe einen Anspruch nach § 1 UWG (Wettbewerbsvorsprung durch Rechtsbruch), zudem habe die Beklagte Geschäftsgeheimnisse weitergegeben (§ 11 Abs 2 iVm § 13 UWG) und gegen das Datenschutzgesetz verstoßen. Entscheidung: Das Erstgericht erließ die einstweilige Verfügung. Das Rekursgericht bestätigte diese Entscheidung. Der OGH ließ den ao. Revisionsrekurs zwar zu, hielt ihn aber für unberechtigt. Aus der Begründung: Der OGH hielt zunächst fest, dass es sich bei den strittigen Daten es sich um Geschäftsgeheimnisse handelte. Betriebs- oder Geschäftsgeheimnisse sind Tatsachen und Erkenntnisse kommerzieller oder technischer Art, die bloß einer bestimmten und begrenzten Zahl von Personen bekannt sind, nicht über diesen Kreis hinausdringen sollen und...