OGH-Entscheidung vom 15.6.2016, 4 Ob 30/16i
Sachverhalt:
Die Beklagte verwendete in ihren Geschäftsräumen eine Telefonanlage.
Die Klägerin stellte der Beklagten die Festnetz- und Internetverbindungen für die genannte Anlage zur Verfügung. Sie lieferte der Beklagten drei ISDN-Basisanschlüsse mit bestimmten Rufnummern sowie einen xDSL-Zugang. Die Klägerin verrechnete nur über eine der drei Rufnummern Gespräche, und zwar über das inkludierte Minutenkontingent des jeweiligen Tarifpakets hinausgehend nach dem Standard-Tarif nach ihren Allgemeinen Geschäftsbedingungen. Darin ist auch normiert, dass die Klägerin bei der Erbringung von Leistung mit größter Sorgfalt vorzugehen hat.
Es erfolgte sodann von außen ein Hackerzugriff auf die Telefonanlage der Beklagten, sodass in zahlreichen Angriffen Verbindungen – fast ausschließlich in den Nacht- und den frühen Morgenstunden – ins Ausland getätigt wurden, und zwar nach Grönland, Thailand, Eritrea, Elfenbeinküste, Bosnien-Herzegowina, Serbien, Burkina Faso, Zentralafrika, Mali, Benin und Kuba.
Die Klägerin stellte der Beklagten für den Abrechnungszeitraum Grund- und Verbindungsentgelte in Höhe von insgesamt 10.160,14 EUR brutto in Rechnung.
Eine Warnung durch die Klägerin vom vorliegenden Hackerangriff oder die Einrichtung einer Sicherheitssperre durch diese war nicht erfolgt.
Bei der Klägerin war zum Zeitpunkt des Hackerangriffs – obwohl technisch und personell ohne weiteres möglich – noch kein Gebührenmonitoring eingerichtet. Es fiel der Klägerin daher erst bei der konkreten Rechnungslegung auf, wenn ein eklatanter Sprung zum vorhergehenden Nutzungsverhalten eines Kunden vorlag.
Die Klägerin begehrte von der Beklagten die Zahlung des ausstehenden Rechnungsbetrags. Die Manipulation der Telefonanlage sei ihr nicht zuzurechnen, zumal sie diese nicht zur Verfügung gestellt habe. Eine permanente Kontrolle der Anschlüsse sei nicht zumutbar.
Entscheidung:
Das Erstgericht sprach der Klägerin lediglich Verbindungsentgelte in Höhe von 110,08 EUR zu und wies das darüber hinaus gehende Begehren ab, da die Klägerin ihre Schutz- und Sorgfaltspflichten verletzt habe. Die Klägerin treffe eine Warnpflicht. Das Berufungsgericht bestätigte diese Entscheidung.
Die Revision der Klägerin wegen unrichtiger rechtlicher Beurteilung hielt der OGH zwar für zulässig; aber nicht für berechtigt. Aus der Begründung:
Der Abschluss eines Vertrags lässt nicht bloß die Hauptpflichten entstehen, die für die betreffende Vertragstype charakteristisch sind, sondern erzeugt auch eine Reihe von Nebenpflichten, zu denen auch die Schutzpflichten und Sorgfaltspflichten gehören. Der Schuldner hat die geschuldete Hauptleistung nicht nur zu erbringen, sondern er hat sie so sorgfältig zu bewirken, dass alle Rechtsgüter des Gläubigers, mit denen er in Berührung kommt, nach Tunlichkeit vor Schaden bewahrt und beschützt bleiben. Auch während des Bestehens eines Dauerschuldverhältnisses sind vertragliche Schutz- und Sorgfaltspflichten von den Vertragsparteien zu beachten.
Im konkreten Fall erbrachte die Klägerin gegenüber der Beklagten Verbindungsleistungen im Rahmen eines ISDN-Anschlusses. Die – im Anlassfall verwirklichte – Gefahr eines Hackerzugriffs wäre für die Klägerin insofern beherrschbar gewesen, als es ihr sowohl personell als auch technisch leicht möglich gewesen wäre, das Wirksamwerden dieser Gefahr durch ein Gebührenmonitoring und eine entsprechende Warnung der Beklagten zu verhindern. Nach den Feststellungen hätten entsprechende Schutzmaßnahmen durch die Klägerin vollautomatisiert und ohne Personaleinsatz erfolgen können. Die Beklagte selbst hatte hingegen keine Möglichkeit, die Gefahr eines Hackerangriffs durch eigene Vorkehrungen abzuwenden, zumal sie keine Änderungen der Basiseinstellungen an der Telefonanlage vornehmen konnte.
Es überspannt daher nicht die Schutz- und Sorgfaltspflichten der Klägerin als Betreiberin von Kommunikationsdiensten, wenn man von ihr verlangt, ihr leicht mögliche Maßnahmen zur Abwehr von Hackerangriffen zu ergreifen.
Die Entgeltforderung der Klägerin wurde daher zu Recht abgewiesen.