Haftungsfrage: Wer zahlt bei Virenbefall?

25.11.2005 von Thomas Feil
Nicht nur, dass ständig neue Computerviren entdeckt und bekämpft werden, auch die Schäden, die sie anrichten, erreichen Millionenbeträge. Im Geschäftsbetrieb, aber auch in den Privathaushalten stellt sich zunehmend die Frage nach der Haftung für diese Schäden. Rechtsanwalt Thomas Feil klärt auf.

Das Landgericht Kleve hat in einer länger zurückliegenden Entscheidung (Az.: 7 O 17/95) zu der Frage der Haftung für Computerviren Stellung genommen. Zusammen mit einer Entscheidung des Bundesgerichtshofes (BGH) vom 2. Juli 1996 (Az.: X ZR 64/96) soll die aktuelle Rechtslage der Haftung für Computerviren dargestellt werden. Zwar behandelt das Urteil des BGH vordergründig eine andere Rechtsfrage, aber das Gericht hat allgemeine Grundsätze für die Haftung von EDV-Anbietern aufgestellt, die sich ohne weiteres auf andere Rechtsfragen übertragen lassen.

Viren im Bildschirmschoner

Eine PC-Zeitschrift lieferte an ihre Leser zusätzlich zu einer Zeitschriftenausgabe eine Diskette mit einem besonderen Bildschirmschoner. Bei der Produktion der insgesamt 20.000 Disketten durch eine EDV-Firma war ein Parity-Boot-Virus mit aufgespielt worden, der auf die Festplatte und den Arbeitsspeicher der Leser-PCs übergriff und dort Datenbestände vernichtete. Verärgerte Leser riefen bei der Zeitschrift an und informierten sie über die Virusverseuchung. Eine Situation, die für Zeitschriften äußerst unangenehm ist und vor der es leider keinen absoluten Schutz gibt.

Zusätzliche Kosten in nicht unerheblicher Höhe waren die Folge, ganz zu schweigen von der Imageschädigung. Durch die infizierten Disketten war es zu einem Schaden von etwa 38.000 Euro gekommen.

Die EDV-Firma und die Zeitschrift stritten sich vor dem Landgericht Kleve, wer für den entstandenen Schaden aufkommen müsse. Nach Ansicht der PC-Zeitschrift hätte sie sich darauf verlassen können, dass die versandten Disketten nicht virenverseucht sind.

Entscheidung des Landgerichts

Das sah das Landgericht in seiner Entscheidung vom 29. Juni 1995 allerdings anders. Nach seiner Ansicht musste die Zeitschrift für den entstandenen Schaden selbst aufkommen. Bei dem Vertrag handelte es sich um einen Werklieferungsvertrag. Die EDV-Firma hatte sich verpflichtet, 20.000 Leerdisketten zu besorgen und mit dem Bildschirmschoner zu bespielen. In dem vom Gericht zu entscheidenden Fall war das Geschäft für beide Seiten ein Handelsgeschäft. Mit einem Handelsgeschäft sind besondere Untersuchungs- und Rügepflichten verbunden. Die Zeitschrift war verpflichtet, unmittelbar nach der Ablieferung der Disketten diese zu kontrollieren und auftretende Mängel unverzüglich der EDV-Firma mitzuteilen. Dabei musste nach Ansicht des Landgerichts nicht jede Diskette einzeln untersucht werden.

Aber die Zeitschrift hätte zumindest stichprobenartige Untersuchungen vornehmen müssen. Dann wäre aufgefallen, dass die Disketten virenverseucht waren. Diese Kontrolle, die mit einem geringen Personal- und Kostenaufwand möglich gewesen wäre, hatte die Zeitschrift unterlassen und musste daher den Schaden selbst tragen.

Pflichten des Käufers

In diesem Zusammenhang stellt das Landgericht klar, dass jeweils unterschiedliche Anforderungen an den Abnehmer von Disketten zu stellen sind. An fachmännische Käufer sind höhere Anforderungen zu richten als an Nichtfachleute. Ein Fachverlag für DV-Zeitschriften ist wie ein Fachmann zu behandeln. Von solchen Käufern können bei großen Lieferungen von Software oder Disketten stichprobenartige Kontrollen auf Virenverseuchung verlangt werden. Für das Gericht war bei der Beurteilung des Falles zusätzlich von Bedeutung, dass die üblichen Virenschutzprogramme den Computervirus erkannten. Auch die Leser hatten entsprechende Programme genutzt und die Zeitschrift auf die Verseuchung aufmerksam gemacht.

Bei noch unbekannten Viren wird man nicht ohne weiteres von einer dahingehenden Untersuchungspflicht des Käufers ausgehen können, sodass in solchen Fällen die Haftungsfrage anders zu beantworten ist.

Fehlende Sicherung

Während das Landgericht Kleve die Untersuchungs- und Rügepflichten des Käufers, insbesondere eines Kaufmanns im Sinne des Handelsgesetzbuches, betont, erweitert der BGH in einer neueren Entscheidung die Haftung der EDV-Firmen zugunsten des Kunden. Dem Urteil des BGH vom 2. Juli 1996 lag zunächst ein anderer Sachverhalt zugrunde. Eine EDV-Firma hatte es übernommen, für ein Optikfachgeschäft ein schon verwendetes Programm auf ein neues EDV-System zu übertragen. Dieses Programm enthielt eine Sicherungsroutine, die nach der Neuinstallation nicht mehr funktionierte.

Der Fehler trat aber erst nach etwa einem Jahr auf, als die Festplatte abstürzte und die Daten vom Streamer rekonstruiert werden sollten. Obwohl nach mehr als sechs Monaten alle Gewährleistungsfristen abgelaufen waren, hatte der BGH dem Optikfachgeschäft Schadensersatzansprüche zuerkannt. Und das, obwohl das Optikgeschäft selbst keine Tests oder Stichproben vorgenommen hatte und die Funktionsfähigkeit der Sicherungsroutine ungeprüft ließ. Die Grundsätze, die das höchste deutsche Zivilgericht in diesem Urteil aufgestellt hat, lassen Rückschlüsse auf die künftige Beurteilung von virenverseuchten Programmen zu.

Urteil des BGH

Nach Ansicht des BGH war die EDV-Firma verpflichtet, das der Datensicherung dienende Programm bei der Neuinstallation auf seine Funktionsfähigkeit zu überprüfen. Es hätte getestet werden müssen, ob die Sicherungsroutine auf der EDV-Anlage lauffähig ist. Dabei können von der EDV-Firma alle technisch möglichen und wirtschaftlich zumutbaren Kontrollen erwartet werden. Wird diese Überprüfung unterlassen, so muss die EDV-Firma beweisen, dass die nicht funktionierende Datensicherung erst nach den Arbeiten und der Abnahme durch den Kunden aufgetreten ist - ein kaum lösbares Problem.

Haftung bei Virusinfizierung

Für virenverseuchte Programme haben diese Grundsätze folgende Auswirkungen: Der EDV-Anbieter muss nachweisen, dass er die ausgelieferten Programme mit allen technisch möglichen und wirtschaftlich zumutbaren Mitteln auf Viren überprüft hat. Zumindest die aktuelle Version eines guten Virenschutzprogrammes muss zur Kontrolle der Software vor der Ablieferung eingesetzt werden. Wenn diese Kontrolle nicht nachweisbar ist, so hat der EDV-Anbieter zu beweisen, dass die Viren zeitlich nach der Abnahme der Software auf das EDV-System des Kunden übertragen wurden.

Schadensersatz für verlorene Daten

Eine zweite wichtige Aussage hat der BGH getroffen. Der Verlust des Datenbestandes ist nach seiner Ansicht ein so genannter entfernter Mangelfolgeschaden. Dies hat zur Folge, dass nicht die kurze sechsmonatige Verjährungsfrist greift, sondern die 30-jährige Verjährungsfrist anzuwenden ist. Für den Kunden ist das ein unschätzbarer Vorteil. Das Fehlverhalten der EDV-Firma müsse sich nach der Auffassung des Gerichts nicht zwangsläufig in kurzer Zeit in einem Schaden beim Kunden auswirken. Der Kunde kann auch noch nach Ablauf der üblichen Gewährleistungsfristen Rechte geltend machen.

Wird der Virus beim Kunden also erst nach längerer Zeit entdeckt, ist künftig zu überlegen, ob der aufgetretene Schaden an Datenbeständen gegenüber dem EDV-Anbieter geltend gemacht werden kann. Zu den Schäden kann bei Betrieben auch die aufgewendete Arbeitszeit der Mitarbeiter zählen, die für die Rekonstruktion von Daten notwendig war.

Eine Einschränkung ist allerdings bei der Haftung des EDV-Anbieters zu machen: Zerstört der Virus ausschließlich die gelieferte Software, so ist dieser Schaden nicht zu ersetzen. Schadensersatz erhält der Kunde nur für den Datenverlust und die Schäden an anderen Programmen. Dem Käufer stehen hinsichtlich der gelieferten Software die Gewährleistungsrechte zur Seite. Diese Rechte werden aber durch die kurze sechsmonatige Verjährungsfrist erheblich eingeschränkt.

Konsequenzen für Kunden

Während das Landgericht Kleve in seiner Entscheidung den Schwerpunkt der Untersuchungspflichten beim Kunden sieht, fordert der BGH umfangreiche Kontrollen von den EDV-Anbietern. Von den EDV-Anbietern wird nunmehr gefordert, dass sie angebotene Software auf Viren untersuchen und Qualitätssicherungsmaßnahmen durchführen. Trotzdem sollte man sich als Kunde nicht auf die Sicherungsmaßnahmen der Anbieter verlassen. Eine eigene Überprüfung der Software auf Computerviren sollte vor jeder Installation durchgeführt werden.

Insbesondere für die geschäftliche Nutzung von Computern ist dies ein absolutes Muss. Zur eigenen Sicherheit sollte die Überprüfung dokumentiert werden, um sie im Falle einer gerichtlichen Auseinandersetzung nachweisen zu können. Treten Viren auf, muss der EDV-Anbieter unverzüglich informiert und zur Beseitigung des Mangels aufgefordert werden. Die Anzeige der aufgetretenen Virusinfizierung sollte schriftlich mitgeteilt werden, damit die Mängelanzeige ebenfalls beweisbar ist.

Die Überprüfung gekaufter Software auf Computerviren ist darüber hinaus unter betriebswirtschaftlichen Aspekten eine Notwendigkeit. Selbst wenn nach der Rechtsprechung des BGH an die EDV-Branche besondere Qualitätsanforderungen gestellt werden, ist jede Virusinfizierung möglichst zu vermeiden. Schadensersatzansprüche gerichtlich durchzusetzen dauert oft Monate oder Jahre und bietet nicht immer die Gewähr, dass der entstandene Schaden im vollen Umfang ersetzt wird. Schadensvorbeugung ist sicherlich in diesem Zusammenhang der bessere Weg.

Computerviren als Urheberschutz

Unzulässig ist es, Viren als Schutz gegen Raubkopien einzusetzen. Die Rechtsprechung hat in solchen Fällen entschieden, dass die gelieferte Software mangelhaft ist und der Kunde einen Anspruch auf virenfreie Software hat. Eine mit einem Computervirus behaftete Software löst Gewährleistungsrechte und Schadensersatzansprüche des Kunden aus.

Kündigung wegen Virenverdacht

In letzter Zeit häufen sich in der Praxis die Fälle, in denen Mitarbeiter EDV-Systeme ihres Arbeitgebers mit Computerviren infizieren. Die Motive sind unterschiedlich: Der Mitarbeiter will sich am Arbeitgeber rächen, sich unentbehrlich machen oder nur seinen Frust loswerden.

Wenn dem Mitarbeiter nachgewiesen kann, dass er die EDV-Anlage verseucht hat, ist eine fristlose Kündigung rechtmäßig. Auch die mündliche Androhung einer Virenverseuchung rechtfertigt einen solchen Schritt. Wenn die Herkunft des Virus nicht genau nachzuweisen ist, so kann der begründete Verdacht einer vorsätzlichen Verseuchung des EDV-Systems eine Kündigung rechtfertigen.