OLG Hamburg: Webseiten-Betreiber haftet nicht für Urheberrechtsverstoß durch gehacktes TYPO3-CMS

Ein Unternehmen haftet nicht für urheberrechtswidrige Inhalte, die unbekannte Dritte (Hacker) auf die Webseite hochgeladen haben, wenn es eine unsichere Version eines Content-Management-System (hier: TYPO3)  benutzt (OLG Hamburg, Urt. v. 18.06.2020 - Az.: 5 U 33/19).

Die Beklagten betrieben eine Webseite und setzen hierfür das bekannte CMS TYPO3 in der Version 6.2.29 LTS  ein. Die neuere Version 8 war seit April 2017 verfügbar, wurde jedoch nicht verwendet, da diese nicht ausreichend abwärtskompatibel für die Zwecke der Beklagten war. Das letzte Sicherheitsupdate wurde im März 2017 eingespielt. Die Beklagten verwendeten zudem zwei veraltete, unsichere Extensions.

In der Vorinstanz, dem LG Hamburg, war noch streitig, ob der Hack durch das CMS zustande kam  oder ob nicht doch möglicherweise ein geknackter FTP-Account verantwortlich war, vgl. unsere News v.  05.02.2019. In der Berufungsinstanz war dieser Sachverhalt hingegen nicht mehr streitig. Offen bleibt jedoch, ob der erfolgreiche Online-Einbruch durch nicht gepachte Lücken in TYPO3 selbst oder durch die unsicheren Extensionen verursacht wurde.

Der Kläger stellte im Juni 2018 fest, dass auf der Homepage der Beklagten ein von ihm erstelltes Fotos zum Abruf bereitgehalten wurde. Auf die erfolgte außergerichtliche Abmahnung trugen die Beklagten vor, keiner ihrer Mitarbeiter hätte das Bild hochgeladen. Vielmehr habe ein unbekannter Dritter die Internetpräsenz gehackt, eine Unterseite eingefügt und zahlreiche Inhalte (über 39.000 Dateien) hinterlegt, so auch das betreffende Foto.

Der Kläger sah die Beklagten gleichwohl in der Haftung. Sie treffe eine Mitverantwortlichkeit, weil sie eine veraltete und damit unsichere Version des CMS benutzt hätten. Sie hätten nicht die erforderliche Sorgfalt walten lassen und hätten damit rechnen müssen, dass unbekannte Dritte die bekannten Sicherheitslücken ausnutzen würden.

Das OLG Hamburg wies - wie schon das LG Hamburg in der 1. Instanz - die Klage ab.

Eine Verantwortlichkeit scheide bereits deshalb aus, weil die hochgeladenen Inhalte sich inhaltlich deutlich von vorhandenen unterscheiden würden und damit offensichtlich sei, dass der Content nicht von den Beklagten stamme:

"Im vorliegenden Fall steht einer Verantwortlichkeit (...) entgegen, dass die rechtswidrig zugefügten Seiten nach dem unstreitigen Sachverhalt deutlich abweichend und in englischer Sprache gestaltet sind, während die übrigen Internetseiten (...) in deutscher Sprache verfasst sind. Auch das Layout ist unstreitig gänzlich abweichend gestaltet. 

Bereits hieraus ergibt sich, dass es sich für einen Nutzer erkennbar um keine Inhalte der Antragsgegnerinnen handelt.

Die hinzugefügten Seiten waren unstreitig nicht über die Internetseite der Antragsgegnerinnen verlinkt. Selbst wenn aufgrund des Backlinks auf den rechtswidrig zugefügten Seiten eine Zuordnung beim Gelangen auf die zugefügten Seiten möglich ist, so scheitert eine Zurechnung daran, dass die Antragsgegnerinnen die zugefügten Internetseiten bis zur Abmahnung nicht kannten und nach Kenntnis sofort entfernten."

Ein etwaiger Sorgfaltsverstoß gegen § 13 Abs.7 TMG scheide ferner auch deshalb aus, weil diese Norm nicht den Schutz von Urheberrechten zum Ziel habe. Vielmehr sei Intension der Regelung, die Verbreitung von Schadsoftware einzudämmen und zu verhindern, indem geschäftsmäßigen Diensteanbietern Pflichten zur IT-Sicherheit auferlegt würden. Ein Anspruch bestünde beispielsweise dann, wenn das System eines Nutzers, der auf der Webseite surfe, durch Viren oder Trojaner kompromittiert werde. 

Der vorliegende Sachverhalt liege jedoch anders und falle damit nicht in den Schutzbereich der Norm.