„Schockrechnung“ des Access-Providers
Leistungen des Anbieters, die unter Verletzung seiner Schutz- und Sorgfaltspflichten entstanden sind, hat der Kunde nicht zu vergüten.
Die Klägerin stellte der Beklagten Festnetz- und Internetverbindungen (ISDN-Anschlüsse) für ihre Telefonanlage zur Verfügung und verrechnete regelmäßig rund 210 EUR brutto im Monatsdurchschnitt an Grund- und Verbindungsentgelten. Ab einem bestimmten Zeitpunkt erfolgte ein Hackerzugriff auf die Telefonanlage der Beklagten über eine ägyptische IP-Adresse, sodass – jeweils in den Nacht- und frühen Morgenstunden – Verbindungen ins Ausland (Grönland, Thailand, Eritrea, Elfenbeinküste, Bosnien-Herzegowina, Mali, Kuba, usw.) getätigt wurden. Die Klägerin hatte täglich um 9:00 Uhr sämtliche Verrechnungsdaten ihrer Kunden für den Vortag zur Verfügung, während sie der Beklagten erst mit der nächsten Monatsrechnung zur Kenntnis gelangten. Der Klägerin wäre ein Gebührenmonitoring sowohl technisch als auch personell leicht möglich gewesen.
Die Klägerin begehrte von der Beklagten mit der auf den Hackerangriff folgenden Monatsrechnung die Zahlung von über 10.000 EUR.
Die Beklagte wendete ein, die Klägerin habe ihre Warnpflicht verletzt, weshalb ihr das Entgelt nicht zustehe.
Die Vorinstanzen wiesen die Klage im Wesentlichen ab. Der Klägerin wäre es möglich und zumutbar gewesen, ein Gebührenmonitoring vorzunehmen. Durch eine Warnung bzw ein Kappen der Leitung hätten weitere Auslandsverbindungen verhindert werden können.
Der Oberste Gerichtshof gab der Revision der Klägerin nicht Folge und bestätigte die abweisende Entscheidung. Es überspannt nicht die Schutz- und Sorgfaltspflichten der Klägerin als Betreiberin von Kommunikationsdiensten, wenn man von ihr verlangt, ihr leicht mögliche Maßnahmen zur Abwehr von Hackerangriffen zu ergreifen. Eine ergänzende Vertragsauslegung führt zum Ergebnis, dass jene Leistungen, die unter Verletzung von Schutz- und Sorgfaltspflichten durch die Klägerin entstanden sind, nicht zu vergüten sind. Es handelt sich bei den durch den Hackerangriff verursachten Leistungen um solche, die bei Einhaltung der gebotenen Sorgfalt der Klägerin nicht angefallen wären. Deren Existenz gelangte nämlich wesentlich früher in den Wahrnehmungsbereich der Klägerin als in jenen der Beklagten. Dessen ungeachtet hat es die Klägerin unterlassen, den Angriff abzuwehren bzw die Beklagte zumindest rechtzeitig zu warnen.