Fall des Monats: Rundmail mit Nebenwirkungen

Sekretärin Frau Sorgsam verschickt mit einer Eltern-Rundmail unwissentlich auch ein Schadprogramm, das auf den Empfänger-PCs alle Audio-Dateien vernichtet. Haftet sie oder ihr Dienstherr auf Schadensersatz?

Beschreibung

Am staatlichen Isidor-Gymnasium in Würzburg (Bayern) erhielt die verbeamtete Sekretärin Frau Sorgsam vom Schuldirektor den Auftrag, per elektronischer Rundmail alle Eltern darüber zu informieren, dass aufgrund von notwendigen Bauarbeiten am Schulgebäude in den nächsten Wochen Schulstunden verlegt werden müssten und mit Lärmbelästigungen für die Schülerinnen und Schüler zu rechnen sei. Frau Sorgsam fertigte daraufhin eine entsprechende E-Mail an und verschickte sie an alle Eltern. Unbemerkt sandte sie dabei im Anhang der Rundmail auch ein Schadprogramm mit, welches sich heimlich auf ihrem Computer "eingenistet" hatte.

Am staatlichen Isidor-Gymnasium in Würzburg (Bayern) erhielt die verbeamtete Sekretärin Frau Sorgsam vom Schuldirektor den Auftrag, per elektronischer Rundmail alle Eltern darüber zu informieren, dass aufgrund von notwendigen Bauarbeiten am Schulgebäude in den nächsten Wochen Schulstunden verlegt werden müssten und mit Lärmbelästigungen für die Schülerinnen und Schüler zu rechnen sei. Frau Sorgsam fertigte daraufhin eine entsprechende E-Mail an und verschickte sie an alle Eltern. Unbemerkt sandte sie dabei im Anhang der Rundmail auch ein Schadprogramm mit, welches sich heimlich auf ihrem Computer "eingenistet" hatte.

Schadprogramm verschickt Datei und löscht Audiodateien bei den Empfängern

Dieses tarnte sich als Textdatei, die den Namen des Gymnasiums trug. Viele Eltern öffneten daher arglos die vermeintliche Textdatei und fanden darin zu ihrer Verwunderung Namen und Adressen von Schülerinnen und Schülern des Isidor-Gymnasiums. Gleichzeitig setzte das Öffnen des Anhangs von den Empfängern unbemerkt im Hintergrund einen Suchlauf nach beliebigen Audiodateien (MP3, WMA, AAC usw.) auf dem jeweiligen Computer in Gang. Die dabei gefundenen Dateien wurden vom Schadprogramm allesamt gelöscht und schließlich auf dem Bildschirm die Meldung "Kein Pardon für Raubkopierer" angezeigt. Einigen Eltern entstand dadurch ein Schaden von bis zu mehreren hundert Euro, da auch online käuflich erworbene Musikdateien gelöscht wurden.

Die Antivirensoftware kannte das Schadprogramm noch nicht

Eine nachfolgende Untersuchung des Vorgangs ergab, dass auf dem Frau Sorgsams Computer zwar eine sogenannte Internet Security Suite (Anti-Virusprogramm, Anti-Spywareprogramm und Firewall) installiert war, deren Datenbankdateien mit den Erkennungsmustern der Schadprogramme täglich aktualisiert wurde, und die so konfiguriert war, dass auch ausgehende E-Mails - einschließlich Anhänge und Archive - auf Schadprogramme untersucht wurden. Jedoch hatte der Hersteller der Internet Security Suite das betreffende Schadprogramm, da es zum Zeitpunkt der Versendung der Rundmail erst seit wenigen Stunden bekannt war, noch nicht in seine Datenbank-Dateien aufgenommen. Zu Weiterleitung der Namen und Adressen von Schülerinnen und Schülern des Isidor-Gymnasiums war es gekommen, weil das Schadprogramm willkürlich die Festplatte des Computers nach verwendbaren Texten durchsuchte und sich darauf auch unverschlüsselte Worddateien mit Namen- und Adresslisten der Schülerinnen und Schüler befanden. Die Verwendung des Computers von Frau Sorgsam sowohl für interne Verwaltungsaufgaben als auch für die Internetkommunikation war vom Schuldirektor genehmigt worden, da er aufgrund des Einsatzes der Internet Security Suite die sensiblen Daten für ausreichend gesichert hielt.

Besteht ein Anspruch auf Schadensersatz?

Können die Eltern im Hinblick auf die gelöschten Audiodateien und die betroffenen Schülerinnen und Schüler beziehungsweise deren Erziehungsberechtigte wegen der Weiterleitung der Namen und Adressen von Frau Sorgsam und / oder von deren Dienstherrn oder der Schule Schadensersatz verlangen?

Schadensersatzansprüche wegen Löschung der Audiodateien

Staatshaftung des Freistaat Bayern

Gemäß § 839 Absatz 1 Bürgerliches Gesetzbuch (BGB) in Verbindung mit Artikel 34 Satz 1 Grundgesetz (GG) kann der Staat oder die Körperschaft, in deren Dienst sich ein Beamter (oder Angestellte im öffentlichen Dienst) befindet, grundsätzlich auf Schadensersatz in Anspruch genommen werden, wenn dieser schuldhaft eine Amtspflicht verletzt und dadurch einem Dritten einen Schaden zugefügt hat. Vorliegend ist damit zu fragen, ob Frau Sorgsam schuldhaft durch das Versenden des Schadprogramms eine Amtspflicht verletzt hat, sodass über Artikel 34 Satz 1 GG der Freistaat Bayern als Dienstherr mögliche Schäden zu ersetzen hat. Dabei liegt eine Amtspflichtverletzung immer dann vor, wenn nach den §§ 823 ff. BGB in fremde Rechte oder Rechtsgüter, wie das Sacheigentum, eingegriffen wird. Allerdings haftet der Freistaat Bayern stets nur in dem Umfang in dem Frau Sorgsam haften würde, wenn Sie selbst direkt in Anspruch genommen werden würde. Mit anderen Worten: Hat sich Frau Sorgsam wegen der schuldhaften Verletzung fremder Rechte eigentlich schadensersatzpflichtig gemacht, kann anstatt ihrer der Freistaat Bayern in Anspruch genommen werden. Damit ist zunächst eine Haftung Frau Sorgsams zu untersuchen, welche sich im Wesentlichen danach richtet, ob sie vorsätzlich oder fahrlässig gehandelt hat.

Kein vorsätzliches Handeln

Eine Haftung von Frau Sorgsam wegen vorsätzlicher Weiterverbreitung eines Schadprogramms nach den deliktsrechtlichen Ansprüchen gemäß § 826 BGB (vorsätzliche sittenwidrige Schädigung), § 823 Absatz 1 BGB (schuldhafte Schädigung absoluter Rechte) und § 823 Absatz 2 BGB (Schadensersatz wegen Verletzung von Schutzvorschriften) kommt nicht in Betracht, da für einen entsprechenden Vorsatz nichts ersichtlich ist. Aus diesem Grund ist im Übrigen auch keine Strafbarkeit Frau Sorgsams gegeben, da die insoweit einschlägigen Strafnormen stets das Vorliegen von Vorsatz voraussetzen.

Rechtsprechung mit Fahrlässigkeitsvorwurf zurückhaltend

Komplexer ist hingegen die Fragestellung, ob Frau Sorgsam für den eintretenden Schaden durch das Schadprogramm haftet, wenn sie wie hier nur unwissentlich und versehentlich durch Versendung der Rundmail in Unkenntnis der Weiterverbreitung eines Schadprogramms gehandelt hat. Bislang hat sich die Rechtsprechung, soweit ersichtlich, eher selten mit dieser Problematik beschäftigt. Nur das Landgericht Köln hat sich im Jahr 1999 mit einer ähnlichen Konstellation befasst, nämlich der Haftung für die Verbreitung von Viren mittels einer Diskette. In diesem Fall hatte der beklagte Verlag einem Journalisten im Rahmen eines Auftrags eine Diskette überlassen, die mit einem Virus behaftet war. Das Landgericht Köln hatte einen Schadensersatzanspruch des klagenden Journalisten mit der Begründung abgelehnt, dass der beklagte Verlag nicht verpflichtet gewesen sei, den Journalisten auf die allgemein bekannte Gefahr einer Virenverseuchung hinzuweisen. Zudem habe der Journalist in dem besagten Fall nicht dargelegt, dass der Virus im Falle der Verwendung technischer Schutzvorkehrungen durch den Verlag entdeckt worden wäre.

Rechtsliteratur sucht Lösung über allgemeine Haftungsgrundsätze

In der Rechtsliteratur werden in der vorliegenden Fallkonstellation die allgemeinen zivilrechtlichen Haftungsgrundsätze - vor allem nach dem Deliktsrecht - zugrunde gelegt. Im Mittelpunkt steht hierbei die Vorschrift des § 823 Absatz 1 BGB. Danach ist zum Schadensersatz verpflichtet, "wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt". Nach allgemeiner Meinung stellt das Löschen von Daten auf einer Festplatte eine Eigentumsverletzung dar.

Erforderlich für eine zivilrechtliche Haftung nach den Grundsätzen des Deliktsrechts ist aber weiterhin, dass Frau Sorgsam zumindest fahrlässig gehandelt hat. Dies setzt wiederum voraus, dass sie eine bestimmte Rechtspflicht zur Verhinderung von Rechtsverletzungen durch das Schadprogramm inne hatte. Eine solche könnte in der so genannten Verkehrssicherungspflicht Frau Sorgsams bestehen, gegenüber den Empfängern besondere Virenschutzmaßnahmen zu ergreifen. Nach allgemeiner Meinung besteht eine solche Verkehrssicherungspflicht aber in der Regel nur für denjenigen, dem eine Gefährdung zum Beispiel des Eigentumsrechts auch "zuzurechnen" ist. Als Zurechnungsgrund kommt vor allem die "Beherrschung einer Gefahrenquelle" in Betracht. Da ein Computer oder eine Datei, die mit einem Schadprogramm behaftet ist, durchaus als Gefahrenquelle angesehen werden kann, wird in der Rechtsliteratur auch eine entsprechende Verkehrssicherungspflicht des Versenders grundsätzlich angenommen.

Verletzung einer Verkehrssicherungspflicht notwendig

Inhalt und Umfang dieser Verkehrssicherungspflicht sollen sich aber nach den Sicherungserwartungen der betroffenen Verkehrskreise richten, welche durch eine wertende Interessenabwägung näher zu bestimmen sind. Insoweit kommen die meisten Autoren der Rechtsliteratur zu einem differenzierten Ergebnis: Danach soll vor allem Unternehmern und Behörden gegenüber Privatpersonen eine Verkehrssicherungspflicht im Hinblick auf die Verhinderung der Weiterverbreitung von Schadprogrammen zukommen, soweit die Kommunikation vom Unternehmen oder der Behörde ausgeht ("Business to Consumer" - "B2C"). Begründet wird dies insbesondere damit, dass Unternehmen oder Behörden aus der Verwendung elektronischer Kommunikation bei der "Kundenansprache" einen Vorteil ziehen und die Empfänger auch darauf vertrauen können sollen, dass Unternehmen oder Behörden sich ihnen gegenüber verkehrsgerecht verhalten. Vorliegend handelt es sich um eine solche B2C-Kommunikation mit der Folge, dass grundsätzlich besondere Verkehrssicherungspflichten zu beachten waren.

Nach der Rechtsprechung des BGH sind bei der Beurteilung des Umfangs von Verkehrssicherungspflichten allerdings stets die Grenzen des wirtschaftlich Zumutbaren zu berücksichtigen. Da die Einrichtung und die laufende Aktualisierung technischer Schutzmaßnahmen gegen Schadprogramme (zum Beispiel Virenschutzprogramm) heutzutage mit relativ geringem wirtschaftlichem Aufwand geleistet werden kann, ist dies dem jeweiligen versendenden Unternehmen beziehungsweise der versendenden Behörde nach allgemeiner Ansicht auch zumutbar. Daher ist nach der überwiegenden Rechtsliteratur der Versender im B2C auch verpflichtet, zumutbare und angemessene Sicherheitskonzepte und alle Vorsorgemaßnahmen zur Abwehr von Viren zu treffen, die dem jeweils aktuellen Stand der Technik entsprechen. Tut er dies nicht, ergeben sich die hier behandelten zivilrechtlichen Haftungsrisiken.

Konsequenz

Als Konsequenz dürfte damit Frau Sorgsam (und letztlich auch der Schule) hier keine Verletzung von Verkehrssicherungspflichten vorzuwerfen sein. Frau Sorgsams Computer war umfassend mit einer Internet Security Suite gesichert, die täglich aktualisiert wurde. Für das "Einnisten" des Schadprogramms auf dem PC gab es keine Hinweise und ein zeitlicher Versatz von einigen Stunden oder sogar wenigen Tagen bei der Aktualisierung von Antischadprogramm-Datenbanken ist systembedingt. Vom Verwender entsprechender Programme im Behördenbereich kann daher unseres Erachtens nur deren ordnungsgemäße und auf möglichste Sicherheit bedachte Konfiguration verlangt werden. Dies ist hier geschehen, da auch ausgehende E-Mails, einschließlich Anhänge und Archive, von der Internet Security Suite auf Schadprogramme untersucht wurden. Ein Schadensersatzanspruch gegen Frau Sorgsam und damit gegen den Freistaat Bayern wegen der Löschung der Audiodateien besteht also nicht. Mangels bislang ergangener Rechtsprechung sind die Einzelheiten aber noch nicht geklärt.

Im Übrigen trifft eine entsprechende Pflicht zur Freihaltung des eigenen Computersystems und gespeicherter Daten von Schadprogrammen auch den jeweils geschädigten Empfänger  von Schadprogrammen (hier die Eltern). Haben diese also zumindest kein Antivirenprogramm installiert, soll nach Meinungen in der Rechtsliteratur entweder das Mitverschulden bei der Festsetzung der Schadensersatzpflicht maßgeblich mit berücksichtigt werden oder dieses sogar zu einem vollständigen Ausschluss eines Schadensersatzanspruchs gegenüber dem schädigenden Versender führen. Nicht zuletzt aus diesem Grund werden daher Käufer online erworbener Musikdateien stets von den Verkäufern ausdrücklich darauf hingewiesen, dass sie ihre Musikstücke sichern sollen (etwa durch Brennen auf eine CD).

Schadensertsatzansprüche wegen Weiterleitung persönlicher Daten

Anspruch aus Artikel 14 Absatz 2 BayDSG

Nach Artikel 14 Absatz 1 des Bayerischen Datenschutzgesetzes (BayDSG) - der so oder in ähnlicher Form auch in den anderen Bundesländern und in § 7 und § 8 Bundesdatenschutzgesetz (BDSG) zu finden ist - kann die unrichtige oder unzulässige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch eine öffentliche Stelle eine Schadensersatzpflicht begründen. Das Isidor-Gymnasium ist eine solche öffentliche Stelle und muss sich auch das Verhalten Frau Sorgsams, nämlich die unzulässige Übermittlung (= Form der Verarbeitung) von Namen und Adressen der Schülerinnen und Schüler, zurechnen lassen.

Die Höhe des Schadensersatzanspruches ist in Artikel 14 Absatz 1 BayDSG nicht begrenzt, jedoch entfällt die Schadensersatzpflicht, wenn die öffentliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Insoweit läge es aus Sicht des Isidor-Gymnasiums zunächst nahe darauf hinzuweisen, dass eine ordnungsgemäß konfigurierte und aktualisierte Internet Security Suite zum Schutz der Daten eingesetzt wurde. Allerdings erscheint fraglich, ob dies zur Bejahung der Beachtung der erforderlichen Sorgfalt ausreicht, da zum Beispiel die "Erläuternden Hinweise zum Vollzug des Bayerischen Datenschutzgesetzes (Bekanntmachung des Bayerischen Kultusministeriums vom 14. April 2001, zuletzt geändert am 10. Oktober 2002) unter 6.1 deutlich machen, dass Computer mit personenbezogenen Daten hohen Sicherheitsanforderungen gerecht werden müssen und daher besondere Maßnahmen zum Schutz dieser Daten ergriffen werden müssen. Vorliegend waren die Dateien mit den Namen und Adressen aber offensichtlich weder passwortgeschützt noch verschlüsselt. Gerade wenn sich solche Daten auf Computersystemen befinden, die über einen Internetzugang verfügen, erscheint eine bloße "allgemeine Absicherung" des Computersystems als nicht ausreichend.

Letztlich braucht die Frage aber nicht weiter vertieft werden, da nach Artikel 14 Absatz 1 BaySDG nur materielle Schäden (Vermögensschäden) ersetzt verlangt werden können. Es ist jedoch nichts dafür ersichtlich, dass den Schülerinnen und Schülern entsprechende Schäden entstanden sind.

Anspruch aus Artikel 14 Absatz 2 BayDSG

Anders sieht dies grundsätzlich für einen Schadensersatzanspruch nach Artikel 14 Absatz 2 BayDSG aus, da diese - im Übrigen mit Artikel 14 Absatz 1 BayDSG identische - Vorschrift bei Datenschutzverletzungen durch eine öffentliche Stelle auch Schmerzensgeld (= Ersatz für immateriellen Schaden) vorsieht und dies sogar unabhängig davon, ob im konkreten Fall die gebotene Sorgfalt in Bezug auf den Umgang mit personenbezogenen Daten beachtet wurde oder nicht. Allerdings bestimmt Artikel 14 Absatz 2 Satz 2 BayDSG, dass Schmerzensgeld nur bei einer schweren Verletzung des Persönlichkeitsrechts zu bezahlen ist. Eine solche schwere Verletzung wird man vorliegend nicht annehmen können, da "nur" Namen und Adressen übermittelt wurden und die Übermittlung auch nur an einen beschränkten Personenkreis erfolgte. Die Beeinträchtigung blieb also überschaubar und wird aller Voraussicht nach für die Betroffenen auch keine nachteiligen Folgen haben. Im Ergebnis bleibt es somit dabei, dass kein Schadensersatzanspruch nach dem Bayerischen Datenschutzgesetz besteht. Entsprechende gilt für die Rechtslage in den anderen Bundesländern.

Staatshaftung des Freistaat Bayern

Wie aus Artikel 14 Absatz 5 BayDSG (und auch aus den anderen Landesdatenschutzgesetzen) folgt, kann sich ein Schadensersatzanspruch wegen der unzulässigen Übermittlung der Namen und Adressen weiterhin aus anderen Haftungstatbeständen ergeben, die ausdrücklich nicht von der Spezialnorm des Artikel 14 Absatz 1 und 2 BayDSG verdrängt werden. Zu denken ist hierbei, wie schon beim "Schadprogrammversand", an die Haftung des Freistaat Bayern nach § 839 Absatz 1 BGB in Verbindung mit Artikel 34 Satz 1 GG, sofern ein in dessen Dienst stehende Beamter schuldhaft eine Amtspflicht verletzt und dadurch einem Dritten einen Schaden zugefügt hat.

Konsequenz

Für eine schuldhafte Amtspflichtverletzung Frau Sorgsams ist jedoch nichts ersichtlich. Wie oben bereits dargestellt, hat sie sich ordnungsgemäß verhalten und insbesondere keine Änderungen an der korrekt konfigurierten und aktualisierten Internet Security Suite vorgenommen. Weiterhin ist nicht ersichtlich, dass zum Beispiel die Nichtverschlüsselung der Dateien mit personenbezogenen Daten ihr anzulasten ist. Allerdings erscheint die Annahme einer schuldhaften Amtspflichtverletzung durch die Schulleitung und damit des Schuldirektors nicht von vornherein ausgeschlossen. Dieser ist unter anderem dafür verantwortlich, dass innerhalb der Schule die datenschutzrechtlichen Vorgaben beachtet und effektive Maßnahmen zur Umsetzung dieser Vorgaben vorgenommen werden. Befinden sich aber personenbezogene Daten von Schülerinnen und Schülern auf einem Computer, der über einen Internetzugang verfügt, und werden diese Daten nicht speziell gesichert, sondern nur der Computer ansich, lässt sich zumindest vertreten, dass in diesem Fall nicht die notwendige Sorgfalt beim Umgang mit personenbezogenen Daten angewendet wurde. Rechtsprechung zu dieser speziellen Frage gibt es aber, soweit ersichtlich, nicht.

Bejaht man eine schuldhafte Amtspflichtverletzung durch den Schuldirektor und damit eine Staatshaftung dem Grunde nach, stellt sich wiederum die Frage nach dem ersatzfähigen Schaden, wenn es sich, wie hier, um einen reinen Nichtvermögensschaden bei einer Persönlichkeitsrechtsverletzung handelt (materielle Schäden sind nach dem Sachverhalt nicht entstanden). Insoweit ist in der Rechtsprechung und in der Rechtsliteratur umstritten und in vielen Bereichen noch ungeklärt, ob und unter welchen Voraussetzungen ein Nichtvermögensschaden geltend gemacht werden kann. Da es sich um eine vielschichtige und komplexe Fragestellung handelt, soll dieser hier nicht weiter nachgegangen werden. Festzuhalten ist aber, dass die Geltendmachung eines Nichtvermögensschadens nicht von vornherein ausgeschlossen ist, jedoch bei geringfügigeren Beeinträchtigungen, wie hier, eher unwahrscheinlich ist.

Fazit

Kommunizieren Beamte oder Angestellte einer Schule dienstlich auch auf elektronischem Wege mit Schulangehörigen oder Eltern, können sich Schadensersatzansprüche dieser Personen gegen den Dienstherrn ergeben, wenn dabei Schadprogramme übermittelt werden, obwohl dies durch den Einsatz üblicher "Abwehrmaßnahmen" (Antivirenprogramm, Firewall usw.) hätte verhindert werden können. Daher sollten insbesondere die dienstlichen Computer, die über eine Internetverbindung verfügen, mit entsprechender Sicherheitssoftware ausgerüstet und diese regelmäßig aktualisiert werden. Der Umfang des Schadensersatzanspruchs hängt vom Mitverschulden des Empfängers ab. Von diesem wird erwartet, dass er ebenfalls Maßnahmen zur Abwehr von Schadprogrammen ergreift.

Kommt es zu einer unzulässigen Übermittlung personenbezogener Daten, stehen ebenfalls Schadensersatzansprüche im Raum. Dies selbst dann, wenn zwar das Computersystem als solches ausreichend gegen Schadprogramme geschützt ist, nicht aber die Dateien mit den personenbezogenen Daten. Befinden sich daher entsprechende Daten auf einem Schulcomputer, der über einen Internetzugang verfügt, sollten sie zum Beispiel passwortgesichert und am besten verschlüsselt werden. Optimal ist insoweit, wenn Schulrechner mit personenbezogenen Daten entweder gar nicht über einen Internetzugang verfügen oder nur über einen speziell abgesicherten Zugang zum Internet haben (eingeschränkte Benutzerrechte, Freigabe nur bestimmter Ports usw.).