Berufung gegen Klageabweisung wegen angeblicher Hackerangriffe auf Miet-Telefonanlage

I Der Senat weist darauf hin, dass er beabsichtigt, die Berufung der Klägerin gegen das am 06.03.2013 verkündete Urteil der 23. Zivilkammer des Landgerichts Köln -23 O 322/12- gemäß § 522 Abs. 2 ZPO als unbegründet zurückzuweisen.

II Die Klägerin erhält Gelegenheit zur Stellungnahme innerhalb von drei Wochen ab Zugang dieses Beschlusses.

Die Berufung der Klägerin hat offensichtlich keine Aussicht auf Erfolg (§ 522 Abs. 2 S. 1 Nr. 1 ZPO). Es ist nicht ersichtlich, dass die angefochtene Entscheidung auf einer Rechtsverletzung beruht (§ 546 ZPO) oder nach § 529 ZPO zu Grunde zu legende Tatsachen eine andere Entscheidung rechtfertigten (§ 513 Abs. 1 ZPO). Die Rechtssache hat auch keine grundsätzliche Bedeutung (§ 522 Abs. 2 S. 1 Nr. 2 ZPO). Ebenso wenig ist eine Entscheidung des Senats durch Urteil zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung erforderlich (§ 522 Abs. 2 S. 1 Nr. 3 ZPO) oder aus anderen Gründen eine mündliche Verhandlung geboten (§ 522 Abs. 2 S. 1 Nr. 4 ZPO).

1. Das Landgericht hat die Klage zu Recht abgewiesen. Der Klägerin stehen gegen die Beklagte bereits dem Grunde nach keine vertraglichen und/oder gesetzlichen Ansprüche zu.

a. Eine vertragliche Haftung der Beklagten für die durch die Klägerin behaupteten Schäden im Zusammenhang mit den – streitigen (dazu im Weiteren mehr) – Hackerangriffen auf die durch die Klägerin von der Beklagten gemietete Telefonanlage ergibt sich nicht aus Ziffern 3.2 ff. der Überlassungsbedingungen in Verbindung mit dem zwischen den Parteien geschlossenen Mietvertrag.

Ziffer 3.2 der Überlassungsbedingungen regelt die Verpflichtung der Beklagten, die Anlage betriebsfähig zu halten, also dafür zu sorgen, dass die Anlage entsprechend dem vertraglich vorausgesetzten Zweck verwendet werden kann. Auf die Erhaltung der Möglichkeit der Klägerin zum störungsfreien Betrieb der Anlage bezieht sich auch Satz 2 der Ziffer 3.2, wenn es dort heißt, dass „der Vermieter auf seine Kosten Programmfehler sowie alle bei ordnungsgemäßem Gebrauch durch natürliche Abnutzung entstandenen Störungen“ beseitige.

Hieraus lässt sich entgegen der Auffassung der Klägerin hingegen nicht ableiten, dass die Beklagte eine vertragliche Verpflichtung träfe, die Telefonanalage vor Hackerangriffen zu bewahren. Deutlich wird das auch an Satz 3 der Ziffer 3.2, da dort von „Instandsetzungs- und Erneuerungsarbeiten am Leitungsnetz“ und „verbrauchten Akkus“ die Rede ist, woraus deutlich wird, dass Ziffer 3.2 einzig den störungsfreien Gebrauch der Telefonanlage zum Gegenstand hat und nicht die Verhinderung von Angriffen auf eine unberechtigte Zweitnutzung durch Hacker.

Entgegen der Auffassung der Klägerin ergibt sich aus Ziffer 3.4 der Überlassungsbedingungen auch keine Verpflichtung der Beklagten, von sich aus das mit Schreiben vom 03.02.2012 angebotene Software-Update im Wege des Remote-Services auf der Telefonanalage der Klägerin zu installieren. Denn Ziffer 3.4 bezieht sich schon wegen seiner Stellung in Ziffer 3 auf die vorhergehenden Verpflichtungen der Beklagten, nämlich die Erhaltung der störungsfreien Betriebstätigkeit der Anlage, was darin zum Ausdruck kommt, dass dort „die Instandhaltungsverpflichtungen“ in Bezug genommen werden. Eine eigenständige Verpflichtung der Beklagten, von sich aus den Schutz vor Hackerangriffen zu erhöhen, ergibt sich aus dieser Regelung jedenfalls nicht.

Vielmehr lässt sich aus der Übernahmebestätigung (Anlage B1) entnehmen, dass sich die Klägerin einverstanden erklärt hat, für den Schutz vor unberechtigten Zugriffen auf die gemietete Telefonanalage insofern eigenständig sorgen zu wollen, insofern die Verwendung von Standard-Passwörtern vermieden wird. Auf die Gefahr der Verwendung einfacher Zahlenfolgen ist die Klägerin durch die Beklagte danach ausdrücklich hingewiesen worden. Daraus folgt aber auch, dass die Beklagte gerade zum Ausdruck gebracht hat, dass sie keine aus dem Vertrag sich ergebende Verantwortung für den Schutz der Anlage vor unberechtigten Zugriffen Dritter übernehmen will, womit sich die Klägerin durch Unterzeichnung der Übernahmebestätigung auch ausdrücklich einverstanden erklärt hat.

b. Eine Haftung der Beklagten für die aus den durch die Klägerin behaupteten Hackerangriffen resultierenden angeblichen Schäden ergibt sich auch nicht aus § 536a BGB.

Insofern fehlt es schon an einem bei Vertragsschluss vorliegenden Mangel der gemieteten Anlage (ein erst nach Vertragsschluss auftretender Mangel würde im Übrigen nur bei Verschulden der Beklagten zu einer Haftung nach § 536a BGB führen). Ein Mangel der Mietsache im Sinne des § 536 Abs. 1 BGB ist ein nachteiliges Abweichen des tatsächlichen Zustandes der Mietsache vom vertraglich vorausgesetzten Zustand, wobei die Tauglichkeit zu dem von den Vertragsparteien konkret vorausgesetzten vertragsgemäßen Gebrauch ganz aufgehoben oder erheblich gemindert sein muss (Palandt/Weidenkaff, BGB, 72. Auflage 2013, § 536 Rn. 16 mit Nachweisen aus der höchstrichterlichen Rechtsprechung).

Ein Mangel in diesem Sinne hat die von der Beklagten der Klägerin vermietete Telefonanlage zu keinem Zeitpunkt aufgewiesen. Es ist nicht streitig, dass die Telefonanlage von Beginn der Zurverfügungstellung an störungsfrei funktioniert hat, also der vorausgesetzte vertragliche Zweck, nämlich der vertragsgemäße Gebrauch, zu keinem Zeitpunkt aufgehoben oder erheblich gemindert gewesen ist.

Soweit die Klägerin meint, dass ein Mangel der Anlage darin zu erblicken sei, dass nur vierstellige Zahlenfolgen als PIN zur Abwehr von unberechtigten Zugriffen auf die Anlage zur Verfügung gestanden hätten, solche Zahlenkombinationen aber nie sicher seien, vermag sie damit nicht durchzudringen. Zum einen ist schon nicht erkennbar, dass die Verwendung vierstelliger Zahlenfolgen grundsätzlich unsicher wäre; immerhin basiert der Schutz vor unberechtigten Abhebungen von Geldautomaten stets auf der Verwendung vierstelliger Zahlenfolgen. Etwas Anderes käme allenfalls dann in Betracht, wenn es einem unberechtigt auf das System zugreifen wollenden Dritten möglich wäre, sämtliche Zahlenkombinationen durchzuprobieren, ohne dass nach einer gewissen Anzahl von Fehlversuchen eine automatische Sperrung des Zugriffs erfolgt. Insofern ist es aber zwischen den Parteien – trotz des Schreibens der Beklagten vom 03.02.2012, in dem in Maßnahme 3 auch von der Begrenzung auf drei Fehlversuche die Rede ist – unstreitig geblieben, dass von Beginn der Überlassung der Anlage an die Klägerin an nur drei Fehlversuche möglich waren, bis es zu einer Sperrung des Systems kommt. Zum anderen ist es offenbar nach dem 19.03.2012 und der Änderung des Passworts durch die Klägerin zu keinen unberechtigten Zugriffen mehr gekommen, so dass auch hieraus erkennbar ist, dass die Verwendung vierstelliger Zahlenfolgen als Schutz vor unberechtigten Zugriffen Dritter nicht per se unzureichend ist.

Soweit die Klägerin meint, dass die Beklagte gegen ihre Sorgfaltspflichten verstoßen habe, da sie – nachdem ihr bekannt geworden war, dass es vermehrt zu Hacker-Angriffen auf Mailboxsysteme kommt – es unterlassen habe, im Wege des Remote-Services von sich aus ein Sicherheitsupdate aufzuspielen, vermag sie damit keinen Erfolg zu haben. Die Beklagte hat, nachdem sie Kenntnis von vermehrten unberechtigten Zugriffen auf das auch an die Klägerin vermietete Telefonanlagensystem erhalten hat, die Klägerin mit Schreiben vom 03.02.2012 sogleich hingewiesen und Maßnahmen zur Abhilfe vorgeschlagen. Dabei hat sie auch – abermals – darauf hingewiesen, dass keine simple Zahlenkombination als PIN verwendet werden solle. Im Übrigen hat sie ein kostenpflichtiges Update angeboten. Sie hat also unmittelbar Schutz offeriert, und das zu einem Zeitpunkt, als es offenbar noch keine unberechtigten Zugriffe auf das System der Klägerin gegeben hatte. Gleichwohl hat die Klägerin (zunächst) nicht reagiert und nach ihrem eigenen Vortrag die PIN erst im Anschluss an die – behaupteten – unberechtigten Zugriffe Dritter geändert, also keine Maßnahmen zum Schutz ergriffen. Zudem ist auch nicht erkennbar, woraus sich eine Verpflichtung der Beklagten hat ergeben sollen, das Software-Update kostenfrei anzubieten. Festzuhalten bleibt vielmehr, dass die Beklagte ihren Sorgfaltspflichten durch das Schreiben vom 03.02.2012 in ausreichendem Maße nachgekommen ist.

2. Aber auch der Höhe nach stehen der Klägerin keine Ansprüche gegen die Beklagte zu.

Die Klägerin ist hinsichtlich des auf Hackerangriffe zurückzuführenden Schadens beweisfällig geblieben. Denn die Beklagte hat durchweg bestritten, dass die aus den Einzelverbindungsnachweisen (Anlage zum Schriftsatz der Klägerin vom 03.12.2012) zu erkennenden Telefonanrufe nach Aserbeidschan, auf die Cook-Inseln etc. durch unberechtigt auf das System zugreifende Dritte ausgeführt worden sind. Auch wenn wenig dafür spricht, dass die aus den Einzelverbindungsnachweisen zu erkennenden Anrufe durch ihre Mitarbeiter ausgeführt worden sind, war doch das Bestreiten mit Nichtwissen zulässig. Schließlich kann die Beklagte nicht wissen, ob die Anrufe von Mitarbeitern der Klägerin durchgeführt worden sind oder eben durch unberechtigt auf das System zugreifende Dritte. Gleichwohl hat die Klägerin insofern keinen Beweis angeboten, was aber – etwa durch Benennung der Mitarbeiter, die die Möglichkeit zum Zugriff auf die Telefonanalage im fraglichen Zeitraum hatten – ohne Weiteres möglich gewesen wäre.

3. Die Klägerin erhält Gelegenheit zur Stellungnahme innerhalb der ihr gesetzten Frist. Auf die Möglichkeit der Rücknahme der Berufung zum Zweck der Ersparnis eines Teils der im zweiten Rechtszug anfallenden Gerichtsgebühren wird ausdrücklich hingewiesen.