4Ob30/16i – OGH Entscheidung

Der Oberste Gerichtshof hat als Revisionsgericht durch den Senatspräsidenten Dr. Vogel als Vorsitzenden und die Hofräte Dr. Jensik, Dr. Musger, Dr. Schwarzenbacher und Dr. Rassi als weitere Richter in der Rechtssache der Klägerin H***** GmbH, *****, vertreten durch Hasberger Seitz Partner Rechtsanwälte GmbH in Wien, gegen die Beklagte ***** L***** GmbH, *****, vertreten durch Reif Partner Rechtsanwälte OG in Graz, wegen 9.887,99 EUR sA, über die Revision der Klägerin gegen das Urteil des Landesgerichts für Zivilrechtssachen Graz als Berufungsgericht vom 30. September 2015, GZ 5 R 132/15s 36, womit das Urteil des Bezirksgerichts Graz-Ost vom 26. Juni 2015, GZ 258 C 350/14w 32, bestätigt wurde, in nichtöffentlicher Sitzung zu Recht erkannt:

Der Revision wird nicht Folge gegeben.

Die Klägerin ist schuldig, der Beklagten die mit 833,88 EUR (darin 138,98 EUR USt) bestimmten Kosten des Revisionsverfahrens binnen 14 Tagen zu ersetzen.

Entscheidungsgründe:

Die Beklagte, ein inländisches Unternehmen, das Dienstleistungen im Bereich Schülernachhilfe und Studentenkurse erbringt, verwendet in ihren Geschäftsräumen eine Telefonanlage, die über zwei Netzwerkanschlüsse, eine integrierte Firewall, zwei analoge Anschlüsse für ein portables Funktelefon und ein Faxgerät sowie über die Möglichkeit zur Errichtung eines virtuellen privaten Netzwerks verfügt. Ein Netzwerkanschluss dient dabei zur Verbindung mit dem Internet, der andere Netzwerkanschluss zur Anbindung der fünf IP Telefone an das interne Netzwerk. Die Beklagte kann keine Änderungen der Basiseinstellungen an der Telefonanlage vornehmen.

Die Klägerin stellte der Beklagten seit 2012 die Festnetz und Internetverbindungen für die genannte Anlage zur Verfügung. Sie lieferte der Beklagten drei ISDN Basisanschlüsse mit bestimmten Rufnummern sowie einen xDSL Zugang. Jeder ISDN Basisanschluss verfügte über zwei Kanäle, sodass der Beklagten insgesamt sechs Telefonanschlüsse zur Verfügung standen. Die Klägerin verrechnete nur über eine der drei Rufnummern Gespräche, und zwar über das inkludierte Minutenkontingent des jeweiligen Tarifpakets hinausgehend nach dem Standard-Tarif nach ihren Allgemeinen Geschäftsbedingungen. Darin ist auch normiert, dass die Klägerin bei der Erbringung von Leistung mit größter Sorgfalt vorzugehen hat und dass eine Schadenersatzpflicht gegenüber Vertragspartner bei bloß leichter Fahrlässigkeit außer bei Personenschäden ausgeschlossen ist und sie nur für vorsätzlich oder grob fahrlässig von ihren Organen, Erfüllungsgehilfen oder Beauftragten verursachte Schäden haftet und die Haftung gegenüber Unternehmen für höhere Gewalt, Folgeschäden und entgangenen Gewinn ausgeschlossen ist.

Die Klägerin stellte der Beklagten durchschnittlich monatlich 210 EUR inklusive USt an Grundentgelten und Verbindungsentgelten in Rechnung, wobei vereinzelt Gesprächsverbindungen nach Deutschland und Mehrwertdienste anfielen. Eine Gebührenanzeige über die aktuellen Kosten war auf den IP-Telefonen nicht vorhanden.

Es erfolgte sodann von außen ein Hackerzugriff auf die Telefonanlage der Beklagten. Beginnend mit 2. 1. 2014 bis 20. 1. 2014 wurde die Telefonanlage der Beklagten durch bislang unbekannte Täter über eine ägyptische IP Adresse gehackt, sodass in zahlreichen Angriffen Verbindungen – fast ausschließlich in den Nacht- und den frühen Morgenstunden – ins Ausland getätigt wurden, und zwar nach Grönland, Thailand, Eritrea, Elfenbeinküste, Bosnien-Herzegowina, Serbien, Burkina Faso, Zentralafrika, Mali, Benin und Kuba.

Mit Rechnung vom 1. 2. 2014 stellte die Klägerin der Beklagten für den Abrechnungszeitraum Jänner 2014 Grund und Verbindungsentgelte in Höhe von insgesamt 10.160,14 EUR brutto in Rechnung.

Die Geschäftsführerin der Beklagten erlangte am Vormittag des 20. 1. 2014 Kenntnis von Problemen mit der Telefonanlage, da alle Leitungen belegt waren. Eine Warnung durch die Klägerin vom vorliegenden Hackerangriff oder die Einrichtung einer Sicherheitssperre durch diese war nicht erfolgt. Die Beklagte setzte sich mit dem Unternehmen, das die Telefonanlage installiert hatte, in Verbindung, und sodann auch mit der Klägerin, welche nach Kenntnis der Missbräuche die Sperrung der gesamten Anlage veranlasste.

Die Klägerin erhält für ihre Verrechnungszwecke täglich von Montag bis Freitag jeweils um 9:00 Uhr sämtliche Verrechnungsdaten ihrer Kunden für den Vortag vom Netzbetreiber, wobei die Daten für Freitag und das Wochenende jeweils am Montag zur Verfügung gestellt werden. Das Einspielen der Datenmenge in das System der Klägerin nimmt rund 30 Minuten in Anspruch, sodass der Klägerin nach Beendigung des Importvorgangs die Verrechnungsdaten mit den Einzelgesprächsnachweisen sämtlicher Kunden um 9:30 Uhr auch für eine Gebührenprüfung zur Verfügung stehen. Bei der Klägerin war zum Zeitpunkt des Hackerangriffs – obwohl technisch und personell ohne weiteres möglich – noch kein Gebührenmonitoring eingerichtet. Es fiel der Klägerin daher erst bei der konkreten Rechnungslegung auf, wenn ein eklatanter Sprung zum vorhergehenden Nutzungsverhalten eines Kunden vorlag. Erst im zweiten Halbjahr 2014 wurde das Gebührenmonitoring bei der Klägerin auf Basis der übermittelten Verrechnungsdaten eingerichtet. Dieses funktioniert so, dass ein Mitarbeiter der Klägerin die dem jeweiligen Kunden zugeordneten Einzelgesprächsnachsweise auf auffälliges Telefonieverhalten im Vergleich zur Tarifliste des jeweiligen Kunden sowie hinsichtlich Verbindungen in „gefährdete Destinationen“ (Ägypten, Malta, Bali, Bosnien-Herzegowina udgl) überprüft und gegebenenfalls den Kunden verständigt sowie Leitungssperren einrichten kann. Eine derartige Überprüfung hätte bereits im Jänner 2014 durch die Klägerin erfolgen können und könnte auch vollautomatisiert ohne Personaleinsatz erfolgen.

Auf die klagsgegenständliche Rechnungslegung bezogen bedeutet dies, dass der Klägerin die Verrechnungsdaten mit den Einzelgesprächsnachweisen der Beklagten für Freitag 3. 1. 2014 am Montag, den 6. 1. 2014 um 9:00 Uhr übermittelt wurden. Nach Einspielung der Daten und einer Überprüfung durch einen Mitarbeiter im Wege einfacher Addition der laufenden Kosten der Beklagten und einem Vergleich mit den Kosten der Beklagten aus der Vergangenheit hätte die Klägerin spätestens am 6. 1. 2014 gegen Mittag anhand der für sie ersichtlichen Ländervorwahl erkennen können, dass insgesamt 37 Verbindungen nach Eritrea in der Zeit von 1:52 Uhr bis 2:26 Uhr aufgebaut wurden. Aufgrund der zahlreichen Verbindungen in eine „gefährdete“ Destination im Abgleich mit den Daten des durchschnittlichen Telefonieverhaltens der Beklagten hätte der Klägerin eine Malversation auffallen können. Im Vergleich dazu fielen am 3. 1. 2014 lediglich 31 Inlandsgespräche während der Büroöffnungszeiten an. Die Klägerin unterließ aber eine Überprüfung bzw einen Abgleich mit dem üblichen Telefonieverhalten der Beklagten und hat somit eine Manipulation der Telefonanlage nicht erkannt. Ihr wäre es ab 6. 1. 2014 möglich gewesen, die Beklagte zu warnen und/oder die Leitung zu kappen. Die ebenfalls vom Hackerangriff betroffenen Auslandsverbindungen vor dem 3. 1. 2014 nach Grönland und Thailand waren für die Klägerin selbst bei sorgfältiger Überprüfung nicht feststellbar. Ebenso wäre eine generelle Verhinderung des Angriffs durch die Klägerin nicht möglich gewesen.

Die Klägerin begehrte von der Beklagten die Zahlung des ausstehenden Rechnungsbetrags in Höhe von 10.160,14 EUR und schränkte ihr Begehren nach Zahlung eines Rechnungsteils für Grundentgelte und Inlandsgespräche in Höhe von 272,15 EUR durch die Beklagte auf 9.887,77 EUR ein. Sie habe durch die Bereitstellung von Festnetz und Internetzugängen ihre Leistung erbracht. Die Manipulation der Telefonanlage sei ihr nicht zuzurechnen, zumal sie diese nicht zur Verfügung gestellt habe. Eine permanente Kontrolle der Anschlüsse sei nicht zumutbar.

Die Beklagte wendete ein, eine Verrechnung der Auslandsverbindungen sei nach Pkt 3.4. der AGB der Klägerin mangels Leistungserbringung für den Vertragspartner unzulässig. Es liege ein Verstoß gegen Schutz und Sorgfaltspflichten vor, da die Klägerin die Beklagte nicht gewarnt habe und keine geeignete Sicherheitssperre für die Verhinderung derartiger Angriffe eingerichtet habe. Der Klägerin hätte aufgrund des bisherigen Nutzungsverhaltens auffallen müssen, dass die Beklagte sonst keine derartigen Verbindungen ins Ausland tätige. Sie wäre daher verpflichtet gewesen, die Beklagte zu warnen.

Das Erstgericht sprach der Klägerin lediglich die Verbindungsentgelte bis zum 6. 1. 2014 in Höhe von 110,08 EUR zu und wies das darüber hinaus gehende Begehren ab, da die Klägerin ihre Schutz- und Sorgfaltspflichten verletzt habe. Die Klägerin treffe eine Warnpflicht, da innerhalb kürzester Zeit zahlreiche Verbindungen in gefährdete Destinationen angefallen seien und dieses Nutzungsverhalten im auffallenden Widerspruch zum sonstigen Telefonieverhalten der Beklagten gestanden habe. Der Klägerin sei es möglich und zumutbar gewesen, am 6. 1. 2014 ein Gebührenmonitoring vorzunehmen. Durch eine Warnung bzw ein Kappen der Leitung hätten weitere Auslandsverbindungen verhindert werden können.

Das Berufungsgericht bestätigte diese Entscheidung und ließ nachträglich die Revision zur Frage zu, welche nebenvertraglichen Schutz und Sorgfaltspflichten mit einem Access-Provider-Vertrag verbunden sind.

Die – von der Beklagten beantwortete – Revision der Klägerin wegen unrichtiger rechtlicher Beurteilung ist aus dem vom Berufungsgericht genannten Grund zulässig ; sie ist aber nicht berechtigt .

1. Die Klägerin macht geltend, die vom Berufungsgericht angenommenen nebenvertraglichen Schutz- und Sorgfaltspflichten, die darin bestünden, den Entgeltanfall von Kunden zu überwachen, überspannten ihre Verpflichtungen als Access Provider, da sie insofern auch nicht „Beherrscher der Gefahr“ sei. Als Access-Provider habe sie gemäß § 13 ECG auf den Inhalt der von dritter Seite zur Verfügung gestellten Dienstleistungen keinen Einfluss.

2. Dem ist zunächst entgegen zu halten, dass sich die Klägerin erst in ihrer Berufung auf einen Haftungsausschluss nach dem ECG stützte. Das Berufungsgericht hat sie demgemäß zu Recht auf das Neuerungsverbot des § 482 ZPO verwiesen.

3. Abgesehen davon betrifft der Haftungsausschluss nach § 13 ECG (wonach ein Diensteanbieter, der von einem Nutzer eingegebene Informationen in einem Kommunikationsnetz übermittelt oder den Zugang zu einem Kommunikationsnetz vermittelt, für die übermittelten Informationen im Allgemeinen nicht verantwortlich ist) die Haftung für Inhalte übermittelter Informationen (vgl Burgstaller/Minichmayr , E Commerce-Recht 2 , 161; 6 Ob 218/03g). Im vorliegenden Fall geht es aber nicht um eine Haftung der Klägerin für Schäden Dritter durch übermittelte rechtswidrige Informationen, sondern um die Berechtigung ihrer vertraglichen Ansprüche gegenüber der Beklagten.

4. Der Abschluss eines Vertrags lässt nicht bloß die Hauptpflichten entstehen, die für die betreffende Vertragstype charakteristisch sind, sondern erzeugt auch eine Reihe von Nebenpflichten, zu denen auch die Schutzpflichten und Sorgfaltspflichten gehören. Der Schuldner hat die geschuldete Hauptleistung nicht nur zu erbringen, sondern er hat sie so sorgfältig zu bewirken, dass alle Rechtsgüter des Gläubigers, mit denen er in Berührung kommt, nach Tunlichkeit vor Schaden bewahrt und beschützt bleiben (RIS Justiz RS0017049; vgl auch RS0013999). Durch den rechtsgeschäftlichen Kontakt und den Vertragsschluss wird nämlich die Einflussmöglichkeit jedes Teils auf die Sphäre des anderen verstärkt. Dieser Erhöhung der Gefährdung entspricht ein erhöhtes Schutzbedürfnis. Für die Berücksichtigung solcher Schutzpflichten spricht auch das allgemeine Interesse an möglichst reibungsloser Abwicklung des Vertragsverhältnisses (RIS Justiz RS0013970). Auch während des Bestehens eines Dauerschuldverhältnisses sind vertragliche Schutz- und Sorgfaltspflichten von den Vertragsparteien zu beachten (6 Ob 256/06z mwN; vgl auch Lehofer in MR 2003, 341 zum Telefondienstvertrag).

5. In der Entscheidung 2 Ob 23/03a bejahte der Oberste Gerichtshof nebenvertragliche Schutz und Sorgfaltspflichten des Telefoniebetreibers gegenüber deren Kunden im Zusammenhang mit der Frage, nach welcher Dauer Mehrwert-Sprachverbindungen getrennt werden müssen.

6. Der deutsche Bundesgerichtshof sprach zu III ZR 71/12 aus, dass der Telekommunikationsanbieter unter dem Vorbehalt, dass die notwendigen technischen Mittel im maßgeblichen Zeitraum zur Verfügung stehen, bei ungewöhnlichem Nutzungsverhalten, das zu einer Kostenexplosion führt, zur Schadensbegrenzung dahingehend verpflichtet ist, dem Kunden einen entsprechenden Hinweis zu geben. Dies schließt die Nutzung entsprechender Computerprogramme ein, die ein solches abweichendes Verhalten erkennen.

7. In der Literatur wird vertreten, dass die einem Betreiber von Kommunikationsdiensten obliegenden Schutz- und Sorgfaltspflichten im Fall ungewöhnlich hoher Verbindungsentgelte eine Reaktion desselben erfordern, etwa in Form einer Warnnachricht ( Hasberger/Wagner , Zur Sperrverpflichtung der Kommunikationsanbieter bei Kostenüberschreitung, MR 2013, 346), und dass das bloße Absenden einer Warnnachricht, ohne dass sich der Betreiber versichert, dass ihr Inhalt dem Nutzer auch tatsächlich zur Kenntnis gelangt, in der Regel nicht ausreichend ist ( Goldbacher/Dama , Zur Sperrverpflichtung der Kommunikationsanbieter bei Kostenüberschreitung – eine Replik, MR 2014, 113). Gerade deshalb, da die Telekomunternehmen wüssten, dass der Kunde oftmals überfordert ist, seien sehr strenge Schutz , Aufklärungs und Sorgfaltspflichten anzunehmen ( Schneider , Von „Schockrechnungen“ und dem Mythos, diese bezahlen zu müssen, AnwBl 2012, 309).

8. Im konkreten Fall erbrachte die Klägerin gegenüber der Beklagten Verbindungsleistungen im Rahmen eines ISDN Anschlusses. Die – im Anlassfall verwirklichte – Gefahr eines Hackerzugriffs wäre für die Klägerin insofern beherrschbar gewesen, als es ihr sowohl personell als auch technisch leicht möglich gewesen wäre, das Wirksamwerden dieser Gefahr durch ein Gebührenmonitoring und eine entsprechende Warnung der Beklagten zu verhindern. Nach den Feststellungen hätten entsprechende Schutzmaßnahmen durch die Klägerin vollautomatisiert und ohne Personaleinsatz erfolgen können, und überdies hat sie im zweiten Halbjahr 2014 ohnehin ein Gebührenmonitoring auf Basis der übermittelten Verrechnungsdaten eingeführt. Die Beklagte selbst hatte hingegen keine Möglichkeit, die Gefahr eines Hackerangriffs durch eigene Vorkehrungen abzuwenden, zumal sie keine Änderungen der Basiseinstellungen an der – durch ein Drittunternehmen installierten – Telefonanlage vornehmen konnte.

9. Es überspannt daher nicht die Schutz- und Sorgfaltspflichten der Klägerin als Betreiberin von Kommunikationsdiensten, wenn man von ihr verlangt, ihr leicht mögliche Maßnahmen zur Abwehr von Hackerangriffen zu ergreifen.

10. Eine Verletzung dieser Verpflichtungen macht bei Vorliegen der Voraussetzungen des § 1295 ABGB schadenersatzpflichtig (RIS Justiz RS0014885 [T9]). Hier wendet die Beklagte gegenüber der Klagsforderung jedoch keinen Schadenersatzanspruch ein, sondern sie beruft sich darauf, dass die Klägerin nur zur Verrechnung der von der Beklagten veranlassten Telefonate berechtigt sei. Dies ergebe sich auch aus ihren Allgemeinen Geschäftsbedingungen (AGB).

11. Gemäß Pkt 3.4. der dem gegenständlichen Vertrag zugrunde liegenden AGB der Klägerin erfolgt die Verrechnung grundsätzlich nach Leistungserbringung bzw Leistungsbereitstellung. Eine solche liegt hier jedoch nicht vor. Eine ergänzende Vertragsauslegung (vgl RIS Justiz RS0017758) führt hier zum Ergebnis, dass jene Leistungen, die unter Verletzung von Schutz und Sorgfaltspflichten durch die Klägerin entstanden sind, nicht zu vergüten sind. Wie oben ausgeführt handelt es sich bei den durch den Hackerangriff verursachten Leistungen ab 7. 1. 2014 um solche, die bei Einhaltung der gebotenen Sorgfalt der Klägerin nicht angefallen wären. Deren Existenz gelangte nämlich wesentlich früher in den Wahrnehmungsbereich der Klägerin als in jenen der Beklagten. Dessen ungeachtet hat es die Klägerin unterlassen, den Angriff abzuwehren bzw die Beklagte zumindest rechtzeitig zu warnen. Die Vorinstanzen haben die Entgeltforderung der Klägerin daher insoweit zu Recht abgewiesen.

Der Revision der Klägerin ist somit nicht Folge zu geben.

12. Die Kostenentscheidung gründet sich auf die §§ 41 und 50 ZPO.