Das Oberlandesgericht Wien hat als Berufungsgericht durch den Senatspräsidenten Mag. Hofmann als Vorsitzenden, den Richter Mag. Viktorin und den Kommerzialrat Mag. Sertic in der Rechtssache der klagenden Partei A* AG , FN **, **, vertreten durch die Schönherr Rechtsanwälte GmbH in Wien, wider die beklagte Partei B* AG , FN **, **, vertreten durch die Wolf Theiss Rechtsanwälte GmbH Co KG in Wien, wegen EUR 110.126,12 samt Anhang und Feststellung (Streitwert EUR 10.000), über die Berufung der beklagten Partei gegen das Zwischenurteil des Handelsgerichtes Wien vom 30. September 2024, **-17 (berichtigt mit Beschluss vom 4. Dezember 2024; ON 23), in nicht öffentlicher Sitzung zu Recht erkannt:
Der Berufung wird nicht Folge gegeben.
Die Kosten des Berufungsverfahrens sind weitere Verfahrenskosten.
Die ordentliche Revision ist nicht zulässig.
Entscheidungsgründe:
Die Klägerin ist Versicherer der C* Gesellschaft m.b.H. („C*“), die bei der Klägerin eine Cyberversicherung abschloss. Die Beklagte ist ein IT-Serviceprovider und Digitalisierungspartner. Sie firmierte vormals unter D* E* AG und später unter ** E* AG.
Am 6.9.2022 kam es um 7:30 Uhr bei C* zu einem Cyber Angriff durch einen offenen Remote Desktop Protocol Port (RDP Port) auf der Perimeter Firewall. Der Angreifer konnte über diesen offenen RDP Port auf den dahinterliegenden FTP Server (BAGFPT Server) zugreifen.
C* kontaktierte noch am selben Tag das F* der Beklagten und ersuchte um Analyse des Cyber Angriffs. Die Anlayse des F* ergab laut CDC Bericht vom 13.9.2022 als erstes infiziertes System, das kompromittiert wurde, den Server BAGFTP (**) und als ersten kompromittierten Benutzer „**“. Als Ursache der Infektion wurde ein „öffentlich zugänglicher Server mit offenen Ports für RDP Sitzungen und schwachen Passwörtern für die verfügbaren Domänenbenutzer“ genannt.
Am 4.10.2022 berichtete die Beklagte auf Basis des CDC Berichts zusammenfassend über den offenen RDP Port als primärer Angriffsvektor und hielt fest, dass entsprechend der Analyse der Firewall Logs nicht identifiziert werden konnte, „wann oder wer diese Firewall Regel, welche RDP von Extern erlaubt, erstellt oder angepasst hat.“
Über Auftrag der Klägerin erstattete die G* GmbH (G*) am 6.4.2023 umfassend Befund und Gutachten (RE Bericht). Deren Sachverständige waren erstmals am 23.9.2022 bei C* vor Ort und führten eine Befundaufnahme durch. Die Ermittlung der Schadensursache erfolgte durch Auswertung des CDC Berichts.
Mit Klage vom 21.3.2024 begehrt die Klägerin die Zahlung des Klagsbetrags samt Anhang sowie die Feststellung der Haftung der Beklagten für sämtliche zukünftigen, derzeit noch nicht bekannten Schäden aus dem Schadensvorfall vom 6.9.2022. Dazu bringt sie im Wesentlichen vor, die Beklagte sei für den offenen RDP Port auf der Perimeter Firewall und folglich für den Cyberangriff schuldhaft verantwortlich. Sie sei seit (zumindest) 2016 als externe IT Dienstleisterin mit der laufenden Betreuung der IT Infrastruktur von C* beauftragt bzw für spezifische Aufgaben vertraglich tätig gewesen. Fehlkonfigurationen seien der Beklagten zuzurechnen. Sie hafte für dadurch entstandene und zukünftige Schäden ex contractu. Aufgrund der durch die Beklagte erfolgten Öffnung des RDP Ports auf der für die Öffentlichkeit zugänglichen „Außenseite“ der Firewall ohne jegliche Einschränkung auf gewisse Quell IP Adressen bzw das Unterlassen der Schließung des RDP Ports liege ein schadenkausales, rechtswidriges und krass grob fahrlässiges Verhalten der Beklagten entgegen gängiger IT Sicherheitsstandards und damit eine Vertragspflichtverletzung vor. Aufgrund des Cyber Angriffs sei es zu erheblichen Wiederherstellungskosten, einer Betriebsunterbrechung sowie einer Exfiltration personenbezogener Daten gekommen. Als Versicherungsgesellschaft von C* habe die Klägerin den bisher geltend gemachten Schaden in Höhe des Klagsbetrags gemäß § 67 VersVG beglichen. Der Klagsanspruch sei nicht verjährt. Eine Verkürzung der Verjährungsfrist auf zwölf Monate im Sinne der AGB der Beklagten sei nicht wirksam vereinbart worden. Selbst unter Zugrundelegung der kurzen Verjährungsfrist sei die Klagseinbringung rechtzeitig erfolgt, da C* erst mit 6.4.2023 Kenntnis vom konkreten Schaden und Schädiger gehabt habe, zumal erst mit dem RE Bericht mit ausreichender Sicherheit festgestanden sei, welcher Schaden in welcher Höhe überhaupt eingetreten sei und mit dem Vorfall im Zusammenhang stehe sowie wer der Schädiger sei.
Die Beklagte wendet – soweit für das Berufungsverfahren von Relevanz – die Verjährung des Klagsanspruchs ein, da C* spätestens durch die ausführliche Analyse im CDC Bericht vom 13.9.2022 die für eine zweckentsprechende Rechtsverfolgung erforderliche Kenntnis über den Schaden und den Schädiger erlangt habe, weil darin der Angriffsvektor und die Folgen im Einzelnen dargestellt seien. Der RE Bericht stelle in Bezug auf den Schadenshergang und die vom Angriff betroffenen Bereiche des IT Systems beinahe ausschließlich auf den CDC Bericht ab. Es würden sich daraus keine über die bereits aus dem CDC Bericht hinausgehenden Erkenntnisse hinsichtlich Schaden und Schädiger ergeben. Die Klägerin bringe vor, die Beklagte habe die IT Systeme von C* in Gesamtverantwortung betreut, was auch die IT Sicherheit und die Konfiguration der Firewall einschließe. Am Schädiger habe C* und damit auch die Klägerin nach dem eigenen Vorbringen niemals Zweifel gehabt, sodass die Kenntnis des Schädigers auf die Berechnung des Fristenlaufs keinen Einfluss habe. Der vermeintliche Schadenersatzanspruch sei nach den vereinbarten AGB spätestens mit 13.9.2023 verjährt.
Mit dem angefochtenen Zwischenurteil (berichtigt mit Beschluss vom 4.12.2024; ON 23) verwarf das Erstgericht den Einwand der Verjährung. Dazu traf es - über den eingangs zusammengefasst dargestellten unstrittigen Sachverhalt hinaus - die auf den Seiten 7 bis 9 der Urteilsausfertigung ersichtlichen Feststellungen, auf die verwiesen wird.
Rechtlich kam das Erstgericht zum Ergebnis, unabhängig von einer allfällig wirksamen Vereinbarung über die Verkürzung der Verjährungsfrist in den AGB der Beklagten sei selbst eine zwölfmonatige Verjährungsfrist gewahrt. Allein die Kenntnis von der Schadensursache, wie sie sich aus dem CDC Bericht ergebe, reiche für den Beginn der Verjährungsfrist nicht aus. Es bedürfe zudem der Kenntnis des Ursachenzusammenhangs zwischen dem Schaden und einem bestimmten Verhalten des Schädigers sowie von jenen Umständen, aus denen sich das Verschulden des Schädigers ergebe. Diese Kenntnisse ließen sich aus dem CDC Bericht nicht gewinnen, sondern erst aus dem RE Bericht vom 6.4.2023. Es sei zwar richtig, dass der CDC Bericht dem RE Bericht als Grundlage gedient habe und die Ermittlung der Schadensursache durch Auswertung des CDC Berichts erfolgt sei. Zusätzlich seien allerdings noch zahlreiche weitere Dokumente (zB E Mail Korrespondenzen, Meldung an die Datenschutzbehörde, diverse Rechnungen) zur Erstattung von Befund und Gutachten herangezogen worden. Erst aus dem RE Bericht habe sich für die Klägerin die für ein schlüssiges Tatsachenvorbringen erforderliche Kenntnis des maßgeblichen Kausalzusammenhangs zwischen dem Schaden und einem bestimmten Verhalten des Schädigers und die Umstände, aus denen sich das Verschulden des Schädigers ergebe, gewinnen lassen. Die Verjährungsfrist habe daher erst am 6.4.2023 zu laufen begonnen, weshalb die Klagsforderung zum Zeitpunkt der Klagseinbringung noch nicht verjährt gewesen sei.
Gegen dieses Urteil richtet sich die Berufung der Beklagten aus den Berufungsgründen der unrichtigen Tatsachenfeststellung aufgrund unrichtiger Beweiswürdigung sowie der unrichtigen rechtlichen Beurteilung mit dem Antrag, das angefochtene Zwischenurteil dahingehend abzuändern, dass das Klagebegehren abgewiesen werde.
Die Klägerin beantragt, der Berufung keine Folge zu geben.
Die Berufung ist nicht berechtigt.
Zur Beweisrüge:
1.1. Die Beklagte bekämpft folgende – im Rahmen der rechtlichen Beurteilung enthaltene – Feststellungen:
„Allein die Kenntnis von der Schadensursache, wie sie sich aus dem CDC Bericht ergibt, reicht allerdings für den Beginn der Verjährungsfrist nicht aus. Wie oben zitiert, bedarf es nach stRsp auch die Kenntnis des Ursachenzusammenhangs zwischen dem Schaden und einem bestimmten Verhalten des Schädigers sowie von jenen Umständen, aus denen sich das Verschulden des Schädigers ergibt. Diese Kenntnisse lassen sich aus dem CDC Bericht nicht gewinnen. Allein aufgrund dieses Berichts wäre es der Klägerin also nicht möglich gewesen, das zur Begründung ihres zivilrechtlichen Schadenersatzanspruchs erforderliche Tatsachenvorbringen in einer zivilrechtlichen Klage konkret und schlüssig zu erstatten. Die dafür erforderlichen Informationen erhielt die Klägerin erst durch das von ihr eingeholte Gutachten der G* vom 6.4.2023.“
„Die Klägerin hat sich durch die Einholung des Gutachtens der G* den erforderlichen tatsächlichen Einblick in die objektiven Zusammenhänge verschafft.“
„Richtig ist, dass der CDC Bericht dem Gutachten als Grundlage diente und die Ermittlung der Schadenursache durch Auswertung des CDC Berichts erfolgte. Zusätzlich wurden allerdings noch zahlreiche weitere Dokumente (zB E Mail Korrespondenzen, Meldung an die Datenschutzbehörde, diverse Rechnungen) zur Erstattung von Befund und Gutachten herangezogen.“
„Im Vergleich zum CDC Bericht enthält das Gutachten insbesondere nicht nur eine abstrakte Schadenanalyse, sondern setzt sich mit den einzelnen für den Schadeneintritt kausalen Aspekten ausführlich auseinander. Dabei erfolgte zu jeder Beschreibung der chronologisch und nach Relevanz geordneten Angriffsvektoren zusätzlich eine Beurteilung dieser Vektoren, eine Stellungnahme zur Zurechenbarkeit und eine ausführliche Begründung.“
1.2. Sie begehrt folgende Ersatzfeststellungen:
„Im Bericht der beklagten Partei (damals firmierend unter "** E* AG") an die C* GmbH vom 13.09.2022 ("CDC Bericht"; Beilagen ./U und ./W) wurden die einzelnen für den Schadenseintritt kausalen Aspekte analysiert und sämtliche Angriffsvektoren in chronologischer, der Relevanz nach aufbereiteter Reihenfolge angeführt: Der CDC Bericht führt dazu unter Punkt 2.4. an, dass ein öffentlich verfügbarer Server mit offenen Ports für RDP Sitzungen und schwachen Kennwörtern für verfügbare Domänenbenutzer für die Kompromittierung ursächlich war. Weiters wurde als Ursache der kompromittierte Benutzer Account "**" mit dem Passwort "**" angeführt, was auf ein unverändert gebliebenes Passwort schließen lässt. Außerdem enthält der CDC Bericht Ausführungen über Datensicherheitsmaßnahmen, welche vor der Ransomware Attacke nicht implementiert gewesen waren, die den schädlichen Erfolg aber begünstigt haben könnten: in Punkt 3. des CDC Berichts wird daher ausgeführt, dass empfohlen werde, dass der externe, uneingeschränkt offen gelassene RDP Port entfernt werden sollte und stattdessen ein Client 2 Site VPN oder eine MFA Lösung implementiert werden sollte, um solche Vorfälle künftig zu vermeiden. Darüber hinaus wird empfohlen, dass für Login Events ein höherer Prüfungsmaßstab implementiert werden sollte, um Fehllogins (die Angreifer konnten 33.327 fehlgeschlagene Anmeldeversuche tätigen, bis sie in das System eindrangen; siehe Punkt 2.2 des CDC Berichts) schneller erkennen zu können, um entsprechende Maßnahmen bei Angriffen treffen zu können.“
„Die Verantwortung für die empfohlenen Maßnahmen bzw die vormalige Unterlassung der Vornahme derselben war zwischen der C* GmbH und der beklagten Partei strittig: Nach Ansicht der C* GmbH trug die beklagte Partei die "Betreiberverantwortung" für deren IT Infrastruktur, was auch die IT Sicherheit und somit die Betreuung von RDP Ports umfasste. Nach Ansicht der beklagten Partei laut der "Incident Response", Beilage ./T, lag "die Infrastruktur (Firewall, Client, Server,...) in der Obhut des Kunden C* GmbH und die beklagte Partei unterstützte lediglich im Anlassfall auf Zuruf des Kunden durch Einmeldung solcher Anfragen für Unterstützung."
„Damit war auch die Zurechenbarkeit der Angriffsvektoren zur Sphäre der C* GmbH oder der beklagten Partei strittig. Es wäre der C* GmbH – unter Zugrundelegung ihrer Rechtsansicht zur Betreiberverantwortung und mutmaßlichen Zurechenbarkeit des Angriffsvektors "Offener RDP Port" zur beklagten Partei – jedoch ab dem 13.09.2024 möglich gewesen, eine in diesem Sinn schlüssige Klage auf Leistung bzw Feststellung gegen die beklagte Partei zu erheben.“
„Der Bericht der G* vom 06.04.2023 ("RE Bericht"; Beilage ./A) enthält – anders als der CDC Bericht – Ausführungen betreffend die Höhe des Betriebsunterbrechungs- und des Sachschadens, weswegen diesem auch ein weiteres Konvolut an Dokumenten und Rechnungen zugrunde gelegt wurde. Im Übrigen enthält der RE Bericht aber keine weiteren Erkenntnisse hinsichtlich Schaden, Schadenskausalität und mutmaßlicher Zurechenbarkeit, die über den sachlichen und rechtlichen Kenntnisstand der C* GmbH nach Vorlage des CDC Berichts am 13.09.2022 hinausgehen.“
„Dieser maßgebliche Wissenstand der C* GmbH zu Schaden, Schadenskausalität und vermeintlicher Zurechenbarkeit zur beklagten Partei war der in die Aufarbeitung der Ransomware Attacke schon anfänglich eingebundenen klagenden Partei als Versicherin der C* GmbH spätestens mit Abschluss der "Befundaufnahme" für den RE Bericht im September 2022 positiv bekannt.“
1.3. Unter Bezugnahme auf die vom Erstgericht herangezogenen Urkunden ./A (RE Bericht), ./T („Incident Response“) sowie ./U und ./W (CDC Bericht) ist die Beklagte zusammengefasst der Ansicht, dass sich die für die Frage der Verjährung relevanten Zusammenhänge bereits aus dem CDC Bericht vom 13.9.2022 ergeben hätten und durch den RE Bericht keine darüber hinausgehenden verjährungsrelevanten Informationen mehr hinzugetreten seien.
1.4. Ungeachtet dessen, dass es sich bei den angefochtenen Passagen über weite Strecken um rechtliche Schlussfolgerungen handelt, die keine bekämpfbaren Feststellungen darstellen, ist die Beweisrüge auch aus folgenden Erwägungen nicht berechtigt:
1.4.1. Aus dem CDC Bericht (./U, ./W) geht nicht hervor, dass ein nicht dem Stand der Technik entsprechendes Verhalten der Beklagten zum Schadenseintritt geführt und diese daher den Schaden schuldhaft verursacht habe. Die im CDC Bericht angeführte Schadensursache eines unverschlüsselten „Offenlassens“ eines RDP Ports führt ebenso wenig wie die „Empfohlenen Maßnahmen“ zur zwingenden Annahme, dass dem Schaden ein schuldhaftes Fehlverhalten der Beklagten zugrunde liegt. Dass das Schadensereignis im Zusammenhang mit einem allenfalls pflichtwidrigen Verhalten der Beklagten stehen würde, ist dem CDC Bericht an keiner Stelle zu entnehmen.
1.4.2. Ganz im Gegenteil wurde in der „Incident Response“ (./T) festgehalten, dass nicht identifiziert werden konnte, „wann oder wer diese Firewall Regel, welche RDP von Extern erlaubt, erstellt oder angepasst hat“, und dass „die Infrastruktur (Firewall, Client, Server,…) in der Obhut des Kunden C* liegt“. Eine Verknüpfung des eingetretenen Schadens zur Beklagten ist daraus gerade nicht zu entnehmen.
1.4.3. Daran ändert auch der Verweis auf das (nunmehrige) Klagevorbringen sowie das bereits damals bekannte Vertragsverhältnis zwischen C* und der Beklagten nichts. Aus dem Umstand, dass die Klägerin nunmehr – und somit nach Vorliegen der im RE Bericht enthaltenen Informationen und Schlussfolgerungen - im Laufe des anhängigen Zivilprozesses die Verantwortlichkeit der Beklagten behauptet, kann nicht abgeleitet werden, dass die Klägerin bereits vor dem Zeitpunkt des Erhalts des RE Berichts ausreichende Kenntnis von einer Zurechenbarkeit des Schadensereignisses zu einem der Beklagten vorwerfbaren Verhalten haben musste.
Ferner lässt auch das Bestehen eines Vertragsverhältnisses für sich allein nicht den Schluss zu, dass die Beklagte den eingetretenen Schaden (schuldhaft) zu verantworten hätte, zumal – wie bereits oben im Zusammenhang mit der „Incident Response“ angeführt – nicht klar sein musste, dass die Schadensursache in der Ingerenz der Beklagten lag und diese entgegen dem Stand der Technik handelte.
1.4.4. Soweit die Beklagte argumentiert, dass selbst ein Laie Kenntnis über den Ursachenzusammenhang zwischen dem unverschlüsselten „Offenlassen“ des RDP Ports und der Kompromittierung der Systeme erlangt haben musste, lässt sie außer Betracht, dass die Frage des Einhaltens des Standes der Technik und die subjektive Vorwerfbarkeit in Hinblick auf die Beklagte dadurch nicht beantwortet wird. Diesbezüglich ist neuerlich darauf zu verweisen, dass laut „Incident Response“ insb nicht identifiziert werden konnte, wer die betroffene Firewall Regel erstellt oder angepasst habe.
1.4.5. Der von der Beklagten herangezogene „typische“ Aufgabenbereich eines IT Administrators sagt nichts über die konkreten Fachkenntnisse des IT Administrators von C* im Einzelfall aus. Inwieweit dieser die fragliche Zurechnung zur Beklagten herstellen hätte können, geht auch aus der Berufung nicht hervor, zumal weder der Verweis auf „entsprechende“ Fachkenntnis noch die „Betreuung und Weiterentwicklung“ (unter anderem) der Firewall konkrete Anhaltspunkte dafür geben, dass dem IT Administrator die abschließende Beurteilung des vorliegenden Schadensereignisses möglich gewesen wäre. Hinzu kommt, dass selbst im – speziell für die Analyse des Schadensfalls eingeholten – CDC Bericht der Beklagten eine Zuordnung zu einem Verantwortlichen nicht erfolgte.
1.4.6. Zu welchem Zeitpunkt G* allenfalls in Kenntnis der Umstände des Vertragsverhältnisses zwischen C* und der Beklagten gewesen sei, wirkt sich nicht zwangsläufig dahingehend aus, dass von einer früheren Kenntnis der Klägerin (bzw C*) über eine schuldhafte Verursachung des Schadenseintritts durch die Beklage auszugehen wäre. Nähere Ausführungen diesbezüglich bleibt die Berufung schuldig.
1.4.7. Entgegen der Ansicht der Beklagten brachte die „Incident Response“ keine Kenntnis über die Person des vermeintlichen Schädigers, zumal der bloße Verweis darauf, dass der Zugang via RDP „auch von extern möglich“ gewesen sei und extern erreichbare RDP Server als Risiko gelten würden und entsprechend gesichert und gepatcht sein müssten, keine Aussage darüber trifft, wer die Ermöglichung eines solchen externen Zugangs zu verantworten hatte. Diesbezüglich ist neuerlich auf die bereits oben zitierten weiteren Auszüge aus der „Incident Response“ zu verweisen, welche gerade keine Zuordnung zur Beklagten nahelegen.
1.4.8. Inwieweit Bezeichnungen auf (Teil )Rechnungen von G* einen früheren Zeitpunkt der Kenntnisnahme der Klägerin von verjährungsrelevanten Umständen nachweisen sollten, legt die Berufung nicht überzeugend dar. Aus internen Zeitaufzeichnungen allein kann nicht darauf geschlossen werden, dass die Klägerin tatsächlich schon vor der Fertigstellung des Berichts die erforderlichen Kenntnisse erlangt hat. Im Übrigen verstößt die Beklagte mit dieser erstmals in der Berufung aufgestellten Behauptung gegen das Neuerungsverbot.
1.4.9. Dass aus dem RE Bericht keine über den CDC Bericht hinausgehenden Informationen hinzugetreten seien, kann schon insofern nicht nachvollzogen werden, als darin – anders als im CDC Bericht – eine (mit überwiegender Wahrscheinlichkeit erfolgte) Zurechnung des für den Schadenseintritt („ersten und wesentlichsten“) kausalen Angriffsvektors zur Beklagten erfolgte (./A, 22).
1.5. Die von der Beklagten bekämpften (zusammengefasst wiedergegebenen) Schlussfolgerungen des Erstgerichts, wonach es der Klägerin allein aufgrund des CDC Berichts nicht möglich gewesen wäre, das erforderliche Tatsachenvorbringen konkret und schlüssig zu erstatten, und sie erst durch den ausführlichen und auch Ausführungen zur Kausalität und Zurechenbarkeit beinhaltenden RE Bericht die nötigen Informationen erlangte, sind somit nicht zu beanstanden.
Soweit die Beklagte schließlich die vom Erstgericht herangezogenen „zahlreichen weiteren Dokumente (zB E Mail Korrespondenzen, Meldung an die Datenschutzbehörde, diverse Rechnungen)“ rügt, bringt sie nicht zum Ausdruck, inwieweit die - von ihr als Feststellung verstandenen - diesbezüglichen Ausführungen des Erstgerichts unzutreffend seien. Die bekämpfte Passage beinhaltet lediglich, dass der CDC Bericht als Grundlage für den RE Bericht diente, die Ermittlung der Schadensursache durch Auswertung des CDC Berichts erfolgte und zusätzlich noch zahlreiche weitere Dokumente „zur Erstattung von Befund und Gutachten herangezogen“ wurden (ON 17, 12). Dass diese Dokumente vom RE Bericht herangezogen wurden, ergibt sich zwanglos aus seinem Anhang (./A, 47) und wird von der Beklagten insofern auch nicht in Zweifel gezogen. Ihre Argumentation, wonach sich diese Dokumente nur auf das Tatbestandsmerkmal „Schaden“ – und nicht auf „Schädiger“ bzw „Verschulden“ - beziehen würden, führt nicht zur Unrichtigkeit der bekämpften Darstellung des Erstgerichts.
1.6. Selbst unter der Annahme, dass es sich bei den bekämpften Passagen der angefochtenen Entscheidung (teilweise) um dislozierte Feststellungen handeln sollte, überzeugt die Beweisrüge somit aus den aufgezeigten Gründen nicht.
Zur Rechtsrüge:
2.1. Eingangs ist auf die zutreffenden rechtlichen Ausführungen des Erstgerichts zur Verjährung schadenersatzrechtlicher Ansprüche zu verweisen (§ 500a ZPO).
2.2. Hervorzuheben ist insbesondere, dass Schadenersatzansprüche ab dem Zeitpunkt verjähren, zu dem der Eintritt des Schadens und die Person des Ersatzpflichtigen dem Geschädigten soweit bekannt wurden, dass eine Klage mit Aussicht auf Erfolg eingebracht werden kann (vgl RS0034524; RS0050338). Die Kenntnis muss dabei den ganzen anspruchsbegründenden Sachverhalt umfassen, insbesondere auch den Ursachenzusammenhang zwischen dem Schaden und einem bestimmten dem Schädiger anzulastenden Verhalten, in Fällen der Verschuldenshaftung daher auch jene Umstände, aus denen sich das Verschulden des Schädigers ergibt (RS0034951 [T1, T2, T4 bis T7]). Wenn auch der anspruchsbegründende Sachverhalt dem Geschädigten nicht in allen Einzelheiten bekannt sein muss, muss er doch in der Lage sein, das zur Anspruchsbegründung erforderliche Sachvorbringen konkret zu erstatten (RS0034524 [T24, T25]). Wenn die Kenntnis des Kausalzusammenhangs und bei verschuldensabhängiger Haftung die Kenntnis der Umstände, die das Verschulden begründen, Fachwissen voraussetzt, beginnt die Verjährungsfrist regelmäßig erst dann zu laufen, wenn der Geschädigte durch ein Sachverständigengutachten Einblick in die Zusammenhänge erlangt hat (RS0034603 [T23]).
Die Behauptungs und Beweislast für anspruchsvernichtende Umstände und damit für den Beginn der Verjährungsfrist und die relevante Kenntnis zu einem bestimmten Zeitpunkt trifft die schadenersatzpflichtige Beklagte (RS0034456; RS0034326).
2.3. Ausgehend vom festgestellten Sachverhalt ist sowohl die dreijährige Verjährungsfrist nach § 1489 ABGB als auch (unabhängig von der Wirksamkeit ihrer Vereinbarung) die gemäß Punkt 7.4. der AGB der Beklagten auf zwölf Monate verkürzte Frist zum Zeitpunkt der Klagseinbringung am 21.3.2024 noch nicht abgelaufen, zumal – wie das Erstgericht zutreffend erkannte – der Lauf der Verjährungsfrist erst mit Kenntnisnahme der zur Klagseinbringung erforderlichen Zusammenhänge im Zuge des RE Berichts am 6.4.2023 zu laufen begann. Diesbezüglich kann auch auf die Ausführungen zur Beweisrüge verwiesen werden.
2.4.1. Soweit die Beklagte ins Treffen führt, die Klägerin (bzw C*) habe ihre Pflicht verletzt, den ausständigen RE Bericht zu urgieren, entfernt sie sich vom festgestellten Sachverhalt. So wurde weder die von der Beklagten angeführte Dauer der Erstellung des CDC sowie des RE Berichts noch eine allfällige Unterlassung von Urgenzen seitens der Klägerin (bzw C*) festgestellt. Die Rechtsrüge ist daher schon aus diesem Grund nicht gesetzmäßig ausgeführt.
2.4.2. Hinzu kommt, dass die Beklagte mit ihren diesbezüglichen Ausführungen gegen das Neuerungsverbot verstößt. Mangels Vorbringens in erster Instanz liegen in diesem Zusammenhang auch keine sekundären Feststellungsmängel vor (vgl RS0053317).
2.4.3. Dessen ungeachtet sprach der Oberste Gerichtshof in der – von der Beklagten zitierten – Entscheidung zu 7 Ob 96/10h unter Hinweis auf eine Überspannung der Erkundigungspflicht aus, dass im Fall, dass der Geschädigte ein Gutachten einholen muss, um seiner Erkundigungspflicht nachzukommen, keine Pflicht besteht, den Sachverständigen zu urgieren. Eine derartige Verpflichtung sei nur in besonderen Ausnahmefällen überhaupt denkbar. Anhaltspunkte dafür ergeben sich aber nicht einmal aus der Berufung. Ungeachtet der unterschiedlichen Aussagekraft der beiden eingeholten Berichte ist bei einer Erstattungsdauer von sieben Monaten im vorliegenden Fall, der sich durch komplexe IT spezifische Strukturen und Abläufe auszeichnet, schon vor dem Hintergrund der Dauer der im Gesetz vorgesehenen allgemeinen Verjährungsbestimmungen kein „besonderer Ausnahmefall“ zu erkennen, der eine Urgenz angezeigt erscheinen ließe. Zudem würde es eine Überspannung der Erkundigungspflicht darstellen, wenn man – wie es die Argumentation der Beklagte nahelegt – von der Klägerin verlangen würde, die Berechnung der Schadenshöhe gesondert vornehmen zu lassen, zumal diese – so die Vermutung der Beklagten – die Ursache für die verhältnismäßig längere Dauer der Erstellung des Berichts darstelle.
3. Der Berufung war somit ein Erfolg zu versagen.
Der Kostenvorbehalt beruht auf §§ 393 Abs 4, 52 Abs 4 ZPO (RS0128615).
Die ordentliche Revision ist mangels Vorliegens einer Rechtsfrage der Qualität des § 502 Abs 1 ZPO nicht zulässig.
Keine Ergebnisse gefunden
RIS