Ausgabe Nr - es-rueck.de · – Wem „gehört" es? 5 2.2 Gefahren bei der Nutzung der so genannten...

34
Ausgabe Nr. 3 Schriftenreihe zu aktuellen Themen der Schadenversicherung Neue Medien – Neue Risiken: Haftpflichtfragen rund um das Internet e+s rück I. Geis . Th. Hoeren . Chr. Nießen . J. Roth

Transcript of Ausgabe Nr - es-rueck.de · – Wem „gehört" es? 5 2.2 Gefahren bei der Nutzung der so genannten...

AusgabeNr. 3

Schriftenreihe

zu aktuellen Themen

der Schadenversicherung

Neue Medien – Neue Risiken:

Haftpflichtfragen rund

um das Internet

e+s rück

I. Geis . Th. Hoeren . Chr. Nießen . J. Roth

Schriftenreihe

zu aktuellen Themen

der Schadenversicherung

Ausgabe Nr. 3

I. Geis . Th. Hoeren . Chr. Nießen . J. Roth

Neue Medien – Neue Risiken:

Haftpflichtfragen rund

um das Internet

e+s rück

Inhalt

Kapitel Seite

1. Einführung in das Thema 4

2. Informationsbeschaffung durch das Internet: Gefahrenpotenziale 5und Sicherheitsaspekte

2.1 Was ist überhaupt das World Wide Web? – Wem „gehört" es? 5

2.2 Gefahren bei der Nutzung der so genannten virtuellen Welt 6

2.3 Kritische aktuelle Erscheinungen 6

2.3.1 Aktive Diebe: Active Contents 6

2.3.2 ActiveX 6

2.3.3 Javascript 7

2.3.4 Cookies: Bittere Kekse oder die heimlichen Läuse im Pelz 8

2.3.5 Web-Bugs: Fleißige Bilder 8

2.3.6 Würmer, Viren und Trojaner: Versteckte Angriffe aus Ihrem PC 9

2.3.7 Dialer 9

2.4 Fazit: Ob ein PC ausgeforscht werden kann, bestimmt seine Umgebung 10

3. Das Recht der Informationstechnologie 10

3.1 Kollisionsrechtliche Vorfragen 12

3.2 Das Teledienstegesetz 12

3.2.1 Der Content-Provider 13

3.2.2 Der Access-Provider 15

3.2.3 Der Host-Provider 15

3.2.4 Haftung für Links 17

3.2.5 Haftung für sonstige Intermediäre 18

Kapitel Seite

3.3 Der Mediendienste-Staatsvertrag 18

3.4 Versicherbarkeit 19

4. Antwort des Versicherungsmarktes auf Online-Risiken –Schadenszenarien und Absicherungskonzepte 20

5. Haftungsrisiken im E-Commerce 23

5.1 Das Signaturgesetz: Ein Sicherheitsstandard für die elektronische Kommunikation 23

5.1.1 Die qualifizierte elektronische Signatur 23

5.1.2 Qualifizierte Zertifizierungsdienste 24

5.1.3 Vergabe der qualifizierten elektronischen Signatur 24

5.2 Das Formgesetz 25

5.2.1 Die gesetzliche elektronische Form § 126 Abs. 3 BGB 25

5.2.2 Die vereinbarte elektronische Form § 127 Abs. 3 BGB 26

5.3 Rechtsrisiken der Website-Inhalte 27

5.3.1 Die Web Site als Teledienst 27

5.3.2 Die Verantwortlichkeit für eigene Inhalte 27

5.3.3 Die Verantwortlichkeit für fremde Inhalte 27

5.3.4 Die Verantwortlichkeit für Links 28

5.3.5 Ausschluss der Verantwortlichkeit durch Disclaimer 29

5.4 Fazit: Der Sorgfaltsmaßstab des KonTra-Gesetzes 29

6. Referenten 31

4

Neue Medien dringen täglich in immer neue Be-reiche des Wirtschaftslebens ein. Allen voran isthier das Internet zu nennen. Technik und Schnel-ligkeit dieses weltweiten Kommunikationsmittelswerden ständig optimiert und bieten Anwendernund Verbrauchern vielerlei Verwendungsmög-lichkeiten.

Die Versicherungswirtschaft hat sich des Medi-ums bemächtigt und befasst sich seit geraumerZeit mit den Möglichkeiten des so genanntenelektronischen Vertriebes von Versicherungspro-dukten. Das Spektrum reicht dabei von der Schaf-fung von B2B-Plattformen, über die Präsentationauch beratungsintensiver Produkte im Netz bishin zur Schadenmeldung via E-Mail. Schnelligkeitbeim Abschluss von Verträgen, Genauigkeit beider Produktinformation und damit einhergehenddie Zuverlässigkeit bei der Beschreibung von Fi-nanzdienstleistungen wird immer mehr zum Wett-bewerbsfaktor.

Die gleichzeitige verstärkte Ausrüstung priva-ter Haushalte mit immer leistungsfähigeren PCsscheint unaufhaltbar zu sein und gibt dem Kon-sumenten zumindest die Möglichkeit eines jeder-zeitigen Zugriffes auf sein persönliches Konto bzw.seine individuellen Verträge. Gleichwohl ist einespürbare Zurückhaltung beim Vertragsabschlussonline zu verzeichnen. Je größer die Unsicherheitüber Authentizität und Zuverlässigkeit von Da-tenquellen ist, desto höher wird die Hürde für dieAkzeptanz des Internets und seiner Vertriebs-möglichkeiten angesetzt werden müssen.

Und dies nicht ohne Grund, birgt doch die glo-bale Vernetzung die Möglichkeit der Ausspähung,Veränderung und des Missbrauches von Daten.Darüber hinaus werden vorsätzlich Viren in dasNetz eingespeist, die zu echten Schäden in Formvon Datenverlusten oder Datenveränderungenführen. Die Wiederherstellung einer gelöschtenFestplatte ist oft nur mit hohem Zeit- und finan-ziellen Aufwand zu leisten. Die Verursacher sindnicht bekannt. Für die Verursachung fahrlässiger

Schäden im Internet benötigt der Verursacher hin-gegen Deckungsschutz.

Dabei findet der Umgang mit dem Internet nichtim rechtsfreien Raum statt. Das Recht des Inter-nets entwickelt sich vielmehr zu einer eigenenSparte und viele Fachzeitschriften widmen die-sem Rechtsgebiet eigene Rubriken, darunter auchdie NJW, die mit ihrer Beilage zu Heft 14 im Jahr2001 die regelmäßige Berichterstattung zu Ent-wicklungen in diesem Bereich aufgenommen hat.

Der Umgang mit dem Netz erfordert vom Ver-braucher immer wieder eine Risikoabwägung zwi-schen den vielen Vorteilen und den Unwägbar-keiten, die dieses neue Medium mit sich bringt.Die Versicherungswirtschaft ist insgesamt auf-gefordert, diesen voranschreitenden Prozess zubegleiten und sich mit innovativen Produktenund neuen Ideen einzubringen. Im Schadenfallist eine hohe Expertise gefordert, um einerseitsdem Anspruchsteller eine adäquate Ersatzleis-tung zu erbringen, andererseits auch interna-tionale Haftungsaspekte zu berücksichtigen.

E+S Rück möchte mit seiner Fachtagung 2001 andieser breit geführten Diskussion teilnehmenund hat mit Erlaubnis der Autoren die einzelnenBeiträge in diesem Tagungsband zusammenge-fasst, um sie der interessierten Fachöffentlichkeitzur Verfügung zu stellen. Sollten Sie Bedarf anweiteren Exemplaren haben, wenden Sie sichbitte an die im Einband genannten Ansprech-partner oder an Ihre bekannten Gesprächspart-ner in unserem Haus.

1. Einführung in das Thema von Jörg-Christian Deister

5

Das Internet hat sich zum weltgrößten und mäch-tigsten globalen Informations- und Kommunika-tionsmedium entwickelt. Die Thematik „Sicher-heit im Internet“ zeigt gerade in letzter Zeit einebemerkenswerte Entwicklung. Während sich nochvor kurzem nur wenige Spezialisten mit diesemGebiet befassten, muss die Kenntnis und Umset-zung von Sicherheitsmaßnahmen bei Unterneh-men heute zum Kerngeschäft gezählt werden.Neben den in der Presse häufig genannten Ge-fahren, die bei der Nutzung des Internet auftretenkönnen (offene Übertragung der Daten, Angrif-fe durch Hacker), sind neue Risiken und Gefahrenentstanden, die auch für jeden Internet-Nutzer,ob privat oder am Arbeitsplatz eine Beschäfti-gung mit dem Thema Sicherheit, hier Datensi-cherheit, unerlässlich machen.

2.1 Was ist überhaupt das World WideWeb? – Wem „gehört“ es?

Ein Blick zurück auf die Ursachen dieser Entwick-lung: Anfang der 90er-Jahre bestand bereits eineglobale Vernetzung, – das Internet – doch warsie nicht so einfach benutzbar, wie wir das heutegewohnt sind. Der Gebrauch war viel umständ-licher, es gab zwar Dienste auf dem Internet wieTelnet, FTP oder E-MAIL, jedoch keine einfachen,benutzerfreundlichen Oberflächen. Der breitenMasse war das Internet somit verschlossen.

Zu den Begriffen: Häufig werden Internet unddas World Wide Web – WWW – in ein und den-selben Topf geworfen, es bestehen aber gravie-rende Unterschiede:

Das Internet stellt ein physisches Netzwerk dar,es ist der greifbare Teil der globalen Vernetzung,bestehend aus Verbindungen zwischen einzel-nen Maschinen, seien es Kabel oder Satelliten-Funkverbindungen.

Das WWW hingegen ist kein Netzwerk in diesemSinne, es ist lediglich ein virtuelles Netzwerk, ein

Dienst, der das Internet benutzt. Weitere Dienstesind etwa NEWSGROUPS oder E-MAIL.

Das WWW bietet die Möglichkeit der Verbreitungvon in der Sprache HTML geschriebenen Doku-menten, die weit über die Anzeige bloßen Texteshinausgehen: Enthalten sind auch Bilder, Videosoder Musik. Um diese Seiten betrachten zu kön-nen, müssen sie nicht erst auf den eigenen Rech-ner geladen und dazu explizit abgespeichertwerden, um erst dann die Dateien in einem ent-sprechenden Programm betrachten zu können:Das WWW bietet die Möglichkeit der Online-Betrachtung, diese ist auch die Voraussetzungfür das Surfen, das fortlaufende Verfolgen vonLinks, die auf Dokumente, welche sich auf einemWWW-Server irgendwo auf dem Internet befin-den verweisen. Vielleicht die wichtigste Voraus-setzung für die ab etwa 1993 einsetzende ex-plosionsartige Ausweitung des WWW war dieFreigabe der HTML-Technologie durch das eu-ropäische Kernforschungszentrum CERN im April1993: Jedermann konnte die Technologie benut-zen, ohne irgendwelche Patentrechte erwerbenoder Copyrightgebühren entrichten zu müssen.

Das WWW war so vollständig der Öffentlichkeitzugänglich gemacht worden, der Boom des Webwar nicht mehr zu bremsen: Während 1993weltweit 50 HTTP-Server existierten, waren esEnde 1994 schon 100.000. Und 1995 war WWWder führende Dienst innerhalb des Internets.

Das Internet gehört also niemanden, oder allen,wie auch immer man das sehen mag: Das „In-ternet“ an sich gibt es nicht: Es ist ein Zusammen-schluss aus vielen einzelnen Netzwerken zu einemGroßen. Deswegen kann man auch nie genausagen, ab wann ein Rechner im Internet steht:So gesehen gehören also Stücke des Internets zuverschiedenen Personen.

2. Informationsbeschaffung durch das Internet: Gefahrenpotenzialeund Sicherheitsaspekte von Jörg Roth

6

2.2 Gefahren bei der Nutzung der sogenannten virtuellen Welt

Die alltägliche Nutzung dieses Mediums zeigtneben offenen Angriffen durch Viren auch ver-steckte Risiken, der PC eines Benutzers scheintüber den Zugang in die Welt des Internets zurunerlaubten Nutzung der Informationen durchandere offen wie ein Scheunentor zu stehen:

Jede Bewegung in den Netzen hinterlässt für denBenutzer oft nicht wahrnehmbare Informations-reste, eine Art „Datenspur“. Mit Hilfe automati-sierter Erhebungsverfahren, die unbemerkt imHintergrund einer Anwendung laufen, könnenmittlerweile exakte Protokollierungen der jewei-ligen Aktivitäten des Nutzers erstellt werden.

Grund dafür ist, dass das Internet ursprünglichnur unter Verfügbarkeitsaspekten (wie bereitsausgeführt) entwickelt wurde und Sicherheitsas-pekten somit keine Rechnung trägt.

2.3 Kritische aktuelle Erscheinungen

Welche Einstellungen erlauben Datenspionagebzw. unbemerkte Manipulationen?

2.3.1 Aktive Diebe: Active Contents

Zunächst sei die Hauptmöglichkeit angesprochen,beim Empfänger aktiv Veränderungen am Zu-stand seines Systems vornehmen zu können: DerBrowser oder weitere, nachträglich installierteZusatzprogramme, so genannte Plug-ins, ermög-lichen das Ausführen so genannter aktiver Inhalte(Active Contents): Das sind Programme, die indie Informationsangebote der Server-Betreiber,der Web-Seite oder auch in E-Mails eingebundensind und das System des Nutzers um multimedia-le Elemente ergänzen. Derartige Programme sindmeist in den Programmiersprachen Java, Java-Script oder ActiveX erstellt. Der Benutzer hat da-bei keinerlei Kontrolle darüber, was diese Pro-gramme auf seinem PC ausführen, sobald sie zu-gelassen wurden.

Aktive Komponenten können vollen Zugriff aufalle Ressourcen des Benutzerrechners haben undbei ihrer Ausführung genau die Rechte des ge-rade angemeldeten Benutzers besitzen, wie z. B.die Rechte von Netzwerkfreigaben. Sie erlauben

die Fernsteuerung des Rechners oder auch die(unbemerkte) Installation von Systemprogram-men im Hintergrund, die in der Folgezeit auto-matisch beim Systemstart mit geladen werden:Diese analysieren in aller Ruhe unbemerkt denRechner und sein Umfeld.

Immer wenn der Anwender „Online“ ist, liefernsie die am interessantesten erscheinenden Da-ten an den Server des Systemprogramm-Besit-zers.

Ein Beispiel ist das Programm Webhancer, dasbeim Einrichten eines neuen Benutzers beimmp3-Anbieter audiogalaxy installiert wird: Esforscht den PC nach „unerlaubten“ Musiktitelnaus. Ebenso kann ein so genanntes trojanischesPferd installiert werden, welches einen Schädlingins System trägt, auch wenn es keine Online-Funk-tion zu besitzen vorgibt.

Da aktive Komponenten sämtliche Verteidigungs-strategien unterlaufen können, müssen in diesemZusammenhang die Browser, hier wegen ihrer Ver-breitung insbesondere die Surf-Bretter von Net-scape und Microsoft, in der Praxis einer besonde-ren Betrachtung unterzogen werden: sie verfügenüber die verschiedensten Möglichkeiten, aktiveInhalte aus dem Web herunterzuladen und aus-zuführen. Die wesentlichen Systeme aktiver In-halte seien im Folgenden kurz angeführt:

2.3.2 ActiveX

ActiveX ist eine Entwicklung der Firma Microsoft.Es sorgt dafür, dass Windows-Anwendungen mitdem Internet bzw. Intranet zusammenarbeiten.Internetseiten können mit dieser Technologieum eine Vielzahl von multimedialen Effekten undausführbaren Applikationen erweitert werden.

Die Komponenten der ActiveX-Technologie (dassind etwa Controls: Programme, die auf einerInternetseite dargestellt oder als eigene Pro-gramme aufgerufen werden und Scriptings zumVerwalten und zur Kommunikation mit ActiveX-Controls) übernehmen die Rechte des ange-meldeten Benutzers und unterliegen keinerleiEinschränkungen der Windows- und System-Funktionalität: Es existieren mithin keine Sicher-heitsarchitekturen, sie stellen ein immenses Si- cherheitsrisiko dar.

7

Microsoft setzt zum Schutz die (selbst entwick-elte) Authenticode-Technologie ein; sie siehtim Wesentlichen vor, dass Programmierer bzw.Softwarefirmen ihre Identität offen legen, diesefür den Anwender vertrauenswürdig sind und dasActiveX-Control nach seiner Veröffentlichung, derso genannten Zertifizierung nicht mehr verän-dert wird.

Grundlage für diese Zertifizierung ist, dass einUnternehmen zunächst für sein ActiveX-Controleinen so genannten „öffentlichen Schlüssel“ (=„Zertifikat“) bei einer Zertifizierungsstelle (einemprivatem Unternehmen) beantragt.

Hat es diesen erhalten, wird das ActiveX-Controlmit einer „digitalen Signatur“ (= „privater Schlüs-sel“) versehen und auf einem Webserver inner-halb der dort angebotenen Seiten bereitgestellt.Zugleich wird dieser Schlüssel auf einem odermehreren Sicherheitsservern abgelegt, der kon-trolliert, ob der Schlüssel manipuliert wurde.

Ruft der Anwender dieses ActiveX-Control beimSeitenanbieter auf, prüft sein Browser beim Si-cherheitsserver, ob die mitgelieferte Signatur(noch) stimmt.

Die Zertifizierung schützt allerdings nicht „vonHaus aus“ vor Beschädigungen oder Manipula-tionen eines Systems:

Die Zertifizierung macht weder eine Aussageüber die Funktionsweise des ActiveX-Controls,noch ist es dem Anwender möglich, darüber zuentscheiden, wann und warum er einer bestimm-ten Zertifizierung vertrauen soll. Bei entsprechen-der Aktivierung von Warnfunktionen erscheintlediglich eine Aufforderung, dem entsprechen-den Unternehmen pauschal zu vertrauen oderdas Ausführen der Funktion zu unterlassen, ohnezuvor überhaupt Informationen über deren Funk-tionsweise zu erhalten.

2.3.3 Javascript

JavaScript ist eine von der Firma Netscape ent-wickelte Scriptsprache, die innerhalb einer HTML-Seite direkt an den Browser übertragen wird: Esbesteht so die Möglichkeit, Browser-Fenster zuöffnen oder zu schließen, Einstellungen anzupas-sen und Formularelemente zu manipulieren.

Obwohl der Name eine enge Verwandtschaft zuJava andeuten könnte, haben die beiden Spra-chen nur wenig Gemeinsamkeiten. Um die Ge-fährdungen, die bei der Ausführung von Java-Script-Programmen entstehen, beherrschen zukönnen, wurden von Netscape verschiedene Si-cherheitsmodelle wie etwa die „Same Origin Po-licy“ oder die „Signed Script Policy“ entwickelt: Ja-vaScript-Programme dürfen dann z.B. bestimmteObjekte innerhalb des Browsers nicht ausführenoder sie werden digital signiert, um so die Au-thentizität zu gewährleisten. Ein signiertes Java-Script-Programm kann erweiterte Zugriffsrechteauf Ressourcen des lokalen Rechners bekommen.

Doch auch hier sind verschiedene Probleme be-kannt, durch die ein JavaScript-Programm Schä-den verursachen kann, wie etwa ein „Denial-of-Service-Angriff“: Die Möglichkeit, beliebig vieleFenster mit Meldungen zu öffnen oder die „Hi-story“-Liste der besuchten Seiten abzufragenund dadurch Benutzernamen, Passworteingabenoder andere Informationen abzufangen. Durchein entsprechendes JavaScript-Programm kanndie Statuszeile eines Browsers so verändert wer-den, dass nicht mehr die richtige URL eines Linksangezeigt wird, sondern eine beliebige andere.

Zuletzt als System aktiver Inhalte sei der Win-dows Scripting Host erwähnt: Windows ScriptingHost (WSH) ist eine Zusatzanwendung, die es demProgrammierer erlauben sollte, per Fernzugriffeinen Rechner steuern und Anwendungen instal-lieren und entfernen zu können. Das Programmwird automatisch mitinstalliert und kann – zu-sammen mit dem Internet Explorer – ungeahn-te Risiken entwickeln: Es ermöglicht den Aufrufsämtlicher im System enthaltenen Befehle wieLöschen, Formatieren, Durchsuchen von Ordnernund Kopieren von Daten. Besonders bedenklichist WSH in Zusammenhang mit Online-Registrie-rung, denn die Versprechung, dass keine System-dateien übermittelt werden, sind nicht nachprüf-bar und werden auch nicht von den großen Soft-wareherstellern beachtet, wie die Praxis zeigt.Windows XP etwa versucht, über Signaturen dieeinwandfreie Herkunft von Scripten zu kennzeich-nen. Allerdings ist der Schutz standardmäßigauf „Kein Schutz“ gestellt: Alle Scripte etwa vomTyp .vbs und .js werden ohne Nachfrage ausge-führt.

8

2.3.4 Cookies: Bittere Kekse oder die heimlichenLäuse im Pelz

Eine versteckte Möglichkeit der Datenerhebungbieten Cookies: Dies sind kleine Datenmengen,die vom Betreiber einer Internet-Präsentationauf dem Anwender-Rechner gespeichert werden.Dadurch wird im einfachsten Fall ein wiederhol-ter Zugriff eines bestimmten Benutzers (genauer:des Browsers auf dem PC, den er verwendet) aufdas Internet-Angebot erkennbar, doch die An-wendungsmöglichkeiten gehen weit über dieseFeststellung hinaus: Mit Hilfe von Cookies kannder Nutzer beim Betreten einer Seite eindeutigmarkiert und seine Zugriffe auf Folgeseiten ihmzugeordnet werden: So ist es möglich, aus deneingerichteten Cookies ein Nutzungsprofil zu er-stellen, das vielfältige Auskunft über den Be-nutzer gibt und ihn so als Zielperson, z. B. für Wer-bebotschaften, identifiziert. Die Bedeutung vonCookies wird regelmäßig verharmlost: So wirdetwa argumentiert, dass eine Manipulation desComputers über die Speicherung und Abfrageder Cookies hinaus nicht möglich ist, da Cookiesreine Textdateien sind und somit nicht selbstaktiv werden können wie etwa Scripte. Da Coo-kies aber auch benutzerbezogene Passwörterenthalten können, steht einer Nutzung dieser In-formationen durch Unberechtigte beispielswei-se durch Zugriff mit Hilfe von ActiveX-Controlsnichts im Wege.

Ursprünglich sollten Cookies das elektronischeEinkaufen erleichtern: Ein Benutzer wählt in ei-nem Angebot Waren aus, die er kaufen möchte.Der Server speichert die Kennungen dieser Pro-dukte auf dem Nutzer-PC und kann auf der Be-stellseite diese Informationen wieder abrufen,um die Bestellung automatisch auszufüllen. Coo-kies sollten auch dazu eingesetzt werden, dasAngebot des gewählten Web-Servers auf die per-sönlichen Belange und (vermuteten) Bedürfnis-se des Benutzers einzustellen.

Cookies sind wegen des vergleichsweise gerin-gen Gefährdungspotenzials weniger ein Problemder Computersicherheit als vielmehr aufgrundihrer geringen Transparenz für den Benutzer einProblem der Datensicherheit: Der Datenaus-tausch mittels Cookies erfolgt vollkommen imHintergrund zwischen den beteiligten Compu-

tern, ohne dass der Benutzer über Inhalte, Zweck,Umfang, Speicherdauer oder Zugriffsmöglich-keiten auf die Cookie-Datei informiert wird. Die-se Parameter sind innerhalb des Cookies selbstfestgelegt und werden somit vom Betreiber desWWW-Servers bestimmt.

Online-Agenturen wie DoubleClick haben unlängsteine „Informationsallianz“ bekannt gegeben, umdie Informationen über Benutzer auszutauschen.Damit wird es möglich, dass Werbeagenturen dieBenutzer, von denen sie persönliche Informa-tionen besitzen, mit Cookies von den anderenAgenturen verbinden können, so dass sich einumfassenderes Bild der Wege von Surfern im Webergibt.

Problematisch ist das Setzen von Cookies, wennsie zur späteren Identifizierung des Benutzersdienen sollen. Die deutschen gesetzlichen Mul-timediaregelungen verlangen, dass der Dienst-anbieter den Benutzer unterrichtet, wenn einsolcher Cookie gesetzt werden soll. Dies wird bis-her allerdings kaum beachtet. Dabei können sichdie Dienstanbieter nicht darauf berufen, dass dieBrowser eine Warnung anzeigen; diese Warnhin-weis-Funktion entbindet den Anbieter nicht vonseinen gesetzlichen Pflichten.

2.3.5 Web-Bugs: Fleißige Bilder

Obgleich schon bald fast jede Website und na-türlich jede Internet-Werbeagentur Cookies ver-wendet, um die Surfer und potenziellen Kundenzu identifizieren, haben diese die – für die An-bieter – „schlechte“ Eigenschaft, dass ihr Setzenüber die Browser-Einstellung verhindert werdenoder man zumindest sehen kann, ob ein Cookiegesetzt werden soll. Mit einem bislang noch we-nig bekannten Verfahren lässt sich aber auchdiese Abwehr der Benutzer, die nicht so gern ihreDaten bereitwillig abliefern wollen, möglicher-weise umgehen:

Web-Bugs oder auch „clear GIFs“ sind winzigeBilder im GIF-Format mit einer Größe von norma-lerweise 1x1 Pixel, die auch in anderen Grafikenversteckt werden können. Nur wer sich den Quell-code einer Website ansieht, kann die Web Bugsals so genannte IMG-Tags erkennen.

9

Die Auswirkungen dieser praktisch unsichtbarenCookie-Nachfolger auf den Datenschutz werdenerstmals durch die Federal Trade Commission(kurz FTC) untersucht. Beauftragt wurde RichardSmith, der durch die Aufdeckung der heimlichvon Microsoft gesetzten GUID's (einen Browser-Client für einen Webserver eindeutig identifi-zieren) bekannt wurde. Bedenken bestehen vorallem darin, dass die Besucher einer Websitemeist gar nicht erfahren, dass ihr Surfverhaltenregistriert wird: Ein Web Bug sendet neben derIP-Adresse des Nutzers, die Internetadresse derbesuchten Webseite, den Zeitpunkt, an dem derWeb Bug angeschaut wurde, den Browsertyp so-wie die Informationen eines zuvor gesetztenCookies an einen Server.

2.3.6 Würmer, Viren und Trojaner: VersteckteAngriffe aus Ihrem PC

Am Rande seien der Vollständigkeit halber dieFunktionen erwähnt, deren Ziel vorrangig die Be-schädigung oder Manipulation eines Systemsbeinhalten:

Dies sind zunächst Viren: Programmroutinen, diesich selbst reproduzieren und für den Benutzernicht kontrollierbare Manipulationen bzw. Schä-den am Betriebssystem oder anderen Program-men verursachen.

Ferner treten zur Zeit vermehrt Trojaner odertrojanische Pferde auf: Programme ohne Selbst-reproduktion, die versteckte Schadensfunktionenthalten. Im Gegensatz zu den Viren verbergensie sich nicht und offenbaren sich dem Benut-zer als angeblich nützliche Helfer (z. B. Bild-schirmschoner oder „gekrackte“ (= entschlüssel-te) Software). Da Trojaner direkt Manipulationenam System vornehmen, sind sie eher dem Be-reich der Computersicherheit und weniger demBereich der Datensicherheit zuzuordnen.

Schließlich finden sich häufig Würmer, selbst re-produzierende Programme ähnlich Trojanern, diesich vor allem in Rechnernetzen ausbreiten, in-dem sie sich selbst an neue Empfänger verschi-cken. Die aus den Medien bekannten Infektions-beispiele (z. B. „I love you“, „NIMDA“) sind durchE-Mail übertragen worden. Neu ist, dass auch

schon in der eigentlichen E-Mail-Nachricht undnicht nur wie bisher im Attachment (angehäng-te Datei) der Mail ein solches Schaden stiftendesElement enthalten sein kann, z.B. wenn zusätz-lich zum E-Mail-Empfang Multimedia-Elementewie bunte E-Mail Hintergründe, etc. angezeigtwerden. Möglich ist dies durch Scripte und derenautomatisches Ausführen durch Funktionen wiedas „Vorschaufenster“ von Microsoft Outlook. Hierempfiehlt sich bereits das Deaktivieren dieserFunktionen.

2.3.7 Dialer

Eine weitere Gefahr unkontrollierbarer Aktivie-rungen sind Dialer: Viele Webseiten bieten zurAbrechnung Ihrer Leistungen nicht mehr nur dieherkömmliche Art und Weise an (per Kreditkarte,Überweisung oder Abbuchung) sondern auchdie Abrechnung per Telefonrechnung, indemeine Verbindung über eine 0190-Servicenummeraufgebaut wird. Zu diesem Zweck werden sogenannte Dialer oder auch Highspeedzugängezum Download angeboten. Der Kunde installiertdieses Programm und wählt sich ein. Der Preisfür eine Minute kann von Anbieter zu Anbieterschwanken, (z.Zt. 1,86 EUR/Min).

In der Regel wird eine neuer DFÜ-Zugang überdie Telefonverbindung erstellt oder die Einstel-lungen der Zugangssoftware verändert; in allenFällen muss der Anwender sich das Programm sel-ber herunterladen und installieren.

Häufig kommt es vor, dass sich Dialer als zusätz-liches Chat- oder Movie-Programm ausgeben unddie teuren Einwahlkosten verschwiegen werden.Auch sind Webseiten bekannt, wo sofort bei Ein-tritt auf das Angebot eine EXE-Datei (die Dia-ler-Software) als Downloadlink startet. Der An-wender braucht „nur“ noch den Button „Speichern[unter]“ zu betätigen. Zumindest befindet sich dieSoftware so schon einmal auf dem System desBesuchers. Ferner sind die Beschreibungen derFunktionsweise in englisch und eine „Abbrechen“-Schaltfläche ist meist nicht vorhanden. Program-me dieser Art werden in die Registrierungsdaten-bank eines Rechners eingetragen und sind nurmit großem Aufwand deinstallierbar.

10

2.4 Fazit: Ob ein PC ausgeforschtwerden kann, bestimmt seine Umgebung

Die sichere Kommunikation zwischen außen undinnen ist meist durch eine Firewall bereits hin-reichend gewährleistet: Diese Systeme schüt-zen vor Angriffen von außen. Durch die aktivenInhalte können jedoch Angriffe quasi von innengestartet werden, so dass hier eine besondereSensibilisierung der Administratoren und Anwen-der notwendig erscheint: Wer aus Angst vor Aus-forschung oder Schäden aus dem Internet gleichzur Sperrung des Zugangs greift, tut den zweitenSchritt vor dem ersten: Denn absolute Sicher-heit im Internet gibt es nicht, wie bereits zuletztder NIMDA-Virus eindrucksvoll bewiesen hat.

Zunächst gilt es, Betriebssystem und Anwendun-gen im Rahmen ihrer Möglichkeiten sicher zukonfigurieren: Welche Einstellungen sind not-wendig, welche Rechte hat ein Programm aufeinem Arbeitsplatz-PC?

Zudem gilt es, selbstständig abzuwägen zwischenBedienungskomfort und Risikobereitschaft; in-formierte Anwender sind kritische Anwender:Wer etwa in einem Internet-Seminar nicht nurvermittelt bekommt, wie bequem Informationenerreichbar sind, sondern auch erfährt, welcheFunktionen Gefahren beinhalten und wie diesevon ihm selbst eingeschränkt werden können,hält die Augen offen und agiert verantwortungs-bewusst.

Internationale Kontrollierbarkeit

Zum Schluss noch kurz ein Wort zur nationalenbzw. internationalen Kontrollierbarkeit der ver-öffentlichten Inhalte im Internet:

Durch die Internationalität des Netzes sind kaumeinheitliche Werte zu finden. Ein Angebot kannbeliebig auf einen Server in einem anderen Land –mit anderen Grundwerten – verlagert werden.Zudem hat die Vergangenheit gezeigt, dass Re-gulierungsversuche – getreu dem bekannten In-ternet-Motto der absoluten Freiheit – als tech-nische Störung interpretiert und umgangen wer-den.

Trotzdem ist das Web kein rechtsfreier Raum undbietet durchaus, wenn auch nur im begrenztenRahmen, Sanktionsmöglichkeiten mit Spielraumfür staatliche Eingriffe. Weder der Versuch, sichnationalem Recht durch multinationale Unter-nehmensbildung zu entziehen noch die Tatsache,dass Sperren leicht umgangen werden können –etwa Nachbars Gartenzaun – sind der Rechts-ordnung fremde Probleme. Es ist aber immer zubedenken, dass jede staatliche Steuerung ulti-ma ratio sein muss.

Besonders das häufig beschworene Problem derAnonymität unseriöser Anbieter existiert nichtin dem Ausmaß: Wer etwa strafbare Inhalte ver-treibt oder Informationen mit Hilfe von Cookiesoder Web-Bugs ausspäht, wird damit auch Geldverdienen wollen und ist dementsprechend aufoffene und nachvollziehbare Wege angewiesen.Schon heute bestehen internationale Abkom-men, auf die zurückgegriffen werden könnte.

Literatur: Karsten Altenhain, Die strafrechtli-che Verantwortlichkeit für die Verbreitung mis-sbilligter Inhalte in Computernetzen, in: CR 1997,485; Kirsten Beckmann/Ulf Müller, Onlineübermittelte Informationen: Produkte i. S. d. Pro-dukthaftungsgesetzes, in: MMR 1999, 14; Torsten

Bettinger/Stefan Freytag, Privatrechtliche Ver-antwortlichkeit für Links, in: CR 1998, 545; NilsBortloff, Neue Urteile in Europa betreffend dieFrage der Verantwortlichkeit von Online-Diens-ten, in: ZUM 1997, 167; ders., Die Verantwort-lichkeit von Online-Diensten, in: GRUR Int. 1997,

3. Das Recht der Informationstechnologievon Prof. Dr. Thomas Hoeren

11

387; Emanuel Burkhardt, Medienfreiheit quovadis – Das Somm-Urteil aus presserechtlicherSicht, in: CR 1999, 38; Ute Decker, Haftung fürUrheberrechtsverletzungen im Internet (Anfor-derungen an die Kenntnis des Host Providers),in: MMR 1999, 7; Engels, Zivilrechtliche Haftungfür Inhalte im Word Wide Web, in: AfP 2000,524; Stefan Engels/Oliver Köster, Haftung für„werbende Links“ in Online-Angeboten, in: MMR1999, 522; Gunter Ertl, Zivilrechtliche Haftungim Internet, in: CR 1998, 179; Norbert Flech-sig/Detlef Gabel, Strafrechtliche Verantwort-lichkeit im Netz durch Einrichten und Vorhaltenvon Hyperlinks, in: CR 1998, 351; Stefan Freytag,Providerhaftung im Binnenmarkt, in: CR 2000,600; Gercke, „Virtuelles“ Bereithalten i.S.d. § 5TDG – Die straf- und zivilrechtliche Verantwort-lichkeit bei Einrichtung eines Hyperlinks, in: ZUM2001, 34; Gounalakis/Rhode, Haftung des Host-Providers: ein neues Fehlurteil, in: NJW 2000,2168; Haft/Eisele, Zur Einführung: Rechtsfra-gen des Datenverkehrs im Internet, in: JuS 2001,112; Heghmanns, Strafrechtliche Verantwortlich-keit für illegale Inhalte im Internet, in: JA 2001,71; Thomas Hoeren, Vorschlag für eine EU-Richt-linie über E-Commerce. Eine erste kritische Ana-lyse, in: MMR 1999, 192; ders./Rufus Pichler,Zivilrechtliche Haftung im Online-Bereich, in:Loewenheim/Koch, Praxis des Online-Rechts,Weinheim (VCH) Verlag 1997; Bernd Holznagel,Zukunft der Haftungsregeln für Internet-Provi-der, in: K & R 1999, 103; ders., Verantwortlich-keiten im Internet und Free Speech am Beispielder Haftung für illegale und jugendgefährden-de Inhalte, in: ZUM 2000, 1007; Frank A. Koch,Zivilrechtliche Anbieterhaftung für Inhalte inKommunikationsnetzen, in: CR 1997, 193; Mi-chael Lehmann, Unvereinbarkeit des § 5 Tele-dienstgesetzes mit Völkerrecht und Europarecht,in: CR 1998, 232; Wolfram Lohse, Verantwortungim Internet, Münster 2000; Bernd Martenczuk,Die Haftung für Mediendienste zwischen Bun-des- und Landesrecht, in: ZUM 1999, 104; PetraMarwitz, Haftung für Hyperlinks, in: K & R 1998,369; Christian Pelz, Die strafrechtliche Verant-wortlichkeit von Internet-Providern, in: ZUM1998, 530; Rufus Pichler, Haftung des Host Pro-viders für Persönlichkeitsrechtsverletzungen vorund nach dem TDG, in: MMR 1998, 79; Satzger,Strafrechtliche Verantwortlichkeit von Zugangs-vermittlern, in: CR 2001, 109; Haimo Schack,

Neue Techniken und Geistiges Eigentum, in: JZ1998, 753; Martin Scharfer/Clemens Rasch/-Thorsten Braun, Zur Verantwortlichkeit von On-line-Diensten und Zugangsvermittlern für frem-de urheberrechtsverletzende Inhalte, in: ZUM1998, 451; Eric Schlachter, Cyberspace, The FreeMarket and the Free Marketplace of Ideas: Re-cognizing Legal Differences in Computer Bulle-tin Board Functions, in: Hastings Communicati-on and Entertainment Law Journal 16, 87; Jür-gen Schneider, Urheberrechtsverletzungen imInternet bei Anwendung des § 5 TDG, in: GRUR2000, 969; Ulrich Sieber, Verantwortlichkeit imInternet, München 2000; ders., StrafrechtlicheVerantwortlichkeit für den Datenverkehr in in-ternationalen Datennetzen, in: JZ 1996, 429 und494; ders., Kontrollmöglichkeiten zur Verhinde-rung rechtswidriger Inhalte in Computernetzen,in: CR 1997, 581 und 653; Gerald Spindler, De-liktsrechtliche Haftung im Internet – nationaleund internationale Rechtsprobleme, in: ZUM1996, 533; ders., Haftungsrechtliche Grund-probleme der neuen Medien, in: NJW 1997; ders.,Verschuldensabhängige Produkthaftung im In-ternet, in: MMR 1998, 23; ders., Verschuldens-unabhängige Produkthaftung im Internet, in:MMR 1998, 119; ders., Störerhaftung im Internet,K & R in: 1998, 177; ders., Die Haftung von On-line-Dienstanbietern im Konzern, in: CR 1998,745; ders., Dogmatische Strukturen der Verant-wortlichkeit der Diensteanbieter nach TDG undMDStV, in: MMR 1998, 639; ders. Verantwort-lichkeit von Diensteanbietern nach dem Vor-schlag einer E-Commerce-Richtlinie, in: MMR1999, 99; ders. Haftungsklauseln in Provider-Verträgen, in: CR 1999, 626; ders., E-Commer-ce in Europa. Die E-Commerce-Richtlinie in ihrerendgültigen Fassung, in: MMR-Beilage 7/2000,4; ders., Urheberrecht und Haftung der Provider –ein Drama ohne Ende?, in: CR 2001, 324; IriniVassilaki, Strafrechtliche Verantwortlichkeit derDiensteanbieter nach dem TDG, in: MMR 1998,630; Arthur Waldenberger, Zur zivilrechtlichenVerantwortlichkeit für Urheberrechtsverletzun-gen im Internet, in: ZUM 1997, 188; ders., Tele-dienste, Mediendienste und die „Verantwortlich-keit” ihrer Anbieter, in: MMR 1998, 129; Wim-mer, Die Verantwortlichkeit des Online-Providersnach dem neuen Multimediarecht, in: ZUM1999, 436.

12

3.1 Kollisionsrechtliche Vorfragen

Fraglich ist, welche kollisionsrechtlichen Vorga-ben über die Anwendbarkeit deliktsrechtlicherVorschriften entscheiden. Zu beachten ist hierArt. 40 EGBGB. Hiernach hat der Verletzte dieWahl zwischen dem Recht des Handlungs- unddem des Erfolgsortes. Dieses Wahlrecht muss erbis zum Beginn der ersten mündlichen Verhand-lung ausüben. Handlungsort ist regelmäßig derOrt, an dem der Server des Providers steht. Er-folgsort ist überall dort, wo die Homepage ab-gerufen werden kann; einige Gerichte stellen aufden „bestimmungsgemäßen“ Abruf ab. Ähnlichesgilt für das Strafrecht. Entscheidend ist hiernach § 9 StGB, ob der zum Tatbestand gehö-rende Erfolg im Sinne von § 9 StGB in Deutsch-land eingetreten ist, unabhängig vom Wohnsitzdes Angeklagten. In diesem Sinne hat der BGHeinen Australier wegen Volksverhetzung verur-teilt, der von Adelaide aus NS-Theorien überdas Internet verbreitete.1

3.2 Das Teledienstegesetz

Für das Straf- und Zivilrecht hat der Gesetzge-ber im Informations- und Kommunikationsdiens-tegesetz, genauer gesagt im Teledienstegesetz(TDG), Regeln festgesetzt, die wie ein Filter vorder Anwendung spezieller Haftungsregeln zuprüfen sind. Allerdings finden sich für Medien-dienste, zu denen auch einige Bereiche der On-line-Dienste gehören, besondere Regelungen imMediendienste-Staatsvertrag. Strittig ist überdiesdie Anwendbarkeit dieser Bestimmungen auf dasUrheberrecht, seitdem das OLG München in einerfragwürdigen Entscheidung eine Anwendungaufgrund des Wortlauts und der Entstehungs-geschichte von § 5 TDG ausgeschlossen hat.2

All diese Regelungen werden derzeit im Rahmendes so genannten Elektronischen Geschäftsver-kehrsgesetz (EGG) überarbeitet. Dieses Gesetz,das bislang nur in Entwürfen vorliegt, soll die

Vorgaben der EU-Richtlinie über bestimmte recht-liche Aspekte des elektronischen Handels (E-Commerce-Richtlinie) umsetzen. 3 Es wird im Fol-genden an geeigneter Stelle mitberücksichtigt.

Das TDG ist das Ergebnis eines harten Ringens.Nach zähen Verhandlungen zwischen den betei-ligten Ministerien, vor allem dem Bundesjustiz-,Bundesforschungs- und dem Bundesinnenminis-terium, sowie weiteren betroffenen Kreisenwurde, nach einem ersten Vorentwurf vom 6. Juni 1996, der erste amtliche Entwurf ausdem BMFT am 28. Juni 1996 der Öffentlichkeitvorgestellt. Es folgten eine Reihe verschiedenerinterner Texte, die teilweise über „dunkle Ka-näle“ an die Außenwelt drangen. Am 8. Novem-ber 1996 konnte der Referentenentwurf verab-schiedet werden, der am 11. Dezember 1996durch das Bundeskabinett gebilligt wurde. Da-mit war das Zittern um das weitere Schicksaldes Gesetzes noch nicht zu Ende. Erst nachschwierigen parlamentarischen Diskussionen pas-sierte das Gesetzespaket, in inzwischen mehr-fach veränderter Gestalt4, im Juni 1997 Bun-destag und Bundesrat und trat schließlich dochnoch am 1. August 1997 in Kraft5.

Das Gesetz unterscheidet drei verschiedeneProvider (genannt: „Diensteanbieter“). Nach § 5Abs. 1 TDG sind Diensteanbieter für eigene In-halte, die sie zur Nutzung bereithalten, nach denallgemeinen Gesetzen verantwortlich. Für dasBereithalten fremder Inhalte sind sie hingegennur verantwortlich, wenn sie von diesen Inhal-ten Kenntnis haben und es ihnen technisch mög-lich und zumutbar ist, deren Nutzung zu verhin-dern (§ 5 Abs. 2 TDG). Für fremde Inhalte, zudenen die Diensteanbieter nur den Zugang zurNutzung vermitteln, sind sie nicht verantwort-lich (§ 5 Abs. 3 S. 1 TDG). Diese Regelungen klin-gen erst langweilig und trocken. Doch hier spieltdie straf- und zivilrechtliche Musik.

1 Urteil des BGH vom 12.Dezember 2000 - 1 StR 184/00. 2 Urteil vom 8. März 2001 - 29 U 3282/00. Ähnlich auch

Schaefer/Rasch/Braun, ZUM 1998, 451; Waldenberger, MMR 1998,124, 127. Dagegen zu Recht kritisch Spindler, CR 2001, 324.

3 Siehe dazu Bröhl, MMR 2001, 67.

4 Beschlussempfehlung und Bericht des Ausschusses für Bildung, Wissen-schaft, Forschung, Technologie und Technikfolgenabschätzung, BT-DrS13/7934 vom 11. Juni 1997.

5 BGBl. I, 1870.

13

3.2.1 Der Content-Provider

Der Content-Provider ist ein Informationsliefe-rant. Bietet er eine Homepage im Internet an,muss er für deren Inhalt einstehen. Das neue Ge-setz verweist in § 5 Abs. 1 TDG deklaratorischauf die „allgemeinen Gesetze“. Die E-Commerce-Richtlinie ändert an dieser Rechtslage nichts.Es bleibt beim Grundsatz der Haftung des Con-tent Providers nach den allgemeinen Gesetzen.Im Folgenden sollen einige Überlegungen zur all-gemeinen Haftung von Content-Providern vor-gestellt werden.

Vertragliche Haftung

Für die vertragliche Haftung kann auf die allge-meinen Grundsätze des Zivilrechts zurückgegrif-fen werden, die neben der Sachmängelhaftungaus §§ 434, 440, 463, 480 Abs. 2 BGB auch dieGrundsätze der positiven Forderungsverletzungund der culpa in contrahendo zur Anwendungkommen lassen. Neben dieser allgemeinen Haf-tung hat der BGH jedoch eine besondere Ver-antwortlichkeit für Informationsdienste kreiert.In der Entscheidung „Börsendienst“6 hat der BGHangenommen, dass auch das formularmäßigeWerbeschreiben eines Börsendienstes das An-gebot zum Anschluss eines gesonderten Bera-tungsvertrages beinhalte, sofern die Anbieterdie Zuverlässigkeit und Richtigkeit ihrer Informa-tionen hervorhöben. Diese Rechtsprechung hatder BGH in den Folgejahren noch ausgeweitet.Hiernach bedarf es für einen solchen Beratungs-vertrag keiner besonderen Vereinbarung oder gareines schriftlichen Vertrages. Vielmehr sei, nachAnsicht des Bundesgerichtshofes, ein solcherAuskunftsvertrag stillschweigend abgeschlossen,wenn eine Auskunft erkennbar von erheblicherBedeutung und die Grundlage wichtiger Ent-scheidungen des Anwenders gewesen sei7. DerAnwender kann dann vollen Schadensersatz auspositiver Vertragsverletzung verlangen, wobeidie generelle dreißigjährige Verjährungsfrist gilt.

Allerdings sind diese Fälle durch das Vorliegeneiner bereits bestehenden vertraglichen Bindunggekennzeichnet gewesen. Im Falle etwa des Bör-sendienstes bestand ein Abonnement ähnlicherDauervertrag zwischen Herausgeber und Kunden,der auch durch Beratungselemente geprägt war8.Von daher kann die Entscheidungspraxis desBGH zu den Beratungsverträgen nur für das Ver-hältnis eines Users zu einem entgeltlichen On-line-Informationsdienst herangezogen werden.Allerdings kann eine solche vertragliche Haftungauch bei Verletzung vorvertraglicher Pflichtenüber culpa in contrahendo in Betracht kommen.Gibt etwa eine Sparkasse Anlageinformationenund kommt es aufgrund dessen zum Abschlusseines Online-Banking-Vertrages, liegt eine Haf-tung aus culpa in contrahendo nahe.

Hinsichtlich der vertraglichen Haftung kommteine Beschränkung der Haftung – etwa in All-gemeinen Geschäftsbedingungen – von vornhe-rein kaum in Betracht. Das AGBG und das BGBverbieten jeglichen Ausschluss sowie jeglicheBeschränkung der Haftung für arglistiges Ver-halten (§ 476 BGB), das Fehlen zugesicherter Ei-genschaften (§ 11 Nr. 11 AGBG) sowie vorsätzli-ches und grob fahrlässiges Verhalten im Rahmeneiner culpa in contrahendo oder einer positivenVertragsverletzung (§ 11 Nr. 7 AGBG). Zusätz-lich hat die Rechtsprechung aus § 9 Abs. 2 Nr. 2AGBG abgeleitet, dass auch für mittlere und leich-te Fahrlässigkeit des Lieferanten die Haftungnicht ausgeschlossen werden dürfe, sofern es umdie Verletzung vertragswesentlicher Kardinal-pflichten gehe9. Unwirksam sind daher folgen-de Vertragsbestimmungen10:

◆ „Jede Haftung für Mängel wird ausgeschlos-sen.“ 11

◆ „Für fahrlässiges Verhalten des Verkäuferswird nicht gehaftet.“ 12

6 BGH, NJW 1978, 997.7 BGH, NJW 1989, 1029; NJW 1986, 181.8 Siehe dazu auch Hopt, Festschrift für Fischer 1979, 237; Köndgen, JZ

1978, 389.9 Siehe dazu BGH, DB 1996, 1276.10 Vgl. hierzu auch Schneider, a. a. O., Rdnr. O 167, der zu Recht konstatiert,

dass die „Haftungsklauseln der Provider eher noch ‘Entwicklungsland‘ als die der Software-Anbieter“ seien.

11 Ähnlich die US-Disclaimers: „Limitation of Liability: You expressly under-stand and agree that Yahoo shall notbe liable for any direct, indirect, inci-dental, special, consequential or exemplary damages, including but not li-mited to, damages for loss or profits, goodwill, use, data or other intan-gible losses, resulting from the use or the inability to use the service...“.

12 OLG Köln, DAR 1982, 403.

14

◆ „Wir haften nicht für Mangelfolgeschäden,Datenverlust und entgangenen Gewinn“.13

◆ „Wir haften für Schäden (...) bis zur Höhe von... DM.“14

◆ „Wir schließen jegliche Haftung, soweit ge-setzlich zulässig, aus.“15

◆ „Wir schließen unsere Haftung für leicht fahr-lässige Pflichtverletzungen aus.“16

Zulässig bleibt nur eine Klausel wie folgt:

„Wir schließen unsere Haftung für leicht fahrläs-sige Pflichtverletzungen aus, sofern diese keinevertragswesentlichen Pflichten oder zugesicher-te Eigenschaften betreffen oder Ansprüche nachdem Produkthaftungsgesetz berührt sind. Glei-ches gilt für Pflichtverletzungen unserer Erfül-lungsgehilfen.“

Fraglich ist allerdings, ob es wirklich noch sinn-voll und mit dem AGB-rechtlichen Transparenz-gebot vereinbart ist, eine solche Klausel in einVertragswerk aufzunehmen. Denn schließlichmuss der Lieferant für alle wichtigen Pflichtver-letzungen und Leistungsstörungen aufkommenund kann die Haftung insoweit auch nicht aus-schließen. Letztendlich schuldet der Content Pro-vider daher im Rahmen von entgeltlichen Info-diensten vollständige und richtige Informatio-nen, ohne dass er seine Haftung ausschließenkönnte.

Im Übrigen gilt es zu beachten, dass sich dieMöglichkeiten zu einer Haftungsbeschränkungim Rahmen der Schuldrechtsmodernisierung er-heblich verschlechtern werden. Zunächst ist zuberücksichtigen, dass das AGBG aufgehoben undin das BGB übernommen werden wird (§§ 307 -309 BGB-RE). Nach § 309 Nr. 7 lit. b) BGB-RE sindHaftungsausschlüsse für grob fahrlässige Pflicht-verletzungen unzulässig. Unwirksam sind auch

Haftungsausschlüsse oder -beschränkungen beigrober Fahrlässigkeit, die Rechte nach §§ 280,281, 283 oder § 311a Abs. 2 betreffen (§ 309 Nr.8 lit. a). Individualvertraglich ist eine Beschrän-kung der Haftung bei Arglist oder Bestehens ei-ner Garantie unwirksam (§ 444 BGB-RE).

Der Spielraum für Haftungsklauseln nach demneuen BGB bleibt unklar. Denkbar wäre vielleichtfolgende an obige Klausel angelehnte Formu-lierung: „Wir schließen unsere Haftung für Pflicht-verletzungen aus, sofern es sich nicht um vorsätz-liche oder grob fahrlässige Pflichtverletzungenhandelt oder Ansprüche nach dem Produkthaf-tungsgesetz berührt sind. Gleiches gilt für Pflicht-verletzungen unserer Erfüllungsgehilfen und ge-setzlichen Vertreter.“

Deliktische Haftung

Zu beachten ist hier die Haftung für die Recht-mäßigkeit des Inhalts (etwa in Bezug auf Urhe-berrechtsverletzungen) und für die Richtigkeitdes Inhalts. Für die Rechtmäßigkeit des Inhaltsgelten die spezialgesetzlichen Haftungsbestim-mungen, etwa

◆ § 97 UrhG für Urheberechtsverletzungen

◆ §§ 14, 15 MarkenG für Domainfragen

◆ § 7 BDSG für Datenschutzverstöße oder

◆ § 1 UWG für rechtswidrige Marketingmaß-nahmen im Internet.

Für falsche Inhalte bei Content-Providern kommteine Haftung nach Maßgabe des Produkthaf-tungsgesetzes oder im Rahmen von § 823 Abs.1 BGB in Betracht. Insbesondere könnte dieRechtsprechung zur Haftung des Verlegers beiPrintmedien herangezogen werden. So hat derBGH eine Haftung des Herausgebers von Infor-mationsdiensten bejaht, soweit dieser infolge

13 LG Bayreuth, DB 1982, 1400; Erman/Hefermehl, § 11 Rdz. 6.14 Diese Klausel ist nach § 11 Nr. 11 für den Bereich der zugesicherten Eigen-

schaften gänzlich unwirksam. Sie wird für Ansprüche wegen c.i.c. oderpVV nur zugelassen, wenn alle vertragstypischen und vorhersehbarenSchäden abgedeckt sind (BGH, ZIP 1984, 971; BGH, BB 1980, 1011;BGH, NJW 1993, 335; Erman/Hefermehl, § 11 Nr. 7 AGBG, Rdnr. 15).Wann dies in concreto der Fall ist, lässt sich jedoch kaum feststellen; dem-nach ist die Klausel auf jeden Fall zu gefährlich.

15 Ein solcher Rettungsanker ist nicht erlaubt; er gilt als unzulässige salva-torische Klausel. Siehe BGH, NJW 1987, 1815; NJW 1985, 623, 627;OLG Stuttgart, NJW 1981, 1105.

16 BGHZ 49, 363.

15

grober Außerachtlassung der Sorgfaltspflichtfalsche Anlageempfehlungen verbreitet unddem Kunden dadurch Schaden entsteht17. Aller-dings ist dieser Fall dadurch gekennzeichnet,dass ein Abonnement ähnlicher Dauervertragzwischen Herausgeber und Kunden bestand, derauch durch Beratungselemente geprägt war18.Von daher kann auch diese Entscheidung nur fürdas Verhältnis eines Users zu einem entgeltli-chen Online-Informationsdienst herangezogenwerden.

Abseits vertraglicher Bindungen kommt eineHaftung nur bei Verletzung absoluter Rechts-güter in Betracht. Der BGH hat in der Kochsalz-Entscheidung betont, dass sowohl der Autor wieeingeschränkt der Verleger für fehlerhafte An-gaben in medizinischen Verlagsprodukten ein-stehen muss. Bei medizinischen Informationenkommt es in der Tat schnell zur Verletzung vonKörper und Gesundheit, beides geschützteRechtsgüter im Sinne von § 823 Abs. 1 BGB. Da-her ist bei der Bereitstellung von Gesundheits-tipps und medizinischer Werbung ein hohesHaftungsrisiko zu erwarten. Ähnliches gilt fürden Download von Software via Internet. Führtdieser zum Datenverlust, liegt eine Eigentums-verletzung im Hinblick auf die nicht mehr ein-wandfrei nutzbare Festplatte des Users vor.Dieser Haftung für Datenverlust kann sich derProvider aber durch Hinweis auf ein überwie-gendes Mitverschulden des Users (§ 254 Abs. 1BGB) entziehen, da dessen Schaden offensicht-lich auf einer fehlenden Datensicherung beruht.Wichtig sind diesem Bereich deutliche Warn-hinweise auf der Homepage: „Wir übernehmenkeine Gewähr für die Richtigkeit und Vollstän-digkeit der auf der Homepage befindlichen In-formationen.“

3.2.2 Der Access-Provider

Access-Provider, die einen Internet-Zugang an-bieten, sind für die insoweit erreichbaren Ange-

bote nach § 5 Abs. 3 TDG nicht verantwortlich.Gleichwohl wurde teilweise durch komplizierteKonstruktionen (Verantwortlichkeit nach § 5Abs. 4 TDG und den allgemeinen Strafgesetzenbei Kenntnis von rechtswidrigen Inhalten19, Mit-täterschaft mit dem eigentlichen Host-Provider20)versucht, die Access-Provider für die auf anderenals den eigenen Servern gespeicherten Inhalteverantwortlich zu machen. Diese, der eindeuti-gen Intention des Gesetzgebers widersprechen-den, Ansichten konnten sich aber bislang nichtweiter durchsetzen. Die Aufsehen erregende Ver-urteilung des ehemaligen CompuServe-Geschäfts-führers durch das AG München wurde in der Be-rufung zu Recht aufgehoben21. Die Freistellungvon der Verantwortung gilt übrigens auch fürdie auf Proxy Servern gespeicherten Inhalte; denndas Gesetz nimmt eine automatische und zeit-lich begrenzte Vorhaltung fremder Inhalte aus-drücklich von der Haftung aus (§ 5 Abs. 3 S. 2).

Hier greift künftig Art 12 der E-Commerce-Richt-linie ein. Hiernach ist der Diensteanbieter für dieDurchleitung von Informationen von der Ver-antwortlichkeit freigestellt. Eine Durchleitungliegt aber nur vor, wenn es um die Weiterleitungvon Nutzerinformationen oder um die Zugangs-vermittlung zu einem Kommunikationsnetz geht.Die Übermittlung darf nicht vom Diensteanbie-ter selbst veranlasst worden sein; nur passive,automatische Verfahren sind privilegiert (Erwä-gungsgrund 42). Sonderbestimmungen regelndas Caching (Art. 13).

3.2.3 Der Host-Provider

Schwieriger ist die Rechtslage bei fremden In-halten, die Provider zur Nutzung bereithalten (sogenannt Host-Providing). Sie sind dafür nach demWortlaut von § 5 Abs. 2 TDG („nur ... wenn“)grundsätzlich nicht verantwortlich. Eine Aus-nahme gilt nur, wenn dem Anbieter die Inhaltebekannt sind und es ihm technisch möglich undzumutbar ist, ihre Verbreitung zu verhindern.

17 BGH, NJW 1978, 997.18 Siehe dazu auch Hopt, Festschrift für Fischer 1979, 237; Köndgen, JZ

1978, 389.19 Einstellungsverfügung des Generalbundesanwalts, MMR 1998, 93 (DFN-

Verein) mit abl. Anm. Hoeren.

20 AG München, NJW 1998, 2836 (CompuServe) = MMR 1998, 429 mitabl. Anm. Sieber.

21 LG München, MMR 2000, 171.

16

Ausweislich der amtlichen Begründung des Ge-setzgebers zu § 5 Abs. 2 TDG soll eine Haftungdes Diensteanbieters also nur gegeben sein,wenn er die fremden rechtswidrigen Inhalte be-wusst zum Abruf bereit hält. Die Regelung istzunächst, was die Abgrenzung von Access- undService-Provider angeht, sehr extensiv formuliert.Der Provider würde damit auch die Verantwor-tung für alle Newsgroups übernehmen, die au-tomatisch auf seinem Server gespeichert werden.Letztendlich kann zwischen eigenen und fremdenAngeboten nur schwer unterschieden werden.Ist das Angebot eines Tochterunternehmens derDeutschen Bank AG ein eigener oder ein frem-der Inhalt? Ist die Grenze zwischen beiden Ka-tegorien gesellschaftsrechtlich zu bestimmen?

Ähnliche Bedenken bestehen hinsichtlich derFormulierung des subjektiven Tatbestands. DasTDG stellt auf die bloße Kenntnis von den In-halten ab. Damit soll die Haftung der Service-Provider auf Vorsatzstraftaten und -delikte be-schränkt werden. Es geht folglich um die unbe-dingte oder bedingte Kenntnis der objektivenTatbestandsverwirklichung. Hiermit konterkariertder Gesetzgeber seine eigenen Bemühungen, dieProvider zur innerbetrieblichen oder verbands-seitigen Selbstkontrolle zu verpflichten. Dennwenn die bloße Kenntnis vom Inhalt als subjek-tives Element ausreichen soll, wird niemand da-ran Interesse haben, Personal mit der Sichtungdes Online-Angebots zu beauftragen. Er wird viel-mehr auf jedwede Selbstkontrolle verzichten –getreu dem Motto: Nichts gesehen, nichts ge-hört. Auch das LG München hat dieses Problemgesehen. Seiner Auffassung nach würden beider amtlichen Auslegung des Art. 5 Abs. 2 TDGsowohl Art. 14 GG, als auch die Regelungen inArt. 8,10 und 14 WIPO-Vertrag unterlaufen.Selbst „bewusstes Wegschauen“ würde zu einemHaftungsausschluss führen. Dies könne nicht zu-gelassen werden22. Das Landgericht fordert, Prü-fungspflichten hinsichtlich der die Rechtswidrig-keit begründenden Umstände aufzunehmen. Eshätte sich auch angeboten, wenigstens für dieFälle eine Prüfungspflicht zu bejahen, in denenein Verstoß gegen Strafgesetze nahe liegt (etwabei der Bezeichnung einer Newsgroup als „alt.binaries.children-pornography“). Eine solche Prü-

fungspflicht bei eklatanter Missbrauchsgefahrhätte auch der geltenden Rechtslage im Zivil-und Strafrecht entsprochen. Art. 15 Abs. 1 derE-Commerce-Richtlinie sieht jedoch ausdrücklichvon einer Prüfungspflicht ab.

Im Übrigen reicht die bloße Kenntnis vom In-halt für die Bejahung eines rechtsrelevanten Vor-satzdeliktes nicht aus. Zum einen stellen Straf-und Zivilrecht für den Vorsatz nicht nur auf dieKenntnis ab, sondern verlangen auch ein volun-tatives Element. Man muss die Tatbestandsver-wirklichung nicht nur kennen, sondern auchwollen. Auf letzteres Element scheint der Ge-setzgeber verzichten zu wollen.

Für den Zivilrechtler ist auch das Fehlen jeglicherÜberlegungen zum Bewusstsein der Rechtswid-rigkeit auffällig. Die bloße Tatsache, dass ein Re-chenzentrumsmitarbeiter eine Newsgroup ge-sichtet hat, heißt ja noch nicht, dass er derenInhalt richtig, d. h. als Rechtsverstoß, bewertenkann. Zumindest für die zivilrechtliche Haftungschließt Vorsatz neben dem Wissen und Wollender Tatbestandsverwirklichung auch das Be-wusstsein davon ein, dass ein Angebot gegengeltendes Recht verstößt. Da diese Wertung ge-rade im noch fließenden Multimediarecht schwie-rig zu ziehen ist, hätte man sich hierzu Überle-gungen gewünscht. Der Gesetzgeber will jeden-falls die Garantenstellung erst dann bejahen,wenn ein Diensteanbieter die fremden rechts-widrigen Inhalte bewusst zum Abruf bereithält23.Dabei wird aber nicht deutlich, wie Rechtswid-rigkeit und Vorsatz zueinander in Beziehung ste-hen. Besser wird diese Frage in Art. 14 Abs. 1der E-Commerce-Richtlinie geregelt, wonach beiSchadensersatzansprüchen erforderlich ist, dassder Anbieter sich der Tatsachen und Umständebewusst ist, aus denen die rechtswidrige Infor-mation offensichtlich wird.

Deutlich dürfte auf jeden Fall sein, dass das TDGnicht nur geltendes Recht wiederholen, sonderndas Haftungssystem des Zivil- und Strafrechts inBezug auf Online-Dienste verändern soll. Wenndies der Fall ist, muss allerdings auch die Fragenach der zeitlichen Dimension des Gesetzes ge-stellt werden. An keiner Stelle enthält das Ge-

22 LG München I, Urteil vom 30.03.2000 (nicht rechtskräftig), MMR 2000, 434. 23 So auch die Begründung zum Referentenentwurf vom 08.11.96.

17

setz Regelungen zu der Frage, ob die Haftungs-bestimmungen auch auf Altfälle zur Anwendungkommen. Im Bereich des Strafrechts sind daherin der Regel nach § 2 Abs. 3 StGB die neuen Haf-tungsregeln des TDG als das mildere Gesetz an-zuwenden.

Wichtig ist eine klare Abgrenzung eigener undfremder Inhalte auf der Homepage: „Sie verlassenjetzt unser Internetangebot. Für den Inhalt derfolgenden Seiten ist der jeweilige Anbieter ver-antwortlich. Wir übernehmen insoweit keine Haf-tung.“

3.2.4 Haftung für Links

Besonders schwer fällt die Einordnung von Hy-perlinks24, da diese sich keiner der drei verschie-denen Gruppen des § 5 TDG eindeutig zuordnenlassen. Auch die E-Commerce-Richtlinie siehtkeine Regelung für die Verantwortung von Hy-perlinks vor. Zunächst ist bei den Hyperlinks zubeachten, dass ein Hyperlink als solcher nie eineHaftung auslösen kann. Ein Link ist nur eine tech-nische Referenz innerhalb eines HTML-Textes.Entscheidend ist daher die Aussage, die mit demLink – unter besonderer Berücksichtigung seinesinhaltlichen Kontextes – verbunden ist. So beton-te das Amtsgericht Berlin-Tiergarten25 als erstesGericht in Deutschland, dass sich die Verantwort-lichkeit des Link-Setzers nach dessen, mit demLink getroffenen Gesamtaussage richte. In demFall des Amtsgerichts ging es um die Abgeord-nete Angela Marquardt, die einen Link auf einenniederländischen Server gesetzt hatte, auf demsich die strafrechtlich verbotene Zeitschrift „Ra-dikal“ befand. Der Generalbundesanwalt hattedie Bundestagsabgeordnete in der Beihilfe zurBildung einer terroristischen Vereinigung ange-klagt und sah in dem Link auf die Zeitschrift denentscheidenden Unterstützungsbeitrag. DieserAnsicht hatte sich das Amtsgericht nicht ange-schlossen. Strafrechtlich relevant sei nur eine kon-krete Ausgabe der Zeitschrift „Radikal“ gewesen.Es hätten sich aber keine Feststellungen darübertreffen lassen, ob und vor allem wann die An-geklagte von der Einspeisung der rechtswidri-gen Ausgabe Kenntnis erlangt habe. Die bloße

Weiterexistenz des Links könne eine Strafbarkeitjedenfalls dann nicht begründen, wenn nichtpositiv festgestellt werden könne, dass die Ange-klagte den Link bewusst und gewollt in Kenntnisdes Inhalts und der Existenz der Ausgabe weiteraufrecht erhielt. Unter dem Gesichtspunkt derIngerenz könne an das Unterlassen einer regel-mäßigen Überprüfung des eigenen Links allen-falls der Fahrlässigkeitsvorwurf erhoben werden,der hier allerdings nicht relevant sei. Das (kurze)Urteil des Amtsgerichts verweist auf die entschei-dende Frage, welchen Aussagegehalt der Linkhaben kann. Solidarisiert sich jemand mit demrechtswidrigen Inhalt eines anderen durch dasSetzen eines Links, ist er so zu behandeln, als seier ein Content-Provider. Folglich kommt in die-sem Fall § 5 Abs. 1 TDG zum Tragen; der Link-Setzer haftet für die gelinkten Inhalte so, alswären es seine eigenen. Anders ist der Fall zu be-urteilen, wenn jemand sich den fremden Inhaltnicht zu eigen macht. Setzt jemand – etwa auswissenschaftlichem Interesse heraus – einenLink auf fremde Inhalte ohne jedweden Solidari-sierungseffekt, ist er wie ein Access Provider zubeurteilen, so dass § 5 Abs. 3 und 4 TDG zumTragen kommt. Eine Haftung scheidet in einemsolchen Fall regelmäßig aus. Im Strafrecht kommthinzu, dass der Grundgedanke des „in dubio proreo“ zu beachten ist. Im Zweifel besteht daher –im Ergebnis genauso wie das Amtsgericht Berlin-Tiergarten – keine Verantwortlichkeit für dasSetzen von Links auf strafrechtliche relevanteInhalte.

Anders ist die Grundkonzeption des Zivilrechts,das von dem Grundsatz „in dubio contra reum“ausgeht. Grundsatzurteil ist hier eine Entschei-dung des Landgerichts Hamburg26. Hierbei ginges um die Einrichtung einer Link-Sammlung zuso genannten Steinhövel-Haßseiten. Der betrof-fene Anwalt nahm den Link-Setzer wegen Ehr-verletzung in Anspruch. Das Landgericht Ham-burg verurteilte den Anspruchgenommenen, weiler sich nicht hinreichend von den ehrverletzen-den Äußerungen Dritter distanziert und sich die-selben durch seine Links zu eigen gemacht habe.Allerdings hat sich die Rechtsprechung auch hier-aus differenziert. So soll zum Beispiel ein Link von

24 Vgl z. B. LG Hamburg, Urteil vom 12. Mai 1998, CR 1998, 565 = NJW-CoR 1998, 302; AG Berlin-Tiergarten, Urteil vom 30. Juni 1997, CR1998, 111 mit Anm. Vassilaki.

25 CR 1998, 111.26 Urteil v. 12. Mai 1998, CR 1998, 565.

18

einem privaten Internetanbieter auf eine fremdeWebsite keine Haftung auslösen.27 Für Download-links wird eine Haftung bejaht.28 Die Haftungkann auch soweit gehen, dass wegen Förderungfremden Wettbewerbs für einen Link auf die nachdeutschem Recht wettbewerbswidrigen Seitender amerikanischen Muttergesellschaft gehaftetwird. 29

Diese differenzierte Betrachtung entspricht in-zwischen auch der herrschenden Meinung30. Nurnoch wenige versuchen eine analoge Anwen-dung von § 5 Abs. 2 TDG, die darauf hinauslaufenwürde, einen Link-Setzer ab und bei Kenntnis desInhalts zur Sperrung zu verpflichten und widrigen-falls eine Haftung zu bejahen31. Andere wollengrundsätzlich Hyperlinks dem Anwendungsbe-reich von § 5 Abs. 3 TDG unterwerfen32.

3.2.5 Haftung für sonstige Intermediäre

Die Rechtsprechung denkt auch über eine Haf-tung sonstiger Intermediäre nach. Nicht in Be-tracht kommen soll eine Haftung des Suchma-schinenbetreibers, etwa für markenrechtlicheUnterlassungsansprüche.33 Denn dieser stelle nurEinträge in ein Verzeichnis ein und unterliegedaher keiner Prüfungspflicht, es sei denn, eineRechtsverletzung ist offenkundig.

Ein Anbieter von Online-Auktionen muss sichnach Auffassung des LG Köln34 die Angaben inden Angeboten Dritter als eigene Inhalte zu-rechnen lassen. Im vorliegenden Fall hatte sichROLEX darüber beschwert, dass bei Ricardo Mar-kenrecht verletzende Replika von Rolex-Uhrenzum Verkauf angeboten wurden. Ricardo sah sichals Host-Provider, der erst nach Information durchRolex tätig werden muss. Das Landgericht schlosssich jedoch der Klägerin an und betrachtete dieAngebote als eigene Inhalte von Ricardo, da zu-mindest die Überschriften der Angebote von Ri-cardo als eigener Inhalt vorgestellt werden. Eineigener Inhalt liege auch vor, wenn aus der Sicht

des Nutzers eine Verquickung dergestalt statt-finde, dass Diensteanbieter und Fremdinhalt alsEinheit erscheinen. Insofern wurde Ricardo alsContent Provider wegen Markenrechtsverletzungzur Unterlassung verurteilt.

3.3 Der Mediendienste-Staatsvertrag

Unterschiede bei den Haftungstatbeständen fin-den sich im Mediendienste-Staatsvertrag. Zwarhaben die Bundesländer versucht, das TDG wei-testgehend zu kopieren. Jedoch konnten sie aufeine zusätzliche Sperrbefugnis zugunsten derLandesbehörden nicht verzichten (§ 5 Abs. 3 S.2 i.V.m. § 18 Abs. 3 MDStV). Weitaus größereSchwierigkeiten macht die Bestimmung der Reich-weite von § 5 Mediendienste-Staatsvertrag – ge-rade vor dem Hintergrund der von den Ländernso viel beschworenen verfassungsrechtlichen Be-stimmungen zur Gesetzgebungszuständigkeitvon Bund und Ländern. Die Abgrenzung vonBund- und Länderkompetenzen auf dem Gebietder Online-Dienste ist ein schwieriges Thema, daswährend der Vorbereitungen für das IuKDG zueiner Reihe kontroverser Diskussionen geführthat. Aufgrund eines im Juni 1996 verabschiede-ten Kompromisspapiers beanspruchen die Län-der die Regelungsbefugnis für Mediendienste fürsich. Hierzu zählen nach § 2 Abs. 2 Nr. 4 MDStVauch die Abrufdienste, bei denen Text-, Ton- oderBilddarbietungen auf Anforderung aus elektro-nischen Speichern zur Nutzung übermittelt wer-den, mit Ausnahme von solchen Diensten, beidenen der individuelle Leistungsaustausch oderdie reine Übermittlung von Daten im Vorder-grund steht. Diese Definition fügt sich nicht har-monisch in die Definition der Teledienste im TDG(siehe § 2 Abs. 1 TDG) ein. Auf diese Problematiksoll hier jedoch nicht näher eingegangen wer-den. Wichtiger ist die Tatsache, dass nach der De-finition des Mediendienste-Staatsvertrages eineReihe von Online-Diensten als Mediendienstezu qualifizieren sind und unter den Staatsvertragfallen. Dies gilt zum Beispiel für elektronische

27 OLG Schleswig, Urteil vom 19. Dezember 2000, K&R 2001, 220.28 LG Braunschweig, Urteil vom 6. September 2000, CR 2001, 47.29 Beschluss des Obersten Gerichtshofs Österreichs vom 19. Dezember 2000 –

4 Ob 225/00. 30 s. etwa Engel/Flechsig/Maennel/Tettenborn, NJW 1997, 2981, 2985;

Pichler, MMR 1998, 79, 87; Spindler, MMR 1998, 3193, 3198.

31 s. in diesem Sinne etwa Waldenberger, MMR 1998, 124, 128 f.32 Eichler/ Helmers/Schneider, RIW Beilage 12/1997, 23, 25; Koch, NJW-

CoR 1998, 45, 48; Koch, CR 1997, 193, 200 ff.33 LG München, Urteil vom 20. September 2000, MMR 2001, 56.34 Urteil vom 31. Oktober 2000, CR 2001, 417.

19

Forschungsjournale, zahlreiche Newsgroups undinhaltlich orientierte Homepages.

Die Länder haben nun zwar im Staatsvertrag dieHaftungsregelungen des Bundes übernommen.Sie besitzen jedoch keine Regelungskompetenzfür Fragen des Straf- und Zivilrechts (siehe Art.74 Nr. 1 GG). Die Haftungsbestimmungen im Me-diendienste-Staatsvertrag können sich daher vonvornherein nicht auf das Gebiet des Straf- undZivilrechts beziehen35. Statt dessen sanktionie-ren sie nur Verstöße gegen den Staatsvertragselbst. Theoretisch wäre zwar eine analoge An-wendung von § 5 TDG denkbar. Allerdings ver-bietet das TDG eine solche Analogie ausdrück-lich in § 2 Abs. 4 Nr. 3. Hiernach soll das Gesetznicht auf Mediendienste zur Anwendung kom-men.

Folglich kommt im Bereich des Mediendienste-Staatsvertrages eine Anwendung der klassischenRegelungen des Zivil- und Strafrechts in Betracht.Da diese – wie bereits ausgeführt – eine Prü-fungspflicht bei offenkundigen Verdachtsmomen-ten vorsehen, weichen die Haftungsbestimmun-gen von Mediendienste-Staatsvertrag und TDGentscheidend voneinander ab. Hier ist eine Klä-rung in der Praxis – insbesondere durch die Recht-sprechung – notwendig, um ein einheitlichesHaftungssystem für alle Online-Dienste zu etab-lieren. Auch die Verabschiedung der E-Com-merce-Richtlinie haben die Bundesländer nichtzum Einlenken bringen können; derzeit ist eineNovellierung des Staatsvertrages aufgrund derRichtlinie in Bearbeitung.

3.4 Versicherbarkeit

Das Haftungsrisiko führt zwangsläufig zu derFrage, inwieweit dieses Risiko versicherbar ist.Informationen darüber, ob und inwieweit einzel-ne Versicherungsunternehmen entsprechendePolicen vereinbaren, waren nicht erhältlich. Esist auch nicht bekannt, ob einzelne Unterneh-

men bereits Konzepte zur Absicherung solcherRisiken in Vorbereitung haben. Deshalb kannhier nur auf die Allgemeine Haftpflichtbedin-gungen (AHB)36 zurückgegriffen werden, um dieAnwendbarkeit der allgemeinen Betriebshaft-pflichtversicherung auf diesen Versicherungs-fall hin zu analysieren.37 Grundsätzlich deckt dieHaftpflichtversicherung deliktische Ansprüche,etwa aus § 823 Abs. 1 BGB, ab. Für vertraglicheSchadensersatzansprüche, die ebenfalls mitver-sichert sind, wird jedoch eine Absicherung derErfüllung von Verträgen ausgeschlossen (§ 4Abs. 1 Zi 6 Abs. 3 AHB): Der Content-Providerträgt also regelmäßig das Risiko dafür, dass seineentgeltlich zum Abruf angebotenen Informati-onen richtig und rechtmäßig erlangt sind. Vonder Versicherung ausgeschlossen sind ferner Haft-pflichtansprüche, wenn sie aufgrund Vertragesoder besonderer Zusage über den Umfang gesetz-licher Haftungstatbestände hinausgehen (etwabei zugesicherten Eigenschaften oder im Falledes oben erwähnten, zusätzlichen Beratungsver-trages). Für das Internet ist vor allem auch derHaftungsausschluss bei Schadenereignissenwichtig, die im Ausland eintreten (§ 4 Abs. 1 Zi3 AHB). Eine Absicherung für Urheber- oderPersönlichkeitsrechtsverletzungen mit Auslands-bezug ist damit über die Allgemeine Betriebs-haftpflichtversicherung nicht zu erreichen. DieVersicherung tritt schließlich auch nicht ein beiSchäden, die weder Personen- noch Sachschadensind (§ 1 Abs. 3 AHB), also etwa bei Datenausfalloder Betriebsstillstand. Diese Vermögensschädendürften aber diejenigen sein, die typischerwei-se im Online-Bereich auftreten. Die Unrichtig-keit einer Information führt nur selten zu un-mittelbaren Personen- oder Sachschäden. EineErweiterung des Versicherungsschutzes für Pro-vider ist deshalb notwendig.38. Diese Erweite-rung sollte dann – ähnlich wie bei Softwarehaft-pflichtversicherungen – die Haftung wegen be-sonderer Zusagen, im Falle der Nichterfüllungund der Auslandsberührung und für Vermögens-schäden einschließen.

35 Streitig, wie hier: Pichler, MMR 1998, 79 (80 f.); Gounalakis, NJW 1997,2993 (2995); a.A. Bettinger/Freytag CR 1998, 545 (547).

36 Abgedruckt bei Dörner (Hg.), Allgemeine Versicherungsbedingungen, 2.Aufl. München 1996, unter Zi 11.

37 Vgl. hierzu auch allgemein Schmidt-Salzer/Otto, Versicherungsrecht, in:Kilian/Heussen (Hg.), Computerrechtshandbuch, München Stand 1997,Kap. 112; Schulze Schwienhorst, CR 1995, 193.

38 In diesem Zusammenhang sei auf die heute übliche Mitversicherung derVerletzung des BDSG hingewiesen; siehe dazu Schmidt-Salzer/Otto, a. a.O., Kap. 112 Rdnr. 37 f.

20

Einleitung

Wie sicher ist sicher?

Das Web-Portal „Yahoo“, der Online-Buchhändler„Amazon.com“, das Auktionshaus „eBay“, dieShoppingsite „Buy.com“, der Fernsehsender „CNN“und der Online-Wertpapierhändler „Etrade“ –alle knickten Sie ein: Eine durch ein „Denial-of-Service-Programm“ ausgelöste Lawine von An-fragen sorgte im Februar 2000 dafür, dass IhreComputersysteme zusammenbrachen. Gefahrdroht den IT-Systemen nicht nur durch Securityrisks (Bedrohung und Sabotage durch Menschen)sondern auch Safety risks (rein technische Risi-ken).

Ein Grund für die hohe Angreifbarkeit von IT-Systemen ist die schnelle Entwicklung auf demIT-Markt. Es ist illusorisch zu glauben, dass esein 100 %ig sicheres System gibt. Ein Grund fürdie Anfälligkeit von IT-Systemen liegt in der vor-herrschenden Monokultur. In der Verschlüsse-lungstechnologie gibt es weltweit nur zwei An-bieter (Cisco und Checkpoint), die alle existie-renden Firewalls zur Verfügung stellen. Ist dieTechnologie eines Anbieters bekannt und wirdsomit angreifbar, hat dies verheerende Auswir-kungen auf das weltweite Internetgeschehen.

Der Markt für Betriebsysteme ist ebenfalls einOligopol. Fast jedes Unternehmen benutzt Mi-crosoft- oder Macintosh-Betriebssysteme. Diesschafft ein enormes Angriffspotenzial. Denn isterst eine Störung dieser Betriebssysteme be-kannt, kann damit eine globale Katastrophe aus-gelöst werden. Man stelle sich z.B. vor, ein Viruslöscht weltweit sämtliche „*exe“ und „*doc“-Dokumente.

Dass diese Vorstellung keineswegs unrealis-tisch ist, zeigt zum Beispiel der schon 1988 ent-standene „Morris-Wurm“, der 80 % des gesamtenInternets lahm legte. Und der Programmierfeh-ler, der für diese Katastrophe verantwortlich war,wurde bis heute nicht korrigiert. Ein ähnliches Sze-nario ist jederzeit wieder möglich.

Unsicherheitsfaktor Mensch

Warum lassen es Unternehmen zu, dass Ihre Sys-teme, trotz großer finanzieller und arbeitsinten-siver Bemühungen um Sicherheitslösungen, dieseshohe Angriffspotenzial aufweisen? Das Problemliegt weniger in der Technologie, sondern viel-mehr in marktpsychologischen und gesellschaft-lichen Zusammenhängen.

Die Herstellerfirmen von „security and safety“ Lö-sungen vermitteln den Kunden das Gefühl, dassIhre Produkte absolut sicher vor Fremdeinwir-kungen sind. Den Kunden fehlt jedoch häufigein fundiertes Risikoverständnis. Sie verlassen sichauf Herstellerzusagen, ohne eine firmeninterneRisikoanalyse durchzuführen.

Riskobewusstsein stärken

Risikobewusstsein ist eine notwendige Voraus-setzung für eine Minimierung der Gefahren. Erstwenn das gesamte Risikopotenzial erkannt wird,sind wirksame Sicherheitslösungen denkbar. EinRestrisiko wird jedoch immer bleiben. Das Kon-traG ist hierbei ein erster Schritt, um Unterneh-men die Notwendigkeit des Risk-Managementsbewusst zu machen. Technologische Redundan-zen sollten zur Sicherheit behalten werden undauch die Abhängigkeit von Monokulturen soll-te so gering wie möglich sein.

Das Management ist gefragt – besonders im E-Business

Für ein effizientes Risk-Management-Systembenötigt man viel Zeit und die will man nicht in-vestieren. Die Krise kommt von allein; für denErfolg sind Fachkenntnisse und Engagement er-forderlich. Immer mehr Unternehmen befindensich auf dem Weg in die wirtschaftliche Schiefla-ge. Die Gründe dafür sind nicht nur in den struk-turellen Veränderungen und dem sich verschär-fenden Wettbewerb zu suchen, sondern auchim Management, das auf Tendenzen und Ent-wicklungen nicht rechtzeitig reagiert.

4. Antwort des Versicherungsmarktes auf Online-Risiken –Schadenszenarien und Absicherungskonzeptevon Christoph J. Nießen

21

Daher muss aufgezeigt werden, weshalb einemaufmerksamen Management bei ausreichendenMaßnahmen zur Risikovorsorge und frühzeitigemGegensteuern fast immer genügend Zeit zur Kri-senvermeidung bleibt. Erforderlich ist dafür vorallem die Kenntnis von den häufigsten Krisenar-ten und ihren typischen Entwicklungen.

Während Liquiditätskrisen selbst für den Laienleicht erkennbar sind und Erfolgskrisen aus denJahresabschlüssen ermittelt werden können, blei-ben die vorausgehenden strategischen Krisenoftmals viel zu lange unbeachtet.

Erste Lösungsvorschläge

Methoden zur Risikobewertung müssen gefundenwerden, so dass Preise, Prämien und Eintrittswahr-scheinlichkeiten berechnet werden können. AuchRisikovergleiche können Internetrisiken detaillier-ter definieren: Birgt die digitale Signatur wirklichmehr Risiken als die handschriftliche, die eben-falls nicht fälschungssicher ist? Können Wettbe-werber mit Hilfe des Internets mehr geschädigtwerden als bisher durch unlauteren Wettbewerb?

Ermittlung der Total Cost of Risk

Für die effiziente und professionelle Erfassung,Bewertung und Analyse von Risikodaten benö-

tigen Sie ein Risk Management Informations-Sys-tem bzw. eine Software-Lösung.

Durch umfassende Datenbanken sowie flexibleandere manuelle Anwendungen von zahlenmäßi-gen und grafischen Aufbereitungen nach Ana-lyse von Risikodaten, erhalten Sie erstklassigeEntscheidungsplattformen für die Ergreifung undPriorisierung von Risikokontromaßnahmen zurReduzierung Ihrer „Total Cost of Risk“.

Dabei gilt es, darauf zu achten, dass die auf IhreAnforderungen und Bedürfnisse individuell zu-geschnittene Risikoanalyse stets ein ständigesUpdate erhält. Die Datenpflege erfolgt entwe-der direkt in webbasierten Datenbanken mit-tels benutzerfreundlicher Oberflächen oder überprogrammierte Links zu Datenquellen bei Ver-sicherern, Schadenregulierern etc.

Mit einer solchen Datenbank entsteht ein fle-xibles Reporting-Tool, die „Total Cost of Risk“zu bestimmen und zu analysieren, Kostentreiberzu identifizieren sowie Benchmarks oder Priori-täten zur Umsetzung von Risikokontrollmaßnah-men festzusetzen und zu verfolgen. Die nach-folgenden Grafiken zeigen neben der Erhöhungder Internetuser auch den Anstieg der Eintritts-wahrscheinlichkeiten bei Risikoereignissen.

Anzahl der eingetretenen Risikoereignisse

20.000

15.000

25.000

10.000

5.000

0

1996

1997

1998

1999

2000

2001

30.000

35.000

22

Errichtung eines Risikomanagement- und Über-wachungssystems

Eine neuere Studie der KPMG zeigt, dass Unter-nehmen der T.I.M.E.S – Märkte zu 45 % dasHackerrisiko als größtes Risiko einschätzen. In

einer Studie der Meta Group allerdings gehtman davon aus, dass 70 % der Bedrohung auf-grund von Missbrauch von Benutzerrechtenliegt. Die nachfolgende Darstellung soll die Ein-schätzungen der Risikopotenziale erleichtern.

Anzahl der Internetuser

400.000.000

300.000.000

500.000.000

200.000.000

100.000.000

0

1996

1997

1998

1999

2000

2001

600.000.000

Risiko/Marktentwicklung

Risikoanalyse und -bewertung

Risiko/Marktentwicklung

Risikomanagement

Risikopotenzial

Risikokontrolle

◆ Risikovermeidung

◆ Risikoverminderung

◆ Risikoüberwälzung

Risikotransfer

AlternativeRisikofinanzierung

Selbsttragung

Großrisiko

Mittleres Risiko

Kleines Risiko

23

Die Haftungsrisiken im E-Commerce entstehendurch die elektronische Kommunikation und diePräsentation von Inhalten auf der Website. Derdeutsche Gesetzgeber hat für die elektronischeKommunikation mit dem Signaturgesetz eineSicherheitstechnik definiert: die elektronischeSignatur. Das rechtliche Risiko der Website-Inhal-te wird durch die Verantwortlichkeitsregeln desTeledienstegesetzes bestimmt. Ein Maßstab fürdie unternehmerischen Pflichten zur Risikomini-mierung kann aus dem „Gesetz zur Kontrolle undTransparenz im Unternehmensbereich“ abgelei-tet werden.

5.1 Das Signaturgesetz: Ein Sicherheits-standard für die elektronische Kommu-nikation

In der elektronischen Kommunikation könnenNachrichten verfälscht und von Unberechtigtenabgegeben werden. Die Rechtsrisiken sind dieIntegrität der Information und die Authentizitätdes Absenders. Für Absender und Empfänger istdas weltweite Netz als Informationsmedium nurakzeptabel, wenn diese Risiken auf ein Minimumreduziert sind. Die Partner der Kommunikationmüssen sich darauf verlassen können, dass dieNachricht den Empfänger unverfälscht erreichtund der Absender für den Empfänger authen-tisch ist. Diese Sicherheit wird durch die Technikder elektronischen Signatur erreicht. Die elek-tronische Signatur ersetzt die Unterschrift, dieden Unterschreibenden charakterisiert und da-mit auf seine Authentizität hinweist, durch eineAlgorithmenkombination, den Hashwert. ZweiAlgorithmen ergänzen sich in einer einmaligenKombination zu einem Algorithmenpaar: Ein Al-gorithmus, der geheim bleibt und ein Algorith-mus, der öffentlich ist und unter dem der Inha-ber des Algorithmus identifiziert werden kann.Dieses Algorithmenpaar wird von einem ver-trauenswürdigen Dritten, einem Zertifizierungs-dienst, erzeugt und in Form einer Chipkarte demInhaber der elektronischen Signatur verliehen.

Der öffentliche Algorithmus wird von dem Zer-tifizierungsdienst in ein öffentliches Schlüssel-verzeichnis aufgenommen. Der Empfänger einerelektronisch signierten Nachricht kann den Ab-sender in diesem öffentlichen Schlüsselverzeichnisüber seinen öffentlichen Schlüssel identifizieren.Indem der Zertifizierungsdienst dieses öffentlicheVerzeichnis zuverlässig verwaltet, kann sich derEmpfänger auf die Identität des im öffentlichenVerzeichnis festgestellten Absenders verlassen:es besteht Authentizität der Nachricht. Erfüllendie technischen Komponenten der elektronischenSignatur Sicherheitsstandards, so wird der In-halt des elektronischen Dokuments geschütztund dies bedeutet Integrität. Dieses „Public KeyInfrastructure System“ kann durch die Anforde-rungen an Zertifizierungsdienste und technischeKomponenten unterschiedlich ausgestaltet wer-den. Höchste Anforderungen verlangt das Sig-naturgesetz für die qualifizierte elektronischeSignatur. Das „Gesetz über Rahmenbedingun-gen für elektronische Signaturen und zur Ände-rung weiterer Vorschriften“ ist am 22. Mai 2001in Kraft getreten.1 Dieses Gesetz löst das „Ge-setz zur digitalen Signatur“ vom 22.7.1997 abund setzt die Richtlinie des Europäischen Parla-ments und des Rates über gemeinschaftlicheRahmenbedingungen für elektronische Signa-turen vom 18.11.1999 um.

5.1.1 Die qualifizierte elektronische Signatur

Ziel der Signaturrichtlinie ist es, eine EU-einheit-liche Infrastruktur für elektronische Signaturensicherzustellen, an die konkrete Rechtswirkungengeknüpft sind. Deshalb ist in dem Signaturge-setz eine elektronische Signatur mit Rechtswir-kung vorgesehen, die den Anforderungen nachArtikel 5 Abs. 1 Richtlinie entspricht und als „qua-lifizierte elektronische Signatur“ bezeichnet wird.2

Die qualifizierte elektronische Signatur mussnach § 2 Nr. 2 und Nr. 3 SigG die folgenden Si-cherheitsanforderungen erfüllen. Sie muss

5. Haftungsrisiken im E-Commercevon Dr. Ivo Geis

1 Verkündet im Bundesgesetzblatt vom 21. Mai 2001 Teil I Nr. 22, abrufbar unter der Web Site des Bundeswirtschaftsministeriumswww.iukdg.de/Aktuelles.

2 Tettenborn, in: Geis (Hrsg.), Die digitale Signatur, Ziff. 2.2.2.

24

◆ ausschließlich dem Signaturschlüssel-Inha-ber zugeordnet sein und damit seine Identi-fizierung ermöglichen,

◆ mit Mitteln erstellt werden, die der Signa-turschlüssel-Inhaber unter seiner alleinigenKontrolle halten kann,

◆ mit den Daten, auf die sie sich bezieht, ver-knüpft sein, damit eine nachträgliche Verän-derung der Daten erkannt werden kann,

◆ auf einem qualifizierten Zertifikat beruhen,das von einem angemeldeten oder freiwilligakkreditierten Zertifizierungsdiensteanbietervergeben wird und

◆ mit einer sicheren Signaturerstellungseinheiterzeugt worden ist.

Nach diesem Qualitätssystem sind qualifizierteZertifikate nach § 2 Nr. 7 SigG Zertifikate, diedie Voraussetzungen des § 7 SigG erfüllen undvon Zertifizierungsdienstanbietern ausgestelltwerden, die alle Anforderungen des Signatur-gesetzes und der künftigen Signaturverordnungerfüllen. „Sichere Signaturerstellungseinheiten“sind nach § 2 Nr. 10 SigG Software- oder Hard-wareeinheiten zur Speicherung oder Anwen-dung des jeweiligen Signaturschlüssels, die fürqualifizierte elektronische Signaturen bestimmtsind und die Gesetzesanforderungen erfüllen.Die Schlüsselrolle in dem Signatursystem habendanach die Produzenten und Lieferanten quali-fizierter elektronischer Signaturen, die qualifi-zierten Zertifizierungsdienste.

5.1.2 Qualifizierte Zertifizierungsdienste

Entsprechend den Vorgaben der EG-Signatur-richtlinie sind durch das Signaturgesetz zweiKlassen von Zertifizierungsdiensteanbietern ent-standen: angemeldet Zertifizierungsdienste undfreiwillig akkreditierte Zertifizierungsdienste.

Die Aufnahme der Tätigkeit als Zertifizierungs-diensteanbieter ist der zuständigen Behördenach § 66 des Telekommunikationsgesetzes an-

zuzeigen, § 4 Abs. 3 S.1 SigG. Mit der Anzeigeist schriftlich darzulegen, dass die erforderlicheZuverlässigkeit und Fachkunde vorhanden istund die übrigen Voraussetzungen für den Betriebeines Zertifizierungsdienstes nach diesem Ge-setz und der Rechtsverordnung nach § 24 SigGvorliegen.3

Die freiwillige Akkreditierung nach Art. 3 Abs.2 EG-Signaturrichtlinie ist ein Angebot an EU-Mitgliedstaaten, die bereits wie Deutschland undItalien die digitale Signatur gesetzlich geregelthaben, ihr bestehendes System als freiwilligesSystem EU-rechtskonform aufrechtzuerhalten.Von dieser Möglichkeit macht das Signaturge-setz Gebrauch. Auf Antrag können Zertifizie-rungsdiensteanbieter, die qualifizierte Zertifi-kate ausstellen, von der zuständigen Behördeakkreditiert werden, § 15 Abs. 1, S. 1 SigG. DieAkkreditierung ist zu erteilen, wenn Zertifizie-rungsdiensteanbieter vor Aufnahme ihrer Tätig-keit nachweisen, dass die Vorschriften nachdiesem Gesetz und der Rechtsverordnung nach§ 24 SigG erfüllt sind, § 15 Abs. 1 S. 2 SigG. Ak-kreditierte Zertifizierungsdiensteanbieter erhal-ten ein Gütezeichen, § 15 Abs. 1, S. 3 SigG. Mitdiesem Gütezeichen wird der Nachweis zumAusdruck gebracht, dass die technische und ad-ministrative Sicherheit für die auf ihren qualifi-zierten Zertifikaten beruhenden qualifiziertenelektronischen Signaturen umfassend geprüftworden ist, § 15 Abs. 1 Nr. 4 SigG. Diese Zertifi-zierungsdienste dürfen sich als „akkreditierte Zer-tifizierungsdiensteanbieter“ bezeichnen und sichim Rechts- und Geschäftsverkehr auf die nach-gewiesene Sicherheit berufen, § 15 Abs. 1, Satz5 SigG. Durch diese freiwillige Akkreditierungbleibt das Sicherheitsniveau für elektronischeSignaturen vollständig erhalten, das durch dasSignaturgesetz 1997 entstanden ist.

5.1.3 Vergabe der qualifizierten elektronischenSignatur

Um erstmals ein Signaturschlüssel-Zertifikat zuerhalten, muss sich der Antragsteller gemäß § 5SigG bei einer Annahmestelle eines qualifizier-ten Zertifizierungsdienstes mit einem gültigenPersonalausweis oder Reisepass ausweisen und

3 § 4 Abs. 2 SigG.

25

einen schriftlichen Antrag auf ein Zertifikat stel-len. Der Antragsteller muss gegenüber dem Zer-tifizierungsdienst angeben, ob und inwieweit dieNutzung des Signaturschlüssels beschränkt wer-den soll. Ein Beispiel hierfür ist das Kreditlimit.Im Zertifikat wird das Kreditlimit und die Bankals Referenzstelle angegeben, die auf AnfrageAuskunft erteilt, ob ein bestimmter Betrag nochgedeckt ist. Dies dient der Schadensbegrenzung,falls Unbefugte in den Besitz der Karte gelan-gen sollten.

Vertretungsrechte, Vollmachten und berufsrecht-liche Zulassungen können in einem zusätzlichenAttribut-Zertifikat bescheinigt werden. Damitkönnen diese Rechte im elektronischen Verkehrnachgewiesen werden. Um Vertretungsrechtefür einen Dritten in ein Zertifikat aufzunehmen,müssen diese zuverlässig nachgewiesen seinund muss der Dritte gegenüber dem Zertifizie-rungsdienst schriftlich oder durch elektronischsignierte Erklärung sein Einverständnis gegebenhaben. Damit eine berufsrechtliche oder sonsti-ge Zulassung in ein Zertifikat aufgenommenwird, genügt es, bei dem Zertifizierungsdienstdie Zulassungsurkunde vorzulegen.

Die Zertifizierungsdienste sind verpflichtet, denAntragsteller über seine Schutz- und Sicherungs-pflichten zu informieren, vor allem über den sorg-fältigen Umgang mit dem Signaturschlüssel,über den Schutz der Identifikationsdaten, überdie Verwendung des Zeitstempels und über dieErneuerung elektronischer Signaturen, § 6 SigG.Der Zertifizierungsdienst nimmt die von ihm aus-gestellten Zertifikate in ein öffentliches Zertifi-katverzeichnis auf, das online abgefragt werdenkann. 4

Verletzt der Zertifizierungsdiensteanbieter dieVorschriften des Gesetzes oder der Rechtsver-ordnung, so haftet er gegenüber einem Drittenfür den daraus entstehenden Schaden, wenndieser in redlicher Weise auf die Angaben indem qualifizierten Zertifikat vertraut hat, § 11Abs. 1 SigG. Hat der Zertifizierungsdiensteanbie-ter die Verletzung nicht zu vertreten, so ist dieHaftung ausgeschlossen, § 11 Abs. 2 SigG. Um

den Schadensersatz sicherzustellen, hat der Zer-tifizierungsdiensteanbieter eine geeignete Min-destdeckungsvorsorge von 500.000 DeutscheMark zu treffen, § 12 SigG.

5.2 Das Formgesetz

Mit der EG-Signatur-Richtlinie wird die quali-fizierte elektronische Signatur der Unterschriftgleichgestellt, damit im EU-Binnenmarkt Rechts-sicherheit für die elektronische Kommunikationentsteht. Diese europarechtliche Anforderungist durch das „Gesetz zur Anpassung der Form-vorschriften des Privatrechts und anderer Vor-schriften an den modernen Rechtsgeschäftsver-kehr“ umgesetzt worden, das am 22. Juni 2001von Bundestag und Bundesrat verabschiedetworden ist.5

5.2.1 Die gesetzliche elektronische Form § 126Abs. 3 BGB

Die „elektronische Form“ ersetzt die gesetzlicheSchriftform, wenn sich nicht aus dem Gesetzetwas anderes ergibt. Die gesetzliche elektroni-sche Form wird durch die qualifizierte elektroni-sche Signatur erfüllt, § 126 Abs. 3 BGB. Der Aus-steller der elektronischen Form muss dem Textseinen Namen hinzufügen und das elektroni-sche Dokument mit einer qualifizierten elektro-nischen Signatur nach dem Signaturgesetz ver-sehen, § 126a Abs. 1 BGB. Bei dem Abschlusseines Vertrages müssen die Parteien nach § 126aAbs. 2 BGB ein gleich lautendes Dokument elek-tronisch signieren. Dies ist nach der Begründungdes Formgesetzes zulässig, da in diesem Falle dieBeteiligten ausdrücklich oder durch schlüssigesHandeln die elektronische Form als Ersatz fürdie Schriftform gebilligt haben.6 Das Formgesetzsieht nach Art. 1 Nr. 7-11 fünf Ausnahmen vondieser Regel vor. Nicht in elektronischer Formkönnen erteilt werden: die Kündigung des Ar-beitsvertrages gemäß § 623 BGB, das Zeugnisgemäß § 630 BGB, die Bürgschaftserklärunggemäß § 766 BGB, das Schuldversprechen ge-mäß § 780 BGB und das Schuldanerkenntnisgemäß § 781 Satz 1 BGB.

4 Bieser/Kersten, Elektronisch unterschreiben, S. 49 ff.5 BGBl. I Nr. 35 vom 18. Juli 2001, s. 1542 ff.

6 Begründung S. 6.

26

Für die elektronische Kommunikation zwischenStaat und Bürgern ist die qualifizierte elektro-nische Signatur eine Bedingung: Die qualifizierteelektronische Signatur wird nach dem „Entwurfdes Verwaltungsverfahrensgesetzes“ als Ersatzfür die gesetzliche Schriftform von Verwaltungs-akten verlangt, nach dem „Gesetz zur Senkungder Steuersätze“ für den Vorsteuerabzug aufGrund elektronischer Rechnungen, nach der „So-zialversicherungsordnung“ für die Archivierungelektronischer Dokumente der gesetzlichen Ver-sicherung, nach der „Verordnung für die Verga-be öffentlicher Aufträge“ für das Vergabever-fahren.

Höchste Beweisqualität für elektronische Erklä-rungen wird durch die qualifizierte elektronischeSignatur akkreditierter Zertifizierungsdienste er-reicht. Mit dem Gütezeichen der akkreditiertenZertifizierungsdiensteanbieter wird nach § 15Abs. 1 S. 4 SigG „der Nachweis der umfassend ge-prüften technischen und administrativen Sicher-heit für die auf ihren qualifizierten Zertifikatenberuhenden qualifizierten elektronischen Sig-naturen zum Ausdruck gebracht“. Damit ist dieQualität qualifizierter elektronischer Signaturenakkreditierter Zertifizierungsdienste durch unab-hängige Dritte umfassend geprüft, bestätigt unddokumentiert. Sie repräsentieren damit nachge-wiesene Sicherheit. Hierauf kann sich ein Gerichtin seiner freien Beweiswürdigung beziehen.

Das Formgesetz sieht zu Gunsten des Empfän-gers einer elektronischen Erklärung eine Vermu-tungsregel vor. Für den Empfänger spricht nach§ 292a ZPO der Anschein der Echtheit einer inelektronischer Form vorliegenden Willenserklä-rung. Diese Vermutungsregel ist das Risiko desInhabers einer elektronischen Signatur, wennsie von Dritten ohne den Willen des Inhabersbenutzt wird. Nur in einem Ausnahmefall kannsich der Inhaber der elektronischen Signaturvon diesem Risiko befreien: Wenn er Tatsachenvorträgt, die es ernsthaft als möglich erschei-nen lassen, dass die Erklärung nicht mit seinemWillen abgegeben worden ist. Mit dem Wort„ernsthaft“ ist das Risiko für den Signatur-Inha-ber gekennzeichnet. Er sollte sich darauf ein-

stellen, dass er dem Empfänger haftet, wenn erdurch fehlerhaftes Verhalten Unberechtigten er-möglicht, seine elektronische Signatur zu nut-zen.7

5.2.2 Die vereinbarte elektronische Form § 127Abs. 3 BGB

Ist die Schriftform nicht durch Gesetz vorge-schrieben, so kann die elektronische Form ver-einbart werden. In diesem Falle genügt eine an-dere Signatur als die qualifizierte elektronischeSignatur nach dem Signaturgesetz, § 127 Abs.3 BGB. Dies sind elektronische Signaturen nach§ 2 Nr. 1 SigG und fortgeschrittenen elektroni-sche Signaturen nach § 2 Nr. 2 SigG.

Elektronische Signaturen sind Daten in elektro-nischer Form, die anderen elektronischen Da-ten beigefügt oder logisch mit ihnen verknüpftsind und die zur Authentifizierung dienen, § 2Nr. 1 SigG. Diesen Anforderungen wird keinerleiIntegritäts- und Authentifizierungsfunktion bei-gemessen. Der Anwendungsfall der elektroni-schen Signatur ist das fälschbare Dokument mitder vom Unberechtigten eingescannten Unter-schrift.8 Unter diesen Begriff der elektronischenSignatur fallen auch biometrische Verfahren,die einem Text beigefügt sind. Biometrische Ver-fahren können sich zu einer Technik der Zu-gangssicherheit zu elektronischen Signaturenjeder Qualität entwickeln. So könnte die elek-tronische Signatur statt durch eine PIN durcheinen elektronischen Fingerabdruck aktiviertwerden, um als elektronische Signatur genutztwerden zu können.

Die fortgeschrittene elektronische Signatur mussnach § 2 Nr. 2 SigG vier Funktionen erfüllen.Sie muss

◆ ausschließlich dem Signaturschlüssel-Inhaberzugeordnet sein und

◆ damit seine Identifizierung ermöglichen,

◆ mit Mitteln erstellt werden, die der Signatur-schlüssel-Inhaber unter seiner alleinigen Kon-trolle halten kann,

8 Roßnagel, NJW 2001, 1817, 1819.7 siehe hierzu die Begründung zu § 292a ZPO S. 52 des Referentenentwurfs.

27

◆ mit den Daten, auf die sie sich bezieht, ver-knüpft sein, damit eine nachträgliche Ver-änderung der Daten erkannt werden kann.

Ein Anwendungsfall ist das Signaturverfahren„Pretty Good Privacy“ (PGP), das von unterneh-mensinternen und unternehmensexternen Zer-tifizierungsdiensten vergeben wird. Anforderun-gen an die Sicherheit der organisatorischenProzesse der Schlüsselverwaltung und der tech-nischen Komponenten bestehen nicht.9

Im Ergebnis bedeutet dies, dass die vereinbarteelektronische Form durch elektronische Signa-turen ersetzt werden kann, die nicht durch ei-nen qualifizierten Zertifizierungsdienst vergebenund verwaltet werden. Dies ist für die rechts-sichere elektronische Kommunikation im E-Com-merce wichtig: Es ist nicht notwendig, qualifi-zierte elektronische Signaturen zu benutzen,sondern es reichen elektronische Signaturen.

Elektronische Signaturen, die nicht die Anforde-rungen an qualifizierte elektronische Signaturenerfüllen, erreichen nicht deren Beweisqualität.Damit ist die Entscheidung des Gerichts im Rah-men der freien Beweiswürdigung schwer einzu-schätzen. Sie ist von der Ordnungsmäßigkeitder Archivierung, der technischen Qualität derelektronischen Signaturen und der Vertrauens-würdigkeit der Zertifizierungsdienste abhängig.

5.3 Rechtsrisiken der Website-Inhalte

5.3.1 Die Web Site als Teledienst

Werden Informationen in einer Web Site zumAbruf bereitgehalten, so ist dies eine eindeuti-ge Situation: Es sind dies elektronische Informa-tions- und Kommunikationsdienste, die für eineindividuelle Nutzung mittels Telekommunikati-on bestimmt sind. Individuell ist die Nutzung,da die Informationen nur durch das Aufrufender Web Site zugänglich ist. Telekommunikati-on ist nach der Definition des § 3 Nr. 16 TKGgegeben, da die Nachrichten durch elektromag-

netische oder optische Signale, also durch Tele-kommunikationsanlagen gemäß § 3 Nr. 17 TKGübertragen und empfangen werden. Teledienstdurch Telekommunikation ist nicht auf Infor-mationen beschränkt, sondern umfasst gemäߧ 2 Abs. 2 Nr. 5 TDG auch das Angebot vonWaren und Dienstleistungen.10 Im Ergebnis istdamit die Web Site als Teledienst zu qualifizie-ren. Mit dem Teledienst der Web Site wird überWaren und Dienstleistungen informiert undwerden Waren und Dienstleistungen zum Down-loading bereitgestellt.11

5.3.2 Die Verantwortlichkeit für eigene Inhalte

Für eigene Inhalte, die auf der Web Site ange-boten werden, wird die Haftung gemäß § 5 Abs.1 TDG nach allgemeinem Recht begründet. Diesist damit ein Bereich, der durch das Gewährleis-tungsrecht und Produkthaftungsrecht geprägtwird. Damit besteht für eigene Inhalte eine un-eingeschränkte Verantwortlichkeit. Bei eigenenInhalten besteht kein Grund für eine Privilegie-rung. Wer als Diensteanbieter eigene Inhalte an-bietet, kann dies in aller Regel kontrollieren, daer sie selbst ausgewählt hat.12 Damit ist dieserDiensteanbieter auch in vollem Umfang für dieInhalte dieser Dienste verantwortlich: Er haftetalso bei falscher Produktinformation nach denGrundsätzen des Produkthaftungsrechts und istfür fehlerhafte Produkte, die er auf der Web Sitezur Verfügung stellt, nach dem Gewährleistungs-recht verantwortlich.

5.3.3 Die Verantwortlichkeit für fremde Inhalte

§ 5 Abs. 2 TDG enthält eine Begrenzung der Ver-antwortlichkeit: Diensteanbieter sind für frem-de Inhalte, die sie zur Nutzung bereithalten, nurdann verantwortlich, wenn sie von diesen In-halten Kenntnis haben und es ihnen technischmöglich und wirtschaftlich zumutbar ist, derenNutzung zu verhindern. Diese Haftungsbegren-zung privilegiert die „Host-Provider“. Für dieseist es aufgrund der gespeicherten Datenmen-gen unmöglich, alle fremden Inhalte zur Kennt-

9 Roßnagel, NJW 2001, 1817, 1819.10 Siehe zur Definition der Dienstleistung: Koch, CR 1997, 193, 196 f. und

Spindler, NJW 1997, 3193, 3195.

11 Spindler, NJW 1997, 3193, 3195.12 Sieber, Verantwortlichkeit im Internet, S. 140.

28

nis zu nehmen und auf ihre Rechtmäßigkeit zuprüfen. Nur wenn sie Kenntnis von diesen Inhal-ten erlangen und es ihnen wirtschaftlich zumut-bar und technisch möglich ist, sind sie verpflich-tet, die Nutzung der Inhalte zu verhindern.13

Diese Verantwortlichkeit ist in dem Urteil desLandgerichts München I in strenger Form inter-pretiert worden: Hält der Inhaber einer Web SiteChatrooms bereit und werden von den Nutzernin diesen Chatrooms rechtswidrige Inhalte ab-geladen, so ist der Inhaber der Web Site für die-se Inhalte verantwortlich, wenn er grob fahr-lässig keine Kenntnis von den Inhalten hatte.14

Das entscheidende Ergebnis dieser Rechtspre-chung ist: Kenntnis der rechtswidrigen Inhalteim Sinne von § 5 Abs. 2 TDG wird bei grob fahr-lässiger Unkenntnis angenommen. Dies ent-spricht der Vorgabe durch die E-Commerce-Richt-linie und deren Umsetzung durch den Entwurfdes „Gesetzes über rechtliche Rahmenbedin-gungen für den elektronischen Geschäftsver-kehr“15

Das Zugangverschaffen gemäß § 5 Abs. 3 TDGist ein Haftungsprivileg. Die Vorschrift schließtdie Verantwortlichkeit der Diensteanbieter fürfremde Inhalte aus, zu denen sie lediglich denZugang verschaffen. Suchmaschinen sind dertypische Fall für dieses Zugangverschaffen. DieGründe für diesen Haftungsausschluss der „Ac-cess Provider“ sind technischer und rechtspoli-tischer Art. Technisch ist eine Kontrolle der Da-ten in weltweiten Netzen nicht möglich. Rechts-politisch ist eine Kontrolle des internationalenDatenverkehrs nicht wünschenswert, denn diesbedeutete die Kontrolle persönlicher Daten, diedurch das Datenschutzrecht und das Fernmel-degeheimnis geschützt werden.16 In der deut-schen Rechtsprechung ist das Haftungsprivilegdes Zugangverschaffens nur in einem Fall hoch-gradiger Konzernabhängigkeit angenommenworden.17 Deshalb muss im Ergebnis davon aus-gegangen werden, dass fremde Inhalte die Ver-antwortlichkeit des Website-Inhabers nach § 5Abs. 2 TDG begründen.

5.3.4 Die Verantwortlichkeit für Links

Das Internet lebt von Links: Mit dem Hyperlinkwird auf eine Homepage verwiesen, der Deeplinkzielt unter Umgehung der Homepage direkt aufdie Web Site mit der gesuchten Information, derInlinelink lässt den Nutzer nicht erkennen, dassdie Information von einer anderen Web Sitestammt.

Der Hyperlink führt nicht zu einem Haftungs-privileg nach § 5 Abs. 3 TDG. Denn der Hyper-link vermittelt nicht „lediglich den Zugang zurNutzung“ im Sinne einer unterschiedslosen undunkontrollierbaren technischen Durchleitungvon Daten vergleichbar einer Suchmaschine.18

Wenn dieses Haftungsprivileg nicht gilt, dannist der Hyperlink als Bereithalten fremder In-halte nach § 5 Abs. 2 TDG zu bewerten und istder verlinkende Website-Inhaber im Falle posi-tiver Kenntnis und grob fahrlässiger Unkenntnisfür den rechtswidrigen und fehlerhaften Inhaltverantwortlich.

Bei Deeplinks soll es auf den Eindruck ankom-men, der beim durchschnittlichen Nutzer hervor-gerufen wird. Ergibt sich aus der Anbieterken-nung, dass ein fremder Inhalt bereitgehaltenwird, so spricht dies für das Bereithalten frem-der Inhalte nach § 5 Abs. 2 TDG.19

Der Inlinelink, der den Nutzer nicht erkennenlässt, dass er auf eine andere Web Site weiterverzweigt wird, wird als Bereithalten eines ei-genen Inhalts gemäß § 5 Abs. 1 TDG gewertet.Der Inhaber der Web Site macht sich in diesemFalle den fremden Inhalt zu eigen. Er ist damitfür diesen Inhalt wie für eigenen Inhalt verant-wortlich und haftet für ihn nach allgemeinenGesetzen.20

Die Verantwortlichkeit für die kaskadenartigeEntwicklung der Links von Web Site zu WebSite ist eine offene Rechtsfrage. Es soll evidentsein, dass für Inhalte, die sich aus der kaskaden-

13 Sieber, Verantwortlichkeit im Internet, S. 141.14 LG München I Urteil vom 30.3.2000, MMR 2000, 431.15 Der Entwurf ist verfügbar unter http://www iukdg.de.16 Sieber, Verantwortlichkeit im Internet, S. 142.17 LG München I Urteil vom 17.11.1999, MMR 2000, 171.18 So Waldenberger, MMR 1998, 124, 128; Plaß, WRP 2000, 599, 608;

Koch, MMR 1999, 704, 706; Spindler, NJW, 1997, 3193, 3198.

19 So Plaß, WRP 2000, 599, 609.20 So LG Lübeck, U.v.24.11.1998, MMR 1999, 686 = CR 1999, 650 f. ;

Schack, MMR 2001, 9, 16. Spindler, NJW 1997, 3193, 3197 f.; zum Beleidigungsschutz bei Inlinelinks: LG Hamburg, CR 1998, 565 ff. und die Anmerkung von Bettinger/Freytag, CR 1998 545 ff.

29

artigen Entwicklung der Links ergeben, nichtgehaftet werden soll.21 Mit dem Rechtsgedankender adäquaten Kausalität könnte die Beschrän-kung der Verantwortlichkeit für rechtswidrigeInhalte auf die verlinkte Web Site begründetwerden.

An dieser Rechtslage wird sich in Zukunft nichtsändern. Die E-Commerce-Richtlinie sieht keineRegelung für Links vor. Damit wird auch die Um-setzung der E-Commerce-Richtlinie durch das„EGG-Gesetz über rechtliche Rahmenbedingun-gen des elektronischen Geschäftsverkehrs“ keineRegelung für die Verantwortlichkeit von Linksbieten.22 Es bleibt damit bei der Verantwort-lichkeit für die Inhalte von Links.

Im Ergebnis führt das Linking zur Verantwort-lichkeit für den Inhalt. Dieses Risiko kann durchVereinbarungen zwischen den Inhabern der bei-den Web Sites, die verlinkt sind, reduziert wer-den. Dies bietet sich vor allem in bestehendengesellschaftsrechtlichen Vertragsbeziehungen,wie Konzernen, an. Bestandteil sollten jedenfallsdie folgenden Regeln sein:

◆ Die Verantwortung für den Inhalt der Linkswird von dem Inhaber der verlinkten WebSite getragen.

◆ Der Inhaber der verlinkten Web Site ver-pflichtet sich, in regelmäßigen wöchentli-chen/monatlichen Abständen den Inhaltauf seine Richtigkeit zu kontrollieren.

◆ Werden Fehler festgestellt, so werden diesevon dem Inhaber der verlinkten Web Siteunverzüglich berichtigt.

5.3.5 Ausschluss der Verantwortlichkeit durchDisclaimer

Im Verhältnis vom Web Site-Inhaber zum Nut-zer wird versucht, die Haftung durch so ge-nannte „Disclaimer“ auszuschließen. Die Gren-zen für Disclaimer sind durch die Anforderungen

des „Gesetzes über Allgemeine Geschäftsbedin-gungen“ eng gezogen. Eine Orientierung in derDiskussion um den Umgang mit AllgemeinenGeschäftsbedingungen auf der Website bietetjedenfalls der Grundsatz, dass der Nutzer nichtzu benachteiligen ist. Dies verlangt auch das ei-gene Interesse: Riskante Inhalte, die zu einemSchaden des Nutzers führen, machen die Web-site uninteressant. Deshalb sollte in dem Dis-claimer auf die Mühen um richtige Inhalte hin-gewiesen werden und auf das spezifische Risikoim Netz, dass sich Inhalte ändern können.

5.4 Fazit: Der Sorgfaltsmaßstab desKonTra-Gesetzes

Das „Gesetz zur Kontrolle und Transparenz imUnternehmensbereich (KonTraG)“ vom 27. April199823 verpflichtet den Vorstand einer Aktien-gesellschaft, „geeignete Maßnahmen zu treffen,insbesondere ein Überwachungssystem einzu-richten, damit den Fortbestand der Gesellschaftgefährdende Entwicklungen früh erkannt wer-den.“24 Es handelt sich um eine gesetzliche Her-vorhebung der allgemeinen Leitungsaufgabedes Vorstandes gemäß § 76 AktG, zu der auchdie Organisation gehört. Die Verletzung dieserOrganisationspflicht kann zur Schadensersatz-pflicht führen, § 93 Abs. 2 AktG. Die konkreteAusformung der Pflicht ist von Bedingungen,wie der Größe, Branche, Struktur und dem Kapi-talmarktzugang des jeweiligen Unternehmensabhängig. Mit der Pflicht des Vorstandes, einÜberwachungssystem einzuführen, korrespon-dieren die erweiterten Pflichten des Abschluss-prüfers. Der Abschlussprüfer ist verpflichtet,diese Maßnahmen zu beurteilen und hierüberdem Aufsichtsrat zu berichten. Dabei hat derAbschlussprüfer zu beurteilen, ob das vom Vor-stand einzurichtende Überwachungssystem sei-ne Aufgaben erfüllen kann, § 317 Abs. 4 HGB.25

Das Ergebnis dieser Prüfung ist in einem be-sonderen Teil des Prüfungsberichts darzustellen.Hierbei ist darauf einzugehen, ob Maßnahmenerforderlich sind, um das interne Überwachungs-

21 Schack, MMR 2001, 9, 15; Sieber, MMR-Beil. 2/1999, S. 15, 18.22 Bröhl, MMR 2001, 67,71.23 BGBl. Teil I S.786-794.

24 § 91 Abs. 2 AktG eingeführt durch Artikel 1 Nr. 9 KonTraG.25 § 317 Abs. 4 HGB eingeführt durch Artikel 2 Nr. 6 KonTraG.26 Eingeführt in das HGB durch Artikel 2 Nr. 9 KonTraG.

30

system zu verbessern, § 321 Abs. 4 HGB.26 Indas GmbH-Gesetz sind entsprechende Regelun-gen nicht aufgenommen worden. Es wird da-von ausgegangen, dass für Gesellschaften mitbeschränkter Haftung je nach ihrer Größe,nichts anderes gilt und die Neuregelung Aus-strahlungswirkung auf den Pflichtenrahmen derGeschäftsführer auch anderer Gesellschaftsfor-men hat.27 Diese Rechtspflicht, den Fortbestandeines Unternehmens zu sichern, besteht auchfür die elektronische Kommunikation eines Un-

ternehmens und seine Präsenz im Internet. Diegegebenen Maßnahmen sind die elektronischeSignatur im Interesse der Rechts- und Beweis-sicherheit der elektronischen Kommunikationund die Kontrolle des Website-Inhalts auf Feh-lerlosigkeit und Rechtmäßigkeit. Jedenfalls sinddie Verwendung elektronischer Signaturen undein Qualitätssicherheitssystem für Website-In-halte Kriterien für die Risikominimierung der In-ternetpräsenz.

27 Begründung des Regierungsentwurfs zu § 91 Abs. 2 AktG in Ernst/Sei-bert/Stuckert, KonTraG Textausgabe, S. 53.43

31

Herr Jörg Roth absolvierte nach dem ersten ju-ristischen Staatsexamen eine Ausbildung zumFachjuristen Wirtschaft und Informatik. An-schließend arbeitete er bei zwei führenden EDV-Schulungsunternehmen als EDV-Referent undSchulungsleiter. 1997 machte sich Herr Rothselbstständig und ist seit dieser Zeit Leiter desUnternehmens JRC Training im Bereich IT-Trai-ning und Support. Schwerpunkte seiner Tätig-keiten sind die umfassende Integration von Of-fice-Anwendungen, Internet und Back-Office.

Herr Prof. Dr. Thomas Hoeren ist seit April 1997Universitätsprofessor an der Westfälischen Wil-helms-Universität in Münster. Er hat Rechtswis-senschaften an den Universitäten Münster, Tü-bingen und London studiert und arbeitete nachStaatsexamina, Promotion und Habilitation zu-nächst an der Heinrich-Heine-Universität in Düs-seldorf. Seit April 1996 ist Herr Professor Hoe-ren auch Richter am OLG Düsseldorf, seit 1998Mitherausgeber der Zeitschrift „Multimedia undRecht“. Er ist Autor zahlreicher Veröffentlichun-gen, insbesondere in den Gebieten Informations-,Telekommunikations- sowie Medienrecht.

Herr Christoph J. Nießen arbeitete nach demStudium der Wirtschaftswissenschaften mehre-re Jahre als Kundenbetreuer der Abteilung Woh-nungswirtschaft der Funk-Gruppe in Berlin. Da-nach war er Mitarbeiter des Vertriebes in derAON Jauch & Hübener Gruppe in Hamburg. SeitApril 2000 ist Herr Nießen Account Managerbei der Marsh GmbH in Hamburg und dort so-wohl für nationale als auch für internationaleKunden im Vertrieb zuständig. Außerdem ist erfür Verbandsarbeit und Public Relations verant-wortlich.

Herr Dr. Ivo Geis ist Rechtsanwalt in der Hambur-ger Kanzlei Ortner, Geis, Dobinsky und arbeitetspeziell im Recht der Informationstechnologie.Er engagiert sich für die Lösung von Rechtsfra-gen der Informationstechnologie und ist Leiterdes Arbeitskreises „Rechtsfragen der digitalenKommunikation“ der Arbeitsgemeinschaft fürwirtschaftliche Verwaltung e.V. Herr Dr. Geis istVorsitzender der Hamburger Datenschutzgesell-schaft und Verfasser zahlreicher Aufsätze zumThema „elektronische Kommunikation im Ge-schäftsverkehr“.

6. Referenten

Bisher erschienen:

Nr.1M. Rehfeld, N.A. Sittaro, E. Wehking

Psychische FolgeschädenEin Problem in der Unfall- und

Haftpflichtversicherung

Nr.2J. Brollowski, A. Kelb, H. Lemcke, E. Wehking

E+S Rück FachtagungHaftpflichtschaden

und Psyche

Alle Rechte vorbehalten. Nachdruck oder Übersetzung mit

Angabe der Quelle gestattet. Die Urheberrechte hat die E+S Rück.

Erschienen im Februar 2002

Herausgeber:

E+S Rückversicherungs-AG

Karl-Wiechert-Allee 50

30625 Hannover

Tel. 0511/56 04-0

Fax 0511/56 04-11 88

www.es-rueck.de

Autoren:

Dr. Ivo GeisProf. Dr. Thomas HoerenChristoph NießenJörg Roth

Ansprechpartner:

Jörg-Christian Deister

Tel. 0511/56 04-13 69

[email protected]

oder

Andreas Kelb

Tel. 0511/56 04-13 00

[email protected]