Telemedicus Logo
Weiterempfehlen Drucken

Nach den jüngsten Wikileaks-Veröffentlichungen ist ein regelrechter Cyber-Krieg entbrannt. Während Unternehmen Wikileaks die Zusammenarbeit aufkündigen, schlafen auch die Unterstützer nicht. Nach der breit angelegten Spiegelung von Wikileaks, gibt es nun Protestaktionen gegen wikileaks-feindliche Unternehmen. In den vergangenen Tagen wurden z.B. die Internetseiten von Paypal, Amazon und Mastercard angegriffen.

Im Rahmen der von anonymen Hackern initiierten Operation „Payback“ wird derzeit dazu aufgerufen, seinen Rechner freiwillig in ein Botnetz einzubinden und so zu den Aktionen beizutragen. Eine noble Geste oder ein teurer Fehler?

Denial of Service

Denial-of-Service-Attacken haben das Ziel, eine Internetseite durch dauernde Anfragen zu überlasten und damit unerreichbar zu machen. Durch DoS-Attacken entstehen große finanzielle Schäden. Jeder der mit macht, verursacht diese Schäden mit und es ist nicht zu erwarten, dass alle Angriffsopfer das auf sich sitzen lassen.

Strafbarkeit

Zunächst werden die Unternehmen wahrscheinlich Anzeige gegen Unbekannt erstatten, bzw. die Strafverfolgungsbehörden von sich aus ermitteln. Schlimmstenfalls kann man für die Teilnahme an einem DDoS-Angriff also strafrechtlich belangt werden. Da man verhindert, dass die Anfragen der normalen Besucher der Internetseite ankommen, bzw. bearbeitet werden, kommt z.B. eine Datenveränderung nach § 303a StGB in Betracht, für die bis zu zwei Jahre Freiheitsstrafe oder Geldstrafe vorgesehen sind. Hat der Angriff Erfolg, handelt es sich sogar um eine Computersabotage gem. § 303b StGB, womit sich das Strafmaß auf bis zu drei Jahre erhöht. Daneben können im Einzelfall noch weitere Straftatbestände verwirklicht sein, weiterführend dazu ein etwas älterer Beitrag im Law-blog.

Zivilrechtliche Haftung - Jeder trägt das volle Risiko

Daneben haben die Unternehmen auch einen Schadensersatzanspruch gegen die Teilnehmer. Dieser ergibt sich etwa aus § 823 Abs. 1 BGB wegen eines rechtswidrigen Eingriffs in den eingerichteten und ausgeübten Gewerbebetrieb, aus § 823 Abs. 2, da auch gegen eine Strafnorm verstoßen wird und aus § 826 BGB, weil es sich um eine vorsätzliche sittenwidrige Schädigung des Unternehmens handelt.

Die Unternehmen sind außerdem in der komfortablen Lage, gar nicht alle Angreifer ermitteln zu müssen, um an ihr Geld zu kommen. Die Angreifer haften nämlich gem. §§ 840, 421 BGB „gesamtschuldnerisch”. Das heißt, dass jeder zunächst gegenüber dem Opfer verpflichtet ist, für den vollen Schaden aufzukommen. Das Unternehmen kann sich also einen Einzelnen oder ein paar Aktivisten greifen, die es überführen kann und von diesen den gesamten Schaden ersetzt verlangen.

Dies kann für die Betroffenen den sicheren Ruin bedeuten. Zwar könnten sie von den anderen Teilnehmern deren jeweiligen Schadensanteil verlangen, tragen aber auch das Risiko, wenn dies nicht gelingt. Zum Beispiel, weil sich nicht alle „Mittäter” ermitteln lassen oder einzelne zahlungsunfähig sind. An dieser Stelle ist nicht mehr so viel Solidarität zu erwarten. Wer sich erwischen lässt, wird zum Bauernopfer. Und das wären wahrscheinlich die unerfahrenen Mitläufer, nicht die versierten Hacker. Konkret kann man bei einem Angriff auf ein Großunternehmen mit mindestens fünfstelligen Forderungen rechnen. Wer schon in die Mühlen der Strafjustiz geraten ist, kann sich ziemlich sicher sein, in Folge auch noch mit den Schadensersatzansprüchen konfrontiert zu werden, hat also gleich doppelt Pech.

Unterstützen, aber anders!

Wer die Aktionen als Online-Demonstrationen versteht, hat die falschen Parallelen gezogen. Wer seine Meinung kundtun will, kann dies selbstverständlich auch im Internet frei tun, genauso wie man offline die Möglichkeit hat, demonstrieren zu gehen. Die Teilnahme an DDoS-Attacken ist aber keine friedliche Demonstration, sondern ein steinewerfender Mob. Und da versteht unsere Rechtsordnung keinen Spaß.

Wer legal und ohne das Ansehen der Sache zu beschädigen für Wikileaks und die Meinungs- und Pressefreiheit kämpfen will, der hat dazu die Möglichkeit. Man kann Öffentlichkeit schaffen, informieren, aufklären. Man kann auch rein verbal zum großen Shitstorm beitragen, so dass dieser auch offline spürbar wird. Auch der persönliche Boykott der Unternehmen ist ein probates Mittel. Die Masse der Unterstützer hat ein gewaltiges Machtpotential. Diese Energie in DDoS-Attacken verpuffen zu lassen bringt nichts. Wer klug ist und wirklich etwas bewegen will, macht sich nicht strafbar, sondern engagiert sich sinnvoll und produktiv. Und am besten über den momentanen Hype hinaus.

„Das Arsenal des digitalen zivilen Ungehorsams” bei metronaut.de.

Kritische Stimmen von Netzpolitik.org zu DDoS-Angriffen als Protestaktion.

Ein erstes (niederländisches) Bauernopfer hat die Geschichte schon.
Anzeige:

Kommentare

* Doos 10.12.2010 13:05
...aber nur diese Attacken sind wirklich zu spüren für die Unternehmen.

Ich denke das richtige Mittel. Wenn Unternehmen meinen Sie können Politik machen, dann müssen Sie damit rechnen, dass sowas passiert.

Und all das ist erst der Anfang....die Folgen sind noch nicht anzusehen....aber Sie werden die Welt verändern....ein Krieg ohne Waffen....aber mit Daten....Und der Verlierer steht schon fest....es wird der sein der davon anhängig ist.......
* chi 10.12.2010 13:07
„Auch der persönliche Boykott der Unternehmen ist ein probates Mittel.“ – Leider ist das nicht so einfach, speziell bei den Zahlungsdienstleistern (wobei einer ja schon angefangen hat, etwas zurückzurudern): Es gibt einfach nicht genug Konkurrenz auf dem Markt. Ist die willkürliche Aussperrung bei so einem Oligopol nicht ein Fall für das Kartellrecht?
* someone 10.12.2010 13:34
Es würde sicherlich viele Teilnehmer des Angriffs als auch nichtbeteiligte interessieren welcher legale Weg hier als alternative gemeint ist.
Wie Doos schon geschrieben hat: die Angriffe sind von den Firmen zu spüren, eine Petition (so wie eigentlich alle geduldeten Demonstrationsformen) ist aber nur ein moralischer Appell. Man kann heutzutage nicht erwarten damit bei firmen irgendwas zu verändern wenn es schon bei Regierungen nicht klappt.
Die Öffentlichkeit braucht ein Druckmittel für ihre öffentlichen Interessen, das auch wirklich ein Druckmittel ist.
* code 10.12.2010 13:58
Naja, für das Unternehmen dürfte es schon ziemlich schwierig sein, einen kausalen Schaden darzulegen. Von der Frage der Anwendbarkeit deutschen Rechts mal ganz abgesehen.
* Adrian 10.12.2010 14:05
@someone: Wer ist denn "die Öffentlichkeit", die ein Druckmittel braucht? Die Befürworter von Wikileaks sind viele, aber bei weitem nicht "die Öffentlichkeit". Genau deshalb setzt ein Rechtsstaat bei der Durchsetzung von Forderungen Grenzen: Damit sich nicht derjenige durchsetzt, der zu den krassesten Mitteln greift.

Davon abgesehen: Wikileaks will Transparenz schaffen - um die Demokratie zu stärken und die Freiheit der Bürger zu schützen. Wie kann man ein solches Projekt damit "verteidigen", dass man Demokratie und Rechtsstaat mit Füßen tritt und die Freiheiten anderer (in diesem Fall der Unternehmen und ihrer Kunden) einschränkt?

Paypal, Amazon und Mastercard haben eine moralische Entscheidung getroffen, Wikileaks nicht unterstützen zu wollen. Damit mögen sie bestehende Verträge verletzt haben, das müsste man im Einzelfall prüfen. Grundsätzlich ist es aber Bestandteil der Vertragsfreiheit, dass man sich aussuchen kann, mit wem man Verträge schließt.

Man kann diese Unternehmen dafür kritisieren und man kann sie boykottieren. Man kann auch versuchen, die Öffentlichkeit gegen sie aufzubringen, man kann staatliche Maßnahmen fordern, man kann sie als Vertragspartner verklagen.

Man darf aber nicht das Recht selbst in die Hand nehmen. Es ist aber nicht Aufgabe eines wütenden Mobs, Vertragsverletzungen zu bestrafen oder seine Moralvorstellungen durch Zwang durchzusetzen. Nichts anderes findet gerade bei diesen DDoS-Aktionen statt: Der Wille einiger sollen anderen aufgezwungen werden. Und das kann nicht im Sinne von Wikileaks sein.

@code: Also einen kausalen Schaden bei einer DDoS-Attacke nachzuweisen halte ich jetzt nicht für übermäßig schwierig. Arbeitsstunden, entgangener Gewinn, technische Schutzmaßnahmen, alles leicht nachzuweisen. Es bestehen Logfiles, die die Attacken nachweisen können, zum Teil bekennen sich einige Nutzer ja sogar öffentlich dazu, an solchen Angriffen mitgewirkt zu haben. Wo ist das Problem?
* lutterworth 10.12.2010 14:06
könnte man die finanziellen einbussen besser beschreiben?

wenn eine webseite ein paar stzunden (oder nur minuten) nicht erreichbar ist - was ist das denn schon für ein schaden?

ansonsten zeigt der fall dass es an der zeit ist alternative bezahlsysteme einzuführen. paypal und konsorten haben das lange genug monopolisiert. ein fall für flattr?
* Thiemo Wenck 10.12.2010 15:05
Die vermissten Legalen Mittel stehen direkt im Anschluss. Die öffentliche Meinung ist schon ein Druckmittel, da die Unternehmen weitgehend von ihrem Ruf bei den Konsumenten abhängig sind. Leidet der Ruf stark genug, verliert zum einen die Marke stark an Wert, was durch Werbung ausgeglichen werden muss und zum anderen wird ein gewisse Anteil tatsächlich weniger oder garnicht mehr mit dem Unternehmen Geschäfte machen.

Zu Jens Ferners Bemerkung über Twitter, dass die strafrechtlichen Aspekte etwas kurz gekommen sind, das stimmt, sollte aber auch bewusst nicht der Schwerpunkt sein. Dass es verboten ist, wissen im Grunde alle, nur nicht, dass es wirklich teuer werden könnte.

Der Schaden dürfte sich im Einzelfall schon nachweisen lassen, schon weil der Angriffszeitraum ja meist überschaubar ist. Da fallen zusätzliche Personalkosten zur Krisenbewältigung an, man ruft möglicherweise zusätzliche Leistungskontingente ab oder hat einfach einen messbar höheren Traffic, der irgendwo abgerechnet wird. Letztlich wird man wohl auch mit einem statistischen Beleg der Einnahmenausfälle durchkommen, da die Datenlage für eine solche Berechnung genügend konkrete Vergleichsdaten bietet.
Eventuell Wartungsarbeiten, falls bei einem Angriff ein System abstürzt, ich bin sicher, da lassen sich im Zweifelsfall eine Menge Posten finden, die sich auch konkret berechnen und nachweisen lassen. Schwierig wäre z.B. ein Markenwertverlust als Schaden, da das nicht konkret genug sein dürfte.

Jeder Konsument, der eine Seite gezielt ansurft und feststellt, dass sie nicht erreichbar ist, verliert ein wenig Vertrauen in die Stabilität des Systems des Anbieters und in dessen sonstigen Sicherheitsvorkehrungen, etwa beim Datenschutz.
* Adrian 10.12.2010 15:19
@lutterworth: Sie fragen sich nicht ernsthaft, inwiefern ein Schaden entsteht, wenn ein Shopping-Portal wie Amazon in der Vorweihnachtszeit ein paar Stunden nicht erreichbar ist? Oder bei ein Zahlungsdienstleister wie Paypal, über den hunderttausende Zahlungen pro Tag abgewickelt werden, wobei an jeder Zahlung sowohl ein Kunde, als auch ein Händler steht.

Abgesehen davon sind die Ausfallzeiten bei DDoS-Attacken nur ein Kostenpunkt von vielen. Es müssen Leute eingesetzt werden, die versuchen, einen solchen Angriff abzuwehren, es entsteht immenser Traffic, der bezahlt werden will, Produktionsprozesse kommen zu Stillstand, und, und, und.

Denail of Service Attacken sind kein Spaß! Gerade bei großen Anbietern sind die Auswirkungen nicht abzusehen, wenn der laufende Betrieb zum Stillstand kommt. Und die Folgen können sich auch auf völlig Unbeteiligte erstrecken. Nicht nur bei Großunternehmen, sondern gerade auch bei kleineren Webangeboten, wo andere Kunden auf dem selben Server liegen oder der gesamte Betrieb eines Rechenzentrums beeinträchtigt wird.

Und das alles im Namen der Freiheit.
* code 10.12.2010 16:26
@adrian: Vielleicht versteh' ich es auch technisch nicht richtig, aber wie unterscheidet man denn die illegalen von legalen Zugriffen? Das halte ich schon für wichtig, denn die Handlung des Täters muss kausal für den Schaden sein. Ganz zu schweigen von der "Absicht, einem anderen Nachteil zuzufügen", die der Geschädigte wohl auch erstmal darlegen müsste.

Die Frage, ob Arbeitsstunden und Schutzmaßnahmen als Schaden geltend gemacht werden können, halte ich jetzt auch nicht für ganz unproblematisch.

Was den entgangenen Gewinn angeht, hilft vielleicht § 287 ZPO, da stimme ich zu.

Und wie wir zur Anwendung deutschen Rechts kommen, ist immer noch unklar.

Nur, um keinen falschen Eindruck zu erwecken - ich teile die rechtliche Bewertung ja durchaus. Ich sehe halt nur einige erhebliche praktische Probleme bei der Durchsetzung.
* Adrian 10.12.2010 17:33
@code: Das kommt natürlich immer etwas auf den Fall an, inwiefern man legale von illegalen Hits unterscheiden kann. Wenn von einer IP-Adresse aus dutzende oder hunderte Zugriffe unmittelbar nacheinander erfolgen, deutet das schon sehr auf einen Angriff hin. Es gibt auch spezielle Software, die darauf ausgelegt ist, Logfiles auszuwerten und anhand spezieller Muster DoS-Attacken zu erkennen. Notfalls muss ein Gutachter ran. Aber wegen der gesamtschuldnerischen Haftung kann man sich ja auch einfach den eindeutigsten Fall aus der Masse raus picken.

Kausal war der Zugriff auf jeden Fall, denn der Schaden tritt ja erst durch die Masse der Zugriffe ein - der Angriff eines Einzelnen richtet keinen Schaden an, alle zusammen sehr wohl (dürfte ein Fall der kumulativen Kausalität sein). Und wenn man einen Zugriff einer DoS-Attacke zuordnen kann, sehe ich auch kein Problem bei der Adäquanz.

Notfalls könnte man auch noch an § 830 I S. 2 BGB denken.

Was eine direkte Schädigungsabsicht, bzw. Vorsatz oder Fahrlässigkeit angeht, kann man sicher ein Beweisproblem bekommen, das sehe ich ein. Hier macht es dann Sinn, straf- und zivilrechtliche Maßnahmen zu koordinieren. Sprich: Die Staatsanwaltschaft guckt sich den Rechner an. Und bei solchen koordinierten Aktionen, bei denen vor allem Freiwillige mitwirken, lassen sich sicher Indizien finden. Im Idealfall hat der Betroffene im Netz schon rum posaunt, dass er an der "Operation Payback" teilnimmt.

Was Arbeitsstunden und Schutzmaßnahmen (besser: Abwehrmaßnahmen) angeht, hab ich vor allem an den Fall gedacht, wo man externe Arbeitskraft buchen muss, um die Auswirkungen des Angriffs zu bewältigen. Das kommt natürlich darauf an, wie genau die Infrastruktur bei der betroffenen Webseite gemanaged wird.

Anwendbarkeit deutschen Rechts würde ich spontan aus Art. 40 Abs. 1 EGBGB herleiten.
* Simon Möller 10.12.2010 18:54
Ich sehe keine Nachweisprobleme bezüglich Vorsatz/Fahrlässigkeit. Wer eine Webseite in einer Minute über 100-mal aufruft, hat klar Vorsatz bezüglich einer Schädigung. Auch bezüglich des kausalen Schadens sehe ich kein Problem, wenn auch eher wg. § 249, § 252 BGB als wegen § 287 ZPO. Zur Anwendbarkeit deutschen Rechts vgl. Art. 40 Abs. 1 S. 2 EGBGB.

Den einzigen Pferdefuß sehe ich bei der gesamtschuldnerischen Haftung. Dass sich ein einziger "Hacker" die Handlung von geschätzt 20.000 anderen zurechnen lassen soll, halte ich dann doch für etwas übertrieben.
* Thiemo Wenck 10.12.2010 19:29
Naja, das Problem beim Vorsatz könnte aber schon gravierend sein, wenn sowohl Freiwillige, als auch unfreiwillige Botnetzteilnehmer mitmachen. Die wird man anhand der Zugriffsart nicht trennen können, da sie ja zentral gesteuert sind. Adrian sagt aber ja schon richtig, dass einem ja schon die paar reichen, die sich irgendwo verplappern, oder die im Strafverfahren Ärger bekommen.

Wieso siehtst du denn bei der Zurechnung ein Problem? Wäre es etwas anderes, wen nur zwei oder drei Leute beteiligt wären? Entweder gilt die Regel, oder sie gilt nicht. Wenn 20000 Leute zusammen eine unerlaubte Handlung vornehmen, mag das zwar ein neues Phänomen sein, aber kein Grund, den Geschädigten schlechter zu stellen. Die Teilnehmer mussten auch mit einem entsprechend hohen Schaden rechnen, da ja eine Massenaktion geplant war.
* Simon Möller 10.12.2010 21:38
Also ich finde das unverhältnismäßig. Es besteht einfach keine sinnvolle Relation zwischen Verschuldensanteil und Haftung mehr. Bei 20.000 Nebentätern geht doch die Verantwortlichkeit eines Einzelnen gegen Null...
* Adrian 10.12.2010 23:16
@Simon: Ich verstehe dein Problem, aber wie willst du es lösen? Du kannst ja schlecht vom Geschädigten verlangen, 20.000 mal zu klagen, um seinen Schaden ersetzt zu bekommen.
* Simon Möller 10.12.2010 23:52
So ist das ja fast immer im Zivilrecht: Dort steht selten "Gut gegen Böse". Fast immer steht dort "Gut gegen Gut" oder "Böse gegen Böse", mit höchstens noch leichten Abweichungen gegeneinander. Ziel und Aufgabe des Zivilrechts ist es, innerhalb solcher Interessenkollisionen anhand feiner Nuancen noch Verantwortlichkeiten herauszuarbeiten und daraus dann Pflichten (insbesondere Haft-Pflichten) herzuleiten.

Was ich damit sagen will? Das Argument "Aber sonst bekommt der Geschädigte ja nichts" ist nicht besonders wertvoll. Das ein Geschädigter nichts bekommt, passiert im Zivilrechts schnell (z.B. wenn keine Vertragsbeziehung besteht und kein geschütztes Rechtsgut i.S.d. § 823 Abs. 1 BGB verletzt ist). Genauso ist aber auch mein Argument "Der Schädiger hat doch gar nichts gemacht" nicht besonders schlüssig - ganz häufig folgen aus winzigsten Sorgfaltspflichtsverstößen im Zivilrecht riesige Haftungspflichten.

Ich habe jetzt auch kein Patentrezept für dieses Problem auf der Hand. Ich frage mich aber schon, ob ein Geschädigter in einem solchen Fall dann nicht doch wirklich auf seinem Schaden sitzen bleiben müsste - ganz so, als ob er durch "höhere Gewalt" verursacht wäre. Alternativ wäre natürlich möglich, dem Geschädigten zuzumuten diejenigen zu verklagen, die in der Kausalkette etwas weiter vorne stehen, aber größere Verantwortungsbeiträge realisiert haben (die sprichwörtlichen "Rädelsführer").

Das Problem stellt sich manchmal im Presserecht, wenn die verschiedensten Medien nach einer initalen Falschinformation irreführend über einen Geschädigten berichten. Die Rechtsprechung lehnt dort eine gesamtschuldnerische Haftung ab, weil kein "einheitlicher Schaden" bestehe (BGH NJW 1985, 1617, 1619). Die Lösung ist freilich nicht konsequent, weil der Schaden m.E. in solchen Fällen durchaus "einheitlich" ist - nur die Schädigungshandlungen sind nicht identisch. Nur eben, dass der BGH offentlichtlich Schwierigkeiten mit einer so weitreichenden Zurechnung von Verursachungs- bzw. Haftungsanteilen hat.

Mal sehen, vielleicht kommt ja mal eine Entscheidung dazu. Ich habe im MüKo geschaut, dazu aber nichts gefunden...
* Thiemo Wenck 11.12.2010 00:09
Wäre zumindest mal eine Gelegenheit das Thema zu klären^^
Ein Problem, das mir bisher auch in ähnlicher Form noch nicht unter gekommen ist.
Die Idee mit den Rädelsführern hat zwar was für sich, nur leider kommt man an die auch viel schwerer ran und die kleinen Fische haben sich eben vorsätzlich an der Schädigung beteiligt.
Dabei haben sie sogar bewusst zusammen gewirkt, nur so konnte der Schaden schließlich verursacht werden. Eigentlich ist das doch der klassische Fall einer gesamtschuldnerischen Haftung. Hier sogar für eine gemeinsame Handlung.
Man kann ja auch schlecht sagen, dass jeder nur für maximal 764 andere Teilnehmer haftet^^ Da kann man keine Grenze ziehen, dafür fehlt jeder sachliche Grund. Aus Mitleid wird im Zivilrecht eher selten jemand verschont. Vielleicht geben sich die Unternehmen ja mit einem Vergleich zufrieden, um sich den Prozess zu sparen. Dass "Strafe sein muss" wird die Öffentlichkeit verstehen, werden aber die Existenzen einzelner dabei wirklich zerstört, kommt es zu einem Shitstorm, der viel teurer werden kann. Insofern werden die Unternehmen wohl entweder garnichts machen, oder verkraftbare Beträge vom Einzelnen fordern.
So wird das Problem nur leider nie beim BGH landen. Ich fürchte unsere Diskussion ist insofern doch eher akademischer Natur. Anders sähe es höchstens aus, wenn durch sowas mal ein Unternehmen in wirkliche Bedrängnis gerät, oder aus irgendwelchen Gründen die Forderung verkauft... wird aber fürchte ich auch eher selten passieren.
* Benjamin Bremert 11.12.2010 00:38
Wieso geht ihr eigentlich von Nebentäterschaft aus? Ich finde das könnte ein Beispiel für klassische Mittäterschaft sein, § 830 Abs. 1 Satz 1 BGB.
* Uwe 11.12.2010 01:06
Dieser fachlichen Diskussion möchte ich ein Argument einbringen, das überhaupt nicht beachtet wird - die Rückverfolgungsmöglichkeiten.

Als einzigen Hinweis einer Täterschaft hat man die IP-Adresse. Diese gilt aber schon lange nicht mehr als Beweis. Von einer IP auf den Anschlußinhaber zu schließen, ist gar nicht mehr zulässig, und das ist auch richtig so. Denn IPs lassen sich ebenfalls fälschen. Und dann ist ein Unschuldiger dran. Ich will nicht lange herumreden, hier sind Links zum Thema.

1.
http://www.rechtsanwalt-koeln.eu/artikel_225.html /> 2.
http://board.gulli.com/thread/1058131-lg-hamburg-ip-logging-reicht-nicht-als-beweis-aus/ /> 3.
http://www.golem.de/0911/71193.html />
Bei den Beispielen geht es um Urheberrecht, aber das spielt keine Rolle.

Es müssen schon beim vermutlichen Anschlußinhaber einschlägige Sachen gefunden werden, wie z.B. Hackersoftware oder eben sonstige eindeutige Hinweise, sonst kann man das alles vergessen.
* Benjamin Bremert 11.12.2010 01:30
@Uwe: Soweit ich es überblicke, äußert sich weder das LG HH noch das LG FFM insoweit, dass die IP keinen tauglichen Rückschluss auf den jeweiligen Anschlussinhaber zulässt. Es ging in den Fällen entweder darum, dass fraglich war, woher die jeweiligen Daten kamen oder wie genau die Rechtsverletzung bewiesen werden sollte.

Zumal es bei Filesharing relativ sinnlos wäre eine IP zu spoofen, da die Daten zwar gesendet, aber man natürlich unter der gespooften IP nicht erreichbar ist und so keine Daten empfangen könnte.
* Thiemo Wenck 11.12.2010 01:35
@Benjamin Bremert: Da könntest du Recht haben^^

@Uwe In dem Urteil des Landgerichts Frankfurt lag das Ergebnis augenscheinlich daran, dass der Aussteller der Liste garnicht erkennbar war, eine eidesstattliche Versicherung des Providers hätte aber genügt. Auch im Fall, den das LG Hamburg entschieden hat, reichte die Liste alleine nicht, sondern das Gericht wollte wohl die Person befragen, die die Ermittlungen vorgenommen hatte, diese war jedoch nicht mehr greifbar.
Hier liegen die Angriffsadressen jedoch in den Logs des Unternehmens selber, womit eine Fehlerquelle wegfällt. Ich vermute, dass es daran nicht scheitern würde. Außerdem kann es auf Basis der Anschlussermittlung durchaus zu Durchsuchungen kommen und da kaum jemand nach der Teilnahme seinen Rechner säubert, gerade kein Laie, sollte das auch insofern kein Problem sein.
* Adrian 11.12.2010 12:33
@Simon: Ich finde, man muss sich aber auch fragen, ob so ein Mittäter überhaupt schutzwürdig ist. Zumindest dann, wenn man ihm wirklich eine vorsätzliche sittenwidrige Schädigung vorwirft, kam es ihm ja gerade darauf an, diesen immensen Schaden zu verursachen. Warum man ihn dann dafür nicht voll haften lassen soll, nur weil 20.000 andere es ihm gleich getan haben, sehe ich nicht so recht ein. Wenn der Vorwurf Fahrlässigkeit lautet, sieht die Sache aber sicher anders aus.
* Thiemo Wenck 11.12.2010 12:38
@ Benjamin Bremert: Es wird sich meistens um eine Mittäterschaft handeln, wir haben aber beide Recht. Mein Palandt (66. Aufl. 2007) sagt zu § 840 Rn. 2:

"Nebeneinander verantwortlich sind mehrere [...], wenn jeder von ihnen nach § 830 I haftet, ferner wenn mehrere nicht miteinander in Verbindung stehende Personen selbstständig als Nebentäter debseben Schaden verursacht haben."

Es mag auch Fälle ohne Mittäterschaft geben, so oder so haften sie aber gesamtschuldnerisch. Insofern danke für den ergänzenden Hinweis, es ist für mich ein Kompliment, dass du den Artikel so aufmerksam gelesen hast, dass du darüber gestolpert bist. Eine rege Diskussion meiner Beiträge steigert auch für mich das Vergnügen am Schreiben.
* Benjamin 11.12.2010 13:44
@Thiemo: Gerne ;) Allerdings ging es mir weniger um die Begrifflichkeit und die Frage aus welcher Norm sich die gesamtschuldnerische Haftung ergibt, sondern um die Bauchschmerzen bei der Zurechnung der anderen Handlungen. Bei Nebentäterschaft mag da noch eine Abwägung geboten sein, bei Mittäterschaft wäre es in meinen Augen unbillig dem einzelnen Mittäter die Handlungen der anderen Mittäter mit der Begründung nicht zuzurechnen, dass es unverhältnismäßig sei, denn immerhin war genau der Geschehensablauf vom Vorsatz jedes einzelnen erfasst.
* Thiemo Wenck 11.12.2010 13:59
Hm, ich bin eigentlich die ganze Zeit von Mittäterschaft ausgegangen. Deswegen bin ich ja auch der Meinung, dass man halt Pech hat, wenn man bei so einem großen Blödsinn bewusst mitmacht. Dennoch ist es ein komischer Gedanke für 20000 Mittäter zu haften, selbst wenn man genau wusste, was man tat. Andererseits kann man ja auch alleine soviel Schaden anrichten und keiner würde einen nur wegen der Schadenshöhe aus der Haftung entlassen. Mal angenommen der nachweisbare Gesamtschaden betrüge (fiktives, unrealistisches Beispiel) nur 2 Cent pro Person, also 4000 € Gesamtschaden bei 20000 Mittätern. Da würde keiner auf die Idee kommen, das sei unbillig. Insofern sperrt sich das Gerechtigkeitsgefühl offenbar nur gegen die Schadensdimension. Für eine Verhältnismäßigkeitsprüfung ist bei einer bewussten Schadenszufügung aber auch aus meiner Sicht kein Raum.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.