Der Bundesgerichtshof (BGH) hat in einem (uns nicht direkt betreffenden) Urteil die Haftung von Hostprovidern bei möglicherweise rechtsverletzenden Kundeninhalten thematisiert (Pressemitteilung). Die Entscheidung hat dabei durchaus über den Einzelfall hinaus Bedeutung, da sie Hostingunternehmen einen gewissen Rahmen vorgibt, innerhalb dem sie sich rechtssicher bewegen können.
Konkret geht es um Fälle, bei denen jemand den Provider aufgrund von Kundenveröffentlichungen in Anspruch nehmen möchte. Dies kommt leider gar nicht so selten vor und in vielen Fällen ist es, entgegen der felsenfesten Überzeugung der Beschwerdeführer, für uns als unbeteiligten Dritten überhaupt nicht eindeutig, ob wirklich ein Verstoß auf Kundenseite vorliegt oder nicht. Denn was bei einer Aussage in der Form “X.Y. aus Z. ist ein A…” noch offenkundig sein mag, unterzieht sich bei vielen anderen Behauptungen und Veröffentlichung jeder Beurteilbarkeit durch uns.
Bereits in Vergangenheit haben wir daher unsere betroffenen Kunden bei angegriffenen Meinungsäußerungen möglichst um vorherige Stellungnahme gebeten und sowieso nur bei einer offensichtlichen Rechtsverletzung die relevanten Inhalte gesperrt, um eine eigene straf- und zivilrechtliche Haftung zu verhindern.
Diese Linie hat nun auch das BGH bestätigt (Hervorhebungen von mir):
(Die Haftung des Providers als Störer) setzt voraus, dass der Hostprovider die im Folgenden dargelegten Pflichten verletzt hat:
Ein Tätigwerden des Hostproviders ist nur veranlasst, wenn der Hinweis so konkret gefasst ist, dass der Rechtsverstoß auf der Grundlage der Behauptungen des Betroffenen unschwer – das heißt ohne eingehende rechtliche und tatsächliche Überprüfung – bejaht werden kann.
Regelmäßig ist zunächst die Beanstandung des Betroffenen an den für den (Anm.: im vorliegenden Fall: Blog) Verantwortlichen zur Stellungnahme weiterzuleiten. Bleibt eine Stellungnahme innerhalb einer nach den Umständen angemessenen Frist aus, ist von der Berechtigung der Beanstandung auszugehen und der beanstandete Eintrag zu löschen. Stellt der für den Blog Verantwortliche die Berechtigung der Beanstandung substantiiert in Abrede und ergeben sich deshalb berechtigte Zweifel, ist der Provider grundsätzlich gehalten, dem Betroffenen dies mitzuteilen und gegebenenfalls Nachweise zu verlangen, aus denen sich die behauptete Rechtsverletzung ergibt. Bleibt eine Stellungnahme des Betroffenen aus oder legt er gegebenenfalls erforderliche Nachweise nicht vor, ist eine weitere Prüfung nicht veranlasst. Ergibt sich aus der Stellungnahme des Betroffenen oder den vorgelegten Belegen auch unter Berücksichtigung einer etwaigen Äußerung des für den Blog Verantwortlichen eine rechtswidrige Verletzung des Persönlichkeitsrechts, ist der beanstandete Eintrag zu löschen.
Obwohl sich das Urteil auf einen Blog bezieht, darf von einer Übertragbarkeit auf andere Webseiten bzw. Inhalte wohl ausgegangen werden. Natürlich werden wir die Entscheidung intern bekannt machen, um uns an dieser Linie stets orientieren zu können. Dies gilt auch für die Möglichkeit zur Stellungnahme innerhalb einer angemessenen Frist, die in der Regel bei solchen Vorgängen 2-3 Tage betragen darf.
Davon abweichend ist die Behandlung von eindeutig strafbaren Inhalten zu bewerten, bei denen wir je nach Einzelfall auch zu einer sofortigen Sperrung gehalten sind. Dies gilt insbesondere bei Verstößen gegen z.B. § 184b StGB oder, um ein weiteres Beispiel zu nennen, bei eindeutig illegalen Softwaredownloadportalen (“Warez-Seiten“). Hier ist je nach Abwägung im Einzelfall das Abwarten einer Stellungnahme nicht angezeigt.
Siehe auch:
Manche Leute wollen es einfach nicht verstehen: Nur weil sie selbst sich nach bester Kindergartenmanier benehmen und sich gegenseitig mit Sand bewerfen meinen sie, wir als Provider müssten uns dafür interessieren und für eine Seite Partei ergreifen. So auch aktuell mal wieder in einer Angelegenheit zwischen zwei Herren, die offensichtlich nichts besseres mit ihrer Zeit zu tun haben, als sich über unsinnige Dinge aufzuregen und gegenseitig zu provozieren.
Da liegt es natürlich nahe, sich beim Webhoster über die angeblich so schlimmen, ehrverletzenden und sowieso absolut illegalen Inhalte zu beschweren und sofortige Sperrung, Löschung und ewige Verbannung des “Gegners” aus dem Internet zu fordern. Mindestens!
Immerhin ist das ja auch einfacher und günstiger für den Beschwerdeführer, als seine – vermutlich sowieso nicht durchsetzbaren – Ansprüche gerichtlich und auf eigenes finanzielles Risiko durchzusetzen. Nur: Nicht mit uns. Wenn wir aus rechtlichen Gründen eingreifen müssen, weil wir Kenntnis von rechtswidrigen Inhalten erlangen, tun wir das natürlich. Und bei eindeutig problematischen Dingen sogar gerne. Für alles Andere sind wir beim besten Willen weder zuständig noch können und dürfen wir beurteilen, was uns da immer wieder mal so als angebliche (aber nicht wirklich nachvollziehbare) Rechtsverletzungen angezeigt wird.
Fazit: Ein Hoster ist nicht Anwalt und Richter in einem, sondern vom Grunde her neutral. Er darf, kann und wird nur tätig werden, wenn ihm offensichtlich rechtswidrige Inhalte bekannt werden und er den Rechtsverstoß selbst feststellen kann. Für alles Andere hilft der Gang zum Anwalt, was dann aber komischerweise selten passiert. Wenn es um die eigene Geldbörse geht, setzt dann eben doch ein Denkprozess ein. 
Angst und Verunsicherung sollen Betrügern derzeit dabei helfen, unbedarfte Anwender um 100 Euro zu betrügen. Dazu versenden die Täter eine personalisierte Massenmail im Namen eines (realen, jedoch unbeteiligten) Anwaltes. Dem jeweiligen Empfänger wird darin vorgeworfen, sich durch Urheberrechtsverstöße strafbar gemacht zu haben. Eine Strafanzeige sei bereits erstattet worden, auf dem Wege einer Schadensersatzzahlung in Höhe von 100 € ließen sich jedoch Maßnahmen wie eine Hausdurchsuchung noch abwenden. Für die Abwicklung wird ein Payment-Anbieter angegeben, bei dem eine Guthabenkarte gekauft und die zugehörige PIN-Nummer dann an eine E-Mailadresse gesendet werden soll:
Guten Tag,
in obiger Angelegenheit zeigen wir die anwaltliche Vertretung und Interessenwahrung der Firma V******** GmbH, M******* Str. **, 4**** E****, an.
Gegenstand unserer Beauftragung ist eine von Ihrem Internetanschluss aus im sogenannten Peer-to-Peer Netzwerk begangene Urheberrechtsverletzung an Werken unseres Mandanten. Unser Mandant ist Inhaber der ausschliesslichen Nutzungs- und Verwertungsrechte im Sinne der §§ 15ff UrhG bzw. § 31 UrhG an diesen Werken, bei denen es sich um geschutzte Werke nach § 2 Abs 1 Nr. 1 UrhG handelt.
Durch das Herunterladen urherberrechtlich geschutzer Werke haben sie sich laut § 106 Abs 1 UrhG i.V. mit §§ 15,17,19 Abs. 2 pp UrhG nachweislich strafbar gemacht. Bei ihrem Internetanschluss sind mehrere Downloads von musikalischen Werken dokumentiert worden.
Aufgrund dieser Daten wurde bei der zustandigen Staatsanwaltschaft am Firmensitz unseres Mandanten Strafanzeige gegen Sie gestellt.
Aktenzeichen: 350 Js ***/10 Sta *****
Ihre IP Adresse zum Tatzeitpunkt: **.***.**.***
Ihre E-Mail Adresse: *****@**********
Illegal heruntergeladene musikalische Stucke (mp3): 13
Illegal hochgeladene musikalische Stucke (mp3): 21
Wie Sie vielleicht schon aus den Medien mitbekommen haben, werden heutzutage Urheberrechtverletzungen erfolgreich vor Gerichten verteidigt, was in der Regel zu einer hohen Geldstrafe sowie Gerichtskosten fuhrt. Link: Urheberrecht: Magdeburger muss 3000 Euro Schadensersatz zahlen
Genau aus diesem Grund unterbreitet unsere Kanzlei ihnen nun folgendes Angebot: Um weiteren Ermittlungen der Staatsanwaltschaft und anderen offiziellen Unannehmlichkeiten wie Hausdurchsuchungen, Gerichtsterminen aus dem Weg zu gehen, gestatten wir ihnen den Schadensersatzanspruch unseres Mandanten aussergerichtlich zu loesen.
Wir bitten Sie deshalb den Schadensersatzanspruch von 100 Euro bis zum 18.10.2010 sicher und unkompliziert mit einer *****-Karte zu bezahlen. Eine ***** ist die sicherste Bezahlmethode im Internet und fur Jedermann anonym an Tankstellen, Kiosken etc. zu erwerben. Weitere Informationen zum ***** Verfahren erhalten Sie unter: http://www.*****.***/de Senden Sie uns den 19-stelligen Pin-Code der 100 Euro ***** an folgende E-Mailadresse zahlung@*****.info
Geben Sie bei Ihre Zahlung bitte ihr Aktenzeichen an!
Sollten sie diesen Bezahlvorgang ablehnen bzw. wir bis zur angesetzten Frist keinen 19- stelligen ***** PIN Code im Wert von 100 Euro erhalten haben, wird der Schadensersatzanspruch offiziell aufrecht erhalten und das Ermittlungsverfahren mit allen Konsequenzen wird eingeleitet. Sie erhalten dieses Schreiben daraufhin nochmals auf dem normalen Postweg.
Hochachtungsvoll,
Rechtsanwalt *** ***
Selbstverständlich sollte man auf diese und ähnliche Drohmails auf keinen Fall reagieren. In “realen” Fällen werden sich die Anspruchsteller kaum per E-Mail sondern auf dem Postwege melden und ein zivilrechtlich geleisteter Schadensersatz führt sowieso nicht automatisch zur Einstellung eventueller strafrechtlicher Ermittlungen.
Ärgerlich ist der Fall übrigens auch für den als Absender angegebenen Rechtsanwalt, dessen guter Name unter den unerwünschten Massenmails leidet. Zumal die Täter eine Internetadresse nutzen, die mit Ausnahme der Domainendung (.info statt .de) mit der echten Anwaltswebseite identisch ist. Es lohnt sich daher, immer mit wachen Augen und geschärftem Verstand im Netz unterwegs zu sein, denn nicht alles was in einer Mail oder auf einer Webseite steht stimmt auch.
Es ist klar, dass Kunden einen Vertrag immer fristgerecht und ordentlich kündigen können. Darüber braucht man auch kein Wort zu verlieren. Umgekehrt sieht es aber schon ganz anders aus. Denn eine – auch fristgerechte und damit zulässige – Kündigung durch den Provider wirft immer Fragen auf und wird zu Recht kritisch betrachtet. Immerhin gibt es genügend Fälle, in denen Unternehmen ihnen nicht genehme oder in die Kalkulation passende Kunden sehr vorschnell kündigen.
Auch wir sind teilweise dazu gezwungen, einen Vertrag von unserer Seite aus zu kündigen. Zu den Hauptgründen dieser – an ein, zwei Händen pro Jahr abzuzählenden – Fälle gehören vor allem laufende Lastprobleme oder erhebliche rechtliche Schwierigkeiten. Aktuell haben wir wieder einen solchen Fall, bei dem unser Kunde einen web-basierten Anonymisierungsdienst betreibt. Dagegen ist nichts einzuwenden und es gibt durchaus legitime Gründe, die für den Betrieb die Nutzung eines solches Angebotes sprechen. Die Kehrseite der Medaille sind jedoch Anwender, die über einen solchen Proxyserver Straftaten begehen oder rechtswidrige Inhalte abrufen. In solchen Fällen landen die Ermittlungsbehörden und Abusebeschwerden nämlich nicht bei unserem – erst einmal anonymen – Kunden, sondern bei uns. Im gewissen Umfang ist das okay und auch Teil unserer Aufgaben, damit umzugehen.
Im aktuellen Fall sprengen Anzahl und Umfang der Beschwerden jedoch inzwischen den erträglichen Rahmen bei Weitem, weshalb wir nach einigen internen Abwägungen und Überlegungen den Vertrag fristgerecht gekündigt haben. Den Kunden haben wir natürlich darüber per E-Mail informiert und auch die Gründe ausführlich dargelegt. Um diese Gründe auch für andere Kunden verständlich zu machen, hier zur Information der Text dieser E-Mail.
(Am Rande: Ein weiteres Problem sind laufende Überlastungen, da der Kunde einen SharedHosting-Tarif nutzt und das Angebot – wie nicht nur die Abuse-Fälle zeigen – regen Zuspruch findet.)
Sehr geehrter Herr …,
wir freuen uns über jeden Kunden, der sich für domainfactory als Hostingprovider entscheidet und uns damit sein Vertrauen schenkt. Umso mehr bedauern wir es, Sie hiermit über die fristgerechte und ordentliche Kündigung des Vertragsverhältnisses mit der Kundennummer K… informieren zu müssen.
Leider erlaubt es uns der von Ihnen angebotene Dienst “[...].eu” nicht, das Vertragsverhältnis weiterhin fortzuführen. Die mit dem o.g. Angebot verbundenen administrativen und rechtlichen Aufwendungen haben ein Maß erreicht, welches dem weiteren, wirtschaftlichen Hosting des Angebotes uns der Domain bei uns entgegen steht, zumal die Art Ihres Angebotes eine weitere Zunahme des hohen administrativen und rechtlichen Aufwandes bzw. zumindest dessen Fortbestand erwarten lässt.
Selbstverständlich steht es Ihnen frei, in welchem Rahmen Sie die bei uns bezogenen Leistungen nutzen, sofern dies im Einklang mit unseren AGB, Domainregistrierungsbedingungen und rechtlichen Vorschriften erfolgt. Gleichzeitig bitten wir jedoch um Verständnis, wenn wir nicht das hohe wirtschaftliche Risiko des von Ihnen betriebenen Angebotes für Sie übernehmen können. Insbesondere die Bereiche Abusehandling und eingehende Anfragen von Ermittlungsbehörden verursachen bei uns intern einen ganz erheblichen Aufwand. Diese sind nicht damit verbunden, dass unberechtigte Inanspruchnahmen durch Dritte erfolgen, sondern basieren auf der rechtswidrigen Nutzung Ihres Angebotes durch Dritte. Nachdem Art und Umfang Ihres Angebotes als anonymer Proxyserver – bei allen verständlichen, legitimen und nachvollziehbaren Nutzungszwecken eines webbasierten Proxyservers – eine solche rechtswidrige Nutzung naturgemäß nahelegen und sich auch nicht unterbinden lassen, ist mit dem Betrieb eines anonymen Web-Proxys ein ungewöhnlich hohes Risiko bzw. ein ungewöhnlich hoher administrative Aufwand aufgrund von durch Dritte begangene Rechtsverletzungen verbunden. Dieser hohe Aufwand liegt erheblich über dem üblichen oder zumindest zu erwartenden Aufwand bei dem Betrieb von Domains und Webangeboten über durch uns bereitgestellte Leistungen.
In Folge des nicht nur theoretisch erhöhten sondern auch praktisch bereits massiv hohen Mehraufwandes und unter Berücksichtigung der Gesamtsituation ergibt sich für uns die oben bereits erwähnte Übernahme eines wirtschaftlichen Risikos an Stelle von Ihnen als Betreiber der Webseite, da sich Ermittlungsanfragen und Beschwerdefälle eben nicht direkt an Sie als vorerst “anonymer” Betreiber richten, sondern an uns als Hostingprovider und Serverbetreiber.
Vor diesem Hintergrund hoffen wir, dass sich die Kündigung für Sie als wenn auch bedauerlich aber zumindest nachvollziehbar darstellt.
Ein weiteres Problem sind – dies sei der Vollständigkeit halber erwähnt – die wiederholten Serverüberlastungen, welche durch die nicht der Last entsprechenden Wahl des Tarifes bedingt sind und andere Kunden auf dem SharedHosting-Server beeinträchtigen. Dies jedoch nur am Rande, da auch ein Wechsel auf einen höheren Tarif oder dedizierten Server das o.g. Hauptproblem leider nicht ausräumen würde.
Für die Zukunft wünschen wir Ihnen alles Gute.
Freundliche Grüße
Tobia Sara Marburg
[...]
Von unserem ausgewiesenen Abusefachmann habe ich nach dem letzten Blogbeitrag rund um das Abusehandling noch weitere Details und Informationen erhalten, die ich hiermit natürlich gerne weitergebe. So setzen wir z.B. eigene Anwendungen ein, um uns zugehörige IP-Adressen auf möglichen Missbrauch hin zu überprüfen. Zu diesem Zweck erfolgt die automatische, regelmäßige Abfrage verschiedener Dienste. Wird eine unserer IP-Nummern dort als “böse” oder auffällig geführt, erhalten wir eine sofortige Benachrichtigung mit weiteren Details. Die o.g. Sicherheitsüberprüfung erfolgt aber nicht nur im Bereich der Mailserver, sondern auch rund um Phisingseiten, Viren, Malware, usw. Zudem werden weitere Dienste abgefragt, die ebenfalls bei einer frühzeitigen Erkennung von Abusefällen helfen.
Im Bereich des neuen JiffyBox-Angebots werden wir vor allem mit gehackten Kundenservern zu tun haben, da diese im Gegensatz zu den domainFACTORY Tarifen ja vom Kunden selbst auf einem aktuellen Stand gehalten müssen (Root-Server eben). Es ist zu befürchten, dass in vielen Fällen solche Sicherheitsupdates usw. vernachlässigt werden dürften. Die damit verbundenen Herausforderungen sind nicht gerade klein, zumal wir Beeinträchtigungen anderer Kunden in Folge von Missbrauch verhindern bzw. so minimal wie möglich halten möchten. Manche Blacklisten schießen ja leider schnell mit Kanonen auf Spatzen, selbst wenn dabei Dritte mit getroffen werden. Die internen Richtlinien und unsere Vorgehensweise sind darauf jedenfalls vorbereitet, so dass wir angemessen, gut und schnell reagieren können.
Einen Missbrauch unserer Dienste z.B. in Fällen von Spamversand haben wir auch bei domainFACTORY. Im Rahmen der virtuellen Server von JiffyBox und damit gegenüber Shared-/Managed-Hosting verbundener Einschränkungen (wir können ja nicht in den virtuellen Server “reinschauen”) verschärft sich die Problematik noch einmal.
Hinzu kommt, dass wir durch den kostenfreien 24h-Test sowie die Abrechnung im Nachhinein potentiell anfälliger für die Nutzung der Angebote als Spamschleuder sind. Auch lässt sich auf Servern mit Root-Rechten mehr “Unsinn” anstellen, als im Rahmen von z.B. SharedHosting-Accounts mit begrenzten Serverzugriffsrechten.
Last but not least spielt das Thema gehackter Accounts aufgrund nicht aktualisierter Server oder unsicherer Rootpasswörter eine Rolle. Während wir bei domainFACTORY für die komplette Aktualisierung des Betriebssystems und der Serverdienste etc. zuständig sind, ist bei Rootservern jeder Kunde selbst dafür verantwortlich, sein System auf einem aktuellen Stand zu halten sowie sichere Passwörter zu wählen. Es ist bereits jetzt absehbar, dass hier ein gewisser Prozentsatz an Problemfällen entstehen wird.
Die Anforderungen an unser Abusehandling sind somit insgesamt betrachtet ganz enorm. Möchten wir doch einerseits nicht Kunden voreilig ihren virtuellen Server abschalten oder übereilt auf Beschwerdeführer reagieren und sind gleichzeitig davon abhängig, nicht durch zu schleppende Reaktionen einen Missbrauch unserer Dienste zu unterstützen bzw. alle Kunden durch Blacklisting, Netzwerksperren Dritter, usw. zu benachteiligen.
Es gibt daher einerseits gewisse Einschränkungen im Rahmen der Trialphase, die wir auch klar kommunizieren. Dazu gehört insbesondere die Sperrung von Port 25 (SMTP) [Edit: nur in der Trial-Phase, regulär ist Port 25 ganz normal nutzbar] um den Spamversand durch Testnutzer zu unterbinden. Darüber hinaus haben wir ein abgestuftes System für die verschiedenen Arten der Abusefälle entwickelt, um im “Spannungsverhältnis der verschiedenen auf uns einwirkenden Kräfte” angemessen reagieren zu können.
Heute haben wir folgende E-Mail erhalten:
Von: domainfactory.de Team [newsletter@domainfactory.de]
An: newsletter@domainfactory.de (der eigentlich Empfänger versteckt sich im “BCC”)
Betreff: A new settings file for the newsletter@domainfactory.de has just be released
Dear use of the domainfactory.de mailing service!
We are informing you that because of the security upgrade of the mailing service your mailbox newsletter@domainfactory.de settings were changed. In order to apply the new set of settings open this file:
http://(…)/settings.exe
Best regards, domainfactory.de Technical Support.
Entweder versendet derzeit jemand gezielt Spam mit domainfactory.de als Absender und im Fließtext. Oder setzt immer die Mailserverdomain an passende Stellen in einer Vorlage ein (“Best regards, domainname.tld Technical Support”). Wir recherchieren das vorsorglich, tippen aber auf letzteren Fall.
