Keine Kostentragung bei Schockrechnung

Die Kl(ägerin) stellte dem bekl(agten) Unternehmen seit 2012 die Festnetz- und Internetverbindungen für eine Telefonanlage (mit mehreren ISDN-Anschlüssen) zur Verfügung. Die Kl stellte der Bekl durchschnittlich monatlich EUR 210,-- in Rechnung. Beginnend mit 2.1.2014 bis 20.1.2014 wurde die Telefonanlage der Bekl durch externe Dritte Täter über eine ägyptische IP-Adresse gehackt, sodass in zahlreichen Angriffen Verbindungen - fast ausschließlich in den Nacht- und den frühen Morgenstunden - ins Ausland getätigt wurden. Die Kl verrechnete der Bekl für dieses Monat 10.160,14 EUR (Klagsgegenstand). Die Bekl bemerkte am 20.1.2014 Probleme mit der Telefonanlage. Eine Warnung durch die Kl vom vorliegenden Hackerangriff oder die Einrichtung einer Sicherheitssperre durch diese war nicht erfolgt. Am 20.1.2014 wurde die Sperrung der gesamten Anlage vorgenommen.

Die Kl erhält für ihre Verrechnungszwecke täglich von Montag bis Freitag jeweils um 9:00 Uhr sämtliche Verrechnungsdaten ihrer Kunden für den Vortag vom Netzbetreiber. Bei der Kl war zum Zeitpunkt des Hackerangriffs - obwohl technisch und personell ohne weiteres möglich - noch kein Gebührenmonitoring eingerichtet. Es fiel der Kl daher erst bei der konkreten Rechnungslegung auf, wenn ein eklatanter Sprung zum vorhergehenden Nutzungsverhalten eines Kunden vorlag. Aufgrund der zahlreichen - nächtlichen - Verbindungen in eine "gefährdete" Destination (zB Eritrea, Elfenbeinküste) im Abgleich mit den Daten des durchschnittlichen Telefonieverhaltens der Bekl hätte der Kl eine Malversation auffallen können. Der Kl wäre es ab 6.1.2014 möglich gewesen, die Bekl zu warnen und/oder die Leitung zu kappen.

Verletzung von Schutz- und Sorgfaltspflichten

Auch während des Bestehens eines Dauerschuldverhältnisses sind vertragliche Schutz- und Sorgfaltspflichten von den Vertragsparteien zu beachten. Die - im Anlassfall verwirklichte - Gefahr eines Hackerzugriffs wäre für die Kl insofern beherrschbar gewesen, als es ihr sowohl personell als auch technisch leicht möglich gewesen wäre, das Wirksamwerden dieser Gefahr durch ein Gebührenmonitoring und eine entsprechende Warnung der Bekl zu verhindern. Nach den Feststellungen hätten entsprechende Schutzmaßnahmen durch die Kl vollautomatisiert und ohne Personaleinsatz erfolgen können. Die Bekl selbst hatte hingegen keine Möglichkeit, die Gefahr eines Hackerangriffs durch eigene Vorkehrungen abzuwenden, zumal sie keine Änderungen der Basiseinstellungen an der - durch ein Drittunternehmen installierten - Telefonanlage vornehmen konnte. Es überspannt nicht die Schutz- und Sorgfaltspflichten der Kl als Betreiberin von Kommunikationsdiensten, wenn man von ihr verlangt, ihr leicht mögliche Maßnahmen zur Abwehr von Hackerangriffen zu ergreifen.

Eine Verletzung dieser Verpflichtungen macht bei Vorliegen der Voraussetzungen des § 1295 ABGB schadenersatzpflichtig. Hier wendet die Bekl gegenüber der Klagsforderung jedoch keinen Schadenersatzanspruch ein, sondern sie beruft sich darauf, dass die Kl nur zur Verrechnung der von der Beklagten veranlassten Telefonate berechtigt sei. Dies ergebe sich auch aus ihren AGB. Gemäß Pkt 3.4. der dem gegenständlichen Vertrag zugrunde liegenden AGB der Kl erfolgt die Verrechnung grundsätzlich nach Leistungserbringung bzw Leistungsbereitstellung. Eine solche liegt hier jedoch nicht vor. Eine ergänzende Vertragsauslegung führt hier zum Ergebnis, dass jene Leistungen, die unter Verletzung von Schutz- und Sorgfaltspflichten durch die Klägerin entstanden sind, nicht zu vergüten sind. Die Kl hat es unterlassen, den Angriff abzuwehren bzw die Bekl zumindest rechtzeitig zu warnen.

Die Klage wurde abgewiesen. Der Kunde musste diese hohe Rechnung nicht bezahlen.

OGH 15.6.2016, 4 Ob 30/16i