IT-Recht | 29.09.2023

Account gehackt – wer haftet?

Lukas Kielmann

Rechtsanwalt und Unternehmensjurist (LL.B.)

Account gehackt: die häufigsten Ursachen

Bereits in einem früheren Blog haben wir uns kurz mit dem Internetbetrug und wie Sie sich schützen können beschäftigt. Trotzdem wollen wir - kurz - auf die präsentesten Möglichkeiten eingehen, in denen ein Account gehackt werden kann.

  1. Schwache Passwörter: Die Verwendung schwacher Passwörter oder das Wiederverwenden von Passwörtern auf verschiedenen Websites erhöht das Risiko, Opfer von Account-Diebstählen zu werden.
  2. Phishing: Betrügerische E-Mails oder Websites, die vorgeben, von vertrauenswürdigen Quellen zu stammen, können dazu führen, dass Benutzer ihre Zugangsdaten preisgeben.
  3. Malware: Schadsoftware wie Keylogger kann unbemerkt Zugangsdaten aufzeichnen und an Dritte senden.
  4. Social Engineering: Angreifer können versuchen, sich als die rechtmäßigen Benutzer auszugeben und Kundendienstmitarbeiter oder andere Personen dazu zu bringen, Zugang zu einem Account zu gewähren.

Zahlungspflicht des Account-Inhabers

Der Klassiker: Jemand hat Ihren Account gehackt und bestellt Waren im Internet. Vielleicht hat sich sogar eine Ihnen bekannte Person Ihres Accounts bemächtigt. Müssen Sie nun für die bestellte Waren zahlen?

Zu dieser Frage hat sich der Bundesgerichtshof bereits 2011 geäußert (BGH, Urteil vom 11.05.2011 - VIII ZR 289/09). Im vorliegenden Fall hatte sich die Ehefrau - ohne Kenntnis und Verschulden Ihres Ehemannes - Zugriff zu dessen eBay-Konto verschafft. Auf vertraglicher Ebene sei der Account-Inhaber nicht zur Zahlung verpflichtet, da keine wirksame Stellvertretung vorgelegen haben. Diese liegt vor bei Vollmachtserteilung, Genehmigung des Geschäfts oder nach den Grundsätzen der Duldungs- bzw. Anscheinsvollmacht.

Letzteres bedeutet vereinfacht: Falls Sie Kenntnis haben, dass jemand Ihren Account gehackt hat oder schon häufiger Waren von Ihrem Account bestellt hat, müssen Sie hiergegen vorgehen. Ansonsten setzen Sie den Rechtsschein einer Vollmachtserteilung. Bei einem erstmaligen Einkauf über Ihren - gehackten - Account dürfte dies indes nicht vorliegen.

Im Ergebnis heißt dies: In der Regel müssen Sie für bestellte Waren nicht bezahlen, wenn jemand Ihren Account gehackt hat.

Haftung des Account-Inhabers

Die Frage, inwiefern Sie für deliktisches Handeln (Urheberrechtsverletzungen, Wettbewerbsverstöße etc.) haften, wenn jemand Ihren Account gehackt hat und diesen missbräuchlich benutzt hat, beurteilt sich jedoch anders. Dies liegt daran, dass für eine deliktische Haftung in der Regel bereits fahrlässiges Handeln ausreicht. Einen Vertrag können Sie indes nicht "fahrlässig" schließen, sondern es bedarf einer von Ihnen abzugebenden Willenserklärung oder einer wirksamen Vertretung.

Hat jemand Ihren Account gehackt und richtet damit (finanzielle) Schäden an, ist daher entscheidend, wie die Person an Ihre Daten erlangt hat. Sofern Sie Ihr Passwort "herumliegen" haben, es fremden Personen am Telefon mitteilen (siehe Social Engineering) oder ein sehr schwaches Passwort benutzen, handeln Sie in der Regel fahrlässig. Sie müssen in diesen Fällen geradezu damit rechnen, dass Ihr Account gehackt wurde. Selbiges gilt sowohl im Bereich von Online-Shops (BGH, Urteil vom 11.03.2009 - I ZR 114/06) als auch im Bereich von WLAN-Netzwerken (BGH, Urteil vom 12.05.2010 - I 121/08).

Im privaten Bereich mögen die verursachten Schäden in der Regel gering bleiben, bei größeren Unternehmen sind die möglichen (finanziellen) Schäden indes verheerend. Es empfiehlt sich daher generell, stets alle Möglichkeiten der Account-Absicherung auszuschöpfen. Diese sind: Zwei-Faktor-Authententifizierung; Passwörter nicht doppelt benutzen; Virenprogramme; Passwörter nirgendwo digital abspeichern.

Account gehackt - Bankkonto leer

Wenn jemand Ihren Account gehackt und daraufhin Ihr Bankkonto geleert oder belastet hat, richtet sich die Haftung bzw. die Erstattungspflicht nach §§ 675u f. BGB. Grundsätzlich muss der Kontoinhaber jeden Zahlungsvorgang (also jede Auszahlung der Bank) autorisieren. Dies hat er im Betrugsfall indes in der Regel nicht getan. Der Zahlungsdienstleister (die Bank) ist hierfür beweisbelastet. Allerdings müssen Sie dennoch zahlen, wenn die nicht autorisierte Zahlung auf einer grob fahrlässigen Verletzung Ihrer vertraglichen Pflichten beruht (§ 675v BGB). Hierzu kann im Wesentlichen auf den obigen Abschnitt verwiesen werden. Eine solche grob fahrlässige Pflichtverletzung liegt beispielsweise vor, wenn Sie Ihr Passwort auf Ihrer Bankkarte vermerkt haben oder Sie Ihre Kontodaten an fremde Personen im Internet herausgeben.

Account gehackt - wir helfen!

Wenn Ihr Account gehackt wurde oder Sie Opfer sonstiger Cyberkriminalität geworden sind, sind wir Ihre erfahrenen und kompetenten Ansprechpartner für IT-Recht / Internetrecht. Wir prüfen, ob Sie Zahlungsaufforderungen begleichen, Waren liefern oder Schadensersatz zahlen müssen. Überdies prüfen wir, ob Ihnen selbst Schadensersatz- oder Rückzahlungsansprüche im Falle von Cyberkriminalität zustehen und setzen diese Ansprüche durch. Gerade für Unternehmen sind wir in diesem Bereich der ideale Ansprechpartner, da wir die mit Fachanwalt für Handels- und Gesellschaftsrecht Dr. Markus H. Schneider die Schnittstelle zum Wirtschaftsrecht abdecken und Zusammenhänge erkennen und verstehen.

Kontaktieren Sie uns:

Lukas Kielmann

Rechtsanwalt und Unternehmensjurist (LL.B.)

KONTAKTDATEN

+49 721 / 943114-0

Ihre Nachricht

Ihre Nachricht wurde gesendet. Vielen Dank!

Sie erreichen und auch telefonisch unter +49 721 / 943114-0.

Bitte beachten Sie folgendes: Durch die Zusendung einer E-Mail kommt noch kein Mandatsverhältnis zustande. Wir bitten Sie um Verständnis, dass wir ohne vorherige Vereinbarung keine Rechtsberatung per E-Mail erteilen können und keine fristgebundenen und Frist wahrenden Erklärungen entgegennehmen. Die Datenübertragung per Internet ist risikobehaftet. Dies sollten Sie insbesondere bei der Übersendung vertraulicher Informationen bedenken. Sollten wir eine E-Mail erhalten, gehen wir davon aus, dass wir zu deren Beantwortung per E-Mail berechtigt sind.