Eindringen in ein Computersystem eines Konkurrenten

Das Eindringen in ein Computersystem eines Konkurrenten durch Ausnützen einer Sicherheitslücke, um Kenntnis von Daten der Kunden des Konkurrenten zu erlangen, ist rechtswidrig.

Nach § 11 Abs. 2 iVm § 13 UWG kann auf Unterlassung in Anspruch genommen werden, wer

Geschäfts- oder Betriebsgeheimnisse, deren Kenntnis er durch eine gegen das Gesetz oder die guten Sitten verstoßende eigene Handlung erlangt hat, zu Zwecken des Wettbewerbs unbefugt verwertet oder an andere mitteilt.

Betriebs- oder Geschäftsgeheimnisse sind

  • Tatsachen und Erkenntnisse kommerzieller oder technischer Art,
  • die bloß einer bestimmten und begrenzten Zahl von Personen bekannt sind,
  • nicht über diesen Kreis hinausdringen sollen und
  • an deren Geheimhaltung ein wirtschaftliches Interesse besteht.

Der Geheimhaltungswille muss nicht ausdrücklich erklärt werden, sondern kann sich auch aus den Umständen ergeben.

Können Daten nur durch das Einloggen in eine durch Benutzername und Passwort geschützte Datenbank eingesehen werden, dann will der Auftraggeber der Datenbank, dass die Daten für andere als die berechtigten Nutzer gerade nicht zugänglich sind. Der Geheimhaltungswille ist offensichtlich.

Nun zeigt die Praxis, dass Zugriffssperren über Benutzername und Passwort fehlerhaft sein können. Derartige Sicherheitslücken erlauben nicht den Schluss, dass der Unternehmer kein Interesse an der Geheimhaltung mehr hätte.

Der nachstehende vom OGH entschiedene Fall des Eindringens in ein fremdes Computersystems zeigt, wie dreist dennoch versucht wird, diese – im Übrigen strafbare – Handlung zu rechtfertigen. Fehlendes Unrechtsbewusstsein kann hier mit Sicherheit ausgeschlossen werden.

Sachverhalt

Die Parteien erzeugen und vertreiben Ticket- und Eintrittssysteme u.a. für Skigebiete. Sie richten sich mit ihrem Angebot an dieselben Kundenkreise, sind also Konkurrenten.

Die Klägerin betreibt zudem Server, auf denen interne Anwendungen für ihre Kunden installiert sind. Sie speichert dort die mit der Nutzung der Eintrittssysteme verbundenen Daten ihrer Kunden. Diese können über das Internet Berichte (etwa über Name und Anschrift der Käufer von Tickets in einem bestimmten Zeitraum) abrufen.

Bei einigen dieser Server war es aufgrund der Verwendung einer Standardeinstellung möglich, unter Umgehung des Login-Vorgangs (mit Benutzername und Passwort) auf den Zwischenspeicher zuzugreifen.

Dieser Zugriff erforderte jedoch mehrere Informationen, die einem Außenstehenden nicht bekannt waren und nur von IT‑Spezialisten durch gezieltes Auskundschaften und Zuhilfenahme von Spezialsoftware erlangt werden konnten. Für einen unautorisierten Zugriff auf die Berichte waren nicht öffentliche Informationen erforderlich, die durch gezieltes Erkunden und Abfragen und eine gezielte Suche nach Schwachstellen im Sicherheitssystem der betroffenen Server gewonnen werden konnten.

Bei einer „Mitbewerberanalyse“ hatte ein Mitarbeiter der Beklagten bei einem Kunden der Klägerin eine Bildschirmanzeige fotografiert, der eine bestimmte Internetadresse (URL) entnommen werden konnte. Aufgrund dieser URL konnten unter geringfügiger Modifikation der IP‑Adresse und Verwendung bestimmter Programmbefehle Berichte abgefragt werden.

Insgesamt griff der Mitarbeiter der Beklagten zumindest zwölfmal auf Daten verschiedener Kunden der Klägerin zu, wobei er jeweils Befehle eingab, die zur Erstellung von Berichten führten.

Die Beklagte verwertete die durch die Zugriffe erhaltenen Informationen gezielt dazu, Kunden der Klägerin, jedenfalls den Pool Ski Arlberg, abzuwerben und der Klägerin beim Anwerben von Neukunden fehlende Datensicherheit zu unterstellen.

Beim Pool Ski Arlberg ging sie dabei wie folgt vor: Ein Mitarbeiter nahm Kontakt mit dem Geschäftsführer einer dem Pool angehörenden Bergbahngesellschaft auf und berichtete ihm, dass aufgrund eines angeblichen Datenlecks bei der Klägerin Kundendaten „frei im Internet“ zugänglich seien. In diesem Zusammenhang übermittelte er ihm einen der abgerufenen Berichte (Gebietsübersichtsbericht Arlberg). Der Geschäftsführer leitete diese Information an „Opinion Leader“ des Pool Ski Arlberg weiter. Dabei sprach er von einem sorglosen Umgang der Klägerin mit den Daten ihrer Kunden.

Die Klägerin gewann das Verfahren in allen drei Instanzen.

Die vollständige Entscheidung des OGH ist hier abrufbar: OGH 25.10.2016, 4 Ob 165/16t

Advertisements