Hanseatisches Oberlandesgericht Hamburg, Urteil vom 18.06.2020, Az. 5 U 33/19

Die Parteien streiten im Rahmen eines einstweiligen Verfügungsverfahrens um die Verantwortlichkeit der [X.] für ein durch einen [X.]angriff auf deren [X.]seite hochgeladenes Lichtbild, an dem der Antragsteller Urheberrechte bzw. Lichtbildschutz geltend macht.

Der Antragsteller ist Berufsfotograf. Die [X.] betreiben die [X.]seite [X.] als Webseite des [X.] in Studium und Lehre an Hochschulen in [X.] ([xxx]). Sie sind im Impressum als Verantwortliche genannt.

Die [X.]seite der [X.] soll die Implementierung von Diversity Management in Studium und Lehre vernetzen und dient Informationszwecken. In deren Datenbanken sind weder Drittwerbung noch wirtschaftliche Angebote aufgenommen. Auf der Seite finden sich lediglich Verweise auf wissenschaftliche Expertisen über Diversity Management mit Hochschulbezug. Die [X.]seite der [X.] wurde über das Content-Management-System [X.] verwaltet, wozu sich die [X.] eines externen Dienstleisters, der [X.], bedienten. Ein Content-Management-System (CMS) ist eine Software zur Erstellung, Bearbeitung und Organisation von Inhalten auf [X.]seiten. Ein solches System besteht aus einem „Frontend“, einem Bereich, den der Besucher der [X.]seite sieht, und einem „Backend“, einem passwortgeschützten Bereich, der nur Redakteuren und Administratoren der [X.]seite zugänglich und über den eine Bearbeitung der [X.]seite möglich ist.

Eine seit April 2017 verfügbare neuere Version des CMS [X.] ließen die [X.] bis Juni 2018 nicht aufspielen, weil diese nicht uneingeschränkt abwärtskompatibel war, so dass Erweiterungen der vorherigen Version dann nicht mehr „gelaufen“ wären. Zu Beginn des Jahres 2018 waren zwei von den [X.] verwendete [X.] („formhandler“ und „tt_news“) „unsicher“, wie ihr [X.] nach Erhalt der streitgegenständlichen Abmahnung feststellte.

In der [X.] zwischen dem 23.01.2018 und dem 19.06.2018 „hackten“, wie im Berufungsverfahren unstreitig geworden ist, Dritte die [X.]seite der [X.] und luden das streitgegenständliche Foto „Cape [X.]“ – neben weiteren Programmdateien – unter Ausnutzung vorhandener Sicherheitslücken auf dem Server der Webseite hoch und speicherten es dort.

Bei Eingabe der konkreten URL: http://[[X.]/it/[X.] war das Foto abrufbar. Es war Teil [X.] englischsprachiger Unterseiten, die über das Backend der [X.]seite der [X.] gespeichert worden waren. Diese Unterseiten wiesen ein anderes Layout auf als die übrigen Webseiten der [X.]. Es war nicht möglich, von der [X.]seite der [X.] auf die beanstandeten Inhalte und das streitgegenständliche Foto zu gelangen, weder durch eine Verlinkung noch durch die interne Suchfunktion auf der Seite. Auf den hinzugefügten Unterseiten war ein sog. Backlink auf die Startseite der [X.]seite der [X.] gesetzt.

Durch Eingabe der Bilddaten in eine [X.] wurde der Antragsteller auf die beanstandeten Unterseiten der Webseite der [X.] aufmerksam und ließ die [X.] mit Anwaltsschreiben vom 20.06.2018 abmahnen. Diese entfernten sofort danach die hineingehackten Unterseiten, deaktivierten die theoretisch anfälligen Komponenten im System und setzten die relevanten Passwörter neu. Eine Unterlassungsverpflichtungserklärung gaben sie nicht ab.

Bei den [X.] werden [X.] nicht länger als 14 Tage gespeichert, so dass ihnen eine genaue Rückverfolgung der Speicherung der Unterseiten nicht möglich war.

Der Antragsteller hat behauptet, er habe das streitgegenständliche Foto erstellt.

Er ist der Auffassung gewesen, ihm komme die Vermutungswirkung des [[X.]-5d6b942e3d43]§ 10 Abs. 1 [X.][/ref] zugute. Die [X.] hätten sein Foto widerrechtlich vervielfältigt und öffentlich zugänglich gemacht.

Hauptweise hat der Antragsteller in erster Instanz sein Unterlassungsbegehren auf täterschaftliches Handeln der [X.] gestützt, entweder durch [X.] oder Unterlassen. Hilfsweise sei eine Störerhaftung der [X.] gegeben, weil diese es versäumt hätten, ihren Server hinreichend zu schützen, insbesondere die notwendigen Updates aufzuspielen. Die [X.] hätten ihre [X.]seite bewusst mit einem pflegebedürftigen [X.] betrieben, dies zwischenzeitlich aus finanziellen Gründen ohne [X.]. Sie hätten bewusst auf Sicherheitsupdates für das [X.]-Kernprogramm verzichtet. Das Bestehen von Sicherheitslücken hätte den [X.] bekannt sein müssen. Sie hätten billigend in Kauf genommen, dass Dritte sich ihres Systems bemächtigten und dort rechtswidrige Inhalte platzierten. Es sei zu befürchten, dass ein vermeintlicher [X.] nur auf die nächste Schwachstelle im System der [X.] warte und sich der Vorfall wiederhole. Das Abschalten ihrer [X.]seite wäre kostenlos möglich sowie zumutbar gewesen und hätte als mögliche Alternative zum Betrieb einer unsicheren Plattform gewählt werden müssen. Die [X.] hätten ihre [X.]seite nicht unter Inkaufnahme von Schäden für Dritte weiterbetreiben dürfen. Bei einer sog. OpenSource-Software wie [X.] bestehe die Möglichkeit, gezielt nach Sicherheitslücken zu suchen und sog. Exploits, also ausnutzende Schadsoftware, zu erstellen. Es sei daher erforderlich, vorhandene Schwachstellen unverzüglich zu schließen, indem Updates aufgespielt werden. Anderenfalls werde ein Programm mit einer für jedermann erkennbaren und ausnutzbaren Schwachstelle betrieben, was eine Einladung für [X.] darstelle. Bei regelmäßiger und zeitnaher Installation aller [X.] wären [X.]angriffe nicht erfolgreich. Die [X.] hätten gegen grundsätzliche Anforderungen verstoßen und billigend in Kauf genommen, dass Dritte die vorhandenen Sicherheitslücken ausnutzen, um Schadcode einzuschleusen und so unerkannt Urheberrechtsverletzungen begehen.

Der Antragsteller hat beantragt,

Die [X.] haben beantragt,

Sie haben behauptet, die hineingehackten Unterseiten seien, was im Berufungsverfahren unstreitig geworden ist, ohne ihre Kenntnis unter Manipulation zweier Standardsystemdateien im „Backend“ ihrer [X.]seite gespeichert worden.

Für den Betrieb der neueren Version von [X.] ab April 2017 wären erhebliche Anpassungsarbeiten notwendig gewesen. Jedes Update sei für sie mit Arbeitsaufwand und Kosten für ihren [X.] (p...) verbunden.

Bezogen auf den ihnen vorgeworfenen Verstoß sei zu berücksichtigen, dass die Webseite http://[[X.]/it/[X.] - was unstreitig ist - von keiner anderen Webseite verlinkt und auch in Suchmaschinen nicht indexiert gewesen sei. [X.]nutzer hätten die genaue URL kennen müssen, um die beanstandeten Inhalte aufrufen zu können.

Sie sind der Ansicht gewesen, sie seien nicht als sog. Störer für die hier gegenständliche Urheberrechtsverletzung verantwortlich. Eine Störerhaftung könne nicht darauf gestützt werden, dass sie ihre [X.]seite im Verletzungszeitpunkt mit einem Content-Management-System betrieben hätten, das sich nicht auf aktuellstem Stand befunden habe. Sie hätten auch keine Pflichten nach § 13 Abs. 7 [X.] verletzt, indem sie beim Betrieb ihrer [X.]seite (zwischenzeitlich) nicht die neueste [X.]-Version eingesetzt und Erweiterungen nicht geupdatet hätten. Diese Maßnahmen hätten nicht in einem angemessenen Verhältnis zum angestrebten Schutzzweck gestanden und seien ihnen wirtschaftlich nicht zumutbar gewesen. Zwischen April 2017 und Juni 2018 hätten ihnen wegen ausgelaufener Drittmittel die finanziellen Mittel dafür gefehlt, auf die aktuellste [X.]-Version umzusteigen oder die Erweiterungen upzudaten bzw. zu deinstallieren. Sie müssten als Diensteanbieter Sicherheitsvorkehrungen nur dann vornehmen, wenn diese in einem angemessenen Verhältnis zum angestrebten Schutzzweck stünden. Da ihre Webseite nur Informationszwecken diene und man dort nichts bestellen könne, sei es nicht angemessen, ständig die neueste Version des [X.] einzuspielen. Derartige Anforderungen könne man nur an Online-Shops oder sog. kritische Infrastrukturen stellen. Es sei zu berücksichtigen, dass § 13 Abs. 7 [X.] durch das am 24.07.2015 verkündete [X.] eingeführt wurde, welches vor allem dem Schutz von sog. kritischen Infrastrukturen diene, wozu sie, die [X.], nicht gehörten.

Das [X.] hat durch Urteil vom [X.] den Antrag auf Erlass einer einstweiligen Verfügung zurückgewiesen. Dem Antragsteller stehe gem. § 97 Abs. 1 [X.] weder aufgrund täterschaftlicher Verantwortlichkeit der [X.] noch aufgrund einer Störerhaftung ein [X.] zu. Wegen der Einzelheiten wird auf das Urteil Bezug genommen.

Mit seiner form- und fristgerecht eingelegten Berufung erstrebt der Antragsteller unter Abänderung des landgerichtlichen Urteils den Erlass der einstweiligen Untersagungsverfügung.

Er meint, das [X.] habe zu Unrecht die Störerhaftung der [X.] wegen fehlender Kausalität abgelehnt. Die erstinstanzliche Entscheidung beruhe auf einer Verletzung der richterlichen Hinweispflicht gem. § 139 ZPO. Er habe erst aus dem landgerichtlichen Urteil erfahren, dass er zur Kausalität hätte vortragen müssen. [X.] habe das [X.] ihm den Nachweis der Kausalität auferlegt. Die [X.] hätten unzureichend Auskunft erteilt, so dass er habe darauf vertrauen dürfen, dass das Gericht die [X.] zu entsprechenden Auskünften anhalten werde. Eine Pflichtverletzung der [X.] sei unstreitig und ergebe sich aus dem Betrieb eines unsicheren [X.] mit Sicherheitslücken. Es sei die Rechtsprechung des [X.] in [X.] zum Betrieb eines nicht ausreichend gesicherten [X.] bei Privatpersonen übertragbar. Hiernach sei nicht gänzlich unwahrscheinlich, dass unberechtigte Dritte einen unzureichend gesicherten WLAN-Anschluss dazu benutzten, urheberrechtlich geschützte Musiktitel im [X.] in Tauschbörsen einzustellen. Es genüge für die Störerhaftung nach der Rechtsprechung des [X.] somit, dass es nicht gänzlich unwahrscheinlich sei, dass unberechtigte Dritte einen unzureichend gesicherten Server dazu benutzten, urheberrechtlich geschützte Werke im [X.] einzustellen. Die Unterlassung ausreichender Sicherungsmaßnahmen habe auf dem Willen der [X.] beruht. Es liege eine Verletzung der Prüfpflicht mit der Folge der Störerhaftung vor, wenn die gebotenen Sicherungsmaßnahmen unterblieben. Die [X.] seien verpflichtet gewesen, ein aktuelles Content-Management-System mit aktuellen Modulen aufzusetzen.

Die Störerhaftung der [X.] ergebe sich auch aus ihrem Verhalten nach der Abmahnung. Indem die [X.] – was unstreitig ist – nach Erhalt der Abmahnung eine Strafanzeige erstattet hätten, hätten sie unberechtigt und mittels unangemessenen Drucks versucht, ihn, den Antragsteller mit dem Ziel einzuschüchtern, ihn von weiterer Rechtsverfolgung abzuhalten.

Der Antragsteller beantragt,

Die [X.] beantragen,

Die [X.] verteidigen das angegriffene Urteil unter Wiederholung und Vertiefung ihres erstinstanzlichen Vorbringens.

Ergänzend machen sie geltend, dass sie nicht wüssten, wer ihre Webseite gehackt habe. Ein Anfangsverdacht für einen [X.]angriff habe vorgelegen (abweichendes Layout, abweichende Sprache, fehlende Verlinkung). Strafanzeige sei gegen „unbekannt“ erstattet worden.

Eine Verletzung der Hinweispflicht gem. § 139 ZPO liege nicht vor. Das [X.] habe zu Recht eine Störerhaftung mangels Sorgfaltspflichtverletzungen der [X.] verneint. Der Gesetzgeber habe die Störerhaftung beim gewerblichen WLAN-Betreiber grundsätzlich abgeschafft. Der Antragsteller versuche, ihnen obliegende Sorgfaltspflichten zu erfinden. Soweit sich diese aus § 13 Abs. 7 [X.] ergäben, seien sie von ihnen beachtet worden. Sie seien nicht verpflichtet gewesen, die jeweils neueste [X.]-Version einzusetzen und die Erweiterungen sofort zu updaten, wenn diese Maßnahmen in keinem angemessenen Verhältnis zum Schutzzweck stünden und ihnen wirtschaftlich nicht zumutbar seien.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie die Protokolle zur mündlichen Verhandlung vor dem [X.] vom 15.11.2018 sowie vor dem Senat vom 29.04.2020 Bezug genommen.

1. Die zulässige Berufung des [X.] bleibt in der Sache ohne Erfolg.

a. Ein [X.] auf Unterlassung steht dem Antragsteller gegen die [X.] im Zusammenhang mit dem streitgegenständlichen [X.]angriff – überwiegend wahrscheinlich – weder aus [ref=ea1c299e-d8ab-4811-9ec5-336466cfad12]§§ 97 Abs. 1, 15, 16, 19a [X.][/ref] noch aus § 1004 BGB analog zu ([ref=9eddc290-2e8c-4b9c-99ef-3e4fa9c9e4af]§§ 935, 936, 920 Abs. 2 ZPO[/ref]). Eine Verantwortlichkeit der [X.] aus dem im Berufungsverfahren gegenständlichen [X.] als Störer besteht nicht.

[X.]. Da der Antragsteller den geltend gemachten Unterlassungsanspruch auf Wiederholungsgefahr gestützt hat, ist sein Begehren nur begründet, wenn das beanstandete Verhalten der [X.] sowohl zum [X.]punkt seiner Vornahme rechtswidrig als auch zum [X.]punkt des Schlusses der mündlichen Verhandlung vor dem Senat rechtswidrig war (stRspr; [X.], NJW 2018, 3779 Rn. 37 – [X.]).

[X.]. Von der Urheberschaft und damit der Aktivlegitimation des [X.] ist im vorliegenden einstweiligen Verfügungsverfahren auszugehen, weil sich aus dem glaubhaft gemachten Antragstellervortrag hinreichende Indizien für dessen Urheberschaft ergeben, die von den [X.] nicht erheblich angegriffen worden sind.

cc. Anzunehmen ist auch, dass ein öffentliches Zugänglichmachen des streitgegenständlichen Lichtbildes gem. § 19a [X.] vorlag. Ein urheberrechtlich geschütztes Werk ist bereits dann im [X.] öffentlich zugänglich gemacht iSd § 19a [X.], wenn es durch Eingabe einer URL erreichbar ist; eine Verlinkung mit der Homepage des Verletzers ist nicht notwendig (Senat, Beschl. v. 08.02.2010, 5 W 5/10, [X.] 2010, 2111). Auch stellt das Heraufspielen einer Datei auf einen Server, der die Datei dann im [X.] bereithält, eine Vervielfältigung gem. § 16 [X.] dar ([X.]/[X.]/Heerma, 5. Aufl., [X.] § 16 Rn. 19).

dd. Jedoch besteht eine Passivlegitimation der [X.] im Ergebnis nicht.

[X.]a. Eine täterschaftliche Haftung der [X.] ist nicht gegeben und wird vom Antragsteller nicht mehr geltend gemacht. Im Berufungsverfahren beschränkt sich der Vorwurf des [X.] darauf, die [X.] hätten ihren [X.]auftritt [[X.] mittels eines veralteten [X.] [X.] und mittels veralteter Module bzw. Erweiterungen zu diesem Content-Management-System betrieben und es hierdurch ermöglicht, dass [X.] das streitgegenständliche Lichtbild auf dem Server der [X.]seite hochluden, so dass dieses öffentlich zugänglich gemacht wurde. Hierin liegt keine täterschaftliche Begehung der vorgeworfenen Urheberrechtsverletzung durch die [X.], da die Verletzung derartiger [X.] keine Täterhaftung gem. § 97 Abs. 1 [X.] begründet.

(1) Im Urheberrecht beurteilt sich eine täterschaftliche Haftung grundsätzlich nach den im Strafrecht entwickelten Rechtsgrundsätzen ([X.], [X.], 303, 304 – [X.]). Als Täter einer Urheberrechtsverletzung haftet deshalb nur, wer selbst, in mittelbarer Täterschaft oder in Mittäterschaft die Merkmale einen der handlungsbezogenen Verletzungstatbestände erfüllt (vgl. [X.], [X.], 1229, 1231 – Kinderhochstühle im [X.] II; [X.], [X.], 633 Rn. 13 – [X.] unseres Lebens; [X.]/[X.]/[X.], 5. Aufl., [X.] § 97 Rn. 14). Im Berufungsverfahren ist unstreitig, dass die [X.] nicht selbst das streitgegenständliche Foto auf ihre [X.]seite hochgeladen und damit die Verletzungshandlung des [ref=6441def1-4012-48cd-8d97-674cff5e[X.]1a]§ 16 [X.][/ref] begangen haben. Damit haben sie auch die Handlung des öffentlichen [X.] iSd § 19a [X.] nicht selbst begangen. Denn durch das Einstellen eines Fotos wird den Besuchern der Webseite, auf der die Einstellung erfolgt ist, der Zugang zum betreffenden Foto auf dieser Webseite ermöglicht ([X.], [X.], 813 Rn. 40 – [X.]). Das Zugänglichmachen liegt in dem Einstellen ins [X.] (Dreier/[X.]/Dreier, 6. Aufl. 2018, [X.] § 19a Rn. 6), welches die [X.] nach dem zugrunde zu legenden Sachverhalt nicht vorgenommen haben.

(2) Die Verletzung von [X.] begründet hingegen keine täterschaftliche Haftung gem. § 97 Abs. 1 [X.] ([X.], [X.], 1018 Rn. 18 – Automobil-Onlinebörse; [X.], [X.], 633 Rn. 13 – [X.] unseres Lebens). Im vorliegenden Fall müsste das Verhalten der [X.] – also der Betrieb einer [X.]seite mit einem Content-Management-System, das Sicherheitslücken aufweist – den Tatbestand der öffentlichen Zugänglichmachung (§ 19a [X.]) oder der Vervielfältigung (§ 16 [X.]) des in Rede stehenden urheberrechtlichen Werkes erfüllen (vgl. [X.], 2010, 633 Rn. 13 – [X.] unseres Lebens). Dies ist jedoch nicht der Fall.

[X.]b. Im vorliegenden Fall haften die [X.] entgegen der Auffassung des [X.] auch nicht nach den Grundsätzen der Störerhaftung, so dass die landgerichtliche Entscheidung im Ergebnis nicht zu beanstanden ist.

Als Betreiber einer [X.]seite und als Diensteanbieter gem. [ref=66791603-7332-4ce4-ab64-[X.]6f497863ee]§ 2 Satz 1 Nr. 1 [X.][/ref] trafen die [X.] bis zur Kenntnis von der Rechtsverletzung keine anlasslosen Prüf- und Überwachungspflichten. Aus Anforderungen zur [X.], etwa § 13 Abs. 7 [X.], ergibt sich eine urheberrechtliche Störerhaftung für den hier gegenständlichen [X.] ebenfalls nicht.

(1) Die mittelbare Verursachung von Urheberrechtsverletzungen wird von der [X.] Rechtsprechung insbesondere im Rahmen der sog. Störerhaftung erfasst. Diese Haftungsfigur ist auf die Verletzung absoluter Rechte begrenzt und wird mit einem Analogieschluss zu [[X.]-1675-4c54-87f5-a12890c5fa2b]§ 1004 [X.]] begründet ([X.] in [X.], [X.], 6. Aufl., § 97 Rn. 72). Als Störer kann auf Unterlassung und Beseitigung in Anspruch genommen werden, wer – ohne Täter oder Teilnehmer zu sein – in irgendeiner Weise willentlich und adäquat-kausal zur Verletzung des geschützten (absoluten) Rechts beiträgt (vgl. [X.], [X.], 617 Rn. 11 – [X.]; [X.]/[X.]/[X.], 5. Aufl., [X.] § 97 Rn. 15). Dabei kann als Beitrag auch die Unterstützung oder Ausnutzung der Handlung eines eigenverantwortlich handelnden [X.] genügen, sofern der in Anspruch Genommene die rechtliche und tatsächliche Möglichkeit zur Verhinderung dieser Handlung hatte ([X.], [X.], 617 Rn. 11 – [X.]). Da die Störerhaftung nicht über Gebühr auf Dritte erstreckt werden darf, die weder als Täter noch als Teilnehmer für die begangene Urheberrechtsverletzung in Anspruch genommen werden können, setzt die Haftung als Störer die Verletzung zumutbarer Verhaltenspflichten, insbesondere von Prüfpflichten voraus ([X.], [X.] 2017, 617 Rn. 11 – [X.]; [X.] in [X.]/[X.], [X.], 12. Aufl., § 97 Rn. 157). Die Feststellung einer solchen Prüfpflichtverletzung bedarf einer umfassenden Interessenabwägung und wertenden Risikozuweisung, ob die Prüfpflicht zumutbar war ([X.] in [X.]/[X.], [X.], 12. Aufl., § 97 Rn. 157). Weiter bestimmt sich nach den jeweiligen Umständen des Einzelfalls unter Berücksichtigung von Funktion und Aufgabenstellung des als Störer in Anspruch [X.] sowie mit Blick auf die Eigenverantwortung desjenigen, der die rechtswidrige Beeinträchtigung selbst unmittelbar vorgenommen hat, ob und inwieweit dem als Störer in Anspruch [X.] eine Verhinderung der Verletzungshandlung des [X.] zuzumuten ist (vgl. [X.], [X.], 617 Rn. 11 – [X.]). Hierbei kann auch auf gesetzlich normierte Pflichten zurückgegriffen werden (z.B. § 832 BGB, vgl. [X.] in [X.]/[X.], [X.], 12. Aufl., § 97 Rn. 157). Auch das Geschäftsmodell des als Störer in Anspruch [X.] ist von Bedeutung; wer ohne Gewinnerzielungsabsicht im öffentlichen Interesse handelt, wird großzügiger behandelt als Störer, die aus der Verletzung Gewinn ziehen ([X.] in [X.]/[X.], [X.], 12. Aufl., § 97 Rn. 157).

(2) Zwar sind bei der Prüfung, welche zumutbaren Prüf- oder Verhaltenspflichten einem als Störer in Anspruch [X.] obliegen, die Haftungsprivilegien der §§ 7 ff. [X.] zu berücksichtigen (vgl. [X.], [X.], 1030 Rn. 30 – File-Hosting-Dienst; [X.]/[X.], [X.]. 20.04.2018, [X.], § 97, Rn. 56). Insoweit hat das [X.] Recht wesentlichen Einfluss auf die Haftung für Rechtsverletzungen, indem die Haftungsprivilegien für Provider nach der E-Commerce-RL (Richtlinie 2000/31/[X.]) in [X.] in den Sonderregeln des [X.] für die unterschiedlichen [X.]provider umgesetzt worden sind ([X.] in [X.], [X.], 6. Aufl., § 97 Rn. 55). Einer allgemeinen proaktiven Prüf- und Überwachungspflicht von Diensteanbietern [X.]. §§ 8 bis 10 [X.] für die von ihnen gespeicherten Informationen steht dabei § 7 Abs. 2 Satz 1 [X.] entgegen (vgl. [X.], [X.], 2013, 1030 Rn. 30 – File-Hosting-Dienst; [X.], [X.] 2016, 268 Rn. 21 – Störerhaftung des [X.]). Betreffende Diensteanbieter sind nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen proaktiv zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hindeuten (vgl. [X.], [X.], 1030 Rn. 30 – File-Hosting-Dienst; [X.], [X.] 2016, 268 Rn. 21 – Störerhaftung des [X.]).

Jedoch sind die [X.] keine Provider [X.]. [[X.]-8166-639a2316eb4f]§§ 8 bis 10 [X.][/ref]. Sie betreiben mit ihrer [X.]seite keinen Dienst, über den von einem Nutzer eingegebene Informationen in einem Kommunikationsnetz übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt werden (§ 8 [X.], vgl. [X.]/[X.], [X.] Informations- und Medienrecht, [X.]. 01.02.2020, [X.] § 8 Rn. 3). Die Webseite der [X.] ist auch nicht darauf angelegt, fremde Informationen bzw. Informationen von Nutzern zu speichern (vgl. § 10 [X.]). Wesentlicher Privilegierungsgrund des § 10 [X.] ist die Beschränkung der Tätigkeit von Diensteanbietern im Rahmen des Hosting auf den technischen Vorgang der Speicherung von fremden Informationen ([X.]/[X.], [X.] Informations- und Medienrecht, [X.]. 01.02.2020, [X.] § 10 Rn. 3). Die [X.] sind jedoch in diesem Sinne keine Host-Provider. Sie stellen ihren Nutzern keinen Speicherplatz zur Verfügung, um Inhalte ins [X.] hochzuladen oder zu posten. Zwar wurden die hier beanstandeten Inhalte auf der [X.]seite der [X.] hochgeladen und gespeichert. Dies geschah jedoch durch einen [X.]angriff und nicht über Nutzern zur Verfügung gestellten Speicherplatz.

(3) Als Webseite-Betreiber bzw. Domaininhaber haften die [X.] zwar grundsätzlich für die Inhalte ihrer Homepage täterschaftlich, wenn sie die Inhalte der Webseite kontrollieren (dann ggf. über §§ 31, 89 BGB, vgl. [X.] in [X.]/[X.], [X.], 12. Aufl., § 97 Rn. 169). Aus diesem [X.] scheidet eine Haftung für die Inhalte der hier gegenständlichen, über einen [X.]angriff zugefügten Seiten jedoch aus. Nutzer können auf der [X.]seite der [X.], die Informationszwecken dient, nichts hochladen. Bei den unbemerkt im Rahmen eines [X.]angriffs abgelegten Inhalten handelt es sich um keine von den [X.] kontrollierten Inhalte.

(4) Durch die Begrenzung der Störerhaftung aufgrund des Erfordernisses der Verletzung zumutbarer [X.], insbesondere Prüfpflichten, ist in der Regel Voraussetzung einer Störerhaftung, dass der Störer zuvor auf eine konkrete, klare Rechtsverletzung hingewiesen worden ist ([X.] in [X.], [X.], 6. Aufl., § 97 Rn. 79). Erst nach einem Hinweis auf einen konkreten Rechtsverstoß ist der Störer verpflichtet, diese konkrete Rechtsverletzung abzustellen und gegebenenfalls im Rahmen des Möglichen und Zumutbaren bestimmte gleichartige zukünftige Rechtsverletzungen durch spezifische Vorabprüfungen zu unterbinden ([X.] in [X.], [X.], 6. Aufl., § 97 Rn. 79). Auch über diesen Gesichtspunkt lässt sich im vorliegenden Fall eine Störerhaftung der [X.] nicht begründen. Im Zusammenhang mit der streitgegenständlichen Rechtsverletzung ist ein Hinweis auf die konkrete Rechtsverletzung verbunden gewesen. Jedoch begründet dieser erstmalige Hinweis keine Störerhaftung gerade für den Rechtsverletzungsfall, auf den hingewiesen worden ist, sondern nur für einen etwaigen Folgefall. Um einen solchen geht es hier jedoch nicht.

(5) Schließlich ergibt sich eine Störerhaftung der [X.] für die hier geltend gemachte Rechtsverletzung auch nicht aus einer Verletzung von Pflichten gem. § 13 Abs. 7 [X.].

(a) Die nationale Regelung des § 13 Abs. 7 [X.] wurde durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ([X.], [X.] I 2015, 1324) mit Wirkung zum 25.07.2015 in das [X.] eingefügt. Durch technische und organisatorische Maßnahmen, die dem Stand der Technik zu entsprechen haben, ist durch Anbieter von Telemediendiensten sicherzustellen, dass kein unerlaubter Zugriff auf die genutzten technischen Einrichtungen möglich ist und diese gegen die Verletzung des Schutzes personenbezogener Daten ([[X.]-8fbe-a769e6a6ae02]§ 13 Abs. 7 Nr. 2a [X.][/ref]) und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind (§ 13 Abs. 7 Nr. 2b [X.]) ([X.]/[X.], [X.], 2. Aufl., [X.] § 13 Rn. 77). Im Rahmen ihrer jeweiligen Verantwortlichkeit und unter dem Vorbehalt der technischen Möglichkeit und wirtschaftlichen Zumutbarkeit trifft geschäftsmäßige Diensteanbieter die Pflicht, rechtswidrige Angriffe zu vermeiden ([X.]/[X.], [X.], 2. Aufl., [X.] § 13 Rn. 83). In diesem Rahmen sind von einem Diensteanbieter Schutzvorkehrungen zu treffen, deren Kosten in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen, wobei die jeweiligen Anforderungen im Einzelfall zu berücksichtigen sind (BT-Drucks. 18/4096, [X.]). § 13 Abs. 7 [X.] ist eine Regelung im vierten Abschnitt des [X.]es unter der Überschrift „Datenschutz“. [X.] Ziel der Einfügung des [ref=444fa68a-ffcd-453e-98b9-fdcf72c60975]§ 13 Abs. 7 [X.][/ref] ist u.a. die Eindämmung der Hauptverbreitungswege von Schadsoftware (BT-Drucks. 18/4096, [X.]). Je nach Sensibilität und Umfang der verarbeiteten Daten kann das erforderliche Schutzniveau dabei unterschiedlich sein (BT-Drucks. 18/4096, [X.]). Hieraus folgt, dass es um den Schutz der Nutzerdaten geht.

(b) [X.] kann im vorliegenden Fall, ob § 13 [X.] durch die Bestimmungen der Datenschutz-Grundverordnung (DS-GVO, Verordnung ([X.]) 2016/679), die seit dem 25.05.2018 gilt, verdrängt worden ist (vgl. [X.] [X.], [X.]-RS 2020, 2392 Rn. 31). Die DS-GVO beansprucht gemäß Art. 288 Absatz 2 A[X.]V unmittelbare Geltung und verdrängt im [X.] das nationale Recht. Den Mitgliedst[X.]ten ist es untersagt, (auch gleichlaufende) Regelungen zu erlassen, die den Anwendungsbereich der Verordnung verschleiern und damit die Auslegungshoheit des [X.]n Gerichtshofs über das Unionsrecht in Frage stellen ([X.], Urteil vom 10.10.1973, [X.], Rn. 11; vgl. [X.] [X.], [X.]-RS 2020, 2392 Rn. 31). Die auf den Datenschutz bezogenen Pflichten des Diensteanbieters richten sich daher seit ihrem Inkrafttreten allein nach der DS-GVO, nicht nach § 13 [X.] (vgl. [X.] [X.], [X.]-RS 2020, 2392 Rn. 31). Im vorliegenden Fall beanstandet der Antragsteller jedoch, dass die [X.] den hier gegenständlichen rechtswidrigen Angriff auf ihre geschäftsmäßig betriebene [X.]seite nicht vermieden haben und es hierdurch zu einer Urheberrechtsverletzung gekommen ist.

(c) Gegenüber dem Antragsteller, der kein Nutzer der [X.]seite der [X.] ist, indem er dort nichts hoch- oder heruntergeladen hat, sind jedoch auch etwaige [X.] aus § 13 Abs. 7 [X.] nicht verletzt worden. Ein Pflichtwidrigkeitszusammenhang zwischen dem nicht verhinderten [X.]angriff und der im vorliegenden Fall gegenständlichen Urheberrechtsverletzung im Hinblick auf Pflichten aus § 13 Abs. 7 [X.] besteht nicht.

([X.]) § 13 Abs. 7 [X.] stellt Anforderungen „im Rahmen der jeweiligen Verantwortlichkeit“ der betreffenden Diensteanbieter auf, wobei sich die Verantwortung aus den §§ 7 ff. [X.] ergibt. Eine sich hieraus ergebende Privilegierung ist zu berücksichtigen.

Die [X.] sind hinsichtlich des Betriebs ihrer [X.]seite als geschäftsmäßige [X.] [X.]. [[X.]-[X.] 13 Abs. 7 [X.][/ref] anzusehen. Die weitere Voraussetzung, dass die Verpflichtung der Anbieter von Telemedien nach § 13 Abs. 7 [X.] nur „im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien“ gilt (vgl. [X.]/[X.], [X.], 2. Aufl., § 13 [X.] Rn. 83), ist nicht erfüllt. Diese Verantwortung besteht danach für die eigenen oder sich zu eigen gemachten Inhalte des Anbieters (vgl. [X.]/[X.], [X.], 2. Aufl., § 13 [X.] Rn. 83). Der Anbieter ist grundsätzlich für die Inhalte und die Webseiten verantwortlich, für die er als Anbieter auftritt und damit kongruent zu seiner Eigenschaft als Anbieter dieser Telemedien (vgl. [X.]/[X.], [X.], 2. Aufl., § 13 [X.] Rn. 83). Wenn ein rechtswidriger Angriff gerade darin liegt, dass Seiten des Anbieters von [X.] unberechtigt um neue Seiten erweitert werden, so ist der Anbieter sicherheitstechnisch jedenfalls dann nicht verantwortlich, wenn sich klar ergibt, dass dies nicht seine Inhalte sind (vgl. [X.]/[X.], [X.], 2. Aufl., § 13 [X.] Rn. 83). Wird es hingegen für den Nutzer nicht erkennbar, dass es sich um unautorisierte Inhalte handelt, dann soll sich eine Verantwortung des Anbieters auch für Sicherheitsmaßnahmen nach § 13 Abs. 7 [X.] ergeben (vgl. [X.]/[X.], [X.], 2. Aufl., § 13 [X.] Rn. 83). Rechtswidrig eingestellte Inhalte können dem Anbieter nicht ohne weiteres zugerechnet werden, es sei denn, er muss diese kennen oder kennt diese, ohne diese zu entfernen oder sich zu distanzieren (vgl. [X.]/[X.], [X.], 2. Aufl., § 13 [X.] Rn. 83). Nach Kenntnis ist auch eine weitergehende Verantwortlichkeit möglich.

Im vorliegenden Fall steht einer Verantwortlichkeit der [X.] entgegen, dass die rechtswidrig zugefügten Seiten nach dem unstreitigen Sachverhalt deutlich abweichend und in [X.] Sprache gestaltet sind, während die übrigen [X.]seiten der [X.] in [X.] verfasst sind. Auch das Layout ist unstreitig gänzlich abweichend gestaltet. Bereits hieraus ergibt sich, dass es sich für einen Nutzer erkennbar um keine Inhalte der [X.] handelt. Die hinzugefügten Seiten waren unstreitig nicht über die [X.]seite der [X.] verlinkt. Selbst wenn aufgrund des Backlinks auf den rechtswidrig zugefügten Seiten eine Zuordnung beim Gelangen auf die zugefügten Seiten möglich ist, so scheitert eine Zurechnung daran, dass die [X.] die zugefügten [X.]seiten bis zur Abmahnung nicht kannten und nach Kenntnis sofort entfernten.

([X.]) Der Antragsteller ist im Hinblick auf die gegenständliche Rechtsverletzung nicht vom Schutzbereich des § 13 Abs. 7 [X.] erfasst.

§ 13 Abs. 7 [X.] gewährt u.a. einen spezifischen Nutzerschutz, wobei der Verkehr, der im Zusammenhang mit dem Betrieb der konkreten [X.]seite eröffnet worden ist, geschützt ist. Die erforderlichen Schutzvorkehrungen hängen von der Sensibilität und dem Umfang der verarbeiteten Daten ab (BT-Drucks. 18/4096 [X.], 35). Der Gesetzgeber hat den Schutz von Urhebern bei der Einführung des § 13 Abs. 7 [X.] durch das [X.] nicht im Blick gehabt. Insofern besteht ein Unterschied zu § 7 Abs. 4 [X.] [X.] Nach der Begründung zum Regierungsentwurf des [X.] Gesetzes zur Änderung des [X.]es mit Wirkung vom 13.10.2017 wurde mit dem Sperranspruch gem. § 7 Abs. 4 [X.] nF ein Verfahren geschaffen, mit dem „abseits der viel kritisierten Störerhaftung“ zugunsten der Rechtsinhaber die Möglichkeit gerichtlicher Anordnungen gegen Vermittler vorgesehen wird, deren Dienste von einem [X.] zur Verletzung eines Urheberrechts oder verwandter Schutzrechte genutzt werden ([X.], [X.] 2018, 1044 Rn. 43 – [X.]). Anders als die Vorschrift des [ref=d37c11cc-c44c-44eb-9248-9a8c0cdd1122]§ 7 Abs. 4 [X.][/ref] nF bezwecken die Bestimmungen des [ref=459697f3-142e-47d7-86dd-deeabae38be5]§ 13 Abs. 7 [X.] und der [X.]] nicht den Schutz von Inhabern von Urheberrechten oder verwandten Schutzrechten. Während bei [X.] und [X.], für die § 7 Abs. 4 [X.] nF gilt, die Gefahr von Urheberrechtsverletzungen durch Dritte besteht, da deren Dienste darauf abzielen, Nutzerinformationen durchzuleiten (§ 8 [X.]), ist die Gefahr von Urheberrechtsverletzungen bei einem Betreiber einer [X.]seite, die nur Informationszwecken dient und auf die Nutzer keine Inhalte einstellen oder durchleiten können, nur im Falle eines [X.]angriffs gegeben. Vom Schutzzweck des § 13 Abs. 7 [X.] ist der durch einen [X.]angriff geschädigte Inhaber von Urheberrechten bzw. verwandten Schutzrechten nicht erfasst.

Zwar ist gesetzgeberisches Ziel der Einführung des § 13 Abs. 7 [X.] gewesen, die Verbreitung von Schadsoftware einzudämmen bzw. zu verhindern, indem geschäftsmäßigen Diensteanbietern Pflichten zur [X.] auferlegt worden sind (BT-Drucks. 18/4096, [X.]). Der im vorliegenden Fall erfolgte [X.]angriff stellt einen Angriff auf die [X.] der von den [X.] betriebenen [X.]seite dar. Jedoch folgt aus einem Verstoß gegen § 13 Abs. 7 [X.] kein urheberrechtlicher Unterlassungsanspruch. Die Vorschrift des [ref=9778ac[X.]-e38f-4143-[X.] 13 Abs. 7 [X.][/ref] ist keine selbstständige Anspruchsgrundlage, sondern so einzuordnen, dass sie zusätzliche anspruchsbegründende Merkmale für eine Verantwortlichkeit des Diensteanbieters enthält (so zu § 5 Abs. 2 TDG a.F.: [X.], [X.] 2004, 74, 75 – rassistische Hetze). Der Antragsteller ist kein Vertragspartner der [X.], so dass eine etwaige Verletzung von Pflichten aus § 13 Abs. 7 [X.] nicht als Pflichtverletzung [X.]. § 280 BGB angesehen werden kann (vgl. hierzu [X.]/[X.], [X.], 2. Aufl., [X.] § 13 Rn. 125). Soweit es sich bei § 13 Abs. 7 [X.] um ein Schutzgesetz [X.]. § 823 Abs. 2 BGB handelt ([X.]/[X.], [X.], 2. Aufl., [X.] § 13 Rn. 125), stehen dem Antragsteller Ansprüche aus § 823 Abs. 2 BGB nicht zu, weil er nicht in den Schutzbereich der verletzten Norm fällt.

Der gesetzgeberische Schutzzweck ist auch im Rahmen eines Anspruchs aus §§ 823 Abs. 1, 1004 BGB analog zu berücksichtigen, da sich [X.] nur insoweit ergeben können, als ein Verkehr eröffnet worden ist. Die streitgegenständliche Rechtsverletzung ist nicht über den mit dem Betrieb der [X.]seite der [X.] eröffneten Verkehr geschehen, sondern über eine von [X.]n entdeckte Sicherheitslücke im sog. Backend, einem passwortgeschützten Bereich der [X.]seite, zu dem Nutzer keinen Zugang haben. Es ist nicht der Nutzerverkehr betroffen, den § 13 Abs. 7 [X.] schützt. Dem Kläger als Inhaber von Urheberrechten bzw. verwandten Schutzrechten betreffend rechtswidrig hinzugefügte [X.]seiten ist insoweit kein Schutz zuzusprechen, den ihm der Gesetzgeber mit der Einführung des [ref=c68c7997-f215-4c7d-a1de-f5be9791[X.]90]§ 13 Abs. 7 [X.][/ref] nicht geben wollte.

([X.] Offenbleiben kann, ob auch aus [X.] im vorliegenden Fall eine Störerhaftung der [X.] ausscheidet.

Eine urheberrechtliche Störerhaftung aus Gründen der Anforderungen an die [X.] steht unter einem zweifachen Zumutbarkeitsvorbehalt: Die Haftung Dritter aus § 97 Abs. 1 [X.], die nicht Täter oder Teilnehmer sind, für eine begangene Urheberrechtsverletzung kommt nur in Betracht, wenn zumutbare Verhaltenspflichten verletzt worden sind ([X.], [X.], 617 Rn. 11 – [X.]). Daneben stehen die Anforderungen an die [X.] aus § 13 Abs. 7 [X.] unter einem Zumutbarkeitsvorbehalt (vgl. BT-Drucks 18/4096 [X.]); durch das Kriterium der Zumutbarkeit soll sichergestellt werden, dass von dem Diensteanbieter nur solche Vorkehrungen zu treffen sind, deren Kosten zum angestrebten Schutzzweck in einem angemessenen Verhältnis stehen. Es ist die Verhältnismäßigkeit von Sicherungsmaßnahmen zu berücksichtigen (vgl. [X.]/[X.], [X.], 2. Aufl., § 13 [X.] Rn. 97; BT-Drucks 18/4096 [X.]). Nach den Gesetzesmaterialien soll durch das Kriterium der Zumutbarkeit in § 13 Abs. 7 [X.] eine flexible Anpassung der jeweiligen Anforderungen im Einzelfall ermöglicht werden (BT-Drucks 18/4096 [X.]). Der Umfang von [X.] wird zudem durch eine spezifische Gefahrgeneigtheit des Geschäftsmodells mitbestimmt ([X.] in [X.], [X.], 6. Aufl., § 97 Rn. 129).

Hier ist zu berücksichtigen, dass die [X.] eine [X.]seite betreiben, die nicht den Dienst anbietet, von Nutzern bereitgestellte Informationen zu speichern. Eine Bearbeitung der Web-Inhalte ist nur über das passwortgeschützte Backend der Webseite möglich und steht damit Nutzern der [X.]seite nicht zur Verfügung. Die [X.]seite der [X.] dient Informationszwecken und man kann über sie nichts bestellen, so dass keine Kundendaten über sie gespeichert werden. Die [X.] stellen auf ihrer [X.]seite im wissenschaftlichen Bereich Informationen zur Verfügung. Sieht man den angestrebten Schutzzweck in der Vermeidung eines rechtswidrigen Angriffs, mit dem Seiten hinzugefügt werden, die rechtswidrige Inhalte enthalten, so ist die Gefahr eines solchen Angriffs bei einem Betrieb einer [X.] mit Sicherheitslücken gegeben. Das erforderliche Schutzniveau hängt jedoch auch davon ab, ob und in welchem Umfang sensible Daten auf der betreffenden [X.]seite verarbeitet werden. Ob Letzteres dazu führt, dass das Aufspielen der jeweils aktuellen Updates der verwendeten [X.] im [X.]raum zwischen April 2017 und Juni 2018 im Hinblick auf einen damit verbundenen Kostenaufwand den [X.] nicht zumutbar war, kann im vorliegenden Fallen dahinstehen, da ein Anspruch aus den oben unter ([X.]) genannten Gründen nicht gegeben ist.

(d) Auch auf eine Erstbegehungsgefahr kann der geltend gemachte Unterlassungsanspruch nicht gestützt werden. Der Umfang der [X.], die sich aus einem Unterlassungsgebot wegen Erstbegehungsgefahr ergeben, bestimmt sich danach, inwieweit dieses auf die Gefahr gestützt ist, dass bestimmte zumutbare Maßnahmen zur Vorbeugung gegen erneute derartige Rechtsverletzungen unterlassen werden (vgl. [X.] [X.], 152 Rn. 38 ff. – Kinderhochstühle im [X.]; [X.]/[X.]/[X.], 5. Aufl. 2019 Rn. 28, [X.] § 97 Rn. 28). Die [X.] entfernten jedoch die rechtswidrigen Inhalte und aktualisierten die Software nach Kenntniserlangung von dem Angriff. Es ist unstreitig, dass nach Erhalt der Abmahnung die zwei aufgefundenen Sicherheitslücken behoben wurden. Die [X.]seite wird nunmehr geändert betrieben. Dass die [X.] insoweit weiter Sicherheitslücken zuließen oder noch zulassen, ist weder dargetan noch ersichtlich. Eine Erstbegehungsgefahr liegt nicht vor.

ccc. Entgegen der Ansicht des [X.] lässt sich eine Störerhaftung für den hier gegenständlichen Verstoß aus dem Verhalten der [X.] nach dem Verstoß ebenfalls nicht herleiten. In der Anzeigeerstattung gegen „unbekannt“ kann eine Druckausübung gegenüber dem Antragsteller nicht gesehen werden. Es dürfte im Interesse des [X.] als Urheber gelegen haben, dass die hier zugrundeliegende Rechtsverletzung aufgeklärt wird. Hierin eine Erpressung zu sehen, erscheint fernliegend.

ee. Das Vorliegen eines [X.] kann offenbleiben, weil es bereits am [X.] fehlt.

2. Die Kostenentscheidung ergibt sich aus § 97 ZPO.