Webseiten-Betreiber haftet nicht für (möglicherweise) gehacktes TYPO3-CMS

Landgericht Hamburg

Urteil v. 22.01.2019 - Az.: 310 O 219/18

Leitsatz

Webseiten-Betreiber haftet nicht für (möglicherweise) gehacktes TYPO3-CMS

Tenor

1. Der Antrag auf Erlass einer einstweiligen Verfügung wird zurückgewiesen.

2. Der Verfügungskläger trägt die Kosten des Verfahrens.

3. Das Urteil ist vorläufig vollstreckbar. Der Verfügungskläger kann die Vollstreckung abwenden durch Sicherheitsleistung in Höhe von 110% des aufgrund des Urteils vollstreckbaren Betrags, wenn nicht die Verfügungsbeklagten vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrags leisten.

4. Der Streitwert wird auf 15.000,00 € festgesetzt.

Sachverhalt

Die Parteien streiten im einstweiligen Rechtsschutz um einen Unterlassungsanspruch vor dem Hintergrund einer unberechtigten Nutzung eines Fotos auf der Internetseite der Verfügungsbeklagten (im Folgenden nur: Beklagten).

Der Verfügungskläger (im Folgenden nur: Kläger) ist freiberuflicher Fotograf.

Die Beklagten betreiben gemeinsam die Internetseite www. k..de. Hierbei handelt es sich um die Website des Z. f. K. für Diversity Management in Studium und Lehre an Hochschulen in N.-W. (K.). Die Internetseite soll die Implementierung von Diversity Management in Studium und Lehre vernetzen. Es geht darum, die individuelle Verschiedenheit von Studierenden und wissenschaftlichem Personal zu fördern und diese für das Studium und die Lehre nutzbar zu machen.

Auf den Server der Beklagten wurde zu einem nicht sicher bekannten Zeitpunkt das Foto mit dem Namen „ C. T. F.“ hochgeladen und dort abgespeichert. Es war unter der URL http:// k..de/it/ w..php auf einer eigenen Unterseite der Internetpräsenz der Beklagten weltweit aufrufbar. Das Foto befand sich auf der Unterseite, welche auf dem Server in einem eigenen Verzeichnis unter „media“ und dort unter „Portale“ abgelegt war. Neben diesem Foto befanden sich dort noch weitere Fotos und Texte auf der Seite. Außerdem gab es im unteren Bereich der Seite eine Verlinkung unter dem Button „Home“, welche auf die Startseite der Internetseite der Beklagten verwies. Eine Verlinkung von den weiteren Seiten der Beklagten auf die Seite unter der genannten URL (im Folgenden: Verletzungsseite) gab es nicht, und die Inhalte der Verletzungsseite konnten auch durch die auf der Internetpräsenz der Beklagten zur Verfügung gestellte Suchmaschine nicht gefunden werden. Wegen des Aussehens des Fotos wird auf Anlage K2 und wegen der weiteren Einzelheiten der Verletzungsseite wird auf Anlage K1 sowie auf Seiten 9 und 10 des klägerischen Schriftsatzes vom 19.07.2018 (Bl. 34-35 d.A.) verwiesen.

Die Beklagten waren ausweislich des Impressums für die Inhalte der im Antrag bezeichneten Domain verantwortlich und verwalteten diese über das Content-Management-System TYPO3, wobei sie sich dazu des externen Dienstleisters p. bedienten. Bei einem Content-Management-System (im Folgenden: CMS) handelt es sich um eine Software zur gemeinschaftlichen Erstellung, Bearbeitung und Organisation von Inhalten auf Internetseiten. TYPO3 eröffnet dem Anwender die Möglichkeit, Internetseiten über einen mit Passwort gesicherten Bereich zu bearbeiten und zu gestalten. Das System besteht aus einem „Frontend“ (das ist der Bereich, den der Seitenbesucher sieht) und einem „Backend“, welches nur den Redakteuren und Administratoren der Seite zugänglich ist. Über das mit einem Login und einem RSA-verschlüsselten Passwort gesicherte „Backend“ wird die Seite bearbeitet.

Die Beklagten verwendeten seit Dezember 2016 die Version 6.2.29 LTS der Software, wobei bereits ab April 2017 die Version 8 verfügbar war. Die Beklagten verwendeten jedoch die ältere Version weiter, weil die neueren Versionen nicht uneingeschränkt abwärtskompatibel sind. Zudem verwendeten sie Erweiterungen der Software, die Mitte 2016 von p. eingespielt worden waren. Das letzte Sicherheitsupdate vor dem Jahr 2018 erfolgte am 31.03.2017. Im Juni 2018 stellte sich heraus, dass zwei der verwendeten Erweiterungen unsicher waren. Da sowohl die verwendete ältere Version der Software als auch zwei der Erweiterungen Sicherheitslücken aufwiesen, bestand die Möglichkeit, dass Hacker in das „Backend“ einbrechen und die Dateien mitsamt des streitgegenständlichen Fotos bzw. die gesamte Verletzungsseite auf den Server der Beklagten hochladen. Ebenfalls bestand die Möglichkeit, dass ein unbefugter Dritter von außen Dateien und auch das Foto mittels File Transfer Protocols (FTP) auf den Server der Beklagten kopiert. Dazu bedurfte es der Kenntnis des Servernamens, des Logins und des Passworts. An diese Daten kann man durch Ausspähen oder Ausprobieren gelangen. Bei einem Zugriff über FTP war ein Einbruch in das CMS nicht erforderlich.

Es ist inzwischen nicht mehr herauszufinden, wer die Dateien inklusive des streitgegenständlichen Fotos auf welche Weise auf den Server der Beklagten geladen hat. Die Webserver-Logdateien wurden nicht länger als 14 Tage gespeichert.

Administrativen Zugriff auf die Internetseite der Beklagten hatten Herr T. K. und Frau M. S. von der Firma p. und Herr A. M.. Darüber hinaus gab es einige Zugänge für Redakteure, welche nur mit eingeschränkten Zugriffsrechten ausgestattet waren. Redakteure konnten keine neuen Seiten anlegen. Weitere Mitarbeiter der Beklagten hatten keinen Zugriff auf den Administratorbereich des CMS und somit auf die Inhalte der Internetseite. Zugang zur FTP-Schnittstelle hatten nur T. K. und M. S..

Der Kläger räumte den Beklagten keine Rechte auf Nutzung des verwendeten Fotos ein.

Am 19.06.2018 erlangte der Kläger Kenntnis von der Nutzung des Fotos auf der Verletzungsseite, wobei er behauptet, die Verletzungsseite sei mit Suchmaschinen auffindbar und von anderen Seiten verlinkt gewesen. Er ließ die Beklagten mit Anwaltsschreiben vom 20.06.2018 (Anlage K5) wegen der Verwendung des Fotos abmahnen. Innerhalb weniger Stunden nach Zugang der Abmahnung entfernten die Beklagten das Foto (und die weiteren Inhalte der Verletzungsseite) von der Internetseite. Sie gaben jedoch keine Unterlassungs- und Verpflichtungserklärung ab, sondern wiesen die Ansprüche mit Schreiben vom 27.06.2018 (Anlage K6) zurück und erstatteten Strafanzeige gegen Unbekannt wegen eines Hacking-Angriffs (Anlage B2).

Der Kläger behauptet, er habe das in Streit stehende Foto erstellt und macht geltend, die Beklagten seien für die Rechtsverletzung verantwortlich. Entweder hätten sie selbst das streitgegenständliche Foto auf dem Server der Öffentlichkeit zur Verfügung gestellt, oder sie würden als Täter durch Unterlassen haften. Hilfsweise stützt der Kläger den Anspruch auf eine Störerhaftung der Beklagten, weil diese es versäumt hätten, ihren Server hinreichend zu schützen, insbesondere die notwendigen Updates vorzunehmen.

Der Kläger beantragt den Erlass einer einstweiligen Verfügung wie folgt:

1. Der Beklagten zu 1) und der Beklagten zu 2) wird bei Meidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes von bis zu 250.000 €, ersatzweise Ordnungshaft bis zu 6 Monaten, oder Ordnungshaft bis zu 6 Monaten, jeweils zu vollstrecken an den jeweiligen Rektoren und Präsidenten, untersagt, ohne Zustimmung des Klägers das von diesem hergestellte Lichtbild/Lichtbildwerk mit dem Namen „ C. T. F.“ wie in Anlage K1 abgebildet über Internetseiten öffentlich zugänglich zu machen, ohne dazu berechtigt zu sein, wie im Internetauftritt http:// k..de/it/ w..php geschehen.

Die Beklagte beantragen,

den Antrag auf Erlass einer Verfügung zurückzuweisen.

Die Beklagten behaupten, sie bzw. ihre Mitarbeiter hätten das streitgegenständliche Foto nicht selbst auf den Server geladen und dies auch niemandem gestattet oder ermöglicht. Vielmehr habe ein unbekannter Dritter die Internetpräsenz – vermutlich am 23.01.2018 – gehackt, dort die Unterseite eingefügt und das Foto (neben zahlreichen weiteren Fotos und Texten, insgesamt über 39.000 Dateien) unter Manipulation zweier Standardsystemdateien platziert. Das ergebe sich u.a. daraus, dass dort Nonsense-Texte in Englisch vorhanden gewesen seien und die Seite nach ihrem Layout und Inhalt keinerlei Bezug zu dem Inhalt der Internetpräsenz der Beklagten gehabt habe. Die eigenen Seiten der Beklagten seien in einheitlichem, völlig anderem Layout und ganz überwiegend in Deutsch gehalten. Auch die wenigen eigenen Seiten, die englischen Text enthielten, seien in demselben Layout wie die anderen eigenen Seiten gehalten.

Die Beklagten machen weiter geltend, der reingehackte Teil der Internetpräsenz und damit auch die Verletzungsseite seien nicht öffentlich zugänglich gewesen. Der reingehackte Teil ihrer Internetpräsenz sei weder von fremden Internetseiten verlinkt noch von bzw. für Suchmaschinen indexiert gewesen, so dass er nicht habe gefunden werden können. Er habe ausschließlich durch Eingabe der konkreten URL aufgerufen werden können.

Die Beklagten meinen, dass in dem Betrieb der Internetseite mit einem CMS, das sich unstreitig nicht auf neustem Stand befand, keine Pflichtverletzung zu sehen sei, die eine Störerhaftung begründen könne. Wie sich aus § 13 Abs. 7 TMG ergebe, müsse eine bestimmte Maßnahme auch wirtschaftlich zumutbar sein. Ein Update auf die neuste Version von TYPO3 sei bei der hier in Rede stehenden, nur Informationszwecken dienenden wissenschaftlichen Internetseite wirtschaftlich nicht zumutbar gewesen, zumal den Beklagten nach Auslaufen der Drittmittel ab dem 01.01.2017 die finanziellen Mittel für den technischen Support gefehlt hätten.

Entscheidungsgründe

Sowohl der Haupt- als auch der Hilfsantrag auf Erlass einer einstweiligen Verfügung sind zulässig, jedoch nicht begründet.

I.

Zu den Streitgegenständen:

Das Gericht entscheidet über den auf Täterschaft gestützten Hauptantrag und den auf Störerhaftung gestützten Hilfsantrag des Klägers.

Soweit der Kläger an einer Stelle auch eine Verantwortlichkeit der Beklagten als Gehilfen angesprochen hat (Seite 49 ff. des Schriftsatzes vom 14.09.2018, Bl. 206 ff. d.A.), ist darüber nicht zu entscheiden. Der Kläger hat damit keinen eigenen Streitgegenstand geltend gemacht.

Die Gehilfenhaftung hat andere Tatbestandsvoraussetzungen als die Täterhaftung und als die Störerhaftung. Demnach muss insofern ein anderes tatsächliches Geschehen zur Antragsbegründung vorgetragen werden, so dass es sich um unterschiedliche Streitgegenstände handelt (vgl. OLG München, Urteil vom 02.03.2017, 29 U 3735/16, ZUM-RD 2017, 488, 494 unter III.).

Es handelt sich nach Dafürhalten der Kammer bei den wenigen, auf den konkreten Fall bezogenen Zeilen (Seite 49 des Schriftsatzes vom 14.09.2018, Bl. 206 d.A.) und dem im Übrigen dort vorhandenen, nahezu zwei Seiten füllenden Großzitat unbekannten Ursprungs nur um illustrierende Äußerungen. Der Kläger hat insofern weder einen eigenen Antrag gestellt (der etwa auf „Dritten Hilfe zu leisten“ zu richten gewesen wäre) noch – anders als in Bezug auf die Störerhaftung – in der mündlichen Verhandlung bei Erörterung des Streitgegenstands das Hilfeleisten erwähnt oder gar eine prozessuale Bedingung dazu formuliert. Hätte der Kläger auch eine Gehilfenhaftung der Beklagten als Streitgegenstand geltend machen wollen, hätte er aber klarstellen müssen, in welchem Verhältnis er diesen Streitgegenstand bezogen auf die beiden anderen geltend machen will, insbesondere, welcher Anspruch an erster Stelle hilfsweise nach einer verneinten Täterhaftung geltend gemacht werden soll und welcher an zweiter Stelle. Denn andernfalls wäre die Hilfsantragstellung unbestimmt und damit unzulässig gewesen. Das war dem anwaltlich vertretenen Kläger auch bekannt.

Hinzu kommt, dass der Kläger zu einem Streitgegenstand „Gehilfenhaftung“ in tatsächlicher nicht hinreichend vorgetragen hätte. Der Kläger legt nicht dar, aufgrund welcher Umstände den Beklagten bewusst gewesen sein soll, dass ihr System unsicher gewesen sei, und aufgrund welcher Umstände sie mit einer Rechtsverletzung wie der hiesigen hätten rechnen müssen sollen. Das Großzitat weist keinerlei konkreten Bezug zum hier vorliegenden Fall auf – offenbar ging es dort um die Haftung eines File-Hosting-Dienstes, der bereits auf Rechtsverletzungen hingewiesen worden war. Der Kläger zeigt nicht auf, inwiefern dies für den hier zu beurteilenden Fall relevant sein sollte. Aus dem Umstand, dass die Beklagten eine Internetseite mit einem nicht auf neustem Stand befindlichen CMS betrieben haben, kann nicht abgeleitet werden, dass sie hinsichtlich der hier in Rede stehenden Rechtsverletzung mit einem doppelten Gehilfenvorsatz handelten. Dazu hätten sie einen eigenen Tatbeitrag sowie die wesentlichen Merkmale der Haupttat kennen müssen. Sie hätten zudem mindestens billigend in Kauf nehmen müssen, eine bereits in gewissem Maße konkretisierte rechtswidrige Tat eines Dritten zu unterstützen. Es ist nicht dargelegt und auch nicht ersichtlich, aufgrund welcher Umstände die Beklagten überhaupt eine rechtswidrige Tat eines Dritten in der hier in Rede stehenden Art und Weise hätten erkennen müssen oder auch nur können. Auch wenn Hacking-Angriffe auf Internetseiten im Grundsatz nichts Ungewöhnliches sein mögen, so geht es dabei doch in der Regel darum, unberechtigt Informationen bzw. Daten von diesen Internetseiten zu erhalten oder diese Seiten zu stören oder lahmzulegen. Demgegenüber muss der Betreiber einer universitären, nicht kommerziellen Internetseite nicht einmal damit rechnen, noch gar davon ausgehen, dass ein unberechtigter Dritter ohne erkennbaren Zweck fremde Fotos dort einstellt. Dementsprechend fehlt es auch an Vortrag zur Kenntnis der Beklagten von einer irgendwie konkretisierten rechtswidrigen Tat eines anderen, zu der sie hätten Hilfe leisten können. Es liegt daher auch im eigenen, wohlverstandenen Interesse des Klägers, eine Gehilfenhaftung nicht geltend gemacht zu haben.

II.

Der Antrag auf Erlass einer einstweiligen Verfügung ist zulässig.

Die örtliche Zuständigkeit des Gerichts ergibt sich aus §§ 32, 937 ZPO. Nach § 32 ZPO ist dasjenige Gericht zuständig, in dessen Bezirk eine unerlaubte Handlung begangen wurde. Nach ständiger Rechtsprechung des BGH ist dies wahlweise der Ort, an dem die Verletzungshandlung selbst begangen oder aber der Ort, an dem in das Rechtsgut eingegriffen wurde. Der Erfolgsort einer unerlaubten Handlung im Sinne von § 32 ZPO ist bei einer Verletzung des Urheberrechts durch öffentliches Zugänglichmachen des Schutzgegenstands über eine Internetseite dort belegen, wo die Internetseite aufgerufen werden konnte. Für die Zulässigkeit genügt insofern schlüssiger Klägervortrag. Der Kläger hat vorgetragen, dass das Lichtbild auf der URL http:// k..de/it/ w..php abrufbar und dass diese Seite auch mit Suchmaschinen auffindbar gewesen sei. Danach wäre sie auch von Hamburg aus abrufbar gewesen.

Die sachliche Zuständigkeit ergibt sich aus § 71 Abs. 1, § 23 Nr. 1 GVG.

Der Kläger hat seinen Anspruch hilfsweise auf eine Verantwortlichkeit der Beklagten als Störer gestützt. Dies hat er in prozessual zulässiger Weise dergestalt getan, dass die hilfsweise Geltendmachung von der innerprozessualen Bedingung abhängen sollte, dass die Kammer eine täterschaftliche Verantwortlichkeit der Beklagten verneint.

III.

Der Antrag ist unbegründet. Dem Kläger steht ein Anspruch gemäß § 97 Abs. 1 UrhG weder aufgrund täterschaftlicher Verantwortlichkeit der Beklagten (dazu unter 1.) noch aufgrund einer Störerhaftung (dazu unter 2.) zu, denn es ist nicht im Sinne von § 936, § 920 Abs. 2, § 294 ZPO mit überwiegender Wahrscheinlichkeit davon auszugehen (zu 1.) bzw. nicht hinreichend vorgetragen (zu 2.), dass eine entsprechende Verantwortlichkeit der Beklagten besteht.

Daher kann offen bleiben, ob die weiteren Tatbestandsvoraussetzungen der vom Kläger geltend gemachten Ansprüche vorliegen oder nicht, insb. ob der Kläger aktivlegitimiert ist und ob das Foto auf der Seite der Beklagten öffentlich zugänglich war im Sinne von § 19a UrhG (beides dürfte indes anzunehmen sein) und welche konkreten Pflichten die Beklagten im Hinblick auf die Sicherheit ihrer Internetseite trafen.

1.

Nach § 97 Abs. 1 S. 1 UrhG kann, wer das Urheberrecht widerrechtlich verletzt, von dem Verletzten bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden.

Der Kläger behauptet, die Beklagten hätten das von ihm erstellte Foto selbst auf ihren Server hochgeladen. Jedenfalls würden sie wegen des unsicheren Betriebs der Seite als Täter durch Unterlassen haften.

a)

Von einer eigenen Täterschaft der Beklagten bzw. ihrer Mitarbeiter, für deren Handeln die Beklagten gemäß § 99 UrhG verantwortlich sind, kann sich die Kammer nicht mit der nötigen Sicherheit im Sinne der im einstweiligen Verfügungsverfahren hinreichenden überwiegenden Wahrscheinlichkeit überzeugen.

Nach dem Vorbringen der Beklagten habe keiner ihrer zugriffsberechtigten Mitarbeiter das Foto hochgeladen oder dies einem Dritten ermöglicht. Unstreitig hatte nur ein kleiner Kreis von drei Personen Zugang zu den Serverdaten und damit die Möglichkeit einer Dateiplatzierung bzw. der Einstellung neuer Unterseiten. Administratorrechte hatten zu dem relevanten Zeitpunkt T. K. und M. S. von der Firma p. sowie A. M.. Die redaktionellen Zugriffsmöglichkeiten einiger weiterer Mitarbeiter waren dergestalt eingeschränkt, dass keine neuen (Unter-) Seiten angelegt werden konnten. Zugang zur FTP-Schnittstelle hatten unstreitig nur T. K. und M. S..

Die Beklagten tragen vor, alle drei umfassend zugriffsberechtigten Personen hätten weder selbst das Foto auf den Server geladen, noch hätten sie dies Dritten gestattet oder ermöglicht. Dies haben die drei Personen (T. K., M. S. und A. M.) auch eidesstattlich versichert (Anlagen B7, B8 und B9), so dass dieser Vortrag der Beklagten glaubhaft gemacht ist im Sinne von § 920 Abs. 2 ZPO. Anhaltspunkte dafür, dass diese eidesstattlichen Versicherungen nicht wahrheitsgemäß abgegeben worden wären, sind weder vorgetragen noch ersichtlich. Die Mitarbeiter, die nur redaktionellen Zugriff hatten, konnten unstreitig keine (Unter-) Seiten auf der Internetpräsenz einstellen, so dass sie als Täter der hier vorliegenden Rechtsverletzung nicht in Betracht kommen.

Die Behauptung der Beklagten, das Foto sei mitsamt zahlreicher weiterer Daten durch einen Angriff von außen (Hacking) auf ihrer Internetpräsenz platziert worden, erscheint angesichts der nach außen erkennbaren Umstände auch plausibel, jedenfalls aber nicht von vornherein unwahrscheinlich und damit unbeachtlich. Dieser Fall liegt insofern deutlich anders als vorangegangene Fälle, in denen die Kammer bei streitigen Rechtsverletzungen nach § 19a UrhG mit in der Zielrichtung ähnlichen, meist aber nur sehr vagen Behauptungen betreffend den unerlaubten Eingriff eines unbekannten Dritten konfrontiert war. So weist die Seite, auf welcher das streitgegenständliche Foto abrufbar war und welche die Beklagten als „reingehackt“ bezeichnen (die Verletzungsseite), ein völlig anderes Layout im Vergleich zu den weiteren Seiten der Beklagten auf. Das wird deutlich durch einen Vergleich des Aussehens der Verletzungsseite, wie sie auf Seiten 9 und 10 des klägerischen Schriftsatzes vom 19.07.2018 (Bl. 34-35 d.A.) abgebildet ist, mit dem Aussehen der Internetpräsenz der Beklagten im Übrigen (sichtbar auf Seite 14 des klägerischen Schriftsatzes vom 14.09.2018, Bl. 171 d.A.). Die Beklagten verweisen in diesem Zusammenhang auch zutreffend darauf, dass die Texte auf der Verletzungsseite teilweise spamartigen Charakter haben, dass sie auf Englisch gehalten sind, wohingegen die meisten anderen Teile des Internetauftritts der Beklagten in deutscher Sprache erscheinen, und dass es keinerlei inhaltlichen Zusammenhang zwischen dem Verkauf von Tapeten in Südafrika („Wallpaper in Western Cape Home decor & interiors Gumtree“) und dem Aufgabenspektrum eines Kompetenzentwicklungszentrums für Diversity Management und damit den Themen auf der Internetpräsenz der Beklagten gibt. Es scheint sich bei den Texten auf der Verletzungsseite (überwiegend) um das Ergebnis einer Suchanfrage zu den Begriffen „Wallpaper in Western Cape Home decor & interiors Gumtree“ zu handeln (s. die Screenshots auf S. 9-10 des Schriftsatzes vom 19.07.2018, Bl. 34-35 d.A.). Unstreitig gab es auch keine Verlinkung von den übrigen Seiten der Beklagten auf die Verletzungsseite, und diese konnte auch nicht mittels der auf der Internetpräsenz der Beklagten bereitgestellten Suchfunktion gefunden werden. Schließlich haben die Beklagten auch unmittelbar nach der Abmahnung durch den Kläger eine Strafanzeige gegen Unbekannt wegen Hackings gestellt.

Angesichts all dessen ist kein Raum für die Annahme, es sei überwiegend wahrscheinlich, dass ein Mitarbeiter der Beklagten das Foto selbst hochgeladen oder dies einem Dritten gestattet oder ermöglicht habe. Vielmehr erscheint der Kammer wenn nicht sogar überwiegend wahrscheinlich, so doch jedenfalls nicht mit überwiegender Wahrscheinlichkeit auszuschließen, dass tatsächlich ein Dritter – sei es in Schädigungsabsicht, sei es, um seine Hackerfähigkeiten zu trainieren oder aus anderen Motiven – unberechtigt Zugriff auf die Internetpräsenz der Beklagten genommen und dort Daten, u.a. das streitgegenständliche Foto auf einer eigenen Unterseite, platziert hat.

b)

Eine Täterschaft der Beklagten durch Unterlassen kommt nicht in Betracht. Es ist weder dargelegt noch ersichtlich, dass die Beklagten eine Garantenpflicht getroffen habe. Allein in dem Umstand, dass die Beklagten eine Internetpräsenz mit einem nicht auf neustem Stand befindlichen CMS betrieben haben, ergibt sich keine Garantenstellung gegenüber dem Kläger. Im Übrigen wäre auch die Kausalität dieses Unterlassens für die Rechtsverletzung nicht dargelegt (s. dazu näher sogleich unter 2.).

2.

Mit der Verneinung einer täterschaftlichen Haftung der Beklagten ist die innerprozessuale Bedingung eingetreten, unter welcher der Kläger seinen Antrag hilfsweise auf eine Verantwortlichkeit der Beklagten als Störer gestützt hat, so dass darüber zu entscheiden ist.

Auch insofern besteht kein Anspruch des Klägers, denn eine Haftung der Beklagten als Störer ist nicht schlüssig dargelegt.

Der Kläger hat insofern geltend gemacht, in dem Betrieb der Internetpräsenz mittels eines CMS, welches unstreitig nicht auf dem neusten Stand gewesen ist, sei eine Pflichtverletzung zu sehen, die eine Störerhaftung begründe.

Nach ständiger Rechtsprechung des Bundesgerichtshofs kann als Störer in analoger Anwendung von § 1004 BGB in Anspruch genommen werden, wer – ohne Täter oder Teilnehmer zu sein – in irgendeiner Weise willentlich und adäquat kausal zur Verletzung des geschützten Rechts beiträgt (BGH, GRUR 2018, 1044 – Dead Island, Rn. 15). Da die Störerhaftung nicht über Gebühr auf Dritte erstreckt werden darf, die die rechtswidrige Beeinträchtigung nicht selbst vorgenommen haben, setzt die Haftung des Störers die Verletzung von Verhaltenspflichten voraus. Deren Umfang bestimmt sich danach, ob und inwieweit dem als Störer in Anspruch Genommenen nach den jeweiligen Umständen des Einzelfalls unter Berücksichtigung seiner Funktion und Aufgabenstellung sowie mit Blick auf die Eigenverantwortung desjenigen, der die rechtswidrige Beeinträchtigung selbst unmittelbar vorgenommen hat, eine Prüfung zuzumuten ist (BGH, a.a.O.; GRUR 2010, 633 – Sommer unseres Lebens; GRUR 2011, 1038 – Stiftparfüm).

Welche konkreten Pflichten die Beklagten im Zusammenhang mit dem Betrieb der Internetseite www. k..de als für die Seite Verantwortliche getroffen und ob sie dagegen verstoßen haben, kann indes dahinstehen. Denn der insofern darlegungsbelastete Kläger hat nicht vorgetragen, dass das seiner Ansicht nach die Störerhaftung begründende Verhalten der Beklagten adäquat kausal gewesen sei bzw. gewesen sein müsse für die geltend gemachte Rechtsverletzung.

Der Anspruchsteller ist nach allgemeinen Grundsätzen darlegungs- und glaubhaftmachungsbelastet für die tatbestandlichen Voraussetzungen der Störerhaftung und damit auch dafür, dass eine – behauptete – Pflichtverletzung kausal geworden ist für die Rechtsverletzung. Ob die Beklagten hier insofern eine sekundäre Darlegungslast trifft, kann offen bleiben. Denn sie hätten dieser jedenfalls genügt, indem sie vorgetragen haben, dass ein Hacking-Angriff entweder über eine Sicherheitslücke in dem nicht auf neustem Stand befindlichen CMS oder aber über einen FTP-Zugriff erfolgt sein könne, wobei das wegen gelöschter Weblog-Dateien nicht mehr festzustellen sei. Der Kläger hat diesen Tatsachenvortrag zu Zugriffsmöglichkeiten Dritter nicht bestritten, sondern nur in Abrede genommen, dass tatsächlich ein Hacking-Angriff erfolgt sei.

Angesichts dieses Sachstands kann nicht davon ausgegangen werden, dass eine – unterstellte – Pflichtverletzung der Beklagten in Gestalt eines unsicheren Betriebs ihrer Internetseite kausal geworden sei für die Rechtsverletzung zu Lasten des Klägers. Denn zum einen ist unstreitig, dass der (bestrittene) Hacking-Angriff auch mittels FTP-Zugriffs hätte erfolgen können, ohne dass insofern eine Pflichtverletzung der Beklagten vorgetragen oder ersichtlich wäre. Wäre das Foto auf diese Weise auf den Server der Beklagten geladen worden, käme es auf Sicherheitslücken im CMS nicht an. Zum anderen ist weder vorgetragen noch ersichtlich, dass ein Einstellen des Fotos über einen Hacking-Angriff auf das CMS unmöglich gewesen wäre, wenn das CMS auf neustem Stand gewesen wäre. Es ist nämlich – allgemein bekannt – nicht davon auszugehen, dass eine Software unangreifbar ist, nur weil sie auf dem neusten Stand ist. Im Gegenteil können auch solche Programme bzw. Systeme Sicherheitslücken haben, die erst später entdeckt und dann ihrerseits durch ein neues Update geschlossen werden (sollen), und das passiert auch laufend. In Anbetracht dessen könnte nach dem zugrunde zu legenden Sachstand selbst dann nicht von einer kausalen Pflichtverletzung der Beklagten ausgegangen werden, wenn feststünde, dass das Foto mittels eines Hacking-Angriffs auf das CMS auf den Server der Beklagten hochgeladen wurde.

Die Beklagten haben nach Inkenntnissetzung durch den Kläger (Anlage K5) keine Pflichten verletzt, aufgrund derer sie als Störer haften könnten, und das macht der Kläger auch nicht geltend. Sie haben das Foto unstreitig innerhalb weniger Stunden nach Zugang der Abmahnung und damit unverzüglich entfernt.

III.

Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO. Weil der Antrag insgesamt zurückgewiesen wird, ist für die Kostenverteilung unerheblich, ob es sich bei dem auf die Täterschaft der Beklagten gestützten Unterlassungsanspruch und dem auf Störerhaftung gestützten Anspruch um verschiedene Streitgegenstände im Sinne von § 5 ZPO, § 45 Abs. 1 S. 2 GKG handelt und ob die Anträge wirtschaftlich denselben Gegenstand im Sinne des § 45 Abs. 1 Satz 3 GKG betreffen.

Die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus § 708 Nr. 6, § 711 ZPO. Obwohl es sich um eine Entscheidung im einstweiligen Rechtsschutz handelt, ist ein Ausspruch zur vorläufigen Vollstreckbarkeit nötig. Bei zurückweisenden Entscheidungen ergibt sich die vorläufige Vollstreckbarkeit nicht aus der Natur der Sache, und bei zurückweisender Entscheidung durch Urteil ist gemäß § 708 Nr. 6 ZPO darüber zu entscheiden (Huber in: Musielak/Voit, ZPO, 15. Auflage 2018, § 922 Rn. 7, 5).

IV.

Für den gemäß § 53 Abs. 1 Nr. 1 GKG, § 3 ZPO festzusetzenden Streitwert war zu berücksichtigen, dass es sich bei dem auf die Täterschaft der Beklagten gestützten Anspruch einerseits und dem auf Störerhaftung gestützten, ebenfalls beschiedenen Hilfsanspruch andererseits um zwei verschiedene Streitgegenstände handelt. Der Kläger stützt seine Ansprüche insoweit auf zwei unterschiedliche Sachverhalte. Es wäre auch – je nach Verantwortlichkeit der Beklagten – an sich ein unterschiedlich formulierter Antrag zu stellen, jedenfalls aber unterschiedlich zu tenorieren gewesen (vgl. dazu in einem Hauptsacheverfahren, in dem unterschiedlich formulierte Anträge gestellt wurden, OLG München, Urteil vom 02.03.2017, 29 U 3735/16, ZUM-RD 2017, 488, 494 unter III.).

Wegen der Höhe des Streitwerts ist das Gericht von der Angabe des Klägers ausgegangen, welcher für den auf täterschaftliche Haftung gestützten Antrag gegenüber beiden Beklagten insgesamt 7.000,00 € angegeben hat. Indes haften die Beklagten nicht als Gesamtschuldner auf Unterlassung, und ein Streitwert von lediglich 3.500,00 € für jeden einzelnen Anspruch erscheint angesichts der hohen Qualität des Fotos trotz des Umstands, dass es nur auf einer Unterseite abrufbar war, unangemessen niedrig. Unter Berücksichtigung des Umstands, dass eine Nutzung zur Erzielung von Einkünften hier nicht in Rede steht, hält die Kammer einen Streitwert von 5.000,00 € je Anspruch und damit für den auf Täterschaft gestützten Antrag insgesamt 10.000,00 € für angemessen, aber auch ausreichend. Für den auf Störerhaftung gestützten Antrag hat die Kammer, weil letztlich dasselbe Interesse des Klägers leitend ist und weil der „Angriffsfaktor“ eines Störers geringer zu bemessen ist, keinen Aufschlag um jeweils 100% genommen, sondern jeweils weitere 50% und damit insgesamt weitere 5.000,00 € hinzugesetzt.