Risikoverteilung zwischen Serverinhaber und Kunde bei DOS-Attacken

× Gerade eilig? Entscheidung kostenlos als PDF herunterladen.

Gericht

AG Gelnhausen

Datum

06.10.2005

Aktenzeichen

51 C 202/05

Branche/ Lebenslage

  • Webhostprovider,
  • Abkoppelung der Server des Kunden von Netz,
  • fristlose Kündigung,
  • Vergütung,
  • DDos-Attacke,
  • Risikoverteilung,
  • erhöhter Datenverkehr

Akteure

  • Internetdienstanbieter,
  • Reseller für Hosting-Leistungen/Kunde,
  • Endkunden,
  • unbekannte Dritte

Wer haftet?

  • Reseller/Kunde

Haftungsart

Zahlung von Entgelt

Haftungsumfang

  • Entgelt für erhöhten Datentransfer (nicht jedoch: Grundpreis), für Dienstleistung zur Verhinderung der Angriffe

Haftungsbegründendes Verhalten

Durch unbekannte Dritte durchgeführte DDoS-Attacken auf Server des Kunden führen dazu, dass Dienstanbieter dessen gesamtes Rechnersystem vom Netz nimmt

Technische Umstände

Durch DDoS-Attacken Absturz der Server des Kunden / Resellers

Persönliche Umstände

DDoS-Attacken auf Servers des Kunden liegen in dessen Risikobereich

Möglichkeiten der Haftungsvermeidung

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Ein Internetdienstanbieter in Form eines Hosting-Anbieters stellt Kapazitäten seines Web-Servers einem sog. Reseller für Hosting-Leistungen für dessen Kunden zur Verfügung. Datentransfer, der über das von dem Grundpreis erfasste Volumen hinausgeht, ist zusätzlich zu vergüten.

In den AGB des ISP ist u.a. die Klausel enthalten: ‚Wenn Sie sich während der Benutzung des Servers auf eine Weise verhalten, die gegen diese Richtlinien verstößt oder auf andere Art illegal oder unangemessen ist, behalten wir uns das Recht vor, Ihren Zugang zum Service vorübergehend oder endgültig aufzuheben. In den meisten Fällen werden wir versuchen, Sie darüber zu informieren, dass bestimmte Aktivitäten gegen die Richtlinien verstoßen, und wir werden Sie bitten, diese Aktivitäten zu unterlassen (…) (Rössel, ITRB 2006, 29, 30).

In der Folge haben unbekannte Dritte eine sog. DDoS-Attacke auf den Server des Resellers ausgeführt und diesen dadurch zum Absturz gebracht. Bei einer sog. Distributed Denial of Service Attacke handelt es sich um eine durch eine Unmenge von Anfragen verursachte Blockade eines Internetdienstes, der dadurch nicht mehr verfügbar ist. Der Dienstanbieter nahm danach ohne Ankündigung das gesamte Rechnersystem des Resellers vom Netz. Nachdem der Reseller den Dienstanbieter wiederholt erfolglos zur Wiederanbindung seiner Rechner an das System des Anbieters aufgefordert hatte, erklärte er schriftlich die außerordentliche Kündigung des Vertragsverhältnisses.

Der Internetdienstanbieter begehrte sodann von dem Reseller Zahlung der Entgelte für den durch die DDoS-Attacken hervorgerufenen erhöhten Datentransfer, für den Grundpreis sowie für Abwehrmaßnahmen u.a. zur Beendigung der Angriffe.

Zwar sei die außerordentliche Kündigung rechtens gewesen, das AG Gelnhausen gab dem Internetdienstanbieter als Kläger jedoch hinsichtlich des Entgelts Recht. Dieser habe gegen den Reseller einen Anspruch auf Vergütung für den erhöhten Datentransfer. Daneben habe der Reseller die Kosten für die Dienstleistungen des Klägers zur Verhinderung der Angriffe zu tragen.

Ein Anspruch auf Zahlung des Grundpreises bestehe jedoch nicht, da im fraglichen Zeitraum der Internetdienstanbieter seine Leistung nicht erbracht habe. Daneben war er auch nicht berechtigt, das komplette System des Resellers vom Netz zu nehmen.

ANMERKUNGEN

Das AG Gelnhausen äußert sich mit der vorliegenden Entscheidung zur Risikoverteilung zwischen dem Serverinhaber als Internetdienstanbieter und dem Hosting-Reseller als Kunden bei DDoS-Attacken.

Danach hat zwar der Kunde ein Recht zur fristlosen Kündigung aus wichtigem Grund, wenn der Provider nach einer DDoS-Attacke den Server des Kunden (hier in Form des Resellers) vom Netz nimmt.

Der Internetdienstanbieter hat jedoch Anspruch auf die vereinbarte Vergütung für einen erhöhten Datentransfer (nicht jedoch auf Zahlung des Grundpreises), wenn die Angriffe auf den Server des Kunden erfolgten, da solche Attacken im Risikobereich des Kunden liegen.

Vgl. kritisch zur vorliegenden Entscheidung Rössel, ITRB 2006, 29-30.

Schreiben Sie einen Kommentar