1

G r ü n d e :

2

• I  

3

Die Klägerin, bei der es sich um ein mittelständisches Unternehmen handelt, mietete zum Gebrauch in ihrem Geschäftssitz bei der Beklagten mit Vertrag vom 22.04./28.06.2009 (Anlage 1 zur Klageschrift, Bl. 13 ff. GA) eine Telefonanlage, welche von der Beklagten eingerichtet wurde. Bestandteil des zwischen den Parteien geschlossenen Vertrages waren auch die „Überlassungsbedingungen für Managed Miete“ der Beklagten (Anlage 1 zur Klageschrift, Bl. 16 ff. GA). In Ziffer 3 dieser Überlassungsbedingungen befanden sich u.a. die folgenden Regelungen:

4

„3.1 […]

5

3.2 Der Vermieter hält die Anlage betriebsfähig. Soweit das/die gemäß Ziffer 1 des Mietvertrages vereinbarte(n) Servicepaket/Servicemodul(e) nichts Abweichendes vorsieht/vorsehen, beseitigt der Vermieter auf seine Kosten Programmfehler sowie alle bei ordnungsgemäßem Gebrauch durch natürliche Abnutzung entstandenen Störungen. Die Kosten für alle übrigen Leistungen, insbesondere Instandsetzungs- und Erneuerungsarbeiten am Leitungsnetz sowie für den Ersatz verbrauchter Akkus für schnurlose Telefone sind vom Auftraggeber zu tragen.

6

3.3 Alle an der Anlage erforderlichen Arbeiten einschließlich Instandsetzung und Erneuerung sowie Störungs- und Schadensbeseitigungen werden ausschließlich vom Beauftragten des Vermieters und, soweit sich aus dem/den jeweils vereinbarten Servicepaket/Servicemodul(en) nichts anderes ergibt, während der bei ihm üblichen Arbeitszeit ausgeführt.

7

3.4 Der Beauftragte des Vermieters kann die Instandhaltungsverpflichtungen mit vorheriger Ankündigung beim Auftraggeber auch im Wege der Fernwartung (Remote Service) erfüllen.“

8

Zu der Telefonanlage gehörte auch ein integriertes Mailboxsystem, das über die Eingabe von Passwörtern funktionierte. Bei der Übergabe der Anlage an die Klägerin ließ sich die Beklagte von der Klägerin eine Übernahmebestätigung (Anlage B1, Bl. 46 ff. GA) unterzeichnen, in der es u.a. hieß:

9

„Die Sicherheit der Passwörter auf allen anderen Ebenen des Telekommunikationssystems, also insbesondere der Endgeräte sowie ggf. der Operator- und Administrator, liegt in unserer [gemeint: klägerischer] Verantwortung. Die NextiraOne Deutschland GmbH [Beklagte] hat uns [Klägerin] darauf hingewiesen, dass wir die Standard-Passwörter auf diesen Ebenen im Interesse unserer eigenen Sicherheit durch individuelle Passwörter, die sicher zu verwahren sind, ersetzen sollen.“

10

Der Klägerin oblag es für den Gebrauch der Mailboxsysteme, intern Passwörter zu vergeben, wobei diese ausschließlich aus freiwählbaren vierstelligen Zahlenkombinationen bestehen konnten. Die Beklagte behielt ihrerseits über eine Fernwartungsleitung die Möglichkeit, auf die Anlage Zugriff zu nehmen, um z.B. Upgrades aufspielen oder (sonstige) Wartungsarbeiten durchführen zu können (sog. Remote-Service).

11

Die Klägerin nahm die Anlage in Betrieb und zahlte die anfallenden Mieten.

12

Mit Schreiben vom 03.02.2012 (Anlage 2 zur Klageschrift, Bl. 19 f. GA) wandte sich die Beklagte an die Klägerin und erklärte, dass sie „aus aktuellem Anlass“ über eine „zunehmende Anzahl von unberechtigten Zugriffen („Hacking-Angriffe“) auf das integrierte Mailboxsystem“ informieren wolle, „welche teilweise zu erheblichen Schäden durch Verbindungskosten ins Ausland“ führe. Den ihr, der Beklagten, bekannten Fällen sei gemein, dass die unberechtigt auf das System zugreifenden Dritten die verwendeten Passwörter „erraten“ hätten. Es solle daher – „Maßnahme 1“ – davon abgesehen werden, einfache Passwörter (z.B. 1234 oder 0000) zu verwenden. Zudem – so die Ausführungen in dem Schreiben weiter – würden alternativ zwei (kostenpflichtige) Maßnahmen (Nr. 2 und 3) angeboten. Hinsichtlich der Maßnahme 3 hieß es u.a. wörtlich:

13

„Wir führen ein Software-Upgrade auf Release-Stand 8 durch. Darin ist der in Variante 2 genannte Patch enthalten. Die Anzahl der Einwahlversuche in die Mailbox wird automatisch auf drei Fehlversuche begrenzt, zusätzlich stehen Ihnen alle neuen Leistungsmerkmale zur Verfügung, die Ihr System auf den neuesten Stand der aktuellen Technik bringen.“

14

Die Klägerin reagierte zunächst nicht und änderte auch das intern vergebene Passwort nicht.

15

Nachdem die Klägerin von ihrer Telefongesellschaft F GmbH die Telefonrechnung für den Monat Februar 2012 erhalten hatte, die sich über einen erheblichen Betrag in Höhe von Euro 72.470,37 brutto verhielt (Anlage 3 zur Klageschrift, Bl. 21 ff. GA), wandte sie sich an die Beklagte und bestellte das kostenpflichtige Upgrade der „Maßnahme 3“ (ob mündlich oder schriftlich ist unklar). Diese Bestellung ging bei der Beklagten am 19.03.2012 ein, wobei die Klägerin dabei die Beklagte auch darüber informierte, dass ihre Anlage von Dritten „gehackt“ worden sei (ob es zu einem Hackerangriff gekommen ist, ist zwischen den Parteien streitig). Die Klägerin änderte nunmehr, nachdem sie von den – streitigen – Hackerangriffen erfahren hatte, auch ihr internes Passwort für das Mailboxsystem.

16

Wie bereits ausgeführt, betrug die Telefonrechnung der Klägerin für den Monat Februar 2012 Euro 72.470,37 brutto. Dabei wurden von einer der Telefonnummern der Anlage der Klägerin allein am 04.02.2012 über 1.000 Anrufe nach Aserbeidschan („AZE“) getätigt (siehe Einzelverbindungsnachweise, Bl. 71 ff. GA, Anlage zum Schriftsatz der Klägerin vom 03.12.2012), obgleich die Klägerin mit diesem Land keine Geschäftsverbindung unterhielt. Zudem wurden auch zahlreiche Anrufe zu Telefonnummern auf den Cook-Islands und in andere Länder, mit denen die Klägerin in keinem Kontakt stand, geführt.

17

Im März 2012 betrug die Telefonrechnung der Klägerin dann Euro 589,06.

18

Beide Rechnungen bezahlte die Klägerin nicht.

19

Seit Änderung des Passworts durch die Klägerin und Aufspielen des Upgrades durch die Beklagte ist es zu keinen Hackerangriffen (mehr) gekommen.

20

Die Klägerin hat behauptet, dass die von der Beklagten gemietete Telefonanlage durch unbekannte Dritte „gehackt“ worden sei. Der durch die Beklagte zur Verfügung gestellte Passwortschutz sei nicht ausreichend sicher. Zudem weise das Passwort, das die Beklagte vergeben habe und welches zum Zwecke des Zugriffs auf ihre Anlage (Remote Service) den Zugang ermögliche, Sicherheitslücken auf, die für den gegenständlichen Hacking-Angriff verantwortlich sei. Zudem seien 4-stellige Nummernfolgen als Passwörter nie sicher. Im Übrigen habe sie, die Klägerin, auf die entsprechende Empfehlung der Beklagten hin, das Passwort dahingehend geändert, dass eine ungeordnete vierstellige Zahlenkombination eingegeben worden sei.

21

Die Klägerin hat weiter behauptet, dass ihr durch die Hacker-Angriffe ein Schaden in Höhe der Klageforderung entstanden sei. Zwar habe sie die Rechnungen noch nicht gezahlt; sie werde das aber noch tun müssen, so dass ihr – so hat sie gemeint – jedenfalls derzeit ein Freistellungsanspruch gegen die Beklagte zustehe.

22

Die Klägerin hat die Auffassung vertreten, dass die Beklagte aus dem geschlossenen Vertrag unter Sorgfaltspflichtgesichtspunkten angehalten gewesen sei, die Anlage vor Hacker-Angriffen zu schützen. Nachdem sie von der steigenden Zahl von Hacker-Angriffen erfahren habe, sei sie verpflichtet gewesen, auch ohne ihre Kenntnis über den Remote Service die Anlage sicher zu halten. Letztlich ergebe sich die Verpflichtung der Beklagten, die an sie, die Klägerin, vermietete Anlage vor Angriffen Dritter zu schützen auch aus Ziffer 3 der Überlassungsbedingungen für Managed Miete.

23

Die Klägerin hat erstinstanzlich beantragt, die Beklagte zur Zahlung in Höhe von Euro 72.264,46 nebst Zinsen zu verurteilen, hilfsweise sie von den Forderungen der F GmbH in Höhe des Klagebetrages aus den Rechnungen Februar und März 2012 freizustellen.

24

Die Beklagte hat beantragt, die Klage abzuweisen.

25

Die Beklagte hat behauptet, dass es nur deshalb zu erfolgreichen Hackerangriffen habe kommen können, weil die Klägerin unsichere Passwörter vergeben haben müsse. Ihre Fernwartungsleitung auf das System (Remote) sei sicher; hierauf seien die Angriffe nicht rückführbar. Sie, die Beklagte, habe die Klägerin schließlich auch mit Schreiben davor gewarnt, unsichere PIN zu verwenden, so dass sie für den Eintritt etwaiger Schäden selber verantwortlich sei, wenn sie die unsicheren Zahlencodes daraufhin weiterverwendet habe, anstatt diese zu ändern.

26

Sie, die Beklagte, habe keine vertragliche Verpflichtung getroffen, von sich aus die Telefonanlage der Klägerin vor Hacker-Angriffen zu schützen. Im Übrigen sei ihr das aber auch gar nicht möglich gewesen. Als sie von den Angriffen auf die Anlage der Klägerin erfahren habe, habe sie sogleich – was nicht streitig ist – durch das Schreiben mit den Upgrade-Angeboten reagiert und dort schließlich auch noch einmal darauf hingewiesen, dass sichere Passwörter genutzt werden müssten. Wenn die Klägerin zuvor unsichere Passwörter genutzt habe, sei sie selbst für den eingetretenen Schaden – so dieser denn tatsächlich eingetreten sei – verantwortlich.

27

Das Landgericht hat die Klage abgewiesen. Es hat ausgeführt, dass die Beklagte weder vertraglich noch gesetzlich für den bei der Klägerin entstandenen Schaden, so er denn feststehe, hafte.

28

Hiergegen richtet sich die Berufung der Klägerin, mit der sie die vollumfängliche Verurteilung der Beklagten auf Grundlage der gestellten Klageanträge erstrebt. Das Landgericht habe, so die Auffassung der Klägerin, die Klage zu Unrecht abgewiesen. Die Beklagte sei schon – verschuldensunabhängig – gemäß § 536a BGB verantwortlich, da die Anlage einen Mangel aufgewiesen habe, nämlich mangelnde Tauglichkeit vor Hacker-Angriffen. Diese Mangelhaftigkeit sei der Beklagten, so ihre Behauptung, auch bekannt gewesen. Es komme auch nicht darauf an, ob diese Gefahrenquelle schon vor oder erst nach Vertragsschluss vorgelegen habe. Die Beklagte sei jedenfalls verpflichtet gewesen, Abhilfe zu schaffen. Da sie dies unterlassen habe, treffe sie eine Haftung für die durch die Hacker-Angriffe verursachten Telefonkosten.

29

Die Klägerin ist weiter der Auffassung, dass die Beklagte auch aus Vertrag hafte. Die entsprechende Verantwortlichkeit der Beklagten ergebe sich schon aus Ziffern 3.3 und 3.4 der Überlassungsbedingungen der Beklagten.

30

Die Klägerin beantragt,

31

unter Aufhebung des Urteils des Landgerichts Köln vom 06.03.2013 (23 O 322/12) die Beklagte zu verurteilen, an sie Euro 72.264,46 nebst Zinsen in Höhe von 8 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 08.06.2012 zu zahlen;

32

hilfsweise die Beklagte zu verurteilen, sie von sämtlichen Verbindlichkeiten aus der Rechnung der F GmbH vom 13.03.2012, Rechnungsnummer 635xxxxxx, für Februar 2012 in Höhe von Euro 72.087,57 sowie aus der Rechnung der F vom 12.04.2012 Rechnungsnummer 65xxxxxx, in Höhe von Euro 176,89 freizustellen.

33

Die Beklagte beantragt,

34

                                          die Klage abzuweisen.

35

Sie meint, sie hafte schon deshalb nicht nach § 536a BGB, weil die Anlage mangelfrei gewesen sei. Im Übrigen komme es auch entscheidend darauf an, ob der Mangel bei Vertragsschluss vorgelegen habe oder erst später eingetreten sei. Nur in ersterem Falle komme eine verschuldensunabhängige Haftung des Vermieters in Betracht, im anderen Falle bedürfe es sehr wohl des Vorliegens von Verschulden.

36

Eine Haftung ergebe sich auch nicht aus den Ziffern 3.3 und 3.4 der Überlassungsbedingungen. Die Anlage sei stets betriebsfähig gewesen. Auch seien keinerlei Störungen aufgetreten. Zu erfolgreichen Hacker-Angriffen habe es – sollten denn solche tatsächlich erfolgt sein – nur kommen können, weil es Dritten offenbar ermöglicht worden sei, die richtige Zahlenkombination zu erraten, woraus sich ergebe, dass die Klägerin offenbar einfache Zahlenkombinationen gewählt habe, die ohne Weiteres durch Dritte hätten herausgefunden werden können. Dies folge schon daraus, dass bei dreimaliger Falschangabe der verwendeten Zahlenkombination die betreffende Nebenstelle – was als solches unstreitig ist - gesperrt werde, so dass ein „Durchprobieren“ verschiedener Kombinationen von Nummern durch einen Angreifer technisch gar nicht möglich sei.

37

Im Übrigen habe die Klägerin schließlich auch in der Übernahmebestätigung vom 14.05.2009 (Anlage B1) „anerkannt“, dass die Sicherheit der Passwörter in ihrer eigenen Verantwortung liege. Eine vertragliche Verpflichtung, die Anlage gegen Angriffe von außen abzusichern, habe sie, die Beklagte, nicht getroffen.

38

Zudem werde aber auch der Eintritt des Schadens mit Nichtwissen bestritten. Dieser sei nach wie vor nicht substantiiert dargelegt.

39

• II  

40

Die Berufung der Klägerin war gem. § 522 Abs. 2 ZPO durch Beschluss zurückzuweisen, weil das Rechtsmittel offensichtlich keine Aussicht auf Erfolg hat (§ 522 Abs. 2 S. 1 Nr. 1 ZPO). Es ist nicht ersichtlich, dass die angefochtene Entscheidung auf einer Rechtsverletzung beruht (§ 546 ZPO) oder nach § 529 ZPO zu Grunde zu legende Tatsachen eine andere Entscheidung rechtfertigten (§ 513 Abs. 1 ZPO). Die Rechtssache hat auch keine grundsätzliche Bedeutung (§ 522 Abs. 2 S. 1 Nr. 2 ZPO). Ebenso wenig ist eine Entscheidung des Senats durch Urteil zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung erforderlich (§ 522 Abs. 2 S. 1 Nr. 3 ZPO) oder eine mündlichen Verhandlung aus anderen Gründen geboten (§ 522 Abs. 2 S. 1 Nr. 4 ZPO).

41

Die Klägerin ist auf die beabsichtigte Zurückweisung der Berufung und die Gründe hierfür mit Beschluss des Senats vom 13.06.2013 hingewiesen worden. An den darin geäußerten Erwägungen hält der Senat fest. Das neue Vorbringen der Beklagten mit Schriftsatz vom 08.07.2013 gibt nur noch zu folgenden ergänzenden Ausführungen Anlass:

42

Es ist schon im Hinweisbeschluss dargelegt worden, dass nicht erkennbar ist, dass die Beklagte eine vertragliche Verpflichtung getroffen hätte, Software-Updates zum verbesserten Schutz vor Hackerangriffen kostenfrei anzubieten bzw. von sich aus auf die durch die Klägerin gemietete Telefonanlage aufzuspielen. Zu den vertraglichen Verpflichtungen der Beklagten gehörte es nicht, die Telefonanlage vor Hackerangriffen zu bewahren. Soweit die Klägerin Entsprechendes behauptet, bleibt sie einen Beleg in Form einer entsprechenden Vertragsklausel bzw. einer Klausel in den Überlassungsbedingungen schuldig.

43

Zudem ist es nicht „unstreitig“, dass die von der Beklagten an die Klägerin vermietete Telefonanlage von Anfang an die Möglichkeit geboten hätte, sich „unberechtigt in die Telefonanlage einwählen“ zu können, wobei auch unklar ist, was darunter zu verstehen sein soll. Denn stets war die Überwindung eines durch die Klägerin zu vergebenden vierstelligen Zahlencodes Voraussetzung für die Möglichkeit, sich (unberechtigt) einzuwählen. Indem die Klägerin diesen Schutz als nicht ausreichend bezeichnet hat, hat sie im Übrigen zu erkennen gegeben, dass sie selbst nicht davon ausgegangen ist, dass sich Dritte – ohne jede Schutzvorrichtung – einwählen können.

44

Es ist auch nicht erkennbar, weshalb es der Beklagten verwehrt gewesen sein soll, mit Nichtwissen zu bestreiten, dass die hier streitgegenständlichen Telefonanrufe durch unberechtigt auf das System zugreifende Dritte getätigt worden sind. Auch wenn es unwahrscheinlich erscheint, ist doch das einfache Bestreiten mit Nichtwissen ohne weiteres zulässig, da es sich insofern um Vorgänge handelt, die der eigenen Wahrnehmung der Beklagten entzogen sind (§ 138 Abs. 4 ZPO). Dafür, dass die Anrufe nicht von Mitarbeitern der Klägerin geführt worden sind, hätten daher ohne Weiteres die Mitarbeiter als Zeugen angeboten werden können, was nicht nur erst-, sondern auch zweitinstanzlich unterblieben ist. Selbst nachdem die Klägerin nunmehr ausdrücklich auf diesen Umstand mit dem Hinweisbeschluss vom 13.06.2013 aufmerksam gemacht worden ist, hat sie dies gleichwohl noch immer nicht zum Anlass genommen, ordnungsgemäß Beweis anzubieten. Vielmehr beruft sie sich in ihrem jüngsten Schriftsatz vom 08.07.2013 auf die „Anhörung der Geschäftsführer der Klägerin“, obgleich es sich insofern um ein unzulässiges Beweisangebot handelt.

45

Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO, jene über die vorläufige Vollstreckbarkeit auf §§ 708 Nr. 10, 711 ZPO.

46

Streitwert für das Berufungsverfahren: Euro 72.264,46