Wer haftet für Spam-Filter?

Spamming verstösst in der Schweiz wie in zahlreichen anderen Ländern gegen das Gesetz. Im Rahmen der Revision des Fernmeldegesetzes soll Spamming in der Schweiz sogar ausdrücklich unter Strafe gestellt werden. In der Praxis ist dies allerdings nur von begrenzter Relevanz, da bloss die wenigsten Spammer aus der Schweiz operieren.
Das lenkt den Fokus auf technische Massnahmen der Gegenwehr in der Form von Spam-Filtern. Sie sind in den letzten Jahren deutlich verbessert worden. Immer häufiger bieten Internet-Provider Spam-Filter als Zusatz zu ihren E-Mail-Diensten an, und Unternehmen setzen entsprechende Programme auf ihren eigenen Mail-Servern ein. Mit ihnen lässt sich heute der grösste Teil der unerwünschten Werbeflut aus der eigenen «Inbox» fernhalten, auch wenn dies ein laufendes «Hochrüsten» angesichts der immer neuen Tricks der Spammer verlangt.

Doch wie steht es um die rechtliche Verantwortlichkeit für diese Spam-Filter? Diese Frage ist in den vergangenen Jahren nie ernsthaft diskutiert worden. Immerhin haben einige US-Spammer versucht, gegen Provider mit solchen Spam-Filtern rechtlich vorzugehen und sich dabei auf die Meinungsäusserungsfreiheit oder eine angebliche «Werbefreiheit» berufen. Das ist natürlich Unsinn; ein Spammer hat gegenüber den Providern seiner Adressaten überhaupt keine Ansprüche.

Kunde am kürzeren Hebel

Aber auch dort, wo ein Internet-Provider einen eigenen Kunden daran hindert, unverlangte Massen-Werbemails zu versenden, sitzt der Kunde in der Regel am kürzeren Hebel. So behalten sich kommerzielle Internet-Provider in solchen Situationen im Rahmen ihrer Vertragsbedingungen typischerweise vor, den Zugang im Falle von Spamming zu unterbrechen oder das Vertragsverhältnis aufzulösen. Doch selbst wo dies nicht der Fall ist, gilt, dass ein Vertrag, soweit er einem rechtswidrigen oder unsittlichen Zweck dient, nichtig ist. Ein Provider kann also nicht gezwungen werden, seine Dienste für illegale Spamming-Aktivitäten seinem Kunden zur Verfügung zu stellen – auch wenn er einen Vertrag abgeschlossen hat. Handelt es sich beim Kunden freilich um einen «fahrlässigen» Spammer, der nicht mutwillig handelt, kann von einem Provider mangels anderer Bestimmungen erwartet werden, dass er den Kunden vor einer fristlosen Auflösung des Zugangs zumindest verwarnt.

Gekaperte Systeme

Heikler wird es in jenen Fällen, in denen der Kunde eines Providers sich nicht bewusst ist, dass über seine Systeme Massenwerbung versandt wird. Die Rede ist hier von sogenannten «Zombies» oder «Botnets», also von Computern, die über eingeschleuste Programme unbemerkt ferngesteuert für verdeckt operierende Dritte Massenmails in alle Welt ­versenden.
Tritt ein solcher Fall auf, darf ein Provider zur Verhinderung weiteren eigenen und fremden Schadens den fraglichen Kunden üblicherweise ohne Vorwarnung vorübergehend vom Netz nehmen, muss ihn über diese Massnahme aber umgehend orientieren und ihm Gelegenheit geben, Abhilfe zu schaffen.
Für etwaige Schäden – auch für die Folgen der Unterbrechung des Internetzugangs – dürfte in solchen Fällen meist der Kunde selbst haften: Entweder liegt das Verschulden ohnehin bei ihm, weil er seinen Computer nicht hinreichend gegen eine «Kaperung» durch Spammer geschützt hat, oder aber der Computerbesitzer haftet, weil sich der Zwischenfall in seiner Risikosphäre ereignet hat. Das dürfte auch dann gelten, wenn er alles getan hat, was von ihm vernünftigerweise verlangt werden kann. Die Hauptverantwortung trägt zwar selbstverständlich der Spammer, doch wird sich dieser erfahrungsgemäss aus praktischen Gründen nicht belangen lassen.

Filtern wir mit Zustimmung

Auf der Seite der Empfänger von Spam verhält es sich etwas anders: Ein E-Mail-Provider darf den Mail-Verkehr seiner Kunden ohne deren Wissen und mindestens impliziten Zustimmung nicht einem Filter unterziehen, es sei denn, es ist Gefahr im Verzuge, was etwa im Falle einer Wurm-Epidemie oder einer plötzlichen Flut von E-Mails gelegentlich der Fall sein kann. Aber auch in einer solchen Situation wird der Provider, sofern dies möglich und zumutbar ist, die eintreffenden E-Mails nicht einfach löschen dürfen, sondern muss dem Absender zumindest eine Mitteilung zukommen lassen, dass seine Mails nicht zugestellt werden konnten. Löscht ein Provider eigenmächtig eine legitime E-Mail oder stellt er sie dem Kunden nicht innert nützlicher Frist zu, so wird er – mangels anderer Abrede – für etwaige Schäden haften müssen, wenn er nicht belegt, dass er sich so verhalten hat, wie das von einem gewissenhaften Provider unter den gegebenen Umständen erwartet werden kann. Das Beweisrisiko trägt der Provider.

Risikosphäre des Kunden

Ist der Betrieb eines Spam-Filters durch den Provider vereinbart worden, so liegt das Risiko, dass ab und zu auch eine legitime
E-Mail herausgefiltert wird, in der Regel beim Kunden des Providers. Entsteht dadurch ein Schaden, müsste der Kunde den Nachweis erbringen, dass der Provider seine Dienstleistung nicht vereinbarungsgemäss erbracht hat. Das wäre etwa der Fall, wenn er eine vom Kunden definierte Whitelist (Liste zulässiger Absender) nicht berücksichtigt oder er das System nicht richtig konfiguriert hat und in der Folge deutlich mehr
E-Mails als üblich im Filter hängenbleiben. Hat der Provider seine Haftung zudem, wie üblich, auf das gesetzliche Minimum beschränkt, muss der Kunde dem Provider überdies nachweisen, dass er sich grobfahrlässig verhalten hat. Dies dürfte angesichts der Tatsache, dass Spam-Filtering keine exakte Wissenschaft ist, eher schwer sein.

Es gibt allerdings eine wichtige Einschränkung: Ist der Kunde unerfahren, dürfte sich der Provider nur dann wirkungsvoll enthaften können, wenn er den Kunden über die Grenzen des Spam-Filters informiert hat oder aber ihm eine Möglichkeit gibt, alle ausgefilterten E-Mails selbst zu sichten. Das Bundesamt für Kommunikation erachtet reine Spam-Filter-Services im übrigen nicht als Fernmeldedienst, weshalb Erbringer von solchen Dienstleistungen nicht dem Fernmeldegesetz und damit auch nicht den besonderen Vorschriften zur Überwachung des E-Mail-Verkehrs unterstehen.

Kann ein Kunde seinen Provider für eine fälschlicherweise herausgefilterte E-Mail nicht belangen, so stellt sich zuletzt die Frage, wie er rechtlich im Verhältnis zum Absender der E-Mail steht. Ein Beispiel könnte eine Firma sein, welcher die eilige Mitteilung eines Vertragspartners wegen eines Spam-Filters (der Firma) nicht oder nicht rechtzeitig zugeht und sie den Partner daher zu spät beliefert. Schweizer Gerichtsurteile gibt es hierzu – wie auch zu den anderen Konstellationen – zwar keine. Das Risiko dürfte aber (wiederum) bei der Firma liegen, die den Spam-Filter betreibt oder von einem Provider für sich betreiben lässt: Bleibt darin eine legitime E-Mail hängen und blieb der Absender über die Nicht-Zustellung im dunkeln, so dürfte die Mail rechtlich als zugestellt gelten – so ähnlich wie der Papierbrief, der versehentlich entsorgt wird, weil er im Briefkasten des Empfängers zwischen zwei Werbesendungen gelangte.

Der Autor

David Rosenthal ist Konsulent für Informations- und Telekommunika­tions­recht, Homburger Rechtsanwälte, Zürich, und Lehrbeauftragter für Informatik- und Telekommunikationsrecht der Universität Basel.