Albtraum eines Online-Händlers: Erst gehackt und dann abgemahnt

„Da draußen“ tummeln sich Tausende von Hackern, die mit Angriffen auf die IT-Infrastruktur von Unternehmen versuchen, andere sinnlos zu schädigen oder an Daten heranzukommen. Das absolute Worst-Case-Szenario, das man selbst seinem ärgsten Feind nicht wünscht, ist einem Online-Händler passiert. Sein Amazon-Account wurde gehackt – mit weitreichenden Folgen. 

Stellen Sie sich vor, Sie öffnen eines Tages Ihren Amazon-Account und plötzlich sind Hunderte von Bestellungen eingegangen, ihr gesamtes Warenlager wurde aufgekauft. Das, was sich scheinbar nur um einen schlechten Scherz handeln kann, ist tatsächlich einem Händler passiert. Der Account wurde von einem Hacker angegriffen, Preise und Artikelbeschreibungen manipuliert und die rechtlichen Hinweise (AGB, Widerrufsbelehrung usw.) verändert. Ein absoluter Albtraum für jeden Online-Händler. Genau so ein Fall wurde unserer Redaktion erst ganz aktuell bekannt.

Das Bitterste daran ist, dass es sich mittlerweile nicht mehr um einen Einzelfall handelt. Ganze Produktpaletten werden durch den Hackerangriff preislich verändert und Waren gehen massenhaft für einen Spottpreis über den Ladentisch, weil Kunden glauben, den großen Fang gemacht zu haben.

Abmahnung nach Hackerangriff

Damit nicht genug. Aufgrund des Eingriffs kann es auch sonst zu Rechtsverstößen kommen, etwa weil Rechtstexte komplett gelöscht werden oder andere wesentliche Informationen fehlen, die zu einer Abmahnung führen können. Ob bei den Hackerangriffen ein Zusammenhang zu den Abmahnungen besteht, ist derzeit nicht nachweisbar.

Sich im Falle der Abmahnung von der Verantwortung zu befreien ist – zugegeben – schwer. So hatte der Bundesgerichtshof klargestellt, dass Marketplace-Händler, die auf der Internet-Verkaufsplattform Amazon-Marketplace Produkte zum Verkauf anbieten, eine Überwachungs- und Prüfungspflicht auf mögliche Veränderungen der Produktbeschreibungen ihrer Angebote trifft, die selbständig von Dritten vorgenommen werden (Urteil vom 3. März 2016, Az.: I ZR 140/14). Es ist gut denkbar, dass die Rechtsprechung auch auf Hackerangriffe ausgeweitet werden kann. Freilich ließe sich aufgrund der Ungerechtigkeit des Falles ein Exempel statuieren. Eine Verteidigung gegen die Abmahnung ohne Anwalt ist daher keine Option. Sie ist genauso ernst zu nehmen, wie jede andere Abmahnung auch.

Der Gang zur Polizei sollte ebenfalls nicht auf der To-do-Liste nach solch einem Fiasko fehlen. Auch die Plattform bzw. das betroffene Shopsystem muss mit dem Angriff konfrontiert werden, da eventuell ein Sicherheitsleck besteht. Die Plattform bzw. das Shopsystem wird auch ein eigenes Interesse daran haben, da sowohl andere Händler bedroht sein können, als auch dem Image der Plattform bzw. dem Shopsystem erheblicher Schaden entstehen kann. Auch sie sind verpflichtet, Maßnahmen zu treffen, die den Schutz der IT-Infrastrukturen gewährleisten. Nicht zuletzt können auch die Kunden bzw. Banken zu informieren sein, wenn deren Daten in die falschen Hände gelangt sind.

Rückabwicklung geschlossener Kaufverträge

Den meisten wird bei einem Smart-TV zum Preis von 99,90 Euro schon klar sein: "Hier stimmt etwas nicht." Diese Kunden sind aber meist nicht das Problem. Haarig wird es meist mit den Bestellern, die hartnäckig die Lieferung der Ware einfordern, notfalls "klage ich es ein!" Zumindest im Falle des Amazon-Angriff gilt: Bewahren Sie Ruhe und prüfen, ob überhaupt ein Kaufvertrag zustande gekommen ist. Ein Kunde kann nur eine Lieferung verlangen, wenn er dafür eine Rechtsgrundlage hat, sprich: ein rechtverbindlicher Kaufvertrag geschlossen wurde.

Im Falle einer Bestellung über Amazon läuft der Vertragsschluss wie folgt ab: Mit der Bestellung bzw. Bestellbestätigung des Kunden kommt noch kein Kaufvertrag zustande. Die Annahme des Angebots (und damit der Vertragsabschluss) erfolgt erst durch E-Mail von Amazon, in welcher dem Kunden der Versand der Ware durch den Verkäufer bestätigt wird.

Nicht immer lässt sich der Vertragsschluss verhindern, beispielsweise wenn Amazons FBA genutzt wird und die Ware bereits für den Versand vorbereitet wird. Ein einmal geschlossener Vertrag muss erfüllt werden. Es gibt jedoch Mittel und Wege, aus dem Vertrag wieder herauszukommen. Das Zauberwort heißt „Anfechtung“. Ein Mittel, dass auf jeden Fall auszuschöpfen ist. Aus dieser Anfechtungserklärung muss eindeutig hervorgehen, dass sich der Händler vom Vertrag lösen will und unverzüglich ausgesprochen werden, nachdem von der falschen Preisauszeichnung Kenntniserlangung erlangt wurde.

Als Folge einer wirksamen Anfechtung wird der Kaufvertrag aufgelöst und gilt als von Anfang an nichtig. Online-Händler sollten sich jedoch bewusst sein, dass ggf. Schadensersatzansprüche drohen. Geht es um große Summen, wie etwa in dem uns vorliegenden Fall, sollte auf jeden Fall Hilfe durch einen Rechtsanwalt eingeholt werden. Erst recht, wenn die Ware schon auf dem Weg zum Kunden ist und mühsam zurückgefordert werden muss.

In der nächsten Ausgabe unseres Onlinehändler-Magazins beleuchten wir das Thema Cyberkriminalität und seine verschiedenen Angriffsrichtungen noch tiefer. Unter dem Motto „Hilfe zur Selbsthilfe bei Attacken und Betrügereien aus dem Internet“ werden sowohl vorbeugende Maßnahmen als auch der Umgang mit dem Ernstfall thematisiert. Das Magazin erscheint Anfang nächster Woche.