Händler haften für geknackte E-Gutscheine

Händler, die bei der Ausgabe elektronischer Gutscheine die Datensicherheit vernachlässigen, gehen ein erhebliches Haftungsrisiko ein

Kunden sollten sich vor dem Kauf gehackter Gutscheine hüten.

***

Da immer mehr Konsumgüter online erworben werden, erfreuen sich auch elektronische Gutscheine zunehmender Beliebtheit. Diese werden in Form eines Buchstaben- bzw. Zahlencodes elektronisch an den Kunden übermittelt. Dass der Datensicherheit in diesem Zusammenhang größte Bedeutung zukommt, wird spätestens dann deutlich, wenn man einen Gutschein einlösen möchte, die Website des Händlers dies jedoch verweigert, weil die Einlösung bereits durch einen Hacker erfolgt ist.

Der Hacker selbst macht sich durch das Einlösen eines fremden Gutscheins jedenfalls wegen eines betrügerischen Datenverarbeitungsmissbrauchs nach § 148a des Strafgesetzbuches strafbar. Den Hacker zu identifizieren oder gar von ihm Ersatz zu erlangen ist hingegen meist nicht möglich. Dies wirft die Frage nach der Haftung des Händlers auf:

Grundsätzlich ist danach zu differenzieren, wie der Hacker an den Gutschein-Code gelangen konnte. Ist diese Ursache der Sphäre des Händlers zuzuordnen, so wird er betroffene Gutscheine auch dann akzeptieren müssen, wenn sie bereits durch einen Hacker eingelöst wurden.

Beispielsweise werden regelmäßig Sicherheitslücken in E-Commerce-Software entdeckt, die es Hackern ermöglichen, den Web-Shop zu kompromittieren und so gültige Gutschein-Codes herunterzuladen. In einem ähnlichen Fall musste Sears, einer der größten Einzelhändler in den USA, feststellen, dass über automatisierte Abfragen der Gutschein-Verifikation auf Sears.com innerhalb kürzester Zeit tausende gültige Gutschein-Codes "erraten" werden konnten. Schließlich wäre es bei kleineren selbstprogrammierten Webshops auch denkbar, dass der Gutschein-Code für Hacker berechenbar wird, da er beispielsweise auf Grundlage des Ausstellungsdatums und somit nicht nach Zufallskriterien generiert wird.

In all den genannten Fällen liegt die Ursache für die Kompromittierung des elektronischen Gutscheins in der Sphäre des Händlers. Dieser haftet daher für alle Folgen der Kompromittierung und muss "gehackte" Gutschein-Codes gegebenenfalls mehrmals einlösen.

Anderes gilt, wenn ein Hacker Gutschein-Codes erlangt, indem er eine Sicherheitslücke in der Sphäre des Kunden (Gutschein-Inhabers) ausnützt. Beispielsweise sind unbekannte Hacker 2009 mittels einer Schadsoftware in die PCs von tausenden Nutzern eingedrungen und haben so die Codes der iTunes-Gutscheine dieser Nutzer kopiert.

In einem solchen Fall trägt ein betroffener Kunde selbst das Risiko, dass sein Gutschein von den Hackern oder einem Dritten eingelöst wird, und kann vom Händler keinen Ersatz verlangen.

"Gehackte" Gutschein-Codes werden von den Hackern oft auch an gutgläubige bzw. unwissende Dritte weiterverkauft. Wer einen solchen Gutschein kauft, ihn aber nicht einlösen kann, da er bereits vom rechtmäßigen Inhaber oder einem Dritten eingelöst wurde, kann nur Ansprüche gegen den Verkäufer des Gutscheins geltend machen, der jedoch meist nicht ausfindig zu machen ist.

Löst hingegen der unwissende Käufer den Gutschein vor dem rechtmäßigen Gutschein-Inhaber ein, so könnte der unwissende Käufer Ansprüchen des rechtmäßigen Gutschein-Inhabers wegen unrechtmäßiger Bereicherung ausgesetzt sein. Dies kommt dann in Betracht, wenn der rechtmäßige Gutschein-Inhaber vom Händler nicht die (nochmalige) Einlösung des Gutscheins verlangen kann und daher durch die Einlösung durch den unwissenden Käufer einen Vermögensnachteil erlitten hat.

Zusammenfassend gilt für Händler, dass der Datensicherheit von elektronischen Gutscheinen höchste Wichtigkeit beizumessen ist, um sich keiner Haftung auszusetzen. Kunden sind gut beraten, solche Gutscheine nur bei vertrauenswürdigen Händlern zu erwerben, die eine entsprechende Datensicherheit bieten. Vom Erwerb elektronischer Gutscheine am "Gebrauchtmarkt" (z. B. Ebay) ist aufgrund der damit verbundenen Risiken überhaupt abzuraten. (Lukas Feiler, DER STANDARD, Printausgabe, 18.1.2012)