WordPress-Seite wird zwei Jahre nach Auftragsende gehackt: Webdesigner soll trotzdem haften und bezahlen!
Ein Webdesigner bekommt den Auftrag eine WordPress-Seite für ein Restaurant zu programmieren und zu gestalten. Anfangs läuft alles wie geplant, bis zwei Jahre später ein Hacker die Seite mit Malware infiziert. Der Hack verursacht einen Schaden im vierstelligen Bereich, für den der Webdesigner nun Schadenersatz leisten soll…
Webdesign: Haftungsrisiko ohne Zeitlimit?
Haftungsrisiken im Business sind unser Steckenpferd bei exali.ch, in unseren Artikeln warnen wir regelmässig vor den grössten Stolperfallen und so dachten wir, dass uns nichts mehr überraschen kann. Der Fall unseres Versicherungsnehmers lässt uns allerdings mit einem Kopfschütteln zurück. Folgendes ist passiert:
Ein Restaurantbesitzer und der Webdesigner schliessen einen Vertrag über die Neugestaltung der Restaurant-Homepage auf Basis von WordPress. Mit allen Leistungen beläuft sich die Auftragssumme auf umgerechnet knapp CHF 4'300. Ein paar Wochen später hat der Webdesigner den Auftrag erfüllt, ein Rahmenvertrag über die Wartung oder regelmässige Updates der Seite wird nicht geschlossen.
Hacker attackiert Kunden-Homepage
Zwei Jahre später verschafft sich dann ein Hacker Zugriff auf die Homepage des Restaurants und nutzt die WordPress-Seite, um von dort SPAM-Mails zu verschicken. Über mehrere Wochen hinweg gibt es immer wieder Probleme, die Seite wird immer wieder infiziert, bis der Provider schliesslich die Restaurant-Homepage aus dem Netz nimmt. Damit soll verhindert werden, dass andere Seiten auf dem Server „angesteckt“ werden.
Der Webdesigner will seinen Kunden bei dem Problem unterstützen und engagiert einen Sicherheitsexperten, der die Seite von Malware befreit. Der Sicherheitsexperte schreibt in seinem Gutachten, dass der Hacker vier unterschiedliche „Backdoors“ hinterlegt hatte und dadurch immer wieder Zugang erhalten hat. Nach wochenlangem Hin und Her ist die WordPress-Seite schliesslich doch von der Malware befreit, die Restaurant-Seite geht wieder online.
Trägt der Webdesigner Schuld am Hack-Debakel?
Der Restaurant-Betreiber hatte letzten Endes noch Glück im Unglück, weil Google den Befall der Seite nicht festgestellt hatte und demnach kein Eintrag in eine „Blacklist“ stattgefunden hat. Für die Arbeit, die der Provider mit der befallenen Seite hatte, soll der Inhaber der Restaurant-Homepage umgerechnet knapp CHF 2'700 bezahlen. Diese will er nun vom Webdesigner erstattet haben, er begründet die Forderung damit, dass der Grafikdesigner die WordPress-Seite schliesslich erstellt hätte.
Obwohl der Kunde die Aktualisierung der Seite selbst übernommen hat und die WordPress-Seite zum Zeitpunkt des Befalls knapp zwei Jahre alt war, soll der Webdesigner nach Ansicht des Kunden die Schuld an dem Hack tragen.
Der Kunde ist König….
Wer trägt Schuld an einem Hack? Diese Frage ist nicht immer leicht zu beantworten, insbesondere dann nicht, wenn, wie in diesem Fall, noch weitere Faktoren eine Rolle spielen. Schliesslich ist die Seite nicht unmittelbar nach der Arbeit des Webdesigners gehackt worden (was eventuell auf einen Fehler des Webdesigners hingedeutet hätte).
Wenn der Webdesigner nicht eindeutig Schuld am Problem war, weshalb sollte er dann die Schadenersatzforderung übernehmen?
Rechtlich könnte zumindest eine Teilschuld gesehen werden, da der Webdesigner seinen Kunden nicht aktiv darauf hingewiesen hat, dass er aus Sicherheitsgründen WordPress regelmässig updaten muss. Zumindest gibt es hierzu keinen Schriftverkehr.
Tja, und dann kommt noch ein weiteres Thema zum Tragen, das viele im Business kennen. Hinter der Restaurant-Homepage steckt ein grosser Kunde des Webdesigners, den dieser natürlich nicht verärgern möchte. Dass der Webdesigner wegen einer Summe von umgerechnet CHF 2'700 nicht den Verlust eines grossen Auftragsvolumens riskieren möchte, ist nachvollziehbar. Deshalb scheidet ein Rechtsstreit aus, der Webdesigner wird in den sauren Apfel beissen müssen. Als Versicherungsnehmer von exali steht er mit dem Problem immerhin nicht alleine da.
Unser Tipp:
Wir empfehlen unseren Versicherungsnehmern auch bei kleinen Aufträgen, z. B. im Rahmen der Rechnungsstellung, schriftlich darauf hinzuweisen, dass aus Sicherheitsgründen eine Open-Source-Website regemässig upgedatet werden muss und dass ohne Updates schwerwiegende Sicherheitslücken entstehen können. Dabei kann der Dienstleister auch darauf hinweisen, dass er dem Kunden dafür gerne ein Angebot für einen Wartungsvertrag erstellt. Damit kann er gleich zwei Fliegen mit einer Klappe schlagen. Einerseits kann er im Schadenfall nachweisen, dass er auf notwendige Sicherheitsupdates hingewiesen hat. Anderseits kann er damit ganz einfach im „After Sales Prozess“ Marketing für seine Wartungs- oder Updateverträge betreiben.
Unser Versicherungsnehmer und seine Geschichte sind ein Paradebeispiel dafür, dass Schadenersatzforderungen im Business jeden treffen können. Dabei muss nicht mal zweifelsfrei geklärt sein, ob ein Verschulden vorliegt oder nicht. Deshalb sollten Selbständige immer auf eine gute Absicherung setzen – bevor etwas passiert. Die Berufshaftpflichtversicherungen über exali.ch schützen bei Schadenersatzforderungen Dritter, damit ein beruflicher Fehler nicht die Existenz gefährdet.
Der Schadenfall im Video: