Internet-Law

Onlinerecht und Bürgerrechte 2.0

21.1.15

Filesharing: Benutzung des werkseitig vorgegebenen Router-Passworts keine Pflichtverletzung

Der BGH hatte vor einigen Jahren entschieden, dass in Fällen des Filesharings die Verwendung des vom Hersteller eines W-LAN-Routers vorgegebenen Passworts eine Pflichtverletzung darstellen, die eine Störerhaftung begründet.

Das Amtsgericht Hamburg ist in einer neuen Entscheidung (Urteil vom 09.01.2015, Az.: 36a C 40/14) der Ansicht, dass das nur für werkseitig vorgegebene Standardpasswörter gelten kann die für eine Vielzahl von Geräten verwendet werden können. Im Urteil des AG Hamburg heißt es dazu:

Die Beklagte haftet auch nicht deshalb als Störerin, weil der werkseitig vergebene WPA2-Schlüssel nicht individuell verändert wurde. Es ist zwar richtig, dass der Inhaber eines WLAN-Anschlusses, der es unterlässt, die im Kaufzeitpunkt des WLAN-Routers marktüblichen Sicherungen ihrem Zweck entsprechend anzuwenden, als Störer auf Unterlassung und damit auch aus Ersatz der Abmahnkosten haftet, wenn Dritte diesen Anschluss missbräuchlich nutzen, um urheberrechtlich geschützte Musiktitel in Internettauschbörsen einzustellen (BGH, I ZR 121/08, NJW 2010, 2061 – Sommer unseres Lebens).

In der genannten Entscheidung führt der Bundesgerichtshof aus:

„Welche konkreten Maßnahmen zumutbar sind, bestimmt sich auch für eine Privatperson zunächst nach den jeweiligen technischen Möglichkeiten (vgl. BGHZ 172, 119 Tz. 47– Internet-Versteigerung II). Es würde die privaten Verwender der WLAN-Technologie allerdings unzumutbar belasten und wäre damit unverhältnismäßig, wenn ihnen zur Pflicht gemacht würde, die Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden. Die Prüfungspflicht im Hinblick auf die unbefugte Nutzung eines WLAN-Routers konkretisiert sich vielmehr dahin, dass jedenfalls die im Kaufzeitpunkt des Routers für den privaten Bereich marktüblichen Sicherungen ihrem Zweck entsprechend wirksam einzusetzen sind (vgl. dazu für den Bereich der Verkehrssicherungspflichten BGH, Urt. v. 31.10.2006 – VI ZR 223/05, NJW 2007, 762 Tz. 11; Urt. v. 2.3.2010 – VI ZR 223/09 Tz. 9 f., VersR 2010, 544).

Die dem privaten WLAN-Anschlussinhaber obliegende Prüfungspflicht besteht nicht erst, nachdem es durch die unbefugte Nutzung seines Anschlusses zu einer ersten Rechtsverletzung Dritter gekommen und diese ihm bekannt geworden ist. Sie besteht vielmehr bereits ab Inbetriebnahme des Anschlusses. […] Das hoch zu bewertende, berechtigte Interesse, über WLAN leicht und räumlich flexibel Zugang zum Internet zu erhalten, wird nicht dadurch in Frage gestellt, dass die zum Zeitpunkt der Installation des WLAN-Routers auch im Privatbereich verkehrsüblich vorhandenen Sicherungsmaßnahmen gegen unbefugte Nutzung angewandt werden.

Die Prüfpflicht des Beklagten bezieht sich aber auf die Einhaltung der im Kaufzeitpunkt des Routers für den privaten Bereich marktüblichen Sicherungen. Diese Pflicht hat der Beklagte verletzt. Der Beklagte hat es nach dem Anschluss des WLAN-Routers bei den werkseitigen Standardsicherheitseinstellungen belassen und für den Zugang zum Router kein persönliches, ausreichend langes und sicheres Passwort vergeben. Der Schutz von Computern, Kundenkonten im Internet und Netzwerken durch individuelle Passwörter gehörte auch Mitte 2006 bereits zum Mindeststandard privater Computernutzung und lag schon im vitalen Eigeninteresse aller berechtigten Nutzer. Sie war auch mit keinen Mehrkosten verbunden.“

Diese höchstrichterliche Entscheidung kann jedoch nur in Fällen Geltung beanspruchen, in denen ein Router ausgeliefert und angeschlossen wird, der mit einem werkseitig vorgegebenen Schlüssel ausgestattet ist, der für eine Vielzahl von Geräten gilt. Das erkennende Gericht schließt sich dazu den folgenden Ausführungen des Amtsgerichts Frankfurt am Main (Urteil vom 14.06.2013, MMR 2013, 607 – zitiert nach juris; dem zustimmend Mantz, MMR 2013, 607, sowie Koch, jurisPR-ITR 1/2014 Anm. 4) an:

„Zwar hat der Beklagte dieses Passwort nicht in ein persönliches Passwort geändert. Allerdings handelt es sich – gerichtsbekannt – bei den auf einer Fritz-Box seit 2004 verwendeten Authentifizierungsschlüsseln um solche, die bereits ab Werk individuell pro Gerät vergeben werden. Vor diesem Hintergrund ist der seitens des Bundesgerichtshofs in seiner Entscheidung vom 12.05.2010, I ZR 121/08 erstrebte Zweck eines hohen Schutzniveaus, welches den Zugriff unbefugter Dritter ausschließt, auch ohne ein persönliches Passwort – das regelmäßig nicht länger als 13-stellig sein wird – erreicht. Der Bundesgerichtshof kann in der oben zitierten Entscheidung lediglich die Fälle im Blick gehabt haben, in denen die Router einer Modellreihe werksseitig über den gleichen Authentifizierungsschlüssel verfügen, so dass ein effektiver Schutz für diese Fälle nur über eine sofortige Personalisierung des Passwortes gewährleistet war. (vgl. Mantz, Anm. zu BGH Urt. v. 12.05.2010 in MMR 2010, 569).“

Ein werkseitig vergebenes, individuelles und daher nur dem Inhaber des WLAN-Routers bekanntes Kennwort ist mindestens ebenso sicher wie ein selbst gewähltes, in vielen Fällen sogar sicherer (Mantz, a.a.O.).

Hier ist zwar nicht gerichtsbekannt, dass der Router „Alice Modem WLAN 1421“ werkseitig mit einem individuellen Authentifizierungsschlüssel ausgeliefert wird, und diese Frage ist zwischen den Parteien streitig. Die Beklagte hat jedoch substantiiert vorgetragen, dass es sich um einen individuellen Authentifizierungsschlüssel handele, und dazu sogar überobligatorisch Beweis angeboten. Zudem ist unstreitig, dass nach der Bedienungsanleitung eine Abänderung des Schlüssels nicht nötig war. Daher wäre es nunmehr an der für eine zur Störerhaftung führende Pflichtverletzung der Beklagten darlegungs- und beweisbelasteten Klägerin gewesen, Beweis dafür anzutreten, dass dieser Vortrag der Beklagten nicht zutrifft. Die anwaltlich vertretene Klägerin hat sich jedoch auf ein Bestreiten mit Nichtwissen beschränkt. Das reicht nicht aus. Der Klägerin wäre es auch durchaus möglich gewesen, dazu näher vorzutragen und auch Beweis anzubieten. Zum einen sind Bedienungsanleitungen für gängige Routermodelle wie das hiesige ohne weiteres zu beschaffen, zum anderen hatte die Beklagte bereits zwei Geschäftsführer des Herstellers bzw. Vertreibers des Routers als Zeugen zu diesem Thema benannt. Das hätte die Klägerin ohne weiteres aufgreifen können.

Das Urteil des AG Hamburg ist auch deshalb interessant, weil das Gericht davon ausgeht, dass die Anschlussinhaberin nicht für eine Sicherheitslücke eines W-LAN-Routers haftet, jedenfalls dann nicht, wenn diese Sicherheitslücke erst nach dem Zeitpunkt der maßgeblichen Rechtsverletzung öffentlich bekannt geworden ist.

posted by Stadler at 11:55