Internet-Law

Onlinerecht und Bürgerrechte 2.0

21.1.15

Filesharing: Benutzung des werkseitig vorgegebenen Router-Passworts keine Pflichtverletzung

Der BGH hatte vor einigen Jahren entschieden, dass in Fällen des Filesharings die Verwendung des vom Hersteller eines W-LAN-Routers vorgegebenen Passworts eine Pflichtverletzung darstellen, die eine Störerhaftung begründet.

Das Amtsgericht Hamburg ist in einer neuen Entscheidung (Urteil vom 09.01.2015, Az.: 36a C 40/14) der Ansicht, dass das nur für werkseitig vorgegebene Standardpasswörter gelten kann die für eine Vielzahl von Geräten verwendet werden können. Im Urteil des AG Hamburg heißt es dazu:

Die Beklagte haftet auch nicht deshalb als Störerin, weil der werkseitig vergebene WPA2-Schlüssel nicht individuell verändert wurde. Es ist zwar richtig, dass der Inhaber eines WLAN-Anschlusses, der es unterlässt, die im Kaufzeitpunkt des WLAN-Routers marktüblichen Sicherungen ihrem Zweck entsprechend anzuwenden, als Störer auf Unterlassung und damit auch aus Ersatz der Abmahnkosten haftet, wenn Dritte diesen Anschluss missbräuchlich nutzen, um urheberrechtlich geschützte Musiktitel in Internettauschbörsen einzustellen (BGH, I ZR 121/08, NJW 2010, 2061 – Sommer unseres Lebens).

In der genannten Entscheidung führt der Bundesgerichtshof aus:

„Welche konkreten Maßnahmen zumutbar sind, bestimmt sich auch für eine Privatperson zunächst nach den jeweiligen technischen Möglichkeiten (vgl. BGHZ 172, 119 Tz. 47– Internet-Versteigerung II). Es würde die privaten Verwender der WLAN-Technologie allerdings unzumutbar belasten und wäre damit unverhältnismäßig, wenn ihnen zur Pflicht gemacht würde, die Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden. Die Prüfungspflicht im Hinblick auf die unbefugte Nutzung eines WLAN-Routers konkretisiert sich vielmehr dahin, dass jedenfalls die im Kaufzeitpunkt des Routers für den privaten Bereich marktüblichen Sicherungen ihrem Zweck entsprechend wirksam einzusetzen sind (vgl. dazu für den Bereich der Verkehrssicherungspflichten BGH, Urt. v. 31.10.2006 – VI ZR 223/05, NJW 2007, 762 Tz. 11; Urt. v. 2.3.2010 – VI ZR 223/09 Tz. 9 f., VersR 2010, 544).

Die dem privaten WLAN-Anschlussinhaber obliegende Prüfungspflicht besteht nicht erst, nachdem es durch die unbefugte Nutzung seines Anschlusses zu einer ersten Rechtsverletzung Dritter gekommen und diese ihm bekannt geworden ist. Sie besteht vielmehr bereits ab Inbetriebnahme des Anschlusses. […] Das hoch zu bewertende, berechtigte Interesse, über WLAN leicht und räumlich flexibel Zugang zum Internet zu erhalten, wird nicht dadurch in Frage gestellt, dass die zum Zeitpunkt der Installation des WLAN-Routers auch im Privatbereich verkehrsüblich vorhandenen Sicherungsmaßnahmen gegen unbefugte Nutzung angewandt werden.

Die Prüfpflicht des Beklagten bezieht sich aber auf die Einhaltung der im Kaufzeitpunkt des Routers für den privaten Bereich marktüblichen Sicherungen. Diese Pflicht hat der Beklagte verletzt. Der Beklagte hat es nach dem Anschluss des WLAN-Routers bei den werkseitigen Standardsicherheitseinstellungen belassen und für den Zugang zum Router kein persönliches, ausreichend langes und sicheres Passwort vergeben. Der Schutz von Computern, Kundenkonten im Internet und Netzwerken durch individuelle Passwörter gehörte auch Mitte 2006 bereits zum Mindeststandard privater Computernutzung und lag schon im vitalen Eigeninteresse aller berechtigten Nutzer. Sie war auch mit keinen Mehrkosten verbunden.“

Diese höchstrichterliche Entscheidung kann jedoch nur in Fällen Geltung beanspruchen, in denen ein Router ausgeliefert und angeschlossen wird, der mit einem werkseitig vorgegebenen Schlüssel ausgestattet ist, der für eine Vielzahl von Geräten gilt. Das erkennende Gericht schließt sich dazu den folgenden Ausführungen des Amtsgerichts Frankfurt am Main (Urteil vom 14.06.2013, MMR 2013, 607 – zitiert nach juris; dem zustimmend Mantz, MMR 2013, 607, sowie Koch, jurisPR-ITR 1/2014 Anm. 4) an:

„Zwar hat der Beklagte dieses Passwort nicht in ein persönliches Passwort geändert. Allerdings handelt es sich – gerichtsbekannt – bei den auf einer Fritz-Box seit 2004 verwendeten Authentifizierungsschlüsseln um solche, die bereits ab Werk individuell pro Gerät vergeben werden. Vor diesem Hintergrund ist der seitens des Bundesgerichtshofs in seiner Entscheidung vom 12.05.2010, I ZR 121/08 erstrebte Zweck eines hohen Schutzniveaus, welches den Zugriff unbefugter Dritter ausschließt, auch ohne ein persönliches Passwort – das regelmäßig nicht länger als 13-stellig sein wird – erreicht. Der Bundesgerichtshof kann in der oben zitierten Entscheidung lediglich die Fälle im Blick gehabt haben, in denen die Router einer Modellreihe werksseitig über den gleichen Authentifizierungsschlüssel verfügen, so dass ein effektiver Schutz für diese Fälle nur über eine sofortige Personalisierung des Passwortes gewährleistet war. (vgl. Mantz, Anm. zu BGH Urt. v. 12.05.2010 in MMR 2010, 569).“

Ein werkseitig vergebenes, individuelles und daher nur dem Inhaber des WLAN-Routers bekanntes Kennwort ist mindestens ebenso sicher wie ein selbst gewähltes, in vielen Fällen sogar sicherer (Mantz, a.a.O.).

Hier ist zwar nicht gerichtsbekannt, dass der Router „Alice Modem WLAN 1421“ werkseitig mit einem individuellen Authentifizierungsschlüssel ausgeliefert wird, und diese Frage ist zwischen den Parteien streitig. Die Beklagte hat jedoch substantiiert vorgetragen, dass es sich um einen individuellen Authentifizierungsschlüssel handele, und dazu sogar überobligatorisch Beweis angeboten. Zudem ist unstreitig, dass nach der Bedienungsanleitung eine Abänderung des Schlüssels nicht nötig war. Daher wäre es nunmehr an der für eine zur Störerhaftung führende Pflichtverletzung der Beklagten darlegungs- und beweisbelasteten Klägerin gewesen, Beweis dafür anzutreten, dass dieser Vortrag der Beklagten nicht zutrifft. Die anwaltlich vertretene Klägerin hat sich jedoch auf ein Bestreiten mit Nichtwissen beschränkt. Das reicht nicht aus. Der Klägerin wäre es auch durchaus möglich gewesen, dazu näher vorzutragen und auch Beweis anzubieten. Zum einen sind Bedienungsanleitungen für gängige Routermodelle wie das hiesige ohne weiteres zu beschaffen, zum anderen hatte die Beklagte bereits zwei Geschäftsführer des Herstellers bzw. Vertreibers des Routers als Zeugen zu diesem Thema benannt. Das hätte die Klägerin ohne weiteres aufgreifen können.

Das Urteil des AG Hamburg ist auch deshalb interessant, weil das Gericht davon ausgeht, dass die Anschlussinhaberin nicht für eine Sicherheitslücke eines W-LAN-Routers haftet, jedenfalls dann nicht, wenn diese Sicherheitslücke erst nach dem Zeitpunkt der maßgeblichen Rechtsverletzung öffentlich bekannt geworden ist.

posted by Stadler at 11:55  

7 Comments »

  1. Hier sollte man auch erwähnen, das es ja Anbieter gibt die Zwangsrouter vorschreiben an deren Konfiguration der Kunde häufig nicht herankommt.

    Comment by yah bluez — 21.01, 2015 @ 12:28

  2. >> jedenfalls dann nicht, wenn diese Sicherheitslücke erst nach dem Zeitpunkt der maßgeblichen Rechtsverletzung öffentlich bekannt geworden ist

    Das würde dann ja heißen, wenn die Lücke bekannt geworden ist und ich keine Ahnung habe wie man diese schließt, der Hersteller auch nix macht, gezwungen werde einen neuen Router zu kaufen der eben diese Lücke nicht hat. Mit viel Pech dann vor dem zwangsverdongelten Router stehe und nix machen kann. Irgendwie mal wieder an der Realität vorbei geurteilt, wie häufig im IT Bereich.

    Comment by Rene — 21.01, 2015 @ 13:01

  3. Ausgewogenes Urteil, nix vorbeigeurteilt! „Jedenfalls dann nicht..“ heißt hier, wenn dem so wäre, käme es auf die Umstände an. Das stimmt zweifelsfrei.

    Comment by M — 21.01, 2015 @ 15:58

  4. Eigentlich sollte sich die Storerhaftung eh erledigt haben, seitdem bekannt ist, dass staatliche Stellen auch westlicher Staaten Router grossflächig kompromittieren und damit unter ihre Kontrolle bringen. Der deutsche Staat unternimmt aber keine wirksamen Massnahmen, um den Bürger zu schützen.

    Comment by Bernd — 22.01, 2015 @ 10:25

  5. Warum hat so ein Router nicht einfach bereits eine bis 63-stellig mögliche Nummer/Buchstaben-Kombi in einem beigefügten, versiegelten Umschlag inne? Warum muß es immer erst diese einheitlichen Schrott-Passworte geben? Es ist doch wohl machbar! Jeder AV-Hersteller kann auch jedem Nutzer eine einmalige Reg.-Nummer zuweisen. Routerhersteller können das nicht?

    Comment by Conny — 22.01, 2015 @ 19:16

  6. Istzustand:

    NSA und andere Geheimdienste kommen an alle Daten ran. Passwörter dienen nur noch der Abwehr von Scriptkiddis oder der s.g. „Lahmer“ (Leute, die daran noch glauben). Man hat den Ami Win auf dem Rechner, Russe Kaspersky hat ihn im Griff. Verschiedene Tools netter Leute halten beide im Zaum.

    Zukunft (bezüglich Hardware bereits Gegenwart):

    Wie bereits festgestellt, werden die Backdoors mittlerweile in die Hardware eingebaut. Daher ist es nutzlos, Walls, AV-Programme oder Tools zu besorgen. Der Rechner denkt und lenkt den Besitzer. Win10 hat eine Tusse inne, die mittels Kamera den Besitzer zur besten Sitzposition auffordert, damit dessen Rücken geschont wird. Der Depp vorm Rechner hat mittels Raumüberwachung, vernetzten Haushaltsgeräten, GPS im Auto und Wanzenhandy alles zugelassen, was möglich ist. Deppen finden das alles toll, wie sich leider immer zeigt. Win10 lernt über den Besitzer und dessen menschliche Schwächen. Pfui! Er macht ihn darauf aufmerksam. „Du sitzt schon wieder nicht gerade auf dem Stuhl und warst soeben am Kühlschrank, du fettes Schwein. Ps. Porno ist heute nicht“.

    Von sowas träumt man doch nur, oder?

    Irgendwann ist es an der Zeit, off zu gehen. Weil Menschen immer noch ihren eigenen Kopf haben. Und der denkt sogar.

    Comment by Conny — 26.01, 2015 @ 16:33

  7. Nur zur Info: Es gab mal eine Zeit ohne Telefon.

    War auch gut. Man hatte seine Ruhe.

    Comment by Conny — 26.01, 2015 @ 18:19

RSS feed for comments on this post.

Leave a comment