Filesharing-Gerichtsverfahren, Störerhaftung und Absicherung des WLAN-Routers – der Bundesgerichtshof (BGH) entschied mit Urteil vom 24.11.2016 „WLAN-Schlüssel“, Az. I ZR 220/15: Ob der Router ausreichend verschlüsselt war, bestimmt sich nach dem Kaufzeitpunkt. Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes, vom Router-Hersteller werkseitig für das Gerät individuell voreingestelltes Passwort genügt den Anforderungen an die Passwortsicherheit. Der Anschlussinhaber erfüllt seine sekundäre Darlegungslast in Bezug auf die Routersicherheit, wenn er den Routertyp und das Passwort angibt.

Was war geschehen?

Die Beklagte wohnte in einem Mehrfamilienhaus und betrieb mit einem Router vom Typ „Alice Modem WLAN 1421“ einen drahtlosen Internetzugang. Der Internetzugang war zu einem Zeitpunkt zwischen Februar und Mai 2012 eingerichtet worden. Der Router war mit einem vom Hersteller vergebenen, auf der Rückseite der Verpackung des Routers aufgedruckten WPA2-Schlüssel gesichert. Dieser WLAN-Schlüssel bestand aus voreingestellten 16 Ziffern. Die Beklagte hatte diesen WLAN-Schlüssel bei der Einrichtung des Routers nicht geändert. Den Namen des Routers, mit dem ihr Netz angezeigt wurde, hatte sie ändern lassen.

Über den Internetanschluss der Beklagten wurden im November und Dezember 2012 an drei Tagen zu fünf verschiedenen Zeitpunkten ein Film in einer P2P-Filesharing-Tauschbörse zum Download angeboten. Zwischen den Parteien ist unstreitig, dass dieses Angebot durch einen unbekannten Dritten vorgenommen wurde, der sich unberechtigten Zugang zum WLAN der Beklagten verschafft hatte. Die Klägerin ließ die Beklagte anwaltlich abmahnen und verlangte Schadensersatz und Kostenerstattung. Die Beklagte gab daraufhin eine Unterlassungsverpflichtung ab, zahlte aber nicht.

Bereits das Amtsgericht Hamburg wies die gegen die Anschlussinhaberin gerichtete Zahlungsklage mit Urteil vom 09.01.2015, Az. 36a C 40/14, ab. Die Berufung der Klägerin blieb erfolglos – das Landgericht Hamburg wies die Berufung mit Urteil vom 29.09.2015, Az. 310 S 3/15, zurück. Mit ihrer Revision zum BGH verfolgte die Klägerin den Anspruch auf Zahlung von Abmahnkosten weiter.

Wie entschied der BGH zur erforderlichen Absicherung des WLAN-Routers?

Auch die Revision blieb erfolglos. Der BGH bestätigte die Klageabweisung der Hamburger Richter.

Die beklagte Anschlussinhaberin treffe keine Störerhaftung. Sie habe nicht gegen ihre Prüfpflichten verstoßen, indem sie den werkseitig voreingestellten WLAN-Schlüssel nicht gegen ein eigenes Passwort austauschte:

„Nach der Rechtsprechung des Bundesgerichtshofs ist der Inhaber eines Internetanschlusses mit WLAN-Funktion verpflichtet zu prüfen, ob der verwendete Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen verfügt. Hierzu zählt der im Kaufzeitpunkt aktuelle Verschlüsselungsstandard sowie die Verwendung eines individuellen, ausreichend langen und sicheren Passworts (vgl. BGHZ 185, 330 Rn. 34 – Sommer unseres Lebens). In der Beibehaltung einer werkseitigen Standardsicherheitseinstellung kann somit ein Verstoß gegen die Prüfungspflicht liegen, wenn die vorgenannten Anforderungen an die Passwortsicherheit nicht erfüllt sind.

[…]

Am Erfordernis der Individualität des Passworts fehlt es, wenn der Hersteller eine Mehrzahl von Geräten auf ein identisches Passwort voreingestellt hat. In einem solchen Fall steht Dritten schon bei Kenntnis vom Typ des verwendeten Routers potentiell der Zugriff auf das WLAN offen. Hat der Hersteller hingegen jedes einzelne Gerät mit einem individuellen Passwort versehen, ist das Erfordernis der Individualität grundsätzlich gewahrt (vgl. AG Frankfurt am Main, MMR 2013, 605 mit zust. Anm. Mantz, MMR 2013, 605 und Koch, jurisPR-ITR 1/2014 Anm. 4; AG Hamburg, CR 2015, 335 mit zust. Anm. Rössel, ITRB 2015, 90, 91 und Rathsack, jurisPR-ITR 12/2015 Anm. 3).

Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig individuell voreingestelltes Passwort ist im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort (vgl. AG Frankfurt am Main, MMR 2013, 605, 607; Mantz, MMR 2010, 568, 569 und MMR 2013, 605, 607). Fehlt es im Zeitpunkt des Kaufs des Routers an Anhaltspunkten, dass Dritte den werkseitig voreingestellten Code entschlüsseln konnten, weil dieser vom Hersteller fehlerhaft oder in einer Art und Weise berechnet worden ist, dass eine Sicherheitslücke bestand, verstößt der Nutzer, der die Voreinstellung übernimmt, nicht gegen die ihm obliegenden Prüfungspflichten. Dasselbe gilt, wenn keine Anhaltspunkte dafür bestehen, dass Dritte den Code aufgrund seiner Anbringung auf der Produktverpackung oder dem Produkt selbst haben ausspähen können.“

Der BGH beschäftigte sich dann mit der Darlegungslast in Bezug auf die Verschlüsselung des WLAN-Routers, also zur Frage, welche Prozesspartei sich dazu äußern muss, wie der Router abgesichert war.

Zur allgemeinen Beweislastverteilung im Filesharing-Gerichtsverfahren führte der BGH aus:

„Das Berufungsgericht hat zutreffend ausgeführt, dass der Anspruchsteller für sämtliche Voraussetzungen des geltend gemachten Anspruchs auf Abmahnkostenerstattung die Darlegungs- und Beweislast trägt (st. Rspr.; vgl. nur BGH, Urteil vom 15. November 2012 – I ZR 74/12 , GRUR 2013, 511 Rn. 32 = WRP 2013, 799 – Morpheus; Urteil vom 12. Mai 2016 – I ZR 48/15 , GRUR 2016, 1280 Rn. 32 = WRP 2017, 79 – Everytime we touch). Hierzu zählt im Falle der Störerhaftung auch die Verletzung der Prüfungspflicht durch den Anspruchsgegner.“

In Bezug auf die im Einzelfall vom Anschlussinhaber getroffenen Sicherheitsvorkehrungen führte der BGH anschließend aus:

„Da die Frage, welche Sicherheitsvorkehrungen der Anschlussinhaber bei Inbetriebnahme seines Routers getroffen hat, außerhalb des Wahrnehmungsbereichs des Anspruchstellers liegt, ist das Berufungsgericht ebenfalls zutreffend davon ausgegangen, dass dem Anschlussinhaber insoweit eine sekundäre Darlegungslast obliegt (vgl. – zur Überlassung des Internetanschlusses zur Nutzung durch Dritte – BGHZ 200, 76 Rn. 15 ff. – BearShare; BGH, GRUR 2016, 191 Rn. 37 [BGH 11.06.2015 – I ZR 75/14] – Tauschbörse III; GRUR 2016, 1280 Rn. 33 [BGH 12.05.2016 – I ZR 48/15] – Everytime we touch). Die Beurteilung des Berufungsgerichts, die Beklagte habe durch Angabe des Routertyps und des Passworts ihrer sekundären Darlegungslast genügt, ist revisionsrechtlich nicht zu beanstanden. Dasselbe gilt für die Beurteilung des Berufungsgerichts, die Klägerin sei für die Behauptung, es habe sich um einen für eine Vielzahl von Routern vergebenes Passwort gehandelt, beweisfällig geblieben.“

Welche Anforderungen an die Prüfungspflicht des Inhabers eines Internetanschlusses mit WLAN-Funktion zu stellen sind, wenn nachträglich Anhaltspunkte für eine bereits im Kaufzeitpunkt bestehende Sicherheitslücke auftreten, ließ der BGH offen – im Streitfall bestanden im Zeitpunkt der behaupteten Verletzungshandlung keine derartigen Anhaltspunkte.

Welche Auswirkung hat das Urteil auf die Praxis bei der Verteidigung gegen eine Filesharing-Abmahnung?

Für die Frage, ob der WLAN-Router technisch ausreichend abgesichert war, kommt es auf den Zeitpunkt des Kaufs an. Eine „Nachrüstung“ ist jedenfalls für ein privates Heimnetzwerk grundsätzlich nicht erforderlich.

Der BGH erkennt nun zusätzlich an, dass ein vom Router-Hersteller individuell für jedes einzelne Gerät voreingestelltes Passwort, das aus einer zufälligen Kombination von Zahlen und möglicherweise auch Buchstaben besteht, mehr Sicherheit bietet als viele Begriffe, die von den Anwendern als eigenes Passwort verwendet werden. Insbesondere Begriffe aus einem Wörterbuch sind mittels Brute-Force-Attacken zu knacken – von solchen weiterhin beliebten Passwörtern wie „Passwort“, „Admin“ oder „0123456789“ einmal ganz zu schweigen…

© RA Stefan Loebisch | Kontakt