Kategorien
Uncategorized

BGH verneint die Störerhaftung für passwortgesichertes WLAN

Der BGH
hat mit Urteil vom 24.11.2016, I ZR 220/15 – WLAN-Schlüssel
entschieden,
dass der Inhaber eines Internetanschlusses mit WLAN-Funktion nach den Grundsätzen
der Störerhaftung
zur Prüfung dazu verpflichtet ist, ob der verwendete
Router über die im Zeitpunkt seines Kaufs für den privaten Bereich
marktüblichen Sicherungen verfügt.
Hierzu zählt der
im Kaufzeitpunkt aktuelle Verschlüsselungsstandard sowie die Verwendung eines
individuellen, ausreichend langen und sicheren Passworts (Festhaltung an BGH,
Urteil vom 12. Mai 2010, I ZR 121/08, BGHZ 185, 330 Rn. 34 – Sommer unseres
Lebens). Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes,
werkseitig für das Gerät individuell voreingestelltes Passwort genügt den
Anforderungen an die Passwortsicherheit. Sofern keine Anhaltspunkte dafür
bestehen, dass das Gerät schon im Kaufzeitpunkt eine Sicherheitslücke aufwies,
liegt in der Beibehaltung eines solchen werkseitig eingestellten Passworts kein
Verstoß gegen die den Anschlussinhaber treffende Prüfungspflicht (Fortführung
von BGHZ 185, 330 Rn. 34 – Sommer unseres Lebens).
Dem vom
Urheberrechtsinhaber gerichtlich in Anspruch genommenen Anschlussinhaber
obliegt eine sekundäre Darlegungslast zu den von ihm bei der Inbetriebnahme des
Routers getroffenen Sicherheitsvorkehrungen, der er durch Angabe des Routertyps
und des Passworts genügt. Für die Behauptung, es habe sich um ein für eine
Vielzahl von Geräten voreingestelltes Passwort gehandelt, ist der Kläger
darlegungs- und beweispflichtig.
Leitsätze:
1. Der Inhaber
eines Internetanschlusses mit WLAN-Funktion ist nach den Grundsätzen der
Störerhaftung zur Prüfung verpflichtet, ob der verwendete Router über die im
Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen
verfügt. Hierzu zählt der im Kaufzeitpunkt aktuelle Verschlüsselungsstandard
sowie die Verwendung eines individuellen, ausreichend langen und sicheren
Passworts (Festhaltung an BGH, Urteil vom 12. Mai 2010, I ZR 121/08, BGHZ 185,
330 Rn. 34 – Sommer unseres Lebens).
2. Ein aus einer
zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig für das Gerät
individuell voreingestelltes Passwort genügt den Anforderungen an die
Passwortsicherheit. Sofern keine Anhaltspunkte dafür bestehen, dass das Gerät
schon im Kaufzeitpunkt eine Sicherheitslücke aufwies, liegt in der Beibehaltung
eines solchen werkseitig eingestellten Passworts kein Verstoß gegen die den
Anschlussinhaber treffende Prüfungspflicht (Fortführung von BGHZ 185, 330 Rn.
34 – Sommer unseres Lebens).
3. Dem vom Urheberrechtsinhaber
gerichtlich in Anspruch genommenen Anschlussinhaber obliegt eine sekundäre
Darlegungslast zu den von ihm bei der Inbetriebnahme des Routers getroffenen
Sicherheitsvorkehrungen, der er durch Angabe des Routertyps und des Passworts
genügt. Für die Behauptung, es habe sich um ein für eine Vielzahl von Geräten
voreingestelltes Passwort gehandelt, ist der Kläger darlegungs- und
beweispflichtig.
Tatbestand:
Die Klägerin ist
Inhaberin von Verwertungsrechten an dem Film „T. E. „. Die Beklagte
wohnte in einem Mehrfamilienhaus und betrieb mithilfe eines Routers des Typs
„Alice Modem WLAN 1421“ einen Internetzugang mittels WLAN (Wireless
Local Area Network). Dieser war zu einem Zeitpunkt zwischen Februar und Mai
2012 eingerichtet worden. Der Router war mit einem vom Hersteller vergebenen,
auf der Rückseite der Verpackung des Routers aufgedruckten WPA2-Schlüssel
gesichert, der aus 16 Ziffern bestand. Diesen Schlüssel hatte die Beklagte bei
der Einrichtung des Routers nicht geändert. Den Namen des Routers, mit dem ihr
Netz angezeigt wurde, hatte sie auf „O. “ ändern lassen.       
Eine den Film
„T. E. “ enthaltende Datei wurde im November und Dezember 2012 an
drei Tagen zu fünf verschiedenen Zeitpunkten über den Internetanschluss der
Beklagten in einer Internettauschbörse zum Download angeboten. Zwischen den
Parteien ist unstreitig, dass dieses Angebot durch einen unbekannten Dritten
vorgenommen wurde, der sich unberechtigten Zugang zum WLAN der Beklagten
verschafft hatte. 
Die Klägerin ließ
die Beklagte am 7. Juni 2013 anwaltlich abmahnen und verlangte Schadensersatz
und Kostenerstattung. Die Beklagte gab daraufhin eine
Unterlassungsverpflichtung ab, leistete aber keine Zahlung.     
Die Klägerin hat
erstinstanzlich Abmahnkosten in Höhe von 755,80 € sowie Schadensersatz in Höhe
von 400 € verlangt.        
Das Amtsgericht
hat die Klage abgewiesen (AG Hamburg, CR 2015, 335). Mit ihrer Berufung, die
das Landgericht zurückgewiesen hat (LG Hamburg, Urteil vom 29. September 2015 –
310 S 3/15, juris), hat die Klägerin allein den Anspruch auf Erstattung der
Abmahnkosten weiterverfolgt. Mit ihrer vom Berufungsgericht zugelassenen
Revision, deren Zurückweisung die Beklagte beantragt, verfolgt die Klägerin den
Anspruch auf Zahlung von Abmahnkosten weiter.
        
Entscheidungsgründe:
I. Das
Berufungsgericht hat angenommen, der Klägerin stehe der geltend gemachte
Anspruch auf Abmahnkostenerstattung nach § 97a Abs. 1 UrhG aF nicht zu. Zur
Begründung hat es ausgeführt:        
Die
Voraussetzungen einer Haftung der Beklagten als Störerin lägen nicht vor. Die
Beklagte habe keine Prüfungspflichten verletzt. Ein Verstoß gegen
Prüfungspflichten liege weder darin, dass die Beklagte den werkseitig
vergebenen WLAN-Schlüssel für die WPA2-Verschlüsselung beibehalten habe, noch
darin, dass sie diesen nicht selbst geändert habe. Ein 16-stelliger
WLAN-Schlüssel sei generell hinreichend sicher. Anhaltspunkte dafür, dass der
voreingestellte Code unsicher gewesen sei, hätten für die Beklagten im
Zeitpunkt der behaupteten Verletzungshandlung nicht bestanden.        
II. Die hiergegen
gerichtete Revision der Klägerin ist unbegründet. Das Berufungsgericht hat
rechtsfehlerfrei angenommen, dass die Voraussetzungen eines Anspruchs gemäß §
97a Abs. 1 UrhG aF nicht vorliegen.
1. Auf den mit
der Klage geltend gemachten Anspruch auf Erstattung von Abmahnkosten ist § 97a
UrhG in der bis zum 8. Oktober 2013 geltenden Fassung anzuwenden. Die durch das
Gesetz über unseriöse Geschäftspraktiken vom 1. Oktober 2013 (BGBl I, S. 3714)
mit Wirkung ab dem 9. Oktober 2013 eingeführten Neuregelungen zur Wirksamkeit
der Abmahnung und zur Begrenzung der erstattungsfähigen Kosten nach § 97a Abs.
2 und 3 Satz 2 und 3 UrhG nF gelten erst für Abmahnungen, die nach Inkrafttreten
des Gesetzes über unseriöse Geschäftspraktiken ausgesprochen worden sind. Für
den Anspruch auf Erstattung von Abmahnkosten kommt es auf die Rechtslage zum
Zeitpunkt der Abmahnung an (vgl. zu § 97a Abs. 1 Satz 2 UrhG aF BGH, Urteil vom
28. September 2011 – I ZR 145/10, ZUM 2012, 34 Rn. 8, mwN; Urteil vom 8. Januar
2014 – I ZR 169/12, BGHZ 200, 76 Rn. 11 – BearShare; Urteil vom 11. Juni 2015 –
I ZR 75/14, GRUR 2016, 191 Rn. 58 = WRP 2016, 73 – Tauschbörse III; Urteil vom
12. Mai 2016 – I ZR 1/15, GRUR 2016, 1275 Rn. 19 = WRP 2016, 1525 – Tannöd).
2. Nach § 97a
Abs. 1 Satz 1 UrhG aF soll der Verletzte den Verletzer vor Einleitung eines
gerichtlichen Verfahrens auf Unterlassung abmahnen und ihm Gelegenheit geben,
den Streit durch Abgabe einer mit einer angemessenen Vertragsstrafe bewehrten
Unterlassungsverpflichtung beizulegen. Soweit die Abmahnung berechtigt ist,
kann der Ersatz der erforderlichen Aufwendungen verlangt werden. Danach besteht
ein Anspruch auf Abmahnkostenersatz, wenn die Abmahnung begründet gewesen ist,
ihr also ein materieller Unterlassungsanspruch zugrunde gelegen hat. Darüber
hinaus muss die Abmahnung wirksam und erforderlich sein, um dem
Unterlassungsschuldner einen Weg zu weisen, den Unterlassungsgläubiger ohne
Inanspruchnahme der Gerichte klaglos zu stellen (BGH, Urteil vom 21. Januar
2010 – I ZR 47/09, GRUR 2010, 354 Rn. 8 = WRP 2010, 525 – Kräutertee; Urteil
vom 19. Mai 2010 – I ZR 140/08, GRUR 2010, 1120 Rn. 16 = WRP 2010, 1495 –
Vollmachtsnachweis; Urteil vom 11. Juni 2015 – I ZR 7/14, GRUR 2016, 184 Rn. 55
ff. = WRP 2016, 66 – Tauschbörse II; Kefferpütz in Wandtke/Bullinger,
Urheberrecht, 4. Aufl., § 97a UrhG Rn. 50; Dreier/Specht in Dreier/Schulze,
UrhG, 5. Aufl., § 97a Rn. 8). Im Streitfall steht der Klägerin kein Unterlassungsanspruch
gegen die Beklagte zu, weil die Voraussetzungen der Störerhaftung – eine
täterschaftliche Haftung steht nicht in Rede – nicht vorliegen.
a) Als Störer
kann bei der Verletzung absoluter Rechte auf Unterlassung in Anspruch genommen
werden, wer – ohne Täter oder Teilnehmer zu sein – in irgendeiner Weise
willentlich und adäquat-kausal zur Verletzung des geschützten Rechts beiträgt.
Dabei kann als Beitrag auch die Unterstützung oder Ausnutzung der Handlung
eines eigenverantwortlich handelnden Dritten genügen, sofern der in Anspruch
Genommene die rechtliche und tatsächliche Möglichkeit zur Verhinderung dieser
Handlung hatte. Da die Störerhaftung nicht über Gebühr auf Dritte erstreckt
werden darf, die weder als Täter noch als Teilnehmer für die begangene
Urheberrechtsverletzung in Anspruch genommen werden können, setzt die Haftung
als Störer nach der Rechtsprechung des Senats die Verletzung zumutbarer
Verhaltenspflichten, insbesondere von Prüfpflichten voraus. Ob und inwieweit
dem als Störer in Anspruch Genommenen eine Verhinderung der Verletzungshandlung
des Dritten zuzumuten ist, richtet sich nach den jeweiligen Umständen des
Einzelfalls unter Berücksichtigung seiner Funktion und Aufgabenstellung sowie
mit Blick auf die Eigenverantwortung desjenigen, der die rechtswidrige
Beeinträchtigung selbst unmittelbar vorgenommen hat (BGH, Urteil vom 12. Mai
2010 – I ZR 121/08, BGHZ 185, 330 Rn. 19 – Sommer unseres Lebens; BGHZ 200, 76
Rn. 22 – BearShare; BGH, Urteil vom 26. November 2015 – I ZR 174/14, GRUR 2016,
268 Rn. 21 = WRP 2016, 341 – Störerhaftung des Access-Providers; Urteil vom 12.
Mai 2016 – I ZR 86/15, GRUR 2016, 1289 Rn. 11 = WRP 2016, 1522 – Silver Linings
Playbook).      
b) Das
Berufungsgericht hat angenommen, die Beklagte habe keine Prüfungspflichten
verletzt. Ihr Router habe über den zur Abwehr unberechtigter Zugriffe generell
geeigneten Sicherungsstandard WPA2 verfügt. Die Beklagte habe nicht deshalb
gegen Prüfungspflichten verstoßen, weil sie den werkseitig vergebenen, aus 16
Ziffern bestehenden WLAN-Schlüssel beibehalten habe. Es sei nicht
festzustellen, dass es sich um einen nicht individualisierten WLAN-Schlüssel
gehandelt habe, der werkseitig auch für andere Geräte desselben Herstellers
vergeben worden sei. Die Beklagte sei der ihr insoweit obliegenden sekundären
Darlegungslast zu den von ihr ergriffenen Sicherungsmaßnahmen nachgekommen,
indem sie den Hersteller, Typ und verwendeten WLAN-Schlüssel ihres Routers
benannt habe. Die Klägerin habe keinen Beweis dafür angeboten, dass es sich bei
diesem Schlüssel um ein nicht allein für dieses Gerät, sondern auch für andere
Geräte vergebenes Passwort gehandelt habe. Die Beklagte habe ferner keine
Prüfungspflicht verletzt, weil sie den vom Hersteller voreingestellten
WLAN-Schlüssel nicht selbst geändert habe. Die Klägerin mache nicht geltend,
dass ein Dritter den auf der Rückseite der Verpackung aufgedruckten
WLAN-Schlüssel ausgespäht habe. Die von einem Dritten durch Ausnutzung einer
Sicherheitslücke vorgenommene Entschlüsselung des WLAN-Codes sei der Beklagten
nicht zurechenbar. Die Beklagte sei nicht verpflichtet gewesen, das
Entschlüsseln des Codes durch die Einfügung von Buchstaben oder Sonderzeichen
zu erschweren. Ein 16-stelliger WLAN-Schlüssel habe im Zeitpunkt der
Inbetriebnahme des Routers als generell hinreichend sicher angesehen werden
dürfen. Anhaltspunkte dafür, dass der voreingestellte Code unsicher gewesen
sei, hätten für die Beklagten nicht bestanden. Weder sei er einem für Laien
erkennbaren Muster gefolgt noch habe er einen Bezug zu persönlichen Daten der
Beklagten aufgewiesen. Zudem habe die Beklagte die Netzwerkbezeichnung ihres
Routers geändert, so dass ein Rückschluss auf den Routertyp und einen etwa
verwendeten reinen Zahlencode nicht möglich gewesen sei. Der Hersteller habe in
der Betriebsanleitung nicht zu einer Änderung des WLAN-Schlüssels aufgefordert.
Hinweise darauf, dass der voreingestellte WLAN-Code des betroffenen Routertyps
unbefugt entschlüsselt werden könne, seien erst im März 2014 veröffentlicht
worden. Diese Beurteilung hält der rechtlichen Nachprüfung stand.
c) Die Revision
wendet sich ohne Erfolg gegen die Beurteilung des Berufungsgerichts, durch die
Beibehaltung des werkseitig voreingestellten WLAN-Schlüssels habe die Beklagte
nicht gegen die ihr obliegenden Prüfpflichten verstoßen. 
aa) Nach der
Rechtsprechung des Bundesgerichtshofs ist der Inhaber eines Internetanschlusses
mit WLAN-Funktion verpflichtet zu prüfen, ob der verwendete Router über die im
Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen
verfügt. Hierzu zählt der im Kaufzeitpunkt aktuelle Verschlüsselungsstandard
sowie die Verwendung eines individuellen, ausreichend langen und sicheren
Passworts (vgl. BGHZ 185, 330 Rn. 34 – Sommer unseres Lebens). In der Beibehaltung
einer werkseitigen Standardsicherheitseinstellung kann somit ein Verstoß gegen
die Prüfungspflicht liegen, wenn die vorgenannten Anforderungen an die
Passwortsicherheit nicht erfüllt sind. Mit diesen Grundsätzen wird dem auf
Seiten des Inhabers des Urheberrechts zu berücksichtigenden Grundrecht auf
geistiges Eigentum gemäß Art. 17 Abs. 2 EU-Grundrechtecharta und Art. 14 Abs. 1
GG angemessen Rechnung getragen (vgl. EuGH, Urteil vom 15. September 2016 –
C-484/14, GRUR 2016, 1146 Rn. 98 = WRP 2016, 1486 – Sony Music/Mc Fadden; BGH,
Urteil vom 6. Oktober 2016 – I ZR 154/15, GRUR 2017, 386 Rn. 22 ff. = WRP 2017,
448 – Afterlife).       
(1) Am
Erfordernis der Individualität des Passworts fehlt es, wenn der Hersteller eine
Mehrzahl von Geräten auf ein identisches Passwort voreingestellt hat. In einem
solchen Fall steht Dritten schon bei Kenntnis vom Typ des verwendeten Routers
potentiell der Zugriff auf das WLAN offen. Hat der Hersteller hingegen jedes
einzelne Gerät mit einem individuellen Passwort versehen, ist das Erfordernis
der Individualität grundsätzlich gewahrt (vgl. AG Frankfurt am Main, MMR 2013,
605 mit zust. Anm. Mantz, MMR 2013, 605 und Koch, jurisPR-ITR 1/2014 Anm. 4; AG
Hamburg, CR 2015, 335 mit zust. Anm. Rössel, ITRB 2015, 90, 91 und Rathsack,
jurisPR-ITR 12/2015 Anm. 3).     
(2) Ein aus einer
zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig individuell
voreingestelltes Passwort ist im Ausgangspunkt nicht weniger sicher als ein vom
Nutzer persönlich eingestelltes Passwort (vgl. AG Frankfurt am Main, MMR 2013,
605, 607; Mantz, MMR 2010, 568, 569 und MMR 2013, 605, 607). Fehlt es im
Zeitpunkt des Kaufs des Routers an Anhaltspunkten, dass Dritte den werkseitig
voreingestellten Code entschlüsseln konnten, weil dieser vom Hersteller
fehlerhaft oder in einer Art und Weise berechnet worden ist, dass eine
Sicherheitslücke bestand, verstößt der Nutzer, der die Voreinstellung
übernimmt, nicht gegen die ihm obliegenden Prüfungspflichten. Dasselbe gilt,
wenn keine Anhaltspunkte dafür bestehen, dass Dritte den Code aufgrund seiner
Anbringung auf der Produktverpackung oder dem Produkt selbst haben ausspähen
können.      
bb) Nach diesen
Maßstäben ist das Berufungsgericht zu Recht davon ausgegangen, dass die
Beklagte nicht gegen die ihr obliegenden Sicherungsmaßnahmen verstoßen hat.   
(1) Die Revision
wendet sich nicht gegen die Feststellung des Berufungsgerichts, der Router der
Beklagten habe über den Verschlüsselungsstandard WPA2 verfügt. Der
WPA2-Standard ist als hinreichend sicher anerkannt (vgl. BGHZ 185, 330 Rn. 33 –
Sommer unseres Lebens; Schmidt in: Auer-Reinsdorff/Conrad, Handbuch IT- und
Datenschutzrecht, 2. Aufl., § 3 Rn. 261).     
(2) Die Revision
macht ohne Erfolg geltend, nicht die Klägerin, sondern die Beklagte trage die
Darlegungs- und Beweislast dafür, dass es sich um einen individuellen
WLAN-Schlüssel gehandelt habe. Das Berufungsgericht hat zutreffend ausgeführt,
dass der Anspruchsteller für sämtliche Voraussetzungen des geltend gemachten
Anspruchs auf Abmahnkostenerstattung die Darlegungs- und Beweislast trägt (st.
Rspr.; vgl. nur BGH, Urteil vom 15. November 2012 – I ZR 74/12, GRUR 2013, 511
Rn. 32 = WRP 2013, 799 – Morpheus; Urteil vom 12. Mai 2016 – I ZR 48/15, GRUR
2016, 1280 Rn. 32 = WRP 2017, 79 – Everytime we touch). Hierzu zählt im Falle
der Störerhaftung auch die Verletzung der Prüfungspflicht durch den
Anspruchsgegner. Da die Frage, welche Sicherheitsvorkehrungen der
Anschlussinhaber bei Inbetriebnahme seines Routers getroffen hat, außerhalb des
Wahrnehmungsbereichs des Anspruchstellers liegt, ist das Berufungsgericht
ebenfalls zutreffend davon ausgegangen, dass dem Anschlussinhaber insoweit eine
sekundäre Darlegungslast obliegt (vgl. – zur Überlassung des
Internetanschlusses zur Nutzung durch Dritte – BGHZ 200, 76 Rn. 15 ff. –
BearShare; BGH, GRUR 2016, 191 Rn. 37 – Tauschbörse III; GRUR 2016, 1280 Rn. 33
– Everytime we touch). Die Beurteilung des Berufungsgerichts, die Beklagte habe
durch Angabe des Routertyps und des Passworts ihrer sekundären Darlegungslast
genügt, ist revisionsrechtlich nicht zu beanstanden. Dasselbe gilt für die
Beurteilung des Berufungsgerichts, die Klägerin sei für die Behauptung, es habe
sich um einen für eine Vielzahl von Routern vergebenes Passwort gehandelt,
beweisfällig geblieben.   
(3) Entgegen der
Ansicht der Revision ist nicht schon deshalb von einer Pflichtverletzung der
Beklagten auszugehen, weil nicht feststeht, dass die Beklagte die Sicherheit
der Verschlüsselung und die Individualität des WLAN-Schlüssels überhaupt
geprüft hat. Gesonderter Feststellungen hierzu bedurfte es nicht, um die
Verletzung von Prüfungspflichten zu verneinen, weil bereits das vom
Berufungsgericht festgestellte Verhalten der Beklagten – die Übernahme des
werkseitig eingestellten Codes – den anzuwendenden Prüfungspflichten genügte.
Das Berufungsgericht hat angenommen, im Zeitpunkt der Inbetriebnahme des
Routers habe nicht davon ausgegangen werden können, der voreingestellte Code
sei nicht sicher gewesen. Das Berufungsgericht hat hierzu ausgeführt, es hätten
im Zeitpunkt der Inbetriebnahme des Routers keine Anhaltspunkte dafür
bestanden, dass ein 16-stelliger Zahlenschlüssel generell oder im konkreten
Fall ausspähbar gewesen wäre. Die Bedienungsanleitung habe zudem keinen Hinweis
darauf enthalten, das voreingestellte Passwort zu ändern.   
Gegen diese
tatrichterliche Würdigung wendet sich die Revision ohne Erfolg. Ihr Hinweis,
die Klägerin habe erstinstanzlich bestritten, dass durch die Verwendung der
werkseitigen Verschlüsselung ein hohes Schutzniveau erreicht werden könne,
welches den Zugriff unbefugter Dritter ausschließe, stellt die Würdigung des
Berufungsgerichts nicht mit Erfolg in Frage. Die Revision vermag nicht
aufzuzeigen, dass die Klägerin in erster oder zweiter Instanz substantiiert
dargelegt hätte, das voreingestellte Passwort habe im Zeitpunkt des Kaufs des
Routers nicht marktüblichen Sicherheitsstandards entsprochen. Mit ihrer
Beanstandung, schon im Jahr 2007 habe instanzgerichtliche Rechtsprechung die
Vergabe eines ausreichend langen Passworts aus einer losen Kombination von
Buchstaben, Ziffern und Sonderzeichen für erforderlich und zumutbar gehalten,
greift die Revision lediglich in revisionsrechtlich unbehelflicher Weise die
tatrichterliche Würdigung an, für die Beklagte habe mangels besonderer
Anhaltspunkte für die Unsicherheit des voreingestellten Passworts kein Anlass
bestanden, das Passwort zu ändern.
Welche
Anforderungen an die Prüfungspflicht des Inhabers eines Internetanschlusses mit
WLAN-Funktion zu stellen sind, wenn nachträglich Anhaltspunkte für eine bereits
im Kaufzeitpunkt bestehende Sicherheitslücke auftreten, kann offenbleiben, weil
im Streitfall solche Anhaltspunkte im Zeitpunkt der behaupteten
Verletzungshandlung nicht bestanden.      
Mit ihrer Rüge, das
Berufungsgericht habe zu Unrecht dem Umstand Bedeutung beigemessen, dass die
Beklagte die Netzwerkbezeichnung des Routers in „O. “ geändert habe,
dringt die Revision ebenfalls nicht durch. Zwar trifft es zu, dass diese
Umbenennung in erster Linie der Individualisierung und leichteren Erkennbarkeit
des Netzwerks durch den berechtigten Nutzer dienen soll. Die tatrichterliche
Würdigung des Berufungsgerichts, dass die Umbenennung zugleich Dritten die
Möglichkeit nimmt, den Routertyp zu erkennen und darauf abgestimmte
Ausspähmechanismen anzuwenden, ist jedoch aus revisionsrechtlicher Sicht nicht
zu beanstanden.        

III. Hiernach ist
die Revision der Klägerin mit der Kostenfolge aus § 97 Abs. 1 ZPO
zurückzuweisen.
Kategorien
Uncategorized

Filesharing und der Hackerangriff auf die Telekom-Router

Heise.de berichtet heute,
dass die Ausfälle nach Erkenntnissen der Telekom und des Bundesamts für
Sicherheit in der Informationstechnik (BSI) auf eine weltweite Attacke auf
Router zurück  gehen. Der Ausfall von
über 900.000 DSL-Endpunkten und damit den Internet- und Telefonanschlüssen der
Kunden sei Symptom eines Angriffes, bei dem versucht werde, Schadsoftware auf
den DSL-Routern zu installieren, hieß es vom BSI.
Nach meiner Einschätzung müsste nun dieser großangelegte
Hackerangriff auch Auswirkungen im Bereich Filesharing haben. Denn wenn bisher
immer von den abmahnenden Rechtsanwälten der Rechteanbieter und den Gerichten
unisono davon ausgegangen worden ist, dass die Ermittlung der IP-Adresse grundsätzlich
fehlerfrei, zumindest wenn mehr als ein Verstoß festgestellt werden konnte, sei
und bei den heutigen Routern bei Eingabe eines benutzerdefinierten Passwortes
ja eigentlich auch kein Fremder unbefugt Zugang zum Netzwerk des abgemahnten
Anschlussinhabers erlangt haben kann , der Anschlussinhaber also im Rahmen der
sekundären Darlegungslast Begründungen am verbalen Hochreck vollbringen muss um
der Haftung für mögliches Filesharing zu entgehen; so muss das nun wohl anders
betrachtet werden.

Wenn knapp eine Million (1.000.000) Router gehackt werden
können und die Telekom auch nach drei 3! Tagen nicht für alle Router eine
Lösung via Update findet und Stunde um Stunde eingestehen muss, dass nicht eine
Sorte Router sondern auch noch eine andere oder eine Dritte und dann eine
Vierte und Fünfte befallen sind, um dann für alle Router ein Update zu
generieren, dann kann bei der Ermittlung von IP-Adressen nicht mehr davon
ausgegangen werden, dass in jedem Fall der Anschlussinhaber Herr über seinen
Router, sein Netzwerk, sein WLAN gewesen ist. Zumindest in den Fällen, in denen
der Anschlussinhaber Kunde der Telekom ist muss dies nun stark bezweifelt
werden.
Kategorien
Uncategorized

BGH verneint Störerhaftung für passwortgesichertes WLAN

Urteil vom 24. November 2016 – I ZR 220/15 –
WLAN-Schlüssel
Der unter anderem für das Urheberrecht zuständige I.
Zivilsenat hat sich im Zusammenhang mit der Haftung für
Urheberrechtsverletzungen mit den Anforderungen an die Sicherung eines
Internetanschlusses mit WLAN-Funktion befasst.
Die Klägerin ist Inhaberin von Verwertungsrechten an dem
Film „The Expendables 2“. Sie nimmt die Beklagte wegen des
öffentlichen Zugänglichmachens dieses Filmwerks im Wege des
„Filesharing“ auf Ersatz von Abmahnkosten in Anspruch. Der Film ist
im November und Dezember 2012 zu verschiedenen Zeitpunkten über den
Internetanschluss der Beklagten durch einen unbekannten Dritten öffentlich
zugänglich gemacht worden, der sich unberechtigten Zugang zum WLAN der
Beklagten verschafft hatte. Die Beklagte hatte ihren Internet-Router Anfang
2012 in Betrieb genommen. Der Router war mit einem vom Hersteller vergebenen,
auf der Rückseite des Routers aufgedruckten WPA2-Schlüssel gesichert, der aus
16 Ziffern bestand. Diesen Schlüssel hatte die Beklagte bei der Einrichtung des
Routers nicht geändert. Das Amtsgericht hat die Klage abgewiesen. Die Berufung
der Klägerin ist ohne Erfolg geblieben. 
Der Bundesgerichtshof hat die Revision der Klägerin
zurückgewiesen. Er hat angenommen, dass die Beklagte nicht als Störerin haftet,
weil sie keine Prüfungspflichten verletzt hat. Der Inhaber eines
Internetanschlusses mit WLAN-Funktion ist zur Prüfung verpflichtet, ob der
eingesetzte Router über die im Zeitpunkt seines Kaufs für den privaten Bereich
marktüblichen Sicherungen, also einen aktuellen Verschlüsselungsstandard sowie
ein individuelles, ausreichend langes und sicheres Passwort, verfügt. Die
Beibehaltung eines vom Hersteller voreingestellten WLAN-Passworts kann eine
Verletzung der Prüfungspflicht darstellen, wenn es sich nicht um ein für jedes
Gerät individuell, sondern für eine Mehrzahl von Geräten verwendetes Passwort
handelt. Im Streitfall hat die Klägerin keinen Beweis dafür angetreten, dass es
sich um ein Passwort gehandelt hat, das vom Hersteller für eine Mehrzahl von Geräten
vergeben worden war. Die Beklagte hatte durch Benennung des Routertyps und des
Passworts sowie durch die Angabe, es habe sich um ein nur einmal vergebenes
Passwort gehandelt, der ihr insoweit obliegenden sekundären Darlegungslast
genügt. Da der Standard WPA2 als hinreichend sicher anerkannt ist und es an
Anhaltspunkten dafür fehlt, dass im Zeitpunkt des Kaufs der voreingestellte
16-stellige Zifferncode nicht marktüblichen Standards entsprach oder Dritte ihn
entschlüsseln konnten, hat die Beklagte ihre Prüfungspflichten nicht verletzt.
Sie haftet deshalb nicht als Störerin für die über ihren Internetanschluss von
einem unbekannten Dritten begangenen Urheberrechtsverletzungen. Eine bei dem
Routertyp bestehende Sicherheitslücke ist in der Öffentlichkeit erst im Jahr
2014 bekannt geworden.
Vorinstanzen:
Karlsruhe, den 24. November 2016
Pressestelle des Bundesgerichtshofs
76125 Karlsruhe
Telefon (0721) 159-5013

Telefax (0721) 159-5501
Kategorien
Uncategorized

Filesharing: AG Koblenz verneint die (Störer-)Haftung des Betreibers eines Hotel-WLANs bei Urheberrechtsverletzungen von Gästen

Das AG Koblenz hat mit Urteil vom 18.06.2014 – Az. 161 C 145/14(Volltext hier) die (Störer-)Haftung des Betreibers eines Hotel-WLANs  für Urheberrechtsverletzungen von Gästen verneint. So haben auch schon das AG Hamburg mit Urteil vom 10.06.2014, Az. 25b C 431/13 entschieden, wie auch schon zweimal vorher das LG Frankfurt am Main.   Das LG Frankfurt am Main hat mit  Urteil vom 28. Juni 2013 · Az. 2-06 O 304/12 entschieden, dass den Vermieter einer Ferienwohnung keine Störerhaftung trifft, wenn der Mieter Urheberrechtsverletzungen über das WLAN der Ferienwohnung begeht. So auch im Urteil vom 18. August 2010 · Az. 2-6 S 19/09.

In dem Verfahren vor dem AG Koblenz  wurde der Inhaber eines Hotels abgemahnt, der seinen Gästen ein WLAN zur Verfügung gestellt hatte.  Das WLAN war verschlüsselt und der Hotelinhaber änderte das Passwort regelmäßig.
Das AG Koblenz wies die Klage gegen den Hotelinhaber  ab. Eine Überwachung seiner Angestellten und Gäste sei nicht erforderlich gewesen, da das WLAN bei Auslieferung über eine aktuelle Verschlüsselung verfügt hat und der Betreiber regelmäßig die Zugangspasswörter gewechselt hat.
Amtsgericht Koblenz
Urteil
In dem Rechtsstreit
wegen Urheberrechtsverletzung
hat das Amtsgericht Koblenz durch … auf Grund der mündlichen Verhandlung vom 14.05.2014 für Recht erkannt:
1.
Die Klage wird abgewiesen.
2.
Die Kosten des Rechtsstreits hat die Klägerin zu tragen.
3.
Das Urteil ist vorläufig vollstreckbar.
Die Klägerin kann die Vollstreckung durch den Beklagten gegen Sicherheitsleistung in Höhe von 110 % des zu vollstreckenden Betrages vorläufig abwenden, wenn nicht dieser zuvor Sicherheit in gleicher Höhe leistet.
Tatbestand
Die Klägerin begehrt Schadenersatz auf Grund einer behaupteten Urheberrechtsverletzung durch den Beklagten sowie Kostenersatz wegen der durch die erfolgte Abmahnung entstandenen Rechtsanwaltsgebühren.
Die Klägerin ist eine Filmproduzentin, die unter dem Label “…” pornografische Filme her­stellt. Durch sie wird u.a. der hier streitgegenständliche Film “…” ver­trieben.
Mit Anwaltsschreiben vom 03.08.2010 (Anlage K9) mahnte die Klägerin den Beklagten ab, weil am 19.04.2010 um 10:59 Uhr über den Internetanschluss mit der IP-Adresse “…” der vorgenannte Film auf einer Tauschbörse zum Download angeboten worden sei. Sie forderte ihn zur Abgabe einer strafbewehrten Unterlassungserklärung auf.
Die Klägerin behauptet,
die von ihr in Auftrag gegebenen Ermittlungsmaßnahmen zur Feststellung von Verletzungen ihrer Leistungsschutzrechte durch unautorisierte Internetangebote hätten ergeben, dass dem Beklag­ten der Internetanschluss bzw. die IP-Adresse zuzuordnen sei, über die das gegenständliche Filmwerk zur Tatzeit zum Download angeboten worden sei.
Die Klägerin beantragt,
1. den Beklagten zu verurteilen, an sie einen Schadenersatzbetrag in Höhe von 1.000,00 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen,
2. den Beklagten zu veurteilen, an sie außergerichtliche Rechtsanwaltskosten in Höhe von 859,80 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basis­zinssatz seit Rechtshängigkeit zu zahlen.
Der Beklagte beantragt,
die Klage abzuweisen.
Der Beklagte trägt vor,
er selbst habe die streitgegenständliche Datei nicht zum Download im Internet öffentlich angebo­ten. Bei dem in Rede stehenden Anschluss handele es sich um den Hotelanschluss, einem Gä­stenetz, welches schwerpunktmäßig von seinen Hotelgästen, aber auch von seinen Hotelange­stellten genutzt werde. Jeder Gast, der das Internet in seinem Hotel nutzen wolle, erhalte eine Karte mit den Zugangsdaten, auf denen ein entsprechender Hinweis vermerkt sei, dass eine missbräuchliche Verwendung des Anschlusses nicht gestattet sei. Entsprechend seien auch sei­ne Angestellten mündlich über das Verbot, über den Internetanschluss eine Urheberrechtsverlet­zung zu begehen, in Kenntnis gesetzt worden.
Sein WLAN sei zum angeblichen Tatzeitpunkt ordnungsgemäß abgesichert gewesen. Der An­schluss sei mit einer Fritz-Box ausgestattet, welche werkseitig mit einem individuellen Authentifi­zierungsschlüssel vergeben werde, der von ihm auch verwendet worden sei. Der Zugangscode sei regelmäßig geändert worden.
Hinsichtlich des weiteren Sach- und Streitstandes wird ausdrücklich auf sämtliche, von den Par­teien zur Akte gereichten Schriftsätze nebst Anlagen Bezug genommen.
Das Gericht hat den Beklagten im Termin am 14.05.2014 zum Sachverhalt angehört.
Entscheidungsgründe
Die zulässige Klage ist unbegründet.
Der Klägerin steht gegenüber dem Beklagten keinerlei Anspruch zu.
Eine täterschaftliche Haftung des Beklagten aus § 97 Abs. 2 UrhG ist nicht gegeben, weil nicht bewiesen ist, dass der Beklagte das streitgegenständliche Filesharing betrieben hat. Ebenso kommt mangels Störereigenschaft eine Störerhaftung nicht in Betracht.
Es kann dahinstehen, ob die Ermittlung und Zuordnung der rechtsverletzenden Handlung zu der IP-Adresse des Beklagten richtig ermittelt wurde oder nicht, da der Beklagte jedenfalls den hieraus ggf. resultierenden Anscheinsbeweis erschüttert hat.
Im Rahmen seiner richterlichen Anhörung am 14.05.2014 hat der Beklagte glaubhaft angegeben, bei dem in Rede stehenden Anschluss handele es sich um ein Gästenetzwerk, das überwiegend von Hotelgästen, aber auch seinen Hotelangestellten genutzt werde. Damit hat der Beklagte je­denfalls – eine korrekte technische Zuordnung der IP-Adresse unterstellt – einen etwaigen An­scheinsbeweis für seine Täterschaft erschüttert, da damit zur Überzeugung des Gerichts Um­stände feststehen, aus denen sich die ernsthafte Möglichkeit eines anderen Geschehensablaufs – nämlich der Alleintäterschaft eines anderen Nutzers des Internetanschlusses – ergibt. Damit hat der Beklagte seiner insoweit bestehenden sekundären Darlegungslast genügt.
Nach alledem scheidet eine Täterhaftung vorliegend aus.
Die Klägerin hat gegen den Beklagten auch keinen Anspruch auf Erstattung von Rechtsanwalts­gebühren aus § 97a Abs. 1 Satz 2 UrhG.
Der Beklagte haftet als Inhaber des Internetanschlusses nicht als Zustandsstörer im Bezug auf die streitgegenständliche Rechtsverletzung.
Zwar hat der Beklagte als Anschlussinhaber grundsätzlich dafür zu sorgen, dass keine Dritten über den Anschluss Rechtsverletzungen begehen. Als Störer kann bei der Verletzung absoluter Rechte in Anspruch genommen werden, wer – ohne Täter oder Teilnehmer zu sein – in irgendeiner Weise willentlich oder kausal adäquat zur Verletzung des geschützten Rechts beiträgt. Da die Störerhaftung jedoch nicht über Gebühr auf Dritte erstreckt werden darf, die die rechtswidrige Be­einträchtigung nicht selbst vorgenommen haben, setzt die Haftung des Störers nach der Recht­sprechung des Bundesgerichtshofes allerdings die Verletzung zumutbarer Verhaltenspflichten, insbesondere von Prüfpflichten, voraus. Ob und inwieweit dem Störer als in Anspruch genomme­nen eine Prüfung zuzumuten ist, richtet sich nach den jeweiligen Umständen des Einzelfalls.
Im vorliegenden Fall kommt das Gericht zu dem Ergebnis, dass der Beklagte keine Prüfpflicht verletzt hat.
Der WLAN-Anschluss des Beklagten war ausreichend gesichert. Der Beklagte hat hierzu glaub­haft erklärt, die Fritz-Box des Gästeanschlusses sei bei Auslieferung werkseitig mit WPA 1/2 ver­schlüsselt gewesen. Es habe sich hierbei um die handelsübliche und zu diesem Zeitpunkt aktuel­le Verschlüsselung gehandelt. Den Beklagten trifft nach höchstrichterlicher Rechtsprechung hin­gegen keine Pflicht, seinen WLAN-Anschluss regelmäßig auf den neusten technischen Stand zu bringen.
Der erforderliche Sicherheitsstandard wurde von dem Beklagten auch dadurch eingehalten, dass er eigenen Angaben zufolge regelmäßig wechselnde Zugangspasswörter verwendet hat.
Darüber hinaus ist der Beklagte seiner Belehrungspflicht nachgekommen. Er hat sowohl seine Hotelangestellten als auch diejenigen Hotelgäste, welche im Hotel das Internet nutzen wollten, durch Ausgabe entsprechender Kärtchen dahingehend belehrt, dass das widerrechtliche Down- und/oder Uploaden von urherberrechtliche geschützten Dateien verboten ist. Damit wurde ein ein­deutiger Hinweis auf die geltende Rechtslage erteilt, um Rechtsverstößen vorzubeugen.
Da es sich vorliegend um die erste Abmahnung des Beklagten handelt, bestand des Weiteren keine Verpflichtung des Beklagten, die Internetnutzung durch seine Gäste oder Angestellten zu überwachen.
Mangels Haftung des Beklagten für die streitgegenständliche Urheberrechtsverletzung war die un­begründete Klage in vollem Umfang abzuweisen.
Die Kostenentscheidung beruht auf § 91 ZPO.
Die Entscheidung über die vorläufige Vollstreckbarkeit hat ihre Grundlage in §§ 708 Nr. 11711 ZPO.
Streitwert:1.859,80 €