BGH, Urt. 24.11.2016 - I ZR 220/15
Ausreichende Sicherung durch werkseitigen WLAN-Schlüssel
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 08/2017
Aus: IT-Rechtsberater, Heft 08/2017
Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig für einen WLAN-Internetzugang individuell voreingestelltes Passwort genügt den Anforderungen an die Passwortsicherheit.
BGH, Urt. v. 24.11.2016 - I ZR 220/15
Vorinstanz: LG Hamburg, Urt. v. 29.9.2015 - 310 S 3/15
Vorinstanz: AG Hamburg, Urt. v. 9.1.2015 - 36a C 40/14
UrhG § 97 Abs. 1 Satz 1
Sicherungspflicht: Der Inhaber eines Internetanschlusses mit WLAN-Funktion sei verpflichtet zu prüfen, ob der verwendete Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen verfüge, also dem aktuellen Verschlüsselungsstandard entspreche und durch ein individuelles, ausreichend langes und sicheres Passwort geschützt sei (vgl. BGH, Urt. v. 12.5.2010 – I ZR 121/08 – Sommer unseres Lebens, Rz. 34, CR 2010, 458 = ITRB 2010, 151).
Individuelles Passwort: An der Individualität des Passworts fehle es, wenn der Hersteller eine Mehrzahl von Geräten auf ein identisches Passwort voreingestellt habe. In einem solchen Fall stehe Dritten schon bei Kenntnis vom Typ des verwendeten Routers potentiell der Zugriff auf das WLAN offen. Habe der Hersteller hingegen jedes einzelne Gerät mit einem individuellen Passwort versehen, sei das Erfordernis der Individualität grundsätzlich gewahrt (vgl. AG Hamburg v. 9.1.2015 – 36a C 40/14, CR 2015, 335 = ITRB 2015, 90). Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig individuell voreingestelltes Passwort sei nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort (vgl. AG Frankfurt/M. v. 14.6.2013 – 30 C 3078/12 [75], CR 2013, 583).
Keine Anhaltspunkte für Sicherheitslücke: Fehle es im Zeitpunkt des Kaufs des Routers an Anhaltspunkten, dass Dritte den werkseitig voreingestellten Code aufgrund einer Sicherheitslücke entschlüsseln oder etwa durch Zugriff auf ggf. einen Ausdruck auf dem Router oder seiner Verpackung hätten ausspähen können, verstoße der Nutzer, der die Voreinstellung übernehme, nicht gegen die ihm obliegenden Prüfungspflichten. Der WPA2-Standard sei als hinreichend sicher anerkannt (vgl. BGH v. 12.5.2010 – I ZR 121/08 – Sommer unseres Lebens, Rz. 33, CR 2010, 458 = ITRB 2010, 151).
Beweislast: Da die Frage, welche Sicherheitsvorkehrungen der Anschlussinhaber bei Inbetriebnahme seines Routers getroffen habe, außerhalb des Wahrnehmungsbereichs des Anspruchstellers liege, obliege dem Anschlussinhaber insoweit eine sekundäre Darlegungslast (vgl. BGH v. 8.1.2014 – I ZR 169/12 – BearShare, Rz. 15, CR 2014, 472 = ITRB 2014, 176), welcher vorliegend durch Angabe des Routertyps und des Passworts genügt worden sei. Die Rechteinhaberin sei demgegenüber für die Behauptung, es habe sich um ein für eine Vielzahl von Routern vergebenes Passwort gehandelt, beweispflichtig gewesen.
BGH, Urt. v. 24.11.2016 - I ZR 220/15
Vorinstanz: LG Hamburg, Urt. v. 29.9.2015 - 310 S 3/15
Vorinstanz: AG Hamburg, Urt. v. 9.1.2015 - 36a C 40/14
UrhG § 97 Abs. 1 Satz 1
Das Problem
Die Inhaberin eines Internetzugangs betrieb diesen in einem Mehrfamilienhaus mithilfe eines WLAN-Routers, der zu einem Zeitpunkt zwischen Februar und Mai 2012 eingerichtet worden war. Der Router war mit einem vom Hersteller vergebenen, auf der Rückseite der Verpackung aufgedruckten WPA2-Schlüssel gesichert, der aus 16 Ziffern bestand und von der Anschlussinhaberin bei der Einrichtung des Routers nicht geändert worden war. Über den Anschluss wurde ein Spielfilm per Internettauschbörse von einem unbekannten Dritten angeboten, der sich unberechtigten Zugang zum WLAN der Anschlussinhaberin verschafft hatte.Die Entscheidung des Gerichts
Die Voraussetzungen eines Anspruchs auf Zahlung von Abmahnkosten gem. § 97a Abs. 1 UrhG a.F. lägen nicht vor, weil der Rechteinhaberin kein Unterlassungsanspruch zustehe.Sicherungspflicht: Der Inhaber eines Internetanschlusses mit WLAN-Funktion sei verpflichtet zu prüfen, ob der verwendete Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen verfüge, also dem aktuellen Verschlüsselungsstandard entspreche und durch ein individuelles, ausreichend langes und sicheres Passwort geschützt sei (vgl. BGH, Urt. v. 12.5.2010 – I ZR 121/08 – Sommer unseres Lebens, Rz. 34, CR 2010, 458 = ITRB 2010, 151).
Individuelles Passwort: An der Individualität des Passworts fehle es, wenn der Hersteller eine Mehrzahl von Geräten auf ein identisches Passwort voreingestellt habe. In einem solchen Fall stehe Dritten schon bei Kenntnis vom Typ des verwendeten Routers potentiell der Zugriff auf das WLAN offen. Habe der Hersteller hingegen jedes einzelne Gerät mit einem individuellen Passwort versehen, sei das Erfordernis der Individualität grundsätzlich gewahrt (vgl. AG Hamburg v. 9.1.2015 – 36a C 40/14, CR 2015, 335 = ITRB 2015, 90). Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig individuell voreingestelltes Passwort sei nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort (vgl. AG Frankfurt/M. v. 14.6.2013 – 30 C 3078/12 [75], CR 2013, 583).
Keine Anhaltspunkte für Sicherheitslücke: Fehle es im Zeitpunkt des Kaufs des Routers an Anhaltspunkten, dass Dritte den werkseitig voreingestellten Code aufgrund einer Sicherheitslücke entschlüsseln oder etwa durch Zugriff auf ggf. einen Ausdruck auf dem Router oder seiner Verpackung hätten ausspähen können, verstoße der Nutzer, der die Voreinstellung übernehme, nicht gegen die ihm obliegenden Prüfungspflichten. Der WPA2-Standard sei als hinreichend sicher anerkannt (vgl. BGH v. 12.5.2010 – I ZR 121/08 – Sommer unseres Lebens, Rz. 33, CR 2010, 458 = ITRB 2010, 151).
Beweislast: Da die Frage, welche Sicherheitsvorkehrungen der Anschlussinhaber bei Inbetriebnahme seines Routers getroffen habe, außerhalb des Wahrnehmungsbereichs des Anspruchstellers liege, obliege dem Anschlussinhaber insoweit eine sekundäre Darlegungslast (vgl. BGH v. 8.1.2014 – I ZR 169/12 – BearShare, Rz. 15, CR 2014, 472 = ITRB 2014, 176), welcher vorliegend durch Angabe des Routertyps und des Passworts genügt worden sei. Die Rechteinhaberin sei demgegenüber für die Behauptung, es habe sich um ein für eine Vielzahl von Routern vergebenes Passwort gehandelt, beweispflichtig gewesen.