Urteil Bundesgerichtshof

Keine Haftung wegen Filesharing bei Beibehaltung von individuellem voreingestelltem WPA2-Schlüssel

18. Dezember 2015
[Gesamt:2    Durchschnitt: 3.5/5]
1218 mal gelesen
0 Shares
"WPA2"-Schriftzug auf einen WLAN-Symbol mit einem Schloß davor Urteil des LG Hamburg vom 29.09.2015, Az.: 310 S 3/15

Bei Verwendung eines voreingestellten individuell vergebenen WPA2-Schlüssels als Router-Passwort kann der Anschlussinhaber bei Filesharing durch unbekannte Dritte nicht automatisch zur Haftung herangezogen werden. Eine Pflichtverletzung des Anschlussinhabers kommt deswegen nicht in Betracht, da der 16-stellige werkseitig individuell vergebene Zahlen-Schlüssel als ebenso sicher wie ein vom Anschlussinhaber selbst vergebenes Passwort angesehen werden kann und daher ausreichend ist. Eine Prüfpflichtverletzung ist nur dann vorzuwerfen, wenn Anhaltspunkte vorliegen, dass der Zahlenschlüssel ausspähbar ist.

Landgericht Hamburg

Urteil vom 29.09.2015

Az.: 310 S 3/15

Tenor

1. Die Berufung der Klägerin und Berufungsklägerin gegen das Urteil des Amtsgerichts Hamburg, Gz. 36a C 40/14, vom 09.01.2015 wird zurückgewiesen.

2. Die Klägerin und Berufungsklägerin trägt die Kosten des Berufungsverfahrens.

3. Das Urteil ist vorläufig vollstreckbar. Der Klägerin und Berufungsklägerin bleibt nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 110% des aus diesem Urteil vollstreckbaren Betrages abzuwenden, wenn nicht die Beklagte und Berufungsbeklagte vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages geleistet hat.

4. Die Revision wird zugelassen.

Entscheidungsgründe

I.

Die Klägerin und Berufungsklägerin (im Folgenden: Klägerin) begehrt Erstattung von Abmahnkosten und Schadensersatz für das widerrechtliche öffentliche Zugänglichmachen eines Films in einer Internettauschbörse über den Internetanschluss der Beklagten und Berufungsbeklagten (im Folgenden: Beklagten).

Die Beklagte wohnte in einem Mehrfamilienhaus. In dem Haushalt der Beklagten bestand ein WLAN-Internetzugang, wobei ein Router der Marke „Alice Modem WLAN 1421“ verwendet wurde. Dieser war in der Zeit von etwa Februar bis Mai 2012 eingerichtet worden und war mit einem vom Hersteller vergebenen WPA2-Schlüssel gesichert, der aus 16 Ziffern bestand, die auf der Rückseite des Routers aufgedruckt waren und lauteten: „2…4“ (vgl. Foto Anlage B 1 = Bl. 66 d.A.). Dieser Schlüssel hätte individuell geändert werden können. Die Beklagte hatte den Schlüssel bei der Einrichtung des Routers nicht geändert bzw. ändern lassen. Den Namen des Modems, mit dem ihr Netz angezeigt wurde, hatte die Beklagte dagegen auf „O.“ ändern lassen.

Im November und Dezember 2012 wurde eine Datei, die den Film „T. E.“ enthielt, an drei Tagen zu insgesamt fünf verschiedenen Zeitpunkten über den Internetanschluss der Beklagten in einer Dateitauschbörse zum Download angeboten. Zwischen den Parteien ist unstreitig, dass diese Rechtsverletzungen von einem unbekannten Dritten begangen wurden, der sich unberechtigten Zugang zum WLAN-Netzwerk der Beklagten verschafft hatte.

Die Klägerin ist Inhaberin von Nutzungsrechten am streitgegenständlichen Film und hatte die Rechtsverletzungen sowie die Beklagte als Anschlussinhaberin ermitteln lassen. Auf eine klägerische anwaltliche Abmahnung und Schadensersatz- sowie Kostenerstattungsforderung vom 07.06.2013 (Anlage K 8) gab die Beklagte eine modifizierte Unterlassungsverpflichtungserklärung ab, leistet aber keine Zahlung.

Später stellte sich heraus, dass der werksseitig vergebene WPA2-Schlüssel nach einem unsicheren Verfahren generiert worden war und mit überschaubarem Zeitaufwand von einem unberechtigten Dritten „geknackt“ werden konnte. Dazu hieß es am 18.03.2014 auf www. h..de u.a. (vgl. Anlage B 5), ein Reverse-Engineering-Spezialist habe festgestellt, „dass der Algorithmus, der den Standard-Key bestimmt, nicht sicher genug“ sei; und weiter: „Anhand öffentlicher Informationen, die jeder in Funkreichweite mitbekommt, lässt sich die Anzahl der möglichen Keys erheblich reduzieren.“ Am 19.03.2014 folgte noch der Nachtrag, Details über die eingesetzten Algorithmen seien bereits seit einiger Zeit im Netz gewesen und stammten aus einer unabhängigen Analyse (weitere Einzelheiten vgl. Anlage B 5). Am 19.03.2014 gab die T. G. GmbH & Co. OHG auf ihrer Internetpräsenz www. o..de u.a. auch für den Router-Typ „1421“ der Beklagten eine Kundenwarnung unter der Überschrift „WLAN-Schlüssel – Sicherheitshinweis zu den Boxen 6431, 4421, 1421“ heraus (Anlage B 4), in der es u.a. wie folgt hieß:

(Abbildung)

Die Klägerin hat mit ihrer Klage in erster Instanz Erstattung von Abmahnkosten über € 755,80 sowie sogenannten lizenzanalogen Schadensersatz in Höhe von € 400,- sowie Erstattung von Ermittlungskosten in Höhe von € 100,- verlangt. Die Klägerin hat dabei mit Nichtwissen bestritten, dass es sich bei dem werksseitig eingestellten WPA2-Schlüssel um einen individuell vergebenen Schlüssel nur für das einzelne Routergerät gehandelt habe.

Das Amtsgericht hat die Klage abgewiesen mit der Begründung, Schadensersatzansprüche schieden schon deshalb aus, weil die Beklagte nicht als Täterin oder Teilnehmerin der durch den unbekannten Dritten begangenen Rechtsverletzung hafte. Jedoch bestehe auch kein Anspruch auf Erstattung von Abmahnkosten, weil auch eine Störerhaftung der Beklagten nicht gegeben sei, weil der Beklagten keine Verletzung von zumutbaren Pflichten vorzuwerfen sei. Es könne der Beklagten nicht vorgeworfen werden, den Router nicht ausreichend gesichert zu haben. Zwar sei unstreitig, dass die Beklagte den werksseitig vergebenen 16-stelligen WPA2-Schlüssel nicht verändert habe. Da aber die Beklagte substanziiert behauptet und (ohne Beweislast) sogar unter Beweis gestellt habe, dass es sich bei dem werkseitigen Schlüssel um einen individuell, d.h. einen nur für ihr Routergerät vergebenen Schlüssel gehandelt habe, hätte die Klägerin dafür, dass es sich um kein solches individuelles Passwort gehandelt habe, Beweis anbieten müssen. Das habe die Klägerin nicht getan. Daher sei von einem werksseitig vergebenen individuellen, nur dem Inhaber des jeweiligen WLAN-Routers bekannten WPA2-Kennwort auszugehen. Dieses sei grundsätzlich mindestens ebenso sicher wie ein selbstgewähltes WPA2-Kennwort. Dass im vorliegenden Fall das werksseitig vergebene Kennwort deshalb nicht ausreichend sicher gewesen sei, weil es werkseitig fehlerhaft generiert worden sei, könne eine Störerhaftung der Beklagten nicht begründen, weil diese Sicherheitslücke erst im März 2014 und damit lange Zeit nach den hier in Rede stehenden Rechtsverletzungen öffentlich bekannt geworden sei.

Wegen weiterer Einzelheiten zum Sach- und Streitstand in erster Instanz wird auf das angegriffene Urteil des Amtsgerichts Hamburg zum Geschäftszeichen 36a C 40/14 vom 22.12.2014 verwiesen.

Das Urteil ist der Klägerin am 19. Januar 2015 zugestellt worden. Sie hat mit Schriftsatz vom 9. Februar 2015, eingegangen an diesem Tag, Berufung eingelegt und diese mit Schriftsatz vom 13. März 2015, eingegangen an diesem Tag, begründet.

Die BGH-Entscheidung „Sommer unseres Lebens“ (vom 12.05.2010 – I ZR 121/08) gelte nicht nur in Fällen eines für eine Vielzahl von Geräten vergebenen werkseitigen Passworts. Vielmehr habe im damaligen Fall der Beklagte ein werksseitiges individualisiertes Kennwort verwendet und auch für diesen Fall habe der BGH entschieden, dass der Anschlussbetreiber seiner Prüfungspflicht nur dann nachkomme, wenn er ein persönliches, ausreichend langes und sicheres Passwort vergebe.Die Klägerin beschränkt ihre Klageforderung in der Berufungsinstanz auf Erstattung der Abmahnkosten in Höhe von € 755,80 zzgl. Zinsen. Sie beruft sich auf eine Störerhaftung der Beklagten. Diese habe die ihr als Betreiber des WLAN-Anschlusses obliegende Prüfungspflicht hinsichtlich ausreichender Sicherungsmaßnahmen durch Beibehaltung des werkseitig voreingestellten Passwortes verletzt.

Diese Pflicht bestehe auch unabhängig davon, ob sich in der Bedienungsanleitung des Routers ein Hinweis zur Abänderung des voreingestellten Schlüssels befinde, und ebenso unabhängig davon, ob dem Anschlussinhaber bekannt gewesen sei, dass es über seinen Anschluss zu einer Rechtsverletzung gekommen sei. Eine solche Sicht sei auch sachgerecht, denn einem unbekannten Dritten sei ja gerade nicht bekannt, welche Verschlüsselungsart und welches Kennwort der Anschlussinhaber gewählt habe. Im vorliegenden Fall werde der unbekannte Dritte vermutlich auf die sog. Brute-Force-Methode zurückgegriffen haben, um das ihm unbekannte Passwort zu knacken, wofür er bei einem 13-Zeichen-Passwort nur circa 80 Minuten benötigt habe und daher für ein 16-stelliges Passwort, welches lediglich aus Zahlen bestehe, nicht wesentlich länger gebraucht haben werde. Die Ansicht des Amtsgerichts, dass ein werksseitig vergebenes Passwort immer aus 16 Zahlen bestehe und ebenso sicher sei wie ein individuell gewähltes Passwort sei, könne nicht geteilt werden.

Wenn es sich bei dem vorgegebenen Passwort um ein individuell vergebenes Passwort gehandelt habe, so sei es entscheidend, ob dieses voreingestellte Passwort ein ausreichendes Schutzniveau gewährleistet habe. Das sei vorliegend aber nicht der Fall gewesen, weil unstreitig sei, dass das Passwort werkseitig fehlerhaft generiert und daher von einem unbekannten Dritten ohne großen Aufwand zu knacken gewesen sei. Diese Sicherheitslücke wäre im vorliegenden Fall zu vermeiden gewesen, wenn die Beklagte das Passwort geändert und bei Inbetriebnahme ihres Anschlusses ein persönliches, ausreichend langes und sicheres Passwort gewählt hätte.

Die Störerhaftung sei auch nicht deshalb ausgeschlossen, weil der Beklagten die Sicherheitslücke unbekannt gewesen sei, denn die Pflicht zur Sicherung des Anschlusses bestehe unabhängig davon, ob bereits Urheberrechtsverletzungen über den eigenen Anschluss begangen worden seien oder dem Anschlussinhaber bekannt sei, ob eine fehlerhafte Generierung des voreingestellten Passwortes vorliege.

Die Klägerin beantragt,

unter Abänderung des am 9. Januar 2015 verkündeten Urteils des Amtsgerichts Hamburg, Az. 36a C 40/14, die Beklagte zu verurteilen, an die Klägerin € 755,80 zuzüglich Zinsen in Höhe von 5 Prozentpunkten über den Basiszinssatz seit Rechtshängigkeit zu zahlen.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Sie meint, der dem BGH-Urteil „Sommer unseres Lebens“ zu Grunde liegende Sachverhalt sei auf den vorliegenden Fall nicht übertragbar, denn dort sei nur ein so genannter WPA-Schlüssel verwandt worden; vorliegend habe die Beklagte einen WPA2-Schlüssel verwandt, eine solche Verschlüsselung werde heute empfohlen. Außerdem sei im genannten BGH-Fall der dort verwandte Schlüssel gerade nicht individualisiert gewesen; vorliegend sei dagegen das werkseitig vergebende Passwort individuell und daher nur dem Inhaber des jeweiligen WLAN-Routers bekannt gewesen.

Ein solches individuelles werkseitig vergebenes Passwort sei mindestens ebenso sicher, in vielen Fällen sogar sicherer als ein selbstgewähltes Passwort. Ein höherer Verschlüsselungsstandard könne von der Beklagten nicht verlangt werden; soweit im Übrigen die Klägerin zur Entschlüsselungsmethoden des unbekannten Dritten vortrage, erfolge dieser Vortrag unzulässig „ins Blaue hinein“.

Es sei auch nicht der Beklagten zuzurechnen, das der Hersteller des Routers das individuelle Passwort offensichtlich fehlerhaft generiert habe.

Wegen der weiteren Einzelheiten zum Sach- und Streitstand im Berufungsverfahren wird auf die gewechselten Schriftsätze nebst Anlagen, die Gegenstand der mündlichen Verhandlung geworden sind, sowie auf das Protokoll der am 25. Juni 2015 geschlossenen mündlichen Verhandlung verwiesen.

Nach Schluss der Berufungsverhandlung haben die Parteien nicht nachgelassene Schriftsätze vom 29.7.2015 (Beklagte) und vom 10.8.2015 (Klägerin) jeweils mit Rechtsausführungen zur Akte gereicht.

II.

Die zulässige Berufung ist zurückzuweisen. Das Amtsgericht hat die Klage auch bezüglich des jetzt noch im Streit befindlichen Anspruchs auf Abmahnkosten zuzüglich Zinsen zu Recht zurückgewiesen.

Es lässt sich nicht feststellen, dass der Klägerin der Anspruch auf Erstattung der Abmahnkosten zusteht. Anspruchsgrundlage ist § 97a UrhG a.F. Voraussetzung ist eine berechtigte Abmahnung. Diese erfordert vorliegend, dass die Beklagte als Störerin für die streitgegenständlichen Verletzungshandlungen haftet (Täterschaft oder Teilnahme macht die Klägerin in der Berufung nicht mehr geltend). Eine Störerhaftung der Beklagten lässt sich jedoch nicht feststellen.

Grundlage einer Störerhaftung können nur Verletzungen solcher Verhaltenspflichten sein, deren Einhaltung dem Anschlussinhaber zumutbar ist. In der sog. „BearShare“-Entscheidung (BGH, Urteil vom 08. Januar 2014 – I ZR 169/12 -, BGHZ 200, 76-86) hat der BGH in Fortsetzung und Bestätigung seiner bisherigen Rechtsprechung ausgeführt (zit. nach juris-Volltext Tz. 22):

„Als Störer kann bei der Verletzung absoluter Rechte auf Unterlassung in Anspruch genommen werden, wer – ohne Täter oder Teilnehmer zu sein – in irgendeiner Weise willentlich und adäquat kausal zur Verletzung des geschützten Rechts beiträgt. Dabei kann als Beitrag auch die Unterstützung oder Ausnutzung der Handlung eines eigenverantwortlich handelnden Dritten genügen, sofern der Inanspruchgenommene die rechtliche und tatsächliche Möglichkeit zur Verhinderung dieser Handlung hatte. Da die Störerhaftung nicht über Gebühr auf Dritte erstreckt werden darf, die weder als Täter noch als Teilnehmer für die begangene Urheberrechtsverletzung in Anspruch genommen werden können, setzt die Haftung als Störer nach der Rechtsprechung des Senats die Verletzung zumutbarer Verhaltenspflichten, insbesondere von Prüfungspflichten, voraus. Ob und inwieweit dem als Störer Inanspruchgenommenen eine Verhinderung der Verletzungshandlung des Dritten zuzumuten ist, richtet sich nach den jeweiligen Umständen des Einzelfalls unter Berücksichtigung seiner Funktion und Aufgabenstellung sowie mit Blick auf die Eigenverantwortung desjenigen, der die rechtswidrige Beeinträchtigung selbst unmittelbar vorgenommen hat (BGHZ 185, 330 Rn. 19 – Sommer unseres Lebens; BGH, GRUR 2013, 511 Rn. 41 – Morpheus; BGH, Urteil vom 16. Mai 2013 – I ZR 216/11, GRUR 2013, 1229 Rn. 34 = WRP 2013, 1612 – Kinderhochstühle im Internet II, mwN).“

Danach vermag die Kammer vorliegend keine Prüfpflichtverletzung der Beklagten zu erkennen.

1.

Eine Prüfpflichtverletzung desjenigen Inhalts, dass die Beklagte einen schon generell nicht ausreichenden Verschlüsselungsstandard gewählt hätte, ist zu verneinen.

Zu den generell zumutbaren Prüfpflichten bei Sicherung eines WLAN-Anschlusses hat der BGH in der Entscheidung „Sommer unseres Lebens“ (BGH, Urteil vom 12. Mai 2010 – I ZR 121/08 -, BGHZ 185, 330-341) ausgeführt (zit. nach juris-Volltext Rz. 22 und 23):

bb) Auch Privatpersonen, die einen WLAN-Anschluss in Betrieb nehmen, ist es zuzumuten zu prüfen, ob dieser Anschluss durch angemessene Sicherungsmaßnahmen hinreichend dagegen geschützt ist, von außenstehenden Dritten für die Begehung von Rechtsverletzungen missbraucht zu werden. Die Zumutbarkeit folgt schon daraus, dass es regelmäßig im wohlverstandenen eigenen Interesse des Anschlussinhabers liegt, seine Daten vor unberechtigtem Eingriff von außen zu schützen. Zur Vermeidung von Urheberrechtsverletzungen durch unberechtigte Dritte ergriffene Sicherungsmaßnahmen am WLAN-Zugang dienen zugleich diesem Eigeninteresse des Anschlussinhabers. Die Prüfpflicht ist mit der Folge der Störerhaftung verletzt, wenn die gebotenen Sicherungsmaßnahmen unterbleiben.

cc) Welche konkreten Maßnahmen zumutbar sind, bestimmt sich auch für eine Privatperson zunächst nach den jeweiligen technischen Möglichkeiten (vgl. BGHZ 172, 119 Tz. 47 – Internet-Versteigerung II).Es würde die privaten Verwender der WLAN-Technologie allerdings unzumutbar belasten und wäre damit unverhältnismäßig, wenn ihnen zur Pflicht gemacht würde, die Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden. Die Prüfungspflicht im Hinblick auf die unbefugte Nutzung eines WLAN-Routers konkretisiert sich vielmehr dahin, dass jedenfalls die im Kaufzeitpunkt des Routers für den privaten Bereich marktüblichen Sicherungen ihrem Zweck entsprechend wirksam einzusetzen sind (vgl. dazu für den Bereich der Verkehrssicherungspflichten BGH, Urt. v. 31.10.2006 – VI ZR 223/05, NJW 2007, 762 Tz. 11; Urt. v. 2.3.2010 – VI ZR 223/09 Tz. 9 f., VersR 2010, 544).

Zwischen den Parteien des vorliegenden Rechtsstreits ist nicht im Streit, dass zum Zeitpunkt der hier gegenständlichen Verletzungshandlungen im November und Dezember 2012 der von der Beklagten verwendete Verschlüsselungsstandard WPA2 in technischer Hinsicht generell geeignet war, eine ausreichende Sicherung eines WLAN-Routergeräts gegen unberechtigte Zugriffe zu garantieren.

2.

Eine Störerhaftung der Beklagten lässt sich auch nicht mit der Begründung feststellen, sie habe einen nicht-individualisierten WLAN-Schlüssel verwendet, der werkseitig vom Hersteller auch für andere Geräte desselben Router-Typs vergeben worden sei. Die rechtliche Beurteilung eines solchen Falles kann offen bleiben, weil sich schon die entsprechenden Tatsachen vorliegend nicht feststellen lassen.

Darlegungs- und beweisbelastet für diejenige Pflichtverletzung, aus der sich eine Störerhaftung des Anschlussinhabers ergeben soll, ist der die Störerhaftung geltend machende Rechteinhaber. Will er geltend machen, der Router des Anschlussinhabers sei lediglich mit einem nicht-individualisierten Passwort gesichert gewesen, bei welchem die Gefahr bestanden habe, dass dieses Passwort auch anderen Personen von anderen Geräten her bekannt gewesen sein könne, und bestreitet der Anschlussinhaber diese Behauptung, so trägt der Rechteinhaber für seine Behauptung als einer anspruchsbegründenden Tatsache die Beweislast. Diese Beweislast greift jedenfalls dann ein, wenn der Beklagte im Rahmen seiner sekundären Darlegungslast zu seinem Router nach Hersteller, Gerätetyp und verwendetem Schlüssel substanziiert vorgetragen hat.

Im vorliegenden Fall hat die Beklagte ihrer sekundären Darlegungslast genügt, denn sie hat ihren Routertyp und das Passwort benannt und ein Foto von der Rückseite des Routers mit dem dort wiedergegebenen Passwort vorgelegt; damit war substanziiert vorgetragen, welche konkreten Sicherungsmaßnahmen getroffen worden waren. Die Klägerin hat weder in erster noch in zweiter Instanz Beweis dafür angeboten, dass es sich bei dem Passwort der Beklagten um ein nicht allein für dieses Gerät, sondern auch für andere Geräte vergebenes Passwort gehandelt haben soll.

3.

Der Beklagten ist aber auch keine Prüfpflichtverletzung vorzuwerfen, den (nach vorstehend 2.) hier anzunehmenden individuellen WLAN-Schlüssel des Herstellers nicht noch einmal selbst geändert zu haben.

a)

Eine solche generelle Pflicht zur Änderung eines werkseitig voreingestellten individuellen Schlüssels lässt sich nicht schon der BGH-Entscheidung „Sommer unseres Lebens“ entnehmen.

Zwar war nach den Entscheidungsgründen, (BGH, Urteil vom 12. Mai 2010, I ZR 121/08, zit. nach juris-Rn. 33 und 34) der Router des dortigen Beklagten

„bei aktivierter WLAN-Unterstützung werkseitig durch eine WPA-Verschlüsselung geschützt, die für die Einwahl in das Netzwerk des Beklagten einen 16-stelligen Authentifizierungsschlüssel erfordert. […] Der Beklagte hat es nach dem Anschluss des WLAN-Routers bei den werkseitigen Standardsicherheitseinstellungen belassen und für den Zugang zum Router kein persönliches, ausreichend langes und sicheres Passwort vergeben. Der Schutz von Computern, Kundenkonten im Internet und Netzwerken durch individuelle Passwörter gehörte auch Mitte 2006 bereits zum Mindeststandard privater Computernutzung und lag schon im vitalen Eigeninteresse aller berechtigten Nutzer. Sie war auch mit keinen Mehrkosten verbunden.“

Es ist jedoch der Kammer nicht nachvollziehbar, dass im dortigen Sachverhalt ein individuell vergebenes Passwort streitgegenständlich war. Dem Tatbestand der BGH-Entscheidung lässt sich dies nicht entnehmen, er verweist insofern auf die Feststellungen der ersten Instanz. Der Tatbestand des voraufgegangenen oberlandesgerichtlichen Urteils (OLG Frankfurt, Urteil vom 01. Juli 2008 – 11 U 52/07 -, vgl. dort juris-Rn 18) lässt den Sachverhalt insofern ebenfalls nicht erkennen. Das voraufgegangene landgerichtliche Urteil (LG Frankfurt, 5. Oktober 2007, Az: 2/3 O 19/07) ist – soweit der Kammer bekannt – nicht in Fachzeitschriften oder -publikationen veröffentlicht, wird aber teilweise in Volltextauszügen im Internet zitiert; danach soll die einschlägige Passage in den Entscheidungsgründen wie folgt lauten (zit. nach http://www. f.- a..de/rechtsanwalt/it-recht/gewichtige-anderung-in-sachen-bgh-und-storerhaftung/1734/, abgerufen am 28.09.2015, Unterstreichungen hinzugefügt):

„Schließlich sorgte der Beklage auch nicht dadurch für eine hinreichende Sicherung seines Routers, dass der Zugang auf diesen Router bei aktivierter WLAN-Funktion werkseitig mit einer WPA-Verschlüsselung gesichert worden war. Dabei kann dahinstellt bleiben, ob eine WPA-Verschlüsselung nach derzeitigem Standard noch als sicher und zuverlässig angesehen werden kann oder bereits – wie die Klägerin behauptet – gängige Methode die Verwendung von WPA2 ist.

Denn der Beklagte hat seinem eigenen Vorbringen zufolge es nach dem Anschluss des WLAN-Routers bei den Standardsicherheitseinstellungen belassen, die der Hersteller vorgegeben hat. Dies stellt nach Auffassung der Kammer indes keinen ausreichend sicheren WPA-Netzwerkschlüssel dar. Zum einen sind solche Standardsicherheitseinstellungen bei vielen Herstellern auf allen ausgelieferten Geräten gleich und damit auch den Internet-Kriminellen bekannt.

Zum anderen befindet sich auf der Fritz-Box, wie sie auch von dem Beklagten genutzt wird; ein Aufkleber, auf welchem sich neben der Seriennummer auch der werkseitig voreingestellte Code befindet. Für eine ausreichende Sicherung seines WLAN-Anschlusses gegen Passwort-Attacken hätte der Beklagte daher das Standard-Passwort für die Fritz Box durch ein persönliches, ausreichend langes Passwort aus einer losen Kombination von Buchstaben, Ziffern und Sonderzeichen ändern müssen.“

Danach ist der Kammer jedenfalls nicht nachvollziehbar, dass dem Urteil „Sommer unseres Lebens“ ein Sachverhalt zugrunde gelegen haben soll, bei dem ein werkseitig individualisiertes Passwort vergeben worden sein soll.

b)

Ob eine Änderung des werkseitig-individuellen Passworts notwendig sein kann, weil der vergebene Schlüssel auf der Rückseite des Gerätes aufgedruckt ist und daher für einen unberechtigten Dritten sichtbar ist, wenn er Zutritt zum Routergerät hat, kann hier offen bleiben, weil sich ein entsprechender Kausalzusammenhang vorliegend nicht feststellen lässt (so dass ebenfalls offen bleiben kann, inwieweit dieser Gefahr durch andere Maßnahmen, z.B. Zugangsbeschränkungen, ausreichend vorgebeugt werden kann).

Der Kausalzusammenhang wäre vorliegend nur gegeben gewesen, wenn der unberechtigte Dritte die Kenntnis des WPA2-Schlüssels der Beklagten gerade dadurch erlangt hätte, dass er die Möglichkeit gehabt hätte, von der Aufschrift auf dem Gerät der Beklagten Kenntnis zu nehmen.

Davon ist aber im vorliegenden Verfahren keine der Parteien ausgegangen; vielmehr sehen beide Parteien die Ursache für den unberechtigten Drittzugriff in einer Entschlüsselung des Codes von außen wegen der in Anlagen B 4 und B 5 beschriebenen Sicherheitslücke des werkseitig vergebenen individuellen Passworts. Zu diesem Geschehensverlauf besteht jedoch kein Schutzzweckzusammenhang bzgl. einer Pflicht zur Verhinderung eines Ausspähens des Aufdrucks auf der Rückseite des Gerätes.

c)

Der Beklagten ist auch nicht vorzuwerfen, den werkseitig vergebenen individuellen 16-stelligen Zahlencode nicht zur Erschwerung eines über das WLAN erfolgenden Ausspähens überhaupt und möglichst in einen Code unter Verwendung auch von Buchstaben und/oder Sonderzeichen geändert zu haben.

Wie gesehen, hatte der BGH in der Entscheidung „Sommer unseres Lebens“ (a.a.O., vgl. oben 1.) eine Prüfpflicht des privaten Internetanschlussbetreibers angenommen, „jedenfalls die im Kaufzeitpunkt des Routers für den privaten Bereich marktüblichen Sicherungen ihrem Zweck entsprechend wirksam einzusetzen“. Der BGH begründete seine Annahme einer insofern anlasslosen Prüfpflicht damit, das „hoch zu bewertende, berechtigte Interesse, über WLAN leicht und räumlich flexibel Zugang zum Internet zu erhalten, [werde] nicht dadurch in Frage gestellt, dass die zum Zeitpunkt der Installation des WLAN-Routers auch im Privatbereich verkehrsüblich vorhandenen Sicherungsmaßnahmen gegen unbefugte Nutzung angewandt [würden]“ (a.a.O., zit. nach juris-Rz. 24). Die Anknüpfung an „für den privaten Bereich marktübliche Sicherungen“ und „verkehrsüblich vorhandene Sicherungsmaßnahmen“ lässt erkennen, dass der BGH dem privaten Anschlussinhaber die im privaten Verkehr gebotene, letztlich in seinem eigenen Interesse liegende Sorgfalt abverlangt und ihm diesem Rahmen – aber auch nur diesem – entsprechende Erkundigungspflichten zumutet.

Nach dem Sach- und Streitstand im vorliegenden Verfahren ist nicht erkennbar, dass ein 16-stelliger reiner Zahlenschlüssel schon generell oder auch hier im Besonderen nicht als ausreichend sicher hätte beurteilt werden müssen:

Zwar ist es auch für einen mathematisch nur durchschnittlich vorgebildeten Anschlussinhaber leicht nachvollziehbar, dass ein 16-stelliger Zahlenschlüssel bei Verwendung allein der zehn Ziffern 0-9 weniger Kombinationsmöglichkeiten eröffnet als ein 16-stelliger Schlüssel unter Einbeziehung auch von Buchstaben und Sonderzeichen.

Andererseits eröffnet ein 16-stelliger reiner Zahlenschlüssel bereits 1016 Kombinationsmöglichkeiten. Zudem ist dem von außen zugreifenden Dritten auch nicht bekannt, ob der Anschlussinhaber sich auf einen reinen Zahlencode beschränkt hat; das gilt zumindest im vorliegenden Fall, in welchem die Beklagte unbestritten vorgetragen hat, den Modem-Namen, der bei der Anzeige des WLAN-Netzes angegeben wird, in „O.“ geändert zu haben, so dass der verwendete Routertyp einem außenstehenden Dritten nicht erkennbar war und er daher keinen Rückschluss auf einen reinen Zahlencode vornehmen konnte.

d)

Bei dieser Ausgangslage wäre der Beklagten eine Prüfpflichtverletzung nur dann vorzuwerfen gewesen, wenn sie Anhaltspunkte dafür gehabt hätte, dass ein 16-stelliger Zahlenschlüssel generell oder der auf ihrem Gerät spezielle verwendete Schlüssel im Besonderen ausspähbar gewesen wäre. Solche Anhaltspunkte lagen aber nach Sach- und Streitstand im vorliegenden Verfahren nicht vor.

Insbesondere hat die Beklagte unbestritten geltend gemacht, dass die dem Gerät beigefügte Betriebsanleitung den Erwerber nicht dazu aufforderte, den voreingestellten 16-stelligen Code durch einen eigenen Code mit Ziffern, Buchstaben und Sonderzeichen (oder überhaupt durch ein eigenes Passwort) zu ersetzen (die entsprechenden Empfehlungen in der Kundenwarnung der T. G. GmbH & Co OHG gem. Anlage B 4 erfolgten vorliegend erst nach Inbetriebnahme des Routers und den streitgegenständlichen Verletzungshandlungen); anderes hätte von der Klägerin substanziiert dargelegt und ggf. bewiesen werden müssen. Es ist auch nicht erkennbar, dass die Beklagte über besondere persönliche Kenntnisse verfügt hätte, die sie sich hätte entgegen halten lassen müssen.

Anhaltspunkte dafür, dass der auf dem Router voreingestellte konkrete 16-stellige Zahlencode „2…4“ eine für einen solchen Code unsichere Kombination aufwies, bestanden für die Beklagte ebenfalls nicht. Weder folgte der Code einem bestimmten für den Laien erkennbaren Muster noch hatte er irgendeinen Bezug zur Beklagten und deren sonstigen persönlichen Daten (Geburtstag, Hausnummer, Telefonnummer o.ä.), aus denen ein außenstehender bei Kenntnis auf den Code hätte rückschließen können. Auch die späteren Veröffentlichungen zur Sicherheitslücke gem. Anlagen B 4 und B 5 geben keinen Anhaltspunkt, inwiefern der Beklagten bei Inbetriebnahme des Routers eine Unsicherheit des voreingestellten individuellen Passworts hätte auffallen müssen.

Dass der Code in einer offenbar unsicheren Weise vom Hersteller generiert worden war, war der Beklagten ebenfalls nicht erkennbar. Sie hatte keine Möglichkeit, das Generierungsverfahren zu kontrollieren, und die späteren Mitteilungen B 4 und B 5, mit denen die Sicherheitslücke öffentlich bekannt wurde, wurden erst im März 2014 veröffentlicht und damit nach dem Zeitpunkt der hier streitgegenständlichen Verletzungshandlungen.

III.

Die Kostenentscheidung beruht auf § 97 I ZPO.

Die Vollstreckbarkeitsentscheidung beruht auf § 708 Nr. 10 S. 1, § 711 ZPO. Eines Ausspruches nach § 708 Nr. 10 S. 2 ZPO bedarf es nicht, da das amtsgerichtliche Urteil bereits nach § 708 Nr. 11, § 711 ZPO für vorläufig vollstreckbar erklärt ist.

Die Revision ist zuzulassen nach § 543 II Nr. 2 ZPO. Die Kammer teilt die Bewertung der Klägerin, die die Zulassung ausdrücklich beantragt hat (Ss 10.08.2015), dass eine Revisionsentscheidung zur Rechtsfortbildung und Sicherung der Einheitlichkeit der Rechtsprechung erforderlich ist. Wie gezeigt, können Zweifel darüber entstehen, wie weit die in der BGH-Entscheidung „Sommer unseres Lebens“ angenommene Sicherungspflicht des Anschlussinhabers bzgl. der Änderung voreingestellter Router-Passwörter reicht. Der BGH hatte in jener Entscheidung – soweit ersichtlich – über die Änderung eines werkseitig für eine Vielzahl von Geräten vergebenen Standardkennworts zu entscheiden. Es stellt sich die – vorliegend von der Kammer bejahte – Frage, ob werkseitig individuell nur für das jeweilige Gerät vergebene Passwörter anders zu beurteilen sind. Diese Frage ist bisher, soweit ersichtlich, höchstrichterlich nicht geklärt; eine Pflicht zur Änderung verneint haben auch das Amtsgericht Hamburg in der hiesigen Vorinstanz sowie das AG Frankfurt am Main (Urteil 14.06.2013, MMR 2013, 605). Die Frage hat erhebliche praktische Bedeutung schon aufgrund der Vielzahl der von der Fragestellung betroffenen privaten Internetanschlüsse.

Die Kammer hat ferner am 29.09.2015 beschlossen:

Der Streitwert für das Berufungsverfahren wird auf € 755,80 festgesetzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Jetzt zum Newsletter anmelden!

Erlaubnis zum Versand des Newsletters: Ich möchte regelmäßig per E-Mail über aktuelle News und interessante Entwicklungen aus den Tätigkeitsfeldern der Anwaltskanzlei Hild & Kollegen informiert werden. Diese Einwilligung zur Nutzung meiner E-Mail-Adresse kann ich jederzeit für die Zukunft widerrufen, in dem ich z. B. eine E-Mail an newsletter [at] kanzlei.biz sende. Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.