Wie heise-security meldet, sind viele voreingestellte WPA-Passwörter in WLAN-Routern unsicher.

Das ist grundsätzlich nichts Neues (s. dazu schon hier). Allerdings haben zwei Studenten nun weitere Details herausgefunden.

So leiten einige Hersteller, z.B. die Telekom bei ihrem Router W-700V ) das Passwort von der MAC-Adresse ab, die bei Broadcast-Nachrichten des Routers veröffentlicht wird.

So beginnt etwa der voreingestellte WPA-Key des Modells Speedport W 700V der Telekom-Hausmarke Speedport immer mit “SP-”, gefolgt von neun hexadezimalen Ziffern. Fünf davon lassen sich aus dem ebenfalls voreingestellten WLAN-Namen (SSID) und der MAC-Adresse der WLAN-Schnittstelle ableiten. Von den restlichen vier Stellen sind zwei stets gleich, sodass ein Angreifer insgesamt nur drei Stellen des WPA-Keys selbst erraten muss. Da nur hexadezimale Ziffern erlaubt sind, reduziert sich der Schlüsselraum auf 16 hoch 3, also 4096 Schlüssel.

Nun haben zwei Studenten ein Reverse-Engineering der Speedport-Firmware herausgefunden, dass zusätzlich drei Stellen der Seriennummer bei der Generierung der Seriennummer verwendet werden. Außerdem ist eine Stelle der Seriennummer fast immer eine 3. Im Ergebnis reduziere dies die Anzahl der möglichen Schlüssel auf 100. Das führt selbstverständlich zu einer erheblichen Unsicherheit des Netzwerks gegenüber Attacken.

Im Test konnten sie sich an einem Speedport W700V schon nach weniger als 4 Minuten anmelden. Betroffen sind nach Untersuchungen von Müller und Viehböck auch Speedport-Modelle W 303V (Typ A), W 500, W 502V, W 503V (Typ C) , W 504V, W 720V, W 722V (Typ B) und W 723V (Typ B).

Obwohl das Problem bereits seit rund einem Jahr bekannt ist (s. dazu hier), scheinen viele Besitzer dieser Router noch immer auf das alte Kennwort zu setzen:

 Müller und Viehböck haben bei Flächentests die Probe aufs Exempel gemacht. Bei der Überprüfung von knapp 14.000 Access Points in Stuttgart, München, Coburg und Berlin fanden die beiden heraus, dass zwischen 17 und 25 Prozent noch auf eine Speedport- oder Easybox-Standard-SSID eingestellt waren.

Der BGH hatte in seinem Urteil “Sommer unseres Lebens” (BGH MMR 2010, 568 m. Anm. Mantz) vom Inhaber eines WLAN-Routers verlangt, dass er das Standard-Kennwort neu setzt. Dass der damalige Beklagte dies bei seinem WLAN-Router nicht gemacht hatte, sah der BGH als Verletzung seiner Prüfungs- und Überwachungspflichten an und verurteilte den Beklagten nach den Grundsätzen der Störerhaftung. Dies ist vielfach auf Kritik gestoßen. Denn der vom Beklagten verwendete WLAN-Router war ein Router der Marke AVM, der nach Aussagen des Herstellers mit einem vollständig zufälligen und damit vermutlich sicheren Standard-Passwort versehen war (s. dazu hier).

Mit Blick auf die größere Anzahl schlecht vorkonfigurierter WLAN-Router (auch wenn es sich bisher nur um diejenigen des Herstellers Arcadyan handelt), stellt sich das Urteil des BGH im Nachhinein als zumindest nachvollziehbar heraus. Streng genommen hätte der BGH (entsprechenden Vortrag und Beweisangebot der Parteien vorausgesetzt) allerdings klären müssen, ob der WLAN-Router des Beklagten tatsächlich unsicher war.

Es ist vor diesem Hintergrund allerdings allen Besitzern von WLAN-Routern zu raten, das Standardkennwort abzuändern. Dafür ist eine zufällige Folge mit mind. 20 Zeichen empfehlenswert, wie sie sich z.B. bei http://www.freepasswordgenerator.com generieren lässt.

S. auch:

• WLAN-Router: Voreingestellte WPA-Passwörter teilweise zu unsicher
• Das WLAN-Urteil des BGH und seine Auswirkungen auf offene Netze

In eigener Sache: Meine Kurzanmerkung zum WLAN-Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, zuvor erschienen in MMR-Aktuell 2010, 303 (MMR, Heft 6/2010, S. XII) ist nun auch online verfügbar.

Download hier

Karg bespricht in der MMR 2011, S. 345 ff. das Urteil des III. Senat des BGH, in dem der Personenbezug von IP-Adressen und zusätzlich die Einordnung als Verkehrsdaten anerkannt wird:

Einen Absatz später verdeutlichte er, in welche Grundrechte durch die Speicherung der IP-Adresse eingegriffen wird bzw. welche durch das TKG geschützt werden. Seiner Auffassung nach sind das Fernmeldegeheimnis Art. 10 Absatz 1 GG und außerdem das Recht auf informationelle Selbstbestimmung Art. 1 Absatz 1 i.V.m. Art. 2 Absatz 1 GG als besondere Ausprägung des allgemeinen Persönlichkeitsrechts (BVerfG NJW 1984, NJW Jahr 1984 Seite 418, NJW Jahr 1984 Seite 421?f.) betroffen. Dies lässt letztlich nur den Schluss zu, IP-Adressen als personenbezogene Daten i.S.d. §?3 Absatz 1 BDSG anzusehen. Denn anderenfalls wäre zumindest der Schutzbereich des Rechts auf informationelle Selbstbestimmung nicht eröffnet.

IP-Adressen sind sensible Daten, deren Auswertung nur unter der aktiven Beteiligung der Judikative zulässig sein darf.

Das OLG Frankfurt hat nach Zurückverweisung durch den BGH (BGH, Urt. v. 12.5.2010 – I ZR 121/08, MMR 2010, 565 – Sommer unseres Lebens) nun zum zweiten Mal über den WLAN-Fall zu entscheiden gehabt.

Mit Urteil vom 21.12.2010 (Volltext hier) hat es der Klage weitgehend stattgegeben und den WLAN-Inhaber als Störer zur Unterlassung (wenn auch eingeschränkt, s.u.) und zum Ersatz der Abmahnkosten verurteilt.

Das Urteil des OLG Frankfurt offenbart leider eine gewisse Mutlosigkeit des erkennenden Senats. Das Urteil des BGH, das in der Literatur eines der am intensivsten diskutierten Urteile des Jahres 2010 gewesen sein dürfte (praktisch jede namhafte Zeitschrift mit Medienrechtsbezug hatte eine Besprechung, s. Übersicht dazu hier), wies mehrere Ansatzpunkte auf, die dem OLG Frankfurt auch bei Bindung an den Urteilsspruch des BGH durchaus ein differenziertes Urteil gestattet hätten.

Das OLG Frankfurt hat sich jedoch dahingehend gebunden gefühlt, dass feststehe, dass der Beklagte als Störer hafte:

Nach dem Revisionsverfahren des BGH vom 12.5.2010 ist für den Senat verbindlich davon auszugehen, dass der Beklagte als verantwortlicher Störer auf Unterlassung in Anspruch genommen werden kann.

Die entsprechende Regelung findet sich in § 563 Abs. 2 ZPO:

(2) Das Berufungsgericht hat die rechtliche Beurteilung, die der Aufhebung zugrunde gelegt ist, auch seiner Entscheidung zugrunde zu legen.

Davon ausgehend führte das OLG Frankfurt lediglich die Vorgabe des BGH aus, den Unterlassungsanspruch enger zu fassen und erlegte die Kosten grob zu 2/3 dem Beklagten und zu 1/3 der Klägerin auf (im Einzelnen s. Volltext): Dem Beklagten wird nunmehr untersagt, das streitbefangene Werk nicht mehr dadurch öffentlich zugänglich zu machen, dass er sein WLAN nicht durch ein ausreichend sicheres, selbst eingestelltes Passwort sichere.

An genau dieser Stelle hätte das OLG Frankfurt ansetzen können bzw. müssen. Denn der BGH war offenbar fälschlich davon ausgegangen, dass der Beklagte ein unsicheres Passwort verwendet hatte. Dies entsprach aber nicht der Tatsachenlage. Denn der vom Beklagen eingesetzte WLAN-Router wies ein zwar vom Hersteller voreingestelltes, aber dennoch sicheres Kennwort auf (s. hier).

Eine Bindung nach § 563 Abs. 2 ZPO liegt nur im Rahmen der rechtlichen Feststellungen vor. Zur rechtlichen Beurteilung gehören die Rechtsausführungen des Revisionsgerichts in ihrer Gesamtheit (Thomas/Putzo, § 563 ZPO Rn. 4). Bei Tatsachenfeststellungen gilt die Bindung nur soweit wie das Revisionsgericht ausnahmsweise die Tatsachenentscheidung selbst zu treffen hatte (BGH NJW 1995, 3115; Thomas/Putzo, § 563 ZPO Rn. 3). Die rechtliche Bindung gilt auch nicht, soweit zu beurteilende Tatbestand wegen neuen Vorbringens von dem abweicht, der dem Revisionsgericht vorgelegen hat (BGH NJW 1951, 524).

Danach zu urteilen hätte das OLG Frankfurt dem Vorbringen des Beklagten, dass sein WLAN-Router durch das individuelle Herstellerkennwort ausreichend gesichert war, durchaus folgen können und hätte nicht von vornherein von einer Bindung an den Ausspruch des BGH ausgehen müssen. Es ist allerdings unbekannt, ob der Beklagte entsprechend vorgetragen hat.

Außerdem war bis zum Schluss strittig, ob der WLAN-Router des Beklagten zum Zeitpunkt der “Tathandlung” überhaupt angeschaltet war (s. hierzu im einzelnen hier) – auch dies eine durchaus relevante Frage, denn ohne Strom kann der WLAN-Router des Beklagten auch nicht genutzt worden sein. RAin Neubauer weist in diesem Zusammenhang auf eine Entscheidung des BVerfG hin (BVerfG NJW 1994, 2279)

„Grundsätzlich geht das Bundesverfassungsgericht davon aus, daß die Gerichte von ihnen entgegengenommenes Parteivorbringen zur Kenntnis genommen und in Erwägung gezogen haben. Sie sind dabei nicht verpflichtet, sich mit jedem Vorbringen in den Entscheidungsgründen ausdrücklich zu befassen. Deshalb müssen, damit das Bundesverfassungsgericht einen Verstoß gegen Art. 103 Abs. 1 GG feststellen kann, im Einzelfall besondere Umstände deutlich machen, daß tatsächliches Vorbringen entweder überhaupt nicht zur Kenntnis genommen oder doch bei der Entscheidung nicht erwogen worden ist (vgl. BVerfGE 65, 293 <295 f.>; 70, 288 <293>; st. Rspr.). Geht das Gericht auf den wesentlichen Kern des Tatsachenvorbringens einer Partei zu einer Frage, die für das Verfahren von zentraler Bedeutung ist, in den Entscheidungsgründen nicht ein, so läßt dies auf die Nichtberücksichtigung des Vortrags schließen, sofern er nicht nach dem Rechtsstandpunkt des Gerichts unerheblich oder aber offensichtlich unsubstantiiert war (vgl. BVerfGE 86, 133 <146>).”

Bei Anwendung der vom BGH aufgestellten Kriterien hätte der Senat des OLG Frankfurt also durchaus auf Tatsachenbasis zu einem anderen Ergebnis kommen können.

Der BGH hat schließlich nur die Rechtsfrage geklärt, dass jemand, der ein Herstellerpasswort nicht ändere (und dadurch ein unsicheres Kennwort verwendet, Anm. d. Verf.), als Störer in Anspruch genommen werden könne – und die Frage, ob der Router ausgeschaltet war, vollkommen unberücksichtigt gelassen. Unter Einbeziehung des Routermodells und der Aussagen des Herstellers AVM hätte das OLG erneut – unter Beachtung der Vorgaben des BGH – unter den Sachverhalt subsummieren und trotz der Rechtsfeststellung ein anderes Urteil fällen können…

Sehr lesenswert hierzu übrigens die Besprechung von Oliver Garcia auf Delegibus.

Weitere Links:

• Das WLAN-Urteil des BGH und seine Auswirkungen auf offene Netze
• Gedanken zu den Auswirkungen des BGH Urteils zur Sicherung von WLANs, BGH, Urt. v. 12.5.2010 – I ZR 121/08
• WLAN-Urteil des BGH: Router war gesichert (AVM)
• In eigener Sache: Anmerkung zu BGH WLAN (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens), MMR 2010, 568 und Übersicht
• Garcia, Grundrecht auf Freifunken, Telepolis v. 19.4.2010, http://www.heise.de/tp/r4/artikel/32/32466/1.html = http://delegibus.com/2010,2.pdf
• Breyer, NJOZ 2010, 1085
• Mantz, Die Haftung des Betreibers eines WLAN-Zugangs für die Handlungen seiner Nutzer, JurPC Web-Dok. 95/2010

(LG Hamburg, Beschl. v. 25.11.2010 – 310 O 433/10)

Das LG Hamburg hat in einem einstweiligen Verfahren einem Internet-Café-Betreiber Unterlassung der Verbreitung eines Werks auferlegt. Über den Beschluss war bereits im letzten Jahr berichtet worden, nun liegt auch der Volltext vor (s. hier).

Der Antragsgegner haftet als Anschlussinhaber jedenfalls nach den Grundsätzen der Störerhaftung verschuldensunabhängig auf Unterlassung. Dies gilt auch unter Berücksichtigung des Umstandes, dass er vorgerichtlich geltend gemacht hat, die Rechtsverletzung sei durch einen Kunden seines Internet-Cafés begangen worden. Das Überlassen eines Internetzugangs an Dritte birgt die nicht unwahrscheinliche Möglichkeit in sich, dass von den Dritten Urheberrechtsverletzungen über diesen Zugang begangen werden. Dem Inhaber des Internetanschlusses sind Maßnahmen möglich und zumutbar, solche Rechtsverletzungen zu verhindern. So können insbesondere die für das Filesharing erforderlichen Ports gesperrt werden. Dass der Antragsgegner irgendwelche in diesem Sinne geeigneten Maßnahmen ergriffen hat, ist nicht ersichtlich. Dagegen spricht vielmehr der Umstand, dass es zu der vorliegenden Rechtsverletzung kommen konnte.

Der Beschluss des LG Hamburg liegt auf einer Linie mit seiner bisherigen sehr großzügigen Auslegung. Das Gericht setzt sich kaum mit der Materie auseinander und zieht sich wieder auf die altbekannten Positionen zurück.

So fordert das LG Hamburg, dass der Anschlussinhaber Portsperren ergreift. Dies hat es auch vorher schon getan. Das WLAN-Urteil des BGH (MMR 2010, 568 – Sommer unseres Lebens) hat diese Rechtsprechung zwar nicht explizit unterstützt, ihr aber auch keine Hindernisse in den Weg gelegt. Denn das Fazit aus dem BGH-Urteil war, dass für gewerbliche Betreiber Pflichten bestehen können, unbekannt ist aber das Ausmaß.

Dennoch hätte das LG Hamburg vor dem Hintergrund dieses BGH-Urteils Grund gehabt, sich intensiver mit der Materie auseinander zu setzen und die Prüfungspflichten genauer zu analysieren. Es ist weiter zu hoffen, dass das LG Hamburg in einem (möglicherweise folgenden) Hauptsacheverfahren auch Stellung dazu nimmt, warum Portsperren, die anerkanntermaßen unwirksam sind, tatsächlich verlangt werden können (vgl. LG Hamburg hier). Der Schluss des LG Hamburg, mit Portsperren wäre die Rechtsverletzung nicht erfolgt, geht jedenfalls fehl, denn Ports lassen sich in praktisch allen Filesharing-Programmen mit einfachsten Mitteln und praktisch ohne Vorkenntnisse ändern und Portsperren damit umgehen.

Spiegel Online berichtet über die Verwendung von durch Amazon bereit gestellter Rechenpower zum Hacken von WLAN Passworten des Standards WPA.

Der Bericht enthält eigentlich nichts Neues, denn es handelte sich um ein Hacken eines Passworts mit einer Wörterbuchattacke.

Die Software hat beim Knacken übrigens 70 Millionen Wörter aus einem Wörterbuch durchprobiert. Roths Methode hat jedoch auch Grenzen: Das gesuchte Passwort darf nicht zu lang sein. WPA erlaubt Schlüssellängen bis zu 63 Zeichen. Wer also beispielsweise ein Passwort von 20 Zeichen wählt, in dem keine Begriffe aus Wörterbüchern, aber Groß- und Kleinbuchstaben sowie Sonderzeichen auftauchen, muss sich vorerst keine Sorgen machen. Ein Beispiel dafür ist Wa$31n51ch3r3$Pa5$w0r7157. Ein sechsstelliges Passwort wie “schatz” ist hingegen keine gute Wahl.

Bemerkenswert ist nur, wie schnell es geht, wenn man sich fremder Rechenkraft bedient.

Nach Roths Angaben dauerte es 20 Minuten, um das WPA-Passwort seines Nachbarn herauszufinden. Amazon berechnet für die Nutzung der extrem schnellen GPU-Instanzen 28 US-Cent pro Minute. Durch eine Verbesserung der Software glaubt Roth, die Berechnung in nur sechs Minuten zu schaffen. Das entspricht einem Preis von nicht einmal zwei Dollar pro Passwort.

Insgesamt verdeutlicht das Beispiel erneut, dass “gute” Passwörter gewählt werden sollten. Dies verlangt auch der BGH im Hinblick auf die Prüfungs- und Überwachungspflichten eines Betreibers im Rahmen der Störerhaftung in seiner Entscheidung “Sommer unseres Lebens” (BGH MMR 2010, 568).

Der BGH hat mit Urteil vom 7.12.2010 (VI ZR 34/09) die Störerhaftung für Unternehmen, die im Pressebereich arbeiten, konkretisiert.

Im vorliegenden Fall war ein kommerzielles Bildarchiv in Anspruch genommen worden, weil es einem Käufer ein den Kläger in seinen Rechten verletzendes Bild zur Verfügung gestellt hatte.

Nachdem der BGH zunächst eine Verletzung nach §§ 22, 23 KunstUrhG abgelehnt hat, beschäftigte er sich mit der Störerhaftung des Bildarchiv-Betreibers:

Die Störerhaftung darf nicht über Gebühr auf Dritte erstreckt werden, die nicht selbst den Eingriff vorgenommen haben. Die Haftung des Störers setzt deshalb das Bestehen so genannter Prüfungspflichten voraus. Deren Umfang bestimmt sich danach, ob und inwieweit dem als Störer in Anspruch Genommenen nach den Umständen eine Prüfung zuzumuten ist (vgl. Senatsurteil vom 30. Juni 2009 – VI ZR 210/08, VersR 2009, 1417 Rn. 18; BGH, Urteile vom 11. März 2004 – I ZR 304/01, BGHZ 158, 236, 251; vom 1. April 2004 – I ZR 317/01, BGHZ 158, 343, 350; vom 19. April 2007 – I ZR 35/04, BGHZ 172, 119, 131 f.; vom 30. April 2008 – I ZR 73/05, GRUR 2008, 702, 706 Rn. 53). Dabei können Funktion und Aufgabenstellung des als Störer in Anspruch genommenen Dritten und die Eigenverantwortung des unmittelbar Handelnden eine Rolle spielen (Senatsurteil vom 30. Juni 2009 – VI ZR 210/08, aaO; BGH, Urteil vom 17. Mai 2001 – I ZR 251/99, BGHZ 148, 13, 18 f.; vom 1. April 2004 – I ZR 317/01, aaO).

Unter Zugrundelegung dieser Maßstäbe erstreckten sich die Prüfungspflichten der Beklagten nicht auf die konkrete Presseveröffentlichung in der Ausgabe Dezember 2006 des Magazins “Playboy”. Eine Verpflichtung des Betreibers eines Bildarchivs, ausnahmslos oder doch regelmäßig vor Herausgabe von angefordertem Bildmaterial zu prüfen, für welche Zwecke dieses verwendet werden soll, besteht aufgrund der Störerhaftung nicht. Eine derart umfangreiche Obliegenheit würde die Betreiber von Archiven in technischer, persönlicher und wirtschaftlicher Hinsicht überfordern und das Betreiben von umfangreichen Text- und Bildarchiven letztlich wegen der sich aus der Überwachungspflicht ergebenden Haftungsrisiken in unzumutbarer Weise erschweren. Ein solcher Eingriff in die Pressefreiheit ist auch im Bereich der Störerhaftung aus den vorstehend erörterten Gründen nicht zu rechtfertigen.

Der Fall weist die Besonderheit auf, dass der Betreiber (auch) unter den Schutz der Pressefreiheit fällt. Dennoch hat sich der BGH hauptsächlich auf die auch bei eBay oder ähnlichen Betreibern kommerzieller Dienste bereits ins Feld geführten Unzumutbarkeitsargumente gestützt und diese nur unter Verweis auf einen Eingriff in die Pressefreiheit unterstrichen.

Der BGH verfestigt damit seine Linie in der Störerhaftung weiter: Kommerzielle Betreiber müssen nicht prüfen und überwachen, sofern ihnen dies unzumutbar ist.

(via Internet-Law)

Im AnwaltZertifikat Online ist ein Aufsatz von Thomas Stadler mit dem Titel “Das Ende der Störerhaftung im Internet?” erschienen, der zumindest noch kurze Zeit auch online abrufbar ist.

Darin beschäftigt sich Stadler mit der neuerdings wieder diskutierten Frage, ob die Haftungsprivilegierungen der §§ 7 ff. TMG (bzw. deren Grundlage Art. 12-15 E-Commerce-RL) auf Unterlassungsansprüche und dort insbesondere die Störerhaftung anwendbar sind. Der BGH hatte 2004 in seiner Internetversteigerungsentscheidung die Auffassung vertreten, dass die Privilegierung keine Anwendung findet (BGH MMR 2004, 668 – Internetversteigerung I; BGH MMR 2007, 507 – Internetversteigerung II; Bleisteiner, 207; Köhler in: Hefermehl/Köhler/Bornkamm, § 8 UWG Rn. 2.28; Gercke, CR 2006, 210, 214; Lotze in: Hasselblatt, § 31 Rn. 307 f.; Hoffmann, MMR 2002, 284, 286; Spindler in: Roßnagel, Recht der Multimedia-Dienste, § 5 TDG Rn. 140 ff.; Sessinghaus, WRP 2005, 697, 702; Spindler, NJW 2002, 921, 922; Stadler, Haftung für Informationen im Internet, Rn. 26; Teplitzky, Wettbewerbsrechtliche Anspruüche und Verfahren, Kap. 14. Rn. 9a; Volkmann, Der Störer im Internet, 101; Volkmann, CR 2004, 767, 769; a.A. OLG Düsseldorf MMR 2004, 315, 316 – Rolex/ebay; LG Düsseldorf MMR 2003, 120, 123; Hoeren, Recht der Access Provider, Rn. 613; Köcher/Kaufmann, MMR 2005, 61; wohl auch Rücker, CR 2005, 347, 354 f.; zumindest fu?r § 10 TMG (früher § 11 TDG) LG Potsdam MMR 2002, 829; LG Berlin CR 2003, 773; Leible/Sosnitza, NJW 2004, 3225, 3226; Burkhardt in: Wenzel, Kap. 10 Rn. 237). Dies ist viel kritisiert worden, allerdings hat der BGH diese Ansicht immer wieder bestätigt.

Dazu Stadler:

Die Ansicht des BGH erscheint angesichts des Gesetzeswortlauts zwar durchaus vertretbar, führt allerdings dazu, dass die Privilegierungstatbestände im Bereich des Zivilrechts praktisch weitgehend leerlaufen, nachdem die überwiegende Zahl der Rechtsstreitigkeiten auf Unterlassung gerichtet ist. Insoweit kann man in der Tat die Frage stellen, ob dieses Ergebnis noch dem Sinn und Zweck der E-Commerce-Richtlinie entspricht.

Der Europäische Gerichtshof (EuGH, Urt. v. 23.03.2010 – C-236/08 – AdWords) hat erkennen lassen, dass eine solche Auslegung richtlinienwidrig sein könnte.

Der EuGH ist insoweit zunächst der Ansicht, dass Google AdWords als Dienst der Informationsgesellschaft im Sinne der Richtlinie anzusehen ist. Die Anwendung der Haftungsprivilegierung der ECRL hält der EuGH ausdrücklich für möglich. Die Rechtsprechung des EuGH kann nur dahin gehend verstanden werden, dass die Verantwortlichkeitsprivilegierungen der Richtlinie umfassend gelten sollen und damit, entgegen der Rechtsprechung des BGH, auch Unterlassungsansprüche einschließen.

Der BGH hat (möglicherweise als Folge dessen) in einigen Entscheidungen der letzten Zeit seine bisherige Position weniger scharf formuliert. Diese Ansätze bespricht Stadler in seinem Aufsatz.

Der BGH scheint das Problem bereits erkannt zu haben, da er in den Entscheidungen „Vorschaubilder“ und „Sommer unseres Lebens“ eine Anwendbarkeit der Regelungen der Haftungsprivilegierungen nach der ECRL andeutet, ohne allerdings seine bisherige abweichende Rechtsprechung zu thematisieren.

Bei den Auswirkungen auf die Praxis geht Stadler näher auf das WLAN-Urteil des BGH (BGH, Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens) ein:

Allein die breite rechtswissenschaftliche Diskussion des Themas hätte die Notwendigkeit begründet, dass sich der BGH mit § 8 TMG befasst, zumal er nicht nur über Unterlassungs-, sondern auch über Schadensersatz- und Kostenerstattungsansprüche zu befinden hatte.

Man könnte nunmehr allenfalls noch in Erwägung ziehen, eine Anwendung von § 8 TMG deshalb abzulehnen, weil der Betreiber eines privaten WLANs nur wegen des Missbrauchs seines Internetzugangs zu einer Art unfreiwilligem Access-Provider wird. Aber auch insoweit wird in der Literatur eine Anwendung von § 8 TMG befürwortet. Es wäre angesichts von Sinn und Zweck der Haftungsprivilegierung auch nur schwer nachvollziehbar, wenn man den Betreiber eines unbewusst ungeschützten WLANs schlechter stellen würde als denjenigen, der an einem so genannten Hotspot in Flughäfen, Hotels, o.ä. bewusst ein offenes WLAN unterhält. …

Die Anwendung der Vorschrift von § 8 TMG auf den Sachverhalt, der dem Urteil „Sommer unseres Lebens“ zugrunde lag, hätte dazu geführt, dass der beklagte Betreiber des WLAN-Routers als für die Rechtsverletzung nicht verantwortlich zu betrachten wäre. Denn § 8 TMG enthält eine Haftungsfreistellung. Die Entscheidung des BGH hätte damit anders ausfallen müssen.

S. zu dieser Diskussion auch schon:

• Stadler, Anmerkung zum Urteil des BGH zur Google-Bildersuche
• Das WLAN-Urteil des BGH und seine Auswirkungen auf offene Netze
• BGH, Google, Thumbnails und die Anwendung der Privilegierungen der §§ 7-10 TMG auf Unterlassungsansprüche
• Mantz, MMR 2010, 568, 569
• Hinweis auf den Aufsatz in Stadlers Blog

Auf heise.de erläutert Dr. Lars Jaeschke das WLAN-Urteil des BGH (BGH, Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, s. dazu auch hier, hier, hier, hier und hier) in Bezug auf gewerbliche Anbieter von WLAN.

Hier nur ein paar kurze Zitate:

Der Betreiber eines gewerblichen WLANs ist, soweit er anderen Personen den Zugang zum Internet vermittelt, als Access-Provider zu betrachten, weshalb sich die Frage der Anwendbarkeit des Telemediengesetzes (TMG) stellt. … Dies trifft etwa auf alle Anbieter von Unternehmens-, Stadt-, Universitäts- oder Hotel-WLAN-Netzen usw. zu, auf Internetcafes ohnehin.

Zur Begründung führt Jaeschke zudem auch die Andeutungen des BGH im Google Thumbnails-Urteil an (s. dazu hier).

Eine Pflicht der Betreiber offener Netzwerke zur Identifizierung und/oder Überwachung ihrer Nutzer lässt sich dem Urteil des BGH nicht entnehmen und wäre auch rechtswidrig. Eine Kennungsvergabe an die Benutzer ergibt nur Sinn, wenn die Benutzer auch überwacht und bei Verstößen gesperrt werden. Dies ist jedoch aufgrund des Fernmeldegeheimnisses aber unzulässig. Es besteht ein striktes Kenntnisnahmeverbot.

Zur Unterlassungserklärung:

Wichtig ist insoweit für die abzugebende Unterlassungserklärung, dass ein Unterlassungsanspruch dem Rechteinhaber laut BGH nur insoweit zusteht, als er sich ‘dagegen wendet, dass der Beklagte außenstehenden Dritten Rechtsverletzungen der genannten Art ermöglicht, indem er den Zugang zu seinem WLAN-Anschluss unzureichend sichert’.

Insgesamt liegt Jaeschke in seiner Bewertung auf meiner Linie. Eine Bewertung im Einzelfall ist jedoch unerlässlich. Bevor also wie bei der Cafe-Kette Woyton das WLAN eingestellt wird (s. dazu hier), sollte jedenfalls rechtlicher Rat eingeholt werden.

Gulli.com berichtet, dass die Café-Kette Woyton in Düsseldorf ihr kostenloses WLAN für Kunden schließt. Als Grunde werde angeführt, dass “Gäste unerlaubte Daten heruntergeladen haben und daraufhin eine Reihe von Abmahnungen bei den Wirten eingegangen sei.”

Mit diesem Schritt zeigt sich die (fast schon logische Folge) der Unsicherheit in den letzten Jahren, die durch das WLAN-Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens) eher befördert als beendet wurde (s. dazu schon eingehend hier). Dabei wäre der Fall des Café-Betreibers der ideale Fall, um die Rechtsprechung des BGH (im positiven Sinne) auf die Probe zu stellen. Denn wo das WLAN-Urteil des BGH vage und unkonkret ist, da ist die vorangegangene Rechtsprechung, insb. die “Internetversteigerungs”-Rechtsprechung des BGH glasklar: Prüfungs- und Überwachungspflichten sind dann unzumutbar, wenn durch sie das Geschäftsmodell konkret gefährdet wird (BGH GRUR 1977, 114, 116 – VUS; BGH NJW 2004, 2158, 2159 – Schöner Wetten; BGH MMR 2004, 668, 671 – Internetversteigerung I;BGH MMR 2004, 668, 671 – Internetversteigerung I; BGH MMR 2007, 507 – Internetversteigerung II; BGH MMR 2008, 531 - Internetversteigerung III; BGH MMR 2007, 634 - Jugendgefährdende Medien bei eBay; Mantz, JurPC Web-Dok. 69/2009 mwN; Leupold/Glossner, in: Leupold/Glossner, MAH IT-Recht, 2008, Teil 2 Rn. 167). Und wenn keine Prüfungs- und Überwachungspflicht (mangels Zumutbarkeit) verletzt wurde, scheidet auch die Störerhaftung aus.

Im vorliegenden Fall ist die Café-Kette Woyton offenbar in ihrer (hoffentlich rechtlich beratenen) Abwägung zu dem Schluss gekommen, dass sie ihr bisheriges Geschäftsmodell nicht mehr fortführen kann, wenn sie die (nicht feststehenden) Anforderungen der Gerichte erfüllen will. Dabei hatte selbst das LG Hamburg noch vor kurzer Zeit festgestellt, dass die Anforderungen an einen Access Provider nicht zu hoch sein dürfen, zumal wenn sie umgehbar sind. Welche Maßnahmen Woyton erwogen hat, um Rechtsverletzungen zu verhindern, ist leider nicht bekannt.

Gulli berichtet weiter, dass “Experten raten, dass Gaststätten zumindest verlangen, dass surfende Gäste ihre E-Mail-Adresse hinterlegen”. Dies haben allerdings die Gerichte bisher noch nicht verlangt – und es dürfte auch keine rechtliche Grundlage für eine solche Forderung bestehen, da das Erheben der Email-Adresse durch den Café-Betreiber auf erhebliche datenschutzrechtliche Bedenken stößt (ausführlich dazu Mantz, Rechtsfragen offener Netze, Karlsruhe 2008, S. 261 ff., Download hier).

S. auch schon:

• Beitrag von Jens Ferner
• Beitrag von RA Stadler