In der aktuellen Dezember-Ausgabe der Kommunikation & Recht ist eine Anmerkung von Gramespacher und Wichering zum Schwarzsurfen-Beschluss des LG Wuppertal (Beschl. v. 19.10.2010 – 25 Qs-10 Js 1977/08-177/10; s. dazu auch hier; und zum Urteil des AG Zeven hier) erschienen (K&R 2010, 840-842).

Hier nur kurz ein paar interessante Zitate aus der m.E. guten Anmerkung:

Diverse “Freifunk-Projekte” legen vielmehr nahe, das Einwählen in offen betriebene WLAN-Netzwerke auch unter dem Gesichtspunkt eines – möglicherweise – “sozialadäquaten Verhaltens” zu betrachen. Die Mitbenutzung eines offenen Netzwerks stellt nicht generell einen Missbrauch dar. …

Genauso ist danach zu fragen, ob ein unverschlüsselt betriebenes WLAN-Netzwerk heute nicht vielmehr auf eine bewusste Entscheidung des Betreibers schließen lässt und sogar von einem altruistischen Austauschgedanken geleitet wird. …

Es kann nicht generell davon ausgegangen werden, dass “offene Netze” Rechtsverletzungen über das Internet generell Vorschub leisten und die vorhandenen Instrumentarien des Straf- und auch Zivilrechts gegenwärtig hiermit überfordert sind. …

Die Autoren verweisen in diesem Zusammenhang wiederholt auf einen Beitrag von Oliver Garcia.

Auf heise.de erläutert Dr. Lars Jaeschke das WLAN-Urteil des BGH (BGH, Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, s. dazu auch hier, hier, hier, hier und hier) in Bezug auf gewerbliche Anbieter von WLAN.

Hier nur ein paar kurze Zitate:

Der Betreiber eines gewerblichen WLANs ist, soweit er anderen Personen den Zugang zum Internet vermittelt, als Access-Provider zu betrachten, weshalb sich die Frage der Anwendbarkeit des Telemediengesetzes (TMG) stellt. … Dies trifft etwa auf alle Anbieter von Unternehmens-, Stadt-, Universitäts- oder Hotel-WLAN-Netzen usw. zu, auf Internetcafes ohnehin.

Zur Begründung führt Jaeschke zudem auch die Andeutungen des BGH im Google Thumbnails-Urteil an (s. dazu hier).

Eine Pflicht der Betreiber offener Netzwerke zur Identifizierung und/oder Überwachung ihrer Nutzer lässt sich dem Urteil des BGH nicht entnehmen und wäre auch rechtswidrig. Eine Kennungsvergabe an die Benutzer ergibt nur Sinn, wenn die Benutzer auch überwacht und bei Verstößen gesperrt werden. Dies ist jedoch aufgrund des Fernmeldegeheimnisses aber unzulässig. Es besteht ein striktes Kenntnisnahmeverbot.

Zur Unterlassungserklärung:

Wichtig ist insoweit für die abzugebende Unterlassungserklärung, dass ein Unterlassungsanspruch dem Rechteinhaber laut BGH nur insoweit zusteht, als er sich ‘dagegen wendet, dass der Beklagte außenstehenden Dritten Rechtsverletzungen der genannten Art ermöglicht, indem er den Zugang zu seinem WLAN-Anschluss unzureichend sichert’.

Insgesamt liegt Jaeschke in seiner Bewertung auf meiner Linie. Eine Bewertung im Einzelfall ist jedoch unerlässlich. Bevor also wie bei der Cafe-Kette Woyton das WLAN eingestellt wird (s. dazu hier), sollte jedenfalls rechtlicher Rat eingeholt werden.

In der CR 2010, S. 592-600 ist ein Aufsatz zur Haftung für WLAN und zugleich Anmerkung zum WLAN-Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens) von Prof. Gerald Spindler erschienen.

Spindler geht dabei intensiv und ausführlich auf die kritischen Punkte der Rechtsprechung und des BGH-Urteils im speziellen ein.

Zunächst befasst sich Spindler mit der Schadensersatzhaftung. Dabei geht er auf die Beweiserleichterungen zu Gunsten der Rechteinhaber ein, die aus der IP-Adresse auf eine Rechtsverletzung durch den Anschlussinhaber schließen lassen, die dieser mittels der sekundären Darlegungs- und Beweislast zu widerlegen hat. Dabei weist er auf einen interessanten Punkt der BGH-Entscheidung hin:

Eigenartigerweise hält der BGH selbst wenig später im Rahmen der Frage, ob der IP-Adresse eine Identifikationsfunktion zukommt, fest, dass diese anders als ein eBay-Konto „bestimmungsgemäß keine zuverlässige Auskunft über die Person (gibt), die zu einem konkreten Zeitpunkt einen bestimmten Internetanschluss nutzt”. Wie dies mit der Annahme einer tatsächlichen Vermutung für eine Rechtsverletzung durch den Anschlussinhaber vereinbar ist, bleibt unklar.

Weiter will Spindler die Darlegungslast durch die Wertungen des § 101 Abs. 9 UrhG eingeschränkt wissen:

Die sekundäre Darlegungslast darf also nicht derart ausgedehnt werden, dass der Anschlussinhaber verpflichtet würde, die Daten der Rechtsverletzer anzugeben, ohne dass zumindest die Wertungen des § 101 UrhG beachtet würden.

Anschließend setzt sich Spindler intensiv mit der täterschaftlichen Haftung auf Basis von Verkehrspflichten und der Abgrenzung des BGH zur Halzband-Entscheidung auseinander, wobei er auf mehrere Unklarheiten hinweist. Quasi als Nachklapp der Diskussion kritisiert er die Argumentation des BGH bezüglich der Einordnung von IP-Adressen als widersprüchlich:

Auch die Feststellung, dass die (dynamisch vergebene) IP-Adresse keine Identifikationsfunktion für den eigentlichen Täter habe, ist prima vista zwar zutreffend, kollidiert aber mit der später im Rahmen der Störerhaftung ohne weiteres als Zurechnungsgrund herangezogenen Wertung als Bestandsdatum.

Anschließend setzt sich Spindler mit der Frage nach der Einordnung des “Dienstes WLAN” und seiner Relevant für § 8 TMG auseinander und plädiert für dessen Anwendbarkeit (s. auch schon Mantz, Rechtsfragen offener Netze, Karlsruhe 2008, S. 292 ff.):

Dann kann aber für die Betreiber von Kommunikationsnetzen nichts anderes gelten; auch wenn diese „klein” sind, handelt es sich doch um die Ermöglichung des Zugangs zu anderen Kommunikationsnetzen, indem der Betreiber eines WLANs seinen Router und seinen Anschluss anderen zur Verfügung stellt. … Auch die „unbefugte” Nutzung (z.B. aufgrund von entsprechenden Vertragsbedingungen) eines unzweifelhaft unter § 8 TMG fallenden Telekommunikationsproviders führt nicht dazu, dass die Haftungsprivilegierungen entfielen

Anschließend behandelt Spindler die Störerhaftung, die der BGH angenommen hat. Dabei geht er zunächst auf die Frage ein, ob der Betrieb eines WLAN als Gefahrenquelle angesehen werden kann. Dies nimmt er als “klareren und tragfähigen Ansatz” an, weist aber darauf hin, dass dies keinesfalls selbstverständlich ist.

Im nächsten Abschnitt legt Spindler nach meiner Auffassung ganz klar den Finger in die Wunde:

Schließlich bleibt ein essentieller Punkt bei aller Evidenz der vom BGH angenommen Sicherungspflichten unklar: Sicherungspflichten unklar: Die dem WLAN-Betreiber abverlangten Sicherungsmaßnahmen betreffen die Benutzung des Netzes durch unbekannte Dritte. Warum aber werden durch Sicherungsmaßnahmen die Rechtsgüter anderer, vor allem außerhalb des WLANs liegender Dritter geschützt? Die Antwort kann nur darin liegen, dass dann die Rechtsverfolgung für den Dritten erleichtert wird, indem entweder der WLAN-Betreiber selbst als Handelnder gelten soll oder er verpflichtet ist, die Identitätsdaten der an seinem Netz Beteiligten preiszugeben, die für die fragliche Tatzeit in Betracht kommen. Damit aber nähert man sich doch wieder der Verantwortlichkeit des Accountinhabers, sei es durch eine tatsächliche Vermutung für Rechtsverletzungen durch ihn oder einer sekundären Darlegungslast.

Denn die durch den BGH zementierte Situation führt zu einer solch starken Ungleichbehandlung des Anschlussinhabers, dass die Nähe zur (vom BGH gerade abgelehnten) Verantwortlichkeit im praktischen Fall “über die Hintertür” doch angenommen wird.

Konsequenterweise nimmt sich Spindler auch der Frage der Privilegierung nach § 8 TMG an. Dabei verweist er auf die Rechtsprechung zur Haftung der (klassischen Access Provider), die in der Tat eher zu Gunsten der Access Provider ausgeht und damit genau im Gegensatz zum Urteil des BGH steht. Dabei fragt Spindler richtigerweise:

Wo liegt aber der Unterschied im Betreiben eines Routers im privaten Bereich oder eines größeren Hotspots, etwa eines lokalen Internet-Betreibers?

Und weiter:

Hier rächt sich die fehlende Auseinandersetzung des BGH mit den Haftungsprivilegien nach TMG erneut: Wenn der Senat noch die Vereinbarkeit der deutschen Störerhaftung mit dem Verbot von proaktiven Überwachungspflichten in der E-Commerce-Richtlinie (Art. 15) damit rechtfertigen konnte, dass es um spezifische Überwachungspflichten geht, die zudem erst nach Kenntnis eines Rechtsverstoßes eingreifen, verfängt dies für die ohne (!) Kenntnis des Providers vom ersten Tag an geltenden Prüfungs- und Überwachungspflichten nicht mehr. Hier handelt es sich eindeutig um entsprechende Pflichten im Sinne der E-Commerce-Richtlinie. Nun unterfallen zwar gerade Sicherungsmaßnahmen der eigenen Netze nicht den Überwachungspflichten, wie sie von Art. 15 ECRL gemeint sind, da es hier nur um den Schutz gegenüber Dritten (bzw. deren Angriffe) geht. Auch gilt die ECRL nicht für rein private Diensteanbieter. Doch darf dies nicht dahingehend verallgemeinert werden, dass sämtliche Prüfungs- und Überwachungspflichten bei privaten Diensteanbietern schon ohne Kenntnis eingreifen, zumal das TMG die Anwendbarkeit auf Private erstreckt hat. Es überrascht zudem, dass gerade Provider mit Vorsprung in Wissen und Technologie nicht zu Sicherungsmaßnahmen von vornherein verpflichtet sein sollen, wohl aber der private Netzbetreiber.

Der Beitrag wird fortgesetzt durch eine kritische Auseinandersetzung mit der Thematik, ob die IP-Adresse Verkehrs- oder Bestandsdatum ist. Auch stützt sich Spindler auf die Argumentation des BVerfG im Vorratsdatenspeicherungsurteil und lehnt die Auffassung des BGH, die IP-Adresse als Bestandsdatum einzuordnen, klar und deutlich ab.

Abgerundet wird der Beitrag mit der Frage nach den Abmahnkosten sowie Folgefragen.

Bei diesen Folgefragen behandelt Spindler, was das Urteil des BGH denn nun für andere WLAN-Betreiber (institutionelle Betreiber, Internet-Cafes, offene Netze etc.) bedeutet.

Damit wird abermals deutlich, dass der eigentliche Grund für das Bestehen von Prüfpflichten konkretisiert werden muss: Wenn die Verhinderung von anonymen Rechtsverletzungen, denen sich der Rechteinhaber machtlos gegenübersieht, maßgeblich sein sollte, müsste eigentlich erst recht kommerzielle Provider die Pflicht treffen, Identifizierungsmechanismen zu schaffen, um eine Rechtsverfolgung zu ermöglichen. Dann aber wären solche Geschäftsmodelle wie Internetcafés undurchführbar. Auch bestehen erhebliche Zweifel, ob ohne besondere Einwilligungen durch die Nutzer die Diensteanbieter ohne weiteres deren Daten erheben und speichern könnten.

Dem Fazit von Spindler kann ich mich nur anschließen:

Die auf den ersten Blick intuitiv überzeugende Entscheidung des BGH wirft insgesamt mehr Fragen auf, als sie klärt.

S. auch:

• Besprechung des Aufsatzes bei RA Stadler
• Anmerkung zum Urteil Mantz, MMR 2010, 568
• Übersicht über die Anmerkungen zum BGH-Urteil

Nur ein kurzer Hinweis auf die vom Bundesamt für Sicherheit in der Informationstechnik in Auftrag gegebene Studie von Borges/Schwenk/Stuckenberg/Wegener mit dem Titel “Identitätsdiebstahl und Identitätsmissbrauch im Internet – Rechtliche und technische Aspekte”, die nunmehr auch in Buchform erschienen ist und hier heruntergeladen werden kann (PDF 4,8 MB). Aufgrund des Umfanges können hier nur wenige einzelne Aussagen aufgenommen werden.

Den rechtlichen Teil (Kap. 5) haben Prof. Borges und Prof. Stuckenberg übernommen. Ab S. 272 geht Borges dabei auf Verkehrspflichten ein, wobei die Diskussion sich hauptsächlich im Bereich der Störerhaftung abspielt. Diese sind auch für die Debatte rund um die Haftung für WLAN interessant.

Access-Provider kommen zwar auch Adressaten der Verkehrspflichten in Betracht. Eine Sperrung des Zugangs zu urheberrechtsverletzenden Inhalten wurde allerdings von den Gerichten aufgrund der Unzumutbarkeit bisher abgelehnt.

Interessant ist weiter, dass die Autoren erwägen, Hersteller von WLAN-Routern bereits über die Produzentenhaftung zur Einrichtung von vorinstallierter WLAN-Verschlüsselung zu bewegen (was derzeit tatsächlich Standard sein dürfte):

Die Entwicklung von Produktsicherheitsstandards durch den Markt zeigt Ergebnisse. Es ist festzustellen, dass Verbesserungen auch ohne konkrete rechtliche Pflicht erfolgen. Andererseits ist nicht festzustellen, dass ein Vertrauen auf den Markt ohne den Hintergrund rechtlicher Folgen (Haftung) bei unzureichender Sicherheit erfolgversprechend wäre, da eine Haftung nach allgemeinen Grundsätzen in Betracht kommt. So lässt sich im konkreten Beispiel der WLAN-Verschlüsselung erwägen, dass eine rechtliche Verpflichtung der Hersteller zu dieser Maßnahme bereits nach allgemeinen Grundsätzen der Produzentenhaftung besteht.

Prof. Georg Borges hat in der NJW 2010, Heft 36, S. 2624 ff., einen Aufsatz mit dem Titel “Pflichten und Haftung beim Betrieb privater WLAN” veröffentlicht, der sich u.a. mit dem WLAN-Urteil des BGH beschäftigt (BGH, Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens).

Der Autor geht dabei von der “Gefahrenquelle WLAN” (dazu Garcia, Telepolis vom 19.4.2010; Krueger, WLAN + anonym + Internet = Gefahr = Störerhaftung? (LAWgical Blog); Mantz, JurPC WebDok. 95/2010; Breyer, NJOZ 201, 1085) aus und beschreibt anfangs, welche Möglichkeiten zur Sicherung bestehen. Anschließend geht er näher auf die Entscheidung des BGH ein. Besonderes Augenmerk richtet er dabei auf die “Schutzpflichten” des WLAN-Betreibers. Dabei spannt er den Bogen von den “allgemeinen” Schutzpflichten des Internetnutzers (hierzu ausführlich auch Mantz, K&R 2007, 566 – Download hier) zum WLAN.

Überzogene Schutzpflichten des Internetnutzers würden angesichts der vielfältigen Angriffe im Internet zu unzumutbaren Haftungsrisiken führe. Daher ist die Begrenzung der Pflichten und der Haftung der Inhaber privater Internetanschlüsse notwendig.

Die vom BGH dem Betreiber auferlegten Pflichten bezeichnet Borges dabei als aus den Schutzpflichten entwickelte Prüfpflichten.

Im Fall der Sicherung des Internetanschlusses hat die Pflicht des Inhabers allerdings mit „Prüfung” nichts zu tun. Mit dieser unglücklichen Begrifflichkeit will der BGH offenbar den Weg zu einer neuartigen, eigenständigen Kategorie der Pflichten beschreiten, zumal er überraschenderweise von „wettbewerbsrechtlichen Verkehrspflichten” in Abgrenzung zu den hier maßgeblichen Prüfpflichten spricht. Vor allem aber grenzt der BGH diese Prüfpflichten von Verkehrspflichten ab, deren Verletzung eine Verpflichtung zum Schadensersatz auslöst. … Die Kategorie der Prüfpflichten erscheint entbehrlich. Entsprechend den allgemeinen Grundsätzen handelt es sich auch bei den Pflichten des Internetnutzers zum Schutz absoluter Rechte Dritter um Verkehrspflichten, die mit dem Unterlassungsanspruch durchgesetzt werden.

Anschließend beschäftigt sich Borges mit der Frage, wie der BGH die Schadensersatzhaftung ausgeschlossen hat. Dabei hält er eine analoge Anwendung von §§ 7 ff. TMG auch auf Private für möglich (s. dazu schon eingehend Mantz, Rechtsfragen offener Netze, S. 291 ff.; ebenso Stang/Hühner, GRUR-RR 2008, 273 (275)).

Allerdings will der BGH entgegen einer in der Literatur vertretenen Ansicht die Haftungsprivilegierung für Zugangsprovider nach § 8 TMG nicht anwenden. Dem BGH ist zuzugestehen, dass die Anwendung nicht einfach zu begründen ist. Die Haftungsprivilegierung des TMG beruht auf der E-Commerce-Richtlinie. Diese bezieht sich auf Dienste der Informationsgesellschaft, die als ein in der Regel entgeltliches Angebot definiert sind. Diese Situation liegt hier nicht vor. Allerdings ist der Begriff des Diensteanbieters nach § 2 Nr. 1 TMG wesentlich weiter. Verneint man mit dem BGH die Anwendbarkeit der Privilegierung, besteht insoweit eine Lücke. Eine erweiternde Auslegung des Diensteanbieterbegriffs im Rahmen der §§ 7 ff. TMG oder eine analoge Anwendung der Haftungsprivilegierung erscheinen zumindest vertretbar.

Da der BGH dieser Lösung scheinbar nicht folgt, spricht sich Borges für eine entsprechende Gesetzesnovellierung aus.

Im übrigen argumentiert Borges für eine Reduktion des (auch meiner Auffassung nach viel zu hohen) Streitwerts bei Filesharing-Fällen (Streitwertübersicht hier):

Auch der BGH scheint die Höhe der Abmahnkosten kritisch zu sehen, denn er äußert leise Kritik an der Höhe des Streitwerts. In der Tat erscheint ein Streitwert von 10000 Euro für das einmalige Anbieten eines einzelnen Liedes in einer Tauschbörse völlig überzogen.

S. auch:

• Übersicht über Anmerkungen und Aufsätze zum Urteil des BGH

Mit Blick auf das Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, s. dazu hier, hier, hier, hier und hier) erhält die heute auf heise-online veröffentlichte Meldung mit dem Titel “WPA-Key von Speedport-Routern zu einfach” neue Bedeutung:

In der Meldung wird berichtet, dass insbesondere bei den (von der Telekom häufig zu DSL-Anschlüssen gelieferten und daher relativ weit verbreiteten) WLAN-Routern der Speedport-Reihe (W700V, W500V; dagegen ist W701V wohl nicht betroffen das voreingestellte Kennwort vom Hersteller zu einfach gewählt wurde. Zwar ist das Kennwort auf den Router individualisiert, aber mit den durch die gesendeten Pakete veröffentlichten Informationen lässt sich der Schlüssel bis auf 3 Ziffern ableiten. Die restlichen 3 Ziffern mit nur 4096 Möglichkeiten lassen sich hingegen leicht durch ein Skript ausprobieren. Damit sind diese Router mit Standardkennwort tatsächlich als unsicher zu bezeichnen.

Der BGH hatte in seinem Urteil vom 12.5.2010 – I ZR 121/08 (Sommer unseres Lebens) den Beklagten deshalb nach den Grundsätzen der Störerhaftung verurteilt, weil er ein solches Routerkennwort nicht geändert hatte. Dabei war der BGH wohl fälschlicherweise davon ausgegangen, dass es sich um ein Standardkennwort wie “1234″ handelte. Der Hersteller AVM hingegen hatte darauf hingewiesen, dass die gewählten Kennwörter zufällig und damit sicher seien (s. hier). Für die o.g. Konkurrenzprodukte stimmt diese These aber nun nicht mehr.

Daher ist jedem Betreiber eines verschlüsselten WLAN – unabhängig vom Hersteller des Routers – mit Blick auf das Urteil des BGH und diese neuen Erkenntnisse zu raten, sein Kennwort individuell festzulegen. Dabei ist eine zufällige Folge mit mind. 20 Zeichen empfehlenswert, wie sie sich z.B. bei http://www.freepasswordgenerator.com generieren lässt.

Das AG Wuppertal hat offenbar seine Ansicht  bzgl. der Strafbarkeit des Schwarz-Surfens korrigiert und kommt nun in einem ablehnenden Eröffnungsbeschluss (Volltext s.u.) zum Ergebnis, dass eine Strafbarkeit nicht gegeben ist.

Dabei hatte das AG Wuppertal mit Teilen der Literatur mit einem Urteil aus dem Jahre 2007 (AG Wuppertal, Urteil vom 3. 4. 2007 – 22 Ds 70 Js 6906/06) noch die Auffassung vertreten, dass die Nutzung eines offenen WLAN durch Dritte nach §§ 89, 148 TKG, §§ 43 II Nr. 3, 44 BDSG strafbar sei. Dem war anschließend das AG Zeven gefolgt (s. dazu hier; Bericht über eine weitere “öffentliche Festnahme” hier).

Nun hat das AG Wuppertal auf die immer wieder geäußerte Kritik reagiert und seine Ansicht geändert:

Diese Ansicht überspannt jedoch den Schutz- und Strafbereich der hier in Betracht kommenden Strafvorschriften.

(im einzelnen s.u. sowie die Besprechung von Jens Ferner)

Damit läuft eine Rechtsfrage wieder auf ihre (richtige) Klärung zu. Vor allem könnte dies auch Auswirkungen auf das noch laufenden Ermittlungsverfahren gegen Google haben, wobei man allerdings nicht vergessen darf, dass in jenem Fall Daten tatsächlich gespeichert wurden, ohne dazu hier eine Bewertung vorzunehmen. Aber jedenfalls die beim Schwarz-Surfen üblicherweise automatisch zugewiesene IP-Adresse wird vom AG Wuppertal nicht mehr als “abgefangene Nachricht” nach § 89 TKG eingestuft.

Links:

• Beck-Blog

Update: Das Aktenzeichen lautet “26 Ds-10 Js 1977/08-282/08″, nicht wie ursprünglich angegeben “20 Ds-10 Js 1977/08-282/08″. Danke an RA Gramespacher (www.miur.de) für den Hinweis.

—

Volltext

AG Wuppertal, Beschl. v. 3.8.2010 – 26 Ds-10 Js 1977/08-282/08

Amtsgericht Wuppertal

Beschluss

In der Strafsache
gegen [...]
wegen Ausspähen von Daten

(Tenor:)

Der Antrag auf Eröffnung des Hauptverfahrens wird aus rechtlichen Gründen abgelehnt.
Die Kosten des Verfahrens und die notwendigen Auslagen des Angeschuldigten hat die Staatskasse zu tragen.

Gründe
Nach den Ergebnissen des vorbereitenden Verfahrens erscheint der Angeschuldigte einer Straftat nicht hinreichend verdächtig. Hinreichender Tatverdacht im Sinne des §203 StPO ist zu bejahen, wenn bei vorläufiger Tatbewertung auf Grundlage des Ermittlungsergebnisses die Verurteilung in einer Hauptverhandlung wahrscheinlich ist.

Dies ist vorliegend nicht der Fall. Eine Strafbarkeit des Angeschuldigten ist nicht ersichtlich. Vorgeworfen wird ihm, sich am 26.08.2008 und am 27.o8.2oo8 mit seinem Laptop mittels einer drahtlosen Netzwerkverbindung in das offene Funknetzwerk des Zeugen I. eingewählt zu haben, um ohne Erlaubnis und ohne Zahlung eines Entgeltes die Internetnutzung zu erlangen.
Dieses Verhalten ist jedoch nicht strafbar.

Es erfüllt weder den Tatbestand des unbefugten Abhörens von Nachrichten nach §89 I 1 TKG noch des unbefugten Abrufens oder Verschaffens personenbezogener Daten nach §§44, 43 II Nr.3 BDSG.

Zwar wurde in der Entscheidung des Amtsgerichts Wuppertal vom 03.04.2010 (NStZ 2008, 161) ein solches Verhalten als strafbar gesehen. Danach sei der WLAN-Router eine elektrische Sende- und Empfangseinrichtung und damit eine Funkanlage im Sinne des §89 TKG. Die aufgrund der Internetnetzung abgehörte “Nachricht” sei in der Zuweisung einer IP-Adresse durch den Router zu sehen. Das Verhalten sei unbefugt, weil die IP-Adresse nicht für den Angeklagten bestimmt gewesen sei.

Zudem sei eine Strafbarkeit nach §44 i.V.m. §43 II Nr.3 BDSG gegeben, da durch Zugriff auf den Router personenbezogene Daten abgerufen würden. Da der Angeklagte des Nichtvorhandensein einer Flatrate des “Opfers” zumindestens billigend in Kauf nehme, handele er auch in Bereicherungs- bzw. Schädigungsabsicht.

Diese Ansicht überspannt jedoch den Schutz- und Strafbereich der hier in Betracht kommenden Strafvorschriften.

Eine Strafbarkeit nach §89 S.1 TKG ist nicht gegeben. Als “Nachricht” kommt hier allenfalls die automatische Zuweisung einer IP-Adresse an den Computer in Betracht (so AG Wuppertal, NStZ 2008, 161). Hierbei ist aber bereits äußerst fraglich, ob die Zuweisung einer IP-Adresse eine “Nachricht” im Sinne dieser Vorschrift darstellt (vgl. Popp, jurisPR-ITR 16/2008 Anm.4). Dass der Angeschuldigte andere Nachrichten des Zeugen I. unbefugt empfangen haben könnte, lässt sich nach dem Ermittlungsergebnis gerade nicht feststellen (BL. 79 d.A.). Jedenfalls ist durch das vorgeworfene Nutzen des Internetzugangs kein “abhören” im Sinne des §89 TKG gegeben. Dies ergibt sich bereits aus dem Wortlaut der Vorschrift. Unter Abhören ist das unmittelbare Zuhören oder das Hörbarmachen für andere, aber auch das Zuschalten einer Aufnahmevorrichtung zu verstehen. Dies erfordert jedenfalls einen zwischen anderen Personen stattfindenden Kommunikationsvorgang, den der Täter als Dritter mithört (vgl. Bär MMR 2005, 434, 440). Es müsste ein bewusster und gezielter Empfang fremder Nachrichten und das bewusste und gezielte Wahrnehmen fremder Nachrichten durch den Täter gegeben sein, um von einem Abhören von Nachrichten sprechen zu können. Dies ist bei dem Nutzer eines fremden WLAN nicht der Fall.

Für einen solchen bewussten und gezielten Empfang von Nachrichten durch den Angeschuldigten gibt es keine Anhaltspunkte. Dem Angeschuldigten kam es ausweislich der Anklage und des Ermittlungsergebnisses nur darauf an, durch Einwählen in das Netzwerk des Zeugen dessen Internetzugang mitbenutzen zu können. Das dabei notwendige Empfangen der IP-Adresse stellt kein Abhören fremder Nachrichten dar, denn hierdurch wird die Vertraulichkeit fremder Kommunikation nicht angegriffen (vgl. Popp, jurisPR-ITR 16/2008 Anm.4). Die IP-Adresse ist im Übrigen auch für den Angeschuldigten bestimmt gewesen, da er der einzige Teilnehmer der Internetverbindung gewesen ist. Damit ist er nicht Mithörer eines fremden Datenaustauschs (vgl. Bär MMR 2005, 434, 440).

Auch ist der Tatbestand des §44 I i.V.m. §43 II Nr.3 BDSG nicht erfüllt. Der Angeschuldigte hat ausweislich der Anklage und des Ermittlungsergebnisses keine personenbezogenen Daten abgerufen oder sich verschafft. In Betracht kommen auch hier allenfalls die IP-Daten. Die IP-Daten sind jedoch keine personenbezogenen Daten im Sinne des §3 I  BDSG (vgl. auch Popp, jurisPR-ITR 16/2008 Anm.4). Personenbezogene Daten sind hiernach alle Informationen über persönliche und sachliche Verhältnisse, die einer natürlichen Person zuzuordnen und nicht allgemein zugänglich sind.  Die IP-Adresse wird frei an den jeweiligen, das Netzwerk nutzenden Computer vergeben. Die Daten waren im Zeitpunkt des Empfangs durch den Angeschuldigten für diesen – als Nutzer des Computers der sich in das netzwerk einwählt – bestimmt und somit der Schutzbereich der Datendelikte nicht berührt (vgl. Popp, JurisPR-ITR 16/2008 Anm.4). Wer sich in ein WLAN einwählt, kann grds. nicht erkennen, wer der Betreiber des WLANs ist (MMR 2008, 632, 635). Dass dies bei dem Angeschuldigten  anders sein sollte, ist nicht ersichtlich und wäre nach dem derzeitigen Ermittlungsstand nicht nachweisbar (vgl. Aktenvermerk Bl. 79 d.A.).

Eine Strafbarkeit nach §202b StGB ist nicht gegeben, da die empfangenen IP-Daten für den Angeschuldigten als Nutzer des Netzwerks bestimmt sind (vgl. hierzu MMR 2008, 632, 634).

Der Standard aus Österreich hat am 10.3.2010 über offene Netze in Europa berichtet und dafür Aaron Kaplan von funkfeuer.at interviewt. Der Fokus liegt dabei auch auf funkfeuer.at in Wien, aber auch das spanische Guifi und Freifunkt werden erwähnt.

Ein paar Ausschnitte:

“Angesichts der akut grassierenden Überwachungsideen und der Datenschutzdebatte im Internet ist das Konzept eines privat aufgebauten, dezentralen Breitbandnetzes mit lokalen Servern und Diensten aktueller denn je”, erklärt Aaron Kaplan.

“Neben unserem Bestreben, ein unabhängiges Bürgernetz zu schaffen, hatte das Netz von Anfang an immer auch einen experimentellen Charakter. Mittels der Technologie ist es theoretisch möglich, ein solarbetriebenes WLAN-Netz von Berggipfel zu Berggipfel aufzuspannen und so auch entlegene Gebiete zu erreichen, die bisher von Breitbandtechnologien abgeschnitten sind”

(via wireless in weimar-Mailingliste)

Mittlerweile habe ich mit der Pressestelle des Fritz!Box-Herstellers AVM ueber die tatsaechlichen Grundlagen des WLAN-Urteils (hier, Besprechung hier) gesprochen. Dabei haben sich hinsichtlicher meiner Fragen (s. hier, s. auch die AVM-Pressemitteilung) die folgenden Erkenntnisse ergeben:

1. AVM liefert seit 2004 WLAN-faehige Router aus. Diese Router waren von Anfang an mit einem auf den Router individualisierten Kennwort versehen.
2. Das Kennwort besteht aus 16 zufaelligen Ziffern und ist auf dem Router ausgedruckt.

Mit anderen Worten: Der Beklagte im Urteil des BGH hat mit Sicherheit einen durch ein 16-stelliges zufaelliges und unbekannten Dritten nicht bekanntes Kennwort gesicherten WLAN-Router verwendet.

Es stellt sich die Frage, ob das dem BGH klar war, als er sein Urteil gefaellt hat. Diese Frage wage ich mit “nein” zu beantworten. Denn ein personalisiertes, nachtraeglich eingerichtetes Kennwort ist im Zweifel sogar unsicherer als das voreingestellte 16-stellige Kennwort.

Vermutlich ist der BGH also davon ausgegangen, dass das “standardmaessig voreingestellte Kennwort” fuer alle Router der Modellreihe gleich war – und damit einem Dritten bekannt sein konnte. Hier bestand nach dieser Lesart eine Luecke im Sachverhalt, die im Laufe des Verfahrens nicht geschlossen wurde.

Zur Problematik, ob der Aufdruck des Kennworts auf dem Router die Quelle der Unsicherheit gewesen sein koennte, s. Moeller, Telemedicus. Allerdings haette sich der BGH dann mit der Frage beschaeftigen muessen, ob der Aufdruck bzw. die Mitteilung des Kennworts z.B. an Haushaltsmitglieder fuer eine Annahme der Stoererhaftung ausreicht – was im Hinblick darauf, dass der BGH ebenfalls festgestellt hat, dass das Teilen des Internetanschlusses in Ordnung ist, kaum haette ausgereichen koennen.

Ich habe mich gerade mit einem amerikanischen Kollegen ueber das WLAN-Urteil des BGH unterhalten. Und er hat das Urteil in eine sehr verstaendliche Form uebersetzt und mich gefragt:

“Nehmen wir an, dass ich eine Scheune auf dem Land besitze. Jemand benutzt diese Scheune, ohne dass ich es weiss, um dort Bootlegs (=nicht autorisierte Tonaufzeichnung) zu verkaufen.

Laut dem German Supreme Court soll ich dafuer haftbar sein?”

Und ich musste ihm antworten:

“Ja, und es wird noch besser, denn Du hast Deine Scheune sogar mit einem Zaun gesichert, aber der Typ hat das Tor aufgebrochen.”

Sein Kommentar war so etwas aehnliches wie “stupid fucked up Germans”…