Ich bin kürzlich über folgendes Buch gestolpert:
James F. DeRose, The Wireless Data Handbook, 4. Aufl, 1999 (hier online, PDF, 5,5 MB).
Das Buch behandelt die Entwicklungen der Funkkommunikation inklusive Packet Radio und allem, was man sich noch so vorstellen kann. WLAN ist noch nicht enthalten. Dennoch eine interessante Lektüre mit technischen Hintergründen, den wirtschaftlichen Entwicklungen und Geschichten zu den involvierten Firmen.
Spiegel Online berichtet über die Verwendung von durch Amazon bereit gestellter Rechenpower zum Hacken von WLAN Passworten des Standards WPA.
Der Bericht enthält eigentlich nichts Neues, denn es handelte sich um ein Hacken eines Passworts mit einer Wörterbuchattacke.
Die Software hat beim Knacken übrigens 70 Millionen Wörter aus einem Wörterbuch durchprobiert. Roths Methode hat jedoch auch Grenzen: Das gesuchte Passwort darf nicht zu lang sein. WPA erlaubt Schlüssellängen bis zu 63 Zeichen. Wer also beispielsweise ein Passwort von 20 Zeichen wählt, in dem keine Begriffe aus Wörterbüchern, aber Groß- und Kleinbuchstaben sowie Sonderzeichen auftauchen, muss sich vorerst keine Sorgen machen. Ein Beispiel dafür ist Wa$31n51ch3r3$Pa5$w0r7157. Ein sechsstelliges Passwort wie “schatz” ist hingegen keine gute Wahl.
Bemerkenswert ist nur, wie schnell es geht, wenn man sich fremder Rechenkraft bedient.
Nach Roths Angaben dauerte es 20 Minuten, um das WPA-Passwort seines Nachbarn herauszufinden. Amazon berechnet für die Nutzung der extrem schnellen GPU-Instanzen 28 US-Cent pro Minute. Durch eine Verbesserung der Software glaubt Roth, die Berechnung in nur sechs Minuten zu schaffen. Das entspricht einem Preis von nicht einmal zwei Dollar pro Passwort.
Insgesamt verdeutlicht das Beispiel erneut, dass “gute” Passwörter gewählt werden sollten. Dies verlangt auch der BGH im Hinblick auf die Prüfungs- und Überwachungspflichten eines Betreibers im Rahmen der Störerhaftung in seiner Entscheidung “Sommer unseres Lebens” (BGH MMR 2010, 568).
In der aktuellen Dezember-Ausgabe der Kommunikation & Recht ist eine Anmerkung von Gramespacher und Wichering zum Schwarzsurfen-Beschluss des LG Wuppertal (Beschl. v. 19.10.2010 – 25 Qs-10 Js 1977/08-177/10; s. dazu auch hier; und zum Urteil des AG Zeven hier) erschienen (K&R 2010, 840-842).
Hier nur kurz ein paar interessante Zitate aus der m.E. guten Anmerkung:
Diverse “Freifunk-Projekte” legen vielmehr nahe, das Einwählen in offen betriebene WLAN-Netzwerke auch unter dem Gesichtspunkt eines – möglicherweise – “sozialadäquaten Verhaltens” zu betrachen. Die Mitbenutzung eines offenen Netzwerks stellt nicht generell einen Missbrauch dar. …
Genauso ist danach zu fragen, ob ein unverschlüsselt betriebenes WLAN-Netzwerk heute nicht vielmehr auf eine bewusste Entscheidung des Betreibers schließen lässt und sogar von einem altruistischen Austauschgedanken geleitet wird. …
Es kann nicht generell davon ausgegangen werden, dass “offene Netze” Rechtsverletzungen über das Internet generell Vorschub leisten und die vorhandenen Instrumentarien des Straf- und auch Zivilrechts gegenwärtig hiermit überfordert sind. …
Die Autoren verweisen in diesem Zusammenhang wiederholt auf einen Beitrag von Oliver Garcia.
Ich wurde gefragt, ob ich für das 1&1-Blog einen kurzen Artikel zur Störerhaftung bei WLANs verfassen würde. Dieser Beitrag mit dem Titel “Störerhaftung und der private Betrieb eines WLAN” ist nun erschienen und kann hier abgerufen werden.
Auf heise.de erläutert Dr. Lars Jaeschke das WLAN-Urteil des BGH (BGH, Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, s. dazu auch hier, hier, hier, hier und hier) in Bezug auf gewerbliche Anbieter von WLAN.
Hier nur ein paar kurze Zitate:
Der Betreiber eines gewerblichen WLANs ist, soweit er anderen Personen den Zugang zum Internet vermittelt, als Access-Provider zu betrachten, weshalb sich die Frage der Anwendbarkeit des Telemediengesetzes (TMG) stellt. … Dies trifft etwa auf alle Anbieter von Unternehmens-, Stadt-, Universitäts- oder Hotel-WLAN-Netzen usw. zu, auf Internetcafes ohnehin.
Zur Begründung führt Jaeschke zudem auch die Andeutungen des BGH im Google Thumbnails-Urteil an (s. dazu hier).
Eine Pflicht der Betreiber offener Netzwerke zur Identifizierung und/oder Überwachung ihrer Nutzer lässt sich dem Urteil des BGH nicht entnehmen und wäre auch rechtswidrig. Eine Kennungsvergabe an die Benutzer ergibt nur Sinn, wenn die Benutzer auch überwacht und bei Verstößen gesperrt werden. Dies ist jedoch aufgrund des Fernmeldegeheimnisses aber unzulässig. Es besteht ein striktes Kenntnisnahmeverbot.
Zur Unterlassungserklärung:
Wichtig ist insoweit für die abzugebende Unterlassungserklärung, dass ein Unterlassungsanspruch dem Rechteinhaber laut BGH nur insoweit zusteht, als er sich ‘dagegen wendet, dass der Beklagte außenstehenden Dritten Rechtsverletzungen der genannten Art ermöglicht, indem er den Zugang zu seinem WLAN-Anschluss unzureichend sichert’.
Insgesamt liegt Jaeschke in seiner Bewertung auf meiner Linie. Eine Bewertung im Einzelfall ist jedoch unerlässlich. Bevor also wie bei der Cafe-Kette Woyton das WLAN eingestellt wird (s. dazu hier), sollte jedenfalls rechtlicher Rat eingeholt werden.
In der CR 2010, S. 592-600 ist ein Aufsatz zur Haftung für WLAN und zugleich Anmerkung zum WLAN-Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens) von Prof. Gerald Spindler erschienen.
Spindler geht dabei intensiv und ausführlich auf die kritischen Punkte der Rechtsprechung und des BGH-Urteils im speziellen ein.
Zunächst befasst sich Spindler mit der Schadensersatzhaftung. Dabei geht er auf die Beweiserleichterungen zu Gunsten der Rechteinhaber ein, die aus der IP-Adresse auf eine Rechtsverletzung durch den Anschlussinhaber schließen lassen, die dieser mittels der sekundären Darlegungs- und Beweislast zu widerlegen hat. Dabei weist er auf einen interessanten Punkt der BGH-Entscheidung hin:
Eigenartigerweise hält der BGH selbst wenig später im Rahmen der Frage, ob der IP-Adresse eine Identifikationsfunktion zukommt, fest, dass diese anders als ein eBay-Konto „bestimmungsgemäß keine zuverlässige Auskunft über die Person (gibt), die zu einem konkreten Zeitpunkt einen bestimmten Internetanschluss nutzt”. Wie dies mit der Annahme einer tatsächlichen Vermutung für eine Rechtsverletzung durch den Anschlussinhaber vereinbar ist, bleibt unklar.
Weiter will Spindler die Darlegungslast durch die Wertungen des § 101 Abs. 9 UrhG eingeschränkt wissen:
Die sekundäre Darlegungslast darf also nicht derart ausgedehnt werden, dass der Anschlussinhaber verpflichtet würde, die Daten der Rechtsverletzer anzugeben, ohne dass zumindest die Wertungen des § 101 UrhG beachtet würden.
Anschließend setzt sich Spindler intensiv mit der täterschaftlichen Haftung auf Basis von Verkehrspflichten und der Abgrenzung des BGH zur Halzband-Entscheidung auseinander, wobei er auf mehrere Unklarheiten hinweist. Quasi als Nachklapp der Diskussion kritisiert er die Argumentation des BGH bezüglich der Einordnung von IP-Adressen als widersprüchlich:
Auch die Feststellung, dass die (dynamisch vergebene) IP-Adresse keine Identifikationsfunktion für den eigentlichen Täter habe, ist prima vista zwar zutreffend, kollidiert aber mit der später im Rahmen der Störerhaftung ohne weiteres als Zurechnungsgrund herangezogenen Wertung als Bestandsdatum.
Anschließend setzt sich Spindler mit der Frage nach der Einordnung des “Dienstes WLAN” und seiner Relevant für § 8 TMG auseinander und plädiert für dessen Anwendbarkeit (s. auch schon Mantz, Rechtsfragen offener Netze, Karlsruhe 2008, S. 292 ff.):
Dann kann aber für die Betreiber von Kommunikationsnetzen nichts anderes gelten; auch wenn diese „klein” sind, handelt es sich doch um die Ermöglichung des Zugangs zu anderen Kommunikationsnetzen, indem der Betreiber eines WLANs seinen Router und seinen Anschluss anderen zur Verfügung stellt. … Auch die „unbefugte” Nutzung (z.B. aufgrund von entsprechenden Vertragsbedingungen) eines unzweifelhaft unter § 8 TMG fallenden Telekommunikationsproviders führt nicht dazu, dass die Haftungsprivilegierungen entfielen
Anschließend behandelt Spindler die Störerhaftung, die der BGH angenommen hat. Dabei geht er zunächst auf die Frage ein, ob der Betrieb eines WLAN als Gefahrenquelle angesehen werden kann. Dies nimmt er als “klareren und tragfähigen Ansatz” an, weist aber darauf hin, dass dies keinesfalls selbstverständlich ist.
Im nächsten Abschnitt legt Spindler nach meiner Auffassung ganz klar den Finger in die Wunde:
Schließlich bleibt ein essentieller Punkt bei aller Evidenz der vom BGH angenommen Sicherungspflichten unklar: Sicherungspflichten unklar: Die dem WLAN-Betreiber abverlangten Sicherungsmaßnahmen betreffen die Benutzung des Netzes durch unbekannte Dritte. Warum aber werden durch Sicherungsmaßnahmen die Rechtsgüter anderer, vor allem außerhalb des WLANs liegender Dritter geschützt? Die Antwort kann nur darin liegen, dass dann die Rechtsverfolgung für den Dritten erleichtert wird, indem entweder der WLAN-Betreiber selbst als Handelnder gelten soll oder er verpflichtet ist, die Identitätsdaten der an seinem Netz Beteiligten preiszugeben, die für die fragliche Tatzeit in Betracht kommen. Damit aber nähert man sich doch wieder der Verantwortlichkeit des Accountinhabers, sei es durch eine tatsächliche Vermutung für Rechtsverletzungen durch ihn oder einer sekundären Darlegungslast.
Denn die durch den BGH zementierte Situation führt zu einer solch starken Ungleichbehandlung des Anschlussinhabers, dass die Nähe zur (vom BGH gerade abgelehnten) Verantwortlichkeit im praktischen Fall “über die Hintertür” doch angenommen wird.
Konsequenterweise nimmt sich Spindler auch der Frage der Privilegierung nach § 8 TMG an. Dabei verweist er auf die Rechtsprechung zur Haftung der (klassischen Access Provider), die in der Tat eher zu Gunsten der Access Provider ausgeht und damit genau im Gegensatz zum Urteil des BGH steht. Dabei fragt Spindler richtigerweise:
Wo liegt aber der Unterschied im Betreiben eines Routers im privaten Bereich oder eines größeren Hotspots, etwa eines lokalen Internet-Betreibers?
Und weiter:
Hier rächt sich die fehlende Auseinandersetzung des BGH mit den Haftungsprivilegien nach TMG erneut: Wenn der Senat noch die Vereinbarkeit der deutschen Störerhaftung mit dem Verbot von proaktiven Überwachungspflichten in der E-Commerce-Richtlinie (Art. 15) damit rechtfertigen konnte, dass es um spezifische Überwachungspflichten geht, die zudem erst nach Kenntnis eines Rechtsverstoßes eingreifen, verfängt dies für die ohne (!) Kenntnis des Providers vom ersten Tag an geltenden Prüfungs- und Überwachungspflichten nicht mehr. Hier handelt es sich eindeutig um entsprechende Pflichten im Sinne der E-Commerce-Richtlinie. Nun unterfallen zwar gerade Sicherungsmaßnahmen der eigenen Netze nicht den Überwachungspflichten, wie sie von Art. 15 ECRL gemeint sind, da es hier nur um den Schutz gegenüber Dritten (bzw. deren Angriffe) geht. Auch gilt die ECRL nicht für rein private Diensteanbieter. Doch darf dies nicht dahingehend verallgemeinert werden, dass sämtliche Prüfungs- und Überwachungspflichten bei privaten Diensteanbietern schon ohne Kenntnis eingreifen, zumal das TMG die Anwendbarkeit auf Private erstreckt hat. Es überrascht zudem, dass gerade Provider mit Vorsprung in Wissen und Technologie nicht zu Sicherungsmaßnahmen von vornherein verpflichtet sein sollen, wohl aber der private Netzbetreiber.
Der Beitrag wird fortgesetzt durch eine kritische Auseinandersetzung mit der Thematik, ob die IP-Adresse Verkehrs- oder Bestandsdatum ist. Auch stützt sich Spindler auf die Argumentation des BVerfG im Vorratsdatenspeicherungsurteil und lehnt die Auffassung des BGH, die IP-Adresse als Bestandsdatum einzuordnen, klar und deutlich ab.
Abgerundet wird der Beitrag mit der Frage nach den Abmahnkosten sowie Folgefragen.
Bei diesen Folgefragen behandelt Spindler, was das Urteil des BGH denn nun für andere WLAN-Betreiber (institutionelle Betreiber, Internet-Cafes, offene Netze etc.) bedeutet.
Damit wird abermals deutlich, dass der eigentliche Grund für das Bestehen von Prüfpflichten konkretisiert werden muss: Wenn die Verhinderung von anonymen Rechtsverletzungen, denen sich der Rechteinhaber machtlos gegenübersieht, maßgeblich sein sollte, müsste eigentlich erst recht kommerzielle Provider die Pflicht treffen, Identifizierungsmechanismen zu schaffen, um eine Rechtsverfolgung zu ermöglichen. Dann aber wären solche Geschäftsmodelle wie Internetcafés undurchführbar. Auch bestehen erhebliche Zweifel, ob ohne besondere Einwilligungen durch die Nutzer die Diensteanbieter ohne weiteres deren Daten erheben und speichern könnten.
Dem Fazit von Spindler kann ich mich nur anschließen:
Die auf den ersten Blick intuitiv überzeugende Entscheidung des BGH wirft insgesamt mehr Fragen auf, als sie klärt.
S. auch:
Nur ein kurzer Hinweis auf die vom Bundesamt für Sicherheit in der Informationstechnik in Auftrag gegebene Studie von Borges/Schwenk/Stuckenberg/Wegener mit dem Titel “Identitätsdiebstahl und Identitätsmissbrauch im Internet – Rechtliche und technische Aspekte”, die nunmehr auch in Buchform erschienen ist und hier heruntergeladen werden kann (PDF 4,8 MB). Aufgrund des Umfanges können hier nur wenige einzelne Aussagen aufgenommen werden.
Den rechtlichen Teil (Kap. 5) haben Prof. Borges und Prof. Stuckenberg übernommen. Ab S. 272 geht Borges dabei auf Verkehrspflichten ein, wobei die Diskussion sich hauptsächlich im Bereich der Störerhaftung abspielt. Diese sind auch für die Debatte rund um die Haftung für WLAN interessant.
Access-Provider kommen zwar auch Adressaten der Verkehrspflichten in Betracht. Eine Sperrung des Zugangs zu urheberrechtsverletzenden Inhalten wurde allerdings von den Gerichten aufgrund der Unzumutbarkeit bisher abgelehnt.
Interessant ist weiter, dass die Autoren erwägen, Hersteller von WLAN-Routern bereits über die Produzentenhaftung zur Einrichtung von vorinstallierter WLAN-Verschlüsselung zu bewegen (was derzeit tatsächlich Standard sein dürfte):
Die Entwicklung von Produktsicherheitsstandards durch den Markt zeigt Ergebnisse. Es ist festzustellen, dass Verbesserungen auch ohne konkrete rechtliche Pflicht erfolgen. Andererseits ist nicht festzustellen, dass ein Vertrauen auf den Markt ohne den Hintergrund rechtlicher Folgen (Haftung) bei unzureichender Sicherheit erfolgversprechend wäre, da eine Haftung nach allgemeinen Grundsätzen in Betracht kommt. So lässt sich im konkreten Beispiel der WLAN-Verschlüsselung erwägen, dass eine rechtliche Verpflichtung der Hersteller zu dieser Maßnahme bereits nach allgemeinen Grundsätzen der Produzentenhaftung besteht.
Prof. Georg Borges hat in der NJW 2010, Heft 36, S. 2624 ff., einen Aufsatz mit dem Titel “Pflichten und Haftung beim Betrieb privater WLAN” veröffentlicht, der sich u.a. mit dem WLAN-Urteil des BGH beschäftigt (BGH, Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens).
Der Autor geht dabei von der “Gefahrenquelle WLAN” (dazu Garcia, Telepolis vom 19.4.2010; Krueger, WLAN + anonym + Internet = Gefahr = Störerhaftung? (LAWgical Blog); Mantz, JurPC WebDok. 95/2010; Breyer, NJOZ 201, 1085) aus und beschreibt anfangs, welche Möglichkeiten zur Sicherung bestehen. Anschließend geht er näher auf die Entscheidung des BGH ein. Besonderes Augenmerk richtet er dabei auf die “Schutzpflichten” des WLAN-Betreibers. Dabei spannt er den Bogen von den “allgemeinen” Schutzpflichten des Internetnutzers (hierzu ausführlich auch Mantz, K&R 2007, 566 – Download hier) zum WLAN.
Überzogene Schutzpflichten des Internetnutzers würden angesichts der vielfältigen Angriffe im Internet zu unzumutbaren Haftungsrisiken führe. Daher ist die Begrenzung der Pflichten und der Haftung der Inhaber privater Internetanschlüsse notwendig.
Die vom BGH dem Betreiber auferlegten Pflichten bezeichnet Borges dabei als aus den Schutzpflichten entwickelte Prüfpflichten.
Im Fall der Sicherung des Internetanschlusses hat die Pflicht des Inhabers allerdings mit „Prüfung” nichts zu tun. Mit dieser unglücklichen Begrifflichkeit will der BGH offenbar den Weg zu einer neuartigen, eigenständigen Kategorie der Pflichten beschreiten, zumal er überraschenderweise von „wettbewerbsrechtlichen Verkehrspflichten” in Abgrenzung zu den hier maßgeblichen Prüfpflichten spricht. Vor allem aber grenzt der BGH diese Prüfpflichten von Verkehrspflichten ab, deren Verletzung eine Verpflichtung zum Schadensersatz auslöst. … Die Kategorie der Prüfpflichten erscheint entbehrlich. Entsprechend den allgemeinen Grundsätzen handelt es sich auch bei den Pflichten des Internetnutzers zum Schutz absoluter Rechte Dritter um Verkehrspflichten, die mit dem Unterlassungsanspruch durchgesetzt werden.
Anschließend beschäftigt sich Borges mit der Frage, wie der BGH die Schadensersatzhaftung ausgeschlossen hat. Dabei hält er eine analoge Anwendung von §§ 7 ff. TMG auch auf Private für möglich (s. dazu schon eingehend Mantz, Rechtsfragen offener Netze, S. 291 ff.; ebenso Stang/Hühner, GRUR-RR 2008, 273 (275)).
Allerdings will der BGH entgegen einer in der Literatur vertretenen Ansicht die Haftungsprivilegierung für Zugangsprovider nach § 8 TMG nicht anwenden. Dem BGH ist zuzugestehen, dass die Anwendung nicht einfach zu begründen ist. Die Haftungsprivilegierung des TMG beruht auf der E-Commerce-Richtlinie. Diese bezieht sich auf Dienste der Informationsgesellschaft, die als ein in der Regel entgeltliches Angebot definiert sind. Diese Situation liegt hier nicht vor. Allerdings ist der Begriff des Diensteanbieters nach § 2 Nr. 1 TMG wesentlich weiter. Verneint man mit dem BGH die Anwendbarkeit der Privilegierung, besteht insoweit eine Lücke. Eine erweiternde Auslegung des Diensteanbieterbegriffs im Rahmen der §§ 7 ff. TMG oder eine analoge Anwendung der Haftungsprivilegierung erscheinen zumindest vertretbar.
Da der BGH dieser Lösung scheinbar nicht folgt, spricht sich Borges für eine entsprechende Gesetzesnovellierung aus.
Im übrigen argumentiert Borges für eine Reduktion des (auch meiner Auffassung nach viel zu hohen) Streitwerts bei Filesharing-Fällen (Streitwertübersicht hier):
Auch der BGH scheint die Höhe der Abmahnkosten kritisch zu sehen, denn er äußert leise Kritik an der Höhe des Streitwerts. In der Tat erscheint ein Streitwert von 10000 Euro für das einmalige Anbieten eines einzelnen Liedes in einer Tauschbörse völlig überzogen.
S. auch:
Mit Blick auf das Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, s. dazu hier, hier, hier, hier und hier) erhält die heute auf heise-online veröffentlichte Meldung mit dem Titel “WPA-Key von Speedport-Routern zu einfach” neue Bedeutung:
In der Meldung wird berichtet, dass insbesondere bei den (von der Telekom häufig zu DSL-Anschlüssen gelieferten und daher relativ weit verbreiteten) WLAN-Routern der Speedport-Reihe (W700V, W500V; dagegen ist W701V wohl nicht betroffen das voreingestellte Kennwort vom Hersteller zu einfach gewählt wurde. Zwar ist das Kennwort auf den Router individualisiert, aber mit den durch die gesendeten Pakete veröffentlichten Informationen lässt sich der Schlüssel bis auf 3 Ziffern ableiten. Die restlichen 3 Ziffern mit nur 4096 Möglichkeiten lassen sich hingegen leicht durch ein Skript ausprobieren. Damit sind diese Router mit Standardkennwort tatsächlich als unsicher zu bezeichnen.
Der BGH hatte in seinem Urteil vom 12.5.2010 – I ZR 121/08 (Sommer unseres Lebens) den Beklagten deshalb nach den Grundsätzen der Störerhaftung verurteilt, weil er ein solches Routerkennwort nicht geändert hatte. Dabei war der BGH wohl fälschlicherweise davon ausgegangen, dass es sich um ein Standardkennwort wie “1234″ handelte. Der Hersteller AVM hingegen hatte darauf hingewiesen, dass die gewählten Kennwörter zufällig und damit sicher seien (s. hier). Für die o.g. Konkurrenzprodukte stimmt diese These aber nun nicht mehr.
Daher ist jedem Betreiber eines verschlüsselten WLAN – unabhängig vom Hersteller des Routers – mit Blick auf das Urteil des BGH und diese neuen Erkenntnisse zu raten, sein Kennwort individuell festzulegen. Dabei ist eine zufällige Folge mit mind. 20 Zeichen empfehlenswert, wie sie sich z.B. bei http://www.freepasswordgenerator.com generieren lässt.
Das AG Wuppertal hat offenbar seine Ansicht bzgl. der Strafbarkeit des Schwarz-Surfens korrigiert und kommt nun in einem ablehnenden Eröffnungsbeschluss (Volltext s.u.) zum Ergebnis, dass eine Strafbarkeit nicht gegeben ist.
Dabei hatte das AG Wuppertal mit Teilen der Literatur mit einem Urteil aus dem Jahre 2007 (AG Wuppertal, Urteil vom 3. 4. 2007 – 22 Ds 70 Js 6906/06) noch die Auffassung vertreten, dass die Nutzung eines offenen WLAN durch Dritte nach §§ 89, 148 TKG, §§ 43 II Nr. 3, 44 BDSG strafbar sei. Dem war anschließend das AG Zeven gefolgt (s. dazu hier; Bericht über eine weitere “öffentliche Festnahme” hier).
Nun hat das AG Wuppertal auf die immer wieder geäußerte Kritik reagiert und seine Ansicht geändert:
Diese Ansicht überspannt jedoch den Schutz- und Strafbereich der hier in Betracht kommenden Strafvorschriften.
(im einzelnen s.u. sowie die Besprechung von Jens Ferner)
Damit läuft eine Rechtsfrage wieder auf ihre (richtige) Klärung zu. Vor allem könnte dies auch Auswirkungen auf das noch laufenden Ermittlungsverfahren gegen Google haben, wobei man allerdings nicht vergessen darf, dass in jenem Fall Daten tatsächlich gespeichert wurden, ohne dazu hier eine Bewertung vorzunehmen. Aber jedenfalls die beim Schwarz-Surfen üblicherweise automatisch zugewiesene IP-Adresse wird vom AG Wuppertal nicht mehr als “abgefangene Nachricht” nach § 89 TKG eingestuft.
Links:
Update: Das Aktenzeichen lautet “26 Ds-10 Js 1977/08-282/08″, nicht wie ursprünglich angegeben “20 Ds-10 Js 1977/08-282/08″. Danke an RA Gramespacher (www.miur.de) für den Hinweis.
—
AG Wuppertal, Beschl. v. 3.8.2010 – 26 Ds-10 Js 1977/08-282/08
Amtsgericht Wuppertal
Beschluss
In der Strafsache
gegen [...]
wegen Ausspähen von Daten
(Tenor:)
Der Antrag auf Eröffnung des Hauptverfahrens wird aus rechtlichen Gründen abgelehnt.
Die Kosten des Verfahrens und die notwendigen Auslagen des Angeschuldigten hat die Staatskasse zu tragen.
Gründe
Nach den Ergebnissen des vorbereitenden Verfahrens erscheint der Angeschuldigte einer Straftat nicht hinreichend verdächtig. Hinreichender Tatverdacht im Sinne des §203 StPO ist zu bejahen, wenn bei vorläufiger Tatbewertung auf Grundlage des Ermittlungsergebnisses die Verurteilung in einer Hauptverhandlung wahrscheinlich ist.
Dies ist vorliegend nicht der Fall. Eine Strafbarkeit des Angeschuldigten ist nicht ersichtlich. Vorgeworfen wird ihm, sich am 26.08.2008 und am 27.o8.2oo8 mit seinem Laptop mittels einer drahtlosen Netzwerkverbindung in das offene Funknetzwerk des Zeugen I. eingewählt zu haben, um ohne Erlaubnis und ohne Zahlung eines Entgeltes die Internetnutzung zu erlangen.
Dieses Verhalten ist jedoch nicht strafbar.
Es erfüllt weder den Tatbestand des unbefugten Abhörens von Nachrichten nach §89 I 1 TKG noch des unbefugten Abrufens oder Verschaffens personenbezogener Daten nach §§44, 43 II Nr.3 BDSG.
Zwar wurde in der Entscheidung des Amtsgerichts Wuppertal vom 03.04.2010 (NStZ 2008, 161) ein solches Verhalten als strafbar gesehen. Danach sei der WLAN-Router eine elektrische Sende- und Empfangseinrichtung und damit eine Funkanlage im Sinne des §89 TKG. Die aufgrund der Internetnetzung abgehörte “Nachricht” sei in der Zuweisung einer IP-Adresse durch den Router zu sehen. Das Verhalten sei unbefugt, weil die IP-Adresse nicht für den Angeklagten bestimmt gewesen sei.
Zudem sei eine Strafbarkeit nach §44 i.V.m. §43 II Nr.3 BDSG gegeben, da durch Zugriff auf den Router personenbezogene Daten abgerufen würden. Da der Angeklagte des Nichtvorhandensein einer Flatrate des “Opfers” zumindestens billigend in Kauf nehme, handele er auch in Bereicherungs- bzw. Schädigungsabsicht.
Diese Ansicht überspannt jedoch den Schutz- und Strafbereich der hier in Betracht kommenden Strafvorschriften.
Eine Strafbarkeit nach §89 S.1 TKG ist nicht gegeben. Als “Nachricht” kommt hier allenfalls die automatische Zuweisung einer IP-Adresse an den Computer in Betracht (so AG Wuppertal, NStZ 2008, 161). Hierbei ist aber bereits äußerst fraglich, ob die Zuweisung einer IP-Adresse eine “Nachricht” im Sinne dieser Vorschrift darstellt (vgl. Popp, jurisPR-ITR 16/2008 Anm.4). Dass der Angeschuldigte andere Nachrichten des Zeugen I. unbefugt empfangen haben könnte, lässt sich nach dem Ermittlungsergebnis gerade nicht feststellen (BL. 79 d.A.). Jedenfalls ist durch das vorgeworfene Nutzen des Internetzugangs kein “abhören” im Sinne des §89 TKG gegeben. Dies ergibt sich bereits aus dem Wortlaut der Vorschrift. Unter Abhören ist das unmittelbare Zuhören oder das Hörbarmachen für andere, aber auch das Zuschalten einer Aufnahmevorrichtung zu verstehen. Dies erfordert jedenfalls einen zwischen anderen Personen stattfindenden Kommunikationsvorgang, den der Täter als Dritter mithört (vgl. Bär MMR 2005, 434, 440). Es müsste ein bewusster und gezielter Empfang fremder Nachrichten und das bewusste und gezielte Wahrnehmen fremder Nachrichten durch den Täter gegeben sein, um von einem Abhören von Nachrichten sprechen zu können. Dies ist bei dem Nutzer eines fremden WLAN nicht der Fall.
Für einen solchen bewussten und gezielten Empfang von Nachrichten durch den Angeschuldigten gibt es keine Anhaltspunkte. Dem Angeschuldigten kam es ausweislich der Anklage und des Ermittlungsergebnisses nur darauf an, durch Einwählen in das Netzwerk des Zeugen dessen Internetzugang mitbenutzen zu können. Das dabei notwendige Empfangen der IP-Adresse stellt kein Abhören fremder Nachrichten dar, denn hierdurch wird die Vertraulichkeit fremder Kommunikation nicht angegriffen (vgl. Popp, jurisPR-ITR 16/2008 Anm.4). Die IP-Adresse ist im Übrigen auch für den Angeschuldigten bestimmt gewesen, da er der einzige Teilnehmer der Internetverbindung gewesen ist. Damit ist er nicht Mithörer eines fremden Datenaustauschs (vgl. Bär MMR 2005, 434, 440).
Auch ist der Tatbestand des §44 I i.V.m. §43 II Nr.3 BDSG nicht erfüllt. Der Angeschuldigte hat ausweislich der Anklage und des Ermittlungsergebnisses keine personenbezogenen Daten abgerufen oder sich verschafft. In Betracht kommen auch hier allenfalls die IP-Daten. Die IP-Daten sind jedoch keine personenbezogenen Daten im Sinne des §3 I BDSG (vgl. auch Popp, jurisPR-ITR 16/2008 Anm.4). Personenbezogene Daten sind hiernach alle Informationen über persönliche und sachliche Verhältnisse, die einer natürlichen Person zuzuordnen und nicht allgemein zugänglich sind. Die IP-Adresse wird frei an den jeweiligen, das Netzwerk nutzenden Computer vergeben. Die Daten waren im Zeitpunkt des Empfangs durch den Angeschuldigten für diesen – als Nutzer des Computers der sich in das netzwerk einwählt – bestimmt und somit der Schutzbereich der Datendelikte nicht berührt (vgl. Popp, JurisPR-ITR 16/2008 Anm.4). Wer sich in ein WLAN einwählt, kann grds. nicht erkennen, wer der Betreiber des WLANs ist (MMR 2008, 632, 635). Dass dies bei dem Angeschuldigten anders sein sollte, ist nicht ersichtlich und wäre nach dem derzeitigen Ermittlungsstand nicht nachweisbar (vgl. Aktenvermerk Bl. 79 d.A.).
Eine Strafbarkeit nach §202b StGB ist nicht gegeben, da die empfangenen IP-Daten für den Angeschuldigten als Nutzer des Netzwerks bestimmt sind (vgl. hierzu MMR 2008, 632, 634).
