Bundesgerichtshof: Keine Störerhaftung für passwortgesichertes WLAN

WLAN-Router CC BY-NC 2.0, via flickr/Chris Campbell

Private WLAN-Betreiber fallen nicht unter die Störerhaftung, wenn sie voreingestellte Router-Passwörter nicht ändern. Das hat der BGH gestern entschieden. Seit einer Leitsatzentscheidung aus dem Jahr 2010 haften Anschlussbesitzer, wenn sie ihren Internet-Zugang nicht vor illegalen Handlungen Dritter absichern. Bisher war unklar, ob die Passwörter, mit denen die Router ausgeliefert werden, durch eigene ersetzt werden müssen, um den Prüfungspflichten nachzukommen.

Eine Filmfirma klagte eine Frau an, von deren Internetanschluss Filesharing betrieben wurde. Durch eine Sicherheitslücke des Routers hatte sich ein Dritter Zugang zum WLAN verschafft. Der BGH entschied, die Angeklagte habe mit der Verwendung des Hersteller-Passworts ihre Prüfungspflichten nicht verletzt. Er knüpft sein Urteil jedoch an zwei Bedingungen: Die Router müssen vom Hersteller individuelle Passwörter erhalten und diese müssen marktüblichen Standards entsprechen. Im vorliegenden Fall war eine WPA2-Verschlüsselung mit 16-stelligem Passwort ausreichend.

Auch, wenn die Frage nach Hersteller-Passwörtern nun beantwortet ist, attestiert Thomas Stadler dem Urteil eine begrenzte Bedeutung für das Filesharing:

der BGH geht zunächst einmal von der Vermutung aus, dass der Anschlussinhaber die Rechtsverletzung begangen hat. Zur Störerhaftung […] gelangt man überhaupt erst dann, wenn man ausreichend darlegen kann, dass eine Rechtsverletzung durch einen Dritten ernsthaft und konkret in Betracht kommt. Wenn es sich hierbei um einen unbekannten Dritten handeln soll, der den Router gehackt hat, dann müssen die konkreten Umstände dargelegt werden, unter denen sich der Dritte den unberechtigten Zugang verschafft hat. Das ist im Zweifel kaum möglich.

Weitere Hintergrund-Informationen haben auch Spiegel Online und Zeit Online.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

12 Ergänzungen

    1. einige dinge sind so überflüssig, die kann man gar nicht oft genug abschaffen. die sklaverei wurde in mauretanien seid dem ich lesen kann bestimmt schon ein dutzend mal abgeschafft.

    2. Die sog. „Störerhaftung“ ist in §1004 BGB geregelt und es wäre mir neu, dass dieser abgeschafft worden wäre. Was im TMG geändert wurde, betrifft die Gleichstellung von gewerblichen (!) WLAN-Anbietern mit Zugangsprovidern, d.h. es wurde dem §8 TMG ein neuer Absatz 3 zugefügt, der die Gleichstellung regelt (das ist ohnehin eine einzige Mogelpackung, denn jetzt müssen WLAN-Anbieter auch alle Pflichten von Zugangsprovidern – wie etwa VDS usw. – erfüllen). Dass dadurch die Störerhaftung auf WLAN-Angebote nicht mehr anwendbar sei, hat der Gesetzgeber zwar in der Begründung zur Änderung geschrieben, aber Begründungen für Gesetze sind keine Gesetze. Daher hagelt es weiter Abmahnungen. Willkommen in Absurdistan. Nachlesen kannst das Änderungsgesetz im Bundesanzeiger Nr. 36, Seite 1766. Meines Erachtens ist an der Verwirrung über diese Änderung zum größten Teil die Presse schuld, die unreflektiert von der „Abschaffung der Störerhaftung“ schwadronierte (siehe ersten Satz oben).

      Aber auch diese BGH-Entscheidung hat wieder eine Tücke: Die Haftungsfreistellung privater WLANs für den Betreiber bei Nutzung eines voreingestellten PW gilt ja nur unter der Bedingung, dass der Hersteller ein individuelles (!) Default-Passwort vergeben hat und dieses dem Stand der Technik entspricht. Fast alle Hersteller richten aber eben gerade kein individuelles Standard-PW ein. Ausserdem müssen für WPA2 (Stand der Technik) das Protokoll und die Verschlüsselung auf CCMP bzw. AES fest eingestellt sein, damit WPA2 überhaupt funktionieren kann. Nur: wenn man schon WPA2 festnagelt, dann kann man auch gleich das Standard-PW des Herstellers ändern. Im Grunde zeigt der BGH damit, dass er von technischen Dingen und deren Anwendung im praktischen Leben durch Leute ohne Technik-Affinität schlicht keine Ahnung hat.

  1. Ah… ist das nicht im Grunde genommen eine Beweislastumkehr? Ich muss beweisen, dass ich es nicht war, indem ich konkret nachweise, dass es jemand anderes gewesen sein kann, muss, sollte?

  2. Das Abmahnwesen in Deutschland, das dürfte wohl mittlerweile jedem Klar sein, ist ein hochprofitables Geschäft. Meldungen über immer neue Abmahngünde sind wohl keine Seltenheit. Auch die Fraktion der Urheberechtler und Fotografen dürfte Bloggern demnächst wieder das Leben schwer machen. Nachdem aktuell die CC-Linzenzen als Methode dazu benutzt werden Geld einzusammeln droht nun neues Ungemach.

    Wer sich jetzt fragt was den nun schon wieder kommen mag.. Es gibt ein Urteil welches aktuell veröffentlich wurde und IPTC-Daten in Fotos betrifft. Sind diese gelöscht besteht wohl die Gefahr Post zu bekommen.

    s. folgenden Artikel – http://bit.ly/2gJcdtN

    Die begründete Befürchtung besteht das einige Fotografen sich durch den Artikel ermutigt sehen könnten in Deutschland Abmahnungen gegen die Blogger-Szene durchzuführen.
    In dem Artikel steht ja das weitere Fotografen nun Klagen könnten. Ob sich daraus eine gigantische Abmahnwelle entwickeln könnte wird sich in der Zukunft zeigen.

    1. Wenn du Fotografen mit Berufsabmahnern gleichstellst, hast du etwas falsch verstanden. Die haben meistens nur etwas dagegen, wenn man ihre Arbeit kommerziell ausschlachtet; also Bilder umgefragt und vor allem ohne Namensnennung für redaktionelle Inhalte (Blogs, Onlinecommumities) nutzt odee gar als eigenes Werk ausgibt!

      Wie wir wissen gibt es auf Facebook (oder Tumbler, Twitter, …) viele Firmen und einzelne Menschen, die die Bildersuche oder Uploads anderer User als Selbstbedienungsladen zur eigenen Selbstdarstellung im kommerziellen Ausmaß benutzen. Andere laden dann dort die Bilder runter und geben diese falsche Quelle als Fotografen an. Der Fotograf wird nicht mehr gefragt. Der Copyrighthinweis in den Metadaten ist futsch, das macht es unnötig schwer.

      Stell dir vor, du willst dein Auto vermieten (Carsharing, oder wie die Hipster das nennen), aber der Anbieter fräst bei der Anmeldung zuerst die Fahrgestellnummer raus. Sehr hilfreich.

  3. Das ist so nicht richtig. nach diesem Urteil muss ein Anwender nur dann sein Passwort nicht ändern, wenn dieses bereits ab Werk mit einem individuellen Passwort versehen ist. Wenn alle Router dieses Modells das gleiche Passwort verwenden, muss der Anwender es nach wie vor ändern. Dieses urteil ist kein Freibrief!

    In dem vorliegenden Fall wurde der Router ab Werk mit einem individuellen Passwort versehen.

      1. Keine Ahnung, da müsstest Du die Richter fragen. Wenn man das Urteil und seine Begründung wörtlich nimmt, ja. Gesunder Menschenverstand spricht da eher dagegen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.