Der Fall

Mit Urteil vom 24. November 2016 (AZ I ZR 220/15; „WLAN-Schlüssel“) hat der BGH nun einen Fall entschieden, in dem es um die Frage ging, ob Nutzer, die ein WLAN-Netzwerk betreiben und dieses über das im Router voreingestellte Passwort sichern, als sog. „Störer“ in Anspruch genommen werden können.

Der BGH hat dies – wie bereits die Vorinstanzen – verneint (siehe Pressemitteilung).

Im jetzt entschiedenen Fall war unstreitig, dass ein Actionfilm über den Anschluss der Beklagten mehrfach öffentlich zugänglich gemacht wurde und zwar durch einen unbekannten Dritten. Der Rechteinhaber nahm die Beklagte daher wegen des öffentlichen Zugänglichmachens dieses Filmwerks im Wege des „Filesharing“ auf Ersatz von Abmahnkosten in Anspruch. Der Anschluss der Beklagten war über den als hinreichend sicher anerkannten Standard „WPA2“ und ein 16-stelliges Passwort gesichert. Dieses Passwort war im Router der Beklagten bereits voreingestellt und wurde von ihr nach der Inbetriebnahme – anders als die Routerkennung (SSID) – nicht geändert.

Bereits im Urteil „Sommer unseres Lebens“ (Urteil vom 12. 5. 2010 – I ZR 121/08) hatte der BGH festgestellt, dass eine grundsätzliche Pflicht für WLAN-Betreiber besteht, ausreichend lange und sichere Passwörter zu vergeben sowie eine Verschlüsselung nach aktuellem Standard einzusetzen wofür ggf. auch die Standardeinstellungen des Routers zu ändern sind. Fraglich war daher nur noch, ob diese Prüfpflichten auch die Änderung eines ursprünglich sicheren, voreingestellten Passworts beinhalten.

Der BGH hat dies im aktuellen Urteil verneint und hierzu festgestellt, dass die Beibehaltung eines vom Hersteller voreingestellten WLAN-Passworts nur dann eine Verletzung von Prüfpflichten darstellen könne, wenn es sich nicht um ein für jedes Gerät individuell, sondern für eine Mehrzahl von Geräten verwendetes Passwort handele oder bereits bei der Inbetriebnahme Anhaltspunkte dafür bestanden, dass Dritte das voreingestellte Passwort entschlüsseln können.

Letztlich konnte der BGH keine Verletzung von Prüfpflichten feststellen, sodass ein Anspruch auf Störerhaftung verneint wurde.

Einordnung

Mit dem Urteil schränkt der BGH die bestehenden Prüfpflichten für WLAN-Betreiber in großem Umfang ein. Spannend wird hier die Veröffentlichung der Entscheidungsgründe sein und ob darin Ausführungen zu der Frage gemacht werden, ob zumindest dann eine Pflicht zum Passwortwechsel besteht, wenn ein Anschlussinhaber Kenntnis darüber erlangt oder erlangen musste, dass ein voreingestelltes Passwort nicht (mehr) sicher ist.

Hinsichtlich des von der Beklagten genutzten Routers sind solche Informationen nach der streitgegenständlichen Veröffentlichung des Filmwerks tatsächlich aufgetaucht (vgl. vorinstanzliches Urteil des LG Hamburg vom 29. September 2015, Az. 310 S 3/15).

So war zu lesen, dass der voreingestellte WPA2-Key für den Router der Beklagten nach einem unsicheren Verfahren generiert wurde und sich daher mit überschaubarem Zeitaufwand knacken ließ (siehe hier). Der Anbieter des Routers hatte auf die bestehenden Sicherheitslücken ebenfalls hingewiesen.