· 

BGH: (K)eine Störerhaftung bei WLAN-Verschlüsselung und Filesharing

Der Bundesgerichtshof (BGH) wird unter dem Aktenzeichen I ZR 220/15 am 24. November 2016 ab 11.30 Uhr über die Frage verhandeln, welche Anforderungen an die WLAN-Verschlüsselung zu stellen sind, damit der Anschlussinhaber, dessen WLAN für eine Urheberechtsverletzung missbraucht wurde, nicht wegen der sog. Störerhaftung in Anspruch genommen werden kann.

Ausgangslage


Von dem Internetanschluss der Beklagten des Ausgangsverfahrens (nachfolgend nur: Beklagte) bot – unstreitig zwischen den Parteien – ein unbekannter Dritter den Film „The Expendables 2 – Back for War“ an. Die Beklagte selbst ist also nicht Täterin dieser Urheberrechtsverletzung mittels Filesharings und wird zwischenzeitlich als sog. Störerin von der Klägerin des Ausgangsverfahrens (nachfolgend nur: Klägerin)  in Anspruch genommen.

Die Klägerin ist Inhaberin von Verwertungsrechten an dem Film "The Expendables 2 - Back for War". Sie nimmt die Beklagte – soweit für das Revisionsverfahren von Bedeutung – nur noch auf Ersatz der Abmahnkosten in Anspruch. Der Beklagten wird von der Klägerin im Ergebnis vorgeworfen, ihren Prüf- und Sicherungspflichten als Anschlussinhaberin nicht mit der konkreten WLAN-Verschlüsselung nachgekommen zu sein.

 

Als Störer kann nach der Rechtsprechung des 1. Zivilsenats des BGH bei der Verletzung absoluter Rechte auf Unterlassung in Anspruch genommen werden, wer - ohne Täter oder Teilnehmer zu sein - in irgendeiner Weise willentlich und adäquat kausal zur Verletzung des geschützten Rechts beiträgt. Da die Störerhaftung nicht über Gebühr auf Dritte erstreckt werden darf, die nicht selbst die rechtswidrige Beeinträchtigung vorgenommen haben, setzt die Haftung des Störers die Verletzung von Prüfpflichten voraus. Deren Umfang bestimmt sich danach, ob und inwieweit dem als Störer in Anspruch Genommenen nach den Umständen eine Prüfung zuzumuten ist.

 

Der konkrete Sachverhalt


Die Beklagte nutzte für ihren Haushalt ein WLAN in einem Mehrfamilienhaus. Sie verwendete hierzu einen Router der Marke „Alice Modem WLAN 1421“. Der Router war circa sechs bis neun Monate vor der Urheberrechtsverletzung eingerichtet worden und mit einer WPA2-Verschlüsselung gesichert. Der werkseitige WPA2-Schlüssel bestand aus 16 Ziffern, die auf der Rückseite des Routers abgedruckt waren. 


Ferner sind die nachfolgenden Angaben aus dem Urteil des Amtsgerichts (AG) Hamburg vom 09.01.2015 zu dem Aktenzeichen 36a C 40/14 erheblich:


„Das Passwort änderte die Beklagte nicht. Der werkseitig vergebene WPA2-Schlüssel des Routers war, wie sich später herausstellte und sowohl von o2 bzw. der Telefónica Germany GmbH & Co. OHG am 19.03.2014 (Anlage B4) als auch auf der Internetseite www.heise.de am 18.03.2014 (Anlage B5) veröffentlicht wurde, nach einem unsicheren Verfahren generiert worden. Er ließ sich daher von Unberechtigten mit überschaubarem Zeitaufwand „knacken“.“


Nach den Ermittlungen der Klägerin über den Dienstleister Guardaley Ltd. wurde im November und Dezember 2012 vom Internetanschluss der Beklagten in einem Filesharing Netzwerk anderen Nutzern der Film „The Expendables 2 – Back for War“ zum Herunterladen angeboten.
Im Juni 2013 ließ die Klägerin die Beklagte wegen des behaupteten Urheberrechtsverstoßes über ihre Rechtsanwälte abmahnen und zur Abgabe einer Unterlassungsverpflichtungserklärung sowie zur Zahlung von Schadensersatz bzw. eines Vergleichsbetrags auffordern. Die Beklagte gab jedoch lediglich eine modifizierte Unterlassungserklärung ab und leistete keine Zahlung.


Die Klägerin verklagte die Beklagte ursprünglich als Täterin der Urheberrechtsverletzung auf Zahlung von Schadensersatz und Abmahnkosten. Bereits in der ersten Instanz änderte sie ihr Begehren nur noch auf Zahlung von Abmahnkosten und nahm die Beklagte entsprechend nur noch als Störerin in Anspruch.

So entschieden die Vorinstanzen


Sowohl das AG Hamburg (Urteil vom 09.01.2015 - 36a C 40/14) als erste Instanz wie auch das Landgericht (LG) Hamburg als Berufungsinstanz (Urteil vom 29.09.2015 - 310 S 3/15) wiesen die auf Zahlung gerichtete Klage der Klägerin ab.

Das AG Hamburg erklärte:


„Ein werkseitig vergebenes, individuelles und daher nur dem Inhaber des WLAN-Routers bekanntes Kennwort ist mindestens ebenso sicher wie ein selbst gewähltes, in vielen Fällen sogar sicherer (Mantz, a.a.O.).

Hier ist zwar nicht gerichtsbekannt, dass der Router „Alice Modem WLAN 1421“ werkseitig mit einem individuellen Authentifizierungsschlüssel ausgeliefert wird, und diese Frage ist zwischen den Parteien streitig. Die Beklagte hat jedoch substantiiert vorgetragen, dass es sich um einen individuellen Authentifizierungsschlüssel handele, und dazu sogar überobligatorisch Beweis angeboten. Zudem ist unstreitig, dass nach der Bedienungsanleitung eine Abänderung des Schlüssels nicht nötig war. Daher wäre es nunmehr an der für eine zur Störerhaftung führende Pflichtverletzung der Beklagten darlegungs- und beweisbelasteten Klägerin gewesen, Beweis dafür anzutreten, dass dieser Vortrag der Beklagten nicht zutrifft.“


Die Berufungskammer des LG Hamburg entschied:


„Zwischen den Parteien des vorliegenden Rechtsstreits ist nicht im Streit, dass zum Zeitpunkt der hier gegenständlichen Verletzungshandlungen im November und Dezember 2012 der von der Beklagten verwendete Verschlüsselungsstandard WPA2 in technischer Hinsicht generell geeignet war, eine ausreichende Sicherung eines WLAN-Routergeräts gegen unberechtigte Zugriffe zu garantieren.


2. Eine Störerhaftung der Beklagten lässt sich auch nicht mit der Begründung feststellen, sie habe einen nicht-individualisierten WLAN-Schlüssel verwendet, der werkseitig vom Hersteller auch für andere Geräte desselben Router-Typs vergeben worden sei. Die rechtliche Beurteilung eines solchen Falles kann offen bleiben, weil sich schon die entsprechenden Tatsachen vorliegend nicht feststellen lassen.


Darlegungs- und beweisbelastet für diejenige Pflichtverletzung, aus der sich eine Störerhaftung des Anschlussinhabers ergeben soll, ist der die Störerhaftung geltend machende Rechteinhaber. Will er geltend machen, der Router des Anschlussinhabers sei lediglich mit einem nicht-individualisierten Passwort gesichert gewesen, bei welchem die Gefahr bestanden habe, dass dieses Passwort auch anderen Personen von anderen Geräten her bekannt gewesen sein könne, und bestreitet der Anschlussinhaber diese Behauptung, so trägt der Rechteinhaber für seine Behauptung als einer anspruchsbegründenden Tatsache die Beweislast. Diese Beweislast greift jedenfalls dann ein, wenn der Beklagte im Rahmen seiner sekundären Darlegungslast zu seinem Router nach Hersteller, Gerätetyp und verwendetem Schlüssel substanziiert vorgetragen hat.


Im vorliegenden Fall hat die Beklagte ihrer sekundären Darlegungslast genügt, denn sie hat ihren Routertyp und das Passwort benannt und ein Foto von der Rückseite des Routers mit dem dort wiedergegebenen Passwort vorgelegt; damit war substanziiert vorgetragen, welche konkreten Sicherungsmaßnahmen getroffen worden waren. Die Klägerin hat weder in erster noch in zweiter Instanz Beweis dafür angeboten, dass es sich bei dem Passwort der Beklagten um ein nicht allein für dieses Gerät, sondern auch für andere Geräte vergebenes Passwort gehandelt haben soll.“


Und die Kammer ergänzt die Argumentation des AG Hamburg unter anderem noch um einen weiteren bemerkenswerten Punkt:


„b) Ob eine Änderung des werkseitig-individuellen Passworts notwendig sein kann, weil der vergebene Schlüssel auf der Rückseite des Gerätes aufgedruckt ist und daher für einen unberechtigten Dritten sichtbar ist, wenn er Zutritt zum Routergerät hat, kann hier offen bleiben, weil sich ein entsprechender Kausalzusammenhang vorliegend nicht feststellen lässt (so dass ebenfalls offen bleiben kann, inwieweit dieser Gefahr durch andere Maßnahmen, z. B. Zugangsbeschränkungen, ausreichend vorgebeugt werden kann).
Der Kausalzusammenhang wäre vorliegend nur gegeben gewesen, wenn der unberechtigte Dritte die Kenntnis des WPA2-Schlüssels der Beklagten gerade dadurch erlangt hätte, dass er die Möglichkeit gehabt hätte, von der Aufschrift auf dem Gerät der Beklagten Kenntnis zu nehmen.


Davon ist aber im vorliegenden Verfahren keine der Parteien ausgegangen; vielmehr sehen beide Parteien die Ursache für den unberechtigten Drittzugriff in einer Entschlüsselung des Codes von außen wegen der in Anlagen B 4 und B 5 beschriebenen Sicherheitslücke des werkseitig vergebenen individuellen Passworts. Zu diesem Geschehensverlauf besteht jedoch kein Schutzzweckzusammenhang bzgl. einer Pflicht zur Verhinderung eines Ausspähens des Aufdrucks auf der Rückseite des Gerätes.“


Im Ergebnis lasse sich nach den Vorinstanzen also nicht feststellen, dass der Router der Beklagten nicht mit einem vom Hersteller individuell für dieses Gerät vergebenen Schlüssel gesichert gewesen sei. Eine solche Verschlüsselung genüge, um ihren Pflichten als Anschlussinhaberin nachzukommen und nicht als Störerin zu haften. Denn ohne konkrete Anhaltspunkte für eine Sicherheitslücke sei der Anschlussinhaber nicht zur vorsorglichen Änderung des werkseitig vergebenen Schlüssels verpflichtet.


Das Revisionsverfahren vor dem BGH


Die Zulassung der Revision begründete das LG Hamburg wie folgt:


„Wie gezeigt, können Zweifel darüber entstehen, wie weit die in der BGH-Entscheidung „Sommer unseres Lebens“ angenommene Sicherungspflicht des Anschlussinhabers bzgl. der Änderung voreingestellter Router-Passwörter reicht. Der BGH hatte in jener Entscheidung - soweit ersichtlich -über die Änderung eines werkseitig für eine Vielzahl von Geräten vergebenen Standardkennworts zu entscheiden. Es stellt sich die - vorliegend von der Kammer bejahte - Frage, ob werkseitig individuell nur für das jeweilige Gerät vergebene Passwörter anders zu beurteilen sind. Diese Frage ist bisher, soweit ersichtlich, höchstrichterlich nicht geklärt; eine Pflicht zur Änderung verneint haben auch das Amtsgericht Hamburg in der hiesigen Vorinstanz sowie das AG Frankfurt am Main (Urteil 14.06.2013, MMR 2013, MMR Jahr 2013 Seite 605). Die Frage hat erhebliche praktische Bedeutung schon aufgrund der Vielzahl der von der Fragestellung betroffenen privaten Internetanschlüsse.“


Vor diesem Hintergrund wird die Position des I. Zivilsenats des BGH am 24. November 2016 mit Spannung erwartet. Auch bleibt abzuwarten, ob der Senat die Gelegenheit ergreift, und endlich für jeden unmissverständlich die Darlegungs- und Beweislastverteilungen im Rahmen des Zivilprozesses bei Filesharing noch einmal erklärt. Denn wie auch der vorliegende Fall zeigt, hat die Klägerin verkannt, dass – nachdem die Beklagte ihrer sekundären Darlegungslast nachkam und sich substantiiert erklärte – die Klägerin die volle Darlegungs- und Beweislast für anspruchsbegründende Tatsachen trägt. Die Beklagte musste ihren substantiierten Vortrag im Rahmen ihrer sekundären Darlegungslast hier nicht beweisen. Nach unserer Auffassung fehlte es jedenfalls auch an einem substantiierten Bestreiten der Klägerin.

Rechtsanwalt Jean Paul P. Bohne