BGH schützt WLAN-Nutzer im Streit um generierte Passwörter
Von Dr. Tina Gausling
Private WLAN-Nutzer, die ihr voreingestelltes individuelles WPA2-Passwort nicht ändern, verletzen nicht ihre Sorgfaltspflicht, wenn Dritte ihren Anschluss für illegale Aktivitäten missbrauchen. Das hat der Bundesgerichtshof (BGH) im Streit über illegales Filesharing entschieden (Az. I ZR 220/15).
Hintergrund
Die Klägerin ist Inhaberin von Verwertungsrechten an einem urheberrechtlich geschützten Spielfilm. Unstreitig wurde dieser im Jahr 2012 über den Internetanschluss der Beklagten mehrfach durch einen unbekannten Dritten im Wege des Filesharing öffentlich zugänglich gemacht. Die Beklagte hatte den werkseitig eingestellten WLAN-Zugangsschlüssel, mit dem der Router gesichert und der auf dessen Rückseite abgedruckt war, nach Inbetriebnahme nicht geändert – und sollte dafür als Störerin haften. Laut Bedienungsanleitung war eine Änderung des Zugangsschlüssels nicht erforderlich. Erst im Nachhinein stellte sich heraus, dass der WLAN-Zugangsschlüssel von Dritten leicht errechnet werden konnte.
Keine Verletzung von Prüfpflichten
Die Klage der Verleihfirma war bereits vor dem Amts- und Landgericht Hamburg gescheitert. Der BGH bestätigte nun die Entscheidungen der vorangegangenen Instanzen, lehnte eine Haftung der Beklagten als Störerin ab und wies die Revision der Klägerin zurück. Die Beklagte habe keine Prüfungspflichten verletzt, indem sie das voreingestellte und individualisierte, jedoch leicht errechenbare WLAN-Passwort nach Inbetriebnahme nicht geändert habe. WLAN-Betreiber seien lediglich beim Kauf verpflichtet zu überprüfen, ob der Router über „marktübliche Sicherungen, also einen aktuellen Verschlüsselungsstandard sowie ein individuelles, ausreichend langes und sicheres Passwort“ verfüge. Das Passwort müsse individuell sein und dürfe vom Hersteller nicht für mehrere Geräte verwendet werden.
Die Klägerin konnte nicht beweisen, dass der Schlüssel für mehrere Geräte vergeben wurde. Durch Angabe des Routertyps, des Passworts und des Vortrags, dabei habe es sich um ein einmalig vergebenes Passwort gehandelt, habe die Beklagte ihrer sekundären Darlegungslast genügt, so die Karlsruher Richter. Zudem sei der vom Hersteller für den WLAN-Zugangsschlüssel verwendete WPA2-Standard hinreichend sicher. Der BGH stellte weiter klar, dass darüber hinaus Anhaltspunkte dafür fehlten, dass der 16-stellige Zifferncode zum Zeitpunkt des Kaufs nicht den marktüblichen Standards entsprochen habe oder dieser durch Dritte habe entschlüsselt werden können. Mangels Verletzung von Prüfungspflichten hafte die Beklagte daher nicht als Störerin für die Urheberrechtsverletzungen eines Dritten.
Vorliegen eines individualisierten Passworts
Die voreingestellten WPA2-Kennwörter vieler Router wurden bislang durch einen einfachen Algorithmus aus Seriennummer und MAC-Adresse des Routers sowie dem Namen des WLAN-Funknetzes (SSID) erstellt. Sie konnten daher zum Teil innerhalb weniger Sekunden durch kostenlos im Internet erhältliche Software mit Hilfe der sogenannten „Brute-Force-Methode“ errechnet werden. Dabei werden – in der Regel mittels Einsatzes eines Hochleistungsrechners – alle möglichen Zeichenkombinationen nacheinander abgefragt. Je leistungsstärker der Rechner ist, desto höher ist die Anzahl an Kombinationen, die pro Sekunde getestet werden können. Dieses Problem wurde bei dem Router der Beklagten erst im Jahr 2014 bekannt, bei den Herstellern anderer Router bereits zu einem früheren Zeitpunkt.
Die BGH-Richter sollten daher klären, ob es sich bei einem errechenbaren WLAN-Zugangsschlüssel um ein individualisiertes Passwort ab Werk handelt, das die Störerhaftung ausschließt, oder ob der Verbraucher für die Nachlässigkeit des Herstellers haftet.
Generierte Passwörter boten Herstellern den Vorteil, dass Produktion und Wartung vereinfacht wurden, während vermeintlich ausreichender Schutz gewährleistet war. Allerdings hätte erkannt werden müssen, dass diese Schwachstelle durch Dritte entdeckt und ausgenutzt werden kann – dies umso mehr, als sich die Rechenleistung von Geräten kontinuierlich erhöht und hierdurch im gleichen Verhältnis die Anzahl möglicher Brute-Force-Anfragen steigt.
Auf der anderen Seite steht der Verbraucher, der bisweilen keine Vorstellung davon hat, was ein individualisiertes Passwort ausmacht. Während bei Kennwörtern wie „Passwort“ oder „1234“ eine Individualisierung erkennbar ausscheidet, ist dies bei einem vermeintlich zufälligen 16-stelligen Schlüssel unter Verwendung von Zahlen, Groß- und Kleinschreibung nicht ohne weiteres erkennbar. Verstärkt wird dieser Eindruck beim Verbraucher, wenn das Benutzerhandbuch explizit erwähnt, dass eine Änderung des Passworts nicht erforderlich ist. Die Problematik unsicherer Passwörter wurde zwar nachträglich bekannt, jedoch fehlt es vielen Verbrauchern weiterhin an grundlegenden Informationen und technischem Verständnis.
Schutz von Verbraucherinteressen
Im Ergebnis ist es daher richtig, den Verbraucher nicht über die Störerhaftung einzubeziehen. Während die Hersteller die Unsicherheit der Passwörter in Kauf nahmen, konnte der durchschnittliche Verbraucher diesen Umstand ohne vertiefte Kenntnis nicht nachvollziehen. Hätte der BGH die Störerhaftung bejaht, so würde letztlich der Verbraucher für die Nachlässigkeit des Herstellers haften.
Der Verbraucher kann sich der Störerhaftung entziehen, wenn er ein ausreichend sicheres und individuelles Passwort verwendet. Eine Klärung der wesentlichen Frage, auf welcher Grundlage der Nutzer überhaupt erkennen soll, dass der Hersteller den Zugangsschlüssel für eine Mehrzahl von Geräten – also nicht individuell – verwendet, lässt der BGH allerdings unbeantwortet. Es ist jedoch laut BGH ausreichend, wenn das Passwort zum Zeitpunkt der Anschaffung für den Verbraucher vermeintlich sicher ist.
Insofern sollten Verbraucher darauf achten, dass ihr WLAN mit dem WPA2-Standard verschlüsselt ist und ein ausreichend langes Passwort verwendet wird. Dies dürfte bei nahezu jedem neu angeschafften Router der Fall sein. Obwohl in diesem Fall keine Pflicht mehr besteht, das voreingestellte Passwort zu ersetzen, ist es dennoch ratsam, das Kennwort zu ändern. Nicht immer gelingt nämlich der Beweis, dass der Rechtsverstoß von einem Dritten begangen wurde oder es sich um ein individuelles Passwort handelt. Auch wenn die Änderung des Passworts daher keine Pflicht ist, kann sie dennoch Ärger und Kosten ersparen.
Praxishinweis
Praktische Relevanz kommt dieser Rechtsprechung vor allem für ältere Fälle zu. Nachdem die Problematik unsicherer Passwörter im Jahr 2014 bekannt wurde, änderten die betroffenen Hersteller ihre Praxis und nutzen seitdem tatsächlich individualisierte Passwörter. Jedoch ist es sehr wahrscheinlich, dass sich noch genug unzureichend gesicherte Router bei Verbrauchern befinden. Insofern ist dieses Urteil auch für zukünftige Fälle noch interessant. Aufgrund der dauerhaften Steigerung der Rechenleistung ist zudem davon auszugehen, dass auch der WPA2-Standard mit 16 Ziffern nicht auf Dauer als sicher gelten wird. Ob das Urteil dann auch auf diese zukünftigen Fälle anzuwenden ist, bleibt abzuwarten.
tina.gausling@osborneclarke.com
