Schlagwort-Archive: Sommer unseres Lebens

VAF-Gutachten: „Das Unternehmen als Internet Access Provider“

Der VAF Bundesverband Telekommunikation e.V. hat bereits im Sommer 2013 eine Zusammenfassung eines Gutachtens „Das Unternehmen als Internet Access Provider – Rechtliche Aspekte des Angebots von Internetzuga?ngen in Hotels, Cafe?s, Krankenha?usern, Universita?ten, Flugha?fen und a?hnlichen Einrichtungen“ (Zusammenfassung, PDF, 300kb) veröffentlicht (Pressemitteilung dazu hier). Es handelt sich um ein Gutachten, das von Fachanwalt für IT-Recht Wolfgang Müller verfasst wurde.

Auf der Seite des VAF steht eine 8-seitige Zusammenfassung des Gutachtens zum Download zur Verfügung. Das Gutachten selbst in der Gesamtfassung liegt mir leider nicht vor. Dennoch möchte ich kurz darstellen, was sich aus der online verfügbaren Zusammenfassung ergibt.

Inhaltlich geht es generell um die Frage der Bereitstellung von Internet-Zugang. Deutlich wird aber, dass es im Wesentlichen um den Betrieb von WLANs geht. Die Zusammenfassung hat folgendes Inhaltsverzeichnis:

Einleitung
?Begriffe
Keine Haftung für fremde Informationen
Sicherheit ja, Überwachung nein
Enge Grenzen für Speicherung und Weitergabe von Daten
Abschlusskommentar
Praxishinweise
Anhang

Zu den Aussagen des Gutachtens:

Wichtig (und richtig) ist bereits die Feststellung, wer Access Provider ist:

Unternehmen wie Hotels, Krankenhäuser usw. können ihren Gästen, Patienten usw. Internetzugänge anbieten. Sie sind dann Internet Access Provider.

Anschließend nimmt das Gutachten bereits in der Einleitung das wesentliche Ergebnis der Untersuchung vorweg:

Vor dem Hintergrund der gegebenen Gesetzeslage, der einschlägigen und höchstrichterlichen Rechtsprechung sowie Kommentierung in der juristischen Fachliteratur erbringt das Gutachten als wesentliches Ergebnis die Klarstellung, dass das bloße Angebot des Zugangs zum Internet keine Haftung des gewerblichen Zugangsanbieters für eventuelle Rechtsverletzungen durch Nutzer verursacht.

Unter Punkt 4 wird dieser Punkt allerdings wieder etwas eingeschränkt. Die Zusammenfassung empfiehlt nämlich die Verschlüsselung des WLANs. Diese Empfehlung geht vermutlich auf das Urteil des BGH – Sommer unseres Lebens (dazu hier, hier, hier und hier) und ggf. auf das Urteil des LG Frankfurt (LG Frankfurt, Urt. v. 18.8.2010 – 2-6 S 19/09: Ersatz für Rechtsanwaltskosten zur Verteidigung gegen Filesharing-Abmahnung – PDF) zurück, die beide die Verschlüsselung angesprochen hatten. Ähnlich hatte sich das LG Frankfurt auch im Jahr 2013 nochmal geäußert (LG Frankfurt am Main, Urt. v. 28.06.2013 – 2-06 O 304/12 – Ferienwohnung; dazu auch Mantz, GRUR-RR 2013, 497). Aus der Zusammenfassung ist aber nicht ersichtlich, ob das Gutachten die Frage behandelt, ob dies auch bei öffentlich zugänglichen WLANs gilt. Bei solchen öffentlichen WLANs gilt es nämlich zu berücksichtigen, dass sie ganz bewusst offen gelassen werden, und dies auch Teil eines Geschäftsmodells ist. Wer verschlüsselt, verbaut nämlich potentiellen Kunden den Zugang – und sich das Geschäft. Im Ergebnis kann eine Verschlüsselung des WLANs daher grundsätzlich nicht verlangt werden (eingehend dazu Sassenberg/Mantz, WLAN und Recht, Rn. 228 mit weiteren Nachweisen und Argumenten).

Richtig ist dann allerdings die Schlussfolgerung im Gutachten (hier zitiert ohne den vorangestellten, einschränkenden Zusatz):

der Versuch, einen Access Provider über den Weg der »Störerhaftung« in Anspruch zu nehmen, [wird] regelmäßig an folgender Tatsache scheitern: Das einzig effektive Mittel, um entsprechende Störungen zu unterlassen bzw. von vornherein zu verhindern, würde darauf hinauslaufen, dass der Provider den Geschäftsbetrieb einstellen müsste.

Zur Frage der Sicherheit des Betriebes führt die Zusammenfassung aus:

Dazu zählen etwa Authentifizierung, Verschlüsselung und technische Isolierung der Nutzer.

Dabei wird nicht ganz klar, ob es sich hierbei um eine Frage im Rahmen der Störerhaftung, oder im Rahmen der Sicherheit des Netzwerks nach § 109 TKG handelt. Eine der regulatorischen Pflichten des Betreibers eines WLANs ergibt sich nämlich aus § 109 TKG. Abhängig von Größe und Struktur des Netzwerks sind dabei möglicherweise verschiedene Maßnahmen erforderlich (ausführlich mit Checklisten und Übersichten Sassenberg/Mantz, WLAN und Recht, Rn. 156 ff.).

Zur Frage der Beauskunftung von Daten verweist die Zusammenfassung unter Punkt 5 darauf, dass die datenschutzrechtlichen Bestimmungen von TKG, TMG und BDSG penibel einzuhalten sind. Wenn dadurch keine Daten vorhanden sind, können diese auch bei Auskunftsverlangen nicht herausgegeben werden. Daten, die für Abrechnungszwecke nicht erforderlich seien, müssten zudem unverzüglich gelöscht werden. Für technische Zwecke könnten z.B. dynamische IP-Adressen maximal 7 Tage aufbewahrt werden. Dies ist jedenfalls die Auffassung des BGH (BGH, Urt. v. 13. 01. 2011 – III ZR 146/10, NJW 2011, 1509 (1510); ebenso OLG Frankfurt, Urt. v. 28. 08. 2013 – 13 U 105/07, ZD 2013, 614). Diese Darstellung ist grundsätzlich richtig. Im Aufbau und Betrieb eines WLANs stellen sich aber auch an ganz anderen Stellen datenschutzrechtliche Fragen (z.B. im Zusammenhang mit einer Splash-Page, mit Registrierungen, Kundenschutz, Zahlungsverkehr etc., auch Standortdaten können durchaus anfallen). Ob das Gutachten in der Gesamtfassung darauf eingeht, ist nicht bekannt. Die Zusammenfassung lässt dies nicht vermuten. Eingehend werden die Datenschutzfragen beim Betrieb eines WLANs übrigens (Achtung, Werbung!) dargestellt bei Sassenberg/Mantz, WLAN und Recht, Rn. 112 ff.

Insgesamt reißt die Zusammenfassung einige der Fragestellungen beim WLAN an. Die Spezialitäten beim Betrieb von WLANs in Krankenhäusern oder Flugzeugen werden leider (in der Zusammenfassung) nicht weiter dargestellt. Fragen zum Vertragsschluss, zum Aufbau durch die öffentliche Hand und durch Privatpersonen sind offenbar außen vor geblieben. Als Fazit bleibt für mich, dass sich aus der Zusammenfassung nicht genug ersehen lässt, dass aber vermutlich auch das Gesamtgutachten nicht auf alle relevanten Fragen eingeht. Ich persönlich würde jedenfalls gerne einmal das gesamte Gutachten lesen …

AG Frankfurt, Urt. v. 14.6.2013 – 30 C 3078/12 (75): Personalisierung des Kennworts eines WLAN-Routers

4 Antworten

Leitsatz (des Verfassers): Authentifizierungsschlüssel eines WLAN-Routers, die bereits ab Werk individuell pro Gerät vergeben werden, gewähren ein hinreichendes, hohes Schutzniveau. Eine Personalisierung ist in diesem Fall auch vor dem Hintergrund des Urteils BGH „Sommer unseres Lebens“ nicht erforderlich.

Tatbestand

Die Klägerin begehrt Schadensersatz aufgrund einer behaupteten Urheberrechtsverletzung durch den Beklagten sowie Kostenersatz wegen der durch die erfolgte Abmahnung entstandenen Rechtsanwaltsgebühren.

Die Klägerin gehört zu den führenden deutschen Tonträgerherstellern und ist als solche Inhaberin der ausschließlichen Verwertungsrechte des streitgegenständlichen Musikalbums _____ (Doppel-CD) der Musikgruppe ______ für das Gebiet der Bundesrepublik Deutschland.

Mit Anwaltsschreiben vom 08.12.2009 (Anlage K 3) mahnte die Klägerin den Beklagten ab, weil am 18.07.2009 um 12:45 Uhr (MEZ) über den Internetanschluss mit der IP-Adresse „79.229.15.172“ das Musikalbum _____ (Doppel-CD) der Musikgruppe _____ als Musikdatei zum Herunterladen verfügbar gemacht worden sei. Sie forderte ihn zur Abgabe einer strafbewehrten Unterlassungserklärung auf, wonach dieser sich verpflichten sollte, es bei Vermeidung einer für jeden Fall der Zuwiderhandlung fälligen Vertragsstrafe in Höhe von 5.001,- Euro zu unterlassen, geschütztes Musikrepertoire der Unterlassungsgläubiger ohne deren erforderliche Einwilligung im Internet verfügbar zu machen oder sonst wie zu verwerten. Eine entsprechende Erklärung gab der Beklagte ohne Anerkennung einer Rechtspflicht ab.

Die Klägerin behauptet, die von ihr in Auftrag gegebenen Ermittlungsmaßnahmen zur Feststellung von Verletzungen ihrer Leistungsschutzrechte durch unautorisierte Internet-Angebote hätten ergeben, dass am 18.07.2009 um 12:45 Uhr (MEZ) über den Internetanschluss mit der IP-Adresse „79.229.15.172“ das Musikalbum _____ (Doppel-CD) der Musikgruppe _____ zum Herunterladen verfügbar gemacht worden sei. Der Internet-Serviceprovider des Beklagten habe Auskunft dahingehend gegeben, dass die IP-Adresse zum oben genannten Zeitpunkt dem Internetzugang des Beklagten zugeordnet gewesen sei.

Die Klägerin behauptet, der Beklagte selbst habe die streitgegenständlichen Musikalbum für den Abruf durch andere Teilnehmer des Filesharing-Systems verfügbar gemacht.

Die Klägerin beantragt,

der Beklagte wird verurteilt, an die Klägerin einen angemessenen Wertersatz in Höhe von mindestens 2.500,- Euro und 1.379,80 Euro Kostenersatz neben jeweils Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.

Der Beklagte beantragt,

die Klage abzuweisen.

Der Beklagte behauptet, er habe die behauptete Rechtsverletzung nicht begangen. Er habe zu keinem Zeitpunkt die streitgegenständliche Datei und ein Filesharingprogramm auf seinem Rechner vorgehalten. Zu dem damaligen Zeitpunkt seien seine Ehefrau mit ihrem Rechner, sein 16-jähriger Sohn mit seinem Laptop sowie seine 20-jährige Tochter mit ihrem Laptop über das WLAN-Netzwerk an dem Internetanschluss des Beklagten angebunden gewesen. Der Beklagte habe keine Kenntnis davon gehabt, dass einer der übrigen Familienmitglieder den Anschluss für rechtswidrige Aktivitäten nutzt. Er habe im September 2006 im Familienkreis mit der Ehefrau die zwei Kinder belehrt, illegales und strafbares Herunterladen und zum Download bereit stellen von urheberrechtlich geschützten Werken zu unterlassen und insbesondere keine Tauschbörsen zu nutzen. Er habe seinen Kindern ausdrücklich die Nutzung der Dienste BitTorrent, Applejuice, Directconnect und eDonkey, aber auch die Nutzung vergleichbarer Dienste untersagt.

Der Beklagte behauptet ferner, der von ihm im streitgegenständlichen Zeitpunkt genutzte W-Lan-Router sei eine Fritz-Box W-Lan 750 gewesen. Der Internetanschluss sei WEP-verschlüsselt gewesen.

Das Gericht hat Beweis erhoben durch Vernehmung der Zeugin _____ sowie die informatorische Anhörung des Beklagten.

Hinsichtlich des Ergebnisses der Beweisaufnahme wird auf das Protokoll der Verhandlung vom 24.05.2013 Bezug genommen.

Zur Ergänzung des Tatbestandes wird Bezug genommen auf alle Schriftsätze der Parteien nebst Anlagen und sonstigen Aktenteile.

Entscheidungsgründe

I. Die Klage ist zulässig.

Die örtliche Zuständigkeit des Amtsgerichts Frankfurt am Main ergibt sich aus § 32 ZPO. Danach ist das Gericht zuständig, in dessen Bezirk die beanstandete Handlung begangen worden ist. Dies ist hier der Ort, an dem auch nur eines der spezifischen Tatbestandsmerkmale des Deliktes verwirklicht worden ist, also nicht nur der Begehungsort, sondern auch der Erfolgsort (vgl Zöller/Vollkommer, ZPO, 29. Auflage, § 32 Rn 16). Da eine ins Internet gestellte Tonaufnahme auch in Frankfurt aufgerufen werden konnte, ist das Amtsgericht Frankfurt örtlich zuständig.

II. Die Klage ist jedoch unbegründet.

Die Klägerin hat gegen den Beklagten keinen Anspruch auf Schadenersatz aus § 97 Abs. 2 UrhG, da eine Haftung des Beklagten als Täter oder Teilnehmer der behaupteten Urheberrechtsverletzung nicht in Betracht kommt.

Die Klägerin hat dafür, dass der Beklagte selbst die Urheberrechtsverletzung begangen hat, keinen Beweis angeboten. Die Klägerin kann sich insofern auch nicht auf Beweiserleichterungen stützen. Denn die tatsächliche Vermutung, dass der Inhaber eines Internetanschlusses für eine von diesem Anschluss aus begangene Rechtsverletzung verantwortlich ist (vgl. BGH, Urteil vom 12.05.2010, I ZR 121/08 – juris), ist hinreichend entkräftet.

Die Vermutung der Verantwortlichkeit des Anschlussinhabers beruht nämlich (mangels einer dem § 831 Abs. 1 S. 2 BGB oder § 18 Abs. 1 S. 2 StVG entsprechenden Regelung) nicht auf einer gesetzlichen Wertung, sondern wie der Beweis des ersten Anscheins auf der Annahme eines der Lebenserfahrung entsprechenden Geschehensablaufs, wonach in erster Linie der Anschlussinhaber seinen Internetzugang nutzt, jedenfalls über die Art und Weise der Nutzung bestimmt und diese mit Tatherrschaft bewusst kontrolliert. Diese Annahme wird erschüttert und die Vermutungsgrundlage beseitigt, wenn Umstände feststehen, aus denen sich die ernsthafte Möglichkeit eines anderen Geschehensablaufs – nämlich der Alleintäterschaft eines anderen Nutzers des Internetanschlusses – ergibt. Dafür wird es regelmäßig genügen, wenn Hausgenossen des Anschlussinhabers – wie sein Ehegatte – selbständig auf den Internetanschluss zugreifen können. (vgl. OLG Köln, Beschluss vom 24.03.2011, I-6 W 42/11, 6 W 42/11 – juris; OLG Köln, Urteil v. 16.05.2012, I-6 U 239/11, 6 U 239/11).

Dies ist vorliegend der Fall, da der Beklagte der ihm nach der Rechtsprechung des Bundesgerichtshofs obliegenden sekundären Darlegungslast (BGH, Urteil vom 12.05.2010, I ZR 121/08) nachgekommen ist.

Er hat substantiiert dargetan und in seiner informatorischen Anhörung angegeben, dass neben ihm, die im Haushalt wohnende Ehefrau, seine damals 20-jährige Tochter und sein damals 16-jähriger Sohn über eigene Rechner verfügten, die jeweils Zugriff zu dem W-Lan-Anschluss hatten. Seine Angaben sind glaubhaft und lebensnah. Er berichtete in Übereinstimmung mit der Zeugin widerspruchsfrei und objektiv von den damaligen Verhältnissen. Das Gericht hat keinen Zweifel, dass in einem Vier-Personenhaushalt im Jahr 2009 alle Familienmitglieder – insbesondere Kinder im Alter von 16 und 20 Jahren – über eigene Computer verfügen und das Internet nutzen.

Es ist daher ernsthaft möglich, dass die rechtsverletzende Handlung von einem der drei weiteren Familienmitglieder begangen worden ist, das ebenfalls den W-Lan-Anschluss des Beklagten nutzte.

Dafür, dass der Beklagte als Anstifter oder Gehilfe an der Tat seiner Familienmitglieder beteiligt gewesen sein könnte und aus diesem Grunde auf Schadensersatz haften würde, sind keine Anhaltspunkte ersichtlich.

Die Klägerin hat gegen den Beklagten auch keinen Anspruch auf Erstattung von Rechtsanwaltsgebühren aus § 97a Abs. 1 S. 2 UrhG,

Der Beklagte haftet als Inhaber des Internetanschlusses auch nicht als Störer wegen einer von einem Dritten begangenen Urheberrechtsverletzung auf Unterlassung. Auch die von der Klägerin geltend gemachten Ansprüche auf Erstattung von Abmahnkosten sind daher nicht begründet, da die Abmahnung unter keinem Gesichtspunkt berechtigt war.

Als Störer kann bei der Verletzung absoluter Rechte auf Unterlassung in Anspruch genommen werden, wer – ohne Täter oder Teilnehmer zu sein – in irgendeiner Weise willentlich und adäquat kausal zur Verletzung des geschützten Rechts beiträgt. Da die Störerhaftung nicht über Gebühr auf Dritte erstreckt werden darf, die nicht selbst die rechtswidrige Beeinträchtigung vorgenommen haben, setzt die Haftung des Störers die Verletzung von Prüfpflichten voraus. Deren Umfang bestimmt sich danach, ob und inwieweit dem als Störer in Anspruch Genommenen nach den Umständen eine Prüfung zuzumuten ist (vgl. BGH, Urteil vom 12.05.2010, I ZR 121/08 – juris)

Die Anforderungen an die Aufsichtspflicht, insbesondere die Pflicht zur Belehrung und Beaufsichtigung von Kindern, richten sich nach der Vorhersehbarkeit des schädigenden Verhaltens. Dabei hängt es hauptsächlich von den Eigenheiten des Kindes und seinem Befolgen von Erziehungsmaßnahmen ab, in welchem Umfang allgemeine Belehrungen und Verbote ausreichen oder deren Beachtung auch überwacht werden muss (vgl BGH, NJW 2009, 1952 Rn. 17; NJW 2009, 1954 Rn. 14, jeweils mwN).

Danach genügen Eltern ihrer Aufsichtspflicht über ein normal entwickeltes Kind, das ihre grundlegenden Gebote und Verbote befolgt, regelmäßig bereits dadurch, dass sie das Kind über die Rechtswidrigkeit einer Teilnahme an Internettauschbörsen belehren und ihm eine Teilnahme daran verbieten. Eine Verpflichtung der Eltern, die Nutzung des Internets durch das Kind zu überwachen, den Computer des Kindes zu überprüfen oder dem Kind den Zugang zum Internet (teilweise) zu versperren, besteht grundsätzlich nicht. Zu derartigen Maßnahmen sind Eltern erst verpflichtet, wenn sie konkrete Anhaltspunkte dafür haben, dass das Kind dem Verbot zuwiderhandelt. (BGH, Urteil v. 15.11.2012, I ZR 74/12 – juris)

Der Beklagte hat seiner Aufsichtspflicht dadurch genügt, dass er seinen Kindern die rechtswidrige Teilnahme an Internettauschbörsen nach einer entsprechenden Belehrung verboten hat. Der Beklagte hat in seiner informatorischen Befragung nachvollziehbar, lebensnah und glaubhaft vorgetragen, er habe seinerzeit über so genannte illegale Tauschbörsen gehört und mit seinen Kindern im September 2006 darüber gesprochen und ihnen die Teilnahme an solchen verboten. Er sei hierfür sensibilisiert gewesen, da er auch selbständig sei, er von den finanziellen Nöten von Musikern wisse und das es sich bei der entsprechenden Musik um geistiges Eigentum handle, was man nicht ohne Zahlung illegal herunterladen dürfe. Für die Glaubhaftigkeit seiner Angaben spricht auch, dass der Beklagte in seiner informatorischen Anhörung nicht nur für ihn Günstiges mitteilte, sondern u.a. auch angab, dass er den Authentifizierungsschlüssel auf seiner Fritz-Box nicht personalisiert habe.

Damit ist der Beklagte den an die Vorgabe von Verhaltensregeln zu stellenden Anforderungen gegenüber seinen Kindern nachgekommen.

Eine Verletzung zumutbarer Prüfpflichten gegenüber der Ehefrau des Beklagten, der Zeugin ______, ist ebenfalls nicht festzustellen. Denn es sind keine konkreten Anhaltspunkte zu erkennen, dass der Beklagte wusste oder hätte wissen müssen, dass seine Ehefrau Urheberrechtsverletzungen über seinen Internetanschluss begeht, die er durch zumutbare Maßnahmen hätte verhindern können. Denn ein Ehemann kann seiner Ehefrau, solange er keine konkreten Anhaltspunkte für Rechtsverletzungen hat, den auf seinen Namen laufenden Internetanschluss überlassen, ohne diese ständig überwachen zu müssen. Sofern der Anschlussinhaber nicht mit einer Rechtsverletzung durch seinen Ehepartner rechnen muss, sind Hinweis-, Aufklärungs- und Überprüfungspflichten diesem gegenüber unzumutbar. (OLG Frankfurt, Beschluss v. 22.03.2013, Az. 11 W 8/13)

Der Beklagte hat auch die ihm als Betreiber eines WLAN-Anschlusses obliegende Prüfungspflicht hinsichtlich ausreichender Sicherungsmaßnahmen nicht verletzt.

Im Rahmen seiner informatorischen Anhörung teilte der Beklagte mit, seine W-Lan-Verbindung sei über WEP und einen 13-stelligen werksseitigen Authentifizierungsschlüssel gesichert gewesen. Dieser habe sich auf der Rückseite seiner Fritz-Box befunden. Zwar hat der Beklagte dieses Passwort nicht in ein persönliches Passwort geändert. Allerdings handelt es sich – gerichtsbekannt – bei den auf einer Fritz-Box seit 2004 verwendeten Authentifizierungsschlüsseln um solche, die bereits ab Werk individuell pro Gerät vergeben werden. Vor diesem Hintergrund ist der seitens des Bundesgerichtshofs in seiner Entscheidung vom 12.05.2010, I ZR 121/08 erstrebte Zweck eines hohen Schutzniveaus, welches den Zugriff unbefugter Dritter ausschließt, auch ohne ein persönliches Passwort – das regelmäßig nicht länger als 13-stellig sein wird – erreicht. Der Bundesgerichtshof kann in der oben zitierten Entscheidung lediglich die Fälle im Blick gehabt haben, in denen die Router einer Modellreihe werksseitig über den gleichen Authentifizierungsschlüssel verfügen, so dass ein effektiver Schutz für diese Fälle nur über eine sofortige Personalisierung des Passwortes gewährleistet war. (vgl. Mantz, Anm. zu BGH Urt. v. 12.05.2010 in MMR 2010, 569)

US-Gericht: IP-Adresse identifiziert nicht Person – (k)ein Beitrag für die Diskussion um den Personenbezug einer IP-Adresse und das Verhältnis zur Störerhaftung

3 Antworten

Nach einer Meldung des Blogs Torrentfreak (inklusive Volltext) ist in den letzten Tagen mehrfach über eine Entscheidung des United States District Court of the Eastern District of New York berichtet worden (s. nur hier und hier). Teilweise wurde auch schon der Zusammenhang mit der deutschen Diskussion des Personenbezugs von IP-Adressen diskutiert (s. Blog Datenschutzbeauftragter-info).

In diesem Beitrag soll (1) die Bedeutung des Urteils für die deutsche Diskussion um den Personenbezug von IP-Adressen und (2) der Zusammenhang mit Verfahren wegen der Verbreitung von urheberrechtlich geschützten Werken durch Filesharing in Deutschland beleuchtet werden.

Auszüge der Entscheidung des Gerichts

Zunächst einige Auszüge aus der Bewertung der Tatsachen durch das Gericht:

The putative defendants are identified only by Internet Protocol („IP“) addresses. …

This Order addresses (1) applications by plaintiffs in three of these actions for immediatediscovery, consisting of Rule 45 subpoenas directed at non-party Internet Service Providers(„ISPs“)to obtain identifying information about subscribers to the named IP addresses …

BitTorrent also uses a „tracker“ computer that tracks thepieces of the files as those pieces are shared among various computers. This tracking feature [allows] the plaintiffs to identify the IP addresses from which the films were downloaded, the subscribers towhich have become the defendants in these actions. …

The complaints assert that the defendants – identified only by IP address – were theindividuals who downloaded the subject „work“ and participated in the BitTorrent swarm.However, the assumption that the person who pays for Internet access at a given location is thesame individual who allegedly downloaded a single sexually explicit film is tenuous, and one thathas grown more so over time. An IP address provides only the location at which one of anynumber of computer devices may be deployed, much like a telephone number can be used for anynumber of telephones. …

Thus, it is no more likely that the subscriber to an IP address carried out a particular computerfunction – here the purported illegal downloading of a single pornographic film – than to say anindividual who pays the telephone bill made a specific telephone call.

Indeed, due to the increasingly popularity of wireless routers, it much less likely. While adecade ago, home wireless networks were nearly non-existent, 61% of US homes now havewireless access. Several of the ISPs at issue in this case provide a complimentary wireless routeras part of Internet service. As a result, a single IP address usually supports multiple computer devices – which unlike traditional telephones can be operated simultaneously by differentindividuals.See U.S. v. Latham, 2007 WL 4563459, at *4 (D.Nev. Dec. 18, 2007). Different family members, or even visitors, could have performed the alleged downloads. Unless the wireless router has been appropriately secured (and in some cases, even if it has been secured), neighbors or passersby could access the Internet using the IP address assigned to a particular subscriber and download the plaintiff’s film. …

Some of these IP addresses could belong to businesses or entities which provide accessto its employees, customers and sometimes (such as is common in libraries or coffee shops) members of the public.

In sum, although the complaints state that IP addresses are assigned to „devices“ and thus by discovering the individual associated with that IP address will reveal „defendants“ trueidentity,”this is unlikely to be the case. Most, if not all, of the IP addresses will actually reflect a wireless router or other networking device, meaning that while the ISPs will provide the name of its subscriber, the alleged infringer could be the subscriber, a member of his or her family, an employee, invitee, neighbor or interloper.

(Hervorhebungen durch Verfasser)

1. Die Frage des Personenbezugs von IP-Adressen

a. Personenbezug und Bestimmbarkeit

In der deutschen Literatur ist bereits seit längerer Zeit umstritten, ob IP-Adressen ein personenbezogenes Datum i.S.d. § 3 BDSG darstellen. Dabei muss man sich den Gesetzestext vor Augen führen. § 3 Abs. 1 BDSG lautet:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person

(Hervorhebung durch Verfasser)

Für den Personenbezug reicht es demnach aus, dass eine Person „bestimmbar“ ist. Über gerade dieses Merkmal herrscht Streit. Teilweise wird der sogenannte „relative Personenbezug“ vertreten (so z.B. AG München, Urteil vom 30.09.2008 – 133 C 5677/08). Danach soll ein Datum nur dann personenbezogen sein, wenn derjenige, der das Datum speichert, den Personenbezug selbst herstellen kann, z.B. weil in seiner Datenbank auch den Namen des Betroffenen gespeichert ist. Kein Personenbezug soll vorliegen, wenn nur ein Dritter diesen Identitätsbezug herstellen kann (daher „relativ“).

Auf der anderen Seite vertreten vor allem die Datenschutzaufsichtsbehörden den sogenannten „absoluten“ Personenbezug (ebenso LG Berlin, K&R 2007, 601; LG Hamburg CR 2005, 136, 140; AG Berlin Mitte K&R 2007, 600; Hoeren, Skript Internetrecht (Stand September 2008), 439; Kitz, GRUR 2003, 1014, 1018; Nordemann/Dustmann, CR 2004, 380, 386; Tinnefeld in: Roßnagel, Handbuch Datenschutzrecht, Kap. 4.1 Rn. 21; Spindler/Dorschel, CR 2005, 38, 44; Wüstenberg, TKMR 2003, 105, 107). Danach soll ein Datum, das sich auf eine bestimmbare Person bezieht, in jedem Fall ein personenbezogenes Datum sein, also auch dann, wenn nur ein Dritter diesen Identitätsbezug herstellen kann.

Dies hat in Bezug auf IP-Adressen erhebliche Auswirkungen. Denn wie im Fall des US-Gerichts kennt der Rechtsinhaber nur die IP-Adresse und den Zeitpunkt der Nutzung. Der Access Provider hingegen kann auf Anfrage aus IP-Adresse und Zeitpunkt der Nutzung in seiner Nutzungsdatenbank (sofern er eine solche ausreichend lange vorhält), klar bestimmen, wer zu diesem Zeitpunkt diese IP-Adresse genutzt hat.

Nach der Theorie des absoluten Personenbezugs ist die IP-Adresse bereits beim Rechtsinhaber ein personenbezogenes Datum nach § 3 Abs. 1 BDSG, nach der Theorie des relativen Personenbezugs hingegen nicht.

Ich will hier auf den Streit und das jeweilige Für und Wider nicht näher eingehen. Allerdings ist das Merkmal „bestimmbar“ nach allgemeiner Auffassung so definiert, dass ein Personenbezug gegeben ist, wenn ohne unzumutbaren Aufwand die Identität der Person herausgefunden werden kann.

Nach meiner Meinung ist vor diesem Hintergrund der Streit wenigstens bei Filesharing-Fällen nicht so beachtlich. Denn die zehntausendfachen Anfragen nach § 101 UrhG belegen, dass es für Rechtsinhaber relativ unproblematisch ist, die erforderliche Auskunft zu erhalten. Wenn also der Rechtsinhaber eine IP-Adresse erhebt, ist ziemlich sicher, dass er die Identität des Anschlussinhabers ermitteln kann. Demnach kann – durch Rückgriff auf die Daten des Access Providers mittels § 101 UrhG – mit nicht unzumutbarem Aufwand aus der IP-Adresse auf die Identität des Anschlussinhabers geschlossen werden, auch wenn dafür auf Daten eines Dritten zugegriffen werden muss.

Die IP-Adresse ist also ein personenbezogenes Datum nach § 3 Abs. 1 BDSG.

b. Die Entscheidung des US-Gerichts

Nun hat das US-Gericht in seiner Entscheidung, wie sich auch aus den Auszügen oben ergibt, scheinbar relativ eindeutig geurteilt, dass eine IP-Adresse eine Person nicht identifiziert. Es stellt sich die Frage, ob dies auf die obige Diskussion des Personenbezugs von IP-Adressen irgendeine Auswirkung hat. Das Blog Datenschutzbeauftragter-info hat dies überschrieben mit: „Klarheit durch neues Urteil?“

Eine solche Klarheit bringt die Entscheidung des US-Gerichts nach meiner Auffassung aber nicht.

Denn das Gericht hat sich mit der Frage beschäftigt, ob sich aus der IP-Adresse eindeutig auf den Täter einer hinter einer IP-Adresse tätigen Rechtsverletzung schließen lässt und hat diese Frage verneint.

Dies hat aber keinerlei Einfluss darauf, dass sich aus der IP-Adresse auf den Anschlussinhaber schließen lässt. Das Gericht hat diesen Umstand auch erkannt und erläutert, dass es zwischen dem „Subscriber“ eines Internet-Anschlusses und dem Täter („alleged infringer“) unterscheidet:

… while the ISPs will provide the name of its subscriber, the alleged infringer could be the subscriber, a member of his or her family, an employee, invitee, neighbor or interloper.

(Hervorhebungen durch Verfasser)

2. Zusammenhang mit Verfahren wegen der Verbreitung von urheberrechtlich geschützten Werken durch Filesharing

Dennoch ist der Entscheidung des US-Gerichts – auch mit Blick auf die rechtliche Situation in Deutschland – zuzustimmen. Denn auch in Deutschland ist die vom US-Gericht aufgeworfene und beantwortete Frage relevant, z.B. in Verfahren wegen der Verletung urheberrechtlich geschützter Werke.

Bei Verfahren wegen der Verletzung von Urheberrechten über das Internet muss zwischen zwei Anspruchskomplexen unterschieden werden: (a) Anspruch auf Schadensersatz nach § 97 Abs. 2 UrhG und (b) Anspruch auf Unterlassung nach §§ 97 Abs. 1 UrhG, 1004 BGB nach den Grundsätzen der sogenannten Störerhaftung.

a. Schadensersatz

In § 97 Abs. 1, 2 UrhG heißt es:

(1) Wer das Urheberrecht oder ein anderes nach diesem Gesetz geschütztes Recht widerrechtlich verletzt …

(2) Wer die Handlung vorsätzlich oder fahrlässig vornimmt, ist dem Verletzten zum Ersatz des daraus entstehenden Schadens verpflichtet.

Schadensersatzhaftung ist eine klassische Täterverantwortlichkeit. Der Rechtsinhaber muss belegen können, dass der angebliche Verletzer sein Urheberrecht verletzt hat – und zwar vorsätzlich oder fahrlässig und zusätzlich schuldhaft. Dafür muss er den Täter konkret benennen und darlegen, dass dieser Täter die Urheberrechtsverletzung begangen hat.

Hier setzt die Entscheidung des US-Gerichts an: Mittels der IP-Adresse kann nicht der Täter einer Urheberrechtsverletzung (mit ausreichender Sicherheit) identifiziert werden.

… while the ISPs will provide the name of its subscriber, the alleged infringer could be the subscriber, a member of his or her family, an employee, invitee, neighbor or interloper.

(Hervorhebungen durch Verfasser)

Ebenso argumentiert grundsätzlich auch der BGH (BGH MMR 2010, 565 – Sommer unseres Lebens m. Anm. Mantz):

Der IP-Adresse kommt keine mit einem eBay-Konto vergleichbare Identifikationsfunktion zu. Anders als letzteres ist sie keinem konkreten Nutzer zugeordnet, sondern nur einem Anschlussinhaber, der grds. dazu berechtigt ist, beliebigen Dritten Zugriff auf seinen Internetanschluss zu gestatten. Die IP-Adresse gibt deshalb bestimmungsgemäß keine zuverlässige Auskunft über die Person, die zu einem konkreten Zeitpunkt einen bestimmten Internetanschluss nutzt. Damit fehlt die Grundlage dafür, den Inhaber eines WLAN-Anschlusses im Wege einer unwiderleglichen Vermutung so zu behandeln, als habe er selbst gehandelt (vgl. BGH, a.a.O. – Halzband). Es ginge deshalb zu weit, die nicht ausreichende Sicherung eines WLAN-Anschlusses mit der unsorgfältigen Verwahrung der Zugangsdaten für ein eBay-Konto gleichzusetzen. Dies würde die WLAN-Nutzung im Privatbereich auch mit unangemessenen Haftungsrisiken belasten, weil der Anschlussinhaber bei Annahme einer täterschaftlichen Verantwortung unbegrenzt auf Schadensersatz haften würde, wenn außenstehende Dritte seinen Anschluss in für ihn nicht vorhersehbarer Weise für Rechtsverletzungen im Internet nutzen.

(Hervorhebungen durch Verfasser)

Allerdings wendet der BGH (und der Folge die deutschen Instanzgerichte) auch im Rahmen der Schadensersatzhaftung die sogenannte sekundäre Darlegungslast an. Es spreche eine Vermutung dafür, dass der Anschlussinhaber auch die Rechtsverletzung begangen hat. Diese Vermutung muss der Anspruchsgegner durch geeigneten Vortrag (z.B. Urlaub) entkräften. Insofern dürften das US-Gericht und die deutsche Rechtsprechung (häufig) zu sich widersprechenden Ergebnissen kommen. So hat z.B. das LG Magdeburg, Urteil vom 11.05.2011 – 7 O 1337/10, BeckRS 2011, 14490, unter Bezugnahme auf das vorgenannte BGH-Urteil erkannt:

Der Kläger hat einen Anspruch auf Schadensersatz gemäß §§ 97 Abs. 1,2, 19 a UrhG. … Weil das geschützte Filmwerk der Öffentlichkeit von einer IP-Adresse aus zugänglich gemacht wurde, die zum fraglichen Zeitpunkt dem Beklagten zugeteilt war, spricht eine tatsächliche Vermutung dafür, dass der Beklagte für die Rechtsverletzung verantwortlich ist. Den Beklagten, der geltend macht, eine andere Person habe die Rechtsverletzung begangen, traf daher eine sekundäre Darlegungslast (vgl. BGH, Urteil vom 12.05.2010, Aktenzeichen I ZR 121/08 – Sommer unseres Lebens – zitiert nach juris). Dieser sekundären Darlegungslast ist der Beklagte nicht nachgekommen. Er hat nicht ausgeschlossen, dass sein erwachsener Sohn … der mit dem PC des Beklagten vertraut war, weil er den Router installiert hatte, oder andere Besucher der Familie am Silvestertag 2009 in der Wohnung des Beklagten waren.

Eine solche sekundäre Darlegungslast kennt das US-Recht (nach meinem Wissen) nicht, wobei zu beachten ist, dass in den USA nur ausnahmsweise der Beklagte Beweis erbringen muss – was durch die Möglichkeit einer Discovery zu Gunsten des Klägers ausgeglichen wird. Dennoch könnte im Ergebnis die Entscheidung des US-Gerichts als weiteres Argument gegen die Annahme einer Schadensersatzhaftung angeführt werden. Ob dem Erfolg zuteil wird, muss sich zeigen.

b. Störerhaftung

Auf der anderen Seite wendet die Rechtsprechung die sogenannte „Störerhaftung“ auch auf Urheberrechtsverletzungen an. Danach soll eine Haftung auf Unterlassen (nicht auf Schadensersatz) des Anschlussinhabers bestehen, wenn er ihm obliegende Prüf- und Überwachungspflichten verletzt hat und er dadurch jedenfalls an einer Rechtsverletzung (wenn auch möglicherweise unbewusst) mitgewirkt hat.

Auch hier zeigt sich erneut der Zusammenhang: Aus der IP-Adresse lässt sich zwar ggf. nicht auf den Täter schließen – aber jedenfalls auf den Anschlussinhaber. Gäbe es in den USA ein Institut ähnlich der Störerhaftung, hätte das US-Gericht dementsprechend vermutlich geurteilt:

Eine IP-Adresse identifiziert zwar nicht den Täter einer Urheberrechtsverletzung, aber auf jeden Fall den Anschlussinhaber.

OLG Düsseldorf, Beschl. v. 14.11.2011 – I-20 W 132/11: Bei Filesharing-Abmahnung müssen Titel konkret bezeichnet werden; Bestreiten des Zusammenhangs zwischen IP-Adresse und Anschluss mit Nichtwissen statthaft

Einen bemerkenswerten Beschluss hat am 14.11.2011 das OLG Düsseldorf gefällt (OLG Düsseldorf, Beschl. v. 14.11.2011 – I-20 W 132/11, Volltext hier).

In dem Beschluss ging es um den Antrag auf Prozesskostenhilfe eines wegen Filesharings Abgemahnten, der auf Ersatz von Abmahnkosten in Anspruch genommen worden war. Das OLG Düsseldorf hat die Prozesskostenhilfe zugestanden.

1. Sekundäre Darlegungslast und IP-Adresse

Spannend ist zunächst, dass die Beklagte die Zuordnung von IP-Adresse und Anschluss mit Nichtwissen bestreiten durfte. In falscher Auslegung des BGH-Urteils „Sommer unseres Lebens“ gehen einige Gerichte (fast) von einer Beweislastumkehr aus (s. nur zuletzt AG München, Urteil vom 23. November 2011 – 142 C 2564/11):

Die Beklagte ist nicht gehindert, die Aktivlegitimation der Klägerinnen, das Anbieten der streitgegenständlichen Musikdateien über die IP-Adresse … und die Zuordnung dieser IP-Adresse zu ihrem Anschluss mit Nichtwissen zu bestreiten. Die Beklagte hat keinen Einblick in den Geschäftsbetrieb der Klägerinnen, des „Onlineermittlers“ und des Internetproviders. Die weitere Substantiierung des Klägervortrags ist für die Zulässigkeit des Bestreitens mit Nichtwissen irrelevant.

2. Substantiierungslast des Abmahnenden

Der bei Filesharing Abmahnende muss nach zutreffender Ansicht des OLG Düsseldorf ganz konkret diejenigen Werke bezeichnen, für die er Rechte zu haben behauptet. Wenn er an

Und wieder: Vorkonfigurierte WPA-Passwörter in WLAN-Routern teilweise unsicher

1 Antwort

Wie heise-security meldet, sind viele voreingestellte WPA-Passwörter in WLAN-Routern unsicher.

Das ist grundsätzlich nichts Neues (s. dazu schon hier). Allerdings haben zwei Studenten nun weitere Details herausgefunden.

So leiten einige Hersteller, z.B. die Telekom bei ihrem Router W-700V ) das Passwort von der MAC-Adresse ab, die bei Broadcast-Nachrichten des Routers veröffentlicht wird.

So beginnt etwa der voreingestellte WPA-Key des Modells Speedport W 700V der Telekom-Hausmarke Speedport immer mit „SP-„, gefolgt von neun hexadezimalen Ziffern. Fünf davon lassen sich aus dem ebenfalls voreingestellten WLAN-Namen (SSID) und der MAC-Adresse der WLAN-Schnittstelle ableiten. Von den restlichen vier Stellen sind zwei stets gleich, sodass ein Angreifer insgesamt nur drei Stellen des WPA-Keys selbst erraten muss. Da nur hexadezimale Ziffern erlaubt sind, reduziert sich der Schlüsselraum auf 16 hoch 3, also 4096 Schlüssel.

Nun haben zwei Studenten ein Reverse-Engineering der Speedport-Firmware herausgefunden, dass zusätzlich drei Stellen der Seriennummer bei der Generierung der Seriennummer verwendet werden. Außerdem ist eine Stelle der Seriennummer fast immer eine 3. Im Ergebnis reduziere dies die Anzahl der möglichen Schlüssel auf 100. Das führt selbstverständlich zu einer erheblichen Unsicherheit des Netzwerks gegenüber Attacken.

Im Test konnten sie sich an einem Speedport W700V schon nach weniger als 4 Minuten anmelden. Betroffen sind nach Untersuchungen von Müller und Viehböck auch Speedport-Modelle W 303V (Typ A), W 500, W 502V, W 503V (Typ C) , W 504V, W 720V, W 722V (Typ B) und W 723V (Typ B).

Obwohl das Problem bereits seit rund einem Jahr bekannt ist (s. dazu hier), scheinen viele Besitzer dieser Router noch immer auf das alte Kennwort zu setzen:

Müller und Viehböck haben bei Flächentests die Probe aufs Exempel gemacht. Bei der Überprüfung von knapp 14.000 Access Points in Stuttgart, München, Coburg und Berlin fanden die beiden heraus, dass zwischen 17 und 25 Prozent noch auf eine Speedport- oder Easybox-Standard-SSID eingestellt waren.

Der BGH hatte in seinem Urteil „Sommer unseres Lebens“ (BGH MMR 2010, 568 m. Anm. Mantz) vom Inhaber eines WLAN-Routers verlangt, dass er das Standard-Kennwort neu setzt. Dass der damalige Beklagte dies bei seinem WLAN-Router nicht gemacht hatte, sah der BGH als Verletzung seiner Prüfungs- und Überwachungspflichten an und verurteilte den Beklagten nach den Grundsätzen der Störerhaftung. Dies ist vielfach auf Kritik gestoßen. Denn der vom Beklagten verwendete WLAN-Router war ein Router der Marke AVM, der nach Aussagen des Herstellers mit einem vollständig zufälligen und damit vermutlich sicheren Standard-Passwort versehen war (s. dazu hier).

Mit Blick auf die größere Anzahl schlecht vorkonfigurierter WLAN-Router (auch wenn es sich bisher nur um diejenigen des Herstellers Arcadyan handelt), stellt sich das Urteil des BGH im Nachhinein als zumindest nachvollziehbar heraus. Streng genommen hätte der BGH (entsprechenden Vortrag und Beweisangebot der Parteien vorausgesetzt) allerdings klären müssen, ob der WLAN-Router des Beklagten tatsächlich unsicher war.

Es ist vor diesem Hintergrund allerdings allen Besitzern von WLAN-Routern zu raten, das Standardkennwort abzuändern. Dafür ist eine zufällige Folge mit mind. 20 Zeichen empfehlenswert, wie sie sich z.B. bei http://www.freepasswordgenerator.com generieren lässt.

S. auch:

Kurzanmerkung zu BGH, Urt. v. 12.5.2011 – I ZR 121/08 (MMR-Aktuell 2010, 303: Sommer unseres Lebens) online

Schreibe eine Antwort

In eigener Sache: Meine Kurzanmerkung zum WLAN-Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, zuvor erschienen in MMR-Aktuell 2010, 303 (MMR, Heft 6/2010, S. XII) ist nun auch online verfügbar.

Download hier

Anmerkung zu OLG Frankfurt, Urt. v. 21.12.2010 – 11 U 52/07 (WLAN)

1 Antwort

Das OLG Frankfurt hat nach Zurückverweisung durch den BGH (BGH, Urt. v. 12.5.2010 – I ZR 121/08, MMR 2010, 565 – Sommer unseres Lebens) nun zum zweiten Mal über den WLAN-Fall zu entscheiden gehabt.

Mit Urteil vom 21.12.2010 (Volltext hier) hat es der Klage weitgehend stattgegeben und den WLAN-Inhaber als Störer zur Unterlassung (wenn auch eingeschränkt, s.u.) und zum Ersatz der Abmahnkosten verurteilt.

Das Urteil des OLG Frankfurt offenbart leider eine gewisse Mutlosigkeit des erkennenden Senats. Das Urteil des BGH, das in der Literatur eines der am intensivsten diskutierten Urteile des Jahres 2010 gewesen sein dürfte (praktisch jede namhafte Zeitschrift mit Medienrechtsbezug hatte eine Besprechung, s. Übersicht dazu hier), wies mehrere Ansatzpunkte auf, die dem OLG Frankfurt auch bei Bindung an den Urteilsspruch des BGH durchaus ein differenziertes Urteil gestattet hätten.

Das OLG Frankfurt hat sich jedoch dahingehend gebunden gefühlt, dass feststehe, dass der Beklagte als Störer hafte:

Nach dem Revisionsverfahren des BGH vom 12.5.2010 ist für den Senat verbindlich davon auszugehen, dass der Beklagte als verantwortlicher Störer auf Unterlassung in Anspruch genommen werden kann.

Die entsprechende Regelung findet sich in § 563 Abs. 2 ZPO:

(2) Das Berufungsgericht hat die rechtliche Beurteilung, die der Aufhebung zugrunde gelegt ist, auch seiner Entscheidung zugrunde zu legen.

Davon ausgehend führte das OLG Frankfurt lediglich die Vorgabe des BGH aus, den Unterlassungsanspruch enger zu fassen und erlegte die Kosten grob zu 2/3 dem Beklagten und zu 1/3 der Klägerin auf (im Einzelnen s. Volltext): Dem Beklagten wird nunmehr untersagt, das streitbefangene Werk nicht mehr dadurch öffentlich zugänglich zu machen, dass er sein WLAN nicht durch ein ausreichend sicheres, selbst eingestelltes Passwort sichere.

An genau dieser Stelle hätte das OLG Frankfurt ansetzen können bzw. müssen. Denn der BGH war offenbar fälschlich davon ausgegangen, dass der Beklagte ein unsicheres Passwort verwendet hatte. Dies entsprach aber nicht der Tatsachenlage. Denn der vom Beklagen eingesetzte WLAN-Router wies ein zwar vom Hersteller voreingestelltes, aber dennoch sicheres Kennwort auf (s. hier).

Eine Bindung nach § 563 Abs. 2 ZPO liegt nur im Rahmen der rechtlichen Feststellungen vor. Zur rechtlichen Beurteilung gehören die Rechtsausführungen des Revisionsgerichts in ihrer Gesamtheit (Thomas/Putzo, § 563 ZPO Rn. 4). Bei Tatsachenfeststellungen gilt die Bindung nur soweit wie das Revisionsgericht ausnahmsweise die Tatsachenentscheidung selbst zu treffen hatte (BGH NJW 1995, 3115; Thomas/Putzo, § 563 ZPO Rn. 3). Die rechtliche Bindung gilt auch nicht, soweit zu beurteilende Tatbestand wegen neuen Vorbringens von dem abweicht, der dem Revisionsgericht vorgelegen hat (BGH NJW 1951, 524).

Danach zu urteilen hätte das OLG Frankfurt dem Vorbringen des Beklagten, dass sein WLAN-Router durch das individuelle Herstellerkennwort ausreichend gesichert war, durchaus folgen können und hätte nicht von vornherein von einer Bindung an den Ausspruch des BGH ausgehen müssen. Es ist allerdings unbekannt, ob der Beklagte entsprechend vorgetragen hat.

Außerdem war bis zum Schluss strittig, ob der WLAN-Router des Beklagten zum Zeitpunkt der „Tathandlung“ überhaupt angeschaltet war (s. hierzu im einzelnen hier) – auch dies eine durchaus relevante Frage, denn ohne Strom kann der WLAN-Router des Beklagten auch nicht genutzt worden sein. RAin Neubauer weist in diesem Zusammenhang auf eine Entscheidung des BVerfG hin (BVerfG NJW 1994, 2279)

„Grundsätzlich geht das Bundesverfassungsgericht davon aus, daß die Gerichte von ihnen entgegengenommenes Parteivorbringen zur Kenntnis genommen und in Erwägung gezogen haben. Sie sind dabei nicht verpflichtet, sich mit jedem Vorbringen in den Entscheidungsgründen ausdrücklich zu befassen. Deshalb müssen, damit das Bundesverfassungsgericht einen Verstoß gegen Art. 103 Abs. 1 GG feststellen kann, im Einzelfall besondere Umstände deutlich machen, daß tatsächliches Vorbringen entweder überhaupt nicht zur Kenntnis genommen oder doch bei der Entscheidung nicht erwogen worden ist (vgl. BVerfGE 65, 293 <295 f.>; 70, 288 <293>; st. Rspr.). Geht das Gericht auf den wesentlichen Kern des Tatsachenvorbringens einer Partei zu einer Frage, die für das Verfahren von zentraler Bedeutung ist, in den Entscheidungsgründen nicht ein, so läßt dies auf die Nichtberücksichtigung des Vortrags schließen, sofern er nicht nach dem Rechtsstandpunkt des Gerichts unerheblich oder aber offensichtlich unsubstantiiert war (vgl. BVerfGE 86, 133 <146>).”

Bei Anwendung der vom BGH aufgestellten Kriterien hätte der Senat des OLG Frankfurt also durchaus auf Tatsachenbasis zu einem anderen Ergebnis kommen können.

Der BGH hat schließlich nur die Rechtsfrage geklärt, dass jemand, der ein Herstellerpasswort nicht ändere (und dadurch ein unsicheres Kennwort verwendet, Anm. d. Verf.), als Störer in Anspruch genommen werden könne – und die Frage, ob der Router ausgeschaltet war, vollkommen unberücksichtigt gelassen. Unter Einbeziehung des Routermodells und der Aussagen des Herstellers AVM hätte das OLG erneut – unter Beachtung der Vorgaben des BGH – unter den Sachverhalt subsummieren und trotz der Rechtsfeststellung ein anderes Urteil fällen können…

Sehr lesenswert hierzu übrigens die Besprechung von Oliver Garcia auf Delegibus.

Weitere Links:

SpOn zum Hacken von WLAN-WPA-Passwörtern mittels Cloud Computing

Schreibe eine Antwort

Spiegel Online berichtet über die Verwendung von durch Amazon bereit gestellter Rechenpower zum Hacken von WLAN Passworten des Standards WPA.

Der Bericht enthält eigentlich nichts Neues, denn es handelte sich um ein Hacken eines Passworts mit einer Wörterbuchattacke.

Die Software hat beim Knacken übrigens 70 Millionen Wörter aus einem Wörterbuch durchprobiert. Roths Methode hat jedoch auch Grenzen: Das gesuchte Passwort darf nicht zu lang sein. WPA erlaubt Schlüssellängen bis zu 63 Zeichen. Wer also beispielsweise ein Passwort von 20 Zeichen wählt, in dem keine Begriffe aus Wörterbüchern, aber Groß- und Kleinbuchstaben sowie Sonderzeichen auftauchen, muss sich vorerst keine Sorgen machen. Ein Beispiel dafür ist Wa$31n51ch3r3$Pa5$w0r7157. Ein sechsstelliges Passwort wie „schatz“ ist hingegen keine gute Wahl.

Bemerkenswert ist nur, wie schnell es geht, wenn man sich fremder Rechenkraft bedient.

Nach Roths Angaben dauerte es 20 Minuten, um das WPA-Passwort seines Nachbarn herauszufinden. Amazon berechnet für die Nutzung der extrem schnellen GPU-Instanzen 28 US-Cent pro Minute. Durch eine Verbesserung der Software glaubt Roth, die Berechnung in nur sechs Minuten zu schaffen. Das entspricht einem Preis von nicht einmal zwei Dollar pro Passwort.

Insgesamt verdeutlicht das Beispiel erneut, dass „gute“ Passwörter gewählt werden sollten. Dies verlangt auch der BGH im Hinblick auf die Prüfungs- und Überwachungspflichten eines Betreibers im Rahmen der Störerhaftung in seiner Entscheidung „Sommer unseres Lebens“ (BGH MMR 2010, 568).

Lesetipp: Karger, Praktische Hinweise zum Parteivortrag nach der BGH-Entscheidung zur Störerhaftung des WLAN-Betreibers, GRUR-Prax 2010, 305

1 Antwort

In der GRUR-Prax, Ausgabe 14, ist ein Beitrag von Michael Karger zum WLAN-Urteil des BGH (BGH, Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, s. dazu hier, hier, hier und hier) erschienen.

Dabei stellt Karger das Urteil dar und gibt jeweils auf Grundlage der Urteilsgründe hilfreiche Praxishinweise.