BGH: Keine Störerhaftung für durch Passwort gesichertes WLAN

Mit dem Umfang der Verpflichtung von Internetnutzern, ihr WLAN gegen Missbrauch zu sichern, hat der BGH sich in einer aktuellen Entscheidung befasst (Urteil vom 24.11.2016, Az. I ZR 220/15)

Werkseitiger WLAN-Schlüssel von Hacker geknackt

Eine Filmgesellschaft hatte eine WLAN-Inhaberin wegen Urheberrechtsverletzungen abgemahnt und Schadenersatz verlangt. Hintergrund: Über den Internetzugang der Frau war ein Film auf einer Tausch-Plattform illegal zum Download angeboten worden. Wie sich herausstellte, hatte die Frau den Code, mit dem der Hersteller ihren WLAN-Router vor Auslieferung verschlüsselt hatte, bei der Einrichtung im Jahr 2012 nicht geändert, sondern die werkseitige Einstellung beibehalten.

Einem unbekannten Hacker war es kurz darauf gelungen, den aus einer 16-stelligen Ziffernkombination bestehenden WPA2-Schlüssel zu knacken und über das WLAN der Frau den Film öffentlich zugänglich zu machen.

2014 wurden Sicherheitslücken bei dem verwendeten Routertyp bekannt. Wegen einer fehlerhaften Generierung des Zifferncodes ließ sich die Sicherung, die nicht den marktüblichen Verschlüsselungsstandards genügte, leicht knacken.

Für die klagende Filmgesellschaft lag ein klarer Fall von Störerhaftung vor: Die beklagte WLAN-Inhaberin habe sich nicht auf den Sicherheitscode des Herstellers verlassen dürfen, sondern ihr WLAN durch ein selbst gewähltes Passwort gegen Missbrauch schützen müssen. Dass sie dies unterlassen habe, stelle eine Pflichtverletzung dar.

Anders die Meinung des BGH: Wie schon die Vorinstanzen hat auch er im Verhalten der Beklagten keine Pflichtverletzung, die Voraussetzung für eine Störerhaftung gewesen wäre, festgestellt.

Router-Verschlüsselung muss marktüblichen Standards entsprechen

Grundsätzlich – so der BGH – müsse der Inhaber eines WLAN-Anschlusses prüfen, ob der von ihm verwendete Router über die Sicherungen, die im Kaufzeitpunkt marktüblich seien, verfüge, „also einen aktuellen Verschlüsselungsstandard sowie ein individuelles, ausreichend langes und sicheres Passwort“. Wenn diese Voraussetzungen erfüllt seien, müsse er den herstellerseitig voreingestellten Sicherheitscode nicht ändern. Sei das werkseitige WLAN-Passwort jedoch nicht ausschließlich für das individuelle Gerät, sondern für mehrere Router verwendet worden, könne die unveränderte Beibehaltung eine Pflichtverletzung darstellen.

Eine mehrfache Vergabe des Sicherheitscodes war im vorliegenden Fall jedoch nicht belegt.

Standard im Kaufzeitpunkt entscheidend

Entscheidend war für den BGH, dass der Verschlüsselungsstandard WPA2 bei der Anschaffung des Routers 2012 als hinreichend sicher gegolten hatte. Für die Beklagte hatte es keinerlei Anhaltspunkte dafür gegeben, dass die voreingestellte Ziffernkombination nicht den damals marktüblichen Standards entsprochen hätte oder dass Dritte sie hätten knacken können. Der Umstand, dass 2 Jahre später Sicherheitsmängel bei dem Routertyp bekannt wurden, hat für die Sachverhalte aus dem Jahr 2012 keine Rolle gespielt.