BGH zu Wlan-Haftung: Voreingestellte individuelle Passwörter sind vertrauenswürdig

Wer seinen Wlan-Anschluss entsprechend der beim Kauf geltenden Sicherheitsstandards verschlüsselt hat, haftet grundsätzlich nicht, wenn sich Fremde Zugang verschaffen und eine Filmdatei über diesen Internetanschluss zum Download anbieten. Das hat der Bundesgerichtshof (BGH) am Donnerstag entschieden. Eine Wlan-Nutzerin muss die 750 Euro Anwaltskosten nun nicht bezahlen.

Der Wlan-Router der Frau war vom Werk mit einer aus 16 Ziffern bestehenden, auf der Rückseite des Routers aufgedruckten WPA2-Verschlüsselung versehen. Diese war nur für dieses Gerät vergeben und sie wurde von der Nutzerin nicht geändert. 2012 bot ein Unbekannter dann von diesem Internetanschluss aus in einer Internet-Tauschbörse den Film "The Expendables 2 - Back for War" zum Download an.

Warnung erfolgte erst zwei Jahre später

Die Firma mit den Verwertungsrechten des Films versendete daraufhin ein Anwaltsschreiben an die Frau, verlangte von ihr eine Unterlassungserklärung und 750 Euro anwaltlicher Abmahnkosten. Die ahnungslose Frau gab die Unterlassungsversicherung ab, aber die 750 Euro zahlte sie nicht. Denn sie sah kein Verschulden ihrerseits. Tatsächlich gab es zwei Jahre später eine Sicherheitswarnung für den Routertyp, die Verschlüsselung konnte in etwa 80 Minuten geknackt werden. Eigentlich beträgt die Wahrscheinlichkeit nur eins zu einer Billiarde. Aber diese Sicherheitslücke wurde erst lange nach dem Vorfall bekannt.

Die Klage des Filmvertreibers auf Zahlung der Abmahnkosten blieb bereits vor dem Amtsgericht und dem Landgericht Hamburg erfolglos. Auch der BGH verneinte jetzt eine Haftung der Nutzerin. Sie habe alle Prüfpflichten erfüllt, die vom Werk gelieferte nur einmal vergebene Verschlüsselung habe dem Sicherheitsstandard entsprochen. Gleichzeitig stellt der BGH allerdings klar, dass ein Wlan-Nutzer das Passwort dann ändern muss, wenn es vom Hersteller für mehrere Geräte vergeben wird. (AZ: I ZR 220/15)

Von Bedeutung war ebenfalls, dass es zum Zeitpunkt des Missbrauchs keine Verdachtsmomente gab. Schon in früheren Urteilen hatte der BGH klargestellt, dass bei Missbrauch von Internetanschlüssen durch Dritte der Inhaber dann haftet, wenn er trotz konkreter Anhaltspunkte untätig bleibt. Eltern müssen ihren Kindern zwar deutlich machen, dass sie sich nicht an illegalen Tauschbörsen beteiligen dürfen. Ohne Verdachtsmomente sind aber keine speziellen Sicherheitsvorkehrungen, Sperreinrichtungen oder Überwachungsmaßnahmen notwendig. Wenn sich die Kinder nicht an das Verbot halten, müssen allerdings weitere Maßnahmen ergriffen werden.

FritzBox-Nutzer nicht betroffen

Die Entscheidung aus Karlsruhe betrifft indirekt auch die Wlan-Router der Berliner Firma AVM. Das Unternehmen mit der Router-Reihe FritzBox ist in Deutschland Marktführer und verwendet eine 20-stellige Zahlenkombination (bei einigen älteren Modellen 16 Stellen) zur Absicherung des Funknetzes. Nach den Warnungen anderer Routerhersteller hatte AVM weiterhin die Sicherheit ihrer Produkte betont. Alle Modelle aus der FritxBox-Reihe seien ab Werk mit einem individuellen, nach Zufallsprinzip erstellten Wlan-Schlüssel geschützt. Es sei nicht möglich, aus der Seriennummer oder anderen gerätespezifischen Merkmalen den Wlan-Schlüssel zu ermitteln. In der Konsequenz gab es darum von AVM auch keine Warnungen an seine Kunden, das Passwort zu ändern. An dieser Haltung kann das Unternehmen nun auch nach der Karlsruher Entscheidung festhalten.

Gibt es vom Router-Hersteller eine solche Zusicherung nicht, ist ein Wechsel des Passwortes angeraten. Das Bundesamt für die Sicherheit in der Informationstechnik BSI empfiehlt ein komplexes Passwort mit 20 Stellen. Die Einrichtung sollte per Kabelverbindung (Lan oder USB) und nicht über das Wlan erfolgen. Auch der Zugang zum Router sollte durch ein eigenes Passwort geschützt werden. Um wirklich auf Nummer sicher gehen zu können, sollte zudem regelmäßig oder automatisch geprüft werden, ob es vom Hersteller Updates für den Wlan-Router gibt.