Der BGH hat entschieden, dass der Inhaber eines Internetanschlusses nicht für Urheberrechtsverletzungen durch unbekannte Dritte haftet, wenn der Dritte sich unberechtigten Zugang zum WLAN verschafft hat und dieses durch ein individuelles, voreingestelltes Router-Passwort ausreichend gesichert war (Urteil v. 24.11.2016, Az. I ZR 220/15).

Sachverhalt

Die Klägerin ist Inhaberin der Verwertungsrechten an dem Film „The Expendables 2 – Back for War“ und nahm die Beklagte auf Ersatz von Abmahnkosten in Höhe von EUR 750,00 wegen Filesharings in Anspruch. Über den Internetanschluss der Beklagten wurde durch einen unbekannten Dritten, der sich unberechtigten Zugang zum WLAN verschafft hatte, das Filmwerk im Zeitraum zwischen November und Dezember 2012 zu mehreren Zeitpunkten öffentlich zugänglich gemacht. Der Router der Marke „Alice Modem WLAN 1421“ wurde Anfang 2012 durch die Beklagte in Betrieb genommen und war durch einen vom Hersteller vergebenen WPA2-Schlüssel gesichert, der aus einer 16-stelligen Zahlenfolge bestand. Eine Änderung dieses Zahlenschlüssels wurde von der Beklagten nicht vorgenommen. Jedoch stellte sich in der Folge heraus, dass der vom Hersteller vergebene WPA2 Schlüssel nach einem unsicheren Verfahren generiert worden war und sich daher ohne größeren Zeitaufwand „knacken“ ließ.

Entscheidung des Gerichts:

Nachdem die Klage vom AG Hamburg abgewiesen wurde und auch die Berufung der Klägerin ohne Erfolg geblieben war, hat nun auch der BGH die Revision der Klägerin zurückgewiesen.

Nach Ansicht des BGH ist die Beklagte ihrer sekundären Darlegungslast durch die Nennung des Routertyps sowie des Passwortes und der Angabe, dass es sich um ein individuelles und nur einmal vergebenes Passwort durch den Hersteller handelt, nachgekommen. Jeder Anschlussinhaber mit WLAN-fähigem Gerät ist verpflichtet, zu überprüfen, ob dieses über aktuelle Verschlüsselungsstandards und individuelle und ausreichend lange Passwörter verfügt. Wenn diese Voraussetzungen nicht erfüllt sind, beispielsweise wenn der Anschlussinhaber ein voreingestelltes, für eine Vielzahl von Herstellergeräten genutztes Passwort nicht ändert, haftet der Anschlussinhaber als Störer, da er seine Prüfungspflichten verletzt hat.

Die Beklagte verletzte ihre Prüfungspflichten jedoch nicht, so der BGH, da der WPA2-Standard als hinreichend sicher anerkannt sei und auch kein Indiz vorgelegen habe, dass im Zeitpunkt des Routerkaufes durch die Beklagte der 16-stellige Passwortschlüssel nicht den marktüblichen Standards entsprochen habe. Damit scheide die Haftung als Störerin für die durch den unbekannten Dritten begangene Urheberrechtsverletzung vorliegend aus.

Bewertung der Entscheidung:

Der BGH hat in Anlehnung an die Sommer-unseres-Lebens-Entscheidung die Verneinung der Haftung der Beklagten richtigerweise auf folgende Überlegungen gestützt:

Die Beklagte agiert in diesem Fall nicht als Täterin, da ihr der Nachweis gelungen ist, dass sich ein unbekannter Dritter unberechtigten Zugang verschaffte und sie damit die Rechtsverletzung nicht selbst begangen hat. Ein solcher Nachweis ist in der Praxis meist nur schwer möglich, da illegale Aktivitäten, die über das eigene WLAN geschehen, oft nicht nachvollzogen werden können.

Gelingt einem Anschlussinhaber dieser Nachweis nicht, so haftet er selbst für Rechtsverletzungen, die über die ihm zugeordnete IP-Adresse begangen wurden als sogenannter Störer. Vorliegend war zu klären, ob ein voreingestellt vergebenes WLAN-Passwort individuell hätte abgeändert werden müssen, um den Pflichten gerecht zu werden oder ob die Benutzung eines voreingestellten Passwortes die Störerhaftung des Anschlussinhabers nicht berührt.

Der BGH stellte fest, dass die Anschlussinhaberin durch die Benutzung des voreingestellten WLAN-Passwortes keine Prüfungspflichten verletzt hatte, da das Passwort den marktüblichen Verschlüsselungsstandards entsprach (WPA2). Liegen keine konkreten Anhaltspunkte für eine Sicherheitslücke beim Router vor, so ist die Beklagte auch nicht verpflichtet, vorsorglich eine Änderung des voreingestellten Passworts vorzunehmen. Eine solche Sicherheitslücke ist für den Routertypen der Beklagten jedoch erst im Jahr 2014 bekannt geworden und damit irrelevant für die Sicherungspflichten, die die Beklagte im streitgegenständlichen Zeitraum zwischen November und Dezember 2012 getroffen haben.