Router-Sicherheitslücke steht Schadensersatzpflicht nach Filesharing-Abmahnung entgegen – das Amtsgericht (AG) Braunschweig entschied mit Urteil vom 27.08.2014, Az. 117 C 1049/14: Auch eine Störerhaftung des Anschlussinhabers scheidet aus, wenn der Anschlussinhaber vortragen kann, dass sein Internet-Router zu dem in der Filesharing-Abmahnung angegebenen Zeitpunkt des Rechtsverstößes eine WPS-Sicherheitslücke hatte, die unbefugte Dritte ausnutzen konnten, um auf den Internetanschluss zugreifen zu können.
Was war geschehen?
Klägerin im Verfahren war die Constantin Film Verleih GmbH, vertreten durch die Kanzlei Waldorf Frommer. Die Klägerin verlangte vom dem Beklagten 600 € Schadensersatz und zusätzlich 506 € Abmahnkosten. Sie warf dem Beklagten vor, im September des Jahres 2010 sei über seinen Internetanschluss der Film „Resident Evil: Afterlife-3D“ auf einer Filesharing-Tauschbörse angeboten worden.
Der Beklagte verteidigte sich zunächst damit, er sei Fernfahrer. Er habe sich zu dem in der Abmahnung angegebene Zeitpunkt, zu dem der Download stattgefunden haben soll, nicht in seiner Wohnung aufgehalten.
Außerdem habe er in diese Zeitraum einen Telekom-Router „Speedport W 504V“ eingesetzt. Für dieses Modell sei im Jahr 2012 eine gravierende Sicherheitslücke bekannt geworden. Bei aktivierter WPS-Funktion konnten unbefugte Dritte von außen durch eine Hintertüre auf den Router zugreifen und damit den Internet-Anschluss missbrauchen. Der Beklagte vermutete, dass auch bei ihm die WPS-Funktion aktiviert gewesen sei, da er die automatische Router-Konfiguration gewählt habe.
Die Klägerin konnte diesem Sachvortrag nichts entscheidendes entgegensetzen.
Wie entschied das AG Braunschweig zur Haftung bei einer Router-Sicherheitslücke?
Das AG Braunschweig wies die Klage der Constantin Film Verleih GmbH ab.
Die Klägerin trage die Darlegungs- und Beweislast für die ihren Anspruch begründenden Tatsachen. Aufgrund des vorgetragenen Sachverhaltes bestehe keine tatsächliche Vermutung, dass der Beklagte die Rechtsverletzung begangen habe. Der Beklagte habe nämlich im Rahmen der ihm obliegenden sekundären Darlegungslast einen Sachverhalt vorgetragen, der es möglich erscheinen lasse, dass sich unbefugte Dritte über die Sicherheitslücke des Routers Zugang zum Internetanschluss des Beklagten verschafft und die Verletzungshandlungen begangen haben. Der Klägerin helfe es nicht, zu bezweifeln, ob die WPS-Funktion am Router des Beklagten überhaupt aktiviert gewesen sei. Den Beklagten sei nicht abzuverlangen, sich noch daran zu erinnern, wie sein Router vor mindestens vier Jahren im Detail eingestellt gewesen sei. Der Beklagte genüge seiner sekundären Darlegungslast mit dem Hinweis, dass der Anschluss automatisch erfolgt sei.
Es helfe der Klägerin auch nicht, dass die Sicherheitslücke erst im Jahr 2012 entdeckt worden sei, sich der Vorfall aber bereits im September des Jahres 2010 zugetragen habe. Der Zeitpunkt, zu dem die Sicherheitslücke veröffentlicht worden sei, lasse keinen Rückschluss darauf zu, dass nicht auch kriminelle Personen mit hoher IT-Kompetenz die Lücke wesentlich früher erkannt und für sich genutzt hätten. Die unstreitige Tatsache, dass der Beklagte in einem Mehrfamilienhaus lebe, lasse einen Missbrauch seines WLAN-Anschlusses durchaus zu.
Welche praktische Auswirkung hat das Urteil des AG Braunschweig für die Filesharing-Rechtsverteidigung?
Bei vielen von der Kanzlei Stefan Loebisch vorgelegten Filesharing-Abmahnungen berichtet die Mandantschaft übereinstimmend und nachvollziehbar, dass sie ihren Router WPA-2-verschlüsselte und ein sicheres Passwort wählte und in vielen Fällen zusätzlich außer Hauses war, als sich der Rechtsverstoß zugetragen haben soll. In diesen Fällen bleibt nur die Möglichkeit, dass unbekannte dritte Personen von außen den WLAN-Zugang gehackt haben und so über den Anschluss der Mandantschaft Zugang zum Internet verschaffen konnten. Die veröffentlichten Berichte über Sicherheitslücken und Hintertüren bei mehreren WLAN-Router-Modellen bestärken die Vermutung, dass unbekannte Dritte am Werk waren.
Das Amtsgericht Braunschweig, und dies kommt in der Urteilsbegründung noch gar nicht deutlich zum Ausdruck, verneint bei einer solchen Router-Sicherheitslücke im Ergebnis auch die Störerhaftung. Nach der ständigen Rechtsprechung seit dem BGH-Urteil „Sommer unseres Lebens“ haftet der Anschlussinhaber als Störer, wenn er zwar den Rechtsverstoß nicht persönlich begangen hat, aber seinen Internet-Anschluss nicht ausreichend absicherte, und deswegen dritte Personen die Gelegenheit hatten, über den Internet-Anschluss illegales Filesharing zu betreiben.
Offen blieb bislang die Frage, ob der Anschlussinhaber bei Filesharing-Rechtsverstößen juristisch verantwortlich ist, wenn seine Router-Firmware eine Sicherheitslücke aufweist. Dies verneinte das Amtsgericht Braunschweig mit seinem Urteil vom 27.08.2014.
Das Urteil ist im Lichte der Vorgaben aus dem BGH-Urteil „Sommer unseres Lebens“ nur folgerichtig. Dort gab nämlich der BGH weiter vor, dass der Anschlussinhaber lediglich dafür verantwortlich ist, dass sein Router entsprechend dem Stand der Technik zum Kaufzeitpunkt verschlüsselt und abgesichert ist. Sicherheitslücken oder andere technische Mängel, die erst nach dem Kauf bekannt werden, können dem Anschlussinhaber damit nicht mehr angelastet werden.
Das Urteil des Amtsgerichts Braunschweig zeigt schließlich, dass es sich nach einer Abmahnung lohnt, alle Details zum eigenen Internet-Anschluss und zur dort eingesetzten Hardware zusammenzutragen und zu dokumentieren.
Übrigens: auch wenn vielleicht der Lieferschein oder die Rechnung oder ein anderes Dokument, aus dem sich ergibt, welcher Router im Einsatz war, nicht mehr in den eigenen Akten zu finden ist – die Provider haben hiervon im Regelfall Kopien. Und die Provider zeigen sich mittlerweile in vielen Fällen absolut kooperationsbereit, wenn es um Verteidigung gegen unberechtigte Filesharing-Abmahnungen geht.
Pingback: Vodafone-EasyBox-Router: Heise meldet Sicherheitlücke | Kanzlei Stefan Loebisch Passau