Esche Schümann Commichau

Die Haftung der Betreiber öffentlicher WLANs – eine unendliche Geschichte

Europäischer Gerichtshof (EuGH) entscheidet über Sorgfaltsanforderungen beim Betrieb öffentlicher Hotspots, BGH schafft Klarheit wann WLAN-Passwörter sicher sind

Hintergrund

Ende Juli 2016 ist das „Zweite Gesetz zur Änderung des Telemediengesetzes“ (TMG) in Kraft getreten. Ziel der Gesetzesreform war es, den Betreibern von WLANs (Wireless Local Area Networks, auch als Hotspots bezeichnet) mehr Rechtssicherheit zu geben und dadurch eine größere Abdeckung frei zugänglicher Hotspots zu erreichen.

Wie bereits in einem früheren Beitrag festgestellt (vgl. Dr. Oliver Stegmann, „Trotz Änderung des Telemediengesetzes: Rechtsunsicherheit für Betreiber frei zugänglicher WLANs bleibt bestehen“, compact III/2016, S. 8), wurde dieses Ziel nicht erreicht. Nach bisheriger Gesetzeslage haftete der Betreiber des WLANs gemäß § 8 TMG als sogenannter Störer, wenn er nicht sicherstellte, dass nur Personen diesen Zugang ins Internet nutzen konnten, die sich zuvor identifi ziert hatten. Wenn ein Dritter über solche Hotspots rechtswidrige Handlungen beging (bspw. illegale Musikstücke zum Download anbot), dann haftete auch der Betreiber der WLANs auf Unterlassung und Zahlung der Abmahnkosten. Obwohl der Gesetzgeber diese Situation entschärfen wollte, ist ihm das durch die Neufassung von § 8 TMG nicht gelungen. Zwar sind WLANBetreiber vor der Geltendmachung von Schadensersatzansprüchen geschützt, sie haften nach dem Wortlaut der geänderten Vorschrift aber nach wie vor auf Unterlassung – und auf Ersatz der damit verbundenen Abmahnkosten.

EuGH-Entscheidung in Sachen McFadden gegen Sony

Nach Inkrafttreten des geänderten TMG hatten sich die Betreiber öffentlich zugänglicher Hotspots von einer Entscheidung des EuGH eine Haftungsprivilegierung oder wenigstens eine Klarstellung erhofft. Diese Hoffnung hat sich nicht erfüllt. Das Urteil des Gerichtshofs vom 15.09.2016 (Az.: C-484/14) liefert weder praktikable Leitlinien für Betreiber öffentlicher Hotspots noch für Rechteinhaber, die durch frei zugängliche Hotspots ihre Rechte bedroht sehen. Im vom EuGH entschiedenen Fall hatte der Betreiber eines Geschäfts für Licht- und Tontechnik, Tobias McFadden, zu Werbezwecken einen ungesicherten WLAN-Anschluss zur Verfügung gestellt. Ein unbekannter Dritter nutzte diesen Anschluss und bot darüber in einer Tauschbörse ein Musikstück an. Daraufhin mahnte Sony McFadden ab. In dem sich anschließenden Rechtsstreit legte das Landgericht München den Fall dem EuGH vor.

Der EuGH konkretisiert in seiner Entscheidung, dass Art. 12 Abs. 1 RL 2000/31/EG (entspricht § 8 TMG ) auch für Betreiber gilt, die den Hotspot zwar unentgeltlich aber aus gewerblichen Gründen zur Verfügung stellen (also wenn der Hotspot – wie im Fall McFadden – zu Werbezwecken frei zugänglich gemacht wird). Dem EuGH zufolge haftet der Betreiber dieses frei zugänglichen Hotspots nach Art. 12 RL 2000/31/EG zwar nicht auf Schadensersatz wohl aber auf Unterlassung und Ersatz von Abmahnkosten.

Wenigstens konkretisiert der EuGH in seinem Urteil Reichweite und Umfang der Prüfpflichten derjenigen, die einen öffentlichen Hotspot zu gewerblichen Zwecken betreiben. Danach kann der Betreiber eine Haftung vermeiden, wenn er sein WLAN durch ein Passwort schützt und dieses Passwort nur Nutzern mitteilt, deren Identität ihm bekannt ist – zum Beispiel weil sich die Nutzer durch ihren Personalausweis ausgewiesen haben. Natürlich muss der Betreiber des Hotspots dies im Streitfall dokumentieren können. Das Gericht erachtet dieses Vorgehen als geeignete Maßnahme, um die widerstreitenden Interessen der Rechteinhaber (in der Regel handelt es sich um Urheberrechte) auf der einen Seite sowie auf der anderen Seite das Recht auf Informationsfreiheit, auf das sich der Betreiber des Hotspots und deren Nutzer berufen können, in Einklang zu bringen. Darüber hinaus sieht der EuGH die Betreiber von Hotspots nicht in der Pflicht. Sie müssen also keine über die Identität der Nutzer hinausgehenden Daten aufzeichnen, etwa um Nutzer zurückverfolgen zu können. Solche Maßnahmen wären nach Auffassung des Gerichts sogar unzulässig. Der EuGH sieht in der erforderlichen Identifi kation der Nutzer bereits eine Abschreckung, Urheberrechte oder damit verwandte Schutzrechte zu verletzen.

Kritik

Ob die bloße Identifizierung bzw. Authentifizierung der Nutzer überhaupt geeignet ist, die Inhaber urheberrechtlicher Nutzungsrechte zu schützen und Rechtssicherheit zu schaffen, ist allerdings zweifelhaft. Denn sobald mehrere Personen zum Zeitpunkt der Rechtsverletzung auf den offenen Hotspot zugreifen können, ist gar nicht mehr nachvollziehbar, welcher Nutzer die Rechtsverletzung begangen hat. Die Entscheidung des EuGH schweigt sich zu dieser Problematik aus, weil das Gericht offen gelassen hat, welche Anforderungen an die Authentifizierung der Nutzer zu stellen sind. Darüber hinaus kann die Authentifizierung auch nicht sicherstellen, dass die identifizierten Nutzer das Passwort nicht an Dritte weitergeben, deren Identität dem Betreiber des Hotspots unbekannt ist.

Vor allem aber der Informationsfreiheit – also dem Ziel, die Dichte frei zugänglicher Hotspots zu erhöhen – dient die Entscheidung des EuGH nicht. Denn wenn der Betrieb eines öffentlichen Hotspots für einen Betreiber erst dann ein überschaubares Risiko darstellt, wenn er zuvor die Identität der Nutzer klärt, dann rückt das Ziel einer höheren Zahl frei zugänglicher Hotspots in weite Ferne. Solche Hotspots leben gerade davon, dass Nutzer schnell und unkompliziert (insbesondere mit dem Smartphone) online gehen können. Wenn einem solchen Hotspot ein Registrierungs- und Freischaltprozedere vorgelagert wird, beeinträchtigt das die Bereitschaft und Möglichkeit, zusätzliche öffentliche Hotspots zu schaffen und zu nutzen.

BGH konkretisiert Sorgfaltspflichten privater Betreiber von WLANs

Die Entscheidung des EuGH betrifft Personen, die einen Hotspot gewerblich betreiben. Offen war bislang, welche Sorgfaltspflichten für Privatpersonen gelten, die einen Internetanschluss haben, auf den über WLAN zugegriffen werden kann. Haften diese Personen, wenn ihr privat betriebenes WLAN von einem Dritten „geknackt“ wird? Der BGH hat Ende November 2016 (Az.: I ZR 220/15) entschieden, dass der private Inhaber eines verschlüsselten WLANs nicht als Störer für von einem unbekannten Dritten begangene Urheberrechtsverletzungen haftet, wenn der Inhaber den vom Hersteller für den Router vergebenen Schlüssel beibehält. Im vom BGH entschiedenen Fall handelte es sich um einen sogenannten WPA2-Schlüssel, der aus 16 Ziffern bestand und den ein Unbekannter „geknackt“ hatte. Zwar muss der private Inhaber des Internetanschlusses mit WLAN-Funktion laut BGH vor der Inbetriebnahme des Routers prüfen, ob er durch ein ausreichend langes und sicheres Passwort geschützt ist. Dabei darf der Inhaber das vom Hersteller vergebene WLAN-Passwort beibehalten, vorausgesetzt, es wurde für jedes Gerät individuell vergeben und die Sicherung entspricht „marktüblichen Standards“. Für WPA2-Schlüssel bejahte das der BGH – allerdings konkret bezogen auf einen Fall, in dem der Router Anfang 2012 in Betrieb genommen worden war. Etwas anderes gilt dann, wenn es Anhaltspunkte dafür gibt, dass Dritte das Passwort entschlüsseln konnten. Dann muss der Inhaber des Routers selbst ein ausreichend sicheres Passwort vergeben.

Praxistipp

Gewerbliche Betreiber eines frei zugänglichen Hotspots sollten den Zugang dazu durch ein ausreichend langes Passwort schützen. Das Passwort sollten sie nur Nutzern mitteilen, die sich registriert und ihre Identität offengelegt haben. Diesen Vorgang sollte der Betreiber des Hotspots dokumentieren und im Streitfall beweisen können. Für Privatpersonen gilt: Ein vom Hersteller individuell für einen Router vergebener Schlüssel kann beibehalten werden, wenn diese Sicherung zum Zeitpunkt der Inbetriebnahme des Routers „marktüblich“ ist und es keine Anhaltspunkte dafür gibt, dass Dritte die Sicherung entschlüsseln konnten.

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. Ich stimme zu