Das Landgericht Wuppertal, dass uns bis heute nicht einmal darüber informierte, dass überhaupt eine Beschwerde erfolgte, setzt damit neue Maßstäbe: Nicht nur die Unterrichtung der Öffentlichkeit vor der Unterrichtung des Betroffenen über Beschwerde und Verlauf, sondern auch gleich Bekanntgabe des Beschlusses gegenüber der Öffentlichkeit, bevor der Betroffene ihn zu Gesicht bekommt.

Inzwischen ist eine Pressemitteilung des LG Wuppertal dazu online (zu finden hier), Golem, ZDNET, Heise und MIR berichten schon.

Hinweis in eigener Sache: In der Sache, die von unserer Kanzlei bearbeitet wird, liegt bisher kein Schriftverkehr zur Beschwerde vor. Das Ersuchen um Akteneinsicht, nachdem uns – über den WDR – bekannt wurde, dass Beschwerde eingelegt wurde, wurde bisher nicht gewährt. Auch nach dem heutigen Beschluss mutet es doch befremdlich an, dass man zwar sofort eine Pressemitteilung an verschiedene Agenturen schicken konnte – diese nicht aber auch kurz uns zufaxen konnte. Ein negativer Einblick in den Umgang von Gerichten mit Menschen, die strafrechtlichen Ermittlungsmaßnahmen ausgesetzt sind – immerhin geht es hier um einen Betroffenen, der in klammer Ungewissheit gewartet hat, ob ihm nun eine strafrechtliche Hauptverhandlung droht oder nicht.

Im Ergebnis ist nichts neues zu sehen, vor allem sehr viel (berechtigte) Kritik an dem Urteil des BGH, vor allem bzgl. der nicht nur fragwürdigen sondern geradezu fehlerhaften Auseinandersetzung mit den Haftungsprivilegien des Telemediengesetzes.

Anmerkung: Dass man den WDR informiert, bevor man den Verteidiger informiert ist durchaus interessant. Aber bei Staatsanwaltschaften scheint mediales Arbeiten auch zunehmend an erster Stelle zu stehen…

In einem aktuellen Beschluss des Amtsgerichts Wuppertal (26 Ds-10 Js 1977/08-282/08) hat sich das Amtsgericht Wuppertal unserer Argumentation (hier ausführlich nachzulesen) angeschlossen, demzufolge es sich beim “Schwarz-Surfen” um keine Straftat handelt. Der Antrag der Staatsanwaltschaft auf Eröffnung des Hauptverfahrens in der Sache wurde abgelehnt. Insbesondere ist laut Amtsgericht die automatisch erfolgende Zuweisung einer IP-Adresse im Rahmen des “Logins” in das WLAN keine “abgefangene Nachricht i.S.d. §89 TKG”. Das AG Wuppertal scheint damit seine alte Linie zu verlassen, es besteht gute Hoffnung, dass diese fehlerhafte Rechtsprechung sich endlich dem Ende zuneigt.

Der Beschluss des Amtsgerichts Wuppertal ist hier im Volltext einzusehen. Dabei in Kürze ein Kritikpunkt: Die Definition des AG Wuppertal des “personenbezogenen Datums” ist falsch: Ob das Datum allgemein zugänglich ist oder nicht, ändert nichts am Personenbezug (siehe nur §28 BDSG, die allgemeine Zugänglichkeit ist u.U. nur ein Erlaubnistatbestand zur Verarbeitung). Die Streitfrage, ob eine IP-Adresse personenbezogen ist, musste das AG Wuppertal ohnehin nicht entscheiden: Unabhängig davon, ob eine Intranet-IP-Adresse bei einem fremden Nutzer überhaupt einen Personenbezug darstellt, war – so dann das AG Wuppertal richtig – die IP-Adresse ohnehin für den Angeschuldigten bestimmt, worauf es letztlich alleine ankommt.

Im Ergebnis ist dem AG Wuppertal zuzustimmen, es bleibt abzuwarten ob nun die Rechtsprechung – und vor allem die Staatsanwaltschaften! – diesem neuen Trend folgen.

Links dazu:

• Beschluss des AG Wuppertal
• Anmerkung zum ursprünglichen Urteil des AG Wuppertal

Einziger kleiner Wermutstropfen: Zum Zeitpunkt des Interviews gab es nur die Pressemitteilung des BGH in Sachen Störerhaftung & WLAN, so dass sich im Interview noch ein paar Sätze zur Kostendeckelung nach §97a II UrhG finden, das ist ja nun überholt.

Anmerkung: Ich persönlich gehöre seit Jahren zu den Skeptikern dieser Entwicklung und glaube, dass der Trend in Deutschland und Europa insgesamt hin zu einer eindeutigen Identifizierung der User gehen wird. Bereits 2004 habe ich Befürchtungen geäußert, dass es eine denkbare und technisch mögliche Option wäre, dass eine zentrale Agentur (Bundesnetzagentur) jeder Person eine lebenslange IP-Adresse zuteilt und z.B. die Internetnutzung nur mit dieser IP-Adresse via Provider möglich ist. Eine düstere Aussicht, an der ich aber weiterhin festhalte.

Verweise:

• Analyse des BGH-Urteils in Sachen Störerhaftung im Volltext
• Beiträge von mir zum §97a II UrhG

Um in die Polemik zu wechseln, würde ich mir derart viel Mut und Staatsbürgertum wünschen, wenn demnächst wieder einmal Unschuldige vor den Augen wegsehender Zeugen misshandelt werden. Auch ist es für mich, als jemand der in der Materie steckt, befremdlich dass hier eine Beschlagnahme durch Passanten durchgeführt wird im Verdacht einer Straftat, die es in Deutschland nicht gibt (Schwarz-Surfen ist nicht ausdrücklich verboten. Auch der Hinweis beim Südkurier auf das angebliche Ausspähen von Daten nach §202b StGB ist verfehlt.

Hinweis an dieser Stelle: Der Fischer-Kommentar zum StGB erwähnt beiläufig, dass ein systematisches suchen nach offenen WLAN durchaus dem §202b StGB unterfallen soll. Rechtsprechung dazu gibt es nicht.

Ich sehe zunehmend erhebliche Probleme, wenn man sich nun nicht nur Verdächtig macht, weil man mit Computer-Hardware unterwegs ist, sondern zudem auch noch zweifelhafter Grundrechtseingriffe durch beherzte Passanten ausgesetzt ist. Die unkritische Haltung der Presse, die das Schwarz-Surfen längst als Straftat einstuft – was das Schwarz-Surfen keinesfalls unzweifelhaft ist – dürfte die Sachlage nur verschärfen.

Mir scheint, wir haben einen neuen Höhepunkt in der Thematik erreicht. Wobei ich mich frage, wie sich das Thema angesichts zunehmend verbreiteter UMTS-Sticks (und in den nächsten tagen auch iPads) demnächst entwickeln wird. Zugleich wird deutlich, wie dringend eine verbindliche Klärung der strafrechtlichen Relevanz des Umgangs mit offenen Netzen erforderlich ist. Und auch wenn ich sonst ein Anhänger sozialer Kontrolle bin: Man darf bei den Menschen nicht den Eindruck erwecken, sie würden Heldentaten vollbringen, wenn sie eine zweifelhafte Rechtsprechung (eines Amtsgerichts!) ohne gesetzliche Grundlage durch noch zweifelhaftere Grundrechtseingriffe durchsetzen wollen.

1. Jedes 20. WLAN in Mönchengladbach offen ist und
2. jedes 4. unsicher verschlüsselt

Untersucht wurden dabei fast 14.000 gefundene WLAN, dabei zeigt die Studie etwas besonders erschreckendes: Ausgerechnet in Gewerbegebieten ist die Quote der unsicheren WLAN mit einem Drittel höher als in Wohngebieten. Dabei müssen gerade Unternehmen, nicht nur aus Gründen der eigenen System-Sicherheit sondern auch aus Gründen des Datenschutzes besonders stark die Sicherheit ihrer Netze im Auge haben.

Auch mit Blick auf den BGH, der sich am 12.5.2010 mit WLAN und Haftung beschäftigt, erwähnt der Artikel einen relevanten Aspekt:

Die Analyse der Modelltypen lege den Schluss nahe, so die Studierenden, dass die Anwender oft die vom Hersteller voreingestellte Verschlüsselungsart einsetzen.

Der Blick in den Artikel zeigt vor allem eines: WLAN sind allgegenwärtig und das damit verbundene Risiko scheint immer noch zahlreich unterschätzt zu werden. Vor allem die juristischen Haftungsfragen müssen wohl noch stärker thematisiert und in den Fokus gerückt werden. Dabei sollte auf Grund der vorliegenden Daten (“Alle 1000 Meter finden sich 9 offene WLAN”) auf der Hand liegen, dass die vollkommen offene rechtliche Problematik des “Schwarz-Surfens” in Zukunft weiter an Brisanz gewinnt.

Ich werde nicht Müde, gerade Unternehmen in die Pflicht zu nehmen: Schon aus eigenem Interesse sollte man hier umfassend eine brauchbare Sicherheitspolitik entwickeln. Dazu gehört, dass WLAN nur in Betrieb sind, wenn sie auch genutzt werden. Aber eben auch vernünftige Sicherheitsmechanismen, wobei WPA2 mit einem Passwort zwar Standard ist, aber verteilte Schlüssel für Unternehmen sicherlich besser sind. Nochmals verweise ich hier darauf, dass es dabei nicht nur um den Schutz der eigenen Daten geht, sondern dass auch – mit Blick auf Arbeitnehmer und Kunden – datenschutzrelevante Fragen und Bußgelder im Raum stehen. Dabei wird man sich als betroffener Unternehmer auch mit dem §42a BDSG beschäftigen müssen, der eine Informationspflicht bei “Datenlecks” vorsieht. Insbesondere wer besonders sensible Daten verarbeitet (etwa Ärzte und Anwälte) muss hier dringend seiner Pflicht bewusst sein – einfach nur einen WLAN-Access-Point aufstellen reicht bei Unternehmen nicht.

Interessant ist dabei wieder einmal das Verhalten der Betroffenen: Es ist für mich weiterhin befremdlich, dass jemand einerseits ein offenes für jedermann zugängliches WLAN betreibt, andererseits aber wohl in der Lage ist, zu kontrollieren ob Externe dies Nutzen und dann direkt die Polizei ruft. Hinzu kommt das zunehmend vehemente Auftreten von Polizisten vor Ort.

Ich sehe allerdings zwei Problemkreise, die zunehmend Bedeutung gewinnen:

1. Es mag sein, dass der betroffene WLAN-Betreiber in der Vergangenheit zunehmend Probleme hatte mit jemanden, der gezielt über sein WLAN Rechtsbrüche begangen hat. Wenn nun ein anderer Nutzer erstmals das WLAN nutzt und dann erwischt wird, wird sich dieser Nutzer den Vorwürfen ausgesetzt sehen, auch die früheren Rechtsbrüche begangen zu haben.
2. Mit wachsender Besorgnis stelle ich mir die Frage, wie die Polizei bei einem Anruf mit der Situation umgehen will, dass vor Ort nicht nur einer, sondern zwei Autofahrer angetroffen werden, die sich ihre Pause damit verkürzen, einfach am Laptop zu arbeiten – ggfs. ohne sich überhaupt irgendwo einzuloggen. Beispiel: Der 16 Jährige X sitzt versteckt im Hauseingang um die Ecke und surft über den WLAN-Zugang. Auf der Straße vor dem Haus stehen u.a. zwei Autos in denen Laptop-Nutzer sitzen, die auf jemanden warten und sich die Zeit mit einem Spiel oder der Arbeit an einem Word-Dokument vertreiben. Es darf nicht angehen, dass ein grundsätzlich erlaubtes und bedenkenloses Verhalten zu einem Generalverdacht führt.

In der Sache beim BGH geht es um ein WLAN, das mittels einer WPA-Verschlüsselung gesichert war. Das vorinstanzliche Landgericht (2/3 O 19/07) hatte festgestellt, dass der WLAN-Router geschützt war und wirft dem Beklagten vor, dass er seinen Router mit dem ausgeliefeten Passwort genutzt hat, also dieses nie geändert hat. Der Vorwurf lautet also nicht – und wurde beim BGH angeblich auch so angesprochen – dass das Funknetzwerk offen war, sondern vielmehr dass das voreingestellte Passwort unsicher war und der Kläger dies hätte ändern müssen, dazu das Gericht:

Schließlich sorgte der Beklage auch nicht dadurch für eine hinreichende Sicherung seines
Routers, dass der Zugang auf diesen Router bei aktivierter WLAN-Funktion werkseitig mit einer WPA-Verschlüsselung gesichert worden war. Dabei kann dahinstellt bleiben, ob eine WPA-Verschlüsselung nach derzeitigem Standard noch als sicher und zuverlässig angesehen werden kann oder bereits – wie die Klägerin behauptet – gängige Methode die Verwendung von WPA2 ist.

Denn der Beklagte hat seinem eigenen Vorbringen zufolge es nach dem Anschluss des WLAN-Routers bei den Standardsicherheitseinstellungen belassen, die der Hersteller vorgegeben hat. Dies stellt nach Auffassung der Kammer indes keinen ausreichend sicheren WPA-Netzwerkschlüssel dar. Zum einen sind solche Standardsicherheitseinstellungen bei vielen
Herstellern auf allen ausgelieferten Geräten gleich und damit auch den Internet-Kriminellen bekannt.

Zum anderen befindet sich auf der Fritz-Box, wie sie auch von dem Beklagten genutzt wird; ein Aufkleber, auf welchem sich neben der Seriennummer auch der werkseitig voreingestellte Code befindet. Für eine ausreichende Sicherung seines WLAN-Anschlusses gegen Passwort-Attacken hätte der Beklagte daher das Standard-Passwort fu?r die Fritz Box durch ein persönliches, ausreichend langes Passwort aus einer losen Kombination von Buchstaben, Ziffern und Sonderzeichen ändern müssen.

Übrigens, der genaue Blick in die BGH-Pressemitteilung offenbart dies auch – hier ist nämlich nicht von einem freien WLAN die Rede, sondern von einem “nicht ausreichend gesicherten”. Wir alle – inklusive mir – haben da wohl nicht ordentlich genug gelesen, wobei, und das zeigen auch die Reaktionen auf dem Lawcamp, für niemanden vorstellbar ist, dass eine Haftung bei einem (wenn auch schlecht gesicherten) WLAN wirklich zu bejahen sein könne.

In der Sachfrage wird der BGH somit nicht entscheiden, ob/wie man für ein offenes WLAN haftet, sondern inwieweit man für ein WLAN haftet, das zwar gesichert ist, aber mit voreingestellten Daten bei älterem Sicherungsmechanismus. Sollte der BGH hier eine Haftung bejahen, wird das weit über das Ausmaß hinaus gehen, das bisher (bei einer Entscheidung zum freien WLAN) angenommen wurde. Dagegen wird man – wenn die Haftung für ein verschlüsseltes WLAN verneint wird – keine Rückschlüsse auf freie WLAN ziehen können.

So wird sich evt. zwangsläufig die Frage stellen, inwieweit Laien sich mit technischen Sicherheitsfragen und aktuellen Standards auseinandersetzen müssen. Auch wird die Frage, ob Hersteller bei Auslieferung ausdrücklich eine Änderung des ursprünglichen Passwortes empfehlen, eine Rolle spielen können – etwa wenn man bestimmt, wo (grobe) Fahrlässigkeit beginnt. Weiterhin müssen wir uns fragen, wie sich unsichere Passwörter auswirken, so habe ich bei einer Diskussion auf dem Lawcamp schon gefragt:

Wenn wir die Störerhaftung bei einem schlechten Sicherheitsstandard (WPA1, Voreingestelltes Passwort) schon bejahen – muss sie dann nicht auch gesehen werden, bei gutem Sicherheitsstandard (WPA2) mit zwar eigenem, aber extrem schlechtem Passwort (Passwort etwa “ich”, “gott” oder “passwort”)? Ist denn letzteres so viel sicherer als ersteres?

Das Haftungsrisiko erscheint vor diesem Hintergrund geradezu unkalkulierbar. Sollte der BGH die Haftung wirklich bejahen wollen, liefert er hoffentlich konkrete Kriterien mit, wie man sich der haftung noch entziehen können soll. Jedenfalls zur Zeit sehe ich die Perspektive, dass der BGH zum Ergebnis kommen könnte, eine Pflicht zur Änderung von Standard-Passwörtern zu statuieren.

Die Entscheidung im Mai 2010 muss man daher nun mit ganz besonderer Spannung erwarten.

Hinweis: Meine bisherigen Ausführungen zum Thema beziehen sich vor allem auf ein offenes WLAN und sind damit nur sehr bedingt nutzbar.