Schwarz-Surfen

Zum Thema “Störerhaftung” - speziell der BGH Entscheidung “Sommer unseres Lebens” - gibt es weitere Beiträge/Kommentare. In der NJW ist aktuell einer erschienen, der mir ganz gut gefiel und bei Reto Mantz ausführlich dargestellt wird. Ebenfalls bei Mantz findet sich eine Zusammenfassung eines Aufsatzes von Spindler in der CR zum Thema.
Daneben findet sich bei der österreichischen Ausgabe der “Computerwoche” eine Stellungnahme eines österreichischen RA zur Frage, wie es in Österreich zu sehen ist.

Im Ergebnis ist nichts neues zu sehen, vor allem sehr viel (berechtigte) Kritik an dem Urteil des BGH, vor allem bzgl. der nicht nur fragwürdigen sondern geradezu fehlerhaften Auseinandersetzung mit den Haftungsprivilegien des Telemediengesetzes.

Nachdem das Amtsgericht Wuppertal die Eröffnung eines Hauptverfahrens wegen eines vermuteten “Schwarz-Surfens” abgelehnt hat (Bericht dazu hier), hat nach gerade bei mir eingetroffener Information die Staatsanwaltschaft Wuppertal Beschwerde gegen den Beschluss des Amtsgerichts eingelegt, womit die Sache nun erst einmal zum Landgericht Wuppertal gehen wird. Mehr kann ich nicht berichten, die Informationen beruhen auf einer Information durch den WDR Wuppertal, der am 20.8.2010 auf seiner Webseite kurz berichtet hat und mit dem ich soeben telefoniert habe. Schriftverkehr dazu liegt uns bisher noch nicht vor. Laut WDR möchte die Staatsanwaltschaft “Klarheit schaffen” hinsichtlich der Strafbarkeit des so genannten “Schwarz-Surfens”. Das Thema bleibt also interessant, sobald sich etwas ergibt, wird hier berichtet.

Anmerkung: Dass man den WDR informiert, bevor man den Verteidiger informiert ist durchaus interessant. Aber bei Staatsanwaltschaften scheint mediales Arbeiten auch zunehmend an erster Stelle zu stehen…

In einer von uns betreuten strafrechtlichen Angelegenheit wurde unserem Mandanten vorgeworfen, sich des “Schwarz-Surfens” strafbar gemacht zu haben, als er sich in ein fremdes (unverschlüsseltes) WLAN eingeloggt hat. Die Sache fand in Wuppertal statt, von wo aus die Rechtsprechung zum Schwarz-Surfen seinen Anfang genommen hat.

In einem aktuellen Beschluss des Amtsgerichts Wuppertal (26 Ds-10 Js 1977/08-282/08) hat sich das Amtsgericht Wuppertal unserer Argumentation (hier ausführlich nachzulesen) angeschlossen, demzufolge es sich beim “Schwarz-Surfen” um keine Straftat handelt. Der Antrag der Staatsanwaltschaft auf Eröffnung des Hauptverfahrens in der Sache wurde abgelehnt. Insbesondere ist laut Amtsgericht die automatisch erfolgende Zuweisung einer IP-Adresse im Rahmen des “Logins” in das WLAN keine “abgefangene Nachricht i.S.d. § TKG”. Das AG Wuppertal scheint damit seine alte Linie zu verlassen, es besteht gute Hoffnung, dass diese fehlerhafte Rechtsprechung sich endlich dem Ende zuneigt.

Der Beschluss des Amtsgerichts Wuppertal ist hier im Volltext einzusehen. Dabei in Kürze ein Kritikpunkt: Die Definition des AG Wuppertal des “personenbezogenen Datums” ist falsch: Ob das Datum allgemein zugänglich ist oder nicht, ändert nichts am Personenbezug (siehe nur § BDSG, die allgemeine Zugänglichkeit ist u.U. nur ein Erlaubnistatbestand zur Verarbeitung). Die Streitfrage, ob eine IP-Adresse personenbezogen ist, musste das AG Wuppertal ohnehin nicht entscheiden: Unabhängig davon, ob eine Intranet-IP-Adresse bei einem fremden Nutzer überhaupt einen Personenbezug darstellt, war - so dann das AG Wuppertal richtig - die IP-Adresse ohnehin für den Angeschuldigten bestimmt, worauf es letztlich alleine ankommt.

Im Ergebnis ist dem AG Wuppertal zuzustimmen, es bleibt abzuwarten ob nun die Rechtsprechung - und vor allem die Staatsanwaltschaften! - diesem neuen Trend folgen.

Links dazu:

• Beschluss des AG Wuppertal
• Anmerkung zum ursprünglichen Urteil des AG Wuppertal

Das könnte vielleicht etwas ändern: Ein Sicherheitsunternehmen meldet, auf der Black Hat Konferenz nächste Woche eine Lücke im WPA2-Verschlüsselungsverfahren für WLAN vorzustellen, mit der Angreifer relativ einfach eine vorhandene intakte WPA2-Verschlüsselung umgehen können. Auswirkungen dürfte dies durchaus auch für Filesharing-Abmahnungen und die Störerhaftung haben können.

Dazu gibt es inzwischen auch einen Bericht bei Heise. Letztlich scheint die Lücke nur für bereits im Netzwerk angemeldete User zu bestehen und nicht für jeden X-Beliebigen Dritten zur Verfügung zu stehen. Damit wäre diese Lücke als Ausrede natürlich unbrauchbar.

Natürlich verstehe ich die Diskussion, die man heute bei Reto Mantz liest und die schon Simon Möller angestoßen hatte: Als der BGH sich in seinem denkwürdigen Urteil zur Störerhaftung beim WLAN-Betrieb wohl ein wenig in den Tatsachen irrte, stellt Mantz hierzu die Frage:

Der Beklagte im Urteil des BGH hat mit Sicherheit einen durch ein 16-stelliges zufaelliges und unbekannten Dritten nicht bekanntes Kennwort gesicherten WLAN-Router verwendet.

Es stellt sich die Frage, ob das dem BGH klar war, als er sein Urteil gefaellt hat. Diese Frage wage ich mit “nein” zu beantworten. Denn ein personalisiertes, nachtraeglich eingerichtetes Kennwort ist im Zweifel sogar unsicherer als das voreingestellte 16-stellige Kennwort.

Die Frage ist berechtigt und richtig. Und auch wenn Möller überlegt, ob Anknüpfungspunkt der Aufkleber auf dem Router war, sind das sehr kluge Gedanken. Aber: Diese Gedanken sind wahrscheinlich zu kompliziert und setzen bei den Richtern des BGH ein Verständnis voraus, dass ich dort gar nicht erwarte.

Ich habe in das erste Urteil (LG Frankfurt, ) geblickt, das seinerzeit der Ausgangspunkt war und über das OLG Frankfurt bis zum BGH und dem nun befremdlichen Urteil führte. Dort liest man mit Erstaunen das hier:

Denn der Beklagte hat seinem eigenen Vorbringen zufolge es nach dem Anschluss des WLAN-Routers bei den Standardsicherheitseinstellungen belassen, die der Hersteller vorgegeben hat. Dies stellt nach Auffassung der Kammer indes keinen ausreichend sicheren WPA-Netzwerkschlüssel dar.

Zum einen sind solche Standardsicherheitseinstellungen bei vielen Herstellern auf allen ausgelieferten Geräten gleich und damit auch den Internet-Kriminellen bekannt.

Zum anderen befindet sich auf der Fritz-Box, wie sie auch von dem Beklagten genutzt wird, ein Aufkleber, auf
welchem sich neben der Seriennummer auch der werkseitig voreingestellte Code befindet.

Das Landgericht hat seinerseits gar keine konkreten Feststellungen getroffen: Man ging einfach blind davon aus, dass “bei vielen Herstellern” auf allen Geräten die gleichen Passwörter gelten. Mir ist, ehrlich gesagt, kein Hersteller bekannt, der es so handhabt (wohl aber einige, die einfach unverschlüsselte Netze als Standard anbieten). Ich denke, hier wurde der Login zum Adminbereich mit den WPA-Zugangsdaten verwechselt. Im konkreten Fall wurden dazu - wahrscheinlich mangels Vortrag des Beklagten! - gar keine Feststellungen getroffen. Ich denke, der BGH hat das gelesen und war damit schon zufrieden. Gleichsam ohne eigene Überlegungen.

Erst danach kommt der Punkt, dass sich der Aufkleber auf dem Router mit dem Key befindet. Dies soll also, quasi als Notfall-Argument, dienen, warum eine Änderung zwingend sein soll.

Es bleibt nur eine Frage: Was machen das LG Frankfurt und der BGH, wenn - wie ja nun vorliegend - gerade nicht das Passwort bei allen Geräten gleich ist - und der Nutzer den Aufdruck auf der Box unkenntlich gemacht hat? Beim ersten Teil der Frage gingen LG Frankfurt und BGH bereits von falschen Umständen aus. Zum zweiten Teil der Frage (Unkenntlichmachung) finde ich nirgendwo, bei LG, OLG und BGH, den Hinweis darauf, dass überhaupt gefragt wurde, ob sich der Aufkleber überhaupt noch an der Box befindet oder unkenntlich gemacht wurde. Die gesamte Argumentation des BGH zur Sicherheit des Routers ist somit hinfällig, da sie mit dem Sachverhalt nichts zu tun hat. Als Aufreger sehe ich das aber nicht: Das ohnehin rechtsfehlerhafte Urteil des BGH wird dadurch letztlich nur abgerundet.

Dazu:

Ein schön aufbereitetes und sehr lesenswertes Interview mit Reto Mantz (Jurist und Betreiber von Retosphere, beschäftigt sich mit Rechtsfragen offener Netze) findet sich hier online.Schön dabei insbesondere der Verweis in die USA, wo man bekanntermaßen keinerlei Probleme damit hat, anonyme Handyverträge an den Mann (oder die Frau) zu bringen - Stichwort “Wegwerf-Handys”.

Einziger kleiner Wermutstropfen: Zum Zeitpunkt des Interviews gab es nur die Pressemitteilung des BGH in Sachen Störerhaftung & WLAN, so dass sich im Interview noch ein paar Sätze zur Kostendeckelung nach § II UrhG finden, das ist ja nun überholt.

Anmerkung: Ich persönlich gehöre seit Jahren zu den Skeptikern dieser Entwicklung und glaube, dass der Trend in Deutschland und Europa insgesamt hin zu einer eindeutigen Identifizierung der User gehen wird. Bereits 2004 habe ich Befürchtungen geäußert, dass es eine denkbare und technisch mögliche Option wäre, dass eine zentrale Agentur (Bundesnetzagentur) jeder Person eine lebenslange IP-Adresse zuteilt und z.B. die Internetnutzung nur mit dieser IP-Adresse via Provider möglich ist. Eine düstere Aussicht, an der ich aber weiterhin festhalte.

Verweise:

Allmählich wird es unfassbar: Der “Südkurier” berichtet, dass Passanten in Schopfheim beobachtet haben, wie sich eine Person “mit einem Laptop nächtens durch die Straßen bewege”. Das ist dann offensichtlich auch sofort verdächtig, die Passanten stellten dem mann nach, befragten ihn, ob er sich in offene WLAN einloggte - und als er dies bejahte, namen sie ihm, so der Südkurier, den Laptop weg. Die herbeigerufene Polizei nahm sich der Sache sofort an.

Um in die Polemik zu wechseln, würde ich mir derart viel Mut und Staatsbürgertum wünschen, wenn demnächst wieder einmal Unschuldige vor den Augen wegsehender Zeugen misshandelt werden. Auch ist es für mich, als jemand der in der Materie steckt, befremdlich dass hier eine Beschlagnahme durch Passanten durchgeführt wird im Verdacht einer Straftat, die es in Deutschland nicht gibt (Schwarz-Surfen ist nicht ausdrücklich verboten. Auch der Hinweis beim Südkurier auf das angebliche Ausspähen von Daten nach § StGB ist verfehlt.

Hinweis an dieser Stelle: Der Fischer-Kommentar zum StGB erwähnt beiläufig, dass ein systematisches suchen nach offenen WLAN durchaus dem § StGB unterfallen soll. Rechtsprechung dazu gibt es nicht.

Ich sehe zunehmend erhebliche Probleme, wenn man sich nun nicht nur Verdächtig macht, weil man mit Computer-Hardware unterwegs ist, sondern zudem auch noch zweifelhafter Grundrechtseingriffe durch beherzte Passanten ausgesetzt ist. Die unkritische Haltung der Presse, die das Schwarz-Surfen längst als Straftat einstuft - was das Schwarz-Surfen keinesfalls unzweifelhaft ist - dürfte die Sachlage nur verschärfen.

Mir scheint, wir haben einen neuen Höhepunkt in der Thematik erreicht. Wobei ich mich frage, wie sich das Thema angesichts zunehmend verbreiteter UMTS-Sticks (und in den nächsten tagen auch iPads) demnächst entwickeln wird. Zugleich wird deutlich, wie dringend eine verbindliche Klärung der strafrechtlichen Relevanz des Umgangs mit offenen Netzen erforderlich ist. Und auch wenn ich sonst ein Anhänger sozialer Kontrolle bin: Man darf bei den Menschen nicht den Eindruck erwecken, sie würden Heldentaten vollbringen, wenn sie eine zweifelhafte Rechtsprechung (eines Amtsgerichts!) ohne gesetzliche Grundlage durch noch zweifelhaftere Grundrechtseingriffe durchsetzen wollen.

Die Rheinische Post verweist auf eine bemerkenswerte Studie, der zu Folge:

1. Jedes 20. WLAN in Mönchengladbach offen ist und
2. jedes 4. unsicher verschlüsselt

Untersucht wurden dabei fast 14.000 gefundene WLAN, dabei zeigt die Studie etwas besonders erschreckendes: Ausgerechnet in Gewerbegebieten ist die Quote der unsicheren WLAN mit einem Drittel höher als in Wohngebieten. Dabei müssen gerade Unternehmen, nicht nur aus Gründen der eigenen System-Sicherheit sondern auch aus Gründen des Datenschutzes besonders stark die Sicherheit ihrer Netze im Auge haben.

Auch mit Blick auf den BGH, der sich am 12.5.2010 mit WLAN und Haftung beschäftigt, erwähnt der Artikel einen relevanten Aspekt:

Die Analyse der Modelltypen lege den Schluss nahe, so die Studierenden, dass die Anwender oft die vom Hersteller voreingestellte Verschlüsselungsart einsetzen.

Der Blick in den Artikel zeigt vor allem eines: WLAN sind allgegenwärtig und das damit verbundene Risiko scheint immer noch zahlreich unterschätzt zu werden. Vor allem die juristischen Haftungsfragen müssen wohl noch stärker thematisiert und in den Fokus gerückt werden. Dabei sollte auf Grund der vorliegenden Daten (“Alle 1000 Meter finden sich 9 offene WLAN”) auf der Hand liegen, dass die vollkommen offene rechtliche Problematik des “Schwarz-Surfens” in Zukunft weiter an Brisanz gewinnt.

Ich werde nicht Müde, gerade Unternehmen in die Pflicht zu nehmen: Schon aus eigenem Interesse sollte man hier umfassend eine brauchbare Sicherheitspolitik entwickeln. Dazu gehört, dass WLAN nur in Betrieb sind, wenn sie auch genutzt werden. Aber eben auch vernünftige Sicherheitsmechanismen, wobei WPA2 mit einem Passwort zwar Standard ist, aber verteilte Schlüssel für Unternehmen sicherlich besser sind. Nochmals verweise ich hier darauf, dass es dabei nicht nur um den Schutz der eigenen Daten geht, sondern dass auch - mit Blick auf Arbeitnehmer und Kunden - datenschutzrelevante Fragen und Bußgelder im Raum stehen. Dabei wird man sich als betroffener Unternehmer auch mit dem beschäftigen müssen, der eine Informationspflicht bei “Datenlecks” vorsieht. Insbesondere wer besonders sensible Daten verarbeitet (etwa Ärzte und Anwälte) muss hier dringend seiner Pflicht bewusst sein - einfach nur einen WLAN-Access-Point aufstellen reicht bei Unternehmen nicht.

Wenig spektakulär, aber sehr eindrücklich ist ein Urteil des LG Hamburg (308 O 691/09), demzufolge derjenige der einen Internetanschluss (hier WLAN) betreibt und bei Rechtsverletzungen Dritter nicht haften möchte, darlegungspflichtig ist. Das LG Hamburg dazu, nachdem es festgestellt hat, dass die Rechtsverletzung vom betroffenen Anschluss aus begangen wurde:

Damit geschah die Rechtsverletzung im Macht- und Verantwortungsbereich der Antragsgegnerin. Aufgrund dessen ist es überwiegend wahrscheinlich, dass sie entweder die Rechtsverletzung selbst begangen hat oder dass sie von Personen begangen worden ist, deren Fehlverhalten sie sich nach den Grundsätzen der Störerhaftung zurechnen lassen muss [...] Die ihr mit der Abmahnung vermittelte Gelegenheit, im Rahmen seiner sekundären Darlegungslast [...] einen Sachverhalt darzulegen, aufgrund dessen sie nicht haftet, hat sie nicht wahrgenommen.

Die danach der Antragsgegnerin zurechenbare widerrechtliche Nutzung begründet die Vermutung einer Wiederholungsgefahr.

Hin und wieder lese ich in Foren den Mythos, dass der Anspruchssteller (hier: Rechteinhaber) die Haftung positiv beweisen muss. Der Blick nach oben zeigt, wie weit dies in der Wirklichkeit daneben liegt, wobei es im vorliegenden Fall sicherlich nicht sehr geschickt war, zu diesem Punkt gar nichts zu sagen.

Bei Telepolis ist ein vielbeachteter Artikel erschienen mit dem Titel “Grundrecht auf Freifunken: Warum der BGH offenes WLAN nicht verbieten kann“. Der sehr gut geschriebene und fundierte Artikel ist absolut lesenswert und führt zu zustimmenden Reaktionen unter anderem bei:

• Lawgical
• Internet-Law

Dennoch, so sehr ich das Ergebnis von Garcia auf Telepolis auch begrüße: Es ist für mich nur eine Nebelkerze. An erster Stelle ist dabei für mich festzustellen, dass der BGH nicht darüber entscheiden wird, ob ein WLAN per se offen oder geschlossen ist, sondern darüber, ob und welche Pflichten den Betreiber eines solchen Netzwerkes treffen. Dabei sollte es, zumindest den erwachsenen Lesern, keine neue Erkenntnis sein, dass gesellschaftlicher Friesen nicht zuletzt von Freiheiten alleine, sondern auch von den mit Freiheiten einhergehenden Pflichten bestimmt wird.

Das, was Garcia in letzter Konsequenz vorschlägt, ist ein Gesetzespositivismus: Frei ist man erst einmal in allem, Einschränkungen darf es wenn, dann nur durch Gesetz geben. Der Rechtsprechung ist es verwehrt, eine Rechtsfortbildung zu betreiben, der Gesetzgeber muss wenn, dann im letzten Detail beschreiben, wo begrenzt wird. Damit erreichen wir den Stand von vor gut 300 Jahren als Montesquieu meinte

Der Richter ist nur der “Mund des Gesetzes”

Diese Phase des Rechts haben wir aber - zum Glück wohlgemerkt - 1949 verlassen. Seitdem liest man regelmäßig in Gesetzesbegründungen, dass der Gesetzgeber gerade auf ausdrückliche (manchmal sogar wünschenswerte) Klarstellungen verzichtet, um Rechtsprechung und Wissenschaft die weitere Entwicklung zu überlassen. Das Ergebnis ist ein Rechtssystem, das gerade nicht starr und von einer politischen Elite errichtet ist, sondern flexibel und dem konkreten Einzelfall angepasst. Diejenigen, die das nicht überzeugt, sollten spätestens dann überzeugt sein, wenn sie darüber nachdenken, welchen Weg der vom Lobbyismus geprägte Gesetzgeber in dieser Frage einschlagen würde.

Ich hatte es in der Vergangenheit schon angedeutet, möchte hier aber deutlicher werden: Freiheiten verlangen auch Verantwortung, das ist der Unterschied zwischen einer geordneten freiheitlichen Gesellschaft und einer theoretischen Freiheit, in der nur der stärkere sein Recht letztlich wahrnehmen kann. Die hier laufende Diskussion ist für mich letztlich eine Luxus-Diskussion, denn diejenigen die hier ein vermeintliches Grundrecht auf Anonymität gefährdet sehen, sagen m.E. nicht die Wahrheit: gefährdet ist nur der Luxus, möglichst schnell das Internet nutzen zu können.

Es ist technisch, und darauf habe ich schon mehrfach hingewiesen, absolut kein Problem, einen Router so zu konfigurieren, dass er nach außen hin offen ist, die Internetverbindung aber nur über ein Zwiebelnetz anbietet. Der Betreiber geht damit zur Zeit kein ernsthaftes Risiko ein, wer seinen Zugang nutzt, bewegt sich so anonym im Netz wie es nur geht. Der Preis den man hier zahlt: Eine, um es nett auszudrücken, langsame Internetverbindung. Es zeigt sich: Die Anonymität ist möglich. Offene WLAN auch und ich sehe nirgendwo beim BGH einen Ansatz, in dem es darum geht, dass ein offenes Netz im Grunde verboten wird.

Bemerkenswert ist, dass seitdem ich diese Ansicht vertrete, mit regelmäßig per Mail und in Foren entgegengehalten wird, dass die Netzverbindung dann ja “viel zu langsam sei”. Es ist schön, dass man zumindest in letzter Konsequenz dann doch ehrlich ist, worüber man hier eigentlich streitet. Daher mein Rat an dieser Stelle: Diskutiert nicht über Nebelkerzen und juristische Fragen, die sich heute nicht mehr stellen. Arbeitet lieber daran, dass Zwiebelnetz auszubauen um endlich vernünftige Verbindungsgeschwindigkeiten, jenseits der 5kbps zu erreichen.

Hinweis: Dieser Kommentar ist losgelöst von der Tatsache zu sehen, dass die Rechtsprechung die Störerhaftung vollkommen über Gebühr ausdehnt und unangemessen dem modernen digitalen Alltag über stülpt. Hier wären beide, Gesetzgeber und Rechtsprechung, in der Lage und in der Pflicht, sich endlich zu bewegen. Insofern ist die Frage von Garcia nach der Gefahr die richtige Frage und gehört weiter vertieft. Problematisch ist dagegen der Hinweis auf die angeblich rechtlich vorgeschriebene Anonymität (hier speziell § TMG), da Garcia an dieser Stelle die Diskussion ausblendet, ob IP-Adressen davon nun mal erfasst sind oder nicht.