BGH-Urteil: Keine Störerhaftung bei gehacktem WLAN-Passwort

WLAN-Betreiber dürfen nicht für Sicherheitslücken ihrer Router in Haftung genommen werden. Das hat der Bundesgerichtshof (BGH) am Donnerstag im Streit über ein illegales Filesharing entschieden. Demnach verletzt ein Nutzer nicht seine Sorgfaltspflicht, wenn er ein vom Hersteller voreingestelltes individuelles WPA2-Passwort nicht ändert (Az. I ZR 220/15).

In den vergangenen Jahren waren Fälle bekanntgeworden, in denen sich über die Mac-Adresse das voreingestellte Passwort berechnen ließ, beispielsweise bei einigen Belkin-Routern oder Speedport-Routern der Deutschen Telekom.

Über den WLAN-Router der beklagten Frau war im Jahr 2012 der Film The Expendables 2 mehrfach hochgeladen worden. Die Verleihfirma verlangte von der Beklagten daher die Zahlung von Abmahnkosten auf Basis der Störerhaftung. Vor dem Amtsgericht und dem Landgericht Hamburg war die Klage jedoch gescheitert. Der BGH bestätigte nun die Entscheidungen der beiden vorangegangenen Instanzen.

Der Nutzer eines Internetanschlusses müsse lediglich prüfen, "ob der eingesetzte Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen, also einen aktuellen Verschlüsselungsstandard sowie ein individuelles, ausreichend langes und sicheres Passwort, verfügt". Die Beibehaltung eines voreingestellten WLAN-Passworts verletze nicht die Prüfungspflicht, wenn es sich um ein individuelles Passwort handele. Dem Gericht zufolge wurde die bei dem Routertyp bestehende Sicherheitslücke erst im Jahr 2014 bekannt.

Der BGH hatte 2010 in einem Grundsatzurteil ("Sommer unseres Lebens") entschieden, dass private WLAN-Betreiber ihren Router angemessen sichern und ein nicht individuelles Standardpasswort bei der Installation ändern müssen.