keine Störerhaftung

27. November 2016

routerPrivate WLAN-Betreiber fallen nicht unter die Störerhaftung, wenn sie voreingestellte Router-Passwörter nicht ändern. Das hat der BGH jetzt entschieden. Seit einer Leitsatzentscheidung aus dem Jahr 2010 haften Anschlussbesitzer, wenn sie ihren Internet-Zugang nicht vor illegalen Handlungen Dritter absichern. Bisher war unklar, ob die Passwörter, mit denen die Router ausgeliefert werden, durch eigene ersetzt werden müssen, um den Prüfungspflichten nachzukommen.

Eine Filmfirma klagte eine Frau an, von deren Internetanschluss Filesharing betrieben wurde. Durch eine Sicherheitslücke des Routers hatte sich ein Dritter Zugang zum WLAN verschafft. Der BGH entschied, die Angeklagte habe mit der Verwendung des Hersteller-Passworts ihre Prüfungspflichten nicht verletzt. Er knüpft sein Urteil jedoch an zwei Bedingungen: Die Router müssen vom Hersteller individuelle Passwörter erhalten und diese müssen marktüblichen Standards entsprechen. Im vorliegenden Fall war eine WPA2-Verschlüsselung mit 16-stelligem Passwort ausreichend.

Auch, wenn die Frage nach Hersteller-Passwörtern nun beantwortet ist, attestiert Thomas Stadler dem Urteil eine begrenzte Bedeutung für das Filesharing:

der BGH geht zunächst einmal von der Vermutung aus, dass der Anschlussinhaber die Rechtsverletzung begangen hat. Zur Störerhaftung […] gelangt man überhaupt erst dann, wenn man ausreichend darlegen kann, dass eine Rechtsverletzung durch einen Dritten ernsthaft und konkret in Betracht kommt. Wenn es sich hierbei um einen unbekannten Dritten handeln soll, der den Router gehackt hat, dann müssen die konkreten Umstände dargelegt werden, unter denen sich der Dritte den unberechtigten Zugang verschafft hat. Das ist im Zweifel kaum möglich.

Weitere Hintergrund-Informationen haben auch Spiegel Online und Zeit Online.

 

(ein netzpolitik-Beitrag von Florian Zechmeister Creative Commons BY-NC-SA 3.0.; Foto: WLAN-Router CC BY-NC 2.0, via flickr/Chris Campbell)

Kontrollwahn

29. Oktober 2012

Die Netzgemeinde und das Internet sind einmal mehr ins Visier bundesdeutscher Sicherheitsfanatiker geraten. Wir sollen eben alle gläsern werden. Netzpolitik.org informiert darüber:

„Behörden sollen zukünftig die Inhaber von IP-Adressen automatisch über elektronische Schnittstellen abfragen können, statt wie bisher einzeln. Das sieht ein Gesetzesentwurf (PDF) vor, den die Bundesregierung am Mittwoch beschlossen hat. Eine Vielzahl von ‘Bedarfsträgern’ soll Zugriff auf die Daten erhalten – ganz ohne Richtervorbehalt.

Nachdem im Februar das Bundesverfassungsgericht die Regelungen zur Speicherung und Herausgabe von Nutzerdaten, Passwörtern und PIN-Codes an Ermittlungsbehörden und andere staatliche Stellen als teilweise verfassungswidrig eingestuft hatte, bestehe nun Handlungsbedarf. Denn die Auskunft über Name, Anschrift des Anschlussinhabers, zugeteilte Rufnummern und andere Anschlusskennungen sei “ein unverzichtbares Ermittlungsinstrument für Strafverfolgungs- und Sicherheitsbehörden”.

Der Gesetzesentwurf beinhaltet unter anderem die automatisierte Zuordnung von IP-Daten zu den Nutzern von Internetzugängen, auch bei dynamischen IP-Adressen. Dies gelte “auch für Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt verwendet werden” – Pin-Codes und Passwörter beispielsweise.

Die 16 größten Dienstanbieter sollen demnach eine “gesicherte elektronische Schnittstelle” einrichten, um Daten auf Anfrage “unverzüglich und vollständig” übermitteln zu können. Als auskunftsberechtigt gelten Mitarbeiter des Bundeskriminalamts, der Bundespolizei, des Zollfahndungsdienstes, des Verfassungsschutzes, des Bundesnachrichtendienstes und des Militärischen Abschirmdienstes.

Kritisiert wird unter anderem, dass das Haftungsrisiko für Diensteanbieter zu hoch sei, da sie Anfragen formal prüfen sollen, bevor eine Datenauskunft erfolgt. Aber auch in Providerkreisen wird laut Heise Online der Entwurf als problematisch eingestuft:

Angesichts der Tatsache, dass ein Eingriff in das Fernmeldegeheimnis erfolge, seien nur unzureichende grundrechtssichernde Regelungen enthalten, warnen Branchenvertreter. So sei einerseits die Zahl der abfragenden Stellen nicht überschaubar, anderseits gebe es keine Beschränkung auf bestimmte Delikte. So könne nach Landesrecht eine Vielzahl weiterer Behörden Auskünfte verlangen, um bei Ordnungswidrigkeiten oder zur Abwehr von Gefahren für die öffentliche Sicherheit tätig zu werden. Sonst übliche Schutzvorkehrungen wie ein Richtervorbehalt oder zumindest eine staatsanwaltliche Anordnung seien nicht vorgesehen.

Das Bundesinnenministerium ließ mitteilen, dass es nicht um eine Ausweitung von Befugnissen von Polizei und Nachrichtendiensten gehe und Anfragen nur “unter besonderer Berücksichtigung der damit einhergehenden Grundrechtseingriffe festgelegt” würden. Der Entwurf biete lediglich eine Präzisierung der Rechtslage. [Ja, klar]

Update
Patrick Breyer verfasste (noch nicht im Namen des AK Vorrat!) eine Stellungnahme zum Gesetzesentwurf, die ausführlich die geplanten Änderungen und ihre möglichen Konsequenzen thematisiert.“

Mein Fazit: Jede Dienststelle der Bundespolizei darf also im Zweifel künftig meine Passwörter abfragen, und -damit das klar ist- jede Bundespolizei-Dienststelle darf auch Ihre Passwörter abfragen.

Mir wird schlecht bei so viel Kontrollwahn.

(Quelle)