Skip to content

LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Volltext BGH: Erben erhalten Zugriff auf Facebook-Konto von Verstorbenen - Vertrag über Benutzerkonto bei einem sozialen Netzwerk vererbbar

BGH
Urteil vom 12.07.2018
III ZR 183/17
BGB § 1922 Abs. 1; § 307 Abs. 1 und 2; TKG § 88; DS-GVO Art. 6 Abs. 1


Wir hatten bereits in dem Beitrag BGH: Erben erhalten Zugriff auf Facebook-Konto von Verstorbenen - Vertrag über Benutzerkonto bei einem sozialen Netzwerk vererbbar - Digitaler Nachlass über die Entscheidung berichtet

Leitsatz des BGH:

Beim Tod des Kontoinhabers eines sozialen Netzwerks geht der Nutzungsvertrag grundsätzlich nach § 1922 BGB auf dessen Erben über. Dem Zugang zu dem Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten stehen weder das postmortale Persönlichkeitsrecht des Erblassers noch das Fernmeldegeheimnis oder das Datenschutzrecht entgegen.

BGH, Urteil vom 12. Juli 2018 - III ZR 183/17 - KG - LG Berlin

Den Volltext der Entscheidung finden Sie hier:



BGH: Erben erhalten Zugriff auf Facebook-Konto von Verstorbenen - Vertrag über Benutzerkonto bei einem sozialen Netzwerk vererbbar - Digitaler Nachlass

BGH
Urteil vom 12.07.2018
III ZR 183/17


Der BGH hat zutreffend entschieden, dass die Eltern verstorbener Tochter als Erben Zugriff auf das Facebook-Konto erhalten. Der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk its grundsätzlich vererbbar. Werder das Fernmeldegeheimnis noch der Datenschutz stehen dem Übergang des Vertragsverhältnisses auf die Erben entgegen.

Die Pressemitteilung des BGH:

Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk ist vererbbar

Der III. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk grundsätzlich im Wege der Gesamtrechtsnachfolge auf die Erben des ursprünglichen Kontoberechtigten übergeht und diese einen Anspruch gegen den Netzwerkbetreiber auf Zugang zu dem Konto einschließlich der darin vorgehaltenen Kommunikationsinhalte haben.

Der Sachverhalt:

Die Klägerin ist die Mutter der im Alter von 15 Jahren verstorbenen L. W. und neben dem Vater Mitglied der Erbengemeinschaft nach ihrer Tochter. Die Beklagte betreibt ein soziales Netzwerk, über dessen Infrastruktur die Nutzer miteinander über das Internet kommunizieren und Inhalte austauschen können.

2011 registrierte sich die Tochter der Klägerin im Alter von 14 Jahren im Einverständnis ihrer Eltern bei dem sozialen Netzwerk der Beklagten und unterhielt dort ein Benutzerkonto. 2012 verstarb das Mädchen unter bisher ungeklärten Umständen infolge eines U-Bahnunglücks.

Die Klägerin versuchte hiernach, sich in das Benutzerkonto ihrer Tochter einzuloggen. Dies war ihr jedoch nicht möglich, weil die Beklagte es inzwischen in den sogenannten Gedenkzustand versetzt hatte, womit ein Zugang auch mit den Nutzerdaten nicht mehr möglich ist. Die Inhalte des Kontos bleiben jedoch weiter bestehen.

Die Klägerin beansprucht mit ihrer Klage von der Beklagten, den Erben Zugang zu dem vollständigen Benutzerkonto zu gewähren, insbesondere zu den darin vorgehaltenen Kommunikationsinhalten. Sie macht geltend, die Erbengemeinschaft benötige den Zugang zu dem Benutzerkonto, um Aufschluss darüber zu erhalten, ob ihre Tochter kurz vor ihrem Tod Suizidabsichten gehegt habe, und um Schadensersatzansprüche des U-Bahn-Fahrers abzuwehren.

Der Prozessverlauf:

Das Landgericht hat der Klage stattgegeben. Auf die Berufung der Beklagten hat das Kammergericht das erstinstanzliche Urteil abgeändert und die Klage abgewiesen. Hiergegen richtet sich die vom Berufungsgericht zugelassene Revision der Klägerin.

Die Entscheidung des Bundesgerichtshofs:

Der III. Zivilsenat des Bundesgerichtshofs hat das Urteil des Kammergerichts aufgehoben und das erstinstanzliche Urteil wiederhergestellt.

Die Erben haben gegen die Beklagte einen Anspruch, ihnen den Zugang zum Benutzerkonto der Erblasserin und den darin vorgehaltenen Kommunikationsinhalten zu gewähren. Dies ergibt sich aus dem Nutzungsvertrag zwischen der Tochter der Klägerin und der Beklagten, der im Wege der Gesamtrechtsnachfolge nach § 1922 Abs. 1 BGB auf die Erben übergegangen ist. Dessen Vererblichkeit ist nicht durch die vertraglichen Bestimmungen ausgeschlossen. Die Nutzungsbedingungen enthalten hierzu keine Regelung. Die Klauseln zum Gedenkzustand sind bereits nicht wirksam in den Vertrag einbezogen. Sie hielten überdies einer Inhaltskontrolle nach § 307 Abs. 1 und 2 BGB nicht stand und wären daher unwirksam.

Auch aus dem Wesen des Vertrags ergibt sich eine Unvererblichkeit des Vertragsverhältnisses nicht; insbesondere ist dieser nicht höchstpersönlicher Natur. Der höchstpersönliche Charakter folgt nicht aus im Nutzungsvertrag stillschweigend vorausgesetzten und damit immanenten Gründen des Schutzes der Persönlichkeitsrechte der Kommunikationspartner der Erblasserin. Zwar mag der Abschluss eines Nutzungsvertrags mit dem Betreiber eines sozialen Netzwerks in der Erwartung erfolgen, dass die Nachrichten zwischen den Teilnehmern des Netzwerks jedenfalls grundsätzlich vertraulich bleiben und nicht durch die Beklagte dritten Personen gegenüber offengelegt werden. Die vertragliche Verpflichtung der Beklagten zur Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten ist jedoch von vornherein kontobezogen. Sie hat nicht zum Inhalt, diese an eine bestimmte Person zu übermitteln, sondern an das angegebene Benutzerkonto. Der Absender einer Nachricht kann dementsprechend zwar darauf vertrauen, dass die Beklagte sie nur für das von ihm ausgewählte Benutzerkonto zur Verfügung stellt. Es besteht aber kein schutzwürdiges Vertrauen darauf, dass nur der Kontoinhaber und nicht Dritte von dem Kontoinhalt Kenntnis erlangen. Zu Lebzeiten muss mit einem Missbrauch des Zugangs durch Dritte oder mit der Zugangsgewährung seitens des Kontoberechtigten gerechnet werden und bei dessen Tod mit der Vererbung des Vertragsverhältnisses.

Eine Differenzierung des Kontozugangs nach vermögenswerten und höchstpersönlichen Inhalten scheidet aus. Nach der gesetzgeberischen Wertung gehen auch Rechtspositionen mit höchstpersönlichen Inhalten auf die Erben über. So werden analoge Dokumente wie Tagebücher und persönliche Briefe vererbt, wie aus § 2047 Abs. 2 und § 2373 Satz 2 BGB zu schließen ist. Es besteht aus erbrechtlicher Sicht kein Grund dafür, digitale Inhalte anders zu behandeln.

Einen Ausschluss der Vererblichkeit auf Grund des postmortalen Persönlichkeitsrechts der Erblasserin hat der III. Zivilsenat ebenfalls verneint.

Auch das Fernmeldegeheimnis steht dem Anspruch der Klägerin nicht entgegen. Der Erbe ist, da er vollständig in die Position des Erblassers einrückt, jedenfalls nicht "anderer" im Sinne von § 88 Abs. 3 TKG.

Schließlich kollidiert der Anspruch der Klägerin auch nicht mit dem Datenschutzrecht. Der Senat hat hierzu die seit 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) anzuwenden. Diese steht dem Zugang der Erben nicht entgegen. Datenschutzrechtliche Belange der Erblasserin sind nicht betroffen, da die Verordnung nur lebende Personen schützt. Die der Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten immanente Verarbeitung der personenbezogenen Daten der Kommunikationspartner der Erblasserin ist sowohl nach Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO als auch nach Art. 6 Abs. 1 Buchst. f DS-GVO zulässig. Sie ist sowohl zur Erfüllung der vertraglichen Verpflichtungen gegenüber den Kommunikationspartnern der Erblasserin erforderlich (Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO) als auch auf Grund berechtigter überwiegender Interessen der Erben (Art. 6 Abs. 1 Buchst. f DS-GVO).

Die maßgeblichen Vorschriften lauten:

§ 1922 Abs. 1 BGB Gesamtrechtsnachfolge

(1) Mit dem Tode einer Person (Erbfall) geht deren Vermögen (Erbschaft) als Ganzes auf eine oder mehrere andere Personen (Erben) über.

§ 307 BGB Inhaltskontrolle

(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.

(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung

1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder

2. wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.

(3) Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen können nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1 unwirksam sein.

§ 2047 BGB Verteilung des Überschusses

(1) Der nach der Berichtigung der Nachlassverbindlichkeiten verbleibende Überschuss gebührt den Erben nach dem Verhältnis der Erbteile.

(2) Schriftstücke, die sich auf die persönlichen Verhältnisse des Erblassers, auf dessen Familie oder auf den ganzen Nachlass beziehen, bleiben gemeinschaftlich.

§ 2373 BGB Dem Verkäufer verbleibende Teile

Ein Erbteil, der dem Verkäufer nach dem Abschluss des Kaufs durch Nacherbfolge oder infolge des Wegfalls eines Miterben anfällt, sowie ein dem Verkäufer zugewendetes Vorausvermächtnis ist im Zweifel nicht als mitverkauft anzusehen. Das Gleiche gilt von Familienpapieren und Familienbildern.

§ 88 TKG Fernmeldegeheimnis

(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.

(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.

(4) Befindet sich die Telekommunikationsanlage an Bord eines Wasser- oder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person, die das Fahrzeug führt oder gegenüber ihrer Stellvertretung.

Art. 6 Abs. 1 DS-GVO Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Vorinstanzen:

Landgericht Berlin – Entscheidung vom 17. Dezember 2015 - 20 O 172/15

Kammergericht – Entscheidung vom 31. Mai 2017 - 21 U 9/16


KG Berlin: Erben haben keinen Zugriff auf Facebook-Account des Verstorbenen - hier: Eltern einer minderjährigen Tochter

KG Berlin
Urteil vom 31. Mai 2017
21 U 9/16


Das KG Berlin hat entschieden, dass Erben keinen Zugriff auf das Facebook-Account des verstorbenen Account-Inhabers haben. Sie können von Facebook nicht die Herausgabe der Zugangsdaten verlangen. Nach Ansicht des KG Berlin steht das Fernmeldegeheimnis der Herausgabe der Daten entgegen. Die gesetzlichen Ausnahmen im TKG greifen nach Ansicht des Gerichts nicht.

Die Revision wurde zugelassen, so dass sich voraussichtlich der BGH mit der Sache befassen wird,

Die Pressemitteilung des KG Berlin:

Kammergericht: Urteil zu Lasten der klagenden Mutter - kein Zugriff der Eltern auf Facebook-Account ihrer verstorbenen Tochter

Das Kammergericht hat in zweiter Instanz zu Gunsten von Facebook entschieden und die Klage einer Mutter, die den Zugang zu dem Facebook-Account ihres verstorbenen Kindes zusammen mit dem Kindesvater aus Erbrecht durchsetzen wollte, abgewiesen und damit zugleich das Urteil des Landgerichts Berlin abgeändert. Der Schutz des Fernmeldegeheimnisses stehe dem Anspruch der Erben entgegen, Einsicht in die Kommunikation der Tochter mit Dritten zu erhalten.

Das Kammergericht ließ offen, ob die Klägerin und der Kindesvater als Erben in den Vertrag eingerückt seien, den die verstorbene Tochter mit Facebook geschlossen hatte. Es sei zwar grundsätzlich möglich, dass die Erben in die Rechte und Pflichten dieses Vertrages eingetreten seien, und zwar nicht im Sinne der aktiven Fortführung dieses Vertrages, sondern um passive Leserechte zu erhalten. In den von Facebook gestellten Nutzungsbedingungen sei nicht geregelt, ob Rechte aus dem Vertrag im Falle des Todes des Nutzers auf seine Erben übergehen könnten. Auch der Grundgedanke des Vertrages spreche nicht generell dagegen, dass er nicht vererblich sei. Facebook wolle den Nutzern nur eine Kommunikationsplattform zur Verfügung stellen und Inhalte vermitteln. Durch eine Änderung in der Person des Vertragspartners würden die Leistungen in ihrem Charakter nicht verändert.

Andererseits regele das Bürgerliche Gesetzbuch nicht, ob höchstpersönliche Rechtspositionen (ohne vermögensrechtliche Auswirkungen) vererbbar seien, sondern setze für eine Vererbung voraus, dass sie in irgendeiner Form im Eigentum des Verstorbenen verkörpert seien und nicht nur virtuell existierten. Um zu klären, ob es sich bei – nicht verkörperten – E-Mails um solche handele, die aufgrund ihres höchstpersönlichen Inhalts nicht vererbbar seien, oder um solche, die aufgrund ihres wirtschaftlichen Bezuges vererbbar seien, würde man in der Praxis auf erhebliche Probleme und Abgrenzungsschwierigkeiten stoßen.

Der Senat müsse jedoch die Frage der Vererbbarkeit des Facebook-Accounts nicht entscheiden. Selbst wenn man davon ausgehe, dass dieser Account in das Erbe falle und die Erbengemeinschaft Zugang zu den Account-Inhalten erhalten müsse, stehe das Fernmeldegeheimnis nach dem Telekommunikationsgesetz entgegen. Dieses Gesetz sei zwar ursprünglich für Telefonanrufe geschaffen worden. Das Fernmeldegeheimnis werde jedoch in Art. 10 Grundgesetz geschützt und sei damit eine objektive Wertentscheidung der Verfassung. Daraus ergebe sich eine Schutzpflicht des Staates und auch die privaten Diensteanbieter müssten das Fernmeldegeheimnis achten. Nach einer Entscheidung des Bundesverfassungsgerichts (Urteil vom 16.6.2009, 2 BvR 902/06, BVErfGE 124, 43) erstrecke sich das Fernmeldegeheimnis auch auf E-Mails, die auf den Servern von einem Provider gespeichert seien. Denn der Nutzer sei schutzbedürftig, da er nicht die technische Möglichkeit habe, zu verhindern, dass die E-Mails durch den Provider weitergegeben würden. Dies gelte entsprechend für sonstige bei Facebook gespeicherten Kommunikationsinhalte, die nur für Absender und Empfänger oder jedenfalls einen beschränkten Nutzerkreis bestimmt sind.

Die nach dem Telekommunikationsgesetz vorgesehenen Ausnahmen würden entgegen der Auffassung des Landgerichts nicht greifen. Zwar sehe das Gesetz vor, dass einem Dritten Kenntnisse vom Inhalt der Kommunikation verschafft werden dürfe, wenn dies erforderlich sei. Als erforderlich könne jedoch nur angesehen werden, was dazu diene, den Dienst technisch zu ermöglichen oder aufrecht zu erhalten. Da Facebook jedoch seine Dienste nur beschränkt auf die Person des Nutzers angeboten habe, sei es auch aus der Sicht der ebenfalls schutzbedürftigen weiteren Beteiligten am Kommunikationsvorgang (Chat) in technischer Hinsicht nicht erforderlich, einem Erben nachträglich Zugang zum Inhalt der Kommunikation zu verschaffen.

Ebenso wenig existiere eine andere gesetzliche Vorschrift, die erlaube, von dem Schutz des Fernmeldegeheimnisses eine Ausnahme zu machen (sogenanntes „kleines Zitiergebot“). Insbesondere das Erbrecht nach dem BGB lasse nicht erkennen, dass der Gesetzgeber den Willen gehabt habe, das Fernmeldegeheimnis einzuschränken. Auch aus sonstigen Gründen sei es nicht geboten, ohne gesetzliche Regelung Ausnahmen zuzulassen und von dem so genannten “kleinen Zitiergebot“ abzuweichen.

Schließlich komme nicht in Betracht, von einem Verzicht auf den Schutz des Fernmeldegeheimnisses auszugehen, indem die klagende Mutter sich darauf berufen hatte, die Zugangsdaten von der Tochter überlassen bekommen zu haben. Dieser Umstand war zwischen den Parteien streitig. Eine Beweisaufnahme sei jedoch nicht erforderlich gewesen, da nicht nur die Verstorbene als Nutzerin des Accounts und Vertragspartnerin von Facebook, sondern zumindest auch alle diejenigen, die in einem Zwei-Personen-Verhältnis mit der Verstorbenen kommuniziert haben, auf den Schutz des Fernmeldegeheimnisses verzichtet haben müssten. Aus der Rechtsprechung des Bundesverfassungsgerichts (vgl. insb. Urteil vom 27.2.2008, 1 BvR 370/07, BVerfGE 120,274, Rz 290 bis 293) folge für den vorliegenden Fall im Endergebnis nichts Abweichendes. Die somit erforderliche Zustimmung dieser anderen Kommunikationspartner liege jedoch nicht vor.

Der Senat hat ferner geprüft, ob zu Gunsten der Klägerin außerhalb des Erbrechts ein Anspruch auf Zugang zu dem Account bestehe. Dies sei zu verneinen. Insbesondere das Recht der elterlichen Sorge verhelfe nicht zu einem solchen Anspruch. Dieses Recht erlösche mit dem Tode des Kindes. Das den Eltern noch zufallende Totenfürsorgerecht könne nicht dazu dienen, einen Anspruch auf Zugang zu dem Social-Media-Account des verstorbenen Kindes herzuleiten. Auch das eigene Persönlichkeitsrecht der Mutter sei nicht geeignet, einen Anspruch auf diesen Zugang zu begründen. Als ein Teilbereich des Persönlichkeitsrechts sei z.B. anerkannt, seine eigene Abstammung zu kennen. Trotz des verständlichen Wunsches der Eltern, die Gründe für den tragischen Tod ihres Kindes näher zu erforschen, lasse sich hieraus kein Recht auf Zugang zu dem Account ableiten. Auch wenn eine verbleibende Unkenntnis darüber die Persönlichkeitsentfaltung der Eltern massiv beeinträchtigen könne, gebe es auch vielfältige andere Ereignisse, die die gleiche Wirkung zeigen könnten. Dadurch würde das allgemeine Persönlichkeitsrecht zu einem konturenlosen und nicht mehr handhabbaren Grundrecht führen.

Das Urteil des Kammergerichts ist nicht rechtskräftig, da der Senat die Revision zum Bundesgerichtshof zugelassen hat.

Die schriftlichen Urteilsgründe werden in Kürze nachfolgend veröffentlicht.

Landgericht Berlin, Urteil vom 17. Dezember 2015, Aktenzeichen 20 O 172/15
Kammergericht, Urteil vom 31. Mai 2017, Aktenzeichen 21 U 9/16



Volltext BGH-Entscheidung - Keine Störerhaftung in Filesharing-Sachen bei WPA2-Verschlüsselung und Verwendung des werkseitigen individuellen Passworts

BGH
Urteil vom 24.11.2016
I ZR 220/15
WLAN-Schlüssel
UrhG § 97 Abs. 1 Satz 1


Wir hatten bereits in dem Beitrag "BGH: Anschlussinhaber haftet nicht als Störer für Filesharing bei WPA2-Verschlüsselung des WLAN-Routers auch wenn werkseitiges individuelles Passwort vewendet wird" über die Entscheidung berichtet.

Leitsätze des BGH:

a) Der Inhaber eines Internetanschlusses mit WLAN-Funktion ist nach den Grundsätzen der Störerhaftung zur Prüfung verpflichtet, ob der verwendete Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen verfügt. Hierzu zählt der im Kaufzeitpunkt aktuelle Verschlüsselungsstandard sowie die Verwendung eines individuellen, ausreichend langen und sicheren Passworts (Festhaltung an BGH, Urteil vom 12. Mai 2010 - I ZR 121/08, BGHZ 185, 330 Rn. 34 - Sommer unseres Lebens).

b) Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig für das Gerät individuell voreingestelltes Passwort genügt den Anforderungen an die Passwortsicherheit. Sofern keine Anhaltspunkte dafür bestehen, dass das Gerät schon im Kaufzeitpunkt eine Sicherheitslücke aufwies, liegt in der Beibehaltung eines solchen werkseitig eingestellten Passworts kein Verstoß gegen die den Anschlussinhaber treffende Prüfungspflicht (Fortführung von BGHZ 185, 330 Rn. 34 - Sommer unseres Lebens).

c) Dem vom Urheberrechtsinhaber gerichtlich in Anspruch genommenen Anschlussinhaber obliegt eine sekundäre Darlegungslast zu den von ihm bei der Inbetriebnahme des Routers getroffenen Sicherheitsvorkehrungen, der er durch Angabe des Routertyps und des Passworts genügt. Für die Behauptung, es habe sich um ein für eine Vielzahl von Geräten voreingestelltes Passwort gehandelt, ist der Kläger darlegungs- und beweispflichtig.

BGH, Urteil vom 24. November 2016 - I ZR 220/15 - LG Hamburg - AG Hamburg

Den Volltext der Entscheidung finden Sie hier:

BGH: Anschlussinhaber haftet nicht als Störer für Filesharing bei WPA2-Verschlüsselung des WLAN-Routers auch wenn werkseitiges individuelles Passwort vewendet wird

BGH
Urteil vom 24.11.2016
I ZR 220/15
WLAN-Schlüssel


Der BGH hat zutreffend entschieden, dass der Inhaber eines Internetanschlusses nicht als Störer für Filesharing bei WPA2-Verschlüsselung des WLAN-Routers haftet, auch wenn das werkseitig eingestellte Passwort verwendet wird. Es darf sich jedoch nicht um ein Passwort handeln, welches vom Router-Hersteller für eine Vielzahl von Geräten verwendet wird.



Der unter anderem für das Urheberrecht zuständige I. Zivilsenat hat sich im Zusammenhang mit der Haftung für Urheberrechtsverletzungen mit den Anforderungen an die Sicherung eines Internetanschlusses mit WLAN-Funktion befasst.

Die Klägerin ist Inhaberin von Verwertungsrechten an dem Film "The Expendables 2". Sie nimmt die Beklagte wegen des öffentlichen Zugänglichmachens dieses Filmwerks im Wege des "Filesharing" auf Ersatz von Abmahnkosten in Anspruch. Der Film ist im November und Dezember 2012 zu verschiedenen Zeitpunkten über den Internetanschluss der Beklagten durch einen unbekannten Dritten öffentlich zugänglich gemacht worden, der sich unberechtigten Zugang zum WLAN der Beklagten verschafft hatte. Die Beklagte hatte ihren Internet-Router Anfang 2012 in Betrieb genommen. Der Router war mit einem vom Hersteller vergebenen, auf der Rückseite des Routers aufgedruckten WPA2-Schlüssel gesichert, der aus 16 Ziffern bestand. Diesen Schlüssel hatte die Beklagte bei der Einrichtung des Routers nicht geändert. Das Amtsgericht hat die Klage abgewiesen. Die Berufung der Klägerin ist ohne Erfolg geblieben.

Der Bundesgerichtshof hat die Revision der Klägerin zurückgewiesen. Er hat angenommen, dass die Beklagte nicht als Störerin haftet, weil sie keine Prüfungspflichten verletzt hat. Der Inhaber eines Internetanschlusses mit WLAN-Funktion ist zur Prüfung verpflichtet, ob der eingesetzte Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen, also einen aktuellen Verschlüsselungsstandard sowie ein individuelles, ausreichend langes und sicheres Passwort, verfügt. Die Beibehaltung eines vom Hersteller voreingestellten WLAN-Passworts kann eine Verletzung der Prüfungspflicht darstellen, wenn es sich nicht um ein für jedes Gerät individuell, sondern für eine Mehrzahl von Geräten verwendetes Passwort handelt. Im Streitfall hat die Klägerin keinen Beweis dafür angetreten, dass es sich um ein Passwort gehandelt hat, das vom Hersteller für eine Mehrzahl von Geräten vergeben worden war. Die Beklagte hatte durch Benennung des Routertyps und des Passworts sowie durch die Angabe, es habe sich um ein nur einmal vergebenes Passwort gehandelt, der ihr insoweit obliegenden sekundären Darlegungslast genügt. Da der Standard WPA2 als hinreichend sicher anerkannt ist und es an Anhaltspunkten dafür fehlt, dass im Zeitpunkt des Kaufs der voreingestellte 16-stellige Zifferncode nicht marktüblichen Standards entsprach oder Dritte ihn entschlüsseln konnten, hat die Beklagte ihre Prüfungspflichten nicht verletzt. Sie haftet deshalb nicht als Störerin für die über ihren Internetanschluss von einem unbekannten Dritten begangenen Urheberrechtsverletzungen. Eine bei dem Routertyp bestehende Sicherheitslücke ist in der Öffentlichkeit erst im Jahr 2014 bekannt geworden.

Vorinstanzen:

AG Hamburg - Urteil vom 9. Januar 2015 - 36a C 40/14

LG Hamburg - Urteil vom 29. September 2015 - 310 S 3/15



EuGH: Geschäftsinhaber welcher der Öffentlichkeit kostenlos WLAN zur Verfügung stellt haftet nicht für Urheberrechtsverletzungen eines Nutzers

EuGH
Urteil vom 15.09.2016
C-484/14
Tobias Mc Fadden / Sony Music Entertainment Germany GmbH


Der EuGH hat entschieden, dass ein Geschäftsinhaber, welcher der Öffentlichkeit kostenlos einen WLAN-Hotspot zur Verfügung stellt, nicht für Urheberrechtsverletzungen der Nutzer haftet. Allerdings darf dem Betreiber des WLAN-Netzes aufgegeben werden das Netz durch ein Passwort zu sichern, um Rechtsverletzungen zu beenden oder ihnen vorzubeugen. Der EuGH führt weiter aus, dass nach Art. 12 der EU-E-Commerce-Richtlinie nicht ausgeschlossen ist, dass der Geschädigte in einem solchen Fall die Erstattung der Abmahnkosten und Gerichtskosten verlangen kann.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:

1. Art. 12 Abs. 1 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) in Verbindung mit Art. 2 Buchst. a dieser Richtlinie und mit Art. 1 Nr. 2 der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft in der durch die Richtlinie 98/48/EG des Europäischen Parlaments und des Rates vom 20. Juli 1998 geänderten Fassung ist dahin auszulegen, dass eine Leistung wie die im Ausgangsverfahren fragliche, die von dem Betreiber eines Kommunikationsnetzes erbracht wird und darin besteht, dass dieses Netz der Öffentlichkeit unentgeltlich zur Verfügung gestellt wird, einen „Dienst der Informationsgesellschaft“ im Sinne von Art. 12 Abs. 1 der Richtlinie 2000/31 darstellt, wenn diese Leistung von dem Anbieter zu Werbezwecken für von ihm verkaufte Güter oder angebotene Dienstleistungen erbracht wird.

2. Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass der in dieser Bestimmung genannte Dienst, der darin besteht, Zugang zu einem Kommunikationsnetz zu vermitteln, bereits dann als erbracht anzusehen ist, wenn dieser Zugang den Rahmen des technischen, automatischen und passiven Vorgangs, der die erforderliche Übermittlung von Informationen gewährleistet, nicht überschreitet, ohne dass eine zusätzliche Anforderung erfüllt sein müsste.

3. Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass die in Art. 14 Abs. 1 Buchst. b der Richtlinie vorgesehene Voraussetzung nicht im Rahmen von Art. 12 Abs. 1 der Richtlinie entsprechend gilt.

4. Art. 12 Abs. 1 in Verbindung mit Art. 2 Buchst. b der Richtlinie 2000/31 ist dahin auszulegen, dass es keine anderen Anforderungen als die in dieser Bestimmung genannte gibt, denen ein Diensteanbieter, der Zugang zu einem Kommunikationsnetz vermittelt, unterläge.

5. Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass es ihm zuwiderläuft, dass derjenige, der durch eine Verletzung seiner Rechte an einem Werk geschädigt worden ist, gegen einen Anbieter, der Zugang zu einem Kommunikationsnetz vermittelt, Ansprüche auf Schadensersatz und auf Erstattung der für sein Schadensersatzbegehren aufgewendeten Abmahnkosten oder Gerichtskosten geltend machen kann, weil dieser Zugang von Dritten für die Verletzung seiner Rechte genutzt worden ist. Hingegen ist diese Bestimmung dahin auszulegen, dass es ihr nicht zuwiderläuft, dass der Geschädigte die Unterlassung dieser Rechtsverletzung sowie die Zahlung der Abmahnkosten und Gerichtskosten von einem Anbieter, der Zugang zu einem Kommunikationsnetz vermittelt und dessen Dienste für diese Rechtsverletzung genutzt worden sind, verlangt, sofern diese Ansprüche darauf abzielen oder daraus folgen, dass eine innerstaatliche Behörde oder ein innerstaatliches Gericht eine Anordnung erlässt, mit der dem Diensteanbieter untersagt wird, die Fortsetzung der Rechtsverletzung zu ermöglichen.

6. Art. 12 Abs. 1 in Verbindung mit Abs. 3 der Richtlinie 2000/31 ist unter Berücksichtigung der Erfordernisse des Grundrechtsschutzes und der Regelungen der Richtlinien 2001/29 und 2004/48 dahin auszulegen, dass er grundsätzlich nicht dem Erlass einer Anordnung wie der im Ausgangsverfahren fraglichen entgegensteht, mit der einem Diensteanbieter, der Zugang zu einem Kommunikationsnetz, das der Öffentlichkeit Anschluss an das Internet ermöglicht, vermittelt, unter Androhung von Ordnungsgeld aufgegeben wird, Dritte daran zu hindern, der Öffentlichkeit mittels dieses Internetanschlusses ein bestimmtes urheberrechtlich geschütztes Werk oder Teile davon über eine Internettauschbörse („peer-to-peer“) zur Verfügung zu stellen, wenn der Diensteanbieter die Wahl hat, welche technischen Maßnahmen er ergreift, um dieser Anordnung zu entsprechen, und zwar auch dann, wenn sich diese Wahl allein auf die Maßnahme reduziert, den Internetanschluss durch ein Passwort zu sichern, sofern die Nutzer dieses Netzes, um das erforderliche Passwort zu erhalten, ihre Identität offenbaren müssen und daher nicht anonym handeln können, was durch das vorlegende Gericht zu überprüfen ist.

Die Pressemitteilung des Gerichts:

"Ein Geschäftsinhaber, der der Öffentlichkeit kostenlos ein WiFi-Netz zur Verfügung stellt, ist für Urheberrechtsverletzungen eines Nutzers nicht verantwortlich Jedoch darf ihm durch eine Anordnung aufgegeben werden, sein Netz durch ein Passwort zu sichern, um diese Rechtsverletzungen zu beenden oder ihnen vorzubeugen

Herr Tobias Mc Fadden betreibt ein Geschäft für Licht- und Tontechnik, in dem er kostenlos ein öffentlich zugängliches WiFi-Netz bereitstellt, um die Aufmerksamkeit potenzieller Kunden auf seine Waren und Dienstleistungen zu lenken. Über dieses Netz wurde im Jahr 2010 ein musikalisches Werk, für das Sony die Rechte innehat, rechtswidrig zum Herunterladen angeboten.
Das mit dem Rechtsstreit zwischen Sony und Herrn Mc Fadden befasste Landgericht München I ist der Ansicht, dass Herr Mc Fadden selbst die betreffenden Urheberrechtsverletzungen nicht begangen habe. Es hält jedoch seine mittelbare Haftung für diese Rechtsverletzung für denkbar, da er sein WiFi-Netz nicht gesichert habe. Da es Zweifel hat, ob die Richtlinie über den
elektronischen Geschäftsverkehr einer solchen mittelbaren Haftung entgegensteht, hat es dem
Gerichtshof eine Reihe von Fragen vorgelegt.

Die Haftung von Vermittlern, die Dienste der reinen Durchleitung von Daten anbieten, für eine von einem Dritten begangene rechtswidrige Handlung wird nämlich durch die Richtlinie beschränkt. Diese Haftungsbeschränkung greift, wenn drei kumulative Voraussetzungen erfüllt sind: 1. Der Anbieter von Diensten hat die Übermittlung nicht veranlasst. 2. Er hat den Adressaten der
Übertragung nicht ausgewählt. 3. Er hat die übermittelten Informationen nicht ausgewählt oder verändert.

In seinem heutigen Urteil stellt der Gerichtshof zunächst fest, dass ein Anbieter, der der Öffentlichkeit unentgeltlich ein WiFi-Netz zur Verfügung stellt, um die Aufmerksamkeit potenzieller Kunden auf die Waren oder Dienstleistungen eines Geschäfts zu lenken, damit einen „Dienst der Informationsgesellschaft“ im Sinne der Richtlinie erbringt.

Der Gerichtshof bestätigt weiter, dass dann, wenn die drei genannten Voraussetzungen erfüllt sind, keine Haftung eines Anbieters bestehen kann, der wie Herr Mc Fadden Zugang zu einem Kommunikationsnetz vermittelt. Daher hat der Urheberrechtsinhaber gegen diesen Anbieter keinen Anspruch auf Schadensersatz, weil Dritte das WiFi-Netz zur Verletzung seiner Rechte benutzt haben. Da ein solcher Schadensersatzanspruch nicht besteht, kann der Urheberrechtsinhaber auch keine Erstattung der für sein Schadensersatzbegehren aufgewendeten Abmahn- oder Gerichtskosten verlangen.

Hingegen läuft es der Richtlinie nicht zuwider, dass der Urheberrechtsinhaber bei einer innerstaatlichen Behörde oder einem innerstaatlichen Gericht eine Anordnung beantragt, mit der dem Anbieter aufgegeben wird, jeder Urheberrechtsverletzung durch seine Kunden ein Ende zu setzen oder solchen Rechtsverletzungen vorzubeugen.

Der Gerichtshof stellt schließlich fest, dass eine Anordnung, mit der dem Anbieter die Sicherung des Internetanschlusses durch ein Passwort aufgegeben wird, geeignet erscheint, ein Gleichgewicht zwischen den Rechten von Rechtsinhabern an ihrem geistigen Eigentum einerseits und dem Recht der Anbieter von Internetzugangsdiensten auf unternehmerische Freiheit und dem
Recht der Internetnutzer auf Informationsfreiheit andererseits herzustellen. Der Gerichtshof weist insbesondere darauf hin, dass eine solche Maßnahme dazu angetan ist, Nutzer eines Kommunikationsnetzes von Urheberrechtsverletzungen abzuhalten. Um diesen Abschreckungseffekt zu gewährleisten, ist es allerdings erforderlich, dass die Nutzer, um nicht anonym handeln zu können, ihre Identität offenbaren müssen, bevor sie das erforderliche Passwort erhalten.

Dagegen schließt die Richtlinie ausdrücklich Maßnahmen aus, die auf eine Überwachung der durch ein Kommunikationsnetz übermittelten Informationen abzielt. Auch eine Maßnahme, die in der vollständigen Abschaltung des Internetanschlusses bestünde, ohne dass die unternehmerische Freiheit des Anbieters weniger beschränkende Maßnahmen in Betracht gezogen würden, wäre nicht geeignet, die einander widerstreitenden Rechte in Einklang zu bringen."



LG Berlin: Erben haben Zugriff auf Facebook-Account des Verstorbenen - hier: Eltern einer minderjährigen Tochter

LG Berlin
Urteil vom 17.12.2015
20 O 172/15


Das LG Berlin hat entschieden, dass die Erben Zugriff auf das Facebook-Account des verstorbenen Account-Inhabers haben. Sie können von Facebook die Herausgabe der Zugangsdaten verlangen.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des LG Berlin:

Landgericht Berlin: Eltern einer minderjährig Verstorbenen haben Anspruch auf Zugang zu deren Facebook-Account

Die Zivilkammer 20 des Landgerichts hat mit einem Urteil vom 17. Dezember 2015 entschieden, dass die Eltern einer minderjährig Verstorbenen als deren Erben von Facebook die Zugangsdaten zu dem Benutzerkonto herausverlangen können.

Die Tochter der Klägerin war mit 15 Jahren unter ungeklärten Umständen durch eine in einen Bahnhof einlaufende U-Bahn tödlich verletzt worden. Die Klägerin erhoffte, über den Facebook-Account ihrer Tochter und die dort ausgetauscht Nachrichten und Posts mehr über den Tod ihrer Tochter zu erfahren und zu klären, ob es sich um einen Selbstmord gehandelt haben könnte. Dies war auch deshalb von Bedeutung, als der Fahrer der U-Bahn, die die Verstorbene erfasst hatte, gegen die Erben ein Schmerzensgeld und Schadensersatz wegen Verdienstausfalls geltend machte. Facebook Ireland Limited (im Folgenden: Facebook) verweigerte der Klägerin die Zugangsdaten zu dem in einen Gedenkzustand versetzten Account, so dass diese Klage erhob.

Das Landgericht gab der Klage statt und verpflichtete Facebook, den Eltern der Verstorbenen als deren Erben Zugang zu dem Benutzerkonto und dessen Kommunikationsinhalten zu gewähren. Der Vertrag zur Nutzung der Facebook-Dienste, den die Tochter abgeschlossen hatte, sei wie jeder andere schuldrechtliche Vertrag auf die Erben übergegangen. Eine unterschiedliche Behandlung des digitalen und des „analogen“ Vermögens des Erblassers sei nicht gerechtfertigt. Denn eine Ungleichbehandlung würde dazu führen, dass persönliche Briefe und Tagebücher unabhängig von ihrem Inhalt vererblich wären, E-Mails oder private Facebook-Nachrichten hingegen nicht.

Schutzwürdige Interessen von Facebook seien nicht gegeben. Der Nutzungsvertrag werde regelmäßig ohne nähere Prüfung des Nutzers abgeschlossen werde und dessen Identität kontrolliere Facebook nur in Ausnahmefällen. Ebenso stehe das postmortale Persönlichkeitsrecht der Verstorbenen einer Zugangsgewährung nicht entgegen. Denn die Erziehungsberechtigten seien für den Schutz des Persönlichkeitsrechtes ihrer minderjährigen Kinder zuständig. Dies gelte nicht nur zu deren Lebzeiten. Jedenfalls dann, wenn besondere Umstände wie hier die ungeklärte Todesursache der Tochter vorlägen, seien die Eltern als Erben berechtigt, sich Kenntnis darüber zu verschaffen, was ihre Tochter im Internet geäußert habe.

Die Gedenkzustands-Richtlinie, wie sie Facebook vor 2014 verwandt habe, sei unwirksam. Es stelle eine unangemessene Benachteiligung der Nutzer bzw. deren Erben dar, wenn eine beliebige Person der Facebook-Freundesliste veranlassen könnte, dass das Profil des Nutzers in den Gedenkzustand versetzt werde, und wenn dies auch von den Erben nicht rückgängig gemacht werden könne.

Auch das Datenschutzrecht stehe dem Anspruch auf Zugangsgewährung nicht entgegen. Vertrauliche Briefe, die ein Dritter verschickt habe, würden nach dem Tod des Empfängers von den Erben gelesen werden können, ohne dass ein Eingriff in die Rechte dieser Dritten vorliege. Nichts Anderes gelte für digitale Daten.

Das Urteil des Landgerichts Berlin liegt vor und ist unter http://www.berlin.de/gerichte/presse/pressemitteilungen-der-ordentlichen-gerichtsbarkeit/2016/ verfügbar. Das Urteil ist nicht rechtskräftig; dagegen kann Berufung beim Kammergericht innerhalb eines Monats ab förmlicher Zustellung des Urteils eingelegt werden.

Landgericht Berlin, Urteil vom 17. Dezember 2015 - 20 O 172/15 -


LG Hamburg: Keine automatische Störerhaftung des Anschlussinhabers wenn werkseitig eingestellter WPA2-Schlüssel des Routers nicht geändert wird - Filesharing

LG Hamburg
Urteil vom 29.09.2015
310 S 3/15


Das LG Hamburg hat entschieden, dass der Inhaber eines Internet-Anschlusses nicht automatisch in Filesharing-Fällen als Störer haftet, wenn dieser den werkseitig eingestellter WPA2-Schlüssel des Routers nicht ändert.

Aus den Entscheidungsgründen:

"Der Beklagten ist aber auch keine Prüfpflichtverletzung vorzuwerfen, den (nach vorstehend 2.) hier anzunehmenden individuellen WLAN-Schlüssel des Herstellers nicht noch einmal selbst geändert zu haben.

a)
Eine solche generelle Pflicht zur Änderung eines werkseitig voreingestellten individuellen Schlüssels lässt sich nicht schon der BGH-Entscheidung „Sommer unseres Lebens“ entnehmen.

Zwar war nach den Entscheidungsgründen, (BGH, Urteil vom 12. Mai 2010, I ZR 121/08, zit. nach juris-Rn. 33 und 34) der Router des dortigen Beklagten

„bei aktivierter WLAN-Unterstützung werkseitig durch eine WPA-Verschlüsselung geschützt, die für die Einwahl in das Netzwerk des Beklagten einen 16-stelligen Authentifizierungsschlüssel erfordert. […] Der Beklagte hat es nach dem Anschluss des WLAN-Routers bei den werkseitigen Standardsicherheitseinstellungen belassen und für den Zugang zum Router kein persönliches, ausreichend langes und sicheres Passwort vergeben. Der Schutz von Computern, Kundenkonten im Internet und Netzwerken durch individuelle Passwörter gehörte auch Mitte 2006 bereits zum Mindeststandard privater Computernutzung und lag schon im vitalen Eigeninteresse aller berechtigten Nutzer. Sie war auch mit keinen Mehrkosten verbunden.“

Es ist jedoch der Kammer nicht nachvollziehbar, dass im dortigen Sachverhalt ein individuell vergebenes Passwort streitgegenständlich war. Dem Tatbestand der BGH-Entscheidung lässt sich dies nicht entnehmen, er verweist insofern auf die Feststellungen der ersten Instanz. Der Tatbestand des voraufgegangenen oberlandesgerichtlichen Urteils (OLG Frankfurt, Urteil vom 01. Juli 2008 - 11 U 52/07 -, vgl. dort juris-Rn 18) lässt den Sachverhalt insofern ebenfalls nicht erkennen. Das voraufgegangene landgerichtliche Urteil (LG Frankfurt, 5. Oktober 2007, Az: 2/3 O 19/07) ist - soweit der Kammer bekannt - nicht in Fachzeitschriften oder -publikationen veröffentlicht, wird aber teilweise in Volltextauszügen im Internet zitiert; danach soll die einschlägige Passage in den Entscheidungsgründen wie folgt lauten (zit. nach http://www. f.- a..de/rechtsanwalt/it-recht/gewichtige-anderung-in-sachen-bgh-und-storerhaftung/1734/, abgerufen am 28.09.2015, Unterstreichungen hinzugefügt):

„Schließlich sorgte der Beklage auch nicht dadurch für eine hinreichende Sicherung seines Routers, dass der Zugang auf diesen Router bei aktivierter WLAN-Funktion werkseitig mit einer WPA-Verschlüsselung gesichert worden war. Dabei kann dahinstellt bleiben, ob eine WPA-Verschlüsselung nach derzeitigem Standard noch als sicher und zuverlässig angesehen werden kann oder bereits - wie die Klägerin behauptet - gängige Methode die Verwendung von WPA2 ist.

Denn der Beklagte hat seinem eigenen Vorbringen zufolge es nach dem Anschluss des WLAN-Routers bei den Standardsicherheitseinstellungen belassen, die der Hersteller vorgegeben hat. Dies stellt nach Auffassung der Kammer indes keinen ausreichend sicheren WPA-Netzwerkschlüssel dar. Zum einen sind solche Standardsicherheitseinstellungen bei vielen Herstellern auf allen ausgelieferten Geräten gleich und damit auch den Internet-Kriminellen bekannt.

Zum anderen befindet sich auf der Fritz-Box, wie sie auch von dem Beklagten genutzt wird; ein Aufkleber, auf welchem sich neben der Seriennummer auch der werkseitig voreingestellte Code befindet. Für eine ausreichende Sicherung seines WLAN-Anschlusses gegen Passwort-Attacken hätte der Beklagte daher das Standard-Passwort für die Fritz Box durch ein persönliches, ausreichend langes Passwort aus einer losen Kombination von Buchstaben, Ziffern und Sonderzeichen ändern müssen.“

Danach ist der Kammer jedenfalls nicht nachvollziehbar, dass dem Urteil „Sommer unseres Lebens“ ein Sachverhalt zugrunde gelegen haben soll, bei dem ein werkseitig individualisiertes Passwort vergeben worden sein soll.

b)

Ob eine Änderung des werkseitig-individuellen Passworts notwendig sein kann, weil der vergebene Schlüssel auf der Rückseite des Gerätes aufgedruckt ist und daher für einen unberechtigten Dritten sichtbar ist, wenn er Zutritt zum Routergerät hat, kann hier offen bleiben, weil sich ein entsprechender Kausalzusammenhang vorliegend nicht feststellen lässt (so dass ebenfalls offen bleiben kann, inwieweit dieser Gefahr durch andere Maßnahmen, z.B. Zugangsbeschränkungen, ausreichend vorgebeugt werden kann).

Der Kausalzusammenhang wäre vorliegend nur gegeben gewesen, wenn der unberechtigte Dritte die Kenntnis des WPA2-Schlüssels der Beklagten gerade dadurch erlangt hätte, dass er die Möglichkeit gehabt hätte, von der Aufschrift auf dem Gerät der Beklagten Kenntnis zu nehmen.

Davon ist aber im vorliegenden Verfahren keine der Parteien ausgegangen; vielmehr sehen beide Parteien die Ursache für den unberechtigten Drittzugriff in einer Entschlüsselung des Codes von außen wegen der in Anlagen B 4 und B 5 beschriebenen Sicherheitslücke des werkseitig vergebenen individuellen Passworts. Zu diesem Geschehensverlauf besteht jedoch kein Schutzzweckzusammenhang bzgl. einer Pflicht zur Verhinderung eines Ausspähens des Aufdrucks auf der Rückseite des Gerätes.

c)
Der Beklagten ist auch nicht vorzuwerfen, den werkseitig vergebenen individuellen 16-stelligen Zahlencode nicht zur Erschwerung eines über das WLAN erfolgenden Ausspähens überhaupt und möglichst in einen Code unter Verwendung auch von Buchstaben und/oder Sonderzeichen geändert zu haben.

Wie gesehen, hatte der BGH in der Entscheidung „Sommer unseres Lebens“ (a.a.O., vgl. oben 1.) eine Prüfpflicht des privaten Internetanschlussbetreibers angenommen, „jedenfalls die im Kaufzeitpunkt des Routers für den privaten Bereich marktüblichen Sicherungen ihrem Zweck entsprechend wirksam einzusetzen“. Der BGH begründete seine Annahme einer insofern anlasslosen Prüfpflicht damit, das „hoch zu bewertende, berechtigte Interesse, über WLAN leicht und räumlich flexibel Zugang zum Internet zu erhalten, [werde] nicht dadurch in Frage gestellt, dass die zum Zeitpunkt der Installation des WLAN-Routers auch im Privatbereich verkehrsüblich vorhandenen Sicherungsmaßnahmen gegen unbefugte Nutzung angewandt [würden]“ (a.a.O., zit. nach juris-Rz. 24). Die Anknüpfung an „für den privaten Bereich marktübliche Sicherungen“ und „verkehrsüblich vorhandene Sicherungsmaßnahmen“ lässt erkennen, dass der BGH dem privaten Anschlussinhaber die im privaten Verkehr gebotene, letztlich in seinem eigenen Interesse liegende Sorgfalt abverlangt und ihm diesem Rahmen - aber auch nur diesem - entsprechende Erkundigungspflichten zumutet.

Nach dem Sach- und Streitstand im vorliegenden Verfahren ist nicht erkennbar, dass ein 16-stelliger reiner Zahlenschlüssel schon generell oder auch hier im Besonderen nicht als ausreichend sicher hätte beurteilt werden müssen:

Zwar ist es auch für einen mathematisch nur durchschnittlich vorgebildeten Anschlussinhaber leicht nachvollziehbar, dass ein 16-stelliger Zahlenschlüssel bei Verwendung allein der zehn Ziffern 0-9 weniger Kombinationsmöglichkeiten eröffnet als ein 16-stelliger Schlüssel unter Einbeziehung auch von Buchstaben und Sonderzeichen.

Andererseits eröffnet ein 16-stelliger reiner Zahlenschlüssel bereits 1016 Kombinationsmöglichkeiten. Zudem ist dem von außen zugreifenden Dritten auch nicht bekannt, ob der Anschlussinhaber sich auf einen reinen Zahlencode beschränkt hat; das gilt zumindest im vorliegenden Fall, in welchem die Beklagte unbestritten vorgetragen hat, den Modem-Namen, der bei der Anzeige des WLAN-Netzes angegeben wird, in „O.“ geändert zu haben, so dass der verwendete Routertyp einem außenstehenden Dritten nicht erkennbar war und er daher keinen Rückschluss auf einen reinen Zahlencode vornehmen konnte.

d)
Bei dieser Ausgangslage wäre der Beklagten eine Prüfpflichtverletzung nur dann vorzuwerfen gewesen, wenn sie Anhaltspunkte dafür gehabt hätte, dass ein 16-stelliger Zahlenschlüssel generell oder der auf ihrem Gerät spezielle verwendete Schlüssel im Besonderen ausspähbar gewesen wäre. Solche Anhaltspunkte lagen aber nach Sach- und Streitstand im vorliegenden Verfahren nicht vor.

Insbesondere hat die Beklagte unbestritten geltend gemacht, dass die dem Gerät beigefügte Betriebsanleitung den Erwerber nicht dazu aufforderte, den voreingestellten 16-stelligen Code durch einen eigenen Code mit Ziffern, Buchstaben und Sonderzeichen (oder überhaupt durch ein eigenes Passwort) zu ersetzen (die entsprechenden Empfehlungen in der Kundenwarnung der T. G. GmbH & Co OHG gem. Anlage B 4 erfolgten vorliegend erst nach Inbetriebnahme des Routers und den streitgegenständlichen Verletzungshandlungen); anderes hätte von der Klägerin substanziiert dargelegt und ggf. bewiesen werden müssen. Es ist auch nicht erkennbar, dass die Beklagte über besondere persönliche Kenntnisse verfügt hätte, die sie sich hätte entgegen halten lassen müssen.

Anhaltspunkte dafür, dass der auf dem Router voreingestellte konkrete 16-stellige Zahlencode „2...4“ eine für einen solchen Code unsichere Kombination aufwies, bestanden für die Beklagte ebenfalls nicht. Weder folgte der Code einem bestimmten für den Laien erkennbaren Muster noch hatte er irgendeinen Bezug zur Beklagten und deren sonstigen persönlichen Daten (Geburtstag, Hausnummer, Telefonnummer o.ä.), aus denen ein außenstehender bei Kenntnis auf den Code hätte rückschließen können. Auch die späteren Veröffentlichungen zur Sicherheitslücke gem. Anlagen B 4 und B 5 geben keinen Anhaltspunkt, inwiefern der Beklagten bei Inbetriebnahme des Routers eine Unsicherheit des voreingestellten individuellen Passworts hätte auffallen müssen.

Dass der Code in einer offenbar unsicheren Weise vom Hersteller generiert worden war, war der Beklagten ebenfalls nicht erkennbar. Sie hatte keine Möglichkeit, das Generierungsverfahren zu kontrollieren, und die späteren Mitteilungen B 4 und B 5, mit denen die Sicherheitslücke öffentlich bekannt wurde, wurden erst im März 2014 veröffentlicht und damit nach dem Zeitpunkt der hier streitgegenständlichen Verletzungshandlungen."


Den Volltext der Entscheidung finden Sie hier:


BVerfG: Regelungen des TKG zur Speicherung und Verwendung von Telekommunikationsdaten zum Teil verfassungswidrig - Zugriff auf PIN-Codes und Passwörter

BVerfG
Beschluss vom 24. Januar 2012
1 BvR 1299/05

Leitsätze des Gerichts


1. In der Zuordnung von Telekommunikationsnummern zu ihren Anschlussinhabern liegt ein Eingriff in das Recht auf informationelle Selbstbestimmung. Demgegenüber liegt in der Zuordnung von dynamischen IP-Adressen ein Eingriff in Art. 10 Abs. 1 GG.

2. Der Gesetzgeber muss bei der Einrichtung eines Auskunftsverfahrens sowohl Rechtsgrundlagen für die Übermittlung, als auch für den Abruf von Daten schaffen.

3. Das automatisierte Auskunftsverfahren der §§ 112, 111 TKG ist mit der Verfassung vereinbar. § 112 TKG setzt dabei für den Abruf eigene Ermächtigungsgrundlagen voraus.

4. Das manuelle Auskunftsverfahren der §§ 113 Abs. 1 Satz 1, 111, 95 Abs. 1 TKG ist in verfassungskonformer Auslegung mit dem Grundgesetz vereinbar. Zum einen bedarf es für den Abruf der Daten qualifizierter Rechtsgrundlagen, die selbst eine Auskunftspflicht der Telekommunikationsunternehmen normenklar begründen. Zum anderen darf die Vorschrift nicht zur Zuordnung dynamischer IP-Adressen angewendet werden.

5. Die Sicherheitsbehörden dürfen Auskünfte über Zugangssicherungscodes (§ 113 Abs. 1 Satz 2 TKG) nur dann verlangen, wenn die gesetzlichen Voraussetzungen für ihre Nutzung gegeben sind.

Den Volltext der Entscheidung finden Sie hier:

BGH: Der Betreiber eines ungesicherten WLAN-Anschlusses haftet auf Unterlassung nicht aber auf Schadensersatz bei Urheberrechtsverletzungen durch einen Dritten- Tauschbörsennutzung

BGH
Urteil vom 12.10.2010
I ZR 121/08
Sommer unseres Lebens


Der BGH hat nunmehr wenig überraschend entschieden, dass der Betreiber eines nicht ausreichend gesicherten WLAN-Netzes bei Urheberrechtsverletzungen durch Dritte (hier: Tauschbörsennutzung) auf Unterlassung nicht aber auf Schadensersatz haftet.

In der Pressemitteilung des BGH heißt es zum Sachverhalt:

"Die Klägerin ist Inhaberin der Rechte an dem Musiktitel "Sommer unseres Lebens". Mit Hilfe der Staatsanwaltschaft wurde ermittelt, dass dieser Titel vom Internetanschluss des Beklagten aus auf einer Tauschbörse zum Herunterladen im Internet angeboten worden war. Der Beklagte war in der fraglichen Zeit jedoch in Urlaub. Die Klägerin begehrt vom Beklagten Unterlassung, Schadensersatz und Erstattung von Abmahnkosten."

Es heißt dort weiter:

"Auch privaten Anschlussinhabern obliegt aber eine Pflicht zu prüfen, ob ihr WLAN-Anschluss durch angemessene Sicherungsmaßnahmen vor der Gefahr geschützt ist, von unberechtigten Dritten zur Begehung von Urheberrechtsverletzungen missbraucht zu werden. Dem privaten Betreiber eines WLAN-Netzes kann jedoch nicht zugemutet werden, ihre Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden. Ihre Prüfpflicht bezieht sich daher auf die Einhaltung der im Zeitpunkt der Installation des Routers für den privaten Bereich marktüblichen Sicherungen."


Völlig richtig sind die weiteren Feststellung des BGH, die von den Filesharing-Abmahnern bislang immer gerne verschwiegen wurden.

"Der Beklagte haftet deshalb nach den Rechtsgrundsätzen der sog. Störerhaftung auf Unterlassung und auf Erstattung der Abmahnkosten (nach geltendem, im Streitfall aber noch nicht anwendbaren Recht fallen insofern maximal 100 € an). Diese Haftung besteht schon nach der ersten über seinen WLAN-Anschluss begangenen Urheberrechtsverletzung. Hingegen ist der Beklagte nicht zum Schadensersatz verpflichtet. Eine Haftung als Täter einer Urheberrechtsverletzung hat der Bundesgerichtshof verneint, weil nicht der Beklagte den fraglichen Musiktitel im Internet zugänglich gemacht hat. Eine Haftung als Gehilfe bei der fremden Urheberrechtsverletzung hätte Vorsatz vorausgesetzt, an dem es im Streitfall fehlte."

Es bleibt abzuwarten, ob sich der BGH in den Entscheidungsgründen auch allgemeiner zur Deckelung der Abmahnkosten äußern wird.

Die vollständige Pressemitteilung des BGH finden Sie hier:

"BGH: Der Betreiber eines ungesicherten WLAN-Anschlusses haftet auf Unterlassung nicht aber auf Schadensersatz bei Urheberrechtsverletzungen durch einen Dritten- Tauschbörsennutzung" vollständig lesen