Wir sind nicht unser WLAN - oder doch?

“Privatpersonen können auf Unterlassung, nicht dagegen auf Schadensersatz in Anspruch genommen werden, wenn ihr nicht ausreichend gesicherter WLAN-Anschluss von unberechtigten Dritten für Urheberrechtsverletzungen im Internet genutzt wird."

Das hat der zuständige I. Zivilsenat des Bundesgerichtshofs heute entschieden und mitgeteilt. Die Entscheidung finde ich ziemlich bedeutsam in Hinsicht auf das, was sich als unser digitales Ich auch in rechtlicher Hinsicht herauszuschälen beginnt. Der Fall lag vereinfacht gesagt so: Ein Urheber konnte eine Urheberrechtsverletzung offenbar zu einer digitalen Identität zurückverfolgen, dem WLAN-Anschluss einer realen Person. Diese Person war zur fraglichen Zeit in Urlaub, sagt also, sie kann es nicht gewesen sein, folglich muss es jemand anderes gewesen sein, ergo liegt wohl ein Identitätsdiebstahl vor.

Bei WLAN-DSL-Routern besteht das digitale Ich einerseits aus den Einwahldaten beim Provider, denn durch diese kann der Provider einen Teilnehmer eindeutig identifizieren, andererseits aus den Zugangsdaten zum WLAN-Router, denn durch diese kann sich der Nutzer gegenüber seinem Router authentifizieren - deutlich weniger eindeutig. Verbindet man Zeitpunkt der Einwahl mit der IP-Adresse, ergibt sich auch aus externen Daten - etwa der gespeicherten IP-Adresse eines Webzugriffes oder einer Verbindung mit P2P-Netzen - ebenso eindeutig der Teilnehmer. Aber eben nur der Teilnehmer in seiner Manifestation als DSL-Router, nicht jedoch als in seiner Manifestation als Nutzer des WLAN-Routers.

IP-Adressen sind (nicht für jedermann, aber sie sind es) fälschbar, das kommt im BGH-Urteil aber offenbar nicht vor. Dem Gericht ist aber immerhin klar, das eine digitale Identität - gegeben durch die Einwahl - stehlbar ist. Das finde ich ja schon mal fortschrittlich, zu akzeptieren, dass WLAN-Hacking Volkssport ist. Zugleich mahnt das BGH aber an, dass wir selbst für den Schutz unseres digitalen Ichs sorgen sollen. In der Sprache der BGH-Mitteilung:

"Auch privaten Anschlussinhabern obliegt aber eine Pflicht zu prüfen, ob ihr WLAN-Anschluss durch angemessene Sicherungsmaßnahmen vor der Gefahr geschützt ist, von unberechtigten Dritten zur Begehung von Urheberrechtsverletzungen missbraucht zu werden."

Nun ist prinzipiell gesagt alles irgendwie hackbar, es ist nur eine Frage des Aufwands. Wenn nicht heute, dann morgen. Aber ebenso ist alles schützbar, ebenfalls mit verschiedenem Aufwand. Und das BGH mutet uns hier keineswegs unmögliches zu. Statt dessen heißt es:

"Dem privaten Betreiber eines WLAN-Netzes kann jedoch nicht zugemutet werden, ihre Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden. Ihre Prüfpflicht bezieht sich daher auf die Einhaltung der im Zeitpunkt der Installation des Routers für den privaten Bereich marktüblichen Sicherungen."

Was aber sind "zum Zeitpunkt der Installation" "marktübliche Sicherungen"?

"Diese Pflicht hatte der Beklagte nach Auffassung des Bundesgerichtshofs verletzt. Er hatte es bei den werkseitigen Standardsicherheitseinstellungen des WLAN-Routers belassen und das Passwort nicht durch ein persönliches, ausreichend langes und sicheres Passwort ersetzt. Ein solcher Passwortschutz war auch für private WLAN-Nutzer bereits im Jahre 2006 üblich und zumutbar. Er lag im vitalen Eigeninteresse aller berechtigten Nutzer und war mit keinen Mehrkosten verbunden."

Im Klartext: Sein Passwort hätte man auch 2006 schon ändern können, sagte das BGH. Wir haben 2010, also dürften WPA2 und lange, eigene Passwörter sowohl für den Admin-Zugang als auch für den WPA2-Key "üblich und zumutbar" sein. BTW: Hier gibt's Tipps für ein sicheres WLAN, hier Tipps für sichere Kennwörter.

Fazit: Wir haben ein digitales Ich, ob wir das wollen, oder nicht. Die meisten dürften sich dieser Tatsache nicht bewusst sein, denn es gibt mehr DSL-Nutzer als Poweruser, die ihre Kennwörter selber ändern können. Das BGH glaubt, das unsere Mamis und Omis könnten das schon - ich behaupte: Nein, das können sie nicht, sie haben vierstellige, maximal sechsstellige Passwörter in ihren Shops, meist die Namen ihrer Katzen und Hunde. Egal: Das Recht fordert jedenfalls auch von ihnen schon heute, dass sie sich ihrer digitalen Identität bewusst werden.

Immerhin: Wir sind möglicherweise nicht immer unser WLAN. Aber das BGH möchte, dass wir dafür sorgen, dass wir es sind. Warum eigentlich? Am Ende doch vor allem, um Rechtsverstöße im digitalen Raum leichter verfolgen zu können. Zugleich stellt der Staat - anders bei der realen Identität - keine sichere Infrastruktur zur Verfügung. Diese Diskrepanz halte ich für ein Versäumnis. Das ist, also würde man uns verpflichten, dafür Sorge zu tragen, dass unser Personalausweis fälschungssicher wird, ohne zugleich Ämter zu betreiben, die solche Ausweise ausstellen.

Eine solche Infrastruktur wäre ein enges Korsett - "Trusted Computing". Sie wäre das Gegenteil von Freiheit im Netz. Doch die gibt es dank BGH nun auch nicht mehr. Eine Kultur freier Netze wurde wirkungsvoll verhindert, wie auch hier beklagt wird. Man muss hier aber auch Abwägung betreiben: Freiheit ja, aber totale Anonymität führt eben auch das Problem mit sich, dass der digitale Raum zu einem völlig rechtsfreien wird.