Bundesgerichtshof, Entscheidung vom 24.11.2016, Az. I ZR 220/15

[X.]:[X.]:[X.]:2016:241116U[X.]220.15.0

BUN[X.]SGERICHTSHOF
IM
NAMEN
[X.]S
VOLKES
URTEIL
I [X.]
Verkündet am:
24. November 2016
Führinger
Justizangestellte
als Urkundsbeamtin
der Geschäftsstelle
in dem Rechtsstreit
Nachschlagewerk:
ja
[X.]Z:
nein
[X.]R:
ja

[X.]
[X.] § 97 Abs. 1 Satz 1
a)
Der Inhaber eines Internetanschlusses mit WLAN-Funktion ist nach den Grundsätzen der Störerhaftung zur Prüfung verpflichtet, ob der verwendete Router über die im Zeit-punkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen verfügt. Hierzu
zählt der im Kaufzeitpunkt aktuelle Verschlüsselungsstandard sowie die Verwendung ei-nes individuellen, ausreichend langen und sicheren Passworts (Festhaltung an [X.], Ur-teil vom 12. Mai 2010 -
I [X.], [X.]Z 185, 330 Rn. [X.] unseres Lebens).
b)
Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig für das Gerät individuell voreingestelltes Passwort genügt den Anforderungen an die Passwortsicher-heit. Sofern keine Anhaltspunkte dafür bestehen, dass das Gerät schon im Kaufzeitpunkt eine Sicherheitslücke aufwies, liegt in der Beibehaltung eines solchen werkseitig einge-stellten Passworts kein Verstoß gegen die den Anschlussinhaber treffende [X.] (Fortführung von [X.]Z 185, 330 Rn. [X.] unseres Lebens).
c)
Dem vom Urheberrechtsinhaber gerichtlich in Anspruch genommenen Anschlussinhaber obliegt eine sekundäre Darlegungslast zu den von ihm bei der Inbetriebnahme des [X.] getroffenen Sicherheitsvorkehrungen, der er durch Angabe des [X.]s und des Passworts genügt. Für die Behauptung, es habe sich um ein für eine Vielzahl von [X.] voreingestelltes Passwort gehandelt, ist der Kläger darlegungs-
und beweispflichtig.
[X.], Urteil vom 24. November 2016 -
I [X.] -
LG [X.]

[X.]

-
2
-

Der [X.]
Zivilsenat des [X.] hat auf die mündliche Verhand-lung vom 24.
November
2016 durch [X.]
Dr.
Büscher, die Richter Prof.
Dr.
Schaffert, Prof.
Dr.
[X.], die Richterin Dr.
[X.] und [X.] Feddersen

für Recht erkannt:
Die Revision gegen das Urteil des [X.] -
Zi-vilkammer
10 -
vom 29.
September 2015 wird auf Kosten der Klä-gerin zurückgewiesen.

Von Rechts wegen

Tatbestand:
Die Klägerin ist Inhaberin von Verwertungsrechten an dem Film "T.

E.

". Die Beklagte wohnte in einem Mehrfamilienhaus und betrieb
mithilfe eines Routers des Typs "Alice Modem WLAN 1421"
einen Internetzu-gang mittels WLAN (Wireless Local Area Network). Dieser war zu einem Zeit-punkt zwischen Februar und Mai 2012 eingerichtet worden. Der Router war mit einem vom Hersteller vergebenen, auf der Rückseite der Verpackung des [X.] aufgedruckten [X.] gesichert, der aus 16 Ziffern bestand.
[X.] hatte die Beklagte bei der Einrichtung des Routers nicht geän-dert. Den Namen des Routers, mit dem ihr Netz angezeigt wurde, hatte sie auf "O.

"
ändern lassen.
1
-
3
-

Eine den Film "T.

E.

"
enthaltende Datei wurde im Novem-
ber und Dezember 2012
an drei Tagen zu fünf verschiedenen Zeitpunkten über den Internetanschluss der [X.] in einer Internettauschbörse zum [X.] angeboten. Zwischen den Parteien ist unstreitig, dass dieses Angebot durch einen unbekannten [X.] vorgenommen wurde, der sich unberechtigten Zugang zum WLAN
der [X.] verschafft hatte.

Die Klägerin ließ die Beklagte am 7.
Juni 2013 anwaltlich abmahnen und verlangte Schadensersatz und Kostenerstattung. Die Beklagte gab daraufhin eine Unterlassungsverpflichtung ab, leistete aber keine Zahlung.

Die Klägerin hat erstinstanzlich Abmahnkosten in
Höhe von 755,80

Das Amtsgericht hat die Klage abgewiesen
([X.], [X.], 335). Mit ihrer Berufung, die das [X.] zurückgewiesen hat (LG Ham-burg, Urteil vom 29. September 2015 -
310 S 3/15,
juris), hat die Klägerin allein den Anspruch auf Erstattung der Abmahnkosten weiterverfolgt.
Mit ihrer
vom Berufungsgericht zugelassenen Revision, deren Zurückweisung die Beklagte
beantragt, verfolgt die
Klägerin
den Anspruch auf Zahlung von Abmahnkosten weiter.

Entscheidungsgründe:
[X.] Das Berufungsgericht hat angenommen, der
Klägerin stehe der geltend gemachte Anspruch auf Abmahnkostenerstattung nach § 97a Abs. 1 [X.]
aF nicht zu. Zur Begründung hat es ausgeführt:

2
3
4
5
6
-
4
-

Die Voraussetzungen einer Haftung der [X.] als Störerin lägen nicht vor. Die Beklagte habe keine Prüfungspflichten verletzt.
Ein Verstoß ge-gen Prüfungspflichten liege weder darin, dass die Beklagte den werkseitig ver-gebenen [X.] für die WPA2-Verschlüsselung beibehalten habe, noch darin, dass sie diesen nicht selbst geändert habe. Ein 16-stelliger [X.] sei generell hinreichend sicher. Anhaltspunkte dafür, dass der [X.] unsicher gewesen sei, hätten für die [X.] im Zeitpunkt der behaupteten Verletzungshandlung nicht bestanden.

I[X.] Die hiergegen gerichtete Revision der Klägerin ist unbegründet.
Das Berufungsgericht hat rechtsfehlerfrei angenommen, dass die Voraussetzungen eines Anspruchs gemäß § 97a Abs. 1 [X.] aF nicht vorliegen.

1. Auf den mit
der Klage geltend gemachten Anspruch auf Erstattung von Abmahnkosten ist § 97a [X.] in der bis zum 8. Oktober 2013 geltenden [X.] anzuwenden. Die durch das Gesetz über unseriöse Geschäftspraktiken vom 1. Oktober 2013 ([X.], [X.]) mit Wirkung ab dem 9. Oktober 2013 eingeführten Neuregelungen zur Wirksamkeit der Abmahnung und zur Begren-zung der erstattungsfähigen Kosten nach § 97a Abs. 2 und 3 Satz 2 und
3 [X.] nF gelten erst für Abmahnungen, die nach Inkrafttreten des Gesetzes über unseriöse Geschäftspraktiken ausgesprochen worden sind. Für den [X.] von Abmahnkosten kommt es auf die Rechtslage zum Zeitpunkt der Abmahnung an (vgl. zu § 97a Abs. 1 Satz 2 [X.] aF [X.], Urteil vom 28. September 2011 -
I [X.], ZUM 2012, 34 Rn. 8,
mwN; Urteil vom 8. Januar 2014 -
I [X.], [X.]Z 200, 76 Rn. 11 -
BearShare; Urteil vom 11.
Juni 2015 -
I
ZR 75/14, [X.], 191 Rn. 58
= [X.], 73

[X.]; Urteil vom 12.
Mai 2016 -
I
ZR
1/15, [X.], 1275 Rn.
19 = [X.], 1525 -
Tannöd).

7
8
9
-
5
-

2. Nach § 97a Abs. 1 Satz 1 [X.] aF soll der Verletzte den Verletzer vor Einleitung eines gerichtlichen Verfahrens auf Unterlassung abmahnen und ihm Gelegenheit geben, den Streit durch Abgabe einer mit einer angemessenen Vertragsstrafe bewehrten Unterlassungsverpflichtung beizulegen. Soweit die Abmahnung berechtigt ist, kann der Ersatz der erforderlichen Aufwendungen verlangt werden. Danach besteht ein Anspruch auf Abmahnkostenersatz, wenn die Abmahnung begründet gewesen ist, ihr also ein materieller Unterlassungs-anspruch zugrunde gelegen hat. Darüber hinaus muss die Abmahnung wirksam und erforderlich sein, um dem [X.] einen Weg zu weisen, den Unterlassungsgläubiger ohne Inanspruchnahme der Gerichte klaglos zu stellen ([X.], Urteil vom 21. Januar 2010 -
I [X.], [X.], 354 Rn. 8 = [X.], 525 -
Kräutertee; Urteil vom 19. Mai 2010 -
I [X.], [X.], 1120 Rn. 16 = [X.], 1495 -
Vollmachtsnachweis; Urteil vom 11.
Juni 2015 -
I
ZR
7/14, [X.], 184 Rn. 55 ff. = [X.], 66

Tauschbörse II; [X.] in [X.]/[X.], Urheberrecht, 4. Aufl., § 97a [X.] Rn. 50; Dreier/Specht in Dreier/[X.], [X.], 5. Aufl., § 97a Rn. 8). Im Streitfall steht der Klägerin kein
Unterlassungsanspruch
gegen die Beklagte zu,
weil die
Voraussetzungen der Störerhaftung -
eine täterschaftliche Haftung steht nicht in Rede -
nicht vorliegen.

a) Als Störer kann bei der Verletzung absoluter Rechte auf Unterlassung in Anspruch genommen werden, wer -
ohne Täter oder Teilnehmer zu sein -
in
irgendeiner Weise willentlich und adäquat-kausal zur Verletzung des geschütz-ten Rechts beiträgt. Dabei kann als Beitrag auch die Unterstützung oder [X.] der Handlung eines eigenverantwortlich handelnden [X.] genügen, sofern der in Anspruch Genommene die rechtliche und tatsächliche Möglichkeit zur Verhinderung dieser Handlung hatte. Da die Störerhaftung nicht über [X.] auf Dritte erstreckt werden darf, die weder als Täter noch als Teilnehmer für die begangene Urheberrechtsverletzung in Anspruch genommen werden 10
11
-
6
-

können, setzt die Haftung als Störer nach der Rechtsprechung des Senats die Verletzung zumutbarer Verhaltenspflichten, insbesondere von Prüfpflichten vo-raus. Ob und inwieweit dem als Störer in Anspruch [X.] eine Verhin-derung der Verletzungshandlung des [X.] zuzumuten ist, richtet sich nach den jeweiligen Umständen des Einzelfalls unter Berücksichtigung seiner Funkti-on und Aufgabenstellung sowie mit Blick auf die Eigenverantwortung desjeni-gen, der die rechtswidrige Beeinträchtigung selbst unmittelbar vorgenommen hat ([X.], Urteil vom 12.
Mai 2010 -
I
ZR
121/08, [X.]Z 185, 330 Rn.
19

Sommer unseres Lebens; [X.]Z 200, 76 Rn. 22 -
BearShare; [X.], Urteil vom 26. November 2015 -
I [X.], [X.], 268 Rn. 21 = [X.], 341

Störerhaftung des [X.]; Urteil vom 12.
Mai 2016 -
I
ZR
86/15, [X.], 1289 Rn. 11 = [X.], 1522 -
Silver Linings Playbook).

b) Das Berufungsgericht hat angenommen, die Beklagte habe keine Prü-fungspflichten verletzt. Ihr Router habe über den zur
Abwehr unberechtigter Zugriffe generell geeigneten Sicherungsstandard WPA2 verfügt. Die Beklagte habe nicht deshalb gegen Prüfungspflichten verstoßen, weil sie den werkseitig vergebenen, aus 16 Ziffern bestehenden [X.] beibehalten habe. Es sei nicht festzustellen, dass es sich um einen nicht individualisierten [X.] gehandelt
habe, der werkseitig auch für andere Geräte desselben Herstellers vergeben worden sei. Die Beklagte sei der ihr insoweit obliegenden sekundären Darlegungslast zu den von ihr ergriffenen Sicherungsmaßnahmen
nachgekommen, indem sie den Hersteller, Typ und verwendeten [X.] ihres Routers benannt habe. Die Klägerin habe keinen Beweis dafür angeboten, dass es sich bei diesem Schlüssel um ein nicht allein für dieses [X.], sondern auch für andere Geräte vergebenes Passwort gehandelt habe. Die Beklagte habe ferner keine Prüfungspflicht verletzt, weil sie den vom Hersteller voreingestellten [X.] nicht selbst geändert habe. Die Klägerin [X.] nicht geltend, dass ein Dritter den auf der Rückseite der Verpackung [X.]
-
7
-

gedruckten [X.] ausgespäht habe. Die von einem [X.] durch Ausnutzung einer Sicherheitslücke vorgenommene Entschlüsselung des [X.] sei der [X.] nicht zurechenbar. Die Beklagte sei nicht ver-pflichtet gewesen, das Entschlüsseln des Codes durch die Einfügung von Buch-staben oder Sonderzeichen zu erschweren. Ein 16-stelliger [X.] habe im Zeitpunkt der Inbetriebnahme des Routers als
generell hinreichend sicher
angesehen werden dürfen. Anhaltspunkte dafür, dass der voreingestellte Code unsicher gewesen sei, hätten für die [X.] nicht bestanden. Weder sei er einem für Laien erkennbaren Muster gefolgt noch habe er einen Bezug zu persönlichen Daten der [X.] aufgewiesen.
Zudem habe die Beklagte die Netzwerkbezeichnung ihres Routers geändert, so dass ein Rückschluss auf den [X.] und einen etwa verwendeten reinen Zahlencode nicht möglich gewe-sen sei. Der Hersteller habe in der Betriebsanleitung nicht zu einer Änderung des [X.]s aufgefordert. Hinweise darauf, dass der voreingestellte WLAN-Code des betroffenen [X.]s unbefugt entschlüsselt werden könne, seien erst im März 2014 veröffentlicht worden. Diese
Beurteilung hält der recht-lichen Nachprüfung stand.

c) Die Revision wendet sich ohne Erfolg gegen die Beurteilung des [X.], durch die Beibehaltung des werkseitig voreingestellten [X.]s habe die Beklagte nicht gegen
die
ihr obliegenden
Prüfpflichten ver-stoßen.

aa) Nach der Rechtsprechung des [X.] ist der Inhaber eines Internetanschlusses mit WLAN-Funktion verpflichtet zu prüfen, ob der verwendete Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen verfügt. Hierzu zählt der im
Kaufzeitpunkt aktuelle Verschlüsselungsstandard sowie die Verwendung eines individuellen, ausrei-chend langen und sicheren Passworts (vgl. [X.]Z 185, 330 Rn. 34 -
Sommer 13
14
-
8
-

unseres Lebens).
In der Beibehaltung einer werkseitigen [X.] kann somit ein Verstoß gegen die Prüfungspflicht liegen, wenn die vorgenannten Anforderungen an die
Passwortsicherheit nicht erfüllt sind.
Mit diesen Grundsätzen wird dem auf Seiten des Inhabers des Urheberrechts
zu berücksichtigenden Grundrecht auf geistiges Eigentum gemäß Art.
17 Abs. 2 EU-Grundrechtecharta und
Art.
14 Abs.
1 GG angemessen Rechnung getragen (vgl. [X.], Urteil vom 15. September 2016 -
C-484/14, [X.], 1146 Rn. 98 = [X.], 1486
-
Sony Music/[X.]; [X.], Urteil vom 6. Oktober 2016

I
ZR 154/15, [X.], 386
Rn. 22 ff. = [X.], 448
-
Afterlife).

(1) Am Erfordernis der Individualität des Passworts fehlt es, wenn der Hersteller eine Mehrzahl von Geräten auf ein identisches Passwort voreinge-stellt hat. In einem solchen Fall steht [X.] schon bei Kenntnis vom Typ des verwendeten Routers potentiell der Zugriff auf das WLAN offen. Hat der [X.] hingegen jedes einzelne Gerät mit einem individuellen Passwort [X.], ist das Erfordernis der Individualität grundsätzlich gewahrt (vgl. [X.], [X.], 605
mit zust. [X.]. Mantz, [X.], 605 und [X.], jurisPR-ITR 1/2014 [X.]. 4; [X.], [X.], 335
mit zust. [X.]. [X.], [X.] 2015, 90, 91 und [X.], jurisPR-ITR 12/2015 [X.]. 3).

(2) Ein aus einer zufälligen 16-stelligen Ziffernfolge bestehendes, werkseitig individuell voreingestelltes Passwort ist im Ausgangspunkt nicht [X.] sicher als ein vom Nutzer persönlich eingestelltes Passwort (vgl. [X.], [X.], 605, 607; Mantz, [X.], 568,
569 und [X.], 605, 607). Fehlt es im Zeitpunkt des Kaufs des Routers an [X.]n, dass Dritte den werkseitig voreingestellten Code entschlüsseln konnten, weil dieser vom Hersteller fehlerhaft oder in einer Art und Weise [X.] worden ist, dass eine Sicherheitslücke bestand, verstößt der Nutzer, der die Voreinstellung übernimmt, nicht gegen die ihm obliegenden Prüfungs-15
16
-
9
-

pflichten. Dasselbe
gilt, wenn keine Anhaltspunkte dafür bestehen, dass Dritte den Code aufgrund seiner Anbringung auf der Produktverpackung oder dem Produkt selbst haben ausspähen können.

bb) Nach
diesen Maßstäben
ist das Berufungsgericht zu Recht davon ausgegangen, dass die Beklagte nicht gegen die ihr obliegenden Sicherungs-maßnahmen verstoßen hat.

(1) Die Revision wendet
sich nicht gegen die Feststellung
des [X.], der Router der [X.] habe über den [X.] verfügt. Der [X.] ist als hinreichend sicher anerkannt (vgl. [X.]Z 185, 330 Rn.
33 -
Sommer unseres Lebens; [X.] in: [X.]/[X.], Handbuch IT-
und Datenschutzrecht, 2.
Aufl., § 3 Rn. 261).

(2) Die Revision macht ohne Erfolg geltend, nicht die Klägerin, sondern die Beklagte trage die Darlegungs-
und Beweislast dafür, dass es sich um einen individuellen [X.] gehandelt habe. Das Berufungsgericht hat zutref-fend ausgeführt, dass der
Anspruchsteller für sämtliche Voraussetzungen des geltend gemachten Anspruchs auf Abmahnkostenerstattung die Darlegungs-
und Beweislast trägt
(st. Rspr.;
vgl. nur [X.], Urteil vom 15. November 2012

I
ZR 74/12, [X.], 511 Rn. 32 = [X.], 799 -
Morpheus; Urteil vom 12. Mai 2016 -
I [X.], [X.], 1280 Rn. 32 = [X.], 79 -
Every-time we touch). Hierzu
zählt im Falle der Störerhaftung auch die Verletzung der Prüfungspflicht durch den Anspruchsgegner. Da die Frage, welche Sicherheits-vorkehrungen der Anschlussinhaber bei Inbetriebnahme seines Routers getrof-fen hat, außerhalb des [X.] liegt, ist das Berufungsgericht ebenfalls zutreffend davon ausgegangen, dass dem An-schlussinhaber insoweit eine sekundäre Darlegungslast obliegt (vgl. -
zur Über-lassung des Internetanschlusses zur Nutzung durch Dritte -
[X.]Z 200, 76 17
18
19
-
10
-

Rn.
15 ff. -
BearShare; [X.], [X.], 191 Rn. 37 -
[X.]; [X.], 1280
Rn.
33 -
Everytime we touch). Die Beurteilung des Berufungsge-richts, die Beklagte habe durch Angabe des [X.]s und des Passworts ih-rer sekundären Darlegungslast genügt, ist revisionsrechtlich nicht zu [X.].
Dasselbe
gilt für die Beurteilung des Berufungsgerichts, die Klägerin sei für die Behauptung, es habe sich um einen für eine Vielzahl von Routern vergebe-nes Passwort gehandelt, beweisfällig geblieben.

(3) Entgegen der Ansicht der
Revision
ist nicht schon deshalb von einer Pflichtverletzung der [X.] auszugehen, weil
nicht feststeht, dass die Be-klagte
die Sicherheit der Verschlüsselung und die Individualität des [X.]s überhaupt geprüft hat.
Gesonderter Feststellungen hierzu bedurfte es nicht, um die Verletzung von Prüfungspflichten zu verneinen, weil bereits das vom Berufungsgericht festgestellte Verhalten der [X.] -
die Übernahme des werkseitig eingestellten Codes -
den anzuwendenden Prüfungspflichten genügte. Das Berufungsgericht hat angenommen, im Zeitpunkt der [X.] habe nicht davon ausgegangen werden können, der [X.] sei nicht sicher gewesen. Das Berufungsgericht hat hierzu ausgeführt, es hätten im Zeitpunkt der Inbetriebnahme des Routers keine [X.] dafür bestanden, dass ein 16-stelliger Zahlenschlüssel generell oder
im konkreten Fall ausspähbar gewesen wäre.
Die Bedienungsanleitung habe
zudem
keinen
Hinweis
darauf enthalten, das voreingestellte Passwort zu ändern.

Gegen diese tatrichterliche Würdigung wendet sich die Revision ohne [X.]. Ihr
Hinweis, die Klägerin habe erstinstanzlich bestritten, dass durch die Verwendung der werkseitigen Verschlüsselung ein hohes Schutzniveau erreicht werden könne, welches den Zugriff unbefugter Dritter ausschließe, stellt
die Würdigung des Berufungsgerichts nicht mit Erfolg in Frage. Die Revision ver-20
21
-
11
-

mag nicht aufzuzeigen, dass die Klägerin in erster oder
zweiter Instanz
sub-stantiiert dargelegt
hätte, das voreingestellte Passwort habe im Zeitpunkt des Kaufs des Routers nicht marktüblichen Sicherheitsstandards entsprochen.
Mit ihrer Beanstandung, schon im [X.] habe instanzgerichtliche Rechtspre-chung
die Vergabe eines ausreichend langen Passworts aus einer losen Kom-bination von Buchstaben, Ziffern und Sonderzeichen für erforderlich und zu-mutbar gehalten, greift die Revision lediglich in revisionsrechtlich unbehelflicher Weise die tatrichterliche Würdigung an, für die Beklagte habe mangels beson-derer Anhaltspunkte für die Unsicherheit des voreingestellten Passworts kein Anlass bestanden, das Passwort zu ändern.

Welche Anforderungen an die Prüfungspflicht des Inhabers eines Inter-netanschlusses mit WLAN-Funktion zu stellen sind, wenn nachträglich Anhalts-punkte für eine bereits im Kaufzeitpunkt bestehende Sicherheitslücke auftreten, kann offenbleiben, weil im Streitfall solche Anhaltspunkte im Zeitpunkt der be-haupteten Verletzungshandlung nicht bestanden.

Mit ihrer Rüge, das Berufungsgericht habe zu Unrecht dem Umstand Be-deutung beigemessen, dass die Beklagte die Netzwerkbezeichnung des [X.] in "O.

"
geändert habe, dringt die Revision ebenfalls nicht durch. Zwar
trifft es zu, dass diese
Umbenennung in erster Linie der Individualisierung und leichteren Erkennbarkeit des Netzwerks durch den berechtigten Nutzer dienen soll. Die tatrichterliche Würdigung
des Berufungsgerichts, dass die Umbenen-nung zugleich [X.] die Möglichkeit nimmt, den [X.] zu erkennen und darauf abgestimmte Ausspähmechanismen anzuwenden, ist jedoch
aus
revisi-onsrechtlicher Sicht nicht zu beanstanden.

22
23
-
12
-

II[X.] Hiernach ist die Revision der Klägerin mit der
Kostenfolge
aus §
97 Abs. 1 ZPO zurückzuweisen.

Büscher
Schaffert
[X.]

[X.]
Feddersen
Vorinstanzen:
[X.], Entscheidung vom 09.01.2015 -
36a C 40/14 -

LG [X.], Entscheidung vom 29.09.2015
-
310 S 3/15 -

24