5 Fragen zum WLAN-Urteil des EuGH
Vergangene Woche hat der EuGH in der Rechtssache „McFadden“ entschieden (Urteil vom 15. September 2016, Rs. C-484/14). Die Entscheidung beruht auf einem Musterverfahren, das der Piratenpartei-Politiker Tobias McFadden angestrengt hatte. Ziel: Eine Haftungsfreistellung für die Anbieter offener WLANs mit Internetzugang. Dieses Ziel hat McFadden nicht (ganz) erreicht, aber die Entscheidung des EuGH hat dennoch in einigen Punkten für Klarheit gesorgt – auch im Sinn der WLAN-Betreiber. Fünf Fragen und Antworten zum Urteil – und eine Zusatzfrage.
1. Worum ging es in dem Fall?
Der Piratenpartei-Politiker Tobias McFadden betrieb in seinem Ladengeschäft ein offenes WLAN. Eines Tages erhielt er eine Abmahnung: Die Anwaltskanzlei Walldorf Frommer machte im Auftrag des Musiklabels Sony Music Schadensersatz und Unterlassungsansprüche geltend. Grund: Der betreffende Internetanschluss von McFadden war für Filesharing von Sony-Musikstücken genutzt worden.
McFadden konnte aber nachweisen, dass er selbst die Urheberrechtsverletzung nicht begangen hatte. Damit blieb nur noch die Frage, ob er über die Störerhaftung als Betreiber eines „offenen”, d.h. an jedermann über ein WLAN bereitgestellten, Internetanschlusses auch für Rechtsverletzungen haftet, die über diesen Anschluss begangen wurden. McFadden war der Auffassung, dass dies nicht der Fall war. Er beschloss, sich gegen die Abmahnung offensiv zu verteidigen – und reichte eine negative Feststellungsklage beim Landgericht München ein.
Das Landgericht München kam zu der Auffassung, dass die Entscheidung des Falles auf ungeklärten Fragen des Europarechts beruhte, und legte dem EuGH deshalb eine Reihe von Fragen vor. Im Kern ging es bei diesen Fragen darum, ob ein Anbieter eines offenen WLAN-Internetzugangs haftet, und was er ggf. tun kann, um eine Haftung zu vermeiden.
2. Was hat der EuGH entschieden?
Der EuGH hat entschieden, dass die Betreiber von offenen WLAN-Internetzugängen als Access-Provider zu behandeln sind. Wenn der Betreiber eines öffentlich zugänglichen Internetzugangs eine Abmahnung erhält, und nachweisen kann, dass er die Urheberrechtsverletzung nicht selbst begangen hat, dann kann er sich also mit dem Einwand verteidigen, für ihn greife das Haftungsprivileg des Art. 12 der E-Commerce-Richtlinie (im deutschen Recht § 8 TMG). Der EuGH hat aus diesem Haftungsprivileg abgeleitet, dass für Access-Provider die Haftung auf Schadensersatz entfällt, was meist den Hauptteil der betreffenden Forderung ausmacht. Was dann noch bleibt, ist aber die Haftung auf „Unterlassung“. Denn ein Unterlassungsanspruch wird, so der EuGH, von dem Haftungsprivileg nicht generell ausgeschlossen. Der EuGH bestätigt damit eine schon lange bestehende Rechtsprechungspraxis deutscher Gerichte (zuletzt BGH vom 26.11.2015, I ZR 174/14 – Netzsperren).
Einen Unterlassungsanspruch gibt es also auch gegen Anbieter des WLANs. Dieser Anspruch darf aber nach der EuGH-Entscheidung für den WLAN-Anbieter keine unzumutbaren Folgen auslösen. Ein Anbieter eines WLANs kann deshalb nur zu „angemessenen” Sicherungsmaßnahmen verpflichtet werden. Ein Beispiel für eine solche angemessene Sicherungsmaßnahme ist, so der EuGH, im Fall eines WLANs eine Passwortverschlüsselung in Verbindung mit einem Identitätsnachweis.
Ein WLAN-Anbieter, der eine derartige Sicherungsmaßnahme implementiert hat, haftet also gar nicht – auch nicht auf Unterlassung. Wer als WLAN-Betreiber eine solche Sicherungsmaßnahme bereits vor Zugang der Abmahnung implementiert hatte, muss also auch nicht die Abmahnkosten bezahlen, die sich auf den Unterlassungsanspruch beziehen.
3. Welche juristischen Hintergründe hat die Entscheidung?
Das McFadden-Urteil des EuGH betrifft die Reichweite des Haftungsprivilegs für Internet-Access-Provider. Dieses findet sich im deutschen Recht in § 8 TMG:
Diensteanbieter sind für fremde Informationen, die sie in einem Kommunikationsnetz übermitteln oder zu denen sie den Zugang zur Nutzung vermitteln, nicht verantwortlich, sofern sie
1. die Übermittlung nicht veranlasst,
2. den Adressaten der übermittelten Informationen nicht ausgewählt und
3. die übermittelten Informationen nicht ausgewählt oder verändert haben.Satz 1 findet keine Anwendung, wenn der Diensteanbieter absichtlich mit einem Nutzer seines Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen.
Die dahinterliegende Bestimmung im europäischen Recht steht in Art. 12 der E-Commerce-Richtlinie. (Der Europäische Gerichtshof beschäftigt sich nur mit der Auslegung von EU-Recht, die Bestimmungen sind aber annähernd wortgleich.)
Der EuGH hatte zunächst die Frage zu klären, ob ein Anbieter eines WLAN-Zugangs in der Position von McFadden überhaupt ein „Diensteanbieter” i.S.d. § 8 TMG bzw. Art. 12 der E-Commerce-RL ist. Der EuGH bejahte dies. In diesem Punkt deckt sich die Entscheidung des Gerichtshofs mit einer gesetzlichen Klarstellung, die der deutsche Gesetzgeber erst kürzlich in § 8 Abs. 3 TMG verankert hat.
Als nächsten Schritt hatte der EuGH zu klären, welche Folgen sich aus dem Haftungsprivileg ergeben. Was heißt „nicht verantwortlich”? In diesem Punkt berücksichtigte der EuGH einen weiteren Punkt, der im deutschen Recht (so) nicht direkt übernommen wurde: Von dem Haftungsprivileg gibt es eine Ausnahme für Fälle, in denen „ein Gericht oder eine Verwaltungsbehörde […] vom Diensteanbieter verlangt, die Rechtsverletzung abzustellen oder zu verhindern” (Art. 12 Abs. 3 der E-Commerce-Richtlinie).
Außerdem hatte der EuGH zu berücksichtigen, dass auch der urheberrechtliche Rechteinhaber sich auf Rechtsansprüche berufen konnte, die im EU-Recht geregelt sind. Konkret besagt Art. 8 Abs. 3 der InfoSoc-RL (ähnlich auch Art. 11 der Enforcement-Richtlinie):
Die Mitgliedstaaten stellen sicher, dass die Rechtsinhaber gerichtliche Anordnungen gegen Vermittler beantragen können, deren Dienste von einem Dritten zur Verletzung eines Urheberrechts oder verwandter Schutzrechte genutzt werden.
Im deutschen Recht gibt es keine direkte Entsprechung zu diesen Vorschriften des EU-Rechts, weshalb die deutschen Gerichte schon seit einigen Jahren die dogmatischen Grundlagen der sog. Störerhaftung stark verbiegen, um derartige Rechtsansprüche gegen Vermittler überhaupt im deutschen Recht umsetzen zu können.
Die Frage, die der EuGH nun zu klären hatte war, wie sich das Haftungsprivileg für Access-Provider gegenüber diesem Recht von Urheberrechtsinhabern verhält, auch gegen „Vermittler” gerichtliche Anordnungen beantragen zu können.
Der EuGH löste diese Frage nach einem Lösungsschema, das er in vergleichbaren Fällen schon häufiger angewendet hat: Er stellte klar, dass Unterlassungsansprüche – im Unterschied zu der Haftung auf Schadensersatz – vom Haftungsprivileg des Access-Providers zwar nicht vollständig ausgeschlossen werden. Die Reichweite solcher Unterlassungansprüche ist aber auf ein „angemessenes” Maß begrenzt. Außerdem stellt der EuGH klar, dass die Haftung auf Unterlassung auch eine Haftung auf Abmahnkosten und gerichtliche Nebenkosten umfassen kann.
4. Aber wie weit reichen solche Unterlassungsansprüche?
Diese Frage bildet den Kernpunkt der Entscheidung. Der EuGH weist an dieser Stelle zunächst darauf hin, dass beide Seiten sich auf Grundrechte berufen können, und dass diese Grundrechte (und auch die Grundrechte betroffener Dritter) in ein „angemessenes Gleichgewicht” zu bringen sind. Daraus abgeleitet prüft er dann drei konkrete Maßnahmen, die ihm das LG München vorgelegt hatte, auf die „Angemessenheit” gegenüber dem WLAN-Anbieter (Rn. 84 ff. des Urteils).
a) Keine Überprüfung aller durchgeleiteten Informationen
Eine generelle „Filterpflicht” in dem Sinn, dass ein WLAN-Anbieter z.B. per Deep Packet Inspection die von ihm durchgeleiteten Informationen durchsucht und ausfiltert, wäre nicht angemessen – und auch ein Verstoß gegen Art. 15 Abs. 1 der E-Commerce-Richtlinie.
Rn. 87 des Urteils:
Was erstens die Überprüfung sämtlicher übermittelter Informationen angeht, so scheidet eine solche Maßnahme von vornherein deshalb aus, weil sie Art. 15 Abs. 1 der Richtlinie 2000/31 zuwiderläuft, wonach Anbietern, die Zugang zu einem Kommunikationsnetz vermitteln, keine allgemeine Verpflichtung zur Überwachung der von ihnen übermittelten Informationen auferlegt werden darf.
(Hervorhebung nur hier)
b) Keine Pflicht zur vollständigen Abschaltung des WLAN-Zugangs
Auch eine Verpflichtung, die darauf hinausläuft, dass der WLAN-Anbieter seinen Internetzugang vollständig abschalten muss, wäre unzumutbar.
Rn. 88 und 89 des Urteils:
Hinsichtlich, zweitens, der Maßnahme einer vollständigen Abschaltung des Internetanschlusses ist festzustellen, dass ihre Durchführung einen erheblichen Eingriff in die unternehmerische Freiheit des Betroffenen bedeutete, der, und sei es auch nur als Nebentätigkeit, eine wirtschaftliche Tätigkeit ausübt, die darin besteht, Zugang zum Internet zu vermitteln, da ihm damit die Fortführung dieser Tätigkeit faktisch vollständig untersagt würde, um einer begrenzten Urheberrechtsverletzung abzuhelfen, ohne die Ergreifung von Maßnahmen in Betracht zu ziehen, die diese Freiheit in geringerem Maße beeinträchtigen.
Hierin ist daher eine Maßnahme zu sehen, die nicht die Anforderung erfüllt, ein angemessenes Gleichgewicht zwischen den miteinander in Einklang zu bringenden Grundrechten sicherzustellen (vgl. in diesem Sinne hinsichtlich einer richterlichen Anordnung Urteil vom 24. November 2011, Scarlet Extended, C-70/10, EU:C:2011:771, Rn. 49, und entsprechend Urteil vom 16. Juli 2015, Coty Germany, C?580/13, EU:C:2015:485, Rn. 35 und 41).
(Hervorhebung nur hier)
c) Passwortsperrung und Identitätskontrolle sind angemessen
Eine dritte Variante beurteilt der EuGH jedoch als angemessen: Die Sicherung des Internetanschlusses mit Verschlüsselung, Passwortzugang und Identitätskontrolle.
Die Kernaussage des Gerichtshofs ist wie folgt (Rn. 89 ff. des Urteils):
Viertens hat der Gerichtshof bereits entschieden, dass die Maßnahmen, die vom Adressaten einer Anordnung wie der im Ausgangsverfahren fraglichen bei deren Durchführung getroffen werden, hinreichend wirksam sein müssen, um einen wirkungsvollen Schutz des betreffenden Grundrechts sicherzustellen, d. h., sie müssen bewirken, dass unerlaubte Zugriffe auf die Schutzgegenstände verhindert oder zumindest erschwert werden und dass die Internetnutzer, die die Dienste des Adressaten der Anordnung in Anspruch nehmen, zuverlässig davon abgehalten werden, auf die ihnen unter Verletzung des genannten Grundrechts zugänglich gemachten Schutzgegenstände zuzugreifen (vgl. Urteil vom 27. März 2014, UPC Telekabel Wien, C?314/12, EU:C:2014:192, Rn. 62).
Insoweit ist festzustellen, dass eine Maßnahme, die in der Sicherung des Internetanschlusses durch ein Passwort besteht, die Nutzer dieses Anschlusses davon abschrecken kann, ein Urheberrecht oder verwandtes Schutzrecht zu verletzen, soweit diese Nutzer ihre Identität offenbaren müssen, um das erforderliche Passwort zu erhalten, und damit nicht anonym handeln können, was durch das vorlegende Gericht zu überprüfen ist. […]
Nach alledem ist unter den im vorliegenden Urteil dargelegten Voraussetzungen die Maßnahme, die in der Sicherung des Anschlusses besteht, als geeignet anzusehen, ein angemessenes Gleichgewicht zwischen dem Grundrecht auf Schutz des geistigen Eigentums einerseits und dem Recht des Diensteanbieters, der Zugang zu einem Kommunikationsnetz vermittelt, auf unternehmerische Freiheit sowie dem Recht der Empfänger dieses Dienstes auf Informationsfreiheit andererseits zu schaffen.
(Hervorhebung nur hier)
Zusammengefasst heißt das: Die von einem Access-Provider geforderten Pflichten zur „Unterlassung” der Mitwirkung an Urheberrechtsverletzungen müssen wirksam sein, dürfen aber nicht das Zumutbare überschreiten. Ein Access-Provider darf nicht vollständig untätig bleiben und Rechtsverletzungen einfach „passieren lassen”. Er hat aber keine „Erfolgspflicht”, d.h. er muss nicht sicherstellen, dass keine Rechtsverletzungen stattfinden. Er muss lediglich das im Rahmen seiner Möglichkeiten Zumutbare unternehmen, um Urheberrechtsverletzungen zu erschweren. Und im konkreten Fall ist dies bereits dann gegeben, wenn der WLAN-Betreiber sein Netzwerk so konfiguriert, dass Nutzer nicht „anonym handeln” können.
5. Was heißt dies nun für die Anbieter von offenen WLANs?
Anbieter von offenen Internetzugängen, die eine Haftung vollständig vermeiden wollen (also auch eine Haftung auf Unterlassungsansprüche und damit verknüpfte Abmahnkosten) müssen ihren Internetzugang so konfigurieren, dass Dritte darauf nur zugreifen können, nachdem sie ihre „Identität offenbart” haben, so dass sie „nicht anonym handeln” können. Was dies nun genau heißt, hat der EuGH nicht ausgeführt. Dabei sind genau hier noch eine ganze Reihe von Fragen offen:
- Was ist mit Anbietern wie Straßencafés, die einen Internetzugang gegen ein Ticket ausgeben, das der Nutzer sich abholen muss – allerdings ohne Kontrolle eines Ausweises oder dergleichen?
- Wie muss eine Identitätskontrolle aussehen, um hinreichend effektiv zu sein? Hier sind verschiedene Varianten denkbar, von einer einfachen Eingabemaske für Vor- und Nachname einerseits bis hin zur physischen Kontrolle eines Personalausweises andererseits.
- Muss ein WLAN-Zugangsprovider nicht nur Bestandsdaten seiner Nutzer erheben, sondern auch sicherstellen, dass Rechtsverletzungen nachträglich lückenlos zurückverfolgt werden können? Um letztes nachzuvollziehen, müsste der Anbieter sensible Kommunikationsdaten für längere Zeiträume aufbewahren.
Zu alldem ist festzuhalten: Der EuGH hat über diese Fragen nicht entschieden. Der EuGH hat lediglich die allgemeine Leitlinie aufgestellt, dass Verhaltenspflichten aus Sicht der Grundrechte aller Betroffenen „angemessen” sein müssen, wobei die Grundrechte in einen angemessenen Ausgleich zu bringen sind.
Damit hat der EuGH aber gleichzeitig auch den rechtlichen Maßstab klargestellt, anhand dessen die vorgenannten Fragen zu beantworten sind. Denn diese Fragen beantworten sich nicht nur anhand des Haftungsprivilegs für Access-Provider. Hier sind auch Rechte von Dritten betroffen, die bei der Bewertung der „Angemessenheit” von Maßnahmen ebenfalls zur berücksichtigen sind. Dies betrifft insbesondere Rechte der „normalen” Nutzer von WLAN-Internetzugängen, über die unter Umständen privatsphärenintensive Kommunikationsdaten gespeichert werden. Der EuGH hat ausdrücklich klargestellt, dass auch solche Rechte von Dritten in die Angemessenheitsprüfung mit einzubeziehen sind.
Die Frage, wann eine Maßnahme insgesamt „angemessen” ist, beantwortet sich deshalb auch anhand des Datenschutzrechts und des in § 88 TKG, § 7 Abs. 2 Satz 3 TMG genannten Telekommunikationsgeheimnisses. Diese Vorschriften sind gegenüber den (potenziellen) urheberrechtlichen Ansprüchen von Rechteinhabern nicht nachrangig, sondern dürfen (und müssen) auch von den Anbietern von WLAN-Internetzugängen eingehalten werden. Dies ist keine ganz einfache Aufgabe, aber die Probleme sind lösbar.
Zusatzfrage: Muss nun der deutsche Gesetzgeber wieder aktiv werden?
In anderen Blogs wird die Auffassung vertreten, nach der EuGH-Entscheidung sei nun wieder der deutsche Gesetzgeber am Zug. Das Ziel des Bundestags, über den neu eingefügten Art. 8 Abs. 3 TMG für Rechtssicherheit zu sorgen, sei verfehlt worden.
Ich sehe dies nicht so. Zum einen hat die EuGH-Entscheidung durchaus für Rechtssicherheit gesorgt, denn sie bietet für alle Anbieter von offenen WLAN-Internetzugängen eine leicht umsetzbare Lösung an, mit der sie eine Haftung vermeiden können. Dies erfordert Abstriche bei der „Offenheit” des Internetzugangs, aber es gibt keinen WLAN-Hotspot, der wegen des Urteils nun schließen muss. Für die verschiedenen Hotspot-Anbieter, einschließlich der Freifunk-Initiative, geht es nun an Implementierungsarbeiten, was auch die Prüfung und Beachtung weiterer rechtlicher Rahmenbedingungen erfordert. Aber diese Probleme lassen sich lösen, ggf. unter Einbindung der Behörden (Datenschutzbehörden oder Bundesnetzagentur) oder zur Not über weitere Gerichtsurteile.
Zum anderen hat der deutsche Gesetzgeber hier auch nur äußerst wenig Spielraum. Denn die entscheidenen Rechtsfragen ergeben sich hier vollständig aus einer Abwägung zwischen zwei europarechtlich determinierten Rechtspositionen, auf die der deutsche Gesetzgeber überhaupt keinen Zugriff hat.
- Einerseits gilt – europarechtlich zwingend – dass Rechteinhaber bei der Rechtsverteidigung auch gegen „Vermittler” vorgehen können (Art. 8 Abs. 3 InfoSoc-Richtlinie, Art. 11 Satz 3 Enforcement-Richtlinie). Dass Access-Provider zu der Gruppe der Vermittler gehören, hat der EuGH bereits entschieden, hieran kann der deutsche Gesetzgeber nichts ändern. Insbesondere kann er nicht die „Störerhaftung abschaffen”, denn dadurch würde er gegen Art. 8 Abs. 3 der InfoSoc-Richtlinie und Art. 11 der Enforcement-Richtlinie verstoßen. Der einzige Effekt wäre, dass deutsche Gerichte die betreffenden Richtlinien unmittelbar anwenden würden und die EU-Kommission unter Umständen gegen die Bundesrepublik sogar ein Verfahren wegen der Nicht-Umsetzung von EU-Recht einleitet (Vertragsverletzungsverfahren).
- Andererseits gilt – auch dies ist europarechtlich zwingend – dass Maßnahmen, die sich auf Art. 8 Abs. 3 InfoSoc-Richtlinie oder Art. 11 Enforcement-Richtlinie stützen, nicht unverhältnismäßig in Rechte von Access-Providern oder von Dritten eingreifen dürfen. Insbesondere darf ein Access-Provider nicht verpflichtet werden, den von ihm durchgeleiteten Datenverkehr generell auf Rechtsverletzungen zu überwachen (Art. 15 E-Commerce-Richtlinie). Was „angemessen” ist, bestimmt der EuGH im Einzelfall selbst; und hier hat er zumindest eine Variante (nämlich die Passwortsicherung mit Identitätskontrolle) für WLAN-Betreiber bereits als angemessen bezeichnet. Diese Entscheidung ist bereits feststehend. Es macht für den deutschen Gesetzgeber also wenig Sinn, sie im deutschen Gesetzestext noch einmal zu wiederholen.
Es spricht somit viel dafür, aus Sicht des Gesetzgebers jetzt erst einmal abzuwarten, ob sich aus der EuGH-Entscheidung irgendwie Probleme ergeben, die die Beteiligten in der Praxis nicht lösen können. Auf den ersten Blick spricht vieles dafür, dass dies nicht der Fall ist.
Urteilsbesprechung auf „Offene Netze und Recht”.
Urteilsbesprechung auf internet-law.
Update, 14.10.2016:
In einer vorigen Version des Artikels stand teilweise das Wort „E-Commerce-Richtlinie“ anstelle von „Enforcement-Richtlinie“. Ich habe dies nachträglich korrigiert.
