Mit Urteil vom 15.09.2017, erkannte der EuGH die so genannte Störerhaftung sowie die Notwendigkeit von Passwortschutz und Nutzeridentifizierung als Voraussetzung für eine Haftungspriviligierung an.
Ausschluss der Störerhaftung sollte längst umgesetzt sein
Die letzte Änderung des Telemediengesetzes erfolgte erst im Jahr 2016. Der Gesetzgeber adressierte damals den Rückstand des Ausbaus öffentlicher WLAN in Deutschland, der insbesondere mit der speziellen Haftungssituation zusammenhängt. Anders als in anderen Ländern war es in Deutschland auf Grundlage der so genannten "Störerhaftung" möglich, dass gegen den Betreiber eines öffentlichen WLAN aufgrund von Rechtsverletzungen Dritter ein Unterlassungsanspruch erwirkt werden konnte.
Um diese Rechtsunsicherheit zu beseitigen, hatte der Gesetzgeber bereits damals Betreiber von öffentlichen WLANs explizit in den Kreis der gemäß § 8 TMG privilegierten Diensteanbieter ("Access-Provider") aufgenommen. Der Gesetzgeber glaubte damit, die Störerhaftung für Betreiber öffentlicher WLAN umfassend ausgeschlossen zu haben, ohne den Haftungsausschluss an weitere Voraussetzungen zu koppeln.
- Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices. - Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere". - Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt. - Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden. - Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Durch das Urteil des EuGH vom 15.09.2016 entstand nur wenige Monate später erneut Rechtsunsicherheit. Denn der EuGH erkannte in seinem Urteil die Anwendung der Störerhaftung im Grundsatz an und vertrat die Ansicht, dass dem Betreiber eines öffentlichen WLANs zumindest nach einer Rechtsverletzung durch einen Dritten von einem Gericht oder einer Behörde aufgegeben werden könne, einen Passwortschutz für sein WLAN einzurichten und das Passworts nur an identifizierte Nutzer herauszugeben, um weitere Rechtsverletzungen zu unterbinden.
Nachbesserung durch ausdrücklichen Ausschluss von Unterlassungsansprüchen
Durch das am 13.10.2017 in Kraft getretene "Dritte Gesetz zur Änderung des Telemediengesetzes vom 30.06.2017" werden die bisherigen Regelungen mit Blick auf das vorgenannte EuGH-Urteil präzisiert, wobei drei Änderungen im Mittelpunkt stehen:
Der Betreiber eines öffentlichen WLAN kann gemäß § 8 Abs. 1 S. 2 TMG ausdrücklich nicht auf Schadensersatz, Beseitigung oder Unterlassung in Anspruch genommen werden, wenn ihn keine eigene Verantwortlichkeit trifft. Dies ist dann der Fall, wenn er nur den Zugang zum Internet vermittelt.
Betreibern eines öffentlichen WLAN kann nicht von Behörden auferlegt werden, die Nutzer seines öffentlichen WLAN zu identifizieren, die Eingabe eines Passworts zu verlangen oder das Anbieten seines Dienstes einzustellen. Auf freiwilliger Basis darf er diese Maßnahmen weiterhin ergreifen.
Ein Rechteinhaber kann eine Sperrung von Informationen vom Diensteanbieter verlangen, sofern die Sperrung die einzige Möglichkeit darstellt, weitere Rechtsverletzungen zu unterbinden und diese zumutbar und verhältnismäßig ist. Die Kosten für die Geltendmachung und Durchsetzung dieses Anspruchs hat dann der Rechteinhaber zu tragen.
- Enter the Dark
In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann." - Made in the USA
Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht. - Drogen
Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert." - Bitte bewerten Sie Ihren Einkauf!
Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel. - Waffen
Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin. - Identitätshandel
Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können. - Digitale Leben
Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten." - Auftragskiller
Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln. - Schnellausstieg
Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden. - Freiheit?
Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.
Praktische Auswirkungen der Gesetzesreform
Grundsätzlich besteht damit nun keine Haftung mehr für durch Dritte begangene Rechtsverletzungen. Einzige verbleibende Handhabe des Rechteinhabers ist damit nun die Aufforderung an den WLAN-Betreiber, den Zugang zu einzelnen Webseiten zu sperren.
Eine solche Aufforderung kann allerdings unter Umständen weitreichend sein, etwa wenn auf eine Vielzahl von Webseiten mit rechtswidrigen Inhalten hingewiesen wird. Die Begrenzung auf zumutbare und verhältnismäßige Sperrpflichten ist dabei nur begrenzt hilfreich, da die Auslegung im Einzelfall erfolgen muss und im Streitfall gerichtlich überprüfbar ist. Ähnliches gilt für die Voraussetzung, dass keine andere Möglichkeit bestehen darf, Rechtsverletzungen zu verhindern. Durch die Hintertür ergeben sich diesbezüglich erneut Unsicherheiten und Kostenrisiken, etwa wenn Sperrpflichten nach Ansicht des Rechteinhabers nicht ausreichend nachgekommen worden ist.