Rechtliche Anforderungen an den Datenschutz im öffentlichen WLAN

Am Freitag, den 30. Juni 2017, hat der Bundestag mit der jüngsten TMG-Novelle die so genannte Störerhaftung abgeschafft. Künftig müssen Betreiber öffentlicher WLAN-Hotspots nicht mehr für Schäden aufkommen, die Nutzer etwa im Rahmen von Urheberrechtsverletzungen verursachen. Auch in Deutschland rückt dadurch zumindest in städtischen Gebieten eine öffentliche WLAN-Versorgung in greifbare Nähe.

Dennoch verbleiben einige rechtliche Hürden für diejenigen, die jetzt in Cafés, Bussen oder an sonstigen öffentlichen Plätzen freie WLAN-Hotspots einrichten wollen. Eine davon folgt aus den Anforderungen des Datenschutzes, zumal die EU-DSGVO die Vorschriften zum Mai 2018 noch einmal verschärft. Schließlich müssen WLAN-Betreiber zumindest IP-Adressen und Anmeldedaten ihrer Nutzer erfassen, also personenbezogene Daten im Anwendungsbereich des BDSG und der EU-DSGVO. Dies gilt umso mehr, wenn der WLAN-Betreiber weitere Nutzerdaten erhebt, etwa zu den aufgerufenen Webseiten und genutzten Webdiensten.

Rechtslage zum Datenschutz im öffentlichen WLAN

Vorgaben zum Umgang mit solchen Daten trifft zunächst die datenschutzrechtliche Generalklausel des Art. 5 Abs. 1 EU-DSGVO. Konkretisierende Vorschriften hierzu enthalten vor allem die Art. 25-39 EU-DSGVO. Dabei decken sich die europarechtlichen Normen großteils mit den bisherigen Datenschutzpflichten des BDSG, das durch die Landesdatenschutzgesetze, das TKG und das TMG flankiert wird. Ohnehin soll das BDSG dahingehend novelliert werden, dass es die deutschen und europäischen Standards für den Datenschutz vereinheitlicht.

Zusätzlich ergeben sich allgemein-zivilrechtliche Anforderungen an den Datenschutz im öffentlichen WLAN, damit die Haftung gegenüber Nutzern minimiert wird. Hinzu treten im Übrigen betriebswirtschaftliche Erwägungen, die gewisse Standards in der Gestaltung des WLAN-Zugangs gebieten. So gilt es insbesondere, einer Überlastung des WLANs vorzubeugen.

Ausgehend hiervon sollten vor allem die nachstehenden Maßnahmen für den Datenschutz im öffentlichen WLAN ergriffen werden.

Rechtliche Vorkehrungen

Um einen hinreichenden Datenschutz im öffentlichen WLAN zu erreichen, bilden die Nutzungsbedingungen eines der wichtigsten rechtlichen Scharniere. Sie sollten zunächst klarstellen, dass die WLAN-Nutzung kein Vertragsverhältnis aufspannt, sodass den Betreiber auch keine entsprechenden Sorgfaltspflichten treffen. Weiterhin müssen die Nutzungsbedingungen offenlegen, welche Informationen (i.e. zumindest Anmeldedaten) erhoben werden und wie der WLAN-Betreiber sie speichert und verarbeitet. Per Bestätigung der Nutzungsbedingungen hat der Nutzer hierin einzuwilligen, so verlangen es § 4 Abs. 1 BDSG und Art. 5 Abs. 1 Nr. 1 EU-DSGVO. Dies betrifft auch die Einwilligung in die Erfassung eines Nutzerprofils, soweit der WLAN-Betreiber das Surf-Verhalten des Nutzers zu analysieren beabsichtigt. Unerlässlich ist hierbei auch, solche Daten zu anonymisieren oder wenigstens zu pseudonymisieren (vgl. § 100 Abs. 3 S. 3 TKG).

Gegenüber Dritten haftet der WLAN-Betreiber gemäß § 7 Abs. 4 S. 3 TMG n.F. zwar nicht mehr. Nach § 7 Abs. 4 S. 1 TMG n.F. bleibt er jedoch verpflichtet, Nutzer zu sperren, wenn Dritte eine Verletzung ihrer Rechte beanstanden. Damit solche Fälle gering gehalten werden, erweist sich u.a. eine Sperrung von Ports als sachdienlich, die für das urheberrechtsverletzende Filesharing genutzt werden. Zu beachten bleibt jedoch, dass auf dem heutigen Stand der Technik etliche weitere Methoden zum Filesharing bestehen, etwa über Social-Media-Nachrichtendienste wie Whatsapp und Facebook Messenger. Um einer illegalen WLAN-Nutzung möglichst weitreichend vorzubeugen, kommt alternativ ein exponierter Passus in den Nutzungsbedingungen in Betracht, der den Nutzer dazu ermahnt, bei der Verwendung des WLAN keine Rechte Dritter zu verletzen. Auch möglich ist es, das Datenvolumen pro Nutzer so zu beschränken, dass die (illegale) Verbreitung von Filmdateien erschwert wird.

Technische Vorkehrungen

Darüber hinaus empfiehlt es sich, je nach beabsichtigter Nutzergruppe den Zugang zum öffentlichen WLAN zusätzlich zu reglementieren, damit keine Überlastung der Verbindung droht. In Betracht kommen hierzu eine Befristung der WLAN-Zugänge sowie eine Verschlüsselung oder Passwortsicherung des WLANs. Letztere hat freilich die Kehrseite, dass sich der Zugang zum öffentlichen WLAN dadurch weniger komfortabel gestaltet. Hier muss im Einzelfall abgewogen werden, an welcher Stelle Abstriche eher hinzunehmen sind.

Des Weiteren sollte ein stimmiges Löschungskonzept implementiert werden, nach dem wenigstens die Anmeldedaten und die zugehörigen IP-Adressen der Nutzer nur für eine bestimmte Zeit gespeichert werden.

Welche Maßnahmen im jeweils individuellen Fall zusätzlich erforderlich sind, beantwortet unsere Praxisgruppe für Datenschutz nach eingehender Prüfung.

Ansprechpartner


RA Dr. Henrik Bremer
h.bremer@wr-recht.de
Fachanwalt für Steuerrecht
Wirtschaftsprüfer, Steuerberater