„Einen Augenblick, das kommt mir doch bekannt vor …“ Dieser oder ein artverwandter Gedankengang mag sich bei Ihnen breitmachen, wenn Sie die Überschrift gelesen haben. Und ja, es ist mal wieder soweit: Das Thema WLAN steht auf der Menükarte; nicht nur, was die Voraussetzungen eines wirksamen Trackings angeht, sondern auch in Bezug auf die anhaltend spannend diskutierte Frage, welche Daten man dafür erheben darf bzw. soll und wie man als Betreiber einer solchen Einrichtung rechtlich geradestehen muss.

Die Hof-Küche zu Karlsruhe lässt grüßen

Mit ein wenig Verzögerung zu unserer vollmundigen Ankündigung im letzten Artikel zum Themenkomplex Haftung wollen wir also zur Nachverkostung schreiten und uns die wesentlichen Aspekte der tiefgreifenden Entscheidung des obersten deutschen Zivilgerichts zu Gemüte führen.

Zwar ist das Urteil (BGH I ZR 64/17) inhaltlich schön aufgemacht, enthält aber mitunter schwer im Magen liegende Begrifflichkeiten. So ist direkt zu Beginn – im zweiten Leitsatz – die Rede davon, dass gegen „die Anwendung des Ausschlusses von Unterlassungsansprüchen [..]“ keine Bedenken bestünden. So holzig im Abgang, wie dieser Aperitif daherkommt, wird nicht unbedingt auf den ersten Blick deutlich, dass dieses Urteil gewissermaßen Vollkorn-Nahrung mit sich bringt. Und auf den zweiten vielleicht auch nicht. Abgesehen vom Vorspeisen-Salat verzichten wir daher auf den Gebrauch komplexer Omega-3-Zitat-Verkettungen.

Als Vorspeise: Privacy by design

Auch wenn es vom Gericht nicht ausdrücklich so betitelt wird, ist auch bei der Einrichtung eines offenen WLAN auf den Grundsatz datenschutzfreundlicher Gestaltung und Voreinstellung (gemäß Art. 25 DSGVO) zurückzugreifen. So verweisen die Richter als fruchtig-lockeren Einstieg ins Menü darauf, dass man sich als Betreiber den Umstand zunutze machen kann, dass der Hersteller verpflichtet ist, eine Absicherung bereits “ab Werk” anzubieten, nämlich in Form eines hinreichend sicheren Passworts. Entspricht dies dem Stand der Technik, so kann man die Grundeinstellung sogar unverändert übernehmen – wohl bekomm´s.

Einen kräftigen Roten zum Hauptgang

Datenschutzrechtlicher Dreh- und Angelpunkt der sog. Störerhaftung bei WLANs war stets die Frage nach Nutzungsbedingungen und Anmeldeverfahren: Muss ich Hinz & Kunz einzeln (personalisiert) freischalten, damit sie bei mir ins Internet gehen können? Und müssen die beiden noch irgendwo ein Häkchen setzen? Gespeist wurden diese Fragen primär aus der Furcht um die (vor allem finanziellen) Konsequenzen, denn in der Regel war eine wettbewerbs- bzw. urheberrechtliche Abmahnung Auslöser für den Schlamassel. Diesen Bereich werden wir hier freilich aussparen.

Nachdem der Gesetzgeber mit der letzten von zahlreichen TMG-Überarbeitungen nun eine Allergen-arme (will sagen gut verträgliche) Grundlage geschaffen hat, fällt auch das judikative Nachwürzen nur recht akzentuiert und damit erfreulich sparsam aus. So ist eine generelle Pflicht zur Registrierung und Protokollierung der Nutzer nicht mehr erforderlich (wohl aber möglich, wenn es der Anbieter möchte). Darüber hinaus müssen gewerbliche Anbieter erst tätig werden, wenn Sie Kenntnis von einem Rechteverstoß haben. Diese an § 10 TMG angelehnte Lockerung sei geboten, um keine übergebührliche Belastung für den Betreiber hervorzurufen – ein fairer, geradezu vollwertiger Ausgleich.

Wenn aber dieser Fall (eines behaupteten Verstoßes) doch eintritt, dann wiederum ist konsequentes Handeln gefragt, denn der Rechteinhaber hat demnach einen Anspruch auf einzelne Maßnahmen zum Schutz seiner Inhalte, die er allerdings konkret benennen muss – zum Beispiel die Sperrung einzelner Webadressen bzw. Netzwerk-Ports oder (wie im vorliegenden Sachverhalt) die Einrichtung eines Passwort-Schutzes.

Fazit: Was ist der Clou?

Die aktuelle Entscheidung des BGH bringt für die Betreiber offener bzw. öffentlicher Internetzugänge (in welcher technischen Form auch immer) – ohne auf die Einzelheiten von Kostenforderungen im Rahmen von Abmahnungen einzugehen – einen erheblichen Gewinn an Rechtssicherheit.

Zum Dessert sollten deshalb die nachfolgenden Aspekte bei dem Betrieb eines Gäste-Netzes Beachtung finden:

  • Es macht keinen Unterschied, ob der Zugang per WLAN oder Kabel angeboten wird. (Wegen der Regelung des jüngst eingefügten § 7 Abs. 4 TMG – der nunmehr analog angewendet wird – war dies eine der entscheidenden Fragen in dem Verfahren.)
  • Das Gast-WLAN muss technisch abgetrennt (z.B. per VLAN-Segmentierung) vom restlichen Unternehmensnetz laufen. Ferner sollte (möglichst) eine eigene SSID gewählt werden.
  • In jedem Fall ist empfehlenswert, ein starkes Passwort einzurichten; wählt man hier eine vernünftige Länge (etwa von 12 Zeichen), genügt es auch, dass Passwort einmal im Jahr zu erneuern.
  • Werden Verstöße (z.B. wegen rechtswidrig genutzter Bilder oder Videos) festgestellt, muss der Betreiber in der Lage sein, technische Maßnahmen in die Wege zu leiten, die den (angeblichen) Rechteverstoß für die Zukunft unterbinden; in der Regel dürfte hier das Konfigurieren von Filtern oder Sperren bestimmter Dienste zur Diskussion stehen.

Werden die hier dargestellten Gesichtspunkte umgesetzt, steht dem datenschutzkonformen Betrieb eines Gäste-WLANs nichts mehr im Wege.