Viele Unternehmen möchten ihren Kunden kostenfrei öffentliches WLAN zur Verfügung stellen. Bei der Bereitstellung derartiger WLAN Netzwerke müssen jedoch ebenfalls datenschutzrechtliche Aspekte beachtet werden, denn allein zur Verbindung eines mobilen Endgeräts mit dem Drahtlos-Netzwerk überträgt das Endgerät seine MAC Adresse (Media-Access-Control Adresse). Auch bei der MAC Adresse handelt es sich um ein personenbezogenes Datum, denn diese ist einzigartig und lässt damit eine konkrete Zuordnung zur Netzwerkkarte zu.

Begrifflichkeiten

Bevor die einzelnen Gestaltungsmöglichkeiten und deren rechtliche Bewertung beschrieben werden, sollten zunächst die nachfolgenden Begriffe beleuchtet werden.

Als erstes muss bei den Begrifflichkeiten zwischen Zugangs- und Internet-Service-Provider unterschieden werden. Der Zugangs-Provider (engl. Access-Provider) stellt die reine WLAN-Infrastruktur (bspw. den WLAN-Router) zur Verfügung. Unter der WLAN-Infrastruktur versteht man die technischen Einrichtungen, die von mobilen Endgeräten als „Drahtlos-Netzwerk“ erkannt werden. Sichtbar wird dies durch den Router, der das Einloggen in das WLAN ermöglicht. Beim Internet-Service-Provider handelt es sich hingegen um diejenige Stelle, die den Zugang zum Internet ermöglicht. Diese Vermittlung des Internetzugangs ist rein technischer Art.

Stellen wir uns nun Kunde „Peter“ vor. Kunde „Peter“ betritt Ihr Geschäft. Auf seinem Mobiltelefon wird ihm plötzlich angezeigt, dass ein öffentliches WLAN zur Verfügung steht. Der Kunde klickt auf „Verbinden“, es öffnet sich ein Fenster auf seinem Mobiltelefon, in welchem er aufgefordert wird, die Nutzungsbedingungen zu akzeptieren. Nach einem weiteren Klick auf den Button „akzeptieren und verbinden“ kann er schon im Internet surfen. Was für „Peter“ nur zwei Klicks bedeutet, sieht für die Daten, die unser Mobilgerät an den Router (Access-Provider) und wiederum an den Internet-Service-Provider übermittelt, wesentlich umfangreicher aus. Im Rahmen des Einwahlprozesses sendet das Mobilgerät zunächst seine MAC Adresse an den Router (Access-Provider). Von dort aus gelangt die MAC Adresse zum Internet-Service-Provider, der dem Endgerät eine dynamische IP-Adresse vergibt, die ihn im Netz sichtbar macht. Somit werden in diesem Prozess bereits zwei personenbezogene Daten des Kunden „Peter“ verarbeitet: MAC -und IP-Adresse.

Ausgestaltungsmöglichkeiten

Für die Gewährleistung eines öffentlichen Internetzugangs gibt es daher verschiedene Ausgestaltungsmöglichkeiten, die datenschutzrechtlich zu unterschiedlichen Rechtsfolgen führen.

  1. Sie entscheiden sich dafür, sowohl die WLAN-Infrastruktur als auch den Internetzugang selbst zu stellen und somit nach außen hin gegenüber dem Nutzer sowohl als Access- als auch Internet-Service-Provider aufzutreten. Rechtliche Folge wäre dann, dass das TKG (Telekommunikationsgesetz) vollumfänglich anwendbar ist. Aufgrund der Öffnungsklausel nach Art. 95 DSGVO gilt das TKG als lex specialis, sodass die datenschutzrechtlichen Pflichten aus dem TKG einzuhalten sind. Werden neben der Dienstleistung der Signalübertragung noch Inhalte bereitgestellt – beispielsweise, wenn als Startseite die eigene Homepage eingerichtet wurde – dann wären Sie zusätzlich noch Content-Provider. So wäre die Herstellung einer Internetverbindung unter dem TKG (Telekommunikationsgesetz) und die Bereitstellung von Inhalten (wie die einer Homepage) vom TMG (Telemediengesetz) umfasst. Hier sind sowohl datenschutzrechtliche Regelungen aus dem TMG und der DSGVO einzuhalten (beachten Sie hierzu auch die Diskussion um die Anwendbarkeit des TMG neben der DSGVO). Solange Sie nur technischer Durchleiter sind und keinen inhaltlichen Einfluss auf die Verteilung etc. nehmen, greift für Sie die Haftungsprivilegierung aus § 8 TMG. Sofern eine Weiterleitung auf die eigene Homepage erfolgt, greift diese Haftungsprivilegierung nicht mehr.
  2. Es wird ein Dienstleister beauftragt, der die gesamte Infrastruktur stellt und der sowohl den Access- als auch den Internet-Service-Provider darstellt. Wird das WLAN-Netz nicht durch Sie, sondern einen Dienstleister betrieben, welcher sowohl die Netzwerkstruktur stellt als auch den Internetzugang ermöglicht, Sie kein Anschlussinhaber sind und auch sonst keinerlei Einflussmöglichkeiten auf die Erbringung der Telekommunikation haben, hätte dies für Sie keine rechtlichen Auswirkungen. Allerdings muss der Dienstleister als Betreiber des öffentlichen WLAN dem Nutzer gegenüber eindeutig erkennbar sein. Die datenschutzrechtliche und haftungsrechtliche Verantwortung würde alleine beim Dienstleister liegen.
  3. Sie stellen die WLAN-Infrastruktur bereit und somit nur die Access-Ebene zur Verfügung. Der Internetzugang selbst wird von einem externen Dritten gestellt. Der Dienstleister tritt somit als Internet-Service-Provider auf. Dies sollte für den Nutzer spätestens innerhalb der Nutzungsbedingungen eindeutig ersichtlich werden. Bei dieser Variante hat die zuständige Bundesnetzagentur für TK-Dienste durch eine Mitteilung vom 4. März 2015 mitgeteilt, dass natürliche oder juristische Personen (Unternehmen), die ihren vorhandenen Internetzugang dauerhaft oder vorübergehend gegen Entgelt oder kostenlos mit Dritten teilen, (ohne selbst die Internetverbindung herzustellen) nicht TK-Diensteanbieter sind. Sie wirken allerdings an der Erbringung eines solchen Dienstes mit (§ 3 Nr. 6 lit. b TKG). Die dritte Variante wird in der Praxis am Häufigsten gewählt. Diese Konstellation hat zur Folge, dass wieder ausschließlich die Regelungen des TKG anzuwenden sind. Allerdings trifft ein Unternehmen, das seinen WLAN-Anschluss mit anderen teilt, nur die Kardinalspflichten des TKG. Hierunter fallen insbesondere die Vorschriften zur Gewährleistung des Telekommunikationsgeheimnisses und dem TK-spezifischen Datenschutz (§§ 91 TKG ff., u.a. zu Informationspflichten, Verarbeitungsvoraussetzungen, technische Schutzmaßnahmen etc.).

Fazit

Bevor man seinen Kunden ein öffentliches WLAN zur Verfügung stellt, sollte man sich demnach mit den verschiedenen Konstellationen auseinandersetzen, um sicherzustellen, dass man seinen gesetzlichen Pflichten nachkommt. Die gängigste Vorgehensweise dürfte in der Praxis Variante 3 darstellen.