Viele Unternehmen möchten ihren Kunden kostenfrei öffentliches WLAN zur Verfügung stellen. Bei der Bereitstellung derartiger WLAN Netzwerke müssen jedoch ebenfalls datenschutzrechtliche Aspekte beachtet werden, denn allein zur Verbindung eines mobilen Endgeräts mit dem Drahtlos-Netzwerk überträgt das Endgerät seine MAC Adresse (Media-Access-Control Adresse). Auch bei der MAC Adresse handelt es sich um ein personenbezogenes Datum, denn diese ist einzigartig und lässt damit eine konkrete Zuordnung zur Netzwerkkarte zu.
Begrifflichkeiten
Bevor die einzelnen Gestaltungsmöglichkeiten und deren rechtliche Bewertung beschrieben werden, sollten zunächst die nachfolgenden Begriffe beleuchtet werden.
Als erstes muss bei den Begrifflichkeiten zwischen Zugangs- und Internet-Service-Provider unterschieden werden. Der Zugangs-Provider (engl. Access-Provider) stellt die reine WLAN-Infrastruktur (bspw. den WLAN-Router) zur Verfügung. Unter der WLAN-Infrastruktur versteht man die technischen Einrichtungen, die von mobilen Endgeräten als „Drahtlos-Netzwerk“ erkannt werden. Sichtbar wird dies durch den Router, der das Einloggen in das WLAN ermöglicht. Beim Internet-Service-Provider handelt es sich hingegen um diejenige Stelle, die den Zugang zum Internet ermöglicht. Diese Vermittlung des Internetzugangs ist rein technischer Art.
Stellen wir uns nun Kunde „Peter“ vor. Kunde „Peter“ betritt Ihr Geschäft. Auf seinem Mobiltelefon wird ihm plötzlich angezeigt, dass ein öffentliches WLAN zur Verfügung steht. Der Kunde klickt auf „Verbinden“, es öffnet sich ein Fenster auf seinem Mobiltelefon, in welchem er aufgefordert wird, die Nutzungsbedingungen zu akzeptieren. Nach einem weiteren Klick auf den Button „akzeptieren und verbinden“ kann er schon im Internet surfen. Was für „Peter“ nur zwei Klicks bedeutet, sieht für die Daten, die unser Mobilgerät an den Router (Access-Provider) und wiederum an den Internet-Service-Provider übermittelt, wesentlich umfangreicher aus. Im Rahmen des Einwahlprozesses sendet das Mobilgerät zunächst seine MAC Adresse an den Router (Access-Provider). Von dort aus gelangt die MAC Adresse zum Internet-Service-Provider, der dem Endgerät eine dynamische IP-Adresse vergibt, die ihn im Netz sichtbar macht. Somit werden in diesem Prozess bereits zwei personenbezogene Daten des Kunden „Peter“ verarbeitet: MAC -und IP-Adresse.
Ausgestaltungsmöglichkeiten
Für die Gewährleistung eines öffentlichen Internetzugangs gibt es daher verschiedene Ausgestaltungsmöglichkeiten, die datenschutzrechtlich zu unterschiedlichen Rechtsfolgen führen.
- Sie entscheiden sich dafür, sowohl die WLAN-Infrastruktur als auch den Internetzugang selbst zu stellen und somit nach außen hin gegenüber dem Nutzer sowohl als Access- als auch Internet-Service-Provider aufzutreten. Rechtliche Folge wäre dann, dass das TKG (Telekommunikationsgesetz) vollumfänglich anwendbar ist. Aufgrund der Öffnungsklausel nach Art. 95 DSGVO gilt das TKG als lex specialis, sodass die datenschutzrechtlichen Pflichten aus dem TKG einzuhalten sind. Werden neben der Dienstleistung der Signalübertragung noch Inhalte bereitgestellt – beispielsweise, wenn als Startseite die eigene Homepage eingerichtet wurde – dann wären Sie zusätzlich noch Content-Provider. So wäre die Herstellung einer Internetverbindung unter dem TKG (Telekommunikationsgesetz) und die Bereitstellung von Inhalten (wie die einer Homepage) vom TMG (Telemediengesetz) umfasst. Hier sind sowohl datenschutzrechtliche Regelungen aus dem TMG und der DSGVO einzuhalten (beachten Sie hierzu auch die Diskussion um die Anwendbarkeit des TMG neben der DSGVO). Solange Sie nur technischer Durchleiter sind und keinen inhaltlichen Einfluss auf die Verteilung etc. nehmen, greift für Sie die Haftungsprivilegierung aus § 8 TMG. Sofern eine Weiterleitung auf die eigene Homepage erfolgt, greift diese Haftungsprivilegierung nicht mehr.
- Es wird ein Dienstleister beauftragt, der die gesamte Infrastruktur stellt und der sowohl den Access- als auch den Internet-Service-Provider darstellt. Wird das WLAN-Netz nicht durch Sie, sondern einen Dienstleister betrieben, welcher sowohl die Netzwerkstruktur stellt als auch den Internetzugang ermöglicht, Sie kein Anschlussinhaber sind und auch sonst keinerlei Einflussmöglichkeiten auf die Erbringung der Telekommunikation haben, hätte dies für Sie keine rechtlichen Auswirkungen. Allerdings muss der Dienstleister als Betreiber des öffentlichen WLAN dem Nutzer gegenüber eindeutig erkennbar sein. Die datenschutzrechtliche und haftungsrechtliche Verantwortung würde alleine beim Dienstleister liegen.
- Sie stellen die WLAN-Infrastruktur bereit und somit nur die Access-Ebene zur Verfügung. Der Internetzugang selbst wird von einem externen Dritten gestellt. Der Dienstleister tritt somit als Internet-Service-Provider auf. Dies sollte für den Nutzer spätestens innerhalb der Nutzungsbedingungen eindeutig ersichtlich werden. Bei dieser Variante hat die zuständige Bundesnetzagentur für TK-Dienste durch eine Mitteilung vom 4. März 2015 mitgeteilt, dass natürliche oder juristische Personen (Unternehmen), die ihren vorhandenen Internetzugang dauerhaft oder vorübergehend gegen Entgelt oder kostenlos mit Dritten teilen, (ohne selbst die Internetverbindung herzustellen) nicht TK-Diensteanbieter sind. Sie wirken allerdings an der Erbringung eines solchen Dienstes mit (§ 3 Nr. 6 lit. b TKG). Die dritte Variante wird in der Praxis am Häufigsten gewählt. Diese Konstellation hat zur Folge, dass wieder ausschließlich die Regelungen des TKG anzuwenden sind. Allerdings trifft ein Unternehmen, das seinen WLAN-Anschluss mit anderen teilt, nur die Kardinalspflichten des TKG. Hierunter fallen insbesondere die Vorschriften zur Gewährleistung des Telekommunikationsgeheimnisses und dem TK-spezifischen Datenschutz (§§ 91 TKG ff., u.a. zu Informationspflichten, Verarbeitungsvoraussetzungen, technische Schutzmaßnahmen etc.).
Fazit
Bevor man seinen Kunden ein öffentliches WLAN zur Verfügung stellt, sollte man sich demnach mit den verschiedenen Konstellationen auseinandersetzen, um sicherzustellen, dass man seinen gesetzlichen Pflichten nachkommt. Die gängigste Vorgehensweise dürfte in der Praxis Variante 3 darstellen.
Thorsten
11. September 2019 @ 9:16
Ich finde diesen Artikel an der Praxis vorbei. Technisch gesehen, ist die MAC nur bis zum nächsten Router sichtbar. D.h. dieser Router ersetzt die MAC im Datenpaket mit der MAC vom Router. Würde ich als Unternehmen den WLAN-Access-Point direkt mit dem Internet-Zugang des Providers verbinden. Handel ich bereits fahrlässig, da ich das Thema „Netzwerksegmentierung“ praktisch nicht berücksichtigt habe. Habe ich hingegen mein Netzwerk segmentiert, sehe alle anderen Partner (Provider etc.) „nur“ noch die MAC meines Routers und nicht mehr die MAC vom Endgeräte der Person. Von daher behaupte ich, der oben skizzierte Fall, kommt in der Praxis so gut wie nie vor. Selbst in einem Mini-Netz (z.B. Modegeschäft in der Fußgängerzone) agiert eine Fritzbox als WLAN-AP UND als Router. Der Provider sieht also nur noch die MAC der Fritzbox.
Anonymous
5. September 2019 @ 17:22
Die MAC-Adresse ist doch wie eine Seriennummer. Ich sehe diese auch als ein personenbezogenes Datum, sofern diese zusammen mit einem weiteren personenbezogenem Datum wie z.B. die IP-Adresse verwendet wird. Weil dann läßt sich diese über die IP-Adresse einem Nutzer eindeutig zuordnen.
M.Tessendorf
5. September 2019 @ 14:15
Ergänzend zu dem Kommentar von Anonymus, ist die generelle Aussage dein MAC Adresse sei ein personenbezogenes Datum nicht durch irgendeine Rechtsprechung gedeckt. Im Unterschied zu IP Adressen kann die Zuordnung MAC Adresse -> Gerätebesitzer, ohne die Abfrage weitererer Daten, nur durch den Betroffenen hergestellt werden. Die MAC Adresse ist der jeweiligen Kommnikationsschnittstelle zugeordnet (WLAN, LAN, etc.) und von Dritten nicht einem betroffenen Nutzer zuzuordnen.
Nadine Rosenberger
5. September 2019 @ 16:02
Sehr geehrter Herr Tessendorf,
vielen Dank für Ihren Kommentar. Auch bei der MAC-Adresse handelt es sich um ein personenbezogenes Datum, denn die jeweilige MAC-Adresse ist einzigartig und lässt damit eine konkrete Zuordnung zur Netzwerkkarte zu . Die bloße Kenntnis der MAC-Adresse reicht regelmäßig zwar noch nicht aus, um Rückschlüsse auf den Verwender herzustellen. Für solche sind andere Informationen erforderlich, wie etwa das Bekanntsein eines konkreten Geräts und seines Verwenders. Dennoch ist es nicht ausgeschlossen, dass solche Rück-schlüsse etwa durch vorhandene Informationen zum Gerät (z.B. Gerätename), das Erstellen von Bewegungsprofilen oder eine gleichzeitige Kameraaufzeichnung hergestellt werden können. Insofern kann sowohl bei der zugewiesenen IP-Adresse als auch der MAC-Adresse nicht vollumfänglich ausgeschlossen werden, dass hierdurch kein Personenbezug hergestellt werden kann (Datenschutzrechtliche Zulässigkeit des WLAN-Trackings 2017, Deutscher Bundestag, WD 3 -300; Vgl. auch: Düsseldorfer Kreis (Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich), Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter, S. 5.).
Anonymous
5. September 2019 @ 7:35
Vielen Dank für die gesetzlichen Referenzen im Text. Nur die Rolle des Internet-Service-Provider ist mir nicht klar. Ist die Firma oder das Telekommunikationsunternehmen, dass den Internetanschluss der Firma anbietet der ISP? Wenn letzteres der Fall ist, ist der Abschnitt mit den MAC-Adressen unglücklich formuliert, weil MAC-Adressen auf Layer 2 laufen und somit die MAC-Adresse des Client-Gerätes am Router wegfällt und der ISP diese niemals zu Gesicht bekommt https://superuser.com/questions/114110/is-your-mac-address-revealed-when-you-hit-up-a-website
Natürlich gibt es Ausnahmen, wenn z.B. IPv6 verwendet wird oder der ISP Zugriff auf Routerdaten hat. Und die grundlegende Argumentation ist davon auch nicht betroffen.
Nadine Rosenberger
5. September 2019 @ 16:26
Vielen Dank für Ihren Kommentar. Dies hängt von der jeweiligen Variante ab. In Variante 1 stellt die „Firma“ sowohl den Access- als auch Internet-Service-Provider dar, in Variante 2 weder noch und in Variante 3 sind beide Rollen aufgeteilt, sodass die „Firma“ den WLAN-Access Provider darstellt und das Telekommunikationsunternehmen den Internet-Service-Provider.
Anonymous
9. September 2019 @ 12:22
Danke für die Antwort, aber es erschließt sich mir immer noch nicht. Wenn die Firma z.B. einen DSL- oder Glasfaseranschluss mit Vertrag für Internet und Telefonie bei der Telekom hat, ist die Firma oder die Telekom ISP (ich würde behaupten, dass diese Situationen bei den meisten KMU der Fall ist)?