Gewährleistung von Datenschutz bei WLAN-Nutzung in Unternehmen

Die Bereitstellung von WLAN für Gäste und Mitarbeiter in Unternehmen ist heutzutage ein wichtiger Faktor für den Geschäftsbetrieb und die Kundenzufriedenheit. Allerdings sind damit auch rechtliche Herausforderungen verbunden, insbesondere im Hinblick auf den Datenschutz. In diesem Blog-Beitrag wollen wir uns ausführlich mit dem IT-Recht auseinandersetzen und Ihnen als kompetenter und erfahrener Rechtsanwalt die notwendigen rechtlichen Ausführungen liefern.

Gesetzliche Grundlagen und Datenschutzvorschriften

Zunächst wollen wir uns mit den gesetzlichen Grundlagen und Datenschutzvorschriften befassen, die für die WLAN-Nutzung in Unternehmen relevant sind. Hierzu zählen insbesondere:

• Das Bundesdatenschutzgesetz (BDSG)
• Die Datenschutz-Grundverordnung (DSGVO)
• Das Telemediengesetz (TMG)
• Das Telekommunikationsgesetz (TKG)

Im Folgenden werden die wichtigsten Regelungen dieser Gesetze in Bezug auf die WLAN-Nutzung erläutert:

Bundesdatenschutzgesetz (BDSG)

Das BDSG regelt den Schutz personenbezogener Daten, die von öffentlichen und nicht-öffentlichen Stellen verarbeitet werden. Für Unternehmen ist insbesondere das BDSG-neu relevant, das im Zuge der Einführung der DSGVO angepasst wurde.

Datenschutz-Grundverordnung (DSGVO)

Die DSGVO ist eine europaweite Verordnung, die den Schutz personenbezogener Daten innerhalb der Europäischen Union (EU) regelt. Die DSGVO ist seit dem 25. Mai 2018 in Kraft getreten und hat Vorrang vor nationalen Datenschutzgesetzen wie dem BDSG. Die DSGVO sieht unter anderem strenge Vorgaben für den Umgang mit personenbezogenen Daten vor und verpflichtet Unternehmen, angemessene technische und organisatorische Maßnahmen zu treffen, um diese Daten zu schützen.

Telemediengesetz (TMG)

Das TMG regelt die rechtlichen Rahmenbedingungen für elektronische Informations- und Kommunikationsdienste, zu denen auch WLAN-Dienste zählen. Insbesondere enthält das TMG Vorschriften zur Haftung von Diensteanbietern und zur Speicherung von Nutzerdaten.

Telekommunikationsgesetz (TKG)

Das TKG regelt die rechtlichen Rahmenbedingungen für Telekommunikationsdienste, zu denen auch WLAN-Dienste zählen können. Insbesondere enthält das TKG Vorschriften zur Anmeldung von Telekommunikationsdiensten, zur Sicherheit von Telekommunikationsnetzen und zur Speicherung von Verkehrsdaten.

Anforderungen an die WLAN-Nutzung aus datenschutzrechtlicher Sicht

Im Folgenden wollen wir uns mit den konkreten Anforderungen an die WLAN-Nutzung aus datenschutzrechtlicher Sicht befassen. Hierzu zählen insbesondere:

• Die Einhaltung der Grundsätze der DSGVO
• Die Umsetzung von technischen und organisatorischen Maßnahmen (TOMs)
• Die Einhaltung von Aufbewahrungsfristen und Löschungspflichten
• Die Einholung von Einwilligungen der Nutzer
• Die Erfüllung von Informationspflichten gegenüber den Nutzern

Einhaltung der Grundsätze der DSGVO

Die DSGVO sieht eine Reihe von Grundsätzen vor, die bei der Verarbeitung personenbezogener Daten zu beachten sind. Dazu zählen insbesondere:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)
• Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
• Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
• Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)
• Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
• Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)

Bei der Bereitstellung von WLAN für Gäste und Mitarbeiter müssen Unternehmen daher darauf achten, dass die Verarbeitung der dabei anfallenden personenbezogenen Daten (z. B. IP-Adressen, Gerätekennungen, Nutzungsdaten) diesen Grundsätzen entspricht. Insbesondere ist zu prüfen, ob die Datenerhebung und -verarbeitung rechtmäßig ist (z. B. aufgrund einer Einwilligung der Nutzer oder einer gesetzlichen Erlaubnis), ob die Daten nur für die konkret angegebenen Zwecke verwendet werden, ob nicht mehr Daten erhoben werden als für den jeweiligen Zweck erforderlich, ob die Daten richtig sind und ob sie nach Ablauf der gesetzlich vorgeschriebenen oder intern festgelegten Aufbewahrungsfristen gelöscht werden.

Umsetzung von technischen und organisatorischen Maßnahmen (TOMs)

Die DSGVO verpflichtet Unternehmen, angemessene technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten (Art. 32 DSGVO). Bei der Bereitstellung von WLAN für Gäste und Mitarbeiter sollten daher insbesondere folgende Maßnahmen umgesetzt werden:

• Verschlüsselung des WLAN-Netzes (z. B. durch WPA2- oder WPA3-Standard)
• Trennung von internem und externem WLAN-Netz (z. B. durch Virtual Local Area Networks, VLANs)
• Authentifizierung der Nutzer (z. B. durch individuelle Zugangsdaten oder Einmal-Passwörter)
• Regelmäßige Aktualisierung der WLAN-Infrastruktur (z. B. Router, Access Points, Firmware)
• Einsatz von Firewall- und Sicherheitslösungen (z. B. Intrusion Detection Systems, IDS)
• Protokollierung und Überwachung der WLAN-Nutzung (z. B. zur Erkennung von Sicherheitsvorfällen)
• Einbindung von Datenschutzbeauftragten und IT-Sicherheitsexperten (z. B. zur Beratung und Schulung der Mitarbeiter)

Einhaltung von Aufbewahrungsfristen und Löschungspflichten

Die DSGVO sieht vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie dies für die Zwecke, für die sie erhoben wurden, erforderlich ist (Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO). Darüber hinaus können sich aus dem TMG oder dem TKG konkrete Aufbewahrungsfristen oder Löschungspflichten ergeben. Bei der Bereitstellung von WLAN für Gäste und Mitarbeiter sollten Unternehmen daher darauf achten, dass die anfallenden personenbezogenen Daten (z. B. IP-Adressen, Gerätekennungen, Nutzungsdaten) nach Ablauf der gesetzlich vorgeschriebenen oder intern festgelegten Aufbewahrungsfristen gelöscht werden und nicht länger als erforderlich gespeichert werden.

Einholung von Einwilligungen der Nutzer

Die Verarbeitung personenbezogener Daten im Rahmen der WLAN-Nutzung kann in einigen Fällen von der Einwilligung der betroffenen Nutzer abhängig sein (Art. 6 Abs. 1 lit. a DSGVO). Dies betrifft insbesondere die Verarbeitung von Daten für werbliche Zwecke oder die Weitergabe von Daten an Dritte. Unternehmen sollten daher prüfen, ob für bestimmte Datenverarbeitungsvorgänge im Zusammenhang mit der WLAN-Nutzung die Einwilligung der Nutzer erforderlich ist und entsprechende Einwilligungserklärungen einholen (z. B. im Rahmen des Anmeldeprozesses für das WLAN). Dabei sollte auch beachtet werden, dass die Einwilligung freiwillig, informiert und ausdrücklich erfolgen muss und jederzeit widerrufen werden kann.

Erfüllung von Informationspflichten gegenüber den Nutzern

Die DSGVO sieht umfangreiche Informationspflichten für Unternehmen vor, die personenbezogene Daten verarbeiten (Art. 13 und 14 DSGVO). Diese Informationspflichten betreffen insbesondere

• die Identität des Verantwortlichen für die Datenverarbeitung
• die Zwecke der Verarbeitung
• die Rechtsgrundlage für die Verarbeitung
• die Empfänger der Daten
• die Dauer der Speicherung
• die Rechte der betroffenen Personen (z. B. Auskunftsrecht, Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruchsrecht, Beschwerderecht bei einer Aufsichtsbehörde)
• die Herkunft der Daten (sofern sie nicht von den betroffenen Personen selbst erhoben wurden)

Unternehmen sollten daher dafür sorgen, dass die Nutzer des WLANs über die Verarbeitung ihrer personenbezogenen Daten umfassend informiert werden, z. B. durch einen Hinweis bei der Anmeldung zum WLAN oder durch Aushänge oder Informationsblätter im Unternehmen.

Haftung bei WLAN-Hotspots im Unternehmen

Die Haftung bei WLAN-Hotspots in Unternehmen ist ein komplexes Thema, das sich hauptsächlich um die Verantwortlichkeit für den Datenverkehr über das Unternehmens-WLAN dreht. Grundsätzlich müssen Unternehmen sicherstellen, dass ihr WLAN-Netzwerk ausreichend gesichert ist, um unbefugten Zugriff zu verhindern.

Dies beinhaltet die Implementierung starker Passwörter und eventuell eines VPNs. Unternehmen könnten haftbar gemacht werden, wenn ihr WLAN für illegale Aktivitäten genutzt wird, es sei denn, sie können nachweisen, dass sie angemessene Vorkehrungen getroffen haben, um solche Aktivitäten zu verhindern.

WLAN-Besitzer Überwachung im Unternehmen: Ist das erlaubt?

Neben den oben diskutierten rechtlichen Aspekten der WLAN-Nutzung in Unternehmen, stellt sich auch die Frage nach der Zulässigkeit der Überwachung durch den WLAN-Besitzer:

Rechtliche Grenzen der Netzwerküberwachung: Unternehmen müssen die Grenzen des Datenschutzrechts beachten, insbesondere die Bestimmungen der DSGVO. Eine Überwachung der Netzwerknutzung, insbesondere der Internetaktivitäten der Nutzer, kann in Konflikt mit dem Recht auf informationelle Selbstbestimmung und dem Datenschutz stehen.

Erforderlichkeit und Verhältnismäßigkeit: Jede Form der Überwachung muss erforderlich und verhältnismäßig sein. Unternehmen dürfen grundsätzlich nur solche Daten erfassen und auswerten, die für den Betrieb und die Sicherheit des Netzwerks notwendig sind.

Transparenz und Einwilligung: Die Nutzer müssen über die Art und den Umfang der Überwachung informiert werden. In vielen Fällen ist eine explizite Einwilligung der Nutzer erforderlich, insbesondere wenn persönliche Daten verarbeitet oder Nutzungsprofile erstellt werden.

Sicherheitsmaßnahmen: Die Überwachung dient oft der Netzwerksicherheit, um beispielsweise unbefugte Zugriffe oder schädliche Aktivitäten zu identifizieren. Solche Sicherheitsüberwachungen sind in der Regel zulässig, solange sie sich auf technische Daten beschränken und keine persönlichen Inhalte auswerten.

Besondere Vorsicht bei sensiblen Daten: Besondere Vorsicht ist geboten, wenn durch die Überwachung sensible Daten erfasst werden könnten. In solchen Fällen sind die Anforderungen an Datenschutz und Datensicherheit besonders hoch.

Grundsätzlich besteht die Möglichkeit, dass ein WLAN-Betreiber auf verschiedene Arten Zugriff auf Informationen über die angeschlossenen Geräte und den übertragenen Datenverkehr erhält. Dazu zählen unter anderem:

• Angeschlossene Geräte und deren Informationen: Der WLAN-Betreiber kann einsehen, welche Geräte mit dem Netzwerk verbunden sind, und erhält dabei Informationen wie Geräte-Hersteller, Geräte-Name, IP-Adresse und MAC-Adresse.
• Verbrauchte Bandbreite: Der Betreiber kann den Datenverbrauch jedes einzelnen Geräts sowie die Gesamtbandbreite des Netzwerks einsehen.
• Browserverläufe und Webseiten-Aufrufe: Allerdings kann der WLAN-Betreiber aufgrund der Verschlüsselung in modernen Browsern in der Regel nicht direkt auf alle übertragenen Inhalte zugreifen. Er kann jedoch sogenannte DNS-Anfragen sehen, die Informationen über die besuchten Websites enthalten.
• Potentielle Überwachung unverschlüsselter Kommunikation: Wenn die übertragenen Daten nicht verschlüsselt sind, besteht die Möglichkeit, dass der Betreiber den Inhalt einsehen kann, zum Beispiel E-Mails oder Nachrichten, die über unverschlüsselte Verbindungen versendet werden.
• Deep Packet Inspection: Eine erweiterte Form der Überwachung ist die sogenannte Deep Packet Inspection, bei der der Inhalt der übertragenen Datenpakete analysiert wird. Hierbei können jedoch rechtliche Grenzen erreicht oder überschritten werden.

FAQs zur WLAN-Nutzung und Datenschutz

Im Folgenden finden Sie Antworten auf häufig gestellte Fragen zur WLAN-Nutzung und Datenschutz:

Sind IP-Adressen personenbezogene Daten?

Ja, IP-Adressen gelten sowohl nach der DSGVO als auch nach dem BDSG als personenbezogene Daten, da sie einen Bezug zu einer natürlichen Person herstellen können (z. B. über den Internetzugangsanbieter).

Darf ich als Unternehmen ein öffentliches WLAN ohne Passwort anbieten?

Grundsätzlich ist es möglich, ein öffentliches WLAN ohne Passwort anzubieten. Allerdings sollten Sie dabei beachten, dass Sie als Betreiber eines solchen WLANs unter Umständen für Rechtsverletzungen Ihrer Nutzer haften können (vgl. die oben genannten Gerichtsurteile) und dass die DSGVO angemessene technische und organisatorische Maßnahmen zur Sicherheit der personenbezogenen Daten verlangt (siehe Abschnitt 2.2). Eine Passwortsicherung und/oder Nutzerregistrierung kann daher sinnvoll sein, um diese Risiken zu minimieren.

Muss ich als Unternehmen einen Datenschutzbeauftragten bestellen, wenn ich ein WLAN für Gäste und Mitarbeiter anbiete?

Die Bestellung eines Datenschutzbeauftragten ist nach der DSGVO (Art. 37) und dem BDSG (§ 38) insbesondere dann erforderlich, wenn in Ihrem Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Bereitstellung eines WLAN für Gäste und Mitarbeiter allein führt in der Regel nicht zur Pflicht, einen Datenschutzbeauftragten zu bestellen. Allerdings kann es sinnvoll sein, einen Datenschutzbeauftragten oder externen Experten zu Rate zu ziehen, um die datenschutzrechtlichen Anforderungen im Zusammenhang mit der WLAN-Nutzung zu erfüllen.

Muss ich die WLAN-Nutzung von Gästen und Mitarbeitern protokollieren?

Die Protokollierung der WLAN-Nutzung ist nicht gesetzlich vorgeschrieben, kann aber aus Sicherheitsgründen und zur Erfüllung der datenschutzrechtlichen Vorgaben sinnvoll sein (z. B. zur Erkennung von Sicherheitsvorfällen oder zur Überprüfung der Einhaltung von Löschungspflichten). Dabei sollten jedoch die Grundsätze der DSGVO (insbesondere Datenminimierung, Speicherbegrenzung und Transparenz) beachtet und die Daten nur für die konkret angegebenen Zwecke verwendet werden.

Darf ich die WLAN-Nutzung für Werbezwecke auswerten?

Die Auswertung der WLAN-Nutzung für Werbezwecke ist grundsätzlich möglich, wenn die betroffenen Nutzer hierzu ihre Einwilligung erteilt haben (Art. 6 Abs. 1 lit. a DSGVO) oder wenn eine gesetzliche Erlaubnis besteht (z. B. für Direktwerbung im Rahmen einer bestehenden Kundenbeziehung, § 7 Abs. 3 UWG). Dabei sollten jedoch die Grundsätze der DSGVO (insbesondere Datenminimierung, Zweckbindung und Transparenz) beachtet und die Daten nur für die konkret angegebenen Zwecke verwendet werden.

Fazit zum Datenschutz WLAN Unternehmen

Die Bereitstellung von WLAN für Gäste und Mitarbeiter in Unternehmen ist heutzutage ein wichtiger Faktor für den Geschäftsbetrieb und die Kundenzufriedenheit. Allerdings sind damit auch rechtliche Herausforderungen verbunden, insbesondere im Hinblick auf den Datenschutz.

Um diese Herausforderungen zu meistern und mögliche Abmahnungen und Bußgelder zu vermeiden, sollten Unternehmen die gesetzlichen Vorgaben kennen und die notwendigen technischen und organisatorischen Maßnahmen ergreifen, um den Schutz der personenbezogenen Daten ihrer WLAN-Nutzer zu gewährleisten. Dabei können ihnen erfahrene Rechtsanwälte, Datenschutzbeauftragte oder IT-Sicherheitsexperten zur Seite stehen und bei der Umsetzung der rechtlichen Anforderungen unterstützen.