Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

Datenschutz im WLAN: Was Anbieter und Nutzer beachten sollten

Bei öffentlichen WLAN-Netzen sollten sowohl Anbieter als auch Nutzer auf den Schutz privater Daten achten. Im Interview erläutert der WLAN-Rechtsexperte Reto Mantz, was es zu beachten gilt und was das neue EU-Datenschutzrecht für Funknetze bedeutet.

iRights.info: Wenn ich als Nutzer ein WLAN verwende, was kann der jeweilige Anbieter über mich erfahren?

Reto Mantz, Dr. jur., ist Diplom-Informatiker und Richter am Landgericht Frankfurt/Main in einer Kammer für gewerblichen Rechtsschutz und Presserecht.

Reto Mantz: Hier muss man unterscheiden: Erstens gibt es die Daten, die Nutzer selber angeben; zweitens die Daten, die der WLAN-Anbieter – rein technisch betrachtet – ohne aktives Zutun erheben kann.

Zum ersten Fall: Es ist nicht ungewöhnlich, dass sich Nutzer bei einem WLAN-Netz registrieren müssen. Der Anbieter erhält möglicherweise einen Namen, eine Anschrift und eine E-Mail-Adresse. Zum Teil wird auch die Mobilfunknummer abgefragt. Dem Nutzer wird dann eine Bestätigungs-SMS mit einem Code zugeschickt, der zum Einloggen eingegeben werden muss.

iRights.info: Und ohne mein Zutun?

Reto Mantz: Hier sind es zunächst bestimmte technische Daten, die in der Regel anfallen. Dazu gehört die MAC-Adresse, eine individuelle Kennung für das Gerät des Nutzers oder bestimmte Komponenten. Außerdem die zugehörige IP-Adresse und die verwendeten Ports. Das sind Angaben, die zur Abwicklung des Datenverkehrs nötig sind.

Der Anbieter kann auch das übertragene Datenvolumen und die Nutzungszeiten erfassen. Wann hat sich jemand eingewählt, für wie lange? Daraus können sich Muster ergeben, zum Beispiel: Jeden Abend um 18 Uhr kommt dieser Nutzer zu mir, während er vermutlich seinen Kaffee gegenüber trinkt.

Gibt es mehrere Zugangspunkte, ist es möglich, den Standort des Nutzers durch Messtechnik (Triangulation) zu ermitteln, gegebenenfalls auch in Kombination mit anderen eingesetzten Techniken. In Supermärkten zum Beispiel lässt sich auf diese Weise zum Teil sehr genau bestimmen, wo jemand langgelaufen ist. Solche Auswertungen sind für Geschäfte interessant, um beispielsweise zu schauen, wie effektiv der Aufbau der eigenen Ladenfläche ist.

Dann kann der Anbieter – wiederum rein technisch betrachtet – möglicherweise noch näher in den Datenverkehr hineinschauen. Er kann zum Beispiel erfassen, was ein Nutzer abruft, welche Dienste er nutzt, etwa E-Mail oder Whatsapp, oder ob er sich Programme herunterlädt.

E-Mail-Adressen und Werbung

iRights.info: Welche Daten dürfen die Anbieter sammeln? Fangen wir mal mit der E-Mail-Adresse an.

Reto Mantz: Bislang durften die meisten WLAN-Anbieter bestimmte Daten, die sogenannten Bestandsdaten nach dem Telekommunikationsgesetz (TKG), auch abfragen. Mit der europäischen Datenschutz-Grundverordnung (DSGVO) muss sich ein WLAN-Anbieter nun umso mehr fragen, ob es für die Erhebung einen Erlaubnistatbestand gibt. Die Angabe kann auch hier erforderlich sein, um etwa einen Vertrag zu erfüllen.

Oder der Anbieter kann sich auf ein „berechtigtes Interesse“ berufen. Das ist bei einer E-Mail-Adresse vermutlich gegeben. Der Europäische Gerichtshof hat in seiner Entscheidung zur WLAN-Störerhaftung postuliert, dass der WLAN-Anbieter seine Nutzer nicht registrieren muss, es aber darf. Das impliziert, dass ein berechtigtes Interesse bestehen kann, den Nutzer per E-Mail-Adresse zu identifizieren.

iRights.info: Darf der Anbieter die E-Mail dann nutzen, um mir Werbung zu schicken?

Reto Mantz: Nach der alten Regelung des TKG durfte zumindest der Anbieter selbst für eigene Produkte werben, solange der Kunde nicht widersprochen hat. Auch nach der DSGVO wird Werbung grundsätzlich als ein berechtigtes Interesse angesehen.

Werbung ist also nicht per se unzulässig, aber es ist eine Abwägung erforderlich. Solange kein Widerspruch eingegangen ist, wird der WLAN-Anbieter wohl zumindest für eigene Produkte Werbung machen dürfen. Man kann das jedoch auch anders sehen. Dann müsste der Anbieter gegebenenfalls eine Einwilligung einholen.

iRights.info: Und per Einwilligung darf er Daten sammeln und nutzen, wie er will?

Reto Mantz: Nicht automatisch, auch die Einwilligung muss freiwillig, informiert und zulässig sein. Es gibt sowohl im TKG als auch in der DSGVO ein „Kopplungsverbot“. Das bedeutet, dass ein Anbieter die Erbringung seines Dienstes nicht von der Einwilligung in Datenverarbeitungen abhängig machen darf, die nicht erforderlich sind.

Das Kopplungsverbot gilt aber nicht per se, sondern mit Abstufungen. Es gilt nur dann, wenn Alternativen nicht oder nicht in zumutbarer Weise zugänglich sind. Wenn Sie etwa in Berlin unterwegs sind, können Sie auf ein bestimmtes WLAN wahrscheinlich verzichten und ein anderes nutzen. Hier würde das Kopplungsverbot wahrscheinlich eher nicht greifen.

Anders könnte es bei einem Flughafen aussehen, wo es nur dieses eine WLAN gibt. Wer etwa mit einem chinesischen Mobiltelefon mit anderen Funkstandards anreist, hat gar keine andere Verbindungsmöglichkeit. Hier könnte das Verbot greifen. Es ist allerdings sehr umstritten, wann genau das Kopplungsverbot wirksam wird.

Standortdaten: Nur mit Einwilligung

iRights.info: Wie ist es mit weiteren Auswertungsmöglichkeiten, zum Beispiel, wie sich jemand im Supermarkt bewegt. Ist das zulässig?

Reto Mantz: Das ist deutlich schwieriger für den Anbieter. Hier gilt weiterhin das relativ strenge Telekommunikationsgesetz. Sogenannte Verkehrsdaten dürfen nur verwendet werden, soweit sie für die Diensterbringung – also für die Bereitstellung des WLANs – erforderlich sind. Danach müssen sie grundsätzlich sofort gelöscht werden. Anerkannt ist aber, dass die Daten etwa für die IT-Sicherheit noch für ein paar Tage vorgehalten werden können.

Speziell für Standortdaten gilt weiterhin eine strenge Regelung im TKG. Sie dürfen nur im Umfang eines Dienstes mit Zusatznutzen für den Nutzer verwendet werden. Ein Beispiel könnte sein: Sie laufen durch den Supermarkt und kriegen eine Push-Benachrichtigung – „Vor Ihnen stehen Chips, heute für 1 Euro im Angebot“.

Allerdings ist auch dazu immer eine Einwilligung des Nutzers nötig. Da müssen Anbieter sehr genau aufpassen, was sie machen. Das TKG sieht auch vor, dass Nutzer zum Beispiel per SMS benachrichtigt werden müssen, wenn der Anbieter Standortdaten erhebt. Diese Regelung gilt in Zukunft womöglich nicht mehr.

Datenschutz-Grundverordnung und WLANs

iRights.info: Es fallen jetzt also einige Regelungen für WLAN-Anbieter weg, aber andere gelten weiter?

Reto Mantz: Jetzt wird es kompliziert: Das Telekommunikationsgesetz (TKG) machte schon bislang spezielle datenschutzrechtliche Vorschriften unter anderem für WLAN-Anbieter, die relativ streng waren. Das TKG setzt die europäische E-Privacy-Richtlinie um. In der DSGVO steht, dass sich daran nichts ändern soll.

Das gilt aber nur, soweit die E-Privacy-Richtlinie das gleiche regelt. Wo das deutsche TKG über die Vorgaben der E-Privacy-Richtlinie hinaus geht, gelten jetzt die allgemeinen Regelungen der DSGVO. Dazu ist aber vieles noch strittig.

Zudem ist die Entwicklung noch im Fluss: Eine neue, europaweit einheitliche E-Privacy-Verordnung wird aller Voraussicht nach erst 2019 kommen. Meine Hoffnung ist, dass die Regelungen dann etwas besser aufeinander abgestimmt sein werden.

iRights.info: Was heißt das für WLAN-Anbieter, was sollten sie tun?

Reto Mantz: Sie sollten sich auf jeden Fall ihre Datenschutzerklärung anschauen und mit den Informationspflichten abgleichen, die Artikel 13 und 14 der DSGVO vorsehen. Hier sind bestimmte Informationen für die Nutzer erforderlich.

Auch die Prozesse, mit denen Daten erhoben und verarbeitet werden, sollten sie betrachten. Hierzu gibt es etwa Anforderungen an die Datensicherheit und das Prinzip der datenschutzfreundlichen Technik (privacy by design). Anbieter sollten sich also auf diejenigen Daten beschränken, die sie tatsächlich brauchen. Zudem sieht die DSGVO sehr weitreichende Dokumentationspflichten vor.

iRights.info: Was wird da dokumentiert und wie macht man das?

Reto Mantz: Zunächst muss man sich überlegen: Welche Daten erhebe ich und was mache ich damit? Wer kommt damit in Berührung? Werden sie weiter übermittelt?

Man muss auch die Zwecke vorher festlegen. Wer Daten zum Beispiel für Werbung verwenden will, muss überprüfen, ob es dafür eine Rechtsgrundlage gibt. Diese Überlegungen sollten dann strukturiert niedergelegt, also aufgeschrieben werden.

Je intensiver Daten verarbeitet werden, desto stärker ist auch an weitere Sicherheitsmaßnahmen zu denken, zum Beispiel zusätzliche Pseudonymisierung, technische Absicherungen und ähnliches. Je mehr ein Anbieter macht, desto mehr wird er auch beachten müssen.

iRights.info: Wer einfach sein WLAN offen lässt, um es Kunden oder Gästen anzubieten, muss aber jetzt keinen Anwalt konsultieren?

Reto Mantz: Nein, davon gehe ich nicht aus.

WLANs und Datenschutzerklärung

iRights.info: Wann braucht ein WLAN-Anbieter eine Datenschutzerklärung?

Reto Mantz: Wer Daten erhebt und verarbeitet, sollte auch eine Datenschutzerklärung vorhalten oder auf ähnliche Weise etwa auf einer Webseite darüber informieren. Das gilt bereits nach dem TKG und ebenso nach der DSGVO.

Wer nur die allernötigsten Daten erhebt, kann sich eine Datenschutzerklärung sparen oder sich auf einen kurzen Hinweis beschränken. Es wäre dann ausreichend, sinngemäß zu sagen: Ich benutze Daten nur für die Erbringung des Dienstes, ansonsten erhebe und speichere ich nichts.

Sobald ein WLAN-Anbieter aber darüber hinausgeht und beispielsweise mehr über seine Kunden wissen will, muss er auch detaillierter informieren. Dann sollte er auch weiteren Rat einholen.

Verhaltensregeln für Nutzer

iRights.info: Was sollten WLAN-Nutzer beachten, um die eigenen Daten zu schützen?

Reto Mantz: Man sollte zunächst darauf achten, welches WLAN man nutzt. Passt der Name zum Anbieter? Wenn es Datenschutzhinweise oder Nutzungsbedingungen gibt, kann man bereits einen Eindruck gewinnen, was dieser vorhat.

Desweiteren sollte man entweder verschlüsselte WLANs verwenden oder darauf achten, sich selbst abzusichern. Dazu gehört insbesondere, dass die Verbindungen im Browser durch „HTTPS“ verschlüsselt sind.

Aber auch in den meisten verschlüsselten WLANs können zumindest andere Nutzer im selben Funknetz sehen, was ich mache. Die sicherste Variante ist es, ein eigenes „virtuelles privates Netzwerk“ (VPN) einzusetzen. Damit wird der gesamte Datenverkehr verschlüsselt und der WLAN-Anbieter kann nichts mehr davon sehen.

Auch bei Verwendung eines E-Mail-Programms sollte man darauf achten, dass in den Einstellungen verschlüsselte Verbindungen aktiviert sind. Generell sollte man in fremden WLANs keine besonders sensiblen Dinge tun, zum Beispiel Online-Banking.

Don't be the product, buy the product!

Schweinderl