Schlagwort-Archive: EU loves WiFi

Der WLAN-Gesetzesentwurf der Bundesregierung (§ 8 TMG) im Detail – ein zweiter Blick – oder doch lieber weggucken?

Lange wurde über den bevorstehenden Gesetzesentwurf zur Regelung der Haftung für den Betrieb eines öffentlichen WLAN-Knotens spekuliert – nun liegt der Referentenentwurf (RefE) (endlich) vor (bei Netzpolitik als PDF). Vorher hatte Spiegel Online ein paar Stellen aus dem RefE zitiert, die ich hier im Blog kurz dargestellt hatte.

Ich möchte nun ein wenig näher auf die Regelung des Gesetzesentwurfs zu § 8 TMG (im Folgenden: § 8 TMG-RefE) eingehen. Außerdem gibt es schon einige Stimmen und Berichte zu dem Gesetzesentwurf, die vielleicht bei der Einordnung helfen können.

1. Rückblick

Zunächst aber ein kurzer Rückblick: Die Frage der Haftung für Rechtsverletzungen der Nutzer eines WLANs ist seit 2006 ein Problem, als das Landgericht Hamburg (für einen durch eine Privatperson ohne Verschlüsselung betriebenes WLAN) entschied, dass der Betreiber als Störer hafte (LG Hamburg MMR 2006, 763 – PDF). Danach kam einiges an Rechtsprechung in die eine oder andere Richtung. Das OLG Frankfurt beispielsweise teilte in einem Urteil im Jahr 2008 die Auffassung des LG Hamburg nicht und wies eine auf die Störerhaftung gestützte Klage ab (OLG Frankfurt MMR 2008, 603 – PDF). Der BGH wiederum nahm eine Störerhaftung des privaten Betreibers eines WLANs in seiner Entscheidung „Sommer unseres Lebens“ im Jahr 2010 an, weil das WLAN nicht hinreichend verschlüsselt gewesen sei (BGH MMR 2010, 565 – Sommer unseres Lebens – PDF).

Diese Entscheidungen waren ausnahmslos zu Privatpersonen ergangen. Es stellte sich also insbesondere die Frage, die eigentlich die Haftungssituation bei WLANs ist, die ganz bewusst an die Öffentlichkeit gerichtet werden – also WLAN-Hotspots. Diese Unsicherheit hat den Aufbau von öffentlichen WLANs zunächst ganz erheblich behindert. Wer ein WLAN aufbauen wollte, sah sich zuerst mit der Frage konfrontiert, ob er denn nicht für alles haftet, was seine Nutzer über das WLAN tun. Ich habe diese Situationen sowohl in der (anwaltlichen) Beratung als auch bei meinen Vorträgen beim Freifunk immer wieder erlebt.

Verschärft wurde diese Situation dadurch, dass der BGH die Privilegierungen in §§ 8-10 Telemediengesetz (TMG) nicht auf Unterlassungsansprüche anwenden wollte, weshalb Ansprüche nach Störerhaftung nicht darunter fallen sollten.

a. Erster Entwurf: Digitale Gesellschaft e.V. / DIE LINKE

2012/2013 erreichte die Diskussion einen vorläufigen Höhepunkt, als der Digitale Gesellschaft e.V. einen Gesetzesentwurf zur Regelung der Haftung von WLAN-Betreibern vorlegte, den die Partei DIE LINKE in den Bundestag zur Abstimmung einbrachte (BT-Drs. 17/11137, PDF). Die SPD brachte ebenfalls ein Papier in den Bundestag ein, allerdings ohne konkrete Regelung, sondern nur als Prüfungsauftrag.

Der Entwurf des Digitale Gesellschaft e.V. sah vor, dass § 8 TMG (der die Haftungsprivilegierung für Access Provider enthält) um folgende Absätze 3 und 4 erweitert werden sollte:

(3) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch gewerbliche und nichtgewerbliche Betreiber von Funknetzwerken, die sich an einen nicht im Voraus namentlich bestimmten Nutzerkreis richten (öffentliche Funknetzwerke).

(4) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch Ansprüche auf Unterlassung.

Der Gesetzesentwurf wurde im Bundestag mit großer Mehrheit abgelehnt (näher zur Begründung und zum Hintergrund hier). Es dürfte nicht zu weit hergeholt sein, als Ursache zu vermuten, dass der Entwurf von der LINKEN in den Bundestag eingebracht worden war.

b. Koalitionsvertrag und Digitale Agenda

Nachdem der Gesetzesentwurf gescheitert war, wurde es zunächst etwas ruhiger um das Thema. Es kam aber nach der Bundestagswahl 2013 wieder aufs Tapet. Schon im Rahmen der Koalitionsverhandlungen von SPD und CDU/CSU wurde öffentlich diskutiert. Als Ergebnis fand sich die folgende Passage im Koalitionsvertrag:

Die Potenziale von lokalen Funknetzen (WLAN) als Zugang zum Internet im öffentlichen Raum müssen ausgeschöpft werden. Wir wollen, dass in deutschen Städten mobiles Internet über WLAN für jeden verfügbar ist. Wir werden die gesetzlichen Grundlagen für die Nutzung dieser offenen Netze und deren Anbieter schaffen. Rechtssicherheit für WLAN-Betreiber ist dringend geboten, etwa durch Klarstellung der Haftungsregelungen (Analog zu Accessprovidern). Dadurch haften WLAN-Anbieter nicht mehr für Rechtsvergehen von Usern, die den öffentlichen Zugang nutzen. Gleichzeitig werden wir die Verbraucherinnen und Verbraucher über die Gefahren solcher Netze für sensible Daten aufklären. Gleichzeitig werden wir die Verbraucherinnen und Verbraucher über die Gefahren solcher Netze für sensible Daten aufklären.

Neben der Klärung der rechtlichen Fragen möchten wir die Etablierung heterogener, frei vernetzter und lokaler Communities und ihrer Infrastrukturen forcieren. Durch die Förderung dieser sowie von Ad-hoc-Netzwerken im Rahmen der F&E-Strategie sollen lokale, dezentrale Netzwerke unterstützt werden, die eine komplementäre Infrastruktur für einen fest definierten Nutzerkreis umfassen. Damit verbessern wir die infrastrukturellen Rahmenbedingungen für den Zugang zu leistungsfähigem Internet für alle.

Diese Äußerungen haben viel an Klarheit vermissen lassen (s. eingehend dazu hier), mein Fazit damals war (verkürzt): Lasst uns auf den Entwurf warten.

c. Ankündigung des Referentenentwurfs und Vorstellung der Digitalen Agenda – verfrühte Diskussionen?

Im Juli 2014 wurde dann endlich ein Gesetzesentwurf angekündigt. Sigmar Gabrel hatte gegenüber der Rheinischen Post ein paar Dinge zum geplanten Gesetzesentwurf fallen lassen (dazu die Süddeutsche). Die Süddeutsche nannte folgende Stichpunkte:

  • Gesetzentwurf will Störerhaftung lockern
  • Cafés und Hotels sollen ihre Wlan-Zugänge für Gäste öffnen können
  • Privatpersonen bleiben von dieser Regelung ausgeschlossen

Und damit ging die Diskussion los:

Netzpolitik fragte: „Luftnummer voraus? Bundesregierung will Störerhaftung wohl nur für kommerzielle WLANs abschaffen“.

Der Förderverein Freie Netze e.V. ging mit einer Stellungnahme „Auch Privatpersonen brauchen eine rechtlich zuverlässige Haftungsfreistellung!“ in die Offensive.

Als der Gesetzesentwurf dann angeblich im August fertig war, titelte z.B.

  • usw.

Im Rahmen der Vorstellung der Digitalen Agenda haben die drei „Internetminister“ nochmal für zusätzliche Verwirrung gesorgt. In der Digitalen Agenda heißt es zu der Thematik (mehr dazu hier):

Wir werden die Verbreitung und Verfügbarkeit von mobilem Internet über WLAN verbessern. Dabei werden wir darauf achten, dass die IT-Sicherheit gewahrt bleibt und keine neuen Einfallstore für anonyme Kriminalität entstehen. Wir werden Rechtssicherheit für die Anbieter solcher WLANS im öffentlichen Bereich, beispielsweise Flughäfen, Hotels, Cafés, schaffen. Diese sollen grundsätzlich nicht für Rechtsverletzungen ihrer Kunden haften. Einen entsprechenden Gesetzesentwurf werden wir in Kürze vorlegen.

Der Digitale Gesellschaft e.V. hat diese Äußerungen scharf kritisiert und nochmal auf seinen Entwurf von 2012/2013 hingewiesen:

Vor diesem Hintergrund erscheint naheliegend, dass die “zumutbaren Pflichten” gerade die Identifizierung der Nutzerinnen und Nutzer und/oder eine permanente Überwachung der über einen offenen WLAN-Zugang laufenden Datenströme umfassen sollen. Solche Pflichten würden WLAN-Betreiber mit großer Wahrscheinlichkeit dazu veranlassen, ihr WLAN weiterhin zu verschlüsseln und für Dritte unzugänglich zu halten. Dem Ziel eines allgemein verfügbaren offenen Netzzugangs wäre damit ein Bärendienst erbracht.

Auch sonst ist der Entwurf auf breite Kritik gestoßen, eine Übersicht an Kommentaren und Kritik findet sich bei Netzpolitik.org.

Andererseits habe ich – allerdings vor der Vorstellung der Digitalen Agenda – immer wieder Stimmen gehört, dass die Regelung eben noch nicht fertig sei, dass noch nicht klar sei, was für die Haftung von Privatpersonen im Ergebnis gelten solle, etc.

d. Zweiter Anlauf: Digitale Gesellschaft e.V. / Die Grünen / Die LINKE

Im November 2014 haben dann die Grünen und die LINKE erneut den Gesetzesentwurf des Digitale Gesellschaft e.V. in den Gesetzgebungsprozess eingebracht (BT-Drs. 18/3047) – wieder ohne Erfolg.

Die CDU wiederum sprach sich auf ihrem Parteitag im Dezember 2014 wieder für eine Förderung öffentlicher WLANs und eine klar gesetzliche Regelung aus. Wie genau die Beschlüsse der CDU  auszulegen waren, darüber bestand (zumindest bei mir) Unsicherheit.

3. Der Gesetzesentwurf im Detail

Nun ist der Gesetzesentwurf also endlich da (bei Netzpolitik als PDF). Dabei muss vorweg angemerkt werden, dass es sich (1) um einen Referentenentwurf handelt, also noch nicht endabgestimmt ist, und (2) einzelne Passagen im Entwurf sogar ganz ausdrücklich noch diskutiert werden sollen, insbesondere § 8 Abs. 5 TMG-RefE. Es ist also noch nicht gesagt, dass der Gesetzesentwurf überhaupt und in dieser Form kommen wird.

Ich möchte ein wenig näher auf den Gesetzesentwurf eingehen. Außerdem gibt es schon einige Stimmen und Berichte zu dem Gesetzesentwurf, die vielleicht bei der Einordnung helfen können.

a. Hintergrund

Deutschland hat ein WLAN-Problem. Die Verbreitung von Breitband ist in Deutschland unterentwickelt – trotz hoher Priorität seit vielen Jahren. Eine Lösung hierfür kann die flächendeckende oder wenigstens weitgehende Verbreitung von öffentlichen WLANs sein. Das erkennt die Bundesregierung, wie man der Gesetzesbegründung entnehmen kann:

In Hotels, aber zunehmend auch in Innenstädten, Cafés, Flughäfen und Wartebereichen im Allgemeinen wird die Verfügbarkeit des Internets über WLAN mittlerweile vorausgesetzt. In Deutschland ist dies weitaus weniger verbreitet als in vielen anderen Ländern. Eine Ursache hierfür liegt darin, dass potentielle Anbieter von WLAN-Internetzugängen aufgrund von Haftungsrisiken aufgrund der unklaren Rechtslage verunsichert sind.

Hier soll der RefE helfen:

Die Haftung der Anbieter von WLAN-Internetzugängen für Rechtsverletzungen ihrer Nutzer ist im Telemediengesetz zu präzisieren. Hierzu ist zum einen klarzustellen, dass solche Anbieter Zugangsanbieter im Sinne des TMG sind. Des Weiteren ist klarzustellen, dass für Anbieter von WLAN auch eine Haftung als Störer nicht in Betracht kommt, wenn diese bestimmte, im Gesetz zumindest beispielhaft aufzuführende, Sorgfaltspflichten erfüllt haben.

b. Klarstellung: WLANs unterfallen § 8 TMG

Das Gute des Entwurfs vorweg: Er stellt in § 8 Abs. 3 TMG-RefE klar, dass WLAN-Anbieter von der Privilegierung im TMG profitieren sollen. Das war in der juristischen Literatur wie hier mehrfach erwähnt einhellige Meinung (näher Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 211 m.w.N.). Auch die deutschen Gerichte haben im Jahr 2014 angefangen, diese Auffassung zu übernehmen (vorher waren sie dem Problem vorher aus dem Weg gegangen), namentlich

Bis zu diesem Punkt entspricht der RefE weitgehend demjenigen des Digitale Gesellschaft e.V.

c. Sicherungsmaßnahmen: Von Verschlüsselung und anderen Ungereimtheiten, § 8 Abs. 4 TMG-RefE

Problematisch wird es aber in § 8 Abs. 4 TMG-RefE. Dieser soll lauten:

Diensteanbieter, die den Internetzugang nach Absatz 3 anlässlich einer geschäftsmäßigen Tätigkeit oder als öffentliche Einrichtung zur Verfügung stellen, haften nur dann nicht als Störer auf Unterlassen, wenn zumutbare Maßnahmen ergriffen wurden, um eine Rechtsverletzung durch Dritte zu verhindern. Dies ist insbesondere der Fall, wenn der Diensteanbieter

a) angemessene Sicherungsmaßnahmen, in der Regel durch Verschlüsselung oder vergleichbare Maßnahmen, gegen den unberechtigten Zugriff auf den Internetzugang mittels WLAN durch außenstehende Dritte vorgenommen hat und

b) Zugang zum Internet nur dem Nutzer gewährt wurde, der eingewilligt hat, im Rahmen der Nutzung keine Rechtsverletzungen zu begehen.

Der Absatz birgt nach meiner Auffassung einen bunten Strauß an Problemen, die teilweise mit der vorangegangenen Rechtsprechung des BGH und teilweise mit möglicherweise fehlendem Verständnis der Verantwortlichen von der Funktionsweise von WLANs zu tun haben dürfte.

aa) Verschlüsselung

Was mir in der Debatte um WLANs schon seit Jahren immer wieder negativ aufstößt, ist der nicht zu beseitigende Glaube, dass Verschlüsselung von WLANs ein Allheilmittel sei. Angefangen hat dies im Jahr 2006, als das LG Hamburg den Inhaber eines privaten WLANs in die Störerhaftung nahm, weil er sein WLAN nicht verschlüsselt hatte (LG Hamburg MMR 2006, 763). Und im Jahr 2010 griff der BGH dies auf und postulierte, dass der (wieder private) Betreiber eines WLANs doch ein Eigeninteresse daran hätte, das WLAN sicher zu verschlüsseln. In der Begründung des Gesetzesentwurfs liest sich das dann so:

Erste Voraussetzung für eine Befreiung von der Störerhaftung ist, dass der WLAN-Betreibersein Funknetz in angemessener Form technisch gegen die Nutzung durch Unberechtigte sichert. Einem Diensteanbieter, der mit dem WLAN einen Zugang zum Internet eröffnet, ist dies zumutbar, da er. andernfalls eine potentielle Gefahrenquelle zur Begehung rechtswidriger Taten schafft, ohne noch die Kontrolle darüber zu haben, wer sich über sein WLAN Zugang zum Internet verschafft hat. Diese Voraussetzung stellt sicher, dass niemand ohne Einverständnis des Anschlussinhabers dessen WLAN nutzen kann. Insbesondere vor dem Hintergrund zunehmender Cyberkriminalität dürfte sie auch dem ureigensten Interesse des Anschlussinhabers entsprechen. Denn so wird gewährleistet, dass seine Daten so weit wie möglich gegen den Zugriff durch Unbefugte gesichert werden. Der Diensteanbieter genügt dieser Verpflichtung in der Regel, wenn er seinen Anschluss verschlüsselt. Mit der Formulierung „oder vergleichbare Maßnahmen“ wird die gebotene Technologieneutralität sichergestellt.

Diese (irrige, s. sogleich) Auffassung hat leider auch in der juristischen Literatur einige überzeugt (so Eichelberger, in: Hoeren/Bensinger, Haftung im Internet, 2014, Kap. 4 Rn. 122).

Zunächst sollte man sich hier wieder vor Augen halten, was der Gesetzesentwurf bewirken soll: Die Verbreitung öffentlicher WLANs, damit Deutschland überall und jederzeit auf Internet-Verbindungen zugreifen können.

Verschlüsselung ist aber genau das Gegenteil von Öffentlichkeit. Verschlüsselung behindert Öffentlichkeit! Verschlüsselung verhindert Öffentlichkeit!

Nach meiner Auffassung zeugt die Ansicht, Verschlüsselung sei gut für WLAN-Betreiber davon, dass sich jemand noch überhaupt nicht in ein öffentliches WLAN eingebucht hat.

Hier nur zwei (fiktive, aber gleichwohl realistische) Beispiele, die jeder, der Verschlüsselung hier sinnvoll hält, durchdenken möge:

Beispiel 1: Die Bahn

Sagen wir, ein Fahrgast möchte mit der Deutschen Bahn fahren, z.B. von Berlin nach Hannover, mit dem ICE. Die Fahrt dauert rund 1:40h. Der Fahrgast steigt also in Berlin Hbf in den ICE ein, er sucht seinen Platz, macht es sich bequem. Der Zug fährt los. Er holt nach einigen Minuten seinen Laptop heraus, weil er nach E-Mails sehen oder (mittels VPN verschlüsselt!) arbeiten möchte. Er klickt auf das WLAN-Symbol und sieht das WLAN „T-Mobile_ICE“. „Super“, denkt er sich, „Die Bahn hält, was sie verspricht, es gibt ein WLAN.“ Er klickt auf „T-Mobile_ICE“ und erhält folgende Aufforderung:

             Bitte geben Sie das WPA2-Passwort für „T-Mobile_ICE“ ein.

Was tut der Fahrgast? Er rauft sich die Haare! Woher bitte soll er denn das WLAN-Passwort kennen?

Also wartet er ungeduldig auf den Schaffner. Das dauert eine Weile, der Zug hält in Stendal. Kurz darauf kommt der Schaffner. Auf die Frage sagt er: „Stimmt, das WLAN-Passwort. Ja, das habe ich mir vorgestern aufgeschrieben. Es lautet: ‚idsfj8843hnsdfks834n,,sdf872n4jm239sdfhj234988zsdfnlw‘. Hier, behalten Sie den Zettel.“ Und weg ist er.

Also gibt unser Fahrgast das Passwort ein. Ergebnis: Passwort falsch.

Kurz nach Wolfsburg erscheint der Schaffner erneut. Auf die Nachfrage nach dem richtigen Passwort sagt der: „Ach stimmt, wir ändern das Passwort ja alle paar Tage, sie wissen, das Telemediengesetz und so … Das aktuelle Passwort weiß ich jetzt auch nicht. Fragen Sie mal nach Hannover, da wechselt das Team …“

Beispiel 2: Der Tourist in Berlin

Noch ein Beispiel. Wir stellen uns einen ausländischen Besucher vor, idealerweise sogar von außerhalb der EU, nennen wir ihn Tourist X. Tourist X steht vorm Alex. Er macht ein Selfie und denkt sich: „Das muss ich gleich meinen Freunden auf Facebook zeigen!“ Er erkennt schräg über den Platz hinweg an einem Café ein Schild mit „Free WiFi“. „Super“, sagt er sich, und geht in die Nähe des Cafés. Er klickt auf das WLAN-Logo, findet dort „Free WiFi Café Y“ und klickt darauf – und wird nach dem Passwort gefragt. Vollkommen frustriert steckt er das Mobiltelefon wieder ein und hüpft in den nächsten Touristenbus. Er denkt sich: „Dann wohl doch die Dia-Schau, wenn ich wieder zu Hause bin. Diese Deutschen sind wirklich rückständig.“

 

Ich denke, dass diese beiden Beispiele vielleicht etwas überzeichnet sind, aber dennoch der Realität entsprechen. Es ist durch Umfragen belegt, dass Hürden bei WLANs einen Großteil der potenziellen Nutzer von der Nutzung abhalten. Das hat für die Betreiber von WLANs erhebliche Folgen, da sie vielleicht nicht ausreichend Nutzer generieren können, um wirtschaftlich arbeiten zu können, oder bei „Nebenbei-WLANs“ den eigentlichen Zweck zu erreichen, nämlich die Kunden im eigenen Geschäft zu halten.

Wer jetzt denkt, dass man das WLAN-Passwort doch beim Abschluss eines Vertrages „offline“ mitteilen könne, der irrt in mehrfacher Weise. Denn WLAN-Verträge sind gänzlich anders als Mobilfunkverträge. Sie sind lokal stark gebunden. Der Nutzer müsste also für jedes lokale WLAN (vorher!) einen separaten Vertrag schließen, in dessen Rahmen er Zugangsdaten erhält. Wenn es danach ginge, hätte ich mich schon bei rund 1.000 WLAN-Betreibern anmelden müssen …

Und wenn das WPA-Passwort sich ändert, z.B. weil alte Nutzer aus dem WLAN ausgeschlossen werden sollen? Nächster Schritt: Es gibt ja auch Lösungen mit Benutzername und Kennwort, wie z.B. RADIUS bzw. 802.1X. So könnte jeder Nutzer eine eindeutige Kennung erhalten. Aber auch das erfordert eine vorangegangene Anmeldung außerhalb des WLANs. Und Touristen, die mal eben in Berlin oder anderswo sind, sind damit komplett außen vor. Wollen wir das?

Alternative?: Splash

Was ich mit all den Ausführungen oben verdeutlichen wollte: Der geringste Teil aller öffentlichen WLANs ist verschlüsselt! Auch nicht das WLAN der Deutschen Bahn. Da ist das WLAN offen, aber wenn ich einmal im WLAN drin bin, kann ich mich anmelden.

Nur so funktionieren auch die derzeit weitverbreiteten Modelle, bei denen der Nutzer 30 Minuten bis 1 Stunde kostenlos surfen kann und erst anschließend zahlt. Mit Verschlüsselung könnte ich das so nicht realisieren.

Die Alternative ist daher ein unverschlüsseltes WLAN mit einem Splash zur Anmeldung – oder auch ohne.

(zum ganzen Komplex „Verschlüsselung“ s. auch Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 228 m.w.N.)

bb) Sicherheit

Damit kommen wir direkt zum nächsten Punkt. Die Bundesregierung glaubt, dass ein unverschlüsseltes WLAN automatisch unsicher sei. Deshalb habe der Betreiber ein Eigeninteresse, sein WLAN zu verschlüsseln (so BGH MMR 2010, 565 – Sommer unseres Lebens). Das mag für den Plaste-Router von 2006 zu Hause richtig sein. Es ist aber technisch völlig problemlos möglich, ein öffentliches WLAN aufzuspannen und trotzdem seine Daten und den WLAN-Router völlig sicher zu halten. Fritzboxen (und andere WLAN-Router) bieten schon seit Jahren die Möglichkeit, zwei WLANs aufzuspannen: Eines für die Familie zu Hause. In diesem kommt man auch ins lokale Netz und auf den Heimmedienserver, kann den Fernseher und die Lampentechnik bedienen. Und ein zweites WLAN für den Gast. Und der kann nur ins Internet.

Auch der WLAN-Router selbst kann ohne Weiteres abgesichert werden. Dafür schaltet man einfach ein Admin-Passwort (nicht zu verwechseln mit Verschlüsselung) und lässt die Konfiguration des Routers nur über ein LAN-Kabel zu. Schwupp, ist der eigene WLAN-Router und sind die eigenen Daten im lokalen Netzwerk sicher.

Der einzige Fall, in dem die Verschlüsselung etwas bringt, ist das private WLAN, das – z.B. aufgrund Unwissenheit des Inhabers – nicht weiter gesichert ist und so den Zugang aller Nutzer ins lokale Netz erlaubt. Ich glaube nicht, dass die Bundesregierung ein Gesetz nur für die machen wollte. Denn diese WLAN-Inhaber wissen ohnehin nicht, dass sie verschlüsseln sollten oder müssten. Ein TMG-RefE ändert daran sicher nichts.

Mit anderen Worten: Verschlüsselung in öffentlichen WLANs braucht keiner. Sie ist kontraproduktiv! Sie hat mit Cybersicherheit nichts zu tun.

cc) Der „berechtigte Nutzer“

Der Gesetzesentwurf wirft aber auch rechtsmethodisch noch ein paar Probleme auf. Nach § 8 Abs. 4 lit. a) TMG-RefE soll der „unberechtigte Zugriff auf den Internetzugang mittels WLAN“ verhindert werden. Jetzt stellt sich die Frage, was das denn ist. Die Begründung verhält sich dazu – mit Ausnahme der obigen Sicherheitsaspekte – nicht dazu. Wenn ich aber ein öffentliches WLAN betreibe und möchte es allen potenziellen Nutzern öffnen, dann ist doch jeder, der dieses Angebot nutzt, ein „berechtigter“ Nutzer. Das ist so ähnlich wie bei Kaufhäusern, deren Türen den Kunden offen stehen.

Mit Verschlüsselung oder anderen Maßnahmen halte ich alle Kunden weg, nicht nur die unberechtigten.

dd) Geschäftsmäßig

Auch interessant ist die Einschränkung des persönlichen Anwendungsbereichs von § 8 Abs. 4 TMG-RefE (gegenüber § 8 Abs. 5 TMG-RefE). Privilegiert werden nur diejenigen Betreiber, die „anlässlich einer geschäftsmäßigen Tätigkeit oder als öffentliche Einrichtung“ ihr WLAN zur Verfügung stellen.

Gemeint sein sollen also Anbieter, die entweder eine andere geschäftsmäßige Tätigkeit verfolgen, oder bei denen das WLAN selbst geschäftsmäßig angeboten wird (wenn man das anders sähe, würden Anbieter, die ausschließlich WLANs anbieten, aus dem Anwendungsbereich herausfallen, das ist sicher nicht gewollt).

Der Begriff „geschäftsmäßig“ taucht in § 2 Abs. 1 Nr. 2 TMG beim „niedergelassenen Diensteanbieter“ auf.

Sie wird definiert als das „nachhaltige, auf Dauer angelegte Angebot“ (Spindler/Schuster-Holznagel/Ricke, Recht der elektronischen Medien, 2. Aufl. 2011, § 2 TMG Rn. 5, § 5 TMG Rn. 8; vgl. auch zu § 3 Nr. 10 TKG BeckTKG-Schütz, 4. Aufl. 2013, § 3 Rn. 33; Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 34 m.w.N.). Eine Gewinnerzielungsabsicht oder ähnliches ist damit nicht verbunden. Es geht nur darum, ob der Dienst „dauerhaft“ angeboten wird.

Geschäftsmäßig im Wortsinne wäre daher auch das von einer Privatperson dauerhaft angebotene WLAN. Das scheint der Gesetzgeber nicht zu wollen, wie man § 8 Abs. 5 TMG-RefE mit Phantasie entnehmen kann. Dann bleibt aber § 8 Abs. 4 TMG-RefE sinnentleert.

ee) Ein Placebo, sie zu knechten …

Last but not least sollen die Anbieter von WLANs noch eine Einwilligung ihrer Nutzer einholen, dass sie „im Rahmen der Nutzung keine Rechtsverletzungen“ begehen werden. Man fragt sich, inwiefern das irgendeinen Effekt haben soll. Der BGH geht in ständiger Rechtsprechung (jetzt auch zu privaten WLANs, s. BGH K&R 2014, 513 – BearShare) davon aus, dass Erwachsene selber wissen, was rechtmäßig und was rechtswidrig ist. Außerdem bleibt doch sehr fraglich, ob solche Lippenbekundungen tatsächlich einen positiven Effekt haben (ebenso OLG Hamburg NJOZ 2009, 1595, 1619 – Alphaload).

Wenn etwas aber keinen Effekt hat, dann ist es auch unnötig.

(eingehend zu Belehrungen Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 235 m.w.N.)

ff) Erfüllungsaufwand und wirtschaftliche Auswirkungen – Von Anlagen und WLAN-Sterben

Damit kommen wir zu einem weiteren Punkt des Gesetzesentwurfs. Dort steht unter „E. Erfüllungsaufwand“ lapidar „Keiner“.

Das ist jedoch nachweislich falsch.

Wie oben dargestellt, ist der Großteil der derzeitig betriebenen öffentlichen WLANs nicht verschlüsselt. Ebenso werden viele von ihnen keine Placebo-„Einwilligung“ des Nutzers einholen. Betreiber von WLANs müssen also nach dem Gesetzesentwurf ihre WLANs neu konfigurieren. Gerade kleinere Betreiber haben derzeit auch gar nicht die Möglichkeit, die Einwilligung einzuholen. Sie müssten sich also neue Anlagen kaufen. Das ist ein erheblicher wirtschaftlicher Faktor, der möglicherweise sogar zum WLAN-Sterben führen könnte. Das gilt übrigens auch für WLANs der öffentlichen Hand. Auch hier dürfte sich das Gesetz als kontraproduktiv erweisen.

Noch schlimmer wird es übrigens, wenn die Anbieter von WLANs statt einer WPA-Verschlüsselung auf Nutzerauthentifizierung ausweichen müssten, z.B. mittels RADIUS bzw. 802.1X. Denn hierfür müssen aufwändige Server-Strukturen bereitgehalten werden. WLANs sind aber gerade deshalb so attraktiv, weil jeder Café-Betreiber sich für rund 30,- Euro einen WLAN-Router kaufen und ihn selbst ohne großen Aufwand anschließen kann. Das wäre in der Zukunft gerade nicht mehr möglich.

gg) Vom sinkenden Beratungsbedarf

Der Gesetzesentwurf geht in seiner Begründung von einem sinkenden Beratungsbedarf bei WLANs aus (unter F. Weitere Kosten). Schon der Umstand, dass sich so viel dazu schreiben lässt, zeigt, dass hier weiter erheblicher Beratungsbedarf bestehen wird.

d) Vereinbarkeit mit der E-Commerce-Richtlinie?

Der Gesetzgeber hat ein weiteres Problem erkannt: Die Regelung könnte mit Art. 12 der E-Commerce-Richtlinie kollidieren. § 8 TMG dient der Umsetzung dieser Regelung, die europarechtlich die Privilegierung von Access Providern festschreibt.

Die Begründung enthält dazu folgenden Absatz:

Die Vorgaben der E-Commerce Richtlinie (Richtlinie 2000/31/EG) sind zu beachten. Die Bestimmungen präzisieren lediglich die bestehenden Regelungen des TMG und die von der Rechtsprechung entwickelte Störerhaftung und stehen damit im Einklang mit der E-Commerce-Richtlinie.

Hierzu muss man ein paar Punkte wissen: Zunächst handelt es sich bei der E-Commerce-Richtlinie (ECRL) um eine Vollharmonisierung, die Abweichungen in die eine oder andere Richtung nicht zulässt. Andererseits hat der EuGH zuletzt zu erkennen gegeben, dass er trotz Art. 12 ECRL es wohl als zulässig ansieht, Access Providern bestimmte Pflichten aufzuerlegen, wenn es um Unterlassungsansprüche geht (EuGH GRUR 2014, 468 – UPC Telekabel vs. Constantin). Von daher könnte es durchaus sein, dass § 8 Abs. 4 und 5 TMG-RefE als Konkretisierung ausdrücklich nur in Bezug auf die Unterlassungsansprüche mit der Richtlinie konform gehen könnten.

Andererseits hat das LG München I kürzlich dem EuGH eine Vielzahl an Fragen zu § 8 TMG vorgelegt, die genau dieses Problem beleuchten (LG Mu?nchen I MMR 2014, 772 = GRURInt 2014, 1166; dazu Mantz/Sassenberg, MMR 2015, 85). Das LG München I vertritt eine andere Auffassung als die Bundesregierung. Es geht davon aus, dass in § 8 TMG auch solche Regelungen wie sie die Bundesregierung vorschlägt, durch Art. 12 ECRL verboten sind.

Hier werden wir sehen müssen, wie sich der EuGH verhält. Möglicherweise würde die neue Regelung des § 8 TMG dann auch vor dem EuGH landen müssen, bevor tatsächlich Rechtssicherheit eintritt.

e) Private sollen den Namen ihrer Nutzer kennen, § 8 Abs. 5 TMG-RefE

Kommen wir nun zu dem Teil, der für weitere Unsicherheit sorgen wird: § 8 Abs. 5 TMG-RefE. Dieser lautet:

Alle anderen Diensteanbieter, die den Internetzugang nach Absatz 3 zur Verfügung stellen, haften nur dann nicht als Störer auf Unterlassen, wenn sie zumutbare Maßnahmen, insbesondere solche im Sinne der Absätze 4 a) und b), getroffen haben und den Namen des Nutzers kennen.

Mit anderen Worten: Wer „nicht geschäftsmäßig“ sein WLAN anbietet, soll (1) verschlüsseln, (2) die Nutzer einwilligen lassen und (3) die Nutzer beim Namen kennen.

Die Bundesregierung will damit wohl die vielen WLANs von Privatpersonen treffen. Wenn diese aber geschäftsmäßig, also dauerhaft öffentlich sind, stellt sich die Frage, ob sie überhaupt von § 8 Abs. 5 TMG-RefE betroffen sind.

Aber selbst wenn, ist die Kenntnis des Namens (wieder) nur ein Placebo. Denn was ist die Folge? Ich lasse nur noch Leute ins WLAN, die ich kenne – also muss ich mein WLAN im Ergebnis zu lassen. Der Verbreitung von WLANs ist das klar abträglich.

Darüber hinaus: Reicht es, wenn ich mir den Namen (z.B. per Web-Formular) mitteilen lasse? Nach dem klaren Wortlaut schon. Da ich den Namen „kennen“ muss, muss ich ihn wohl auch speichern.

Was aber, wenn ich das gar nicht darf? § 12 Abs. 1 TMG sieht vor, dass personenbezogene Daten (wie der Name!) nur erhoben werden dürfen, wenn dieses Gesetz es erlaubt. Es stellt sich aber die Frage, ob § 8 Abs. 5 TMG-RefE diesem Erfordernis gerecht wird. Denn danach muss eine Erhebung der Daten ausdrücklich gestattet sein. Die Bundesregierung formuliert aber selbst, dass es nur um die Konkretisierung bestehender Regelungen geht. Ob also nach § 8 Abs. 5 TMG-RefE neue Daten erhoben werden dürfen, bleibt unklar.

Auch wenn man auf § 95 Abs. 1 TKG abstellt, bleibt unklar, ob der Anbieter den Namen erheben darf. Nach §§ 95 Abs. 1, 3 Nr. 3 TKG sollen Bestandsdaten nur erhoben werden, wenn diese für die Vertragsabwicklung erforderlich sind. Hier soll die Erhebung von Daten aber nur dem Zweck dienen, in den Genuss einer Haftungsprivilegierung zu kommen. Das hat mit dem Vertragsverhältnis zwischen Anbieter und Nutzer nichts zu tun.

Auch bei dieser Regelung verbleibt daher eine gewisse Unsicherheit – die der Gesetzesentwurf ja gerade beseitigen soll.

f) Vorratsdatenspeicherung juchee

Ich habe oben schon erläutert, dass die Maßnahmen teilweise reines Placebo (und im Übrigen schädlich) sind. Man sollte sich hier klar machen, dass die Kenntnis des Namens oder die Einwilligung des Nutzers bei der späteren Verfolgung einer Rechtsverletzung völlig untauglich sind. Denn ohne eine minutiöse Aufzeichnung aller Handlungen des Nutzers lässt sich hinterher nicht mehr herausfinden, welcher der (ggf. namentlich bekannten) Nutzer denn eine Rechtsverletzung begangen hat.

Und dass die anlasslose Speicherung von Daten weder mit deutschem Datenschutzrecht, noch mit dem Fernmeldegeheimnis, noch mit Grundrechten vereinbar ist, hat der EuGH dem (europäischen) Gesetzgeber erst 2014 ins Stammbuch geschrieben.

g) Notifizierung und Pläne der EU

Der Gesetzesentwurf sieht ferner eine TRIS-Notifizierung vor:

Das Informationsverfahren nach der Richtlinie 98/48/EG des europäischen Parlaments und des Rates vom 20. Juli 1998 zur Änderung der Richtlinie 98/34/EG über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften (erweiterte Transparenzrichtlinie) wurde durchgeführt.

Zum Hintergrund: Die Mitgliedsstaaten der EU müssen der EU-Kommission bestimmte Gesetzesvorhaben melden. Die EU-Kommission kann dann Stellungnahmen abgeben und auf das Gesetzgebungsverfahren Einfluss nehmen. Bisher ist diese Notifizierung sicher noch nicht erfolgt, da das Gesetz noch der internen Abstimmung bedarf.

Wenn die EU-Kommission sich aber mit dem Gesetzesentwurf befasst, wird sie feststellen, dass sie ihren eigenen Plänen diametral zuwider läuft. Die EU-Kommission hat sich nämlich die Förderung von WLANs auf die Fahnen geschrieben („EU loves WiFi“). Sie hat in Art. 14 des Entwurfs zur Digital Single Market-Verordnung (COM (2013) 627) sogar ausdrücklich aufgenommen, dass private WLANs und WLANs von „nichtstaatlichen Initiativen“ nicht behindert, sondern gefördert werden sollen (eingehend dazu Mantz/Sassenberg, CR 2014, 370).

Es ist also zu erwarten, dass die EU-Kommission hier Einfluss nehmen wird.

4. Reaktionen

Interessant sind noch die Reaktionen auf den Gesetzesentwurf, von denen ich ein paar hier nur kurz darstellen möchte:

Es sei positiv zu bewerten, dass das Bundeswirtschaftsministerium einen entsprechenden Vorstoß unternommen habe. Allerdings dürfe eine neue Regelung nicht dazu führen, dass die WLAN-Nutzung für die Kunden in der Praxis zu kompliziert werde. So würden etwaige Anmelde- oder Registrierungspflichten viele Menschen davon abschrecken, sich einzuloggen.

 

Vielmehr sollten alle Betreiber von öffentlich zugänglichen Funknetzen als so genannte Accessprovider gleichgestellt werden mit großen Kommunikationsanbietern, die nicht für Rechtsverletzungen Dritter haftbar gemacht werden können. Klar lehnen wir es ab, die Haftungsbefreiung auf einen namentlich im Voraus bestimmten Nutzerkreis zu beschränken oder private WLAN-Netze verpflichtend zu registrieren.

 

Sie sind in sich auch nicht stimmig. Wenn die Bundesregierung tatsächlich offene und freie Internetzugänge fördern will, dann sollte sie keinen Gesetzesentwurf vorlegen, der exakt zum gegenteiligen Ergebnis führt. Es ist anchronistisch, freie Internetzugänge zu propagieren und gleichzeitig zu verlangen, Sicherungsmaßnahmen gegen den unberechtigten Zugriff durch außenstehende Dritte zu fordern. Was sollen in diesem Kontext außenstehende Dritte sein und wann ist ihr Zugriff unberechtigt?

5. Fazit

Insgesamt stellt sich der Gesetzesentwurf also in nicht ganz so positivem Licht dar. Wir könnten Herrn Jarzombek folgen und ihn als unnötig bezeichnen. Dann brauchen wir ihn aber auch nicht. Im Ergebnis hat sich bewahrheitet, was schon lange befürchtet wurde: Wenn ein Gesetzesentwurf kommt, macht er die Situation nicht besser …