Schlagwort-Archive: Hotspot

Zur Unzulässigkeit der Veränderung von http-Datenverkehr durch den Hotspot-Anbieter – jetzt: AT&T

Bei Web Policy ist ein Bericht von Jonathan Mayer erschienen, nach dem nun auch AT&T (vorher schon Comcast u.a.) in den USA bei seinen WiFi-Hotspots den http-Datenverkehr verändert und beim Abrufen von Webseiten Werbung einfügt.

Mit der Thematik der Deep Packet Injection hatte ich mich bereits Ende letzten Jahres / Anfang diesen Jahres befasst und dazu einen Aufsatz mit dem Titel „Freund oder Feind auf meiner Leitung? – (Un-)Zulässigkeit des Eingriffs in den Datenstrom durch TK-Anbieter mittels Deep Packet Injection“ in der Zeitschrift MMR veröffentlicht. Es ist tatsächlich verständlich, dass Anbieter von WLAN-Hotspots nach Möglichkeiten suchen, hieraus Einkünfte zu generieren. So heißt es auch bei Mayer:

„AT&T has an (understandable) incentive to seek consumer-side income from its free wifi service, but this model of advertising injection is particularly unsavory. Among other drawbacks: It exposes much of the user’s browsing activity to an undisclosed and untrusted business. It clutters the user’s web browsing experience. It tarnishes carefully crafted online brands and content, especially because the ads are not clearly marked as part of the hotspot service. And it introduces security and breakage risks, since website developers generally don’t plan for extra scripts and layout elements.“

Nach deutschem Recht wäre dieses Verhalten klar unzulässig (eingehend Mantz, MMR 2015, 8 ff.). Aus dem Fazit (MMR 2015, 8, 13):

„Das Ergebnis ko?nnte eindeutiger kaum sein: Deep Packet Injection stellt ohne wirksame Einwilligung einen eindeutig unzula?ssigen Eingriff in das Fernmeldegeheimnis dar, der fu?r die Verantwortlichen strafrechtliche Folgen haben kann. Da durch die Deep Packet Injection jedenfalls Verkehrsdaten erhoben werden, liegt auch ein Verstoß gegen die Regelungen des TK-Datenschutzes vor. In Betracht kommen zusa?tzlich Versto?ße gegen die Datenschutzvorschriften des TMG, wenn die Daten beim Werbeanbieter Personenbezug aufweisen.“

Für das amerikanische Recht hat Mayer auch erhebliche Zweifel an der Rechtmäßigkeit:

„The legality of hotspot advertising injection is a messy subject. There are a number of colorable arguments against, including under the FCC’s net neutrality rules, the FTC’s unfairness and deception authorities (and state parallels), wiretapping statutes, pen register statutes, tortious interference, copyright, and more. It certainly doesn’t help AT&T and RaGaPa that the ads aren’t labeled as associated with the hotspot, and that AT&T’s wifi terms of service are silent about advertising injection.“

Anbietern von WLAN-Hotspots kann daher hiervon nur abgeraten werden.

Beitrag „Rechtsfragen beim Betrieb von öffentlichen WLAN-Hotspots“, NJW 2014, 3537 – erschienen

In eigener Sache:

Im aktuellen Heft 49/2014 der Neuen Juristischen Wochenschrift (NJW) ist nun der Aufsatz mit dem Titel „Rechtsfragen beim Betrieb von öffentlichen WLAN-Hotspots“ (zusammen mit Dr. Thomas Sassenberg) erschienen (NJW 2014, 3537-3543).

Der Beitrag befasst sich überblicksartig mit Fragen der Verantwortlichkeit für WLAN-Hotspots und regulatorischen Fragen.

Aus dem Beitrag:

Die Verbreitung von WLAN-Hotspots nimmt stetig zu. Gleichzeitig wird aber häufig die bestehende Rechtslage, namentlich Fragen der Verantwortlichkeit und der regulatorischen Pflichten, als Hemmnis für den Aufbau und Betrieb von WLAN-Hotspots angesehen. Im Koalitionsvertrag der derzeitigen Bundesregierung ist festgehalten, dass eine Klarstellung zu den Haftungsregelungen für WLAN-Hotspots dringend geboten ist. Ein Entwurf hierfür wurde zunächst noch für August 2014 angekündigt, bisher von der Bundesregierung aber nicht vorgelegt. Zusätzlich diskutiert der europäische Gesetzgeber derzeit einen Verordnungsentwurf, der auch die Verbreitung von WLANs fördern soll. Dieser Beitrag geht überblicksartig auf den Aspekt der Verantwortlichkeit sowie die aus dem Telekommunikationsgesetz (TKG) resultierenden Fragestellungen ein und skizziert die aktuellen Entwicklungen.

I. Hintergrund

1. Regulatorische Anforderungen und Verantwort­lichkeit als Hemmnis?

Einheitlich wird davon ausgegangen, dass zumindest kurz- bis mittelfristig die Anzahl der öffentlichen WLAN-Hotspots weiter zunehmen wird. Grund hierfür ist insbesondere, dass die Mobilfunknetze derzeit nicht in der Lage sind, die entsprechenden Datenmengen aufzunehmen.  Daher sollen – unter dem Stichwort „data offloading“ diskutiert – öffentliche WLANs den Datenverkehr aufnehmen. Dies führt dazu, dass inzwischen in den meisten Hotels und Cafés WLAN-Hotspots zu finden sind und innerstädtische WLANs aufgebaut werden. Auch der Internetzugang in öffentlichen Verkehrsmitteln ist immer wieder Gegenstand der öffentlichen Diskussion. Verschiedene Netzbetreiber bieten zudem so genanntes WLAN-Sharing an, bei dem technisch der Teilnehmer (als Endkunde) Dritten nicht benötigte Übertragungskapazitäten zur Verfügung stellt und dafür im Gegenzug die Möglichkeit erhält, die weiteren Hotspots des Anbieters bzw. seiner Kunden zu nutzen.  Auch für den Sprachverkehr wird die Anbindung mittels WLAN, wenn auch noch zaghaft, genutzt.

Als Probleme beim Aufbau entsprechender Angebote werden meist Haftungsfragen auf der einen Seite und regulatorische Pflichten auf der anderen Seite angesehen. Dies ist auf Grund der Komplexität gut nachvollziehbar, letztendlich sind die aus beiden Aspekten resultierenden Anforderungen für den Betreiber aber handhabbar. Nichtsdestotrotz beabsichtigen der europäische wie der nationale Gesetzgeber die Förderung des Ausbaus von WLAN-Hotspots durch den Abbau von regulatorischen Hürden. Auf europäischer Ebene wird derzeit ein von der Kommission vorgelegter Vorschlag für eine Verordnung über Maßnahmen zum europäischen Binnenmarkt der elektronischen Kommunikation und zur Verwirklichung des vernetzten Kontinents und zur Änderung verschiedener Richtlinien (Single Market-Verordnung) diskutiert, die wesentliche Regelungen für den Aufbau und Betrieb von WLAN-Hotspots vorsieht, indem unter anderem für „Nebenbei-Anbieter“ regulatorische Anforderungen abgebaut und das WLAN-Sharing erheblich vereinfacht werden sollen.  Auf nationaler Ebene wurde zunächst ein Gesetzentwurf zur Regelung der Haftungsfragen angekündigt, aber nicht veröffentlicht. Aus Regierungskreisen war zu hören, dass die Neuregelung wohl bis zur für 2015 angedachten Novelle des TKG zurückgestellt werden soll. …

Lesetipp: Roggenkamp/Ballhausen, Verantwortlichkeit gewerblicher Hotspot-Betreiber, AnwZert-IT-Recht 18/2014, Anm. 2 – und zur Zumutbarkeit der Verschlüsselung von WLANs

Prof. Dr. Jan Dirk Roggenkamp (@rajdr) und Dr. Miriam Ballhausen (@Miriam_B) haben in der Online-Zeitschrift Anwalt-Zertifikat-IT-Recht einen lesenwerten Beitrag mit dem Titel „Verantwortlichkeit gewerblicher Hotspot-Betreiber“ veröffentlicht (AnwZert-IT-Recht 18/2014, Anm. 2), der insgesamt lesenswert ist (im Augenblick ist der Artikel – ohne Fußnoten – online, es ist aber gut möglich, dass er demnächst nicht mehr verfügbar sein wird).

Die Autoren nehmen u.a. die Urteile des AG Hamburg zur Anwendbarkeit von § 8 TMG auf WLANs (und auch hier und hier) zum Anlass, sich mit der Rechtslage bei gewerblichen Hotspots zu befassen. Dabei gehen sie auf Fragen der Darlegungs- und Beweislast und der Störerhaftung ein. Insbesondere befassen sie sich damit, welche Maßnahmen den Betreibern von WLANs im Rahmen der Prüfungs- und Überwachungspflichten bei der Störerhaftung zuzumuten sind, wobei sie auf Verschlüsselung, Sperren, Registrierung und Belehrung eingehen.

1. Verschlüsselung als zumutbare Pflicht?

Eine Verschlüsselung sehen Roggenkamp und Ballhausen entgegen meiner Auffassung (s. Sassenberg/Mantz, WLAN und Recht, Rn. 228) als zumutbar an. Sie schreiben dazu:

Die Notwendigkeit der Passworteingabe vor Nutzung eines Hotspots ist in der Praxis üblich. Die Auffassung, die Pflicht zur Verschlüsselung schaffe bereits „eine Hürde, die das Geschäftsmodell zu beeinträchtigen vermag“ überzeugt vor diesem Hintergrund nicht.

Ich halte diese Argumentation nicht für richtig. Denn bei (insbesondere entgeltlichen) Hotspots mag zwar die Eingabe einer Nutzer/Passwort-Kombination z.B. auf einer Splash-Page durchaus üblich sein. Die Frage der Verschlüsselung, die der BGH in der Entscheidung „Sommer unseres Lebens“ angesprochen hat, und die hier diskutiert wird, betrifft aber bereits die Ebene des Zugangs zum WLAN, z.B. durch WPA2-Verschlüsselung.

Wenn ein WLAN durch eine solche Verschlüsselung gesichert ist, kann der Nutzer ohne Kenntnis des Kennworts überhaupt keinen Zugang zum WLAN erhalten, er kann also auch keinerlei Kommunikation mit dem WLAN aufnehmen.Wer sich kommerzielle Hotspots, z.B. der Telekom genau ansieht, kann erkennen, dass das WLAN an sich unverschlüsselt ist. Wenn sich der Nutzer in das (unverschlüsselte) WLAN einloggt, erhält er aber keinen Zugang zum Internet, sondern nur zur lokalen Informationsplattform mit Möglichkeit der Eingabe der Nutzer/Passwort-Kombination oder dem Erwerb der Zugangsberechtigung z.B. mit Kreditkarte.

Ganz wichtig ist nach meiner Auffassung, dass zu verschlüsselten WLANs nur Nutzer Zugang erhalten können, die ihren Zugang bereits vorher erworben und dabei den WLAN-Schlüssel erhalten haben. Neue Kunden, die sich z.B. auf einer Splash-Page registrieren und dann ihre Nutzer/Passwort-Kombination erhalten, können aber – mangels Zugangsmöglichkeit zum WLAN – nicht gewonnen werden. Im typischen Fall eines Touristen, der durch eine fremde Stadt läuft und ein WLAN nutzen will, ohne z.B. am Kiosk oder im Mobilfunkgeschäft einen Zugang zum WLAN zu erwerben, wird die Gewinnung des Kunden praktisch unmöglich.

Auch die Modelle, bei denen das WLAN zunächst 30-60 Minuten kostenlos angeboten wird und danach nur gegen Entgelt weiter zur Verfügung steht, basieren darauf, dass der Zugang zum WLAN selbst erst einmal ohne Verschlüsselung möglich ist. Nach Ablauf der kostenlosen Nutzungszeit muss der Nutzer dann – aber innerhalb des WLANs – die Berechtigung für die weitere Nutzung erwerben.

Auch in einem Café mit verschlüsseltem WLAN wird der Kunde erst die Bedienung ansprechen müssen, wie man denn Zugang zum WLAN erhält. Dies stellt nach meiner Auffassung einen klaren Wettbewerbsnachteil zum unverschlüsselten WLAN des Cafés nebenan dar.

Letztlich sollen WLANs auch als Informationsplattformen dienen. Die Stadt Berlin bspw. überlegt seit langer Zeit, ein WLAN im Stadtkern aufzubauen bzw. aufbauen zu lassen. Dabei sollen Nutzer nicht nur die ersten 30 Minuten kostenlos im Internet surfen können. Sie sollen zusätzlich auch nach den 30 Minuten auf eine Informationsplattform gelangen, wo sie Informationen über Berlin, zu aktuellen Veranstaltungen etc. erhalten können. Auch dies ist bei Verschlüsselung des WLANs nur möglich, wenn der Nutzer bereits vor Zugang zum WLAN den Schlüssel kennt.

Eine Verschlüsselung ist auch aus diesen Gründen dem gewerblichen Betreiber eines Hotspots unzumutbar.

2. Weitere Pflichten

Weitere Pflichten sehen die Autoren mit der wohl mittlerweile h.M. als nicht zumutbar an. Eine Belehrung sehen sie – zumal vor dem Hintergrund der Entscheidung BGH „BearShare“ – als praktisch unwirksam an:

Nach hier vertretener Auffassung dürfte der tatsächliche Effekt einer solchen Belehrung gegen Null tendieren.

Auch Sperren lehnen sie rundheraus ab (zu den verschiedenen Arten der Sperren s. z.B. Sassenberg/Mantz, WLAN und Recht, Rn. 231 ff.). Insoweit sind Roggenkamp und Ballhausen in guter Gesellschaft, z.B. das OLG Köln hat kürzlich Sperren als unzumutbar abgelehnt.

3. Fazit

Der Beitrag fasst kurz und lesenswert wichtige Punkte im Hinblick auf die Haftung der Betreiber von gewerblichen WLANs zusammen. Schön (mit Ausnahme des Punkts zur Verschlüsselung) ist jedenfalls das Fazit des Beitrags:

Betreiber gewerblicher Hotspots sind als Access-Provider zu behandeln und genießen die gleichen Haftungsprivilegien wie „richtige“ Access-Provider wie die DTAG, Telefonica, Versatel etc. Maßnahmen die über die Verschlüsselung29 und ggf. eine Nutzerbelehrung hinausgehen, sind unzumutbar und ihr Nichtergreifen kann keine Störerhaftung begründen.

Lesetipp: Polenz, Speicherpflichten für Unternehmer nach § 113a TKG, CR 2009, 225

Von Sven Polenz vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein ist in der CR (2009, 225) ein Aufsatz zu „Speicherpflichten für Unternehmer nach § 113a TKG“ erschienen.

Polenz untersucht insbesondere die Speicherpflicht für Arbeitgeber und Betreiber von WLAN-Hotspots.

Er leitet ein mit der Unsicherheit, die für den jeweiligen Betreiber besteht – insbesondere dadurch, dass entweder eine Speicherpflicht nach § 113a TKG besteht oder ein Speicherverbot nach BDSG. Eine Entscheidung in die eine oder andere Richtung ist daher notwendig.

1. Diensteanbieter

Da der Begriff des Diensteanbieters in § 3 Nr. 6, Nr. 10 TKG sehr weit ist, sieht Polenz den WLAN-Hotspot-Anbieter richtigerweise als Diensteanbieter i.S.d. TKG an – auch ohne Gewinnerzielungsabsicht. Ebenso ist der Arbeitgeber, der seinen Mitarbeitern die private Nutzung des Internet erlaubt, als Diensteanbieter anzusehen.

2. Speicherpflicht

Ob gespeichert werden muss, richtet sich insbesondere danach, ob es sich um ein „Angebot an die Öffentlichkeit“ handelt. Auch dieser Begriff wird in der Literatur grundsätzlich sehr weit verstanden. Polenz behandelt diese Frage über eine Einzelfallbetrachtung anhand der Zielrichtung des Angebots. Wenn sich das Angebot an einen unbestimmten Personenkreis richten soll, dann kann eine Speicherpflicht eintreten. Dementsprechend sieht Polenz den Arbeitgeber nicht als Anbieter für die Öffentlichkeit, sondern nur für seine Mitarbeiter, was auch durch die betrieblichen Regelungen zur Nutzung des Internet verdeutlicht werde. Als weitere Argumente führt er den enormen Aufwand bei der unterschiedlichen Behandlung (im Hinblick auf die Speicherung) von betrieblicher und privater Nutzung sowie einen Vergleich mit einem Urteil des OVG NW, Beschl. v. 13.3.2002 – 13 B 32/02, K&R 2003, 312, an.

Im Hinblick auf WLAN wird die Bezugnahme auf die Zielrichtung noch deutlicher:

„Richtet sich das Angebot zur Nutzung eines WLAN-Hotspot ausschließlich an die Gäste und/oder die Bediensteten eines Hotels oder an die Patienten und/oder das Pflegepersonal eines Krankenhauses, so steht zu gleich fest, dass kein Angebot für die Öffentlichkeit erbracht wird. Erfasst die Reichweite des WLAN neben dem Hotelkomplex auch den Bereich eines Restaurants, welches nicht nur den Hotelgästen, sondern auch Besuchern zur Verfügung steht, so richtet sich das Angebot an einen nicht mehr bestimmbaren Personenkreis. Gleiches gilt für die Besucherzahl in einem Einkaufszentrum, auf einem Bahnhof oder einem Flughafen, da diese ebenfalls keinen bestimmten Personenkreis umfasst. In diesen Fällen besteht die Zielrichtung des Angebots darin, öffentlich zugängliche Telekommunikationsdienste für Endnutzer zu erbringen.“ (CR 2009, 225, 228)

Bei WLAN-Hotspots, die ein Access Provider betreibt und für den das Unternehmen nur die Räumlichkeiten zur Verfügung stellt (z.B. Telekom-Hotspot in Restaurant), ist es ausreichend, wenn der Access Provider speichert (§ 113a Abs. 1 S. 2 TKG). Dabei ist die Speicherung durch den Access Provider aber vertraglich sicherzustellen.

3.

Polenz vertritt einen sehr interessanten Ansatz, der im Hinblick auf die Vorratsdatenspeicherung auch zielführend sein kann. Ob sich die Ansicht von Polenz im Hinblick auf die Auffassung der wohl h.M. in der Literatur,  die praktisch schon dann von einem Angebot an die Öffentlichkeit ausgeht, wenn nicht nur einer geschlossenen Nutzergruppe nur interne Kommunikation ermöglicht wird (Heun, in: Handbuch TK-Recht, 2. Aufl. 2007, Kap. A Rn. 55 unter Verweis auf Erwägungsgrund 3 der Richtlinie 98/10/EG – ONP-Sprachtelefondienstrichlinie II; Sörup, in: Heun, Handbuch TK-Recht, Kap. K Rn. 8; Kreitlow, in: Wissmann, TK-Recht, Kap. 6 Rn. 20; Schütz, Kommunikationsrecht, Rn. 17; Schütz, BeckTKG, 3. Aufl. 2006, § 6 Rn. 13, § 3 Rn. 25), durchsetzen wird, muss sich noch zeigen.