Schlagwort-Archive: Verschlüsselung

Zum Stand des (WLAN-)TMG-Änderungsgesetzes: Die Bundesregierung will zuwarten

An dieser Stelle nur ein kurzer Zwischenruf. Wie man hört, hat sich die Regierungskoalition im Hinblick auf die geplanten Anforderungen an WLANs im TMG-Änderungsgesetz noch nicht auf eine einheitliche Linie einigen können. Zur Erinnerung: Letzter Entwurfsstand (BT-Drs. 18/6745) war, dass WLANs künftig verschlüsselt werden müssen und jeder Nutzer vor der Nutzung versprechen muss, keine Rechtsverletzungen zu begehen (treffend auch „Lügenseite“ genannt). Der Bundesrat hatte gefordert, diese Anforderungen zu streichen (BR-Drs. 440/15). Auch sonst war heftige Kritik am Entwurf laut geworden.

Zwischenzeitig war dann verlautbart worden, dass die Verschlüsselungspflicht möglicherweise gestrichen werden sollte.

Wie mir nun zugetragen wurde, konnte eine Einigung bisher noch nicht erzielt werden. Stattdessen soll zunächst die Stellungnahme des Generalanwalts beim EuGH in der Vorlagesache des LG München I (LG München I, Beschl. v. 18. 9. 2014 – 7 O 14719/12, GRUR Int. 2014, 1166 – Bring mich nach Haus; dazu Mantz/Sassenberg, MMR 2015, 85 (PDF)) abgewartet werden.

Es könnte also wesentlich davon abhängen, was der EuGH (bzw. in Vorbereitung der Generalanwalt, dessen Vorschlägen der EuGH in rund 2/3 der Fälle folgt) zur Thematik des § 8 TMG bzw. Art. 12 E-Commerce-RL sagt. Dabei ist es durchaus sinnvoll, dass die Bundesregierung zunächst zuwartet. Denn ggf. müsste das Gesetz ansonsten unmittelbar wieder geändert werden.

Der geänderte WLAN-Gesetzesentwurf zur Änderung des TMG: Keine Verbesserungen für öffentliche WLANs

Die Bundesregierung hat ihren Entwurf zur Änderung der Haftungssituation bei WLANs überarbeitet und mittlerweile auch bei der EU-Kommission notifiziert (aktueller Text hier; Michel Vorsprach hat eine Synopse des alten und neuen Entwurfstexts hergestellt, danke dafür!).

Wie bereits gemunkelt worden ist, wurde insbesondere § 8 Abs. 5 TMG, der spezielle Anforderungen für private (insbesondere familiäre) WLANs vorsah, gestrichen.

Ich möchte auf die Änderungen in aller Kürze eingehen. Größtenteils verbleibt es bei meinen bisherigen Ausführungen zum Entwurf und zur FAQ des BMWi:

1) Redaktionelle Änderungen

Der neue Entwurf hat einige redaktionelle Änderungen erfahren. Auffallend ist insbesondere, dass – allein in der Begründung – nicht mehr vom „Anbieter“ sondern vom „Betreiber von WLAN-Netzen“ oder „WLAN-Betreiber“ die Rede ist. Der Text hingegen spricht weiterhin vom „Diensteanbieter“.

2) Anwendungsbereich der Privilegierung

§ 8 Abs. 4 TMG-Entwurf gilt – anders als zuvor – nun für alle Anbieter nach § 8 Abs. 3 TMG-E (also alle, die – kumulativ – Zugang zu Informationen vermitteln, die Voraussetzungen des § 8 Abs. 1 TMG erfüllen und ein WLAN anbieten). Die Unterscheidung zwischen dem „privaten“ und dem „geschäftsmäßigen“ Anbieter bzw. „als öffentliche Einrichtung“ entfällt komplett. Für Private gilt daher genau das selbe wie für Nicht-Private. Entscheidendes Kriterium ist also nur noch, ob das WLAN „Nutzern zur Verfügung gestellt wird.“ Das trifft nach dem Wortlaut auch auf den privaten Anschlussinhaber zu, der nur seinen Familienmitgliedern das WLAN zur Verfügung stellt. Es kommt daher nicht darauf an, ob das WLAN auch der Öffentlichkeit zur Verfügung gestellt wird, obwohl Ziel des Gesetzes ja die Förderung der Verbreitung von öffentlichen WLANs ist.

Dies stellt die Begründung nun auch explizit klar (Hervorhebung hier):

„In diesem Sinne kodifiziert § 8 Absatz 4 Satz 1 TMG, dass alle Diensteanbieter, unabhängig davon, ob sie ihr WLAN zu kommerziellen Zwecken, im privaten Umfeld oder als öffentliche Einrichtung zur Verfügung stellen, grundsätzlich dann nicht als Störer in Anspruch genommen werden können, wenn sie die ihnen zumutbaren Maßnahmen ergriffen haben, um eine Rechtsverletzung durch Nutzer zu verhindern.“

Mit dem Gesetz wird daher auch die bisherige Filesharing-Rechtsprechung auf den Prüfstand gestellt werden müssen, sobald sich der in Anspruch genommene Anschlussinhaber damit verteidigt, dass er (z.B. seinen Familienmitgliedern) ein WLAN zur Verfügung gestellt hat und darlegt, dass diese Nutzer als Täter der Rechtsverletzung ernsthaft in Betracht kommen. Denn dann käme die Rechtsprechung um eine Prüfung des (neuen) § 8 TMG und von dessen Voraussetzungen nicht mehr umhin.

3) Voraussetzung der Privilegierung: Zumutbare Maßnahmen

Die Bundesregierung hat den Gesetzesentwurf insbesondere etwas entschlackt und die Gesetzesbegründung ergänzt.

a) Verschlüsselung

Die Anforderung der Verschlüsselung hat sie aus dem Gesetzestext gestrichen und belässt es jetzt bei der Anforderung von zumutbaren Maßnahmen zur Verhinderung des Zugriffs durch unberechtigte Dritte. Dass hierfür z.B. Verschlüsselungsmaßnahmen ergriffen werden, steht nun nur noch in der Gesetzesbegründung:

„Erste Voraussetzung für eine Befreiung von der Störerhaftung ist, dass der WLAN-Betreiber sein Netzwerk in angemessener Form technisch gegen den Zugriff durch Unberechtigte sichert. […] Die jeweils angemessene Sicherungsmaßnahme kann im Sinne der gebotenen Technologieneutralität der Betreiber selbst bestimmen. Hierfür kommt insbesondere die Verschlüsselung des Routers in Betracht, die vielfach bereits vom Hersteller vorgesehen ist, wie gegenwärtig in Form des WPA2-Standards. Möglich wäre aber auch eine freiwillige Registrierung der Nutzer.“

Dass das Erfordernis einer Verschlüsselung dem Ziel der Förderung von öffentlichen WLANs widerspricht, habe ich bereits mehrfach (hier und hier) zum Ausdruck gebracht (siehe auch eingehend Mantz/Sassenberg, CR 2015, 298). Noch immer begründet die Bundesregierung diese Anforderung u.a. mit dem Schlagwort Cybersicherheit. Sicherheit des WLANs kann aber eben auch ohne Verschlüsselung hergestellt werden. Der Gesetzesentwurf belässt es daher bei der daraus resultierenden erheblichen rechtlichen Unsicherheit für den Betreiber.

b) Registrierung

Als Alternative zur Verschlüsselung soll – jetzt neu – insbesondere eine „freiwillige Registrierung der Nutzer“ in Betracht kommen.

Unklar ist aber, was das bedeutet: „Freiwillig“ für den Anbieter oder „freiwillig“ für den Nutzer? – Vermutlich eher für den Anbieter.

Die Bundesregierung will mit dem Merkmal der „Freiwilligkeit“ eventuell datenschutzrechtlichen Problemen aus dem Weg gehen und den Anbieter auf die allgemeinen datenschutzrechtlichen Normen verweisen. Eine konkrete Ermächtigung zur Erhebung von personenbezogenen Daten enthält der TMG-Entwurf aber weiterhin nicht. Es dürfte daher weiterhin gelten, was das BMWi in seiner FAQ festgestellt hat: Der TMG-Entwurf verpflichtet nicht zur Registrierung der Nutzer oder zur Erstellung von Protokollen.

Weiter ist unklar, was (also welche Daten) diese Registrierung umfassen soll. Wenn man sie mit der Verschlüsselung vergleicht, dürfte es aber nicht erforderlich sein, Namen und Adresse zu erfassen. Denn auch bei der Verschlüsselung bleibt der Nutzer dem Anbieter im Ergebnis unbekannt. Vielmehr könnte es wohl ausreichen, wenn man sich die E-Mail-Adresse des Nutzers mitteilen lässt. Ob diese wiederum verifiziert werden muss, bleibt ebenso offen.

c) Erklärung, keine Rechtsverletzungen zu begehen

Verblieben ist es dabei, dass der Anbieter vom Nutzer eine Erklärung einholen muss, dass dieser keine Rechtsverletzungen begehen wird. Dieser Punkt ist – da er im Ergebnis ein reines Placebo darstellt – vielfach kritisiert worden (s. hier und Mantz/Sassenberg, CR 2015, 298).

 4) Neu: § 2a TMG

Neu ist § 2a TMG-E. Die Regelung dient der Umsetzung der Richtlinie über audiovisuelle Dienste 2010/13/EU und hat für die materiell-rechtlichen Fragen wenig Bedeutung.

5) Fazit, tl;dr

Insgesamt stellen die Veränderungen keine Verbesserungen dar. Die grundlegende Kritik, die vor allem auch von Verbänden kam, hat die Bundesregierung nicht aufgegriffen. Stattdessen hat sie – für familiäre WLANs erfreulich – § 8 Abs. 5 TMG-Entwurf gestrichen.

Für öffentliche WLANs hält aber auch der neue Entwurf keine positiven Nachrichten bereit. Das Ziel der Förderung öffentlicher WLANs wird wohl auch er klar verfehlen.

„23: Die WLAN-Verschwörung“ – oder: Der „Rechtsbelehrung“-Podcast Nr. 23 zum Thema Offene WLANs

Thomas Schwenke und Marcus Richter vom „Rechtsbelehrung“-Podcast haben mich eingeladen, mit ihnen über offene WLANs, den Referentenentwurf zur Änderung des TMG (dazu eingehend hier, hier, hier und hier) und die (weiterhin virulente) Haftungsproblematik bei offenen WLANs zu sprechen. Das habe ich gerne gemacht und das Ergebnis war dort die Folge Nr. 23.

Den Podcast könnt Ihr hier, bei rechtsbelehrung.com oder iTunes hören oder herunterladen:

Vielen Dank an Thomas und Marcus für das nette Gespräch und allen anderen (hoffentlich) viel Spaß beim Hören. 🙂

Gewinnspiel

Außerdem: Auf der Webseite des „Rechtsbelehrung“-Podcast wird ein Exemplar des Buchs „WLAN und Recht“ von Thomas Sassenberg und mir verlost!

WLAN und Recht

Zusätzlich verlosen wir hier im Blog und im Blog zum Buch „WLAN und Recht“ www.wlan-recht.de ein weiteres Exemplar. Dafür müsst Ihr einfach hier auf der Webseite oder auf www.wlan-recht.de einen Kommentar (mit E-Mail-Adresse, die zu anderen Zwecken nicht genutzt und an niemanden weitergegeben werden wird) hinterlassen oder diesen Beitrag auf Twitter teilen (Retweet) und nehmt dann an der Verlosung teil. Teilnahmeschluss ist der 25. Mai 2015.

Die FAQ des BMWi zum WLAN-Gesetz

Das Bundeswirtschaftsministerium (BMWi) hat auf seiner Webseite eine FAQ mit dem Titel „Mehr Rechtssicherheit bei WLAN – Potentiale der kabellosen Kommunikation nutzen“ eingestellt, die der Erläuterung des Referentenentwurfs zur Regelung der Haftung bei öffentlichen WLANs dienen soll. Im nachfolgenden Beitrag will ich kurz darauf eingehen (zum Referentenentwurf eingehend siehe schon hier und hier):

Über den Referentenentwurf zur WLAN-Haftung (im Folgenden RefE) ist schon einiges geschrieben worden, größtenteils – zu Recht – kritisch. Dabei war insbesondere kritisiert worden, dass der RefE zu weiterer Unsicherheit führt, insbesondere wegen des Begriffs der „Geschäftsmäßigkeit“ und den damit in Zusammenhang stehenden Änderungen des ersten Entwurfs vom 27.2.2015 zum RefE vom 11.3.2015.

Grundsätzlich halte ich es für begrüßenswert, dass das BMWi sich die Mühe macht, diese Kritik aufzugreifen und für Klarstellungen zu sorgen, obwohl dies eigentlich Aufgabe der Gesetzesbegründung im RefE gewesen wäre. Leider offenbaren aber auch die klarstellenden Erläuterungen ein Fehlverständnis von WLANs im Allgemeinen. Eine Änderung oder Verbessserungen enthält die FAQ jedenfalls nicht. Von daher bleibt es auch im Wesentlichen bei meinen bisherigen Einschätzungen.

1. Keine Vorratsdatenspeicherung und keine Registrierung (Nr. 1, 12)

Das BMWi stellt in Nr. 1 der FAQ klipp und klar, dass mit dem RefE eine Vorratsdatenspeicherung nicht einher geht.

Weiter stellt das BMWi klar, dass der Betreiber eines WLANs den Namen des Nutzers NICHT protokollieren, oder sogar nur registrieren müssen – und zwar ausdrücklich auch für Private!

Damit führt der RefE also keine Änderung zur bisherigen Rechtslage dar. Das LG München I hatte nämlich 2012 entschieden, dass ein WLAN-Anbieter nicht zur Registrierung seiner Nutzer verpflichtet werden darf (LG München I, Urt. v. 12.1.2012 – 7 HK O 1398/11, CR 2012, 605 m. Anm. Mantz; eingehend Sassenberg/Mantz, WLAN und Recht, Rn. 234).

Für Private antwortet das BMWi sogar nochmal explizit bei Frage Nr. 12:

Er muss – wie der geschäftsmäßige Betreiber – seinen Anschluss verschlüsseln und sich bestätigen lassen, dass der Nutzer keine Rechtsverletzungen begehen wird. Zusätzlich ist hier erforderlich, dass er den Nutzer, dem er sein WLAN überlassen will, namentlich kennt. Um es klar zu sagen: Er muss den Namen aber nicht protokollieren oder registrieren.

2. Verschlüsselung, IT-Sicherheit und Fernmeldegeheimnis (Nr. 3)

Nach dem RefE muss der Betreiber eines WLANs dieses zwingend verschlüsseln oder anders sichern. Das BMWi bleibt leider weiter schuldig, was „andere Maßnahmen“ sind. Es ist auch schwer vorstellbar, welche Maßnahmen einer Verschlüsselung gleichkommen sollte.

Beim Punkt Verschlüsselung offenbart sich nach meiner Auffassung der größte Pferdefuß des RefE: Wer sein WLAN verschlüsselt, schließt dadurch seine Nutzer aus. Das hat das BMWi leider – noch immer – nicht verstanden:

Die Verschlüsselung dient vor allem dem Interesse des WLAN-Betreibers selbst. Sie verhindert, dass Unbefugte über seinen Internet-Zugang surfen und auf seine Dateien zugreifen können. Darüber hinaus dient die Verschlüsselung dem Schutz des Kommunikationsgeheimnisses.

Ich kann es hier nur wiederholen: NEIN! Die Verschlüsselung dient NICHT dem Interesse des WLAN-Anbieters. Das BMWi verweist in Antwort Nr. 4 darauf, dass sie sich an der Rechtsprechung des BGH orientiert hätten. Nur leider hat der BGH sich bisher noch überhaupt nicht mit öffentlichen WLANs auseinander gesetzt, sondern allein rein private WLANs auf dem Tisch gehabt. Für ein öffentliches WLAN hätte er sicher keine Verschlüsselung gefordert, weil jedem, der mal eins genutzt hat, klar ist, dass er dann nicht mehr reinkommt.

Das BMWi vermischt hier zwei grundlegend verschiedene Dinge: IT-Sicherheit und die Frage der Haftung. Das eine hat mit dem anderen per se erst einmal nichts zu tun. Wer ein öffentliches WLAN betreibt, der kann sich selbst durch andere Maßnahmen schützen, was ich immer wieder schon dargestellt habe (hier und Sassenberg/Mantz, WLAN und Recht, Rn. 228). IT-Sicherheit kann also auch ohne Verschlüsselung hergestellt werden. Interessant wäre es allerdings, wenn man das BMWi beim Wort nähme: Man könnte nämlich vertreten, dass derjenige, der sein WLAN (ohne Verschlüsselung) durch unberechtigten Zugriff von außen sichert, „angemessene Maßnahmen“ i.S.v. § 8 Abs. 4 TMG-RefE ergriffen hätte. Leider verträgt sich das nicht mit dem Gesetzeswortlaut …

Das BMWi macht es in Frage Nr. 15 noch viel deutlicher:

Neben dem Anliegen der Freifunker hatte sie auch die Interessen von WLAN-Anbietern und -nutzern zu berücksichtigen, die einen Missbrauch ihrer Daten in freien Netzen befürchten.

Mir ist allerdings ein Missbrauch „meiner Daten“ in Freifunk-Netzen noch nicht bekannt geworden. Was öffentlich geworden ist, ist das Mithören von Datenverkehr in öffentlichen Hotspots. Und wenn man alle WLAN-Hotspots zumacht, kann natürlich auch keiner mehr mithören. Warum jetzt aber die Gefahr in Freifunk-Netzen besonders groß sein soll, erschließt sich mir nicht.

Ein anderer Punkt ist der des Schutzes des Fernmeldegeheimnis (eingehend zu Fernmeldegeheimnis und Datenschutz bei WLANs Sassenberg/Mantz, WLAN und Recht, Rn. 106 ff.). Es stimmt: Ein unverschlüsseltes WLAN führt dazu, dass Kommunikation durch andere mitgelesen werden kann. Es ist also zum Schutz des Fernmeldegeheimnis sinnvoll, das WLAN zu verschlüsseln. Das hat aber eben auch nichts mit der Haftung für die Rechtsverletzungen der Nutzer zu tun, denn die können das auch mit Verschlüsselung. Auch hier vermischt das BMWi verschiedene Dinge. Sicherheit der Kommunikation sollte vielmehr durch Endnutzerverschlüsselung hergestellt werden. Auch sollten WLAN-Anbieter darauf hinweisen, wenn der Datenverkehr ansonsten unverschlüsselt erfolgt.

3. Anmeldung (Nr. 14)

Eng mit der Verschlüsselungsfrage hängt nach meiner Einschätzung die Anmeldungsfrage zusammen. In Frage Nr. 14 lässt sich erkennen, wo die Gedanken des BMWi herkommen:

Bereits heute gibt es internationale kollektive Netzwerke wie z. B. „eduroam“, den Internetzugang für reisende Wissenschaftler, bei dem Studenten sich mit einer Zugangsberechtigung ihrer Heimateinrichtung an allen angeschlossenen Unis einloggen können. Vorstellbar ist, dass sich z. B. auch die Einzelhändler in einer Fußgängerzone zusammenschließen und dem Nutzer ihren Hotspot überlassen.

Hier zeigt das BMWi eine Alternative zur WPA2-Verschlüsselung auf (vermutlich ohne es zu wissen): 801.1X bzw. Radius. Die Anmeldung beim WLAN könnte in Zukunft daher nutzerzentriert erfolgen. Dass dafür ein wahnsinniger Aufwand erforderlich ist, den Universitäten wie bei „eduroam“ noch stemmen können, andere aber nicht, macht sich das BMWi nicht klar. Es hat die Vorstellung, dass Einzelhändler sich in einer Fußgängerzone zusammenschließen und für teures Geld solche Lösungen einkaufen. Das war ja bisher theoretisch auch möglich – hat nur keiner gemacht. WLANs sind deshalb so bestechend, weil sie einfach und günstig einzurichten und zu betreiben sind. Mit Lösungen à la „eduroam“ wird Deutschland nicht zum WiFi-Land.

4. Geschäftsmäßigkeit (Nr. 2, 8, 9)

Wie ich hier im Blog schon dargestellt hatte, ist der Begriff der Geschäftsmäßigkeit eigentlich relativ klar und konnte auch bisher schon auf alle möglichen WLANs halbwegs rechtssicher angewandt werden. Das Durcheinander kam dadurch, dass der erste RefE vom 27.2.2015 nicht eindeutig war. Dies hat das BMWi im Entwurf vom 11.3.2015 und nun mit der FAQ klar gestellt: Geschäftsmäßig ist jede auf gewisse Dauer angelegte, nachhaltige Tätigkeit bezeichnet, ohne dass es auf die Gewinnabsicht ankommt:

Als „geschäftsmäßig“ wird jede nachhaltige Tätigkeit bezeichnet, die auf Wiederholung gerichtet und auf eine gewisse Dauer angelegt ist – diese Tätigkeit muss nicht auf die Gewinnerzielung ausgerichtet sein. Weder ist für geschäftsmäßiges Handeln erforderlich, dass der Hauptzweck der Geschäftstätigkeit in der Überlassung von WLAN-Netzen besteht, noch dass der Internetzugang gegen Entgelt gewährt wird. Nicht als „geschäftsmäßige Tätigkeit“ gilt die nur gelegentliche private Betätigung.

Die Frage ist also, ob dauerhaft der Öffentlichkeit ein öffentlicher WLAN-Zugang gewährt werden soll. Wenn ja, dann liegt Geschäftsmäßigkeit vor. Der Gesetzgeber will offenbar nur rein private WLANs ausnehmen, die er als „gelegentliches“ Angebot bezeichnet. Der Gedanke dahinter scheint zu sein, dass der Private „gelegentlich“ sein WLAN Freunden oder Bekannten zur Verfügung stellt, aber eben nicht dauerhaft und ständig.

5. Freifunk (Nr. 2, 10, 11, 15)

Begrüßenswert ist weiter, dass die Bundesregierung zur Kenntnis genommen hat, dass sie für Freifunk ein großes Problem geschaffen hat. Sie stellt ausdrücklich klar, dass Freifunker in der Regel als geschäftsmäßige Anbieter anzusehen sind (so schon hier und dort in den Kommentaren), da sie WLANs „nachhaltig“ anbieten. Nicht geschäftsmäßig sind also nur rein private WLANs!

Bei der Erarbeitung des Gesetzentwurfs war der Bundesregierung das Interesse vieler Nutzerinnen und Nutzer an einer freien Nutzung offener WLAN, wofür sich z. B. der Freifunk e. V. einsetzt, wohl bewusst. Die Bundesregierung setzt bei der Neuregelung auf einen fairen Interessenausgleich. Neben dem Anliegen der Freifunker hatte sie auch die Interessen von WLAN-Anbietern und -nutzern zu berücksichtigen, die einen Missbrauch ihrer Daten in freien Netzen befürchten.

Dass das BMWi hier aber mehrere Dinge vermischt, habe ich oben schon dargestellt.

6. Recht am geistigen Eigentum und Strafverfolgung (Nr. 10)

Das BMWi erläutert den Hintergrund des RefE bei Nr. 10 noch näher:

Das Recht am geistigen Eigentum hat einen hohen Wert in Europa. Deswegen wollen wir seine Durchsetzung sicherstellen. Die vollständige Abschaffung der Störerhaftung hieße, dass jeder über das WLAN eines anderen ins Internet gehen, auf dessen Daten zugreifen und Urheberrechtsverletzungen oder Straftaten begehen könnte. Unsere Lösung ist daher das Ergebnis einer verantwortungsvollen Interessenabwägung – zwischen den Interessen der möglichen Hotspot-Anbieter und der Nutzer einerseits und dem Interesse der Inhaber von Urheberrechten und des Staates an einer effektiven Strafverfolgung andererseits.

Das BMWi wollte also einen Ausgleich schaffen. Und es hat recht damit, dass in Europa das Recht am geistigen Eigentum einen hohen Stellenwert hat. Es bleibt aber unklar, wie denn mit den von ihr vorgeschlagenen Maßnahmen das Interesse der Inhaber von Urheberrechten und der Strafverfolgung geschützt wird. Wie sollen denn mit den Maßnahmen Rechtsverletzungen verhindert oder verfolgt werden? Der RefE wird daher nur dazu führen, dass WLANs zugemacht werden und Deutschland weiterhin als WiFi-feindliches Land gilt.

7. Einwilligung (Nr. 3, 6)

Zweitens muss [der Anbieter] sich vom Nutzer zusichern lassen, dass dieser keine Rechtsverletzungen über den WLAN-Anschluss begehen wird. Hierfür reicht beispielsweise schon, dass der Nutzer auf einer vorgeschalteten Seite den Nutzungsbedingungen mit einem Klick zustimmt.

Wichtig ist uns, dass eine Einwilligung des Nutzers erfolgt. Wie diese erfolgt, bleibt dem WLAN-Anbieter überlassen. Damit wir mit der Verbreitung von Hotspots in Deutschland schnell vorankommen, sollte und kann das Verfahren so einfach wie möglich sein: Eine Möglichkeit ist, dass der WLAN-Betreiber eine Vorschaltseite einrichtet, auf welcher der Nutzer den Nutzungsbedingungen mit einem Klick zustimmt. Er könnte aber auch die Nutzungsbedingungen für den WLAN-Zugang in die Allgemeinen Geschäftsbedingungen (AGB) integrieren und ein Passwort z. B. in der Speisekarte abdrucken, wie dies heute schon häufig praktiziert wird.

Das BMWi will also eine Einwilligung, egal in welcher Form. Z.B. mit einer Splash-Page. Dass das BMWi sich damit von den Vorgaben des BGH entfernt, wird leider nicht thematisiert. Und was diese Einwilligung bringen soll, – sie ist ja nur ein Placebo – bleibt leider auch unklar.

Zudem verliert das BMWi kein Wort dazu, dass eine solche Einwilligung per Splash-Page die Nutzer häufig verschreckt. Denn wer keinen Browser nutzt, sondern nur mal mit dem E-Mail-Programm nach E-Mails gucken will, erhält nur eine Fehlermeldung, weil die Verbindung (üblicherweise mit brachialen Methoden) auf einen internen Server umgeleitet wird. Das BMWi sollte vielleicht beim nächsten Mal jemanden fragen, der sich damit auskennt.

8. Kosten (- keine – Nr.)

Leider erläutert die FAQ auch überhaupt nicht, wie es denn mit den Kosten für die Maßnahmen bestellt ist, die das BMWi gerne hätte. Denn fast alle bisher bestehenden öffentlichen WLAN-Hotspots müssen umgebaut werden – auch die der öffentlichen Hand. Mit „Keine Kosten“ wie es im Gesetzesentwurf steht ist es also nichts.

9. Fazit: Was will uns der Gesetzgeber sagen und wohin wird es führen?

Für mich persönlich verfestigt sich das Bild. Der Gesetzgeber möchte mehr WLANs, zielt aber eigentlich auf ein Weniger an WLAN-Nutzung ab, weil über WLANs Rechtsverletzungen begangen werden könnten.

Das WLAN soll verschlüsselt werden, um Nutzer vom WLAN abzuhalten. Der Private soll den Namen kennen, damit auf sozialer Ebene eine „Kontrolle“ stattfindet. Leider hat der Gesetzgeber bisher noch nicht verstanden, dass sich das mit dem Ziel der Verbreitung von WLANs vollständig beißt.

Das Gesetz wird zu einem WLAN-Sterben führen, wenn es nicht einfach ignoriert oder umgangen wird – was im Übrigen technisch nicht schwer ist. Darüber hinaus wird das Gesetz dazu führen, dass Anbieter wie die Deutsche Telekom oder Lancom mehr ihrer teuren Lösungen verkaufen können.

Das Ziel der Digitalen Agenda, die Verbreitung von WLANs zu fördern, wird das Gesetz jedenfalls deutlich verfehlen. Von daher bleibt es auch nach der FAQ dabei: Besser, wenn das Gesetz nicht kommt. Die Rechtsprechung hat da (endlich) viel bessere Lösungen parat.

Der abgestimmte WLAN-Gesetzesentwurf der BReg – Wo steht #Freifunk jetzt?

Mittlerweile ist der offizielle Gesetzesentwurf des TMG-Änderungsgesetzes veröffentlicht worden. Die Abstimmung innerhalb der Ministerien und der Bundesregierung hat keine (wesentlichen) Änderungen erbracht. Dennoch lohnt es sich, sich den Entwurf noch einmal kurz anzusehen (eingehend schon hier):

Neu ist § 2 Satz 1 Nr. 2a TMG-RefE, der eine Definition von drahtlosen Funknetzen enthält – hier findet man wenig Neues. Interessant ist lediglich, dass sich die Bundesregierung für die Definition am Entwurf der Digital Single Market-Verordnung orientiert (zum Begriff und eingehend zu den Regelungen des Verordnungsentwurfs Mantz/Sassenberg, CR 2014, 370 ff.).

Richtig interessant ist aber eine neue Klarstellung, die sich in der Gesetzesbegründung findet. Dort heißt es zur Geschäftsmäßigkeit nach § 8 Abs. 4 TMG-RefE (Hervorhebung hier):

Geschäftsmäßig im Sinne der ersten Alternative ist jede nachhaltige Tätigkeit mit oder ohne Gewinnerzielungsabsicht. Für geschäftsmäßiges Handeln ist weder erforderlich, dass der Hauptzweck der Geschäftstätigkeit in der Überlassung von WLAN-Netzen besteht, noch dass der Internetzugang gegen Entgelt gewährt wird. Ausreichend ist daher bereits, dem Gast, Kunden etc. das WLAN-Netz als unentgeltliche, untergeordnete Nebenleistung zum eigentlichen Geschäftszweck zu überlassen, um so etwa eine größere Kundenbindung zu erreichen oder die Attraktivität des Hauptangebots zu steigern. Für die Geschäftsmäßigkeit ist auch die Trägerschaft oder Rechtsform der Geschäftstätigkeit des Diensteanbieters un- erheblich. Beispielsweise wären ein Internet-Café oder ein Sportverein demzufolge in der Regel geschäftsmäßig tätige WLAN-Anbieter.


Nicht von Absatz 4 erfasst wird hingegen eine nur gelegentliche private Betätigung. Hiervon ist beispielsweise grundsätzlich im Falle der Überlassung des WLAN-Anschluss an Familienmitglieder, Freunde und Bekannte auszugehen. Auch eine studentische Wohngemein- schaft nutzt das WLAN-Netz des Anschlussinhabers in der Regel privat und wäre demzufolge grundsätzlich nicht von Absatz 4 erfasst.

Damit dürfte klargestellt sein, was ich schon in meinem letzten Beitrag zum RefE angerissen habe: Das als Freifunk-Knoten betriebene WLAN ist geschäftsmäßig im Sinne von § 8 Abs. 4 TMG-RefE! Als unmittelbare Folge fällt der Freifunk-Knoten nicht unter § 8 Abs. 5 TMG-RefE, so dass es hier jedenfalls nicht nötig ist, den Nutzer beim Namen zu kennen. Das gilt nur im familiären Bereich und in Wohngemeinschaften!

Im Ergebnis ist das zwar ein Trost, aber eher ein schwacher. Denn Freifunk-Knoten sind dennoch von § 8 Abs. 4 TMG-RefE erfasst und müssten verschlüsseln und die Erklärung einholen, dass der Nutzer keine Rechtsverletzungen begehen wird – ein Placebo, wie schon ausgeführt. Dass das blanker Unsinn ist, habe ich bereits deutlich gemacht. Ebenso dürfte das auch jeder sehen, der schon mal ein WLAN genutzt hat. Die Bundesregierung hingegen hält das Modell für machbar:

In der Regel wird der Diensteanbieter dem Nutzer den Internetzugang durch Mitteilung ei- nes Passwortes zur Nutzung überlassen. Dieses kann beispielsweise auf der Eintritts- oder Speisekarte veröffentlicht oder dem Nutzer auf anderem Wege mitgeteilt werden.

Allerdings wird ein weiterer Absatz der Begründung auf S. 13 neue Fragen auf (Hervorhebung hier):

In der Regel wird der Diensteanbieter dem Nutzer den Internetzugang durch Mitteilung ei- nes Passwortes zur Nutzung überlassen. Dieses kann beispielsweise auf der Eintritts- oder Speisekarte veröffentlicht oder dem Nutzer auf anderem Wege mitgeteilt werden. Möglich ist auch die Einrichtung einer Vorschaltseite, auf der lediglich die Nutzungsbedingungen – mit einem Klick – akzeptiert werden können.

Man muss sich hierbei vergewärtigen, dass es in diesem Absatz um Verschlüsselung geht. Der Gesetzgeber glaubt aber, dass alternativ zum Mitteilen des Passworts per Speisekarte auch das Vorschalten einer Splash-Page geht – auf die kommt der Nutzer aber gar nicht, wenn WLAN verschlüsselt ist. Will der Gesetzgeber – entgegen dem Wortlaut – jetzt doch die Splash-Page ohne Verschlüsselung reichen lassen?

Es bleibt zu hoffen, dass sich das Parlament mehr Gedanken macht – viel Hoffnung habe ich da aber nicht.

Zum abgestimmten Entwurf s. auch

(Update 1.4.2015: Korrektur: Lokale Funknetze werden in § 2 S. 1 Nr. 2a TMG-RefE definiert)

Der WLAN-Gesetzesentwurf der Bundesregierung (§ 8 TMG) – ein kurzer Blick

Spiegel Online berichtet, dass ihnen der schon für letztes Jahr angekündigte Gesetzesentwurf zur Regelung der Haftung beim Betrieb von WLANs vorliege. In dem Beitrag heißt es:

dem Entwurf zufolge [soll § 8 TMG] „auch für Diensteanbieter“ gelten, „die Nutzern den Internetzugang über ein drahtloses lokales Netzwerk (W-Lan) zur Verfügung stellen“.

Der Gesetzesentwurf liegt mir leider (noch) nicht vor, daher kann ich nur Stellung zu den Ausführungen bei Spiegel Online machen:

Wie bereits angekündigt, scheint die Bundesregierung – trotz aller Warnungen – die Haftungsbefreiung an die Bedingung zu knüpfen, dass die Betreiber „zumutbare Maßnahmen“ ergreifen, um Missbrauch zu verhindern. Dafür soll „in der Regel durch Verschlüsselung oder vergleichbare Maßnahmen“ verhindert werden, dass sich „außenstehende Dritte“ unberechtigten Zugriff auf das jeweilige WLAN verschaffen.

Das „in der Regel“ lässt hoffen. Denn öffentliche WLANs werden heutzutage häufig ohne Verschlüsselung angeboten, um auch alle (potentiellen) Nutzer zu erreichen.

Interessant wird es auch sein, die Gesetzesbegründung zum Begriff „außenstehende Dritte“ zu sehen. Ist „außenstehender Dritter“ auch jemand, den ich gerade bewusst und freiwillig in das WLAN einladen will? Oder ist es jeder, der nicht dem familiären Kreis angehört?

Neu – und bedenklich – ist auch, dass sich Nutzer wohl zwingend anmelden werden müssen. Diese Nutzer sollen dann noch einwilligen, dass sie keine Rechtsverletzung begehen – ein einziges Placebo, genauso wie die Verschlüsselung. Auch hier müssen wir warten, was die Gesetzesbegründung für uns vorhält. Reicht es z.B. aus, wenn die Anmeldung über eine Splash-Page erfolgt?

Dafür, dass eine Splash-Page reicht, spricht jedenfalls der wohl „in eckigen Klammern“ stehende, noch zu diskutierende, nächste Absatz:

Er bezieht sich auf Anbieter, die einen Zugang nicht „anlässlich einer geschäftsmäßigen Tätigkeit oder als öffentliche Einrichtung zur Verfügung stellen“. Mit anderen Worten: Vor allem auf alle Privatleute, die ihren W-Lan-Zugang mit anderen teilen möchten.

Für all diese „anderen Diensteanbieter“ sieht der Text in eckigen Klammern vor, dass zu den „zumutbaren Maßnahmen“ zur Sicherung des Anschlusses auch gehört, dass sie „den Namen des Nutzers kennen“.

Mit anderen Worten: Wer mit WLAN keine Geschäfte macht, der soll seine Nutzer identifizieren. Das ist – auch darauf wurde immer wieder hingewiesen – datenschutzrechtlich bedenklich. Es bleibt zu hoffen, dass der Absatz in der Diskussion noch gestrichen wird.

 

Update:

– Netzpolitik.org hat auch einen kurzen Beitrag zur geplanten Regelung („CDU-Politiker fragt: Wann gibt es endlich freies WLAN? Innenministerium antwortet mit Störerhaftung auf Steroiden„)

– Ein paar Stimmen aus meiner Twitter-Timeline:

https://twitter.com/nhaerting/status/568850845313437696

http://twitter.com/altherr/status/568842435775873024

http://twitter.com/kinolux/status/568831053768601600

https://twitter.com/kantorkel/status/569110803279941632

https://twitter.com/Freifunk_L/status/569249716715839488

https://twitter.com/dasgesetzbinich/status/569078012681060352

 

Und nochmal: Will die CDU flächendeckendes WLAN – oder nicht? Ein zweiter Blick.

Ich hatte am Samstag hier kurz über den Beschluss D1 auf dem CDU-Parteitag in Köln (PDF) berichtet.

1. Beschluss D1

In diesem D1 heißt es (anders als noch im Antragstext, Hervorhebungen von mir):

Die CDU setzt sich dafür ein, dass auch in Deutschland kostenloses WLAN in allen öffentlichen Gebäuden, in der Bahn und auf Flughäfen vorhanden ist. Ebenso sollen zum Beispiel Restaurants, Cafés, Hotels und andere Einrichtungen öffentlich zugängliches WLAN anbieten können, ohne für eventuellen Missbrauch durch die Nutzer haften zu müssen. Dazu werden wir die Anbieter öffentlicher WLAN-Netze sogenannten Providern (Netzanbietern) rechtlich gleichstellen.

Ich hatte insbesondere kritisiert, dass dieser Beschluss hinter dem Antragstext zurückbleibt und ein flächendeckendes WLAN nicht zum Ziel hat.

2. Sonstiger Beschluss „Öffentliches WLAN“

Nun weist mich @erik_donner (SPD) zu Recht darauf hin, dass es unter „Sonstige Beschlüsse noch einen weiteren Beschluss der CDU vom Parteitag von Anfang Dezember 2014 gibt, unter der Überschrift „Beschluss C 12, C 43 und C 70 – Schneller Breitbandausbau fu?r ganz Deutschland“ und dort unter „O?ffentliches WLAN“ (PDF, S. 13). Da heißt es (Hervorhebungen von mir):

Die WLAN-Störerhaftung verhindert einen flächendeckenden, allgemein verfügbaren und kostengünstigen Internetzugang. Die Bundesregierung muss Haftungsrisiken für gewerbliche und nichtgewerbliche Betreiber von WLAN-Netzen abbauen. Nur so ist es den Betreibern möglich, ihre Zugänge für Dritte zu öffnen, ohne sich der Gefahr von Schadensersatz- und Unterlassungsansprüchen sowie der damit verbundenen Abmahnkosten auszusetzen. Mobiles Internet über WLAN muss in deutschen Städten für jeden verfügbar sein. Das sogenannte Providerprivileg des § 8 TMG, welches bisher nur Zugangsprovider von der Haftung für Rechtsverletzungen ihrer Kunden freistellt, muss auf die Betreiber von Drahtlosnetzen ausgeweitet werden.

Erik Donner hat mich weiter darauf hingewiesen, dass der Beschluss D1 mit „andere Einrichtungen“ auch Private umfassen würde. Die beiden Beschlüsse würden sich also nicht widersprechen.

Ich bin mir da ehrlich gesagt nicht sicher – mich lassen die beiden Beschlüsse eher ratlos zurück. Was will die CDU jetzt? D1 klingt wie die Digitale Agenda und der Koalitionsvertrag. Der Beschluss unter C12/C43/C70 klingt eher wie der gerade erst von CDU/CSU und SPD abgelehnte Vorschlag von Grünen und LINKE (BT-Drs. 18/3047). Insbesondere soll das Providerprivileg des § 8 TMG ausgeweitet werden, dies dürfte „gewerbliche und nicht-gewerbliche“ Betreiber von WLAN-Netzen betreffen.

3. Hilft der Blick auf andere Äußerungen der CDU?

Vielleicht hilft uns ja ein Blick auf die Äußerungen der CDU-Bundestagsabgeordneten zum letzten Anlauf der Opposition, in § 8 TMG eine Regelung zur Haftung für WLANs herbeizuführen. Dabei sollte man im Hinterkopf behalten, dass die Bundesregierung informell bereits für August 2014 einen Gesetzesentwurf angekündigt hat, der sich aber wohl noch in der Ressortabstimmung befindet.

So äußert Hansjörg Durz (CDU/CSU) in der Debatte im Bundestag vom 14.11.2014 (S. 41 ff., Hervorhebungen von mir):

Nun haben die Oppositionsfraktionen einen eigenen Gesetzentwurf vorgelegt, der das Problem lösen soll, indem das sogenannte Providerprivileg durch eine Ergänzung des Telemediengesetzes auf kommerzielle und private WLAN-Betreiber erweitert wird. Dadurch würden Betreiber öffentlicher WLANs haftungsrechtlich gewerblichen Internetanbietern, die bereits heute von der Haftung freigestellt sind, gleichgestellt. Um es vorwegzunehmen: Der vorgelegte Ansatz ist zu simpel; denn für Rechtsverletzungen Dritter werden keine Lösungen vorgeschlagen. Das Thema wird im Antrag nicht einmal erwähnt.

Wir sind uns alle der Potenziale von WLAN bewusst, und es herrscht Einigkeit hier im Deutschen Bundestag über das Ziel, die Verbreitung von WLAN-Zugängen zu erhöhen. Die Bundesregierung hat im Rahmen der Digitalen Agenda angekündigt: Wir werden Rechtssicherheit für die Anbieter solcher WLANs im öffentlichen Bereich, beispielsweise Flughäfen, Hotels, Cafés, schaffen. Diese sollen grundsätzlich nicht für Rechtsverletzungen ihrer Kunden haften. – Sie hat aber auch erklärt: Wir werden die Verbreitung und Verfügbarkeit von mobilem Internet über WLAN verbessern. Dabei werden wir darauf achten, dass die IT-Sicherheit gewahrt bleibt und keine neuen Einfallstore für anonyme Kriminalität entstehen. – In diesem Spannungsfeld bewegen wir uns.

Ich bin sicher, dass die Bundesregierung mit Hochdruck an einer Regelung arbeitet, die es erlaubt, die Vorteile einer flächendeckenden Verfügbarkeit von WLAN im öffentlichen Raum zu nutzen, gleichzeitig aber einen praktikablen Weg findet, dass sich die Nutzung nicht komplett anonym abspielt.

Für Flughäfen, Hotels, Cafés, Gewerbetreibende usw. wird es sicher Lösungen geben. Eine einfache Ausweitung der Providerprivilegierung auf jeden, auch privaten Inhaber eines WLAN-Zugangs ohne jegliche Form von Registrierung, wie auch immer die aussehen mag, kann? aber nicht die Lösung sein.

Bei allen Vorteilen offener Internetzugänge: Wir müssen uns mit dem Gedanken auseinandersetzen, dass ein höheres Maß an Anonymität beim Internetzugang auch negative Folgen entfalten kann.

Der Vorschlag der Opposition zu Ende gedacht, bedeutet, dass sich im Zweifel jeder WLAN-Besitzer, auch der kriminelle, auf das Providerprivileg zurückziehen und nicht mehr haftbar gemacht werden kann.

Ich möchte hier diese Ausführungen nicht inhaltlich aufarbeiten, das ist hier im Blog schon oft genug passiert. Es geht mir darum, ob sich daraus ablesen lässt, wie die CDU sich eine Regelung vorstellt – und ich bin nach dieser Lektüre leider auch nicht schlauer. Die Rede von Durz hört sich vielmehr stark nach dem Beschluss D1 an – und ganz und gar nicht wie C12/C43/C70.

In der Debatte hat anschließend hat auch noch Axel Knoerig (CDU/CSU) zum Thema gesprochen (S. 45 ff., Hervorhebungen von mir):

Wir von der Union fordern deshalb verschlüsselte Funknetze; denn im Gegensatz zu offenen Netzen schützen sie vor Hackerangriffen, Wirtschaftsspionage und Datenklau.

Dieses Thema drängt. Die bestehende Rechtslage muss den Entwicklungen im Netz angepasst werden. Ich ergänze: Internetkriminelle dürfen sich nicht länger hinter den Inhabern von WLAN-Anschlüssen vor Strafverfolgung verstecken können. Deswegen ist die Bundesregierung gefordert, zügig ihren Gesetzentwurf vorzulegen. Wir sagen: Unsere Netzpolitik ist vorausschauend und auch verantwortungsvoll. Wir müssen alle rechtlichen Seiten prüfen, und zwar zusammen mit allen betroffenen Ressorts. Das unterscheidet uns von Ihnen, Herr Notz, da Sie mit Ihrem Antrag im Grunde einen Schnellschuss vorlegen.

Haftungsfragen, meine sehr verehrten Damen und Herren, müssen in der digitalen Welt auf internationaler Ebene gelöst werden. Sie dürfen nicht bei kleinen nationalen Regelungen enden und einer Umsetzung des europäischen digitalen Binnenmarkts vorgreifen.

Ich wiederhole es gern: Auch der Europäische Gerichtshof beschäftigt sich mit dieser Haftungsproblematik. Sein Urteil wird zur Klärung der Rechtslage beitragen.

Leider hilft mir auch das nicht weiter. Der Gesetzesentwurf soll bald kommen, außerdem soll er in Einklang mit der europäischen Gesetzgebung (insb. der E-Commerce-Richtlinie) stehen.

4. Fazit? Nicht Genaues weiß man nicht.

Daher bleibt meine Frage: Was will die CDU? Und wie? Man kann aus den Beschlüssen herauslesen, dass doch § 8 TMG eine Neuregelung erfahren soll – ggf. mit Registrierungspflichten und vielleicht sogar Verschlüsselungspflicht. Sonst bleibt aber angesichts der Formulierung der beiden Beschlüsse vieles, wenn nicht alles, offen.

Im Ergebnis werden wir weiter auf den Gesetzesentwurf warten müssen. Wer weitere Hinweise hat, gerne an mich.

 

 

 

 

 

 

Lesetipp: Roggenkamp/Ballhausen, Verantwortlichkeit gewerblicher Hotspot-Betreiber, AnwZert-IT-Recht 18/2014, Anm. 2 – und zur Zumutbarkeit der Verschlüsselung von WLANs

Prof. Dr. Jan Dirk Roggenkamp (@rajdr) und Dr. Miriam Ballhausen (@Miriam_B) haben in der Online-Zeitschrift Anwalt-Zertifikat-IT-Recht einen lesenwerten Beitrag mit dem Titel „Verantwortlichkeit gewerblicher Hotspot-Betreiber“ veröffentlicht (AnwZert-IT-Recht 18/2014, Anm. 2), der insgesamt lesenswert ist (im Augenblick ist der Artikel – ohne Fußnoten – online, es ist aber gut möglich, dass er demnächst nicht mehr verfügbar sein wird).

Die Autoren nehmen u.a. die Urteile des AG Hamburg zur Anwendbarkeit von § 8 TMG auf WLANs (und auch hier und hier) zum Anlass, sich mit der Rechtslage bei gewerblichen Hotspots zu befassen. Dabei gehen sie auf Fragen der Darlegungs- und Beweislast und der Störerhaftung ein. Insbesondere befassen sie sich damit, welche Maßnahmen den Betreibern von WLANs im Rahmen der Prüfungs- und Überwachungspflichten bei der Störerhaftung zuzumuten sind, wobei sie auf Verschlüsselung, Sperren, Registrierung und Belehrung eingehen.

1. Verschlüsselung als zumutbare Pflicht?

Eine Verschlüsselung sehen Roggenkamp und Ballhausen entgegen meiner Auffassung (s. Sassenberg/Mantz, WLAN und Recht, Rn. 228) als zumutbar an. Sie schreiben dazu:

Die Notwendigkeit der Passworteingabe vor Nutzung eines Hotspots ist in der Praxis üblich. Die Auffassung, die Pflicht zur Verschlüsselung schaffe bereits „eine Hürde, die das Geschäftsmodell zu beeinträchtigen vermag“ überzeugt vor diesem Hintergrund nicht.

Ich halte diese Argumentation nicht für richtig. Denn bei (insbesondere entgeltlichen) Hotspots mag zwar die Eingabe einer Nutzer/Passwort-Kombination z.B. auf einer Splash-Page durchaus üblich sein. Die Frage der Verschlüsselung, die der BGH in der Entscheidung „Sommer unseres Lebens“ angesprochen hat, und die hier diskutiert wird, betrifft aber bereits die Ebene des Zugangs zum WLAN, z.B. durch WPA2-Verschlüsselung.

Wenn ein WLAN durch eine solche Verschlüsselung gesichert ist, kann der Nutzer ohne Kenntnis des Kennworts überhaupt keinen Zugang zum WLAN erhalten, er kann also auch keinerlei Kommunikation mit dem WLAN aufnehmen.Wer sich kommerzielle Hotspots, z.B. der Telekom genau ansieht, kann erkennen, dass das WLAN an sich unverschlüsselt ist. Wenn sich der Nutzer in das (unverschlüsselte) WLAN einloggt, erhält er aber keinen Zugang zum Internet, sondern nur zur lokalen Informationsplattform mit Möglichkeit der Eingabe der Nutzer/Passwort-Kombination oder dem Erwerb der Zugangsberechtigung z.B. mit Kreditkarte.

Ganz wichtig ist nach meiner Auffassung, dass zu verschlüsselten WLANs nur Nutzer Zugang erhalten können, die ihren Zugang bereits vorher erworben und dabei den WLAN-Schlüssel erhalten haben. Neue Kunden, die sich z.B. auf einer Splash-Page registrieren und dann ihre Nutzer/Passwort-Kombination erhalten, können aber – mangels Zugangsmöglichkeit zum WLAN – nicht gewonnen werden. Im typischen Fall eines Touristen, der durch eine fremde Stadt läuft und ein WLAN nutzen will, ohne z.B. am Kiosk oder im Mobilfunkgeschäft einen Zugang zum WLAN zu erwerben, wird die Gewinnung des Kunden praktisch unmöglich.

Auch die Modelle, bei denen das WLAN zunächst 30-60 Minuten kostenlos angeboten wird und danach nur gegen Entgelt weiter zur Verfügung steht, basieren darauf, dass der Zugang zum WLAN selbst erst einmal ohne Verschlüsselung möglich ist. Nach Ablauf der kostenlosen Nutzungszeit muss der Nutzer dann – aber innerhalb des WLANs – die Berechtigung für die weitere Nutzung erwerben.

Auch in einem Café mit verschlüsseltem WLAN wird der Kunde erst die Bedienung ansprechen müssen, wie man denn Zugang zum WLAN erhält. Dies stellt nach meiner Auffassung einen klaren Wettbewerbsnachteil zum unverschlüsselten WLAN des Cafés nebenan dar.

Letztlich sollen WLANs auch als Informationsplattformen dienen. Die Stadt Berlin bspw. überlegt seit langer Zeit, ein WLAN im Stadtkern aufzubauen bzw. aufbauen zu lassen. Dabei sollen Nutzer nicht nur die ersten 30 Minuten kostenlos im Internet surfen können. Sie sollen zusätzlich auch nach den 30 Minuten auf eine Informationsplattform gelangen, wo sie Informationen über Berlin, zu aktuellen Veranstaltungen etc. erhalten können. Auch dies ist bei Verschlüsselung des WLANs nur möglich, wenn der Nutzer bereits vor Zugang zum WLAN den Schlüssel kennt.

Eine Verschlüsselung ist auch aus diesen Gründen dem gewerblichen Betreiber eines Hotspots unzumutbar.

2. Weitere Pflichten

Weitere Pflichten sehen die Autoren mit der wohl mittlerweile h.M. als nicht zumutbar an. Eine Belehrung sehen sie – zumal vor dem Hintergrund der Entscheidung BGH „BearShare“ – als praktisch unwirksam an:

Nach hier vertretener Auffassung dürfte der tatsächliche Effekt einer solchen Belehrung gegen Null tendieren.

Auch Sperren lehnen sie rundheraus ab (zu den verschiedenen Arten der Sperren s. z.B. Sassenberg/Mantz, WLAN und Recht, Rn. 231 ff.). Insoweit sind Roggenkamp und Ballhausen in guter Gesellschaft, z.B. das OLG Köln hat kürzlich Sperren als unzumutbar abgelehnt.

3. Fazit

Der Beitrag fasst kurz und lesenswert wichtige Punkte im Hinblick auf die Haftung der Betreiber von gewerblichen WLANs zusammen. Schön (mit Ausnahme des Punkts zur Verschlüsselung) ist jedenfalls das Fazit des Beitrags:

Betreiber gewerblicher Hotspots sind als Access-Provider zu behandeln und genießen die gleichen Haftungsprivilegien wie „richtige“ Access-Provider wie die DTAG, Telefonica, Versatel etc. Maßnahmen die über die Verschlüsselung29 und ggf. eine Nutzerbelehrung hinausgehen, sind unzumutbar und ihr Nichtergreifen kann keine Störerhaftung begründen.

AG Koblenz: Keine Haftung des Betreibers eines Hotel-WLANs

Free WiFi (Montréal)Auch das AG Koblenz vom 18.06.2014 – Az. 161 C 145/14 (Volltext hier) hat sich kürzlich mit der (Störer-)Haftung des Betreibers eines Hotel-WLANs befasst (s. auch zum Urteil des AG Hamburg vom  10.6.2014 – 25b C 431/13; zum Urteil des LG Frankfurt vom 18.08.2010 – 2-06 S 19/09 (PDF); zum Urteil des LG Frankfurt vom 28.06.2013).

1. Der Sachverhalt

In dem dem Urteil zu Grunde liegenden Fall wurde der Inhaber eines Hotels abgemahnt, der seinen Gästen ein WLAN zur Verfügung gestellt hatte (zur wirtschaftlichen Bedeutung von kostenlosem WLAN u.a. in Hotels hier). Das WLAN war verschlüsselt, der Hotelinhaber änderte das Passwort regelmäßig.

Das AG Koblenz wies die Klage gegen den Hotelinhaber – wie schon in ähnlichen Konstellationen das AG Hamburg und das LG Frankfurt – ab.

2. Die Gründe

Das Gericht lehnt aufgrund der Erschütterung der Vermutung der Haftung des Anschlussinhabers kurz und bündig eine täterschaftliche Haftung ab.

Anschließend lehnt es auch eine Haftung als Störer ab, da dem Hotelinhaber keine Verletzung seiner Prüfungs- und Überwachungspflichten vorzuwerfen sei:

Der WLAN-Anschluss des Beklagten war ausreichend gesichert. Der Beklagte hat hierzu glaubhaft erklärt, die Fritz-Box des Gästeanschlusses sei bei Auslieferung werkseitig mit WPA1/2 verschlüsselt gewesen. Es habe sich hierbei um die handelsübliche und zu diesem Zeitpunkt aktuelle Verschlüsselung gehandelt. Den Beklagten trifft nach höchstrichterlicher Rechtpsprechung hingegen keine Pflicht, seinen WLAN-Anschluss regelmäßig auf den neuesten Stand zu bringen.

Der erforderliche Sicherheitsstandard wurde von dem Beklagten auch dadurch eingehalten, dass er eigenen Angaben zufolge regelmäßig wechselnde Zugangspasswörter verwendet hat.

Darüber hinaus ist der Beklagte seiner Belehrungspflicht nachgekommen. …

Da es sich vorliegend um die erste Abmahnung des Beklagten handelt, bestand des Weiteren keine Verpflichtung des Beklagten, die Internetnutzung durch seine Gäste oder Angestellte zu überwachen.

3. Bewertung

Vom Ergebnis her stimmt das Urteil froh. Die Analyse der Gründe hinterlässt jedoch leider einen faden Beigeschmack.

Das AG Koblenz orientiert sich bei dem Urteil ganz offensichtlich am BGH-Urteil Sommer unseres Lebens (s. dazu auch meine Anmerkung in der MMR hier – PDF) und lehnt eine Täterhaftung ab. Allerdings fehlt auch hier der Hinweis auf § 8 TMG, ebenso wie schon bei den Urteilen des LG Frankfurt (und anders als beim AG Hamburg).

Bei den Prüfungspflichten überspannt das AG Koblenz nach meiner Auffassung den Bogen. Das AG Hamburg hat gerade erst – unter entsprechendem Bezug auf § 8 TMG – richtigerweise festgestellt, dass hier besonders strenge Maßstäbe an die Zumutbarkeit solcher Pflichten zu stellen sind.

Unter (offenbarem) Rückgriff auf das BGH-Urteil Sommer unseres Lebens erkennt das AG Koblenz an, dass das WLAN (nach bei Einrichtung aktuellem Stand, wieder eine Figur aus BGH Sommer unseres Lebens) gesichert war. Das kann von gewerblichen WLANs allerdings grundsätzlich nicht verlangt werden, wobei es sich bei Hotel-WLANs zumindest in Deutschland um eine verbreitete Maßnahme handelt, und bei Hotels durch das Einchecken immerhin ein unmittelbarer Kontakt mit der Möglichkeit der Mitteilung des Passworts besteht.

Ferner verlangt das AG Koblenz offenbar die regelmäßige Änderung des Kennworts. Letzteres ist – wenn man ein Kennwort einsetzt – durchaus sinnvoll.

Anschließend spricht das AG Koblenz von einer „Belehrungspflicht“ des Hotelinhabers. Dies ist jedoch problematisch. Denn eine solche Belehrung kann gegenüber den eigenverantwortlich handelnden Nutzern des WLANs grundsätzlich nicht verlangt werden. Auch diese Auffassung hat das AG Hamburg kürzlich vertreten (ebenso Sassenberg/Mantz, WLAN und Recht, Rn. 235 m.w.N.).

Letztlich postuliert das AG Koblenz eine angebliche Überwachungspflicht des Hotelinhabers nach einer ersten Abmahnung. Dabei bleibt unklar, ob es sich um die generell erste Abmahnung oder um die erste Abmahnung bezogen auf die konkrete Rechtsverletzung handelte (so z.B. das AG Hamburg; näher dazu Sassenberg/Mantz, WLAN und Recht, Rn. 217 m.w.N.). Eine solche Überwachungspflicht kann aber nicht bestehen, da sie ohnehin nur durch eine Kontrolle des Datenverkehrs erfolgen könnte, die wiederum einen Eingriff in das für den Hotelinhaber anwendbare Fernmeldegeheimnis nach § 88 TKG darstellen würde. Möglich wäre nach der Rechtsprechung des BGH allenfalls, nach einem konkreten Hinweis andere (zumutbare) Prüfungs- und Überwachungsmaßnahmen zu verlangen (z.B. eine konkrete Belehrung des betroffenen Nutzers).

Insgesamt nun das vierte – mir bekannte – Urteil bezüglich eines Hotel-WLANs, die durchweg mit Klageabweisungen geendet haben. Offenbar häufen sich mittlerweile Fälle, die auch vor Gericht kommen.

(Danke für den Hinweis an initiative-abmahnwahn.de)

(Bild: @offenenetze)

VAF-Gutachten: „Das Unternehmen als Internet Access Provider“

Der VAF Bundesverband Telekommunikation e.V. hat bereits im Sommer 2013 eine Zusammenfassung eines Gutachtens „Das Unternehmen als Internet Access Provider – Rechtliche Aspekte des Angebots von Internetzuga?ngen in Hotels, Cafe?s, Krankenha?usern, Universita?ten, Flugha?fen und a?hnlichen Einrichtungen“ (Zusammenfassung, PDF, 300kb) veröffentlicht (Pressemitteilung dazu hier). Es handelt sich um ein Gutachten, das von Fachanwalt für IT-Recht Wolfgang Müller verfasst wurde.

Auf der Seite des VAF steht eine 8-seitige Zusammenfassung des Gutachtens zum Download zur Verfügung. Das Gutachten selbst in der Gesamtfassung liegt mir leider nicht vor. Dennoch möchte ich kurz darstellen, was sich aus der online verfügbaren Zusammenfassung ergibt.

Inhaltlich geht es generell um die Frage der Bereitstellung von Internet-Zugang. Deutlich wird aber, dass es im Wesentlichen um den Betrieb von WLANs geht. Die Zusammenfassung hat folgendes Inhaltsverzeichnis:

  1. Einleitung
  2. ?Begriffe
  3. Keine Haftung für fremde Informationen
  4. Sicherheit ja, Überwachung nein
  5. Enge Grenzen für Speicherung und Weitergabe von Daten
  6. Abschlusskommentar
  7. Praxishinweise
  8. Anhang

Zu den Aussagen des Gutachtens:

Wichtig (und richtig) ist bereits die Feststellung, wer Access Provider ist:

Unternehmen wie Hotels, Krankenhäuser usw. können ihren Gästen, Patienten usw. Internetzugänge anbieten. Sie sind dann Internet Access Provider.

Anschließend nimmt das Gutachten bereits in der Einleitung das wesentliche Ergebnis der Untersuchung vorweg:

Vor dem Hintergrund der gegebenen Gesetzeslage, der einschlägigen und höchstrichterlichen Rechtsprechung sowie Kommentierung in der juristischen Fachliteratur erbringt das Gutachten als wesentliches Ergebnis die Klarstellung, dass das bloße Angebot des Zugangs zum Internet keine Haftung des gewerblichen Zugangsanbieters für eventuelle Rechtsverletzungen durch Nutzer verursacht.

Unter Punkt 4 wird dieser Punkt allerdings wieder etwas eingeschränkt. Die Zusammenfassung empfiehlt nämlich die Verschlüsselung des WLANs. Diese Empfehlung geht vermutlich auf das Urteil des BGH – Sommer unseres Lebens (dazu hier, hier, hier und hier) und ggf. auf das Urteil des LG Frankfurt (LG Frankfurt, Urt. v. 18.8.2010 – 2-6 S 19/09: Ersatz für Rechtsanwaltskosten zur Verteidigung gegen Filesharing-Abmahnung – PDF) zurück, die beide die Verschlüsselung angesprochen hatten. Ähnlich hatte sich das LG Frankfurt auch im Jahr 2013 nochmal geäußert (LG Frankfurt am Main, Urt. v. 28.06.2013 – 2-06 O 304/12 – Ferienwohnung; dazu auch Mantz, GRUR-RR 2013, 497). Aus der Zusammenfassung ist aber nicht ersichtlich, ob das Gutachten die Frage behandelt, ob dies auch bei öffentlich zugänglichen WLANs gilt. Bei solchen öffentlichen WLANs gilt es nämlich zu berücksichtigen, dass sie ganz bewusst offen gelassen werden, und dies auch Teil eines Geschäftsmodells ist. Wer verschlüsselt, verbaut nämlich potentiellen Kunden den Zugang – und sich das Geschäft. Im Ergebnis kann eine Verschlüsselung des WLANs daher grundsätzlich nicht verlangt werden (eingehend dazu Sassenberg/Mantz, WLAN und Recht, Rn. 228 mit weiteren Nachweisen und Argumenten).

Richtig ist dann allerdings die Schlussfolgerung im Gutachten (hier zitiert ohne den vorangestellten, einschränkenden Zusatz):

der Versuch, einen Access Provider über den Weg der »Störerhaftung« in Anspruch zu nehmen, [wird] regelmäßig an folgender Tatsache scheitern: Das einzig effektive Mittel, um entsprechende Störungen zu unterlassen bzw. von vornherein zu verhindern, würde darauf hinauslaufen, dass der Provider den Geschäftsbetrieb einstellen müsste.

Zur Frage der Sicherheit des Betriebes führt die Zusammenfassung aus:

Dazu zählen etwa Authentifizierung, Verschlüsselung und technische Isolierung der Nutzer.

Dabei wird nicht ganz klar, ob es sich hierbei um eine Frage im Rahmen der Störerhaftung, oder im Rahmen der Sicherheit des Netzwerks nach § 109 TKG handelt. Eine der regulatorischen Pflichten des Betreibers eines WLANs ergibt sich nämlich aus § 109 TKG. Abhängig von Größe und Struktur des Netzwerks sind dabei möglicherweise verschiedene Maßnahmen erforderlich (ausführlich mit Checklisten und Übersichten Sassenberg/Mantz, WLAN und Recht, Rn. 156 ff.).

Zur Frage der Beauskunftung von Daten verweist die Zusammenfassung unter Punkt 5 darauf, dass die datenschutzrechtlichen Bestimmungen von TKG, TMG und BDSG penibel einzuhalten sind. Wenn dadurch keine Daten vorhanden sind, können diese auch bei Auskunftsverlangen nicht herausgegeben werden. Daten, die für Abrechnungszwecke nicht erforderlich seien, müssten zudem unverzüglich gelöscht werden. Für technische Zwecke könnten z.B. dynamische IP-Adressen maximal 7 Tage aufbewahrt werden. Dies ist jedenfalls die Auffassung des BGH (BGH, Urt. v. 13. 01. 2011 – III ZR 146/10, NJW 2011, 1509 (1510); ebenso OLG Frankfurt, Urt. v. 28. 08. 2013 – 13 U 105/07, ZD 2013, 614). Diese Darstellung ist grundsätzlich richtig. Im Aufbau und Betrieb eines WLANs stellen sich aber auch an ganz anderen Stellen datenschutzrechtliche Fragen (z.B. im Zusammenhang mit einer Splash-Page, mit Registrierungen, Kundenschutz, Zahlungsverkehr etc., auch Standortdaten können durchaus anfallen). Ob das Gutachten in der Gesamtfassung darauf eingeht, ist nicht bekannt. Die Zusammenfassung lässt dies nicht vermuten. Eingehend werden die Datenschutzfragen beim Betrieb eines WLANs übrigens (Achtung, Werbung!) dargestellt bei Sassenberg/Mantz, WLAN und Recht, Rn. 112 ff.

Insgesamt reißt die Zusammenfassung einige der Fragestellungen beim WLAN an. Die Spezialitäten beim Betrieb von WLANs in Krankenhäusern oder Flugzeugen werden leider (in der Zusammenfassung) nicht weiter dargestellt. Fragen zum Vertragsschluss, zum Aufbau durch die öffentliche Hand und durch Privatpersonen sind offenbar außen vor geblieben. Als Fazit bleibt für mich, dass sich aus der Zusammenfassung nicht genug ersehen lässt, dass aber vermutlich auch das Gesamtgutachten nicht auf alle relevanten Fragen eingeht. Ich persönlich würde jedenfalls gerne einmal das gesamte Gutachten lesen …