BITKOM: Herausforderung DSGVO – Datenschutz-Fachkräfte sind Mangelware

/in /von

Die Umsetzung von Datenschutzregelungen in diesem Jahr stellt Unternehmen vor große Herausforderungen. Problematisch: Den meisten Firmen fehlt es an Fachkräften, um die häufig zeitaufwändigen Aufgaben zu bewältigen.

Mehr als jedes zweite Unternehmen (56 Prozent) in Deutschland hat weniger als eine Vollzeitstelle für Mitarbeiter eingeplant, die sich hauptsächlich mit Datenschutzthemen befassen. Zu diesem Ergebnis kommt eine repräsentative Bitkom-Umfrage. Die Zeit drängt, denn mit der ab 25. Mai 2018 gültigen Datenschutzgrundverordnung (DSGVO) ergeben sich viele neue Pflichten für die Firmen. »Der Arbeitsaufwand bei der Umsetzung der Datenschutzgrundverordnung ist enorm, gleichzeitig suchen Unternehmen händeringend nach passenden Fachkräften«, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung für Recht und Sicherheit. In genau eine Vollzeitstelle für Datenschutzangelegenheiten investiert gut jedes vierte Unternehmen (27 Prozent). Mehr als eine Vollzeitstelle für Datenschutz-Fachkräfte gibt es in 14 Prozent der Unternehmen.

Ab Mai müssen alle Firmen die DSGVO beachten. Im Mittelpunkt steht dabei für viele Unternehmen, ein Verarbeitungsverzeichnis für Personendaten zu erstellen. Außerdem müssen sie Prozesse in der Produktentwicklung anpassen, um dem neuen Grundsatz des Privacy by Design gerecht zu werden. Darüber hinaus haben die Firmen zahlreiche Informationspflichten gegenüber ihren Kunden.

E-Privacy-Verordnung steht vor der Tür

Voraussichtlich in der zweiten Jahreshälfte 2018 will die EU über die sogenannte E-Privacy-Verordnung entscheiden. Ziel dieser Verordnung ist es zum einen, die Vertraulichkeit der Kommunikation zu schützen. Zum anderen formuliert die E-Privacy-Verordnung zusätzliche Datenschutzvorschriften, die besonders im Bereich der Verarbeitungs- und Speicherfunktion in Endgeräten wie PCs, Tablets oder Smartphones über die Datenschutzgrundverordnung hinausgehen. »Künftige Innovationen werden durch die E-Privacy-Verordnung bedroht«, kritisiert Dehmel den aktuellen Gesetzentwurf der EU-Kommission zur E-Privacy-Verordnung. So werde die bereits gefundene Balance zwischen dem Schutz der Privatsphäre einerseits und neuen Technologien andererseits wieder zerschlagen.

»Was die Datenschutzgrundverordnung erlaubt, darf die E-Privacy-Verordnung nicht wieder zurückdrehen«, fordert Dehmel. Bislang stellt die E-Privacy-Verordnung in mehreren Bereichen eine nach DSGVO erlaubte Datenverarbeitung entweder unter den Vorbehalt einer strengeren Form der Einwilligung oder untersagt sie sogar vollständig. Zudem würden durch den Kommissionsentwurf auch Vorgänge erfasst werden, bei denen die Verarbeitung von personenbezogenen Daten keine Rolle spielt.

Link zur BITKOM Pressemeldung

BDS Bayern: ein großer Wirtschaftsverband entdeckt den Datenschutz – doch etwas spät meine ich!!

/in /von

Seit 2010 wird über ein Europäisches Datenschutzrecht diskutiert. Am 4. 5.2016 ist dann die EU-Verordnung 2016/79 „zum Schutz natürlicher Personen bei der der Verarbeitung personenbezogener Daten (DS-GVO)“ nach Veröffentlichung im Amtsblatt der EU am 25. 5. 2016 in Kraft getreten und wird Geltung haben ab dem 25. 5. 2018.

Seit 20 Monaten ist nun bekannt, dass sich im Datenschutz Wesentliches ändern wird. Sehr viele haben das einfach verschlafen – falsch, nehmen das Thema Datenschutz und die daraus resultierenden Pflichten einfach nicht Ernst. Und das seit Jahrzehnten. Bestellpflicht eines Datenschutzbeauftragten – pfeiff drauf, kontrolliert eh keiner. Kostet nur Geld.

Typisches Beispiel für diese Haltung zeigt sich auch in manchen Wirtschaftsverbänden. Dem BDS Bayern zum Beispiel. Mit rund 18.000 Mitgliedern die stärkste Vertretung des Mittelstands in Bayern. Starten am 31.1.2018 ihre „BDS Roadshow – neuer Datenschutz„. Es verbleiben also weniger als 4 Monate für Datenschutz von 0 auf 100. Wie soll das bitteschön gehen? Die, dies es bis heute sich nicht um das Thema gekümmert haben, fehlt doch das Verständnis und die Bereitschaft dazu. Und die notwendige Anzahl fachkundiger Datenschutzbeauftragte gibt es auch nicht. Ich jedenfalls nehme seit einiger Zeit keine neuen Mandate mehr an. Also wählt man einen armen Tropf aus der Mannschaft und drückt ihm den Stempel auf, spendiert vielleicht eine Schulung, aber keine Zeit und kein Budget. Arme Seele!

Lieber BDS-Bayern, in dem ich auch seit über 10 Jahren Mitglied bin, eine gute Gelegenheit verpasst, vom Zeitpunkt her ganz zu schweigen. Setzen – Sechs.

Intel AMT: Firmen-Notebooks in 30 Sekunden gehackt

/in /von

F-Secure weist auf eine Sicherheitslücke in der Active Management Technology (AMT) von Intel hin, über die ein Angreifer mit Zugang zum Gerät sich binnen weniger Sekunden eine Hintertür einrichten kann.

Als hätte Intel mit »Meltdown« und »Spectre« aktuell nicht genug zu tun, lauert auf vielen Systemen mit Intel-Chips ein weiteres Sicherheitsproblem. Wie F-Secure vermeldet, ist die BIOS-Erweiterung für AMT – eine Fernwartungstechnologie, die von vielen Firmen genutzt wird – durch ein gesetztes BIOS-Passwort nicht geschützt. Ein Angreifer, der Zugang einem Gerät hat, kann es daher schnell booten und auf die AMT-Funktion zugreifen, etwa um den Rechner für einen späteren Fernzugriff zu konfigurieren. Dafür muss während der Boot-Sequenz nur [STRG] + [P] gedrückt werden. Anschließend kann man sich fast immer mit dem Standardpasswort »admin« bei der »Intel Management Engine BIOS Extension« (MEBx) anmelden, da die wenigsten Unternehmen dieses ändern. Nach dem Login ist es dann für den Angreifer möglich, ein neues Passwort zu vergeben, den Remote-Zugriff zu aktivieren und Funktionen wie »AMT User Opt-In« zu deaktivieren.

Das alles lässt sich F-Secure zufolge in weniger als 30 Sekunden durchführen. Die Empfehlung des Security-Herstellers an End User lautet daher auch, Notebooks in der Öffentlichkeit nicht einmal für kurze Zeit unbeaufsichtigt zu lassen – am besten nicht mal in Hotelzimmern. Harry Sintonen, der als Senior Security Consultant bei F-Secure das Sicherheitsproblem untersucht hat, bezeichnet einen derart durchgeführten Angriff als »fast schon lächerlich einfach«. Es stecke ein »enorm destruktives Potenzial« in der Schwachstelle: »In der Praxis gibt sie einem Angreifer die komplette Kontrolle über Arbeitslaptops, selbst wenn eigentlich umfangreiche Sicherheitsmaßnahmen eingerichtet wurden«, erklärt er.

In der Regel kann der Angreifer nach der Manipulation nur auf den Rechner zugreifen, wenn er sich im gleichen LAN befindet. In einigen Fällen sei es jedoch möglich, einen eigenen CIRA-Server (Client Initiated Remote Access) einzutragen, so F-Secure. Damit wäre dann sogar ein Zugriff von außerhalb des lokalen Netzwerks möglich.

F-Secure rät Unternehmen, starke Passwörter für AMT zu vergeben oder die Funktion zu deaktivieren, so sie nicht benötigt wird. Intel sah lange vor allem die Gerätehersteller in der Pflicht. Weil jedoch nur wenige der Anweisung des Chipproduzenten folgten, eine Aktivierung von AMT nur nach Eingabe des BIOS-Passworts zu ermöglichen, hatte das Unternehmen im vergangenen Dezember eigene Best Practices für Kunden zu dem Thema veröffentlicht (PDF).

 

Stiftung Datenschutz: Recht auf Datenübertragbarkeit bietet Chancen und Risiken

/in /von

Ab 2018 können Nutzer ihre Daten von einem Anbieter zu einem anderen mitnehmen – von einem sozialen Netzwerk zum anderen; von einer Versicherung zur nächsten. Neben diesen naheliegenden Möglichkeiten sind auch noch viele andere Datentransfers denkbar. Was nach großer Freiheit für Verbraucher und nach einer Chance klingt, bestehende Monopole im Digitalmarkt aufzubrechen, kann allerdings auch Risiken mit sich bringen.

Zu diesem Ergebnis kommt eine aktuelle Studie der vom Bund gegründeten Stiftung Datenschutz. Denn für die Umsetzung des Rechts auf Datenübertragbarkeit brauchen Wirtschaft und Verbraucher noch Präzisierung und Aufklärung. Die Studienautoren zeigen auf, dass ansonsten Datenschutzrisiken drohen oder das neue Schutzinstrument ins Leere laufen kann.

Link zur Meldung

Kunden reagieren sofort auf Datenschutzverletzungen bei Firmen

/in /von

70 Prozent der Anwender würden Firmen nach einem Datenschutzproblem durch Aufkündigung der Geschäftsbeziehung abstrafen. Das zeigen die Ergebnisse einer im Auftrag von Gemalto durchgeführten Umfrage unter rund 10.000 Anwendern weltweit, unter anderem auch aus Deutschland. Sieben von zehn der Befragten (69 Prozent) sind der Ansicht, dass Unternehmen die Sicherheit von Kundendaten nicht sehr ernst nehmen.

Trotz dieser Bedenken zeigen sich die meisten Anwender sehr sorglos in Bezug auf die Datensicherheit. Mehr als die Hälfte (56 Prozent) verwendet immer noch dasselbe Passwort für mehrere Online-Konten. Selbst wenn Unternehmen robuste Sicherheitslösungen wie die Zwei-Faktor-Authentifizierung anbieten, werden sie von deren Kunden offenbar häufig nicht genutzt. So geben 41 Prozent der Anwender zu, die Technologie nicht für die Sicherung von Konten in den sozialen Netzwerken zu verwenden, so dass sie dort anfällig für Datenschutzverletzungen sind.

62 Prozent der Befragten finden, dass die Unternehmen die Verantwortung für die Sicherheit der Daten tragen sollten. »Die Verbraucher geben offenbar gerne die Verantwortung für den Schutz ihrer Daten an ein Unternehmen ab, erwarten aber, dass diese ohne jeglichen Aufwand sicher aufbewahrt werden«, sagt Jason Hart, CTO im Bereich Identity and Data Protection bei Gemalto. Angesichts kommender Rechtsanpassungen, wie zum Beispiel der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union müssen die Firmen den Anwendern die richtigen Sicherheitsmechanismen vorgeben, um die Datensicherheit zu gewährleisten. »Es genügt nicht mehr, diese Lösungen als Option anzubieten. Diese Protokolle müssen von Anfang an obligatorisch sein – ansonsten drohen den Unternehmen nicht nur finanzielle Folgen, sondern auch rechtliche Schritte seitens der Verbraucher«, ist Hart überzeugt.

Trotz ihres Verhaltens sind die Sicherheitsbedenken der Kunden hoch. Zwei Drittel (67 Prozent) befürchten, dass sie in naher Zukunft Opfer einer Datenschutzverletzung werden. Die Verantwortung dafür liegt nach Ansicht der Nutzer beim Unternehmen. Wenn ihre Daten gestohlen würden, würde die Mehrheit (93 Prozent) der Verbraucher rechtliche Schritte gegen die kompromittierte Firma einleiten oder erwägen.

 

vzbv: Datenschutzeinwilligung ungenügend – Urteil gegen Facebook

/in /von
  • Onlinespiele auf Facebook dürfen nicht so präsentiert werden, dass Verbraucher beim Anklicken des Buttons „Spiel spielen“ ohne nähere Informationen in die Weitergabe ihrer Daten einwilligen.
  • Die Berechtigung der Spiele-App-Betreiber zum „Posten“ eigener Inhalte über das Facebookprofil des Nutzers ist intransparent.
  • Ausschlaggebend dafür, welches Datenschutzrecht gilt, ist die Tätigkeit von Facebook in Deutschland.

Facebook darf personenbezogene Daten seiner in Deutschland lebenden Nutzer nicht ohne deren wirksame Einwilligung herausgeben. In Facebooks App-Zentrum, in dem Computerspiele von Drittanbietern angeboten werden, wurden Nutzer nicht ausreichend über Umfang und Zweck der Datenweitergabe informiert. Das hat das Kammergericht nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden.

„Facebook muss besser darüber informieren, was Drittanbieter auf seiner Webseite mit den Daten der Nutzerinnen und Nutzer anstellen“, sagt Heiko Dünkel, Rechtsreferent beim vzbv. „Es kann nicht sein, dass Spieleanbieter ohne jegliche Einschränkung im Profil des Nutzers Beiträge posten können.“

In seinem App-Zentrum bietet Facebook seinen Kunden die Möglichkeit, kostenfreie Spiele von anderen Anbietern zu spielen. Dort war im November 2012 unter anderem das Spiel „The Ville“ verfügbar. Unter dem Button „Sofort spielen“ wurden Hinweise zur Weitergabe von personenbezogenen Daten des Nutzers angezeigt. So sollten mit Beginn des Spiels die E-Mail-Adresse, Statusmeldungen und weitere Informationen über den Nutzer an den Betreiber des Spiels übermittelt werden. Angaben über den Zweck der Datenverarbeitung fehlten. Bei drei weiteren Spielen wurden vergleichbare Informationen angezeigt. So hieß es beim Spiel „Scrabble“: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“

„Die bereitgestellten Informationen waren in keinem Fall geeignet, eine informierte und freiwillige Einwilligung der Nutzer in die Weitergabe ihrer personenbezogenen Daten einzuholen.“, so Dünkel. Damit verstoße Facebook gegen deutsches Datenschutzrecht.

Informationen für Datenweitergabe nicht ausreichend

Das Berliner Kammergericht stellte klar, dass deutsches Datenschutzrecht trotz des irischen Unternehmenssitzes anwendbar sei. Hierzu genüge, dass Facebook sein Angebot auch an deutsche Nutzer richte und in Hamburg eine für die Förderung des Anzeigengeschäfts zuständige Schwestergesellschaft der Beklagten unterhalte.

Die erforderliche Einwilligung in die durch Facebook angekündigte Weitergabe der Daten lag nach Auffassung des Gerichts nicht vor, denn die bereitgestellten Informationen reichten nicht aus, um eine freie und informierte Entscheidung der Nutzer über die begehrte Generaleinwilligung herbeizuführen. Die ebenfalls beanstandete Berechtigung zum Posten im Namen des Verbrauchers hielten die Richter für zu unbestimmt, denn die nach der Klausel möglichen Posts seien für Verbraucher in Zahl und Inhalt nicht absehbar. Selbst Werbung für sexuell anzügliche Produkte sei von der Formulierung abgedeckt. Die Vertragsbestimmung verstoße daher gegen das AGB-rechtliche Transparenzgebot sowie gegen Datenschutzvorschriften.

Mit seinem Urteil bestätigte das Kammergericht die Rechtsauffassung der Vorinstanz. Gegen die Entscheidung des Landgerichts Berlin hatte Facebook 2014 Berufung eingelegt. Wegen der grundsätzlichen Bedeutung des Falls hat das Kammergericht die Revision zum Bundesgerichtshof zugelassen.

BvD: Die neue Rolle des Datenschutzbeauftragten nach DS-GVO

/in /von

Der BvD befasst sich seit langem mit der Entwicklung der Funktion des Datenschutzbeauftragten in der DS-GVO.

Während der Entwicklung der neuen Verordnung hat es viele Termine und Gespräche gegeben, um die Stellung und Rolle des Datenschutzbeauftragen möglichst klar herauszuarbeiten. Durch die zahlreichen Kompromisse in der DS-GVO ist nun aber noch viel Interpretationsbedarf geblieben, der auch durch das BDSG neu nur begrenzt geregelt wird. Aus diesem Grund hat der BvD-Vorstand einen Fragenkatalog entwickelt, der die wesentlichen Fragen und den wichtigsten Klärungsbedarf zum DSB beleuchten sollte – insbesondere um die vieldiskutierten Haftungsfragen zu klären.

Dieser Fragenkatalog war die Grundlage für das Gutachten der Experten von Derra, Meyer & Partner. Die Spezialisten aus den Bereichen Arbeits-, Straf-, und Haftungsrecht haben diese Punkte beleuchtet und versucht, dazu die richtungsweisenden Aussagen zusammenzufassen bzw. auch zu entwickeln. Die Entstehung des Gutachtens wurde durch den BvD-Vorstand eng begleitet, so dass Fragen zur betrieblichen Praxis schnell geklärt werden konnten. Trotzdem haben sich während der Bearbeitung neue Fragen und Aspekte ergeben, die der weiteren Untersuchung bedürfen. Diese werden insbesondere durch den Ausschuss Berufsbild aber auch durch den Vorstand einer weiteren Diskussion und Klärung zugeführt. Insbesondere wird geprüft, welche Mustervorlagen zur Benennung und für die vertragliche Klärung des DSB bereitgestellt werden können.

Hierzu werden wir weiterhin informieren.

Download Gutachten

E-Mail-Verschlüsselung ist Pflicht für Berufsgeheimnisträger

/in /von

Der Sächsische Landesdatenschutzbeauftragte Andreas Schurig hat in seinem aktuellen Tätigkeitsbericht auf die Pflicht zur Verschlüsselung bei E-Mails von Berufsgeheimnisträgern (Apotheker, Ärzte und Rechtsanwälte, …) hingewiesen, wenn diese sensible personenbezogene Daten enthalten.

Laut Schurig ist insbesondere das Versenden von Gesundheitsdaten per unverschlüsselter E-Mail rechtlich unzulässig, da es sich hierbei um besondere Arten von personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG handelt. Dies würde nicht den Anforderungen der Nr. 4 der Anlage zu § 9 BDSG entsprechen. Danach muss gewährleistet sein, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Schurig begründet dies mit der Tatsache, dass eine unverschlüsselte E-Mail von allen an der Übertragung beteiligten Stellen problemlos mitgelesen werden kann und nicht dem aktuellen Stand der Technik entsprechen.

Für die in § 203 Strafgesetzbuch (StGB) genannten Berufsgeheimnisträger wie z.B. Apotheker, Ärzte und Rechtsanwälte kann dies laut Schurig auch zu einer Strafbarkeit wegen der Verletzung von Privatgeheimnissen führen. § 203 StGB schütze die Individualinteressen Betroffener in besonderer Weise dadurch, dass er Geheimnisträgern wie z.B. Rechtsanwälten, denen Betroffene im Rahmen der Mandatserteilung regelmäßig Geheimnisse anvertrauen, für den Fall der Verletzung ihrer Geheimhaltungs- und Verschwiegenheitspflichten entsprechende Strafen androht. Wegen des hohen Schutzbedarfs der Kommunikationsinhalte sei daher in jedem Fall eine Verschlüsselung des E-Mail Verkehrs erforderlich.

Soweit die rechtliche Theorie. In der Realität ist dieses Problembewusstsein jedoch noch nicht verbreitet genug. Die Nutzung einer Verschlüsselungslösung wird oft aufgrund des vermeintlich hohen Aufwands und den Kosten nicht in Erwägung gezogen. Tatsächlich hält sich beides aber mittlerweile in Grenzen und bei einer modernen Softwarelösung verschickt der Anwender seine E-Mails ganz normal ohne zusätzlichen Aufwand. Der Knackpunkt ist, dass auch der Empfänger die Verschlüsselung einsetzen muss damit das Ganze funktioniert. Letztlich scheitert daran die verschlüsselte Kommunikation oftmals in der Praxis.

Berufsgeheimnisträger sollten sich daher auf sichere Kommunikationswege wie Post oder Fax beschränken, wenn sie keine E-Mail Verschlüsselung nutzen können. Falls es in dieser Ausgangslage doch einmal notwendig sein sollte, eine E-Mail mit sensiblen Daten zu verschicken, sollte man diese in einer verschlüsselten und passwortgeschützten Zip-Datei verschicken. Dabei muss man natürlich ein ausreichend starkes Passwort verwenden. Dieses lässt man dann dem Empfänger durch ein anderes, sicheres Kommunikationsmittel (z.B. am Telefon) zukommen.

Mitbestimmungsrecht des Betriebsrats bei Outlook-Gruppenkalender

/in /von

Hat der Arbeitgeber vor der Einrichtung des Gruppenkalenders in Outlook den Betriebsrat nicht gemäß § 87 Abs. 1 Nr. 6 BetrVG beteiligt, ist eine Weisung, den Gruppenkalender zu benutzen, unwirksam. Eine entsprechende Abmahnung ist aus der Personalakte zu entfernen. So das Urteil des Landesarbeitsgerichts Nürnberg (LArbG Nürnberg, Urteil v. 21.02.2017 – 7 Sa 441/16).

Eine Beteiligung des Betriebsrats lag im Vorfeld der Einführung des Outlook-Gruppenkalenders nicht vor. Auf die Weigerung eines Arbeitnehmers den Gruppenkalender zu nutzen, reagierte der Arbeitgeber mit einer Abmahnung. Dieser klagte auf Entfernung der Abmahnung aus der Personalakte – und bekam Recht.

Im Rahmen seiner Entscheidung ging das Gericht davon aus, dass dem Betriebsrat nach § 87 Absatz 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen zusteht, wenn diese Einrichtung dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Zur Überwachung »bestimmt« sind technische Einrichtungen dann, wenn sie objektiv geeignet sind, Verhaltens- oder Leistungsinformationen der Arbeitnehmer zu erheben und aufzuzeichnen; auf die subjektive Überwachungsabsicht des Arbeitgebers kommt es nicht an (Bundesarbeitsgericht – Beschluss vom 10.12.2013 – 1 ABR 43/12).

Der Gruppenkalender ermöglicht es der Beklagten, eine Auswertung der Leistungen des Klägers im Hinblick auf die Koordination seiner Termine oder der Termindichte vorzunehmen. Insbesondere ist ihr dies möglich, ohne dass der Kläger hiervon Kenntnis erhält.

Der Betriebsrat ist vor der Einrichtung des Gruppenkalenders nicht beteiligt worden. Insbesondere stellt die Betriebsvereinbarung zum Umgang mit Informations- und Kommunikationsanlagen vom 01.11.2013 keine (vorweggenommene) Zustimmung des Betriebsrats zum Gruppenkalender dar.

Die fehlende Beteiligung des Betriebsrats führt zur Unwirksamkeit der Abmahnung. Abgemahnt werden können nur Verstöße gegen arbeitsvertragliche Pflichten. Da der Betriebsrat bei der Einführung des Gruppenkalenders nicht beteiligt wurde, war der Kläger berechtigt, der Anordnung der Beklagten, den Gruppenkalender zu nutzen, nicht Folge zu leisten.

Im Ergebnis kam das Gericht daher zu der Schlussfolgerung, dass die Abmahnung unberechtigt war, und diese somit aus der Personalakte entfernt werden musste.

Quelle: Landesarbeitsgericht Nürnberg

WLAN-Gesetz nimmt letzte Hürde im Bundesrat

/in /von

Bislang bewegten sich Betreiber von öffentlichen Hotspots in Deutschland in einer rechtlichen Grauzone. Das neue WLAN-Gesetz soll hier Sicherheit schaffen.

Am Freitag, zwei Tage vor der Bundestagswahl befasst sich der Bundesrat ein letztes Mal mit dem neuen WLAN-Gesetz, das eine bessere rechtliche Grundlage für Anbieter öffentlicher Hotspots schaffen soll. Vom Bundestag war es bereits Ende Juni beschlossen worden. Da die Zeit vor der parlamentarischen Sommerpause zu knapp war, befasst sich der Bundesrat am kommenden Freitag abschließend damit. Bereits im Mai hatten sich die Länder in einer Stellungnahme sehr zufrieden mit den Regierungsplänen gezeigt.

Von öffentlichen Hotspots profitieren viele Menschen. Betreiber von Cafés, Hotels oder Restaurants wollen damit zudem ihren Kunden mit einem komfortablen Zugang zum Internet einen zusätzlichen Service bieten. Doch lange rangierte Deutschland im europäischen Ländervergleich weit hinten. Der Grund: Anbieter öffentlicher Hotspots – ob privat oder gewerblich – gerieten schnell in eine rechtliche Grauzone. Wenn ein Nutzer die Leitung missbrauchte, um illegal Inhalte herunterzuladen, drohten dem Anbieter wegen der sogenannten Störerhaftung bislang teure Abmahnungen. Mit der Änderung des Telemediengesetzes sollte rechtliche Klarheit geschaffen werden.

Die Störerhaftung wird unter anderem im Bürgerlichen Gesetzbuch (BGB) geregelt. Danach kann jemand zur Verantwortung gezogen werden, wenn er an der Verletzung eines geschützten Gutes beteiligt ist, ohne selbst Täter zu sein. In der Vergangenheit wurde sie vielfach bei Urheberrechtsverletzungen im Internet bemüht. Wer etwa auf seiner Website auf geschützte Inhalte verlinkt, kann sich damit strafbar machen. Auch Betreiber von Auktionsplattformen können in die Haftung genommen werden, wenn sie zum Beispiel gefälschte Markenprodukte oder Plagiate vertreiben. Auch auf Anbieter von öffentlichen Hotspots wurde sie bei Missbrauch durch Dritte angewandt.

Das vom Wirtschaftsminister Anfang 2015 auf den Weg gebrachte WLAN-Gesetz sollte Hotspot-Betreibern eine klare rechtliche Grundlage verschaffen. Doch bereits der erste Entwurf geriet prompt ins Fadenkreuz der Kritik. Er sah noch vor, dass Betreiber eine Reihe von Auflagen erfüllen sollten. So sollten gewerbliche Anbieter ihre Router verschlüsseln und von den Nutzern schriftlich zusichern lassen, dass sie keine Rechtsverletzungen planen. Kritiker sahen darin unrealistische und alltagsuntaugliche Hürden, die eine Verbreitung öffentlicher Hotspots eher behindern als fördern würden.

Verbände und Verbraucherschützer übten harsche Kritik und äußerten die Befürchtung, dass durch das Gesetz neue Rechtsunsicherheiten für die Betreiber festgeschrieben werden. Im Bundesrat forderten schließlich mehrere Länder deutliche Korrekturen. Zu viele «interpretationsbedürftige Einschränkungen» sowie Unklarheiten seien dort enthalten. Und die Störerhaftung sei auf Grundlage der Formulierungen nicht vom Tisch.

Sind alle Zweifel nun ausgeräumt?

Mit der im Juni im Bundestag beschlossenen Fassung des WLAN-Gesetzes sollten schließlich alle umstrittenen Punkte entfernt und die Störerhaftung endgültig passé sein. Weder eine Verschlüsselung, noch eine Vorschalt-Seite zur Registrierung der Nutzer ist mehr vorgesehen. Auch der Europäische Gerichtshof bekräftigte zuvor in einem Urteil im September 2016, dass Betreiber nicht bei Urheberrechtsverletzungen anderer haften. Bei konkreten Missbrauchsfällen sollen sie laut Urteil des EuGH jedoch dazu verpflichtet werden können, den Zugang per Passwort zu sichern.