Aufsatz „Der Entwurf der Single Market-Verordnung und lokale Funknetze“ erschienen

In der aktuellen Ausgabe der Zeitschrift Computer und Recht ist unser Aufsatz „Der Entwurf der Single Market-Verordnung und lokale Funknetze“ erschienen (CR 2014, S. 370 bis 377). Der Vorschlag der EU-Kommission für eine Verordnung über Maßnahmen zum europäischen Binnenmarkt der elektronischen Kommunikation und zur Verwirklichung des vernetzten Kontinents und zur Änderung verschiedener Richtlinien (sog. Single Market-Verordnung; ursprünglicher Entwurf -COM(2013) 627 final; Synopse mit Änderungen vom 3.4.2014)) beschäftigt sich unter anderem mit lokalen Funknetzen, worunter auch WLANs fallen. Der Verordnungsentwurf enthält weitgehende Regelungen für den Aufbau und Betrieb von WLAN-Hotspots, welche bspw. die Anwendbarkeit regulatorischer Pflichten, das WLAN-Sharing und den Betrieb von Hotspots betreffen. Die diesbezüglichen Regelungen hatten wir bereits in einem früheren Blogbeitrag kursorisch vorgestellt. In dem nunmehr erschienen Aufsatz haben wir uns nun mit der Verordnung im Einzelnen beschäftigt und die Auswirkungen auf das nationale Recht untersucht. Hierbei hat sich insbesondere gezeigt, dass es den Regelungen teilweise an der notwendigen Rechtsklarheit fehlt.

Aus dem Beitrag:

Die EU-Kommission hat am 11.9.2013 den Entwurf der sog. Single Market-Verordnung zur Schaffung eines einheitlichen europäischen Telekommunikationsmarkts veröffentlicht, der vom Europäischen Parlament am 3.4.2014 mit Änderungen angenommen wurde. Der nachfolgende Beitrag stellt die im Entwurf vorgesehenen Regelungen mit Bezug zum Betrieb von lokalen Funknetzen (WLANs) vor, ordnet diese in das nationale Regelungsregime ein und zeigt die Auswirkungen für Aufbau und Betrieb von WLAN-Hotspots auf.

I. Hintergrund

Am 11.9.2013 hat die EU-Kommission einen Vorschlag für eine Verordnung über Maßnahmen zum europäischen Binnenmarkt der elektronischen Kommunikation und zur Verwirklichung des vernetzten Kontinents und zur Änderung verschiedener Richtlinien vorgelegt, der durch das EU-Parlament am 3.4.2014 – mit teilweise erheblichen Änderungen – angenommen wurde. Der Entwurf dieser sog. Single Market-VO soll zu einem einheitlichen Telekommunikationsbinnenmarkt beitragen.

Inhaltsverzeichnis:

I. Hintergrund

II. Generelle Gestattung des Aufbaus und Betriebs von sowie der Bereitstellung des Zugangs zu WLANs

III. Einschränkung der telekommunikationsrechtlichen Pflichten für „Nebenbei-Anbieter“ (Art. 14 Abs. 6 Single Market-VO)

1. Unternehmen, Behörde oder sonstige Endnutzer

2. Lokales Funknetz

3. Angebot nicht gewerblich oder lediglich untergeordneter Teil

a. Keine gewerbliche Tätigkeit

b. Untergeordneter Teil der Tätigkeit

c. Ergebnis

4. Folge des eingeschränkten Anwendungsbereichs

5. Haftung von WLAN-Anbietern

IV. Aggregation von Endkundenanschlüssen

1. Grundsätzliche Gestattung der Aggregation (Art. 14 Abs. 2 Single Market-VO)

2. Aggregation nur mit Zustimmung der Endkunden (Art. 14 Abs. 2 Single Market-VO)

3. Wahlrecht der Endnutzer hinsichtlich des WLAN-Zugangs (Art. 14 Abs. 3 lit. a) Single Market-VO)

4. Unzulässigkeit des vertraglichen Verbots der Nutzung durch Dritte (Art. 14 Abs. 3 lit. b) Single Market-VO)

5. Genereller und gegenseitiger Zugang unter Endnutzern (Art. 14 Abs. 3 lit. b) Single Market-VO)

6. WLAN-Sharing durch nichtstaatliche Organisationen und Behörden (Art. 14 Abs. 5 lit. b) Single Market-VO)

7. Keine behördliche Beschränkung des WLAN-Sharings (Art. 14 Abs. 4 Single Market-VO)

IV. Angebot von WLANs durch Behörden (Art. 14 Abs. 5 lit. a) Single Market-VO)

V. Offener Internetzugang und Netzneutralität (Art. 23 Single Market-VO)

VI. Fazit und Ausblick

Handbuch zum europäischen Datenschutzrecht aktualisiert und übersetzt

Die Agentur der Europäischen Union für Grundrechte und der Europarat haben zusam­men mit der Kanzlei des Europäischen Gerichtshofes für Menschenrechte ein Handbuch zum europäischen Datenschutz erarbeitet. Dieses Handbuch wurde nunmehr aktualisiert und in verschiedene Sprachen übersetzt. Es ist unter anderem in deutscher Sprache und auf Englisch verfügbar.

Inhalt und Ziel des etwa 200 Seiten umfassenden Handbuchs werden aus dem Vorwort deutlich, wo es heißt:

„Ziel dieses Handbuchs ist es, Bewusstsein zu schaffen und über die Datenschutz­vorschriften in den EU-Mitgliedstaaten und des Europarates aufzuklären, das Wissen darüber zu erweitern und als Nachschlagewerk schlechthin für dieses Thema zu die­nen. Es richtet sich an Angehörige der Rechtsberufe, die nicht unbedingt Fachleute für dieses Thema sind, an Richter, nationale Datenschutzbehörden und andere im Datenschutz Tätige.“

Neues Handbuch über staatliche Beihilfen für den Breitbandausbau in der EU

Bereits am 08.05.2014 hat die Europäische Kommission ein neues Handbuch über staatliche Beihilfen für den Breitbandausbau in der Europäischen Union veröffentlicht. Das Handbuch beruht auf den Leitlinien der Kommission über staatliche Beihilfen für den Breitbandausbau, welche im Dezember 2012 veröffentlicht wurden. Es soll der öffentlichen Hand, insbesondere den örtlichen Behörden, dabei helfen, die öffentlichen Mittel für den Breitbandausbau angemessen zu nutzen.

Am Rand hat sich die Kommission dabei auch mit WLANs beschäftigt. Welche Funktion WLANs beim Breitbandausbau zukommen soll, wird bereits aus der anschaulichen Informationsgrafik der Kommission deutlich. WLANs eignen sich danach primär dazu, dass kleinteilige Gebiete (einzelne Häuser) erschlossen werden. In dem Handbuch wird WLAN – neben WiMAX – als eine von zwei typischen drahtlosen Zugangstechnologien dargestellt. Den Einsatzzweck von WLAN beschreibt wik Consult, Ersteller der Studie, auf Seite 68 wie folgt:

„WLAN rests on an access point serving as a central base station to connect endcustomers in an area with a radius of approximately 30 – 100 m as a shared medium. The “feasible” distance between end-customer and access point depends on the specific local circumstances, e.g. regarding line of sight, indoor conditions, and construction materials. Depending on the specific standard used WLAN theoretically is able to reach a bandwidth between 2 Mbps and appr. 300 Mbps; in practice, bandwidths are nearly half the size. Implementing WLAN technology is rather cheap, however, it cannot offer homogenous access speeds and a dedicated Quality of Service to the end-customers connected. It is fair to state that WLAN is an access technology ideally suited for hot spots like universities, libraries, railway stations, trains, airports and planes, restaurants and event locations, where nomadic end-customers stay for a while (because they are waiting, travelling, …) and can use their terminal systems.”

Bundesbeauftragte für Datenschutz beanstandet Nichteinhaltung der Meldepflichten

Wie golem.de am 12.05.2014 berichtete, hat die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Andrea Voßhoff, die Nichteinhaltung der Meldepflicht bei Datenschutzverstößen nach § 42 BDSG und § 109a TKG seitens der Unternehmen kritisiert und gleichzeitig – zumindest indirekt – die Bundesnetzagentur (BNetzA) zur Verhängung von Bußgeldern aufgefordert. Die BfDI beanstandet, dass in der Presse über Unternehmen berichtet wird, bei denen es zu einer Verletzung des Schutzes/ geschützter personenbezogener Daten gekommen sei, gleichzeitig eine Meldung darüber an BNetzA und BfDI seitens der Unternehmen jedoch nicht erfolgte.

Hotspot-Betreiber müssen Datenschutzverstöße nach § 109a BDSG melden. Wichtig ist insoweit, dass die Regelung eine Meldepflicht für jegliche Datenschutzverstöße vorsieht. Es ist gerade nicht erforderlich, dass es sich um einen besonders schweren Verstoß handelt oder bestimmte Kategorien von Daten betroffen sind. Vielmehr hat bereits bei der fehlgeleiteten Rechnungsinformation eine Meldung an BfDI und BNetzA für den Datenschutz und die Informationssicherheit zu erfolgen. Für die (Erst-) Meldung gilt dabei eine Frist von 24 Stunden. Erfolgt eine Meldung nicht, so droht ein Bußgeld von bis zu € 300.000.

Hotspot-Betreiber sollten daher sicherstellen, dass diese Verpflichtung innerhalb des Unternehmens bekannt ist. Die derzeitige Anzahl von Meldungen spricht dafür, dass entweder eine entsprechende Kenntnis über die Meldepflicht noch nicht besteht oder die Verpflichtung vielfach ignoriert wird. Zudem ist ein Prozess für die Meldung zu etablieren. Hierbei helfen zum Beispiel die Leitlinien der Bundesnetzagentur. Eine Meldepflicht kann sich auch aus der – weitgehend parallelen – Verordnung 611/2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten ergeben.

Security Breach Notification – Meldepflicht(en) bei Router-Hacking?

Rechtliche Ausgangssituation

Die Regelung des § 109a TKG sieht vor, dass im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur (BNetzA) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von der Verletzung zu benachrichtigen sind. Eine Verletzungshandlung liegt bei jedweder unrechtmäßigen Verwendung personenbezogener Daten (Bestands- und Verkehrsdaten) vor. Bei einer schwerwiegenden Verletzung sind zudem die Teilnehmer zu informieren. Weiter hat der Diensteanbieter nach § 93 Abs. 2 TKG in den Fällen, in denen ein besonderes Risiko der Verletzung der Netzsicherheit besteht, die Teilnehmer über dieses Risiko und über mögliche Abhilfen zu unterrichten.

31. Jour Fixe Telekommunikation zu § 93 TKG

Im Rahmen des 31. Jour Fixe Telekommunikation der Bundesbeauftragten für Datenschutz und Informationssicherheit am 27.03.2014 wurde am Rande erörtert, inwieweit aufgrund von Presseberichten über Sicherheitslücken bei Routern für Diensteanbieter eine Meldepflicht gegenüber den Teilnehmern nach § 93 TKG besteht. Es wurde darauf hingewiesen, dass Kunden ohne automatisches Update der Routersoftware über die Gefahr informiert werden sollen. Ob eine datenschutzrechtliche Pflicht zur Information besteht, wurde dabei ausdrücklich offen gelassen.

Dafür, ob eine solche Pflicht besteht, kommt es auf die bisher ungeklärte Frage an, wo der Netzabschlusspunkt zu verorten ist. Ausschlaggebend ist insoweit, ob der Router noch Bestandteil des Netzes ist. Bisher nicht diskutiert wurde dabei die Frage, ob eine Informationspflicht auch aus § 241 Abs. 2 BGB folgen kann. Diese Frage wird hingegen im Zusammenhang mit der Pflicht zur sog. Fraud-Detection, also der Erkennung eines missbräuchlichen Verkehrsaufkommens, regelmäßig diskutiert (vgl. Schuster/Sassenberg, CR 2011, S. 15 (16)).

Folgen für Anbieter von WLAN-Hotspots

Eine Informationspflicht nach § 93 TKG wird für den Hotspot-Betreiber im Fall von Sicherheitslücken regelmäßig nicht gegeben sein. Die Ausgangssituation ist allerdings nicht mit dem „klassischen TK-Anbieter“ vergleichbar, da der WLAN-Router stets integraler Bestandteil des Netzes ist. Insofern ist eine Pflicht zur Information (zunächst) generell zu bejahen. Das Risiko der Verletzung der Netzsicherheit muss nach dem Wortlaut des § 93 Abs. 2 TKG allerdings noch bestehen („…Risiko der Verletzung der Netzsicherheit besteht,…“) und darf damit nicht – z.B. durch Updates – beseitigt worden sein. Dies wird aber nur dann der Fall sein, wenn der Betreiber den Hotspots nicht durch Updates absichern kann.

Für den Hotspot-Betreiber ist insofern insbesondere die Meldepflicht nach § 109a TKG von wesentlicher Bedeutung, welche allerdings eine Verletzung des Schutzes personenbezogener Daten – also das erfolgreiche Hacking eines Routers und den Zugriff auf Bestands- oder Verkehrsdaten – voraussetzt.

Die geplante Single Telecom Market-Verordnung der EU und WLAN

Der Rechtsrahmen für den Aufbau und Betrieb von WLANs könnte sich durch einen Verordnungsentwurf der Europäische Kommission wesentlich ändern. Die EU-Kommission hat am 11.09.2013 den Entwurf einer Verordnung zum europäischen Binnenmarkt der elektronischen Kommunikation und zur Verwirklichung des vernetzten Kontinents (sog. Single Market-Verordnung) veröffentlicht. Dieser wurde am 3.4.2014 – mit teilweise erheblichen Änderungen – vom Europäischen Parlament angenommen. Ziel des Entwurfes ist es, durch die Förderungen von Informations- und Kommunikationstechnologien die Wettbewerbsfähigkeit Europas wiederherzustellen.

In den Erwägungsgründen ist im Zusammenhang mit WLANs festgehalten, dass alternative frequenzeffiziente drahtlose Breitbandanschlüsse gefördert werden sollen. Hier spricht die Kommission auch das sog. „data offloading“ an und geht damit wohl davon aus, dass die entsprechenden Verkehre zumindest kurzfristig noch nicht über die Mobilfunknetze abgewickelt werden können. Die Kommission sieht die Möglichkeit, die verfügbaren Kapazitäten zur drahtlosen Datenübertragung dadurch zu maximieren, dass Endnutzer ihre Internetzugänge auch Dritten zugänglich machen. Unnötige Beschränkungen, welche einem Teilen des Internetzugangs entgegenstehen, sollen hierfür abgebaut werden. Behörden und Anbieter öffentlicher Dienste, welche über eine WLAN-Infrastruktur verfügen, sollen Bürgern grds. als Nebenleistung die Möglichkeit des Internetzugangs anbieten. Drahtlose Zugangspunkte – gemeint sind wohl auch WLAN-Router – sollen auf der Grundlage einer Allgemeingenehmigung ohne individuelle Erlaubnis oder Baugenehmigung betrieben werden dürfen.

Diese Erwägungen finden sich insb. in Art. 14 und 15 des Single Market-VO-E wieder. So regelt Art. 14 Single Market-VO-E den Zugang zu lokalen Funknetzen. Danach darf die Bereitstellung des Internetzugangs lediglich an eine Allgemeinverfügung geknüpft werden. Sofern der Endnutzer einwilligt, muss es den Internetprovidern möglich sein, den Zugang des jeweiligen Endenutzers auch weiteren Dritten zur Verfügung zu stellen. Das Recht des Endnutzers, anderen Endnutzern gegenseitig oder generell einen Zugang zu gewähren, darf durch den Provider nicht einseitig beschränkt werden. Öffentliche Behörden müssen den Zugang zu lokalen Funknetzen unter bestimmten Voraussetzungen ermöglichen. Art. 15 Single Market-VO-E regelt die Einrichtung und den Betrieb von WLANs auf der Grundlage einer Allgemeinverordnung.