Rechtliche Ausgangssituation
Die Regelung des § 109a TKG sieht vor, dass im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur (BNetzA) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von der Verletzung zu benachrichtigen sind. Eine Verletzungshandlung liegt bei jedweder unrechtmäßigen Verwendung personenbezogener Daten (Bestands- und Verkehrsdaten) vor. Bei einer schwerwiegenden Verletzung sind zudem die Teilnehmer zu informieren. Weiter hat der Diensteanbieter nach § 93 Abs. 2 TKG in den Fällen, in denen ein besonderes Risiko der Verletzung der Netzsicherheit besteht, die Teilnehmer über dieses Risiko und über mögliche Abhilfen zu unterrichten.
31. Jour Fixe Telekommunikation zu § 93 TKG
Im Rahmen des 31. Jour Fixe Telekommunikation der Bundesbeauftragten für Datenschutz und Informationssicherheit am 27.03.2014 wurde am Rande erörtert, inwieweit aufgrund von Presseberichten über Sicherheitslücken bei Routern für Diensteanbieter eine Meldepflicht gegenüber den Teilnehmern nach § 93 TKG besteht. Es wurde darauf hingewiesen, dass Kunden ohne automatisches Update der Routersoftware über die Gefahr informiert werden sollen. Ob eine datenschutzrechtliche Pflicht zur Information besteht, wurde dabei ausdrücklich offen gelassen.
Dafür, ob eine solche Pflicht besteht, kommt es auf die bisher ungeklärte Frage an, wo der Netzabschlusspunkt zu verorten ist. Ausschlaggebend ist insoweit, ob der Router noch Bestandteil des Netzes ist. Bisher nicht diskutiert wurde dabei die Frage, ob eine Informationspflicht auch aus § 241 Abs. 2 BGB folgen kann. Diese Frage wird hingegen im Zusammenhang mit der Pflicht zur sog. Fraud-Detection, also der Erkennung eines missbräuchlichen Verkehrsaufkommens, regelmäßig diskutiert (vgl. Schuster/Sassenberg, CR 2011, S. 15 (16)).
Folgen für Anbieter von WLAN-Hotspots
Eine Informationspflicht nach § 93 TKG wird für den Hotspot-Betreiber im Fall von Sicherheitslücken regelmäßig nicht gegeben sein. Die Ausgangssituation ist allerdings nicht mit dem „klassischen TK-Anbieter“ vergleichbar, da der WLAN-Router stets integraler Bestandteil des Netzes ist. Insofern ist eine Pflicht zur Information (zunächst) generell zu bejahen. Das Risiko der Verletzung der Netzsicherheit muss nach dem Wortlaut des § 93 Abs. 2 TKG allerdings noch bestehen („…Risiko der Verletzung der Netzsicherheit besteht,…“) und darf damit nicht – z.B. durch Updates – beseitigt worden sein. Dies wird aber nur dann der Fall sein, wenn der Betreiber den Hotspots nicht durch Updates absichern kann.
Für den Hotspot-Betreiber ist insofern insbesondere die Meldepflicht nach § 109a TKG von wesentlicher Bedeutung, welche allerdings eine Verletzung des Schutzes personenbezogener Daten – also das erfolgreiche Hacking eines Routers und den Zugriff auf Bestands- oder Verkehrsdaten – voraussetzt.