Branchen
Technik
Recht & Datenschutz
Wer als Hotspot-Betreiber ein offenes WLAN bereitstellt – ob im Café, im Hotel, auf dem Campingplatz oder in der Innenstadt – übernimmt automatisch die Rolle eines Diensteanbieters im Sinne des Telemediengesetzes. Daraus ergeben sich gesetzliche Pflichten, die unabhängig von der Größe des Angebots gelten. Dieser Leitfaden bietet eine strukturierte Übersicht: vom Impressum über die DSGVO-Compliance bis zur Reaktion auf Sperranfragen. Er soll Klarheit schaffen und Praxistipps liefern, ist aber kein Ersatz für individuelle Rechtsberatung. Hinweis: Dieser Beitrag ist eine allgemeine Information und stellt keine Rechtsberatung dar.
Wer einen Hotspot betreibt, ist nach § 2 Nr. 1 TMG ein Diensteanbieter, der eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang dazu vermittelt. Diese Rolle bringt sowohl Privilegien als auch Pflichten mit sich. Das wichtigste Privileg ist die Haftungsprivilegierung nach § 8 TMG: Hotspot-Betreiber haften grundsätzlich nicht für Inhalte, die Nutzer über das Netz übertragen. Mehr dazu auf unserer Seite Störerhaftung im WLAN.
Die Pflichten umfassen Transparenz gegenüber den Nutzern, Datenschutz, IT-Sicherheit und die Bereitschaft, bei berechtigten Anfragen Sperren umzusetzen. Diese Anforderungen gelten unabhängig davon, ob der Hotspot kostenfrei oder kostenpflichtig betrieben wird. Auch der Vermieter einer Ferienwohnung mit WLAN, der Pfarrer mit Gemeinde-Hotspot oder der Bürgermeister mit Platz-WLAN ist Hotspot-Betreiber im rechtlichen Sinne.
§ 5 TMG verlangt von geschäftsmäßigen Diensteanbietern ein Impressum, das leicht erkennbar, unmittelbar erreichbar und ständig verfügbar ist. Für Hotspot-Betreiber bedeutet das: Das Impressum muss im Captive Portal angezeigt werden, am besten direkt über einen sichtbaren Link. Es muss Namen, Anschrift, Kontaktdaten und gegebenenfalls Handelsregisterinformationen enthalten.
Bei Personengesellschaften oder Kapitalgesellschaften sind zusätzlich Vertretungsberechtigte zu nennen. Für reglementierte Berufe (Ärzte, Anwälte, Steuerberater) gelten erweiterte Anforderungen. Ein fehlendes oder unvollständiges Impressum ist eine wettbewerbsrechtliche Stolperfalle und kann teure Abmahnungen auslösen. Das Captive Portal sollte deshalb von Anfang an einen Impressum-Link enthalten.
Allgemeine Geschäftsbedingungen (AGB) sind für Hotspot-Betreiber zwar nicht zwingend vorgeschrieben, aber dringend empfohlen. Sie schaffen Klarheit über die Bedingungen der Nutzung, beschränken die Haftung des Betreibers im rechtlich zulässigen Rahmen und erlauben es, bei Missbrauch sanktionierend einzugreifen. Typische Inhalte: erlaubte und verbotene Nutzung, Haftungsfragen, Datenschutz, Sperrmöglichkeit bei Verstößen.
AGB müssen vor dem Vertragsschluss in Textform zur Verfügung stehen und vom Nutzer wirksam einbezogen werden. Eine ausdrückliche Bestätigung über eine Checkbox im Captive Portal ist der sichere Weg. Standardklauseln aus dem Internet sollten kritisch geprüft werden – oft sind sie veraltet oder unwirksam. Im Zweifel lohnt sich die Investition in eine individuelle AGB-Prüfung durch einen Fachanwalt.
Jeder Hotspot-Betreiber ist Verantwortlicher im Sinne der DSGVO, sobald personenbezogene Daten verarbeitet werden – und das ist praktisch immer der Fall, weil MAC- und IP-Adressen als personenbezogen gelten. Die wichtigsten Pflichten: Rechtsgrundlage für die Verarbeitung, transparente Information der Betroffenen, Datensparsamkeit, Sicherheitsmaßnahmen, Verzeichnis von Verarbeitungstätigkeiten und Reaktionsbereitschaft bei Betroffenenanfragen.
Eine ausführliche Behandlung der DSGVO-Themen finden Sie auf unserer Seite DSGVO im WLAN. Wichtig: Bei Datenschutzverstößen drohen empfindliche Bußgelder, die bis zu 4 Prozent des weltweiten Jahresumsatzes betragen können. Auch wenn solche Maximalbeträge im Hotspot-Bereich unrealistisch sind, können vierstellige Bußgelder gerade kleine Betriebe empfindlich treffen. Informationen finden Sie bei der Bundesbeauftragten für den Datenschutz.
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) regelt seit 2021 die Verwendung von Cookies und ähnlichen Technologien. Für Captive Portals bedeutet das: Cookies, die nicht technisch erforderlich sind, brauchen die Einwilligung des Nutzers. Tracking- oder Analyse-Cookies dürfen ohne Opt-In nicht gesetzt werden. Auch das Auslesen von Gerätedaten wie MAC-Adressen unterliegt strengen Anforderungen.
Praktisch heißt das: Im Captive Portal sollte ein Cookie-Banner integriert sein, der eine differenzierte Auswahl ermöglicht. Voreingestellte Haken sind nicht zulässig. Für technisch erforderliche Cookies – etwa Session-Tokens zur Aufrechterhaltung der Anmeldung – reicht eine kurze Information ohne explizite Einwilligung. Wer es genau wissen will, findet hilfreiche Hinweise im Telemediengesetz sowie in den begleitenden Gesetzen.
Artikel 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der verarbeiteten Daten. Für Hotspot-Betreiber konkret heißt das: Trennung des Gast-Netzes vom internen Netz, Verschlüsselung des Admin-Zugriffs, regelmäßige Firmware-Updates, sichere Passwörter, Monitoring der Auslastung, Backup-Strategie und ein Notfall-Konzept bei Datenpannen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt praktische Empfehlungen heraus, an denen sich Betreiber orientieren können. Wer ein professionelles Hotspot-System einsetzt, profitiert von vielen vorkonfigurierten Sicherheitsfeatures. Wer selbst bastelt, sollte sich gut auskennen oder externen Rat einholen. Auch die Bandbreitensteuerung ist ein Sicherheitsaspekt, weil sie DoS-Szenarien entgegenwirkt.
Eine pauschale Vorratsdatenspeicherung ist nach mehrfachen Urteilen des Bundesverfassungsgerichts und des EuGH unzulässig. Für Hotspot-Betreiber bedeutet das: Sie dürfen Verbindungsdaten nicht vorsorglich über lange Zeiträume speichern. Erlaubt sind kurze technische Logs zur Missbrauchsabwehr, etwa für 7 Tage. Diese Frist muss konkret begründet und dokumentiert sein.
Empfehlenswert ist eine gestufte Löschroutine, die technisch erzwungen wird. Aktive Sessions werden in Echtzeit verarbeitet, Logs nach Ablauf der Frist automatisch gelöscht. Anmeldedaten von Voucher-Nutzern werden direkt nach Sitzungsende entfernt. So bleiben Sie compliant und reduzieren das Risiko bei Datenpannen erheblich. Mehr Hintergrund liefert unsere Seite zur DSGVO im WLAN.
Auch wenn die Störerhaftung weitgehend abgeschafft ist, können Rechteinhaber nach § 7 Abs. 4 TMG verlangen, dass bestimmte Inhalte oder Domains gesperrt werden. Solche Sperranfragen sollten Sie ernst nehmen, aber kritisch prüfen. Nicht jede Anfrage ist berechtigt – oft handelt es sich um Standardschreiben, die formal mangelhaft sind.
Prüfen Sie: Ist der Antragsteller tatsächlich Rechteinhaber? Liegt eine wiederholte Verletzung über Ihr Netz vor? Ist die geforderte Maßnahme verhältnismäßig? Wenn ja, setzen Sie die Sperre über DNS-Filter oder URL-Blacklists um. Wenn Zweifel bestehen, holen Sie rechtlichen Rat ein. Eine sorgfältige Dokumentation aller Anfragen und Ihrer Reaktionen ist wichtig – sie hilft im Streitfall.
Wer einen neuen Hotspot in Betrieb nimmt, sollte folgende Punkte abarbeiten: Erstens, ein Captive Portal mit Impressum, AGB und Datenschutzerklärung einrichten. Zweitens, ein dediziertes Gast-VLAN mit Client-Isolation konfigurieren. Drittens, DNS-Filter für bekannte Risiko-Domains aktivieren. Viertens, Bandbreitenmanagement nach Fair-Use einrichten.
Fünftens, Logging auf das gesetzlich zulässige Minimum reduzieren und automatische Löschroutinen aktivieren. Sechstens, ein Verzeichnis von Verarbeitungstätigkeiten anlegen. Siebtens, Mitarbeiter schulen und Verantwortlichkeiten dokumentieren. Achtens, regelmäßige Firmware-Updates planen. Eine bewährte Hotspot-Lösung nimmt Ihnen viele dieser Schritte ab.
Für unterschiedliche Branchen gelten teils zusätzliche Anforderungen. In der Gastronomie ist die schnelle Anmeldung wichtig – lange Formulare schrecken Gäste ab. Im Hotelbereich bietet die Voucher-Ausgabe beim Check-in einen guten Schutz. Auf dem Campingplatz kommen langlebige Voucher mit Volumenkontingenten zum Einsatz, das lässt sich gut in der Buchhaltung abbilden.
Für kommunale Anbieter gelten zusätzliche Vergabevorschriften, je nach Auftragsvolumen. Für Veranstalter im Tagungsbereich ist die Skalierbarkeit zentral – mehrere hundert Anmeldungen in wenigen Minuten müssen verkraftet werden. Für Industriebetriebe spielen Sicherheitsaspekte eine Hauptrolle – hier sollte das Gast-Netz physisch oder logisch von der Produktionssteuerung getrennt sein. Allgemeine Hinweise auch in unserem Public-WLAN-Leitfaden.
Auch wenn die klassische Störerhaftung weggefallen ist, bleiben einzelne Haftungsrisiken bestehen. Bei eigenen Inhalten oder eigenen Verstößen gegen Vorschriften haftet der Betreiber vollumfänglich. Bei fahrlässigem Umgang mit Daten, fehlenden Sicherheitsmaßnahmen oder Missachtung von Sperranfragen kann eine Haftung wieder aufleben. Auch wettbewerbsrechtliche Ansprüche – etwa wegen fehlerhaftem Impressum – sind weiterhin möglich.
Wer diese Punkte ernst nimmt und ein professionelles System einsetzt, minimiert das Restrisiko deutlich. Eine entsprechende Berufshaftpflicht oder Betriebshaftpflicht kann zusätzlich absichern. Im Zweifel ist eine kurze Konsultation mit einem Fachanwalt für IT-Recht gut investiertes Geld – gerade vor dem Start eines größeren Public WLANs.
Wer eine cloudbasierte Hotspot-Lösung einsetzt oder Teile der Verwaltung an externe Dienstleister auslagert, muss zwingend einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO abschließen. Dieser Vertrag regelt Zwecke, Datenarten, Pflichten, Dauer und Kontrollrechte. Ohne gültigen Vertrag besteht ein Datenschutzverstoß, auch wenn ansonsten alle technischen Maßnahmen passen. Achten Sie darauf, dass der Vertrag auf die konkrete Verarbeitung zugeschnitten ist und nicht nur ein allgemeines Muster verwendet.
Prüfen Sie zudem, wo Ihre Daten physisch gespeichert werden. Eine Lösung mit Hosting in Deutschland oder zumindest in der EU vermeidet komplexe Drittland-Fragen. Bei Anbietern aus den USA oder anderen Drittländern müssen Sie zusätzliche Schutzmaßnahmen prüfen, etwa Standardvertragsklauseln und technische Ergänzungen. Das Schrems-II-Urteil des EuGH hat hier strenge Anforderungen gesetzt. Eine eingehende Dokumentation Ihrer Entscheidung ist sinnvoll, falls eine Aufsichtsbehörde nachfragt. Mehr Hintergrund auch auf unserer Seite zur DSGVO im WLAN.
In grösseren Organisationen ist die Rolle des Hotspot-Betreibers selten von einer einzigen Person ausgefüllt. Die Verantwortlichkeit verteilt sich meist auf mehrere Schultern: Die Geschäftsleitung trägt als Hotspot-Betreiber die formale Verantwortung, die IT-Abteilung kümmert sich um die Technik, das Marketing prägt das Captive-Portal-Design und die Datenschutzbeauftragte stellt die DSGVO-Konformität sicher. Damit das im Alltag funktioniert, brauchen Hotspot-Betreiber klar definierte Zuständigkeiten und Eskalationswege. Eine schriftliche RACI-Matrix – wer ist Responsible, Accountable, Consulted, Informed – hilft, Missverständnisse zu vermeiden.
Für kleine Hotspot-Betreiber liegen die Rollen in einer Hand. Der Café-Inhaber ist gleichzeitig Geschäftsführer, IT-Beauftragter und Marketing-Verantwortlicher. Das hat den Vorteil kurzer Entscheidungswege, aber auch das Risiko, dass im Alltagsstress wichtige Aufgaben liegen bleiben. Eine schriftliche Checkliste mit monatlichen, vierteljhrlichen und jährlichen Prüfpunkten ist hier unverzichtbar. So sind kleine Hotspot-Betreiber zwar nicht weniger gefordert als grosse, aber strukturiert handhaben sie ihre Pflichten genauso souverän.
Externe Dienstleister können Hotspot-Betreiber entlasten, übernehmen aber niemals die Letztverantwortung. Wer einen IT-Dienstleister mit der Hotspot-Wartung beauftragt, bleibt formal Hotspot-Betreiber im Sinne des TMG und der DSGVO. Ein guter Auftragsverarbeitungsvertrag regelt die Aufgabenverteilung sauber. Wichtig: Auch wenn Aufgaben ausgelagert werden, müssen Hotspot-Betreiber regelmässig überprüfen, ob der Dienstleister tatsächlich vertragsgemäss arbeitet. Eine Kontrolle einmal jährlich sollte mindestens stattfinden.
Auch wenn die Störerhaftung im klassischen Sinn entfallen ist, sollten Hotspot-Betreiber das Thema Versicherung nicht vernachlässigen. Eine Betriebshaftpflicht deckt Schäden ab, die aus dem normalen Geschäftsbetrieb entstehen – einschliesslich solcher, die mit dem WLAN-Angebot zusammenhängen. Für Hotspot-Betreiber mit grösseren Anlagen oder öffentlichen Plätzen kann eine spezielle Cyber-Versicherung sinnvoll sein. Sie deckt Risiken wie Datenpannen, Erpressungsversuche oder Reputationsschäden ab, die im digitalen Bereich entstehen können.
Risikomanagement geht aber über Versicherungen hinaus. Hotspot-Betreiber sollten regelmässig eine Risikobewertung durchführen: Welche Bedrohungsszenarien sind denkbar? Wie wahrscheinlich sind sie? Welche Auswirkungen hätte ein Eintritt? Aus dieser Analyse ergeben sich gezielte Schutzmassnahmen. Beispielsweise kann ein Hotspot-Betreiber durch eine zusätzliche redundante Internet-Anbindung das Ausfallrisiko deutlich reduzieren – relevant vor allem dort, wo das WLAN geschäftskritisch ist.
Auch die organisatorische Vorbereitung auf Krisen gehört zum Risikomanagement. Was tun, wenn morgens das Captive Portal nicht erreichbar ist? Wer wird informiert, wer entscheidet? Hotspot-Betreiber sollten einen einfachen Notfallplan haben, der die wichtigsten Eskalationsstufen festlegt. So lassen sich Störungen schnell beheben, ohne dass Gäste unzufrieden weiterziehen oder rechtliche Risiken aufkommen. Ein durchdachtes Risikomanagement zeichnet professionelle Hotspot-Betreiber aus und schützt vor unangenehmen Überraschungen.
Hotspot-Betreiber stehen heute vor neuen Herausforderungen, die in den letzten Jahren entstanden sind. Erstens hat sich das Nutzerverhalten verändert: Smartphones generieren deutlich mehr Hintergrundverkehr als früher, Cloud-Sync und automatische Updates beanspruchen ständig Bandbreite. Hotspot-Betreiber müssen diese Lasten in ihrer Bandbreitenplanung berücksichtigen, um die Performance konstant zu halten. Wer hier zu knapp dimensioniert, riskiert unzufriedene Gäste – auch wenn formal alle Pflichten erfüllt sind.
Zweitens ist die regulatorische Dynamik hoch. Mit dem Digital Services Act, der NIS-2-Richtlinie und neuen Cybersecurity-Vorgaben kommen auf Hotspot-Betreiber ständig neue Anforderungen zu. Es lohnt sich, mindestens halbjährlich die aktuellen Rechtsentwicklungen zu prüfen oder einen Newsletter zu abonnieren, der die wichtigsten Änderungen zusammenfasst. So bleiben Hotspot-Betreiber auf dem Laufenden, ohne sich in Detailfragen zu verlieren.
Drittens verändern KI-Werkzeuge die Betriebslandschaft. Automatische Anomalie-Erkennung, KI-gestützte Bandbreitensteuerung und Chatbots für Gast-Anfragen sind heute auch für kleine Hotspot-Betreiber erschwinglich. Wer diese Werkzeuge geschickt einsetzt, reduziert manuelle Aufgaben und steigert die Servicequalität. Gleichzeitig müssen Hotspot-Betreiber bei jeder KI-Nutzung die datenschutzrechtlichen Aspekte mitbedenken – gerade wenn personenbezogene Daten verarbeitet werden. Eine prüfende Hand vor dem produktiven Einsatz ist Pflicht.
Dieser Beitrag bietet eine allgemeine Übersicht zu den Pflichten als Hotspot-Betreiber und ersetzt keine individuelle Rechtsberatung. Verbindliche Aussagen zur konkreten Situation kann nur ein Fachanwalt treffen.
Über den Autor:
Mein Name ist Nico Schubert und komme aus Arnstadt, welches in der Nähe von Erfurt liegt.
Seit über zehn Jahren bin ich selbstständig im Bereich der Web Programmierung, Webhosting und Affiliate-Marketing.