Branchen
Technik
Recht & Datenschutz
Die Störerhaftung WLAN war jahrelang das größte Hindernis für Cafés, Hotels und Kommunen, ein offenes Gast-WLAN anzubieten. Mit der Reform des Telemediengesetzes (TMG) im Jahr 2017 und der Folgegesetzgebung wurde dieses Haftungsrisiko weitgehend abgeschafft. Dennoch bleiben zahlreiche Pflichten bestehen, die Betreiber kennen sollten, um Abmahnungen, Netzsperren und Datenschutzverstöße zu vermeiden. Dieser Leitfaden erklärt die aktuelle Rechtslage, beleuchtet typische Risiken und zeigt, wie ein professionelles Ticket-System die Compliance vereinfacht. Hinweis: Dieser Artikel ersetzt keine individuelle Rechtsberatung.
Die Störerhaftung ist ein im deutschen Zivilrecht entwickeltes Rechtsinstitut, das ursprünglich aus dem Bereich des Sachenrechts stammt. Es besagt, dass auch derjenige, der nicht selbst Täter einer Rechtsverletzung ist, aber willentlich und adäquat-kausal zur Verletzung beiträgt, auf Unterlassung in Anspruch genommen werden kann. Im WLAN-Kontext wurde dieses Prinzip von Gerichten lange Zeit so ausgelegt, dass jeder Anbieter eines offenen Funknetzes für Urheberrechtsverletzungen seiner Nutzer mitverantwortlich war.
Die Folge war eine regelrechte Abmahnwelle. Cafés, Bibliotheken und Tourismusbetriebe schreckten davor zurück, freies WLAN anzubieten, weil sie befrchteten, für illegale Downloads ihrer Gäste zur Kasse gebeten zu werden. Deutschland fiel im internationalen Vergleich der WLAN-Verfügbarkeit deutlich zurück. Erst die Rechtsprechung des Europäischen Gerichtshofs – insbesondere das Urteil in der Rechtssache McFadden (C-484/14) – setzte den Gesetzgeber unter Zugzwang.
Mit dem Dritten Gesetz zur Änderung des Telemediengesetzes (TMG) trat im Oktober 2017 eine grundlegende Reform in Kraft. Der neue § 8 Absatz 1 Satz 2 TMG stellt klar, dass Diensteanbieter, die Zugang zu einem Kommunikationsnetz vermitteln, nicht wegen einer rechtswidrigen Handlung eines Nutzers auf Schadensersatz, Beseitigung oder Unterlassung in Anspruch genommen werden können. Damit ist die klassische Störerhaftung WLAN faktisch abgeschafft.
Konkret bedeutet das: Wer als Betreiber eines öffentlichen Hotspots Internetzugang bereitstellt, haftet grundsätzlich nicht mehr für das, was Nutzer über diese Verbindung tun. Auch Anwaltskosten für Abmahnungen sind nicht mehr erstattungsfähig. Diese Privilegierung gilt unabhängig davon, ob das Netzwerk verschlüsselt ist oder offen betrieben wird. Eine vorherige Anmeldung der Nutzer ist rechtlich nicht zwingend erforderlich.
Auch im Jahr 2026 gilt die Privilegierung nach TMG unverändert weiter. Ergänzt wird sie durch den Digital Services Act (DSA) der Europäischen Union, der seit 2024 vollständig anwendbar ist. Der DSA schafft einheitliche Regeln für Vermittlungsdienste in der EU und bestätigt die Haftungsprivilegierung für reine Zugangsanbieter (sogenannte Mere Conduit). WLAN-Anbieter fallen genau in diese Kategorie.
Zusätzlich wurden die Anforderungen an Transparenz und Nutzerinformation geschärft. Wer ein gewerbliches Gast-WLAN betreibt, muss klar kommunizieren, wer der Anbieter ist, welche Daten verarbeitet werden und wie der Nutzer Beschwerden einreichen kann. Diese Pflichten lassen sich elegant über ein Captive Portal umsetzen, das vor dem Login die wichtigsten Informationen darstellt. Weitere Detailfragen behandelt unser Leitfaden zum WLAN-Ticket-System.
Auch wenn die Störerhaftung im klassischen Sinne weggefallen ist, bleibt ein Restrisiko: Rechteinhaber können vom Anbieter eines WLAN-Hotspots die Sperrung bestimmter Inhalte verlangen, wenn über das Netz wiederholt Urheberrechtsverletzungen begangen werden. Dieses Instrument der Netzsperre wurde gleichzeitig mit der TMG-Reform eingeführt und ist in § 7 Absatz 4 TMG geregelt.
In der Praxis funktioniert eine Netzsperre meist über DNS-Filter oder URL-Blacklists. Moderne Hotspot-Lösungen bieten dafür vordefinierte Filterlisten an, die bekannte Filesharing-Plattformen, illegale Streaming-Portale und Malware-Quellen blockieren. Wer von vornherein auf einen solchen Filter setzt, reduziert die Wahrscheinlichkeit, überhaupt mit einer Sperrverfügung konfrontiert zu werden. Detaillierte Informationen finden Sie auch im offiziellen Telemediengesetz.
Obwohl die Störerhaftung weggefallen ist, bestehen mehrere Pflichten fort. Erstens die Pflicht zur Einhaltung der Datenschutz-Grundverordnung. Wer Nutzungsdaten erhebt – und sei es nur die MAC-Adresse zur Sitzungsverwaltung – muss eine Rechtsgrundlage haben, transparent informieren und die Daten löschen, sobald sie nicht mehr benötigt werden. Mehr dazu in unserem Beitrag DSGVO im WLAN.
Zweitens müssen Betreiber Mindeststandards der IT-Sicherheit einhalten. Das Bundesamt für Sicherheit in der Informationstechnik gibt dazu praxisnahe Empfehlungen heraus, die als Maßstab dienen können. Drittens müssen die allgemeinen wettbewerbsrechtlichen Anforderungen erfüllt sein: ein vollständiges Impressum, klare AGB und ein transparenter Hinweis auf die Datenverarbeitung. Viertens gilt das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG), das die Verwendung von Cookies und ähnlichen Technologien regelt.
Technisch lassen sich die rechtlichen Anforderungen mit verschiedenen Bausteinen umsetzen. Ein dediziertes Gast-Netz, das vom internen Firmennetz vollständig getrennt ist, schützt vor unerwünschten Zugriffen auf interne Ressourcen. Ein Bandbreitenmanagement sorgt dafür, dass einzelne Nutzer das Netz nicht monopolisieren. DNS-basierte Inhaltsfilter blockieren Malware-Domains und illegale Inhalte, ohne den Datenverkehr im Klartext zu inspizieren.
Wichtig ist zudem die Trennung von Verwaltung und Nutzerverkehr. Administrative Zugänge zum Access Point oder Router sollten ausschließlich aus einem geschtzten Netz erreichbar sein. Firmware-Updates müssen zeitnah eingespielt werden, um bekannte Sicherheitslücken zu schließen. Das BSI veröffentlicht regelmäßig Mindestanforderungen, an denen sich Betreiber orientieren können.
Ein Captive Portal ist heute der Standard, um Gast-WLAN rechtssicher und nutzerfreundlich zu gestalten. Vor dem ersten Zugang zum Internet erscheint eine Startseite, auf der Nutzer den Nutzungsbedingungen zustimmen, einen Voucher-Code eingeben oder sich per E-Mail registrieren. Damit erhält der Betreiber eine dokumentierte Einwilligung und kann gleichzeitig Werbung, Sponsoren oder eigene Inhalte einblenden.
In Kombination mit einem WLAN-Voucher-System lassen sich zeitlich begrenzte Zugänge ausgeben, ohne dass personenbezogene Daten zwingend erfasst werden müssen. Das ist der eleganteste Weg, Datenschutz und Komfort zu vereinen. Vouchers können an der Rezeption ausgedruckt, per SMS verschickt oder direkt am Tisch übergeben werden. Praktische Hinweise zur Hardware liefert unser Beitrag über Voucher-Drucker und Bondrucker.
Ein hartnäckiger Mythos lautet, dass Betreiber eines Gast-WLANs Verbindungsdaten ihrer Nutzer speichern müssten. Das Gegenteil ist der Fall: Eine pauschale Vorratsdatenspeicherung ist seit den Urteilen des Bundesverfassungsgerichts und des Europäischen Gerichtshofs unzulässig. Wer ohne Rechtsgrundlage IP-Adressen, besuchte URLs oder MAC-Adressen dauerhaft speichert, verstößt gegen die DSGVO und das TTDSG.
Erlaubt und sogar empfehlenswert sind hingegen Sitzungsprotokolle, die nur kurzzeitig zur technischen Sicherstellung des Betriebs geführt werden – etwa zur Fehleranalyse oder zur Missbrauchsabwehr. Diese sollten nach wenigen Tagen automatisch gelöscht werden. Dokumentiert werden sollte hingegen die Konfiguration des Systems: Welche Filter sind aktiv? Welche AGB werden angezeigt? Wer ist verantwortlich? Diese Betriebsdokumentation hilft im Streitfall, die Sorgfalt des Anbieters nachzuweisen.
Die Anforderungen an ein rechtssicheres WLAN unterscheiden sich je nach Branche. In der Gastronomie steht der schnelle und unkomplizierte Zugang im Vordergrund – ein QR-Code am Tisch und ein einfaches Captive Portal reichen oft aus. Im Hotelbereich ist die Personalisierung wichtiger: Gäste erhalten beim Check-in einen Voucher mit ihrer Aufenthaltsdauer. Auf dem Campingplatz hingegen sind oft langlebige, wetterfeste Access Points und ein verteiltes System gefragt.
Im Veranstaltungssektor – etwa bei Tagungen und Konferenzen – spielen temporäre Hochlast-Szenarien eine Rolle. Hier kommt es auf eine sorgfältige Planung, ausreichend Bandbreite und ein robustes Captive Portal an, das hunderte gleichzeitige Anmeldungen verarbeiten kann. Für kommunale Betreiber gelten zusätzliche Anforderungen aus dem Vergaberecht und dem Beihilferecht der EU.
Sollte Sie dennoch eine Abmahnung erreichen, gilt: Ruhe bewahren und nicht vorschnell unterschreiben. Prüfen Sie zunächst, ob überhaupt ein Anspruch besteht. In den allermeisten Fällen wird der Absender lediglich eine Netzsperre oder eine Auskunft über Sicherungsmaßnahmen verlangen können – nicht aber Schadensersatz oder Anwaltskosten. Auch eine vorformulierte Unterlassungserklärung sollten Sie nicht ungeprüft unterzeichnen, da sie oft zu weitreichend formuliert ist.
Holen Sie im Zweifel rechtlichen Rat ein, am besten bei einem Fachanwalt für IT-Recht. Dokumentieren Sie alle eingegangenen Schreiben sorgfältig und reagieren Sie fristgerecht, aber besonnen. Eine schnelle, professionelle Reaktion ist meist günstiger als eine vorschnelle Unterschrift unter eine überzogene Forderung. Weitere Hintergründe zur aktuellen Rechtslage finden Sie auf den Seiten des Deutschen Bundestages.
Wer heute ein Gast-WLAN neu einrichtet, sollte folgende Punkte beherzigen: Erstens, ein professionelles Captive Portal mit klarem Datenschutzhinweis. Zweitens, ein dediziertes VLAN für Gäste, getrennt vom internen Netz. Drittens, ein DNS-Filter zur Blockade bekannter Risiko-Domains. Viertens, sparsame Datenerhebung und kurze Löschfristen. Fünftens, eine schriftliche Betriebsdokumentation, die im Streitfall die Sorgfalt belegt.
Wer auf ein bewährtes Hotspot-System für Unternehmen setzt, erhält diese Funktionen aus einer Hand. Statt selbst zu basteln, profitieren Betreiber von einer ausgereiften Lösung, die regelmäßig an neue rechtliche und technische Anforderungen angepasst wird. Das spart Zeit, reduziert Risiken und schafft Vertrauen bei den Gästen.
Die Störerhaftung in der deutschen Ausprägung hatte lange Zeit kaum eine Entsprechung in anderen europäischen Rechtsordnungen. Während in Frankreich, Italien oder Spanien Cafés und Tourismusbetriebe seit Jahren völlig selbstverständlich freies WLAN anbieten, war die Störerhaftung in Deutschland der Hauptgrund für die hierzulande oft kritisierte WLAN-Wüste. Erst die europäische Rechtsprechung – insbesondere das McFadden-Urteil – setzte den Rahmen, in dem die deutsche Störerhaftung schrittweise entschärft wurde. Bis heute zieht das EU-Recht klare Grenzen, an denen sich auch zukünftige Anpassungen der Störerhaftung orientieren müssen.
Für Betreiber mit grenzüberschreitenden Aktivitäten – etwa Hotelketten oder Outdoor-Touranbieter – bleibt die Materie dennoch komplex. Auch wenn die Störerhaftung im klassischen Sinn weggefallen ist, gelten in anderen Ländern unterschiedliche Verpflichtungen zur Identifikation der Nutzer. Italien hat beispielsweise lange Zeit eine Personalausweispflicht für WLAN-Zugang gefordert. Wer mit einer einheitlichen Hotspot-Plattform mehrere Länder versorgen will, sollte die jeweiligen Anforderungen kennen und das Captive Portal entsprechend mehrsprachig sowie regional konfigurierbar gestalten. Die deutsche Störerhaftung ist nur einer von vielen Bausteinen im europäischen Compliance-Puzzle.
Mit dem Digital Services Act hat die EU im Jahr 2024 erstmals einheitliche Regeln für Vermittlungsdienste etabliert. Damit verlieren nationale Sonderregeln wie die Störerhaftung in ihrer ursprünglichen Form noch weiter an Bedeutung. Stattdessen tritt ein harmonisiertes Pflichtenheft, das in allen Mitgliedsstaaten gleichermassen gilt. Für Hotspot-Betreiber bedeutet das Planungssicherheit über Grenzen hinweg und das Ende vieler Diskussionen, die in der Vergangenheit um die Störerhaftung geführt wurden.
Auch wenn die klassische Störerhaftung weitgehend abgeschafft wurde, gibt es einige Konstellationen, in denen Betreiber dennoch in Anspruch genommen werden können. Wer beispielsweise selbst Inhalte ins Netz stellt – etwa über ein Captive Portal mit eigenen Werbebannern – haftet für diese Inhalte ganz normal. Auch grob fahrlässige Konfigurationen, die offensichtlich illegale Aktivitäten begünstigen, können den Schutzschirm der entfallenen Störerhaftung sprengen. Das gilt etwa für ein Hotspot-System, bei dem bekannte Filesharing-Plattformen bewusst freigeschaltet werden.
Eine weitere Restfalle bildet die wettbewerbsrechtliche Verantwortung. Fehlt das Impressum oder ist die Datenschutzerklärung unvollständig, drohen Abmahnungen von Mitbewerbern oder Verbraucherschutzverbänden. Diese sind unabhängig von der Störerhaftung und betreffen jeden geschäftsmäßigen Anbieter. Wer hier sorgfältig arbeitet, hat keine Probleme – aber wer das Impressum vergisst, kann sich nicht auf den Wegfall der Störerhaftung berufen, um diese Forderungen abzuwehren.
Drittens bleibt die DSGVO-Verantwortung bestehen. Ein Daten-Leck oder eine unzulässige Verarbeitung wird nicht von der entfallenen Störerhaftung gedeckt. Aufsichtsbehörden können empfindliche Bußgelder verhängen, auch wenn die Störerhaftung für Urheberrechtsverletzungen Dritter nicht mehr greift. Für Betreiber bedeutet das: Die Haftung ist anders strukturiert als früher, aber sie ist nicht verschwunden. Wer professionell arbeitet, dokumentiert und auf den Stand der Technik setzt, hält sein Restrisiko klein.
Gerade in ländlichen Regionen und in kommunalen Projekten sind die Diskussionen rund um die Störerhaftung noch lebendig. Bürgerinitiativen, freie Funk-Vereine und Tourismusverbände wollten lange Zeit flächendeckendes Freifunk-WLAN aufbauen, scheuten aber das Haftungsrisiko. Mit der Reform der Störerhaftung änderte sich das schlagartig. Heute betreiben hunderte Kommunen offene Stadt-WLANs ohne Sorge, weil die Störerhaftung ihre frühere Schärfe verloren hat.
Auch Bibliotheken, Museen und Krankenhäuser bieten zunehmend Gast-WLAN an. Die frühere Störerhaftung war hier ein gravierendes Hindernis. Heute gehört der offene Zugang fast schon zur Grundausstattung öffentlicher Einrichtungen. Wichtig bleibt jedoch eine saubere Konfiguration: dediziertes Gast-VLAN, klare AGB und ein Captive Portal mit den notwendigen Datenschutzhinweisen. Wer diese Hausaufgaben macht, profitiert vom Wegfall der Störerhaftung in vollem Umfang.
Bemerkenswert ist auch die Wirkung der entfallenen Störerhaftung auf das Ehrenamt. Freifunk-Initiativen, die nach klassischem Recht permanent abgemahnt wurden, können heute deutlich unbeschwerter arbeiten. Das hat in vielen Städten zu wachsenden Mesh-Netzen geführt, die kostenfreies Internet für Bewohner und Besucher bieten. Die Reform der Störerhaftung hat also weit über gewerbliche Anbieter hinaus eine gesellschaftliche Dimension entfaltet, deren Auswirkungen bis heute zu spüren sind.
Dieser Artikel bietet eine allgemeine Übersicht zur Rechtslage und ersetzt keine individuelle Rechtsberatung. Verbindliche Aussagen zur konkreten Situation kann nur ein Fachanwalt treffen.
Über den Autor:
Mein Name ist Nico Schubert und komme aus Arnstadt, welches in der Nähe von Erfurt liegt.
Seit über zehn Jahren bin ich selbstständig im Bereich der Web Programmierung, Webhosting und Affiliate-Marketing.