Kategorien
Neueste Beiträge
Datenschutz beim Gast-WLAN
Der Datenschutz beim Gast-WLAN ist sicherlich eines der am wenigsten besprochenen Themen bei verantwortlichen Stellen. Dies mag zum einen daran liegen, dass es gar nicht notwendig ist, weil es eben kein Gast-WLAN gibt. Zum anderen ist es tatsächlich auch einfach möglich, dass der Verantwortliche diese Verarbeitungstätigkeit „übersieht“. Weshalb gerade dies aber nicht geschehen sollte und inwiefern datenschutzrechtliche Relevanz hierbei besteht, erläutern wir in diesem Beitrag.
Gründe für ein Gast-WLAN
Es kann verschiedene Gründe dafür geben, dass ein Verantwortlicher sich dafür entscheidet, ein Gast-WLAN einzurichten. Zwei Gründe dafür können sowohl die IT-Sicherheit als auch der Datenschutz sein:
1) Bei der Implementierung technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO entscheidet ein Verantwortlicher, als eine Maßnahme ein Gast-WLAN zur Verfügung zu stellen, um die Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f) DSGVO des nicht-Gast-/Haupt-WLAN-Zuganges zu gewährleisten (beispielsweise durch das Verringern der Angriffsmöglichkeit des internen WLAN).
2) Möglicherweise verarbeitet eine verantwortliche Stelle personenbezogene Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO, die sie durch getrennte WLAN-Zugänge zusätzlich schützen möchte.
3) Indem ein Verantwortlicher es Besuchern der jeweiligen Stelle ermöglicht, ein Gast-WLAN zu nutzen, kann er auch die eigenen Daten vor etwaiger Schad-Software auf einem Gastgerät durch Trennung schützen und Gästen dennoch die Arbeit mit WLAN ermöglichen.
4) Weiterführend kann er dann vermeiden, dass Schad-Software sich auf den Firmensystemen verbreitet und einen Schaden verursacht.
Das Gast-WLAN als Schwachstelle
Ein Gast-WLAN ist in vielen Fällen weniger vor etwaigen Angriffsmöglichkeiten geschützt als der Haupt-WLAN-Zugang. Beim Haupt-WLAN-Zugang wird es nicht jeder Person möglich sein, sich einzuloggen. Möglicherweise muss der Verantwortliche es sogar aktiv für Neuzugriffe öffnen. Diese Sicherheitsmaßnahme gibt es bei einem Gast-WLAN wahrscheinlich nicht. Da ist die Wahrscheinlichkeit hoch, dass sich jede Person in Reichweite des WLAN einloggen kann. Falls es ein solches gibt, liegt dies Passwort wahrscheinlich öffentlich in den Räumen des Verantwortlichen aus bzw. ist für Gäste leicht zugänglich. Die Anzahl der Nutzer des Gast-WLAN ist dann wohl weitaus höher. Damit steigt auch die Angreifbarkeit des Gast-WLAN.
Möglichkeiten für ein sicheres Gast-WLAN
Es gibt verschiedene Maßnahmen, deren Implementation wir empfehlen. Bei der Planung geeigneter technischer und organisatorischer Maßnahmen hilft auf jeden Fall das IT-Grundschutz-Kompendium, speziell die IT-Grundschutz-Bausteine NET.2.1 WLAN-Betrieb und auch NET.2.2 WLAN-Nutzung. Daraus ergeben sich u. a. folgende Empfehlungen:
Richtlinie zur Gast-WLAN-Nutzung
Als möglicherweise eine der ersten Maßnahmen beim Betrieb eines Gast-WLAN sollte es bei einer verantwortlichen Stelle eine Richtlinie geben, wonach die Beschäftigten das Gast-WLAN zur Verrichtung ihrer täglichen Arbeit nicht nutzen bzw. die Nutzung dessen auf Ausnahmen oder auf nicht für die Arbeit zentrale Geräte beschränken sollten. Der Grund hierfür liegt – wie schon erwähnt – darin, dass ein Gast-WLAN mit hoher Wahrscheinlichkeit weniger gut vor Angriffen geschützt sein wird als ein Haupt-WLAN.
Passwortschutz
Auch wenn es sich um ein für jeden Gast verfügbares WLAN handelt, sollte es dennoch ein Passwort geben. So kann ein Verantwortlicher vermeiden, dass sich jegliche Person, die in Reichweite des WLAN ist, einwählen kann. In den Räumen des Verantwortlichen kann das Passwort dann beispielsweise in Besprechungsräumen für Geschäftspartner ausgelegt werden. – Mehr zu Erstellung von Passwörtern erfahren Sie in diesem Beitrag. –
Regelmäßige Überprüfungen
Auch wenn es „nur“ das Gast-WLAN ist, sollte ein Verantwortlicher regelmäßig prüfen, ob es eventuelle Sicherheitslücken gibt, die er schließen muss. Des Weiteren ist es empfehlenswert, das WLAN auf sonstige Schwächen, wie beispielsweise eine sinkende Leistungsfähigkeit oder eine abfallende Abdeckung, zu testen.
Verarbeitung personenbezogener Daten
Nutzt eine Person ein WLAN, verarbeitet der Verantwortliche ihre personenbezogenen Daten, so auch beim Gast-WLAN. Teils wird die Verarbeitung der personenbezogenen Daten dabei aus technischen Gründen notwendig sein. Ohne IP-Adresse beispielsweise kann der Laptop, das Smartphone o. Ä. nicht mit dem Netzwerk kommunizieren. Das bedeutet, das WLAN wäre nicht nutzbar. In Verbindung mit Daten wie beispielsweise die MAC-Adresse wird die IP-Adresse zu einem personenbezogenen Datum.
Bereitstellung von Datenschutzinformationen
Folglich kommen wir zum Thema der Datenschutzinformation. Ein Verantwortlicher muss also prüfen, welche personenbezogenen Daten des Nutzers er verarbeitet, wenn dieser vom Gast-WLAN Gebrauch macht. Dabei ist zu unterscheiden, welche Datenverarbeitung technisch nicht zu vermeiden ist. Diese Daten und solche, die ein Verantwortlicher zu welchem Zweck und aufgrund welcher Rechtsgrundlage für welche Dauer verarbeitet, müssen für die betroffene Person nachvollziehbar in der Datenschutzinformation erläutert werden (Art. 13 DSGVO). In dem Moment, in dem ein Gast dann entscheidet, dass er das Gast-WLAN nutzen möchte, sollte er auch die Möglichkeit haben, sich die Datenschutzinformation durchzulesen.
Weitere relevante Dokumente
Nicht fehlen dürfen auch die durch Art. 30 DSGVO vorgegebenen Informationen im Verzeichnis von Verarbeitungstätigkeiten. Jegliche technische und organisatorische Maßnahme muss ein Verantwortlicher dokumentieren (siehe auch Art. 5 Abs. 2 DSGVO, mehr dazu auch in unserem Beitrag „Nachweispflicht eines Verantwortlichen“). Dazu gehört u. a. auch die Dokumentation der Gründe, weshalb er sich für eine möglicherweise schwächere Maßnahme entschieden hat. Falls ein externer Dienstleister zum Einsatz kommt, ist zu prüfen, inwiefern eventuell eine Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO vorliegt und ein Auftragsverarbeitungsvertrag abzuschließen ist. Des Weiteren ist es notwendig, im jeweiligen Berechtigungskonzept festzuhalten, wer Zugriff auf die Daten, die im Zuge der Gast-WLAN-Nutzung anfallen, benötigt und erhält. Im Löschkonzept muss ein Verantwortlicher vermerken, für wie lange er die Daten speichert, wie er bestimmt, wann die Daten gelöscht werden und wie die Löschung und Vernichtung umgesetzt wird. Dabei ist es auch hilfreich, zu wissen, wo die jeweils relevanten Daten gespeichert werden.
Fazit
Das Angebot eines Gast-WLAN an sich kann auch eine Maßnahme zum Datenschutz und der -sicherheit sein. Zusätzlich ist aber auch die DSGVO aufgrund der dabei verarbeiteten personenbezogenen Daten zu beachten. Bei der Umsetzung des Datenschutzes können wir Sie gern unterstützen und beraten. Kontaktieren Sie uns gern noch heute für ein kostenfreies Erstgespräch.