DSGVO & WiFi-Datenerfassung: Compliance-Checkliste 2026

Kernaussagen: Die DSGVO gilt für jede WiFi-Gästedatenerfassung von Personen in der EU, einschließlich MAC-Adressen in Kombination mit Zeitstempeln und Standortdaten. Der WiFi-Zugang darf nicht an die Marketing-Einwilligung gekoppelt sein — Gäste müssen einen Verbindungsweg ohne Marketing-Opt-in haben. Vorausgewählte Einwilligungskästchen sind ausdrücklich verboten. Die Datenspeicherung muss definiert und mit automatischer Löschung durchgesetzt werden. Der DSGVO-Modus von MyWiFi Networks konfiguriert automatisch konforme Einwilligungsflüsse. Diese Checkliste deckt jede Compliance-Anforderung für Reseller ab, die WiFi-Marketing auf EU-Märkten einsetzen.

DSGVO-Compliance bei der WiFi-Datenerfassung ist nicht optional — es ist eine gesetzliche Pflicht mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Laut dem Durchsetzungsbericht 2025 des Europäischen Datenschutzausschusses überschritten die kumulierten DSGVO-Bußgelder 4,2 Milliarden Euro, wobei die Technologie- und Telekommunikationssektoren 31 % der Durchsetzungsmaßnahmen ausmachten.

Für WiFi-Marketing-Reseller betrifft die DSGVO jeden Aspekt des Einsatzes: welche Daten Sie erfassen, wie Sie sie erfassen, wie Sie sie speichern, wie lange Sie sie aufbewahren und was Sie damit tun. Dieser Leitfaden bietet eine praktische, umsetzbare Compliance-Checkliste.

---

Welche personenbezogenen Daten erfasst die WiFi-Sammlung?

Im Sinne der DSGVO sind „personenbezogene Daten" alle Informationen, die eine natürliche Person direkt oder indirekt identifizieren können. Die WiFi-Datenerfassung erfasst typischerweise:

Direkt identifizierende Daten:

• •E-Mail-Adresse (aus der Portal-Authentifizierung)
• •Telefonnummer (aus SMS-/WhatsApp-Authentifizierung)
• •Name (aus Portal-Formular oder Social Login)
• •Social-Media-Profil (aus Social-Login-OAuth)

Indirekt identifizierende Daten:

• •MAC-Adresse — die Hardware-Kennung des Geräts. Im Sinne der DSGVO ist eine MAC-Adresse ein personenbezogenes Datum, wenn sie mit anderen Daten (Zeitstempel, Standort) kombiniert wird, die eine Person identifizieren können. Das Urteil 2025 des Gerichtshofs der Europäischen Union in der Rechtssache C-604/22 bestätigte diese Auslegung.
• •Gerätetyp und Betriebssystem (aus User-Agent-Strings)
• •Besuchszeitstempel (Sitzungsbeginn und -ende)
• •Standort innerhalb des Gebäudes (aus AP-Assoziationsdaten)
• •Sitzungsdauer und Bandbreitennutzung

Aggregierte Daten (im Allgemeinen nicht personenbezogen):

• •Gesamtbesucheranzahl (anonymisiert)
• •Durchschnittliche Verweildauer (nicht mit Einzelpersonen verknüpft)
• •Zonen-Verkehrsdichte (keine Einzelpersonenidentifikation)

---

Die sechs Rechtsgrundlagen: Welche gelten für WiFi?

Die DSGVO erfordert eine Rechtsgrundlage für jede Verarbeitungstätigkeit. Für die WiFi-Datenerfassung sind drei Grundlagen relevant:

Einwilligung (Artikel 6(1)(a)) — Für Marketing

Sämtliches Direktmarketing (E-Mail-Kampagnen, SMS, WhatsApp-Nachrichten, Werbe-Retargeting) erfordert eine ausdrückliche Einwilligung. Dies ist die einzige Rechtsgrundlage für Marketingkommunikation an Personen in der EU. Es gibt keine Alternative.

DSGVO-Einwilligung muss:

• •Freiwillig erteilt werden — WiFi-Zugang darf nicht an Marketing-Einwilligung gekoppelt sein
• •Spezifisch sein — „Wir werden Ihnen Werbeangebote von [Standortname] per E-Mail senden" (nicht ein vages „wir kontaktieren Sie möglicherweise")
• •Informiert sein — der Gast muss wissen, wer Daten erhebt, welche Daten und warum, bevor er einwilligt
• •Unmissverständlich sein — eine bejahende Handlung (Anklicken eines nicht vorausgewählten Kästchens, Tippen auf „Ich stimme zu"). Vorausgewählte Kästchen sind verboten.

Berechtigtes Interesse (Artikel 6(1)(f)) — Für Analytik

Anonymisierte Analytik (aggregierte Besucherzählungen, durchschnittliche Verweildauer, Zonen-Heatmaps) kann auf Grundlage des berechtigten Interesses verarbeitet werden. Der Standort hat ein berechtigtes geschäftliches Interesse daran, Besuchermuster zu verstehen. Wenn die Analytik tatsächlich anonymisiert ist (keine Person kann re-identifiziert werden), gilt das berechtigte Interesse.

Jedoch: Wenn die Analytik personenbezogene Daten enthält (Verweildauer eines bestimmten Gastes, Zonenbewegungen eines bestimmten Gastes), handelt es sich um eine Verarbeitung personenbezogener Daten, die eine Einwilligung oder eine spezifische Bewertung des berechtigten Interesses mit Abwägungstest erfordert.

Vertragserfüllung (Artikel 6(1)(b)) — Für WiFi-Zugang

Die Bereitstellung des WiFi-Zugangs selbst (Authentifizierung des Geräts, Gewährung der Internetverbindung) kann durch Vertragserfüllung gerechtfertigt werden — der Gast fordert WiFi-Zugang an, und die für die Erfüllung dieser Anforderung notwendige Datenverarbeitung (Authentifizierung, Sitzungsverwaltung) ist ohne separate Einwilligung rechtmäßig.

Entscheidende Unterscheidung: Die für den WiFi-Zugang notwendige Datenverarbeitung (Authentifizierung) erfordert keine Einwilligung. Die Datenverarbeitung zu Marketingzwecken (Versand von Werbebotschaften) erfordert eine separate, ausdrückliche Einwilligung.

---

Die Compliance-Checkliste

Portal-Konfiguration

• •

  Getrennte Einwilligung für WiFi und Marketing. Das Captive Portal muss WiFi-Zugang ohne Marketing-Einwilligung anbieten. Implementieren Sie zwei separate Interaktionen: (1) Authentifizierung für WiFi-Zugang, (2) optionales Marketing-Opt-in.

• •

  Nicht vorausgewähltes Marketing-Einwilligungskästchen. Das Marketing-Einwilligungskästchen muss standardmäßig nicht ausgewählt sein. Der Gast muss es aktiv ankreuzen. Vorausgewählte oder implizite Einwilligung ist ein DSGVO-Verstoß.

• •

  Spezifischer Einwilligungstext. Der Text des Einwilligungskästchens muss spezifizieren, worin der Gast einwilligt: „Ich bin damit einverstanden, Werbe-E-Mails von [Standortname] über [Kategorie der Aktionen] zu erhalten." Generischer Text wie „Ich bin mit dem Erhalt von Mitteilungen einverstanden" ist nicht ausreichend spezifisch.

• •

  Granulare Einwilligung nach Kanal. Wenn Marketing über mehrere Kanäle versendet wird (E-Mail, SMS, WhatsApp), bieten Sie separate Einwilligungskästchen für jeden Kanal an. Ein einzelnes Kästchen für alle Kanäle erfüllt nicht die Anforderung der „Spezifität".

• •

  Sichtbarer Datenschutzhinweis-Link. Das Portal muss einen Link zum vollständigen Datenschutzhinweis enthalten. Der Link muss auf Mobilgeräten ohne Scrollen sichtbar sein. Der Datenschutzhinweis muss zugänglich sein, bevor der Gast Daten übermittelt.

• •

  Kein Bündeln von Einwilligungen. WiFi-Zugangseinwilligung und Marketing-Einwilligung dürfen nicht in einem einzigen „Ich stimme zu"-Button gebündelt werden. Sie müssen separate Handlungen sein.

Anforderungen an den Datenschutzhinweis

• •

  Identität des Verantwortlichen. Der Datenschutzhinweis muss angeben, wer die Daten kontrolliert — typischerweise der Standortbetreiber (Verantwortlicher) und der WiFi-Plattformanbieter (Auftragsverarbeiter).

• •

  Zweck der Verarbeitung. Geben Sie jeden Zweck klar an: WiFi-Zugangsbereitstellung, Marketingkommunikation, Analytik, Werbe-Targeting.

• •

  Kategorien erhobener Daten. Listen Sie die spezifischen Datentypen auf: E-Mail, Telefonnummer, MAC-Adresse, Besuchszeitstempel, Geräteinformationen.

• •

  Rechtsgrundlage für jeden Zweck. Ordnen Sie jeden Verarbeitungszweck einer Rechtsgrundlage zu: Vertragserfüllung für WiFi-Zugang, Einwilligung für Marketing, berechtigtes Interesse für anonymisierte Analytik.

• •

  Speicherfristen. Geben Sie an, wie lange jeder Datentyp gespeichert wird: „Ihre E-Mail-Adresse wird für [X] Monate nach Ihrem letzten Besuch gespeichert. Sitzungsdaten werden für [Y] Monate gespeichert."

• •

  Rechte der betroffenen Personen. Informieren Sie die Gäste über ihre Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Recht auf Widerruf der Einwilligung.

• •

  Kontaktdaten. Geben Sie Kontaktdaten für die Ausübung der Rechte an: E-Mail-Adresse, Postadresse und (falls erforderlich) Kontaktdaten des Datenschutzbeauftragten.

• •

  Grenzüberschreitende Transfers. Wenn Daten außerhalb der EU übertragen werden (z. B. an eine US-basierte Plattform), geben Sie dies an und nennen Sie den Transfermechanismus (Standardvertragsklauseln, Angemessenheitsbeschluss, verbindliche Unternehmensregeln).

Auftragsverarbeitungsvertrag (AVV)

• •

  AVV zwischen Standort und Reseller. Wenn der Reseller Gästedaten im Auftrag des Standorts (Verantwortlicher) verarbeitet, ist ein Auftragsverarbeitungsvertrag nach DSGVO Artikel 28 erforderlich.

• •

  AVV zwischen Reseller und Plattform. MyWiFi Networks stellt einen Standard-AVV bereit, der seine Rolle als Auftragsverarbeiter abdeckt. Stellen Sie sicher, dass dieser AVV unterzeichnet und archiviert ist.

• •

  Unterauftragsverarbeiter-Offenlegung. Der Plattform-AVV muss Unterauftragsverarbeiter offenlegen (AWS für Hosting, Twilio für SMS usw.) sowie deren Datenverarbeitungstätigkeiten.

• •

  AVV-Ketten-Integrität. Verifizieren Sie, dass AVVs zwischen jeder Entität in der Verarbeitungskette bestehen: Standort → Reseller → Plattform → Unterauftragsverarbeiter.

Datenspeicherung

• •

  Definierte Speicherfristen. Legen Sie spezifische Speicherfristen für jeden Datentyp fest. Typische DSGVO-konforme Fristen:

  • •Gästeprofile (E-Mail, Name, Telefon): 24 Monate nach letztem Besuch
  • •Sitzungsdaten (Zeitstempel, Dauer, Bandbreite): 12 Monate
  • •Marketing-Einwilligungsnachweise: Aufbewahrung solange die Einwilligung aktiv ist + 3 Jahre nach Widerruf (für Prüfungszwecke)
  • •Aggregierte Analytik: unbefristet (keine personenbezogenen Daten)
• •

  Automatisierte Löschung. Konfigurieren Sie automatische Datenlöschung am Ende der Speicherfrist. Manuelle Löschprozesse sind im großen Maßstab unzureichend. MyWiFi unterstützt konfigurierbare Speicherfristen mit automatischer Bereinigung pro Standort.

Rechte der betroffenen Personen

• •

  Auskunftsrecht (Artikel 15). Der Standort muss in der Lage sein, einem Gast alle über ihn gespeicherten personenbezogenen Daten innerhalb von 30 Tagen nach Anfrage bereitzustellen.

• •

  Recht auf Löschung (Artikel 17). Wenn ein Gast die Datenlöschung verlangt („Recht auf Vergessenwerden"), müssen alle personenbezogenen Daten in allen Systemen gelöscht werden — Portal-Datenbank, CRM, E-Mail-Listen, Analytik, Backups.

• •

  Recht auf Datenübertragbarkeit (Artikel 20). Gäste können ihre Daten in einem strukturierten, maschinenlesbaren Format (typischerweise CSV oder JSON) anfordern.

• •

  Widerruf der Einwilligung. Gäste müssen die Marketing-Einwilligung ebenso einfach widerrufen können, wie sie sie erteilt haben. Jede Marketingnachricht muss einen Ein-Klick-Abmeldelink enthalten. Die Abmeldung muss sofort wirksam werden.

Technische Maßnahmen (Artikel 32)

• •

  Verschlüsselung bei der Übertragung. Jede Datenübertragung zwischen dem Captive Portal und der Plattform muss verschlüsselt sein (HTTPS/TLS). MyWiFi-Portale verwenden HTTPS mit automatisch bereitgestellten SSL-Zertifikaten.

• •

  Verschlüsselung im Ruhezustand. In der Plattform-Datenbank gespeicherte Gästedaten müssen im Ruhezustand verschlüsselt sein. MyWiFi verwendet AES-256-Verschlüsselung für gespeicherte Daten auf AWS.

• •

  Zugriffskontrollen. Beschränken Sie den Zugriff auf Gästedaten auf autorisierte Nutzer. Verwenden Sie rollenbasierte Zugriffskontrollen (RBAC), um den Datenzugriff nach Rolle einzuschränken: Reseller-Admin, Standortmanager, Marketingmitarbeiter.

• •

  Netzwerksegmentierung. Gäste-WiFi muss vom Geschäftsnetzwerk des Standorts segmentiert sein, um unbefugten Datenzugriff zu verhindern.

• •

  Benachrichtigungsprozess bei Datenpannen. Dokumentieren Sie einen Prozess zur Erkennung, Bewertung und Meldung von Datenpannen. Die DSGVO erfordert die Benachrichtigung der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer meldepflichtigen Datenpanne.

---

WhatsApp-Login und DSGVO

WhatsApp-WiFi-Login hat einen strukturellen DSGVO-Vorteil: Der Gast initiiert die WhatsApp-Nachricht, was eine unmissverständliche bejahende Handlung darstellt, die die Einwilligungsanforderungen nach Artikel 6(1)(a) erfüllt.

Zusätzlich:

• •Die Ende-zu-Ende-Verschlüsselung von WhatsApp bietet Datenschutz bei der Übertragung
• •Das WhatsApp-Konto des Gastes ist verifiziert (aktiv, im Besitz der Person)
• •Das 24-Stunden-Nachrichtenfenster begrenzt unaufgeforderte Kontaktaufnahme
• •Template-Nachrichten (außerhalb des 24-Stunden-Fensters gesendet) erfordern eine Vorabgenehmigung durch Meta

WhatsApp-Login ist die von Haus aus am stärksten DSGVO-ausgerichtete Authentifizierungsmethode, da der Einwilligungsmechanismus in den Authentifizierungsablauf eingebaut ist — der Gast kann sich nicht authentifizieren, ohne eine bejahende Handlung auszuführen (die Nachricht zu senden).

---

Häufige DSGVO-Fehler bei WiFi-Einsätzen

Fehler 1: WiFi-Zugang an Marketing-Einwilligung gekoppelt

Problem: Das Portal gewährt WiFi-Zugang nur, wenn der Gast dem Marketing zustimmt. Es gibt keine „Überspringen"-Option und keinen reinen WiFi-Pfad.

DSGVO-Verstoß: Artikel 7(4) — Einwilligung ist nicht freiwillig, wenn sie an eine Dienstleistung geknüpft ist.

Lösung: Stellen Sie einen reinen WiFi-Authentifizierungspfad bereit (Zugangscode oder Marketing-Kästchen, das nicht angekreuzt bleiben kann, während trotzdem Zugang gewährt wird).

Fehler 2: Vorausgewählte Einwilligungskästchen

Problem: Das Marketing-Einwilligungskästchen ist standardmäßig angekreuzt. Der Gast muss es abwählen, um sich abzumelden.

DSGVO-Verstoß: Erwägungsgrund 32 — „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit stellen keine Einwilligung dar."

Lösung: Setzen Sie das Kästchen standardmäßig auf nicht ausgewählt. Der DSGVO-Modus von MyWiFi erzwingt dies automatisch.

Fehler 3: Keine Datenspeicherungslimits

Problem: Gästedaten werden ohne automatische Löschung unbefristet gespeichert.

DSGVO-Verstoß: Artikel 5(1)(e) — Grundsatz der Speicherbegrenzung.

Lösung: Definieren Sie Speicherfristen und implementieren Sie automatische Löschung. Überprüfen und dokumentieren Sie die Speicherrichtlinie jährlich.

Fehler 4: Fehlender Auftragsverarbeitungsvertrag

Problem: Kein AVV existiert zwischen dem Standortbetreiber (Verantwortlicher) und der WiFi-Plattform (Auftragsverarbeiter).

DSGVO-Verstoß: Artikel 28 — die Verarbeitung durch einen Auftragsverarbeiter muss vertraglich geregelt sein.

Lösung: Schließen Sie den Standard-AVV der Plattform ab. MyWiFi stellt diesen auf Anfrage für alle Pläne bereit.

Fehler 5: Kein Prozess für Betroffenenrechte-Anfragen

Problem: Wenn ein Gast per E-Mail seine Daten oder deren Löschung anfordert, weiß niemand, was zu tun ist.

DSGVO-Verstoß: Artikel 12-22 — Rechte der betroffenen Personen.

Lösung: Dokumentieren Sie einen Antwortprozess, weisen Sie Verantwortlichkeiten zu und testen Sie ihn. Üben Sie jährlich mit einer Testanfrage.

---

MyWiFi DSGVO-Modus

MyWiFi Networks enthält einen DSGVO-Modus-Schalter, der automatisch konforme Einstellungen konfiguriert:

• •Einwilligungskästchen standardmäßig nicht ausgewählt
• •Getrennte WiFi- und Marketing-Einwilligungsflüsse
• •Einwilligungsnachweise gespeichert mit Zeitstempel, IP-Adresse und Textversion
• •Automatisierte Durchsetzung der Datenspeicherung
• •Funktion zur Löschung von Gästedaten
• •Pflicht-Datenschutzhinweis-Link auf dem Portal
• •Einwilligungswiderruf per Abmeldung in jeder Nachricht
• •AVV zur Unterzeichnung verfügbar

Der DSGVO-Modus ersetzt keine rechtliche Prüfung — er bietet die technische Umsetzung gängiger DSGVO-Anforderungen. Reseller sollten lokale Rechtsberatung für rechtsgebietsspezifische Hinweise konsultieren.

---

Die ePrivacy-Verordnung: Was kommt

Die EU-ePrivacy-Verordnung (ePR) befindet sich seit 2017 in Entwicklung und soll voraussichtlich 2026-2027 finalisiert werden. Sie wird die aktuelle ePrivacy-Richtlinie (2002/58/EG) ersetzen und speziell adressieren:

• •WiFi-Tracking: Der ePR-Entwurf befasst sich ausdrücklich mit WiFi- und Bluetooth-Tracking und erfordert möglicherweise eine Einwilligung für die Verarbeitung von Probe Requests (auch anonymisiert)
• •Cookie-ähnliche Speicherung: Regelungen zur geräteseitigen Speicherung, die Captive-Portal-Cookies und „Willkommen zurück"-Funktionen betreffen könnten
• •Metadatenverarbeitung: Strengere Regeln für die Verarbeitung von Kommunikationsmetadaten, die RADIUS-Abrechnungsdaten betreffen könnten

Reseller sollten den ePR-Zeitplan beobachten und sich auf mögliche Änderungen der WiFi-Analytik-Praktiken vorbereiten, insbesondere rund um Präsenzanalytik, die auf der Erkennung von Probe Requests basiert.

---

FAQ

Gilt die DSGVO für meinen WiFi-Einsatz, wenn der Standort außerhalb der EU liegt? Die DSGVO gilt, wenn Sie personenbezogene Daten von Personen in der EU verarbeiten, unabhängig davon, wo sich der Standort befindet. Ein Hotel in den USA, das europäische Gäste bedient, muss die DSGVO für die Daten dieser Gäste einhalten.

Ist eine MAC-Adresse ein personenbezogenes Datum im Sinne der DSGVO? Eine MAC-Adresse allein ist nicht immer ein personenbezogenes Datum. Eine MAC-Adresse in Kombination mit Zeitstempeln, Standort oder anderen Daten, die eine Person identifizieren können, ist ein personenbezogenes Datum im Sinne der DSGVO. Für WiFi-Marketing-Zwecke behandeln Sie MAC-Adressen als personenbezogene Daten — die Kombination mit Sitzungsdaten macht sie fast immer identifizierbar.

Kann ich berechtigtes Interesse für E-Mail-Marketing verwenden? Nein. Direktmarketing an Personen in der EU erfordert eine Einwilligung nach DSGVO Artikel 6(1)(a). Berechtigtes Interesse ist keine gültige Grundlage für Direktmarketing-E-Mails. Berechtigtes Interesse kann für anonymisierte Analytik und B2B-Marketing in einigen Rechtsgebieten gelten, nicht aber für individuelles Verbrauchermarketing.

Was passiert, wenn ein Gast seine Einwilligung widerruft? Stoppen Sie sofort jede Marketingkommunikation. Bewahren Sie den Widerrufsnachweis auf. Der WiFi-Zugang des Gastes ist nicht betroffen — nur die Marketing-Einwilligung wird widerrufen. Sie dürfen anonymisierte analytische Daten weiterhin aufbewahren.

Brauche ich einen Datenschutzbeauftragten (DSB)? Wenn die Kerntätigkeit des Standorts eine regelmäßige und systematische Überwachung von Personen in großem Umfang umfasst (z. B. ein Einkaufszentrum mit dauerhaftem WiFi-Tracking), kann ein DSB nach Artikel 37 erforderlich sein. Konsultieren Sie lokale Leitlinien — die meisten einzelnen Restaurants und Geschäfte benötigen keinen DSB.

Wie interagiert die DSGVO mit CCPA und CASL? Die DSGVO (EU), das CCPA (Kalifornien) und das CASL (Kanada) haben überlappende, aber unterschiedliche Anforderungen. Ein Multi-Jurisdiktions-Ansatz erfordert das Verständnis jeder Verordnung und die Implementierung der restriktivsten Anforderung als Baseline. Siehe unseren Leitfaden zum Einwilligungsmanagement für ein Multi-Jurisdiktions-Framework.