WLAN, Gäste-WLAN und die Störerhaftung: Was in Deutschland heute wirklich gilt

Jahrelang hafteten Router-Besitzer für das, was Gäste in ihrem WLAN taten. Das hat sich grundlegend geändert. Was heute rechtlich gilt, was ein WLAN-Passwort noch leistet — und warum WPA3 mehr ist als ein neuer Name.

Wer in Deutschland ein WLAN betreibt und Gästen Zugang gewährt, hat lange in einer rechtlichen Grauzone gelebt. Die sogenannte Störerhaftung sorgte dafür, dass Abmahnungen ins Haus flattern konnten, wenn ein Gast über das eigene WLAN eine Datei illegal heruntergeladen hatte. Das hat sich grundlegend geändert — und zwar durch eine Kombination aus EU-Recht und deutschen Gerichtsentscheidungen.

Dieser Artikel erklärt, was heute gilt, was ein WLAN-Passwort noch schützt (und was nicht), und warum WPA3 hier ein echter Unterschied ist.

⚡ Key Facts auf einen Blick

Störerhaftung: Für private WLAN-Betreiber seit der TMG-Reform 2017 abgeschafft. Keine Abmahnungen, kein Schadensersatz für das Verhalten Dritter im eigenen Netz.
Offenes WLAN: Rechtlich zulässig. Ein fehlendes Passwort begründet keine Haftung mehr für Urheberrechtsverletzungen durch Nutzer.
Netzwerktrennung: Jede AVM FritzBox trennt das Gäste-WLAN automatisch vom Heimnetz — unabhängig davon, ob ein Passwort gesetzt ist.
WPA2 (Passwort): Schützt vor passivem Mitlesen. Wer das Passwort kennt, kann unter WPA2 aber theoretisch fremde Sessions entschlüsseln.
WPA3 (Passwort): Jede Session bekommt einen eigenen Schlüssel (SAE). Selbst wer das Passwort kennt, kann den Traffic anderer Geräte nicht mitlesen.
Strafrecht: Vom zivilrechtlichen Haftungsausschluss unberührt. Wer selbst eine Straftat begeht oder dazu anstiftet, haftet weiterhin.

Die Störerhaftung: Was früher galt

Bis 2017 konnte in Deutschland praktisch jeder WLAN-Betreiber abgemahnt werden, wenn ein Gast oder Unbekannter über sein Netz illegal Dateien teilte. Die Grundlage war das Konzept der Störerhaftung: Wer eine Infrastruktur bereitstellt, über die eine Rechtsverletzung begangen wird, kann als “Störer” auf Unterlassung und Kostenerstattung in Anspruch genommen werden — auch ohne eigenes Verschulden.

Das führte zu absurden Ergebnissen: Wer sein WLAN offen ließ oder den Nachbarn ins Netz ließ, riskierte Abmahnungen über mehrere hundert bis tausend Euro, obwohl er selbst nichts getan hatte.

Was die Rechtslage heute bedeutet

Die Wende kam durch mehrere Entwicklungen:

EU-Ebene: Art. 12 der EU-E-Commerce-Richtlinie (2000/31/EG) sieht für bloße Leitungsanbieter (“Mere Conduit”) einen Haftungsausschluss vor. Der EuGH stellte in der Entscheidung McFadden ./. Sony Music (C-484/14, 2016) klar, dass dieser Schutz auch für private WLAN-Betreiber gilt, die Internetzugang anbieten.

Deutsches Gesetz: Mit der Reform des § 8 TMG (Telemediengesetz) im Jahr 2017 wurde der Haftungsausschluss für Zugangsvermittler ausdrücklich auf WLAN-Betreiber ausgedehnt. Kein Schadensersatz, keine Abmahnkosten mehr für das Verhalten Dritter.

BGH-Bestätigung: Der Bundesgerichtshof hat diese Rechtslage in den Urteilen “Goldesel” (I ZR 64/17) und “Dead Island” (I ZR 65/17) vom 26. Juli 2018 bestätigt. Unterlassungsansprüche (Sperrverfügungen gegen bestimmte Inhalte) sind theoretisch noch denkbar, wurden aber in der Praxis durch Verhältnismäßigkeitsanforderungen stark eingeschränkt.

Stand 2021: Das TTDSG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) hat die Regelungen weiter konsolidiert und den Schutz für Zugangsvermittler beibehalten.

Wichtiger Hinweis: Dieser Artikel ist keine Rechtsberatung. Die Darstellung bezieht sich auf die zivilrechtliche Haftungslage. Das Strafrecht (z. B. bei Beihilfe zu Straftaten) ist davon unberührt.

Warum ein Passwort beim Gäste-WLAN trotzdem sinnvoll bleibt

Die Haftungsfrage ist gelöst — aber ein WLAN-Passwort hat noch andere Aufgaben. Nur: man muss wissen, was es schützt und was nicht.

✓ Was ein verschlüsseltes Gäste-WLAN leistet

Schutz vor passivem Mitlesen: Ohne Verschlüsselung kann jeder in Reichweite mit einem WLAN-Adapter den Datenverkehr aller Geräte mitschneiden — DNS-Anfragen, unverschlüsselte Apps, HTTP-Traffic.
WPA3: Session-Isolation: Selbst wer das Passwort kennt, kann andere Sessions nicht entschlüsseln. Ideal für QR-Code-Zugänge, die du z. B. öffentlich aufhängst.
Auto-Connect-Schutz: Smartphones verbinden sich automatisch mit bekannten offenen Netzwerken. Ein Passwort verhindert ungewollte Verbindungen.
DNS-Privatsphäre: Auch wenn HTTP-Traffic verschwindet — DNS-Anfragen verraten, welche Dienste genutzt werden. Über Funk sind sie ohne Verschlüsselung sichtbar.

✗ Was ein Passwort nicht (mehr) leistet

Haftungsschutz: War früher ein Argument — ist heute keins mehr. Die Störerhaftung gilt nicht mehr für private WLAN-Betreiber, mit oder ohne Passwort.
Schutz des Heimnetzes: Das übernimmt die Netzwerktrennung (Gäste-VLAN der FritzBox), nicht das Passwort. Beides ist unabhängig voneinander.
WPA2 vs. bekanntes Passwort: Unter WPA2 kann jemand, der das Passwort kennt, den 4-Way-Handshake aufzeichnen und Sessions anderer entschlüsseln. Ein WPA2-Passwort schützt nur vor Außenstehenden.
Schutz vor dem Betreiber selbst: Du siehst als Router-Betreiber ohnehin, welche Domains Gäste aufrufen — Passwort hin oder her.

WPA3: Warum das Passwort heute mehr leistet

WPA2 hat eine strukturelle Schwäche: Alle Geräte im selben Netz teilen sich denselben Schlüssel (PMK). Wer das Passwort kennt und einen 4-Way-Handshake mitgeschnitten hat, kann damit den Traffic anderer Geräte rückwirkend entschlüsseln.

WPA3 mit SAE (Simultaneous Authentication of Equals) funktioniert anders. Jedes Gerät verhandelt beim Verbinden einen individuellen Sitzungsschlüssel über ein Diffie-Hellman-ähnliches Verfahren. Das bedeutet: Selbst wer das Gäste-WLAN-Passwort kennt — etwa weil du einen QR-Code aufgehängt hast —, kann damit nicht den Traffic anderer Geräte mitlesen. Jede Session ist separat verschlüsselt.

Für ein Gäste-WLAN mit öffentlich geteiltem Passwort (QR-Code, Aushang) ist WPA3 damit ein echter Sicherheitsgewinn. Voraussetzung: Router und Endgeräte unterstützen WPA3. Aktuelle FritzBoxen und alle Geräte ab ca. 2019–2020 sind in der Regel kompatibel.

Gäste-WLAN einrichten — Beispiel FritzBox

Die AVM FritzBox ist in Deutschland der am weitesten verbreitete Router — geschätzte 20 Millionen Geräte sind im Einsatz, was einem Marktanteil von rund 60 % entspricht. Deshalb dient sie hier als Hauptbeispiel. Das Gäste-WLAN-Setup ist einfach, und die Netzwerktrennung ist dabei bereits eingebaut:

Benutzeroberfläche: http://fritz.box → WLAN → Gastzugang
SSID wählen (z. B. “Gäste” oder Firmenname)
Passwort setzen — WPA3 wählen falls verfügbar, sonst WPA2+WPA3 gemischt
Geschwindigkeit begrenzen optional über “Datentransferrate begrenzen”
QR-Code für den einfachen Einstieg → wlan-qr-code-erstellen.de

Die FritzBox legt Gäste automatisch in ein getrenntes Subnetz — kein Zugriff aufs Heimnetz, keine gegenseitige Kommunikation der Gästegeräte. Das funktioniert unabhängig davon, ob ein Passwort gesetzt ist.

Andere verbreitete Router

Die FritzBox ist nicht der einzige Router, der ein echtes Gäste-WLAN mit Netzwerktrennung bietet. Auch viele ISP-Geräte unterstützen das — wobei die genauen Menüpfade je nach Firmware-Version variieren können:

Telekom Speedport Smart 4 (und neuere Modelle): Die Funktion heißt hier “Gastnutzung WLAN”. Sie ist über die Benutzeroberfläche unter http://speedport.ip zu finden. Das Gerät legt Gäste in ein separates Netzwerksegment — gleiches Prinzip wie bei der FritzBox.

Vodafone Station (neuere Modelle): Die Vodafone Station bietet in der Benutzeroberfläche unter dem Menüpunkt “WLAN” eine Gastzone an. Je nach Modell und Firmware ist die Netzwerktrennung inklusive.

O2 HomeBox (z. B. 6641 und neuere): Auch die O2-Router aktueller Generationen unterstützen ein Gäste-WLAN mit eigenem Subnetz. Der Zugang erfolgt über die Web-Oberfläche des Geräts.

Wichtig: Viele 1&1-Verträge nutzen als Hardware ebenfalls eine FritzBox (als “1&1 HomeServer”), und auch einige O2-Tarife setzen auf FritzBox-Basis. Die Verbreitung der FritzBox geht damit über den direkten AVM-Verkauf hinaus.

Ein genereller Hinweis: Bei ISP-eigenen Geräten kann die Benutzeroberfläche durch individuelle Firmwares eingeschränkt oder umgestaltet sein. Im Zweifel lohnt sich ein Blick in die jeweilige Bedienungsanleitung oder die Support-Seite des Anbieters.

Fazit

Die Störerhaftung als Argument für ein WLAN-Passwort ist Geschichte. Was bleibt, sind technische Gründe: Schutz vor passivem Mitlesen, Auto-Connect-Prävention, und mit WPA3 eine echte Session-Isolation selbst bei bekanntem Passwort.

Die meisten modernen Router — ob FritzBox, Speedport, Vodafone Station oder O2 HomeBox — bieten ein Gäste-WLAN mit Netzwerktrennung. Ein WPA3-geschütztes Gäste-WLAN mit QR-Code ist heute die pragmatische, sichere und komfortable Lösung für Zuhause wie im Büro.

Rechtlicher Stand: Juli 2018 (BGH-Urteile) / Dezember 2021 (TTDSG). Keine Rechtsberatung — für rechtssichere Einschätzungen im gewerblichen Kontext empfiehlt sich anwaltliche Beratung.

Begriffe in diesem Artikel

TMG: Telemediengesetz — regelte u. a. die Haftung von WLAN-Betreibern in Deutschland (2007–2021)
TTDSG: Telekommunikations-Telemedien-Datenschutz-Gesetz — Nachfolger von TMG und TKG (seit Dezember 2021)
BGH: Bundesgerichtshof — höchstes deutsches Zivilgericht
EuGH: Europäischer Gerichtshof — oberstes Gericht der Europäischen Union
WPA2/3: Wi-Fi Protected Access — WLAN-Verschlüsselungsstandards (WPA3 ist die aktuelle, sicherere Generation)
SAE: Simultaneous Authentication of Equals — WPA3-Verfahren, das für jede Sitzung einen eigenen Schlüssel erzeugt
SSID: Service Set Identifier — der sichtbare Name eines WLAN-Netzwerks

Kostenloses Tool

WLAN-QR-Code erstellen

Gäste-WLAN per QR-Code teilen statt Passwort aufschreiben — SSID, Passwort und Verschlüsselungstyp eingeben, fertig. Kein Account, keine Datenübertragung.

QR-Code erstellen →

PURITS Leistung

Netzwerk, Firewall & Security

Gäste-WLAN, VLAN-Segmentierung und Netzwerksicherheit fürs Büro einrichten — sauber getrennt, übersichtlich verwaltet.

Mehr erfahren →