| 31. Juli 2023 · Aktualisiert: 15. Mai 2026 | 11 Min.

Sicheres Gast-WLAN für Kunden: VLAN, WPA3 und DSGVO-Pflichten 2026

Inhalt in Kürze

Kunden-WLAN heißt Gast-WLAN — und es muss physisch oder logisch (VLAN, eigenes SSID) vom Mitarbeiter- und Server-Netz getrennt sein. Alles andere ist fahrlässig.
WPA3 statt WPA2: Seit 2018 ist WPA3 der Standard der Wi-Fi Alliance. Für offene Hotspots ist Enhanced Open (OWE) Pflicht. WEP, WPA1 und reines WPA2 sind nicht mehr akzeptabel.
Mythen ignorieren: SSID-Hiding und MAC-Filterung helfen nichts (Wi-Fi-Scanner sehen versteckte SSIDs in Sekunden, MAC-Randomization umgeht jede Filterung).
DSGVO-Pflicht: Kurze Verbindungslogs (24–48 h) sind sinnvoll, aber MAC-Adressen sind personenbezogen — also nicht ewig speichern und in der WLAN-AGB transparent dokumentieren.
Praxis-Setup: Captive Portal mit AGB, separates VLAN, Bandbreitenlimit pro Client, Client Isolation an. Funktioniert ab dem ersten Tag.

Wer Kunden, Patienten oder Hotelgästen WLAN anbietet, betreibt faktisch ein zweites Netz — und der Schaden eines schlecht konfigurierten Gast-WLANs trifft nicht den Gast, sondern Ihr Unternehmen. Im Tagesgeschäft als IT-Systemhaus Hamburg sehen wir jede Woche Setups, in denen Hotelgäste auf den Drucker der Buchhaltung zugreifen können oder Patienten im Wartezimmer die Praxis-Server scannen. Dieser Artikel zeigt, wie ein sauberes Gast-WLAN heute aussehen muss und welche überholten Tipps Sie ignorieren können.

Kunden-WLAN = Gast-WLAN: Was wir hier meinen

Der Begriff ist verwirrend. In diesem Artikel geht es um das WLAN, das Sie als Unternehmen für Ihre Kunden zur Verfügung stellen — also für Hotelgäste, Cafégäste, Patienten im Wartezimmer, Mandanten im Empfang. Sprich: Gast-WLAN, parallel zum Firmen-WLAN für Mitarbeiter.

Warum die Unterscheidung wichtig ist: Ein Gast-WLAN hat fundamental andere Schutzziele als das Mitarbeiter-WLAN. Beim Mitarbeiter-WLAN schützen Sie Daten im Netz vor Angreifern von außen. Beim Gast-WLAN schützen Sie Ihr Firmennetz vor den Gästen. Beide Aufgaben gehören technisch und organisatorisch streng getrennt.

Wer ein typisches Hamburger Geschäft betreibt — Restaurant, Hotel, Praxis, Kanzlei mit Wartebereich, Co-Working-Floor — sollte mindestens drei WLAN-Zonen einrichten: Mitarbeiter, Geräte (Drucker, Kassen, IoT) und Gäste. Mehr dazu in unserem Leitfaden zum WLAN für Unternehmen und im Branchen-Profil IT für Handel, Hotel & Logistik Hamburg. Wenn das gesamte Netzwerk Teil eines IT-Outsourcings sein soll, empfehlen wir den Blick auf Managed IT-Services Hamburg — dort sind WLAN-Management, Firewall und Monitoring im Festpreis enthalten.

Warum schlechte Gast-WLANs zur Geschäftsgefahr werden

Drei Szenarien sehen wir in Erstgesprächen immer wieder:

"Wir geben unseren Gästen einfach das WLAN-Passwort vom Büro". Damit hängen Gäste-Smartphones im selben Subnetz wie der Server. Ein einziges infiziertes Gerät kann das Firmennetz infiltrieren — Tools wie Mimikatz oder Responder funktionieren in flachen Netzen besonders gut.
"Das Gast-WLAN läuft auf demselben Router wie der Rest". Wenn der Router Gast- und Mitarbeiter-Netz nicht per VLAN trennt, kommunizieren beide Netze trotz unterschiedlicher SSIDs. Wir haben das 2024 in einer Hamburger Praxis gesehen — Patienten konnten auf den DICOM-Bilderserver zugreifen.
"Offenes Gast-WLAN ohne Passwort ist doch nicht schlimm". Doch — und es ist heute auch nicht mehr nötig. Mit Enhanced Open (OWE) bekommen Gäste den Komfort eines offenen WLANs UND Transportverschlüsselung. Bricht WhatsApp-Verkehr trotzdem auf, ist das DNS-Spoofing oder Evil-Twin trotzdem deutlich schwerer.

266,6 Mrd.

Euro Jahresschaden Cyber in Deutschland (Bitkom 2024)

2018

WPA3 ist offizieller Wi-Fi-Standard

3 SSIDs

Minimum: Mitarbeiter, IoT, Gäste

24–48 h

Empfohlene Log-Retention DSGVO

Der BSI-IT-Grundschutz-Baustein NET.2.2 WLAN-Nutzung schreibt explizit vor, dass Gast-WLAN „separat von den internen Netzen” zu betreiben ist. Wer es ignoriert, riskiert nicht nur den Angriff, sondern bei NIS-2-betroffenen Unternehmen auch persönliche Haftung der Geschäftsführung. Welche Auswirkungen die Richtlinie für KMU konkret hat, lesen Sie im Leitfaden NIS2-Beratung Hamburg oder ermitteln in unter zwei Minuten Ihre Betroffenheit mit dem NIS2-Betroffenheits-Check.

Das Gast-WLAN richtig aufsetzen — 5 Schritte

So bauen wir Gast-WLANs für Hamburger Unternehmen — egal ob Hotel, Praxis, Steuerkanzlei oder Logistikbetrieb.

VLAN definieren: Eigenes VLAN für Gäste (z.B. VLAN 30). Das VLAN bekommt nur Internet-Zugang, kein Routing ins Firmen-VLAN, keinen Zugriff auf Drucker, NAS, Server oder Telefonanlagen.
SSID konfigurieren: Eigener Netzwerkname (z.B. "Hotel-Hamburg-Gäste") auf dem Access Point. Wi-Fi-6-fähig, mindestens WPA3-Personal oder Enhanced Open. Client Isolation aktivieren — Gäste sollen sich auch untereinander nicht sehen.
Bandbreitenlimit setzen: Pro Client maximal 10–20 Mbit/s, Gesamtbandbreite für das Gast-VLAN auf 30–50 Prozent der Internet-Anschlussleistung begrenzen. Damit kann kein Gast die Geschäftsleitung lahmlegen.
Captive Portal mit AGB: Login-Seite mit Annahme der Nutzungsbedingungen — schützt rechtlich, erlaubt Session-Timeouts (z.B. 12 h) und ermöglicht optional Branding. Bei Sophos, UniFi, Cisco Meraki und Aruba bereits integriert.
Logs und DSGVO-Hinweis: Kurze Verbindungslogs (24–48 h) für Sicherheitszwecke, MAC-Adresse-Pseudonymisierung, transparent in der Datenschutzerklärung. Längere Aufbewahrung ist DSGVO-rechtlich kaum begründbar.

Ethernet-Kabel im Netzwerk-Switch: VLAN-Trennung ist die wichtigste Schutzschicht zwischen Gast- und Firmennetz — VLAN-Trennung auf dem Switch ist die wichtigste Schutzschicht. Ohne sie ist jedes Gast-WLAN-Passwort nur Theater.

Mythen, die Sie ignorieren können

Halbwissen aus alten Forenposts kostet Zeit und liefert kein Plus an Sicherheit. Vier Tipps, die Sie 2026 getrost vergessen:

SSID verstecken (Hidden SSID). Jeder Wi-Fi-Scanner sieht versteckte SSIDs in unter 5 Sekunden, weil die Clients sie aktiv anfragen. Versteckte SSIDs sind sogar leichter zu identifizieren als offene. Reine Symbolpolitik.
MAC-Filterung. MAC-Adressen sind 30 Sekunden mit Tools wie macchanger gefälscht. Seit iOS 14 und Android 10 nutzen Smartphones standardmäßig zufällige MAC-Adressen pro WLAN (MAC Randomization). Filterung scheitert daran spätestens beim ersten neuen Gast.
WPA2 als sichere Wahl. Seit den KRACK-Angriffen 2017 und der WPA3-Veröffentlichung 2018 ist WPA2 nicht mehr State of the Art. Für Gast-WLAN: WPA3-Personal oder Enhanced Open. WPA2 nur noch im Übergang als WPA2/WPA3-Mixed.
Regelmäßiger Passwort-Wechsel ohne Anlass. Bringt nichts, wenn das Passwort eh in der Hotel-Lobby an der Wand klebt. Stattdessen: pro Gast oder pro Tag rotierende Vouchers über Captive Portal — wenn überhaupt Passwort.

Wichtig:

WPS (Wi-Fi Protected Setup) IMMER abschalten. Die PIN-Verfahren sind seit 2011 nachweislich knackbar — Pixie-Dust und Reaver-Angriffe brauchen Minuten. Wer WPS aktiv lässt, kann den Rest der Sicherheit gleich vergessen.

DSGVO, TMG und Captive Portal — was die Rechtslage 2026 sagt

Drei Themen kommen in unseren Erstgesprächen am häufigsten:

Störerhaftung ist tot

Seit der TMG-Reform 2017 haftet der WLAN-Betreiber nicht mehr für Urheberrechtsverletzungen seiner Gäste — das hat der Bundestag explizit klargestellt. Praktisch heißt das: Sie müssen weder Filtern noch loggen, was Ihre Gäste tun. Ein netter Hinweis in der WLAN-AGB (“Nutzung auf eigene Verantwortung, keine illegalen Inhalte”) reicht aus. Ein gut formulierter AGB-Text schützt vor Streitfällen, ist aber kein Muss mehr.

MAC-Adressen sind personenbezogene Daten

Die EU-DSGVO und EuGH-Rechtsprechung behandeln MAC-Adressen als personenbezogene Daten — sie sind theoretisch einem Gerät und damit einer Person zuordenbar. Konsequenz: Wenn Sie MAC-Adressen in Logs speichern, brauchen Sie eine Rechtsgrundlage (Art. 6 DSGVO) und eine Datenschutzerklärung, die das transparent macht. 24 bis 48 Stunden Aufbewahrung ist mit Sicherheitsinteresse (Art. 6 Abs. 1 lit. f) gut begründbar. Wochen oder Monate nicht.

Captive Portal als rechtliche Schutzwand

Ein Captive Portal mit AGB-Annahme dokumentiert, dass der Gast die Nutzungsbedingungen akzeptiert hat. Das hilft im Streitfall, wenn etwa ein Gast behauptet, er hätte nicht gewusst, dass über das WLAN keine Filesharing-Aktivitäten erlaubt sind. Für gewerbliche Anbieter (Hotels, Cafés) ist ein Captive Portal heute Standard — die Kosten sind minimal, der rechtliche Nutzen erheblich.

Wir sehen in Hamburg jede Woche Praxis-Gäste-WLANs, die im selben Subnetz wie der Praxis-Server laufen. Der Geschäftsführer denkt, das WLAN-Passwort sei der Schutz. Tatsächlich ist es nur das Schloss an der Vordertür — die Hintertür steht offen. Ein 200-Euro-VLAN-Switch löst das in einem Nachmittag.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Hardware-Empfehlung: Was wir bei Hamburger Kunden einsetzen

Hardware-Vorschlag für ein typisches Setup — Hotel oder Praxis mit 4 bis 8 Access Points, getrennten Zonen, Gast-Captive-Portal:

Komponente	Hersteller (Beispiel)	Funktion
Access Points (Wi-Fi 6)	Ubiquiti UniFi U6-Pro, Aruba 500-Serie, Cisco Meraki MR	Mitarbeiter- + Gast-WLAN mit mehreren SSIDs
Managed Switch (Layer 2/3)	Cisco Catalyst 1300, Aruba 6100, UniFi USW Pro	VLAN-Trennung, Port-Tagging
Firewall mit Captive Portal	Sophos XGS, Fortinet FortiGate, UniFi UDM Pro	Internet-Routing, Bandbreitenlimit, Captive Portal
Controller / Cloud	UniFi Network, Cisco Meraki, Aruba Central	Zentrale WLAN-Konfiguration, Heatmaps

Für eine ehrliche Hardware-Auswahl lohnt sich eine WLAN-Funkausleuchtung mit Heatmap-Tool. In den meisten Setups reicht ein Access Point pro 50 bis 70 m² — bei Hotels und Restaurants planen wir dichter (1 AP pro 25 bis 40 Gäste). Wer tiefer einsteigen will: Unsere Beiträge zu WLAN-Sicherheit für Unternehmen und WLAN-Management mit Cisco Meraki zeigen die nächste Detailstufe.

Praxisbeispiel aus Hamburg: Hotel mit 28 Zimmern

Ein Hamburger Boutique-Hotel mit 28 Zimmern, Restaurant und Bar. Ausgangslage Anfang 2024: ein flaches Netz, ein Passwort am Empfang ausgedruckt, drei Fritzboxen kaskadiert. Ein Gast hatte Mining-Software laufen und legte mit 80 Mbit/s Dauerlast das Booking-System der Rezeption lahm.

Was wir umgesetzt haben:

6× Wi-Fi-6 Access Points (UniFi U6-Pro), heatmap-geplant für Zimmer + Lobby + Restaurant
Managed Switch mit VLAN-Trennung: VLAN 10 Mitarbeiter, VLAN 20 IoT (Kasse, Drucker, Türschlösser), VLAN 30 Gäste
Sophos XGS Firewall mit Captive Portal, AGB-Annahme, 30-Mbit/s-Limit pro Gast-Client
WPA3-Personal für Mitarbeiter, Enhanced Open mit AGB-Login für Gäste
DSGVO-konforme Datenschutzerklärung an der Lobby-Wand

Ergebnis nach 8 Monaten Betrieb: Null Beschwerden über WLAN-Geschwindigkeit, kein Angriff auf interne Systeme, vollständige NIS-2-Vorbereitung für die Hotelgruppe. Den laufenden Betrieb übernimmt das Hotel im Festpreis-Modell von Managed IT — inklusive Patch-Management für Firewall und Access Points. Wer die Cloud-Anbindung der Filialen ergänzen will, schaut zusätzlich in unsere Cloud-Beratung Hamburg oder in das Pendant für IT-Dienstleister Bremen.

Vorher wussten wir nie, ob das WLAN durchhält, wenn 40 Gäste gleichzeitig Netflix gucken. Heute hat das Gäste-WLAN sein eigenes Limit, die Mitarbeiter haben ihre Bandbreite, und der Empfang funktioniert auch dann, wenn drei Familien gleichzeitig einchecken.

Patrick Müller · Werbeagentur, 8 Mitarbeiter

Checkliste: Ist Ihr Gast-WLAN heute sicher?

Was wir in jedem Erstgespräch mit Hotels, Praxen oder Mehr-Mitarbeiter-Geschäften prüfen:

Eigenes VLAN für Gäste. Keine Route ins Firmennetz, keine Zugriffe auf Drucker, NAS, Server.
WPA3 oder Enhanced Open. Mindestens WPA2/WPA3-Mixed, kein reines WPA2 mehr.
Client Isolation aktiviert. Gäste sehen sich untereinander nicht — kein Datenklau zwischen Gerät zu Gerät.
Bandbreitenlimit pro Client. Niemand kann das ganze Internet aufbrauchen.
Captive Portal mit AGB-Annahme. Rechtliche Absicherung, Session-Timeout.
WPS deaktiviert. Auf allen Access Points und im Router.
Logs maximal 48 h. MAC-Adressen pseudonymisieren oder kurz löschen.
Datenschutzerklärung sichtbar. Aushang in der Lobby plus Verlinkung im Captive Portal.
Firmware aktuell. Access Points, Switches, Firewall mindestens quartalsweise patchen.
Monitoring. Auffällige Bandbreitenspitzen aus dem Gast-VLAN werden geloggt und gemeldet.

Das Wichtigste: Gast-WLAN ist nicht "einfach noch ein WLAN" — es ist eine zweite, vom Firmennetz strikt zu trennende Zone. Mit VLAN, WPA3 (oder Enhanced Open), Client Isolation, Bandbreitenlimit und Captive Portal bekommen Sie ein professionelles Gast-WLAN, das DSGVO-konform ist und Ihr Firmennetz schützt. Setzen Sie es einmal richtig auf — und Sie haben Ruhe für die nächsten 5 Jahre.

Fazit: Gast-WLAN ist eine Geschäftsentscheidung

Wer Kunden, Patienten oder Hotelgästen WLAN anbietet, betreibt einen Service — und einen rechtlichen wie technischen Risikobereich. Ein sauber segmentiertes, WPA3-verschlüsseltes Gast-WLAN mit Captive Portal ist heute kein Premium-Feature, sondern Mindeststandard. Wer noch mit einem flachen Netz und einem Passwort am Empfang arbeitet, riskiert nicht nur den Angriff von außen, sondern auch den Vertrauensverlust beim Gast, der zwei lange Sekunden auf das Online-Booking-System wartet.

Wenn Sie wissen wollen, wie sicher Ihr Gast-WLAN heute ist: Wir nehmen uns 15 Minuten Zeit für einen ehrlichen Überblick — mit konkretem Hinweis, was Sie selbst sofort umstellen können und wo Sie Hardware-Investment brauchen.

Gast-WLAN-Sicherheit in 15 Minuten geklärt.

Erstgespräch mit Jens Hagel — Hamburger Praxis, keine Verkaufsshow, klarer Status-Quo.

Termin buchen →

Jens Hagel

Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel

Geschäftsführer · Hanse Service

Bester IT-Dienstleister

2026 — brand eins / Statista

Fallstudie · Gesundheit

Vom IT-Chaos zur sicheren Praxis: Einblicke in unsere Infrastruktur-Analyse (ISA) am Beispiel einer Therapiepraxis

Ausgezeichnete Bewertung

Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann

Alle ansehen

Inhalt

Alle Kundenstimmen

Ausgezeichnete Bewertung

Basierend auf 46 Bewertungen

Robin Koppelmann

Alle ansehen

Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

In diesem Artikel geht es um das Gast-WLAN, das Sie Kunden, Patienten, Hotelgästen oder Mandanten in Ihrem Geschäft anbieten — also ein separates WLAN, das vom Firmennetz strikt getrennt ist. Wer das Endkunden-Heimnetz absichern will, sollte separat planen. Für Unternehmen ist die Trennung zwischen Mitarbeiter-WLAN und Gast-WLAN die wichtigste Schutzschicht.

Per VLAN auf dem Switch plus separates SSID auf dem Access Point. Das Gast-VLAN bekommt keine Route ins Firmen-LAN, keinen Zugriff auf Drucker, NAS oder Server. Die Firewall lässt nur Internet zu, kein internes Routing. Bei Hamburger Hotels und Praxen setzen wir zusätzlich Client Isolation ein — auch Gäste untereinander sollen nicht sehen, was andere im selben WLAN tun.

WPA3-Personal oder WPA3/WPA2-Mixed Mode (Übergang). Reines WPA2 ist seit 2018 durch die Wi-Fi Alliance abgelöst, KRACK-Angriffe sind real. WEP und WPA1 sind tot. Für offene Gast-WLANs (Hotel-Lobby) ist 'Enhanced Open' (OWE) Pflicht — das ist Opportunistic Wireless Encryption, die ohne Passwort verschlüsselt.

Nein. Die Vorratsdatenspeicherung wurde vom EuGH gekippt. Sie sind seit der Telemedien-Gesetzes-Reform 2017 als WLAN-Betreiber auch nicht mehr für Inhalte Ihrer Gäste haftbar (Störerhaftung abgeschafft). Sie sollten aber kurze Verbindungslogs (24–48 Stunden) für Sicherheitszwecke führen und in der WLAN-AGB transparent machen. MAC-Adressen sind laut DSGVO personenbezogen — also auch kurz löschen, nicht ewig speichern.

Im Gast-WLAN nein. MAC-Adressen lassen sich in 30 Sekunden fälschen, moderne Smartphones nutzen seit iOS 14 und Android 10 sogar automatisch zufällige MAC-Adressen pro WLAN (MAC Randomization). MAC-Filterung erzeugt Aufwand ohne Schutzwirkung. Stattdessen auf VLAN, WPA3, Captive Portal und Firewall-Regeln setzen.

Ein Captive Portal ist die Login-Seite, die Gäste sehen, bevor sie ins Internet kommen — meist mit Annahme der Nutzungsbedingungen. Für Hotels, Restaurants und Praxen empfehlenswert: Es schützt Sie rechtlich (AGB-Annahme), erlaubt zeitlich begrenzte Sessions und bietet optional ein simples Branding. Tools wie UniFi Hotspot oder Sophos Captive Portal sind in vielen Unternehmens-Setups bereits enthalten.

Faustregel für Hamburger Gewerbeflächen: ein Wi-Fi-6-Access-Point pro 50 bis 70 m² bei normalem Office-Betrieb, einer pro 25 bis 40 Gäste in Restaurants oder Cafés. Wi-Fi 6 (802.11ax) verteilt deutlich besser als Wi-Fi 5 — bei stark frequentierten Locations lohnt sich der Aufpreis. Wir planen das in Erstgesprächen mit einem Heatmap-Tool wie Ekahau Pro.

Seit der TMG-Reform 2017 nicht mehr der WLAN-Betreiber (Störerhaftung abgeschafft). Aber: Sie müssen kooperieren, wenn Behörden mit Gerichtsbeschluss Bestandsdaten anfragen. Wenn Sie keine Logs haben, müssen Sie das transparent machen. Wenn doch, müssen Sie die Daten DSGVO-konform handhaben. Für kommerzielle Anbieter (Hotels, Cafés mit gewerblicher WLAN-Vermietung) gelten zusätzliche Pflichten — im Zweifel mit IT-Recht-Anwalt klären.

Modern Workplace

Managed IT ★