Gäste erwarten heute überall kostenloses WLAN. Für Betriebe wird es heikel, wenn dasselbe Netz auch Kassa/POS, PMS, Office-PCs, IoT (TV, Kameras, Drucker) trägt – oder wenn rechtliche Punkte (Einwilligung, Nutzungsbedingungen, Logging) nicht sauber gelöst sind. Das Ergebnis: Störungen, Sicherheitsrisiken, Beschwerden – im schlimmsten Fall Haftungsfragen.
Mit einer sauberen Netzarchitektur und einem Captive Portal bringen Sie Ordnung, Sicherheit und Nachvollziehbarkeit in Ihr WLAN – ohne den Gastkomfort zu verlieren.
Ziele: Was ein gutes Gäste-WLAN können muss?
Getrennte Netze für Gäste, Office, POS/PMS & IoT – keine Querzugriffe.
Einfache Anmeldung (Portal/Voucher/Room-Login) und automatische Abmeldung bei Check-out.
Rechtssicherheit: Einwilligung, Nutzungsbedingungen und protokollierte Freigabe.
Stabilität & Performance: Kapazitätsplanung, Bandbreitensteuerung, Roaming.
Betrieb & Nachvollziehbarkeit: Monitoring, Updates, Logbuch mit Aufbewahrungsfrist.
Architektur: VLAN-Trennung & Firewall-Regeln
VLANs sind das Fundament. Typische Aufteilung:
Guest-VLAN – Internet only, Client-Isolation (Gäste sehen einander nicht)
Office-VLAN – für Bürogeräte, E-Mail, Drucker (nur via Druckserver)
POS/PMS-VLAN – Kassen, Payment, PMS–Systeme (stark eingeschränkte Regeln)
IoT-VLAN – TV, Chromecast, Kameras (nur definierte Dienste/Clouds)
Firewall/ACLs:
Guest → nur Internet (NAT), kein Zugriff auf POS/PMS/Office/IoT
POS/PMS → nur die benötigten Ports
Administration nur via VPN/Management-VLAN
Multicast/mDNS kontrolliert (z. B. AirPrint nur über Relay)
Warum das wichtig ist:
So fängt ein kompromittiertes Gäste-Device nicht das PMS ab und Payment bleibt getrennt.
Captive Portal: Anmeldung & Einwilligung
Ein Captive Portal („Landing Page“) ist die benutzerfreundliche Tür ins WLAN und bildet zugleich den rechtlichen Rahmen.
Varianten der Anmeldung
Voucher/Gutscheine (Rezeption generiert Zeit-/Datenkontingente)
Zimmer-Login: Room-Number + Nachname über PMS-Integration (Check-in = Freischaltung; Check-out = automatisch gesperrt)
SMS-TAN oder E-Mail-Verifizierung
Social-Login (optional – immer DSGVO-Folgen beachten)
Rechtliche Punkte (DSGVO/Betriebsalltag)
Nutzungsbedingungen & Datenschutzhinweis auf dem Portal
Aktiver Consent (Checkbox, Zeitstempel) → wird im System mit Voucher/Room verknüpft
Aufbewahrungsfrist für Logs festlegen (so kurz wie möglich; intern dokumentieren)
Branding & Sprachen (DE/EN) für weniger Rückfragen
Logging: so viel wie nötig, so wenig wie möglich
Ziel ist Nachvollziehbarkeit, nicht Überwachung.
Log-In-Zeitpunkt, Zuweisung zu Voucher/Room/Zimmername oder SMS-Nummer
Zugewiesene IP/MAC, Session-Dauer, verbrauchtes Volumen
Keine Inhaltsprotokollierung (keine DPI)
Sicherer Zugriff (nur autorisierte Personen), regelmäßiges Löschen nach Frist
Stabilität & Performance: das Technische dahinter
Site Survey & Kanalplanung (2,4/5/6 GHz) für dichte Bereiche wie Bar, Lobby, Seminarräume
Roaming ohne Abbrüche (802.11k/r/v sofern unterstützt)
Bandbreitensteuerung & Fair-Use pro Gerät
Walled Garden (Portal/Hotel-Website) vor Login erreichbar
Monitoring & Alarme (Internet-Uplink, Controller, APs, Switches)
Regelmäßige Updates (Controller, AP, Switch, Firewall)
PMS-Integration: weniger Arbeit an der Rezeption
Check-in → automatisch freigeschaltet, Check-out → deaktiviert
Zeit-/Datenkontingente nach Zimmerkategorie
Optional: Upsell (Premium-Bandbreite, Veranstaltungs-WLAN)
Häufige PMS: Protel, Opera, Mews, Fidelio, apaleo u. a. (abhängig vom Portal-/Controller-Hersteller)
Checkliste (Schnellstart)
Ist das Netz bereits per VLAN sauber getrennt (Guest/Office/POS/IoT)?
Gibt es ein Captive Portal mit Nutzungsbedingungen & Consent?
Sind Logs DSGVO-konform, geschützt und mit Aufbewahrungsfrist hinterlegt?
Bandbreiten-Limits, Client-Isolation und Roaming konfiguriert?
Monitoring/Updates aktiv – wer reagiert bei Störungen?
PMS-Integration eingeplant (Check-in/out-Automatik)?
FAQ
Für Gäste ist Portal mit offener SSID üblich; sensible Bereiche (Office/POS) immer mit WPA2/3-Enterprise. Wichtig ist die Netztrennung und das Portal-Consent.
So kurz wie möglich – definiert in der internen Richtlinie. Zugriff nur für berechtigte Personen. (Keine Rechtsberatung.)
Per Bandbreitenlimit und Fair-Use pro Device; optional Premium-Bandbreite als Upsell.
Fazit & Angebot
Mit VLAN-Trennung, Captive Portal und sauberem Logging betreiben Sie ein stabiles und rechtssicheres Gäste-WLAN – und entlasten gleichzeitig Rezeption & IT.
Wir planen, implementieren und betreuen Ihre Umgebung vor Ort und remote in Niederösterreich, Burgenland und Wien – inklusive PMS-Integration, Monitoring und Support.
