Abo
  • Services:

Die rechtliche Situation ist kompliziert

Inwieweit WLAN-Tracking datenschutzrechtlich zulässig ist, richtet sich erst einmal danach, ob mit personenbezogenen Daten gearbeitet wird. Ist das der Fall, muss es dafür einen Grund geben, den die Datenschutz-Grundverordnung (DSGVO) anerkennt. Ihre Regelungen sind aber nicht sehr eindeutig.

Stellenmarkt
  1. ip-fabric GmbH, München
  2. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Ilmenau

Schon die Frage, ob die erfassten sowie gespeicherten MAC-Adressen der Smartphone-Nutzer personenbezogene Daten nach Artikel 2 Absatz 1 der DSGVO darstellen, ist rechtlich umstritten. Die Datenschutz-Grundverordnung enthält hierzu keine klare Aussage. Die Definition der personenbezogenen Daten in Artikel 4, Ziffer 1 DSGVO ist kompliziert formuliert. Es kommt insbesondere darauf an, ob aufgrund der MAC-Adresse der Smartphone-Nutzer identifizierbar ist. Identifizierbar ist eine Person, "die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind".

Ob danach die Smartphone-Nutzer identifizierbar sind, dazu gibt es bisher keine einschlägigen Gerichtsentscheidungen. Die Datenschutz-Aufsichtsbehörden der einzelnen Bundesländer vertreten unterschiedliche Standpunkte.

Der Hamburgische Beauftragte für Datenschutz- und Informationsfreiheit, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, die Landesdatenschutzbeauftragte von Schleswig-Holstein, die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen sowie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg gehen davon aus, dass das der Fall ist. Sie vertreten die Auffassung, dass es sich bei der MAC-Adresse immer um personenbezogene Daten handelt.

Diese Datenschützer begründen ihre Auffassung damit, dass in der DSGVO deutlich ausgedrückt wird, dass MAC-Adressen personenbezogene Daten sind. Denn in der Definition der personenbezogenen Daten sei von Kennungen, Kennnummern und Online-Kennungen die Rede. Darüber hinaus berufen sie sich darauf, dass die MAC-Adressen der einzelnen Endgeräte den betroffenen Smartphone-Nutzern zugeordnet werden können. Die Betreiber von WLAN-Tracking könnten zurückgelegte Wege oder wiederholte Besuche bestimmter Orte nachverfolgen und Bewegungsprofile erstellen. Bereits der Düsseldorfer Kreis habe in seiner Orientierungshilfe vom 16. Juni 2014 herausgearbeitet, dass eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät beziehungsweise der Karte verbunden sind, regelmäßig durch verschiedene Stellen einer Person zugeordnet werden können (PDF). Bei dem Düsseldorfer Kreis handelt es sich um ein Gremium, das aus den Aufsichtsbehörden für den Datenschutz des Bundes und der einzelnen Bundesländer im nicht öffentlich-rechtlichen Bereich besteht. Es trifft Beschlüsse, die für die Praxis häufig von Bedeutung sind. Die einzelnen Entschließungen können auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit abgerufen werden.

Des Weiteren sei die verantwortliche Stelle unter bestimmten Umständen aufgrund eigenen Wissens in der Lage, einzelne Nutzer zu identifizieren, etwa wenn sich nur eine einzelne Person im Empfangsbereich des WLAN-Routers aufhält. Auch sei eine Identifikation des oder der Betroffenen zum Beispiel bei Einsatz des Gerätes in Einkaufszentren durch Verknüpfung mit Kreditkarteninformation bei Zahlung an Kassen möglich.

Ebenso bestehe die Möglichkeit, dass die verantwortliche Stelle aufgrund Zusatzwissens eines Dritten die erhobenen Daten einer natürlichen Person zuordnen kann. So böten etwa die Gerätehersteller vielfach eine namentliche Registrierung von Smartphones an. Darüber hinaus könnten MAC-Adressen von Smartphones auch von App-Anbietern ausgelesen werden. Soweit die Nutzer dieser Apps namentlich registriert sind, sei auch auf diese Weise ein Personenbezug herstellbar.

Im Oktober 2016 hat der Europäische Gerichtshof im Urteil zum Verfahren Az. C-582/14 im Hinblick auf dynamische IP-Adressen darauf hingewiesen, dass Zusatzwissen eines Dritten bei der Ermittlung des Personenbezugs unter Umständen zu berücksichtigen ist. IP-Adressen sind personenbezogene bzw. personenbeziehbare Daten, weil die Stammdaten zur jeweiligen IP beim Internet Service Provider (ISP) abgefragt werden können.

Eine andere Sichtweise vertritt die Landesbeauftragte für den Datenschutz Niedersachsen. Sie führt aus, dass die MAC-Adresse grundsätzlich ein personenbeziehbares Datum sein kann. Ob dies der Fall sei, hänge vom Zusatzwissen des Verantwortlichen und den sonstigen Möglichkeiten ab, die Person zu identifizieren.

Nach der letztgenannten Auffassung ist WLAN-Tracking normalerweise zulässig. Der Verantwortliche braucht sich hierfür nicht zu rechtfertigen, weil ein Verstoß gegen die Datenschutz-Grundverordnung nicht in Betracht kommt. Anders ist dies nur, wenn das trackende Unternehmen den Betroffenen identifizieren kann. Hingegen ist nach der ersten Ansicht WLAN-Tracking normalerweise rechtswidrig. Es ist nur dann legal, wenn sich das Unternehmen auf einen Grund im Sinne der Datenschutz-Grundverordnung berufen kann.

MAC-Adresse nicht personenbezogen bei Hash-Verfahren?

Demgegenüber sagen die WLAN-Tracking-Betreiber, dass sie es gar nicht mit personenbezogenen Daten zu tun hätten. Dies begründen sie damit, dass die vom Router erfassten MAC-Adressen durch ein Hash-Verfahren verändert worden seien. Infolgedessen scheide ein Verstoß gegen das Datenschutzrecht aus. Dies trifft allerdings nur dann zu, wenn durch das Hash-Verfahren eine hinreichende Anonymisierung erfolgt ist (vgl. Erwägungsgrund 26 in Verbindung mit Artikel 4, Ziffer 1 der DSGVO). Dies erscheint jedoch fragwürdig. Nach Auffassung des Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht führt das Hash-Verfahren zu keiner Anonymisierung personenbezogener Daten. Dies ergebe sich aus einem Beschluss des VGH Bayern zum Einsatz von Facebook Custom Audience (PDF).

Anders sieht die rechtliche Situation möglicherweise aus, wenn beim Hash-Verfahren das sogenannte Salting-Verfahren verwendet wird. Dieses zeichnet sich dadurch aus, dass die gekürzte MAC-Adresse durch einen neuen zufällig generierten Wert ergänzt wird. Hier erscheint denkbar, dass die Datenschutz-Grundverordnung mangels Personenbezuges nicht anwendbar ist. Dies ergibt sich aus den Ausführungen des Hamburger Datenschutzbeauftragten. Er erklärte auf Nachfrage Folgendes: "Daher sind MAC-Adressen zu kürzen; es ist darauf zu achten, dass durch die Anwendung des Salting-Verfahrens Personenbezüge auf die jeweiligen betroffenen Smartphone-Nutzer ausgeschlossen werden. Im Hinblick auf einen datenschutzkonformen Umgang mit MAC-Adressen finden Sie in unserem Tätigkeitsbericht 2014/2015 in Kap. 2.2 (ab S. 183) einige weitergehende Hinweise."

Bei Anwendung des Salting-Verfahrens besteht allerdings das Problem, dass die jeweiligen Smartphone-Nutzer aufgrund der starken Anonymisierung kaum wiedererkannt werden können, wenn sie erneut von einem WLAN-Scanner erfasst werden. Hier ist WLAN-Tracking kaum sinnvoll, weil die doppelte Zählung von Nutzern nicht verhindert werden kann.

Somit müssen Betreiber von WLAN-Tracking damit rechnen, dass die zuständige Aufsichtsbehörde von der Verarbeitung von personenbezogenen Daten ausgeht. Diese ist nur dann rechtmäßig, wenn sie nach Artikel 6 der DSGVO als Rechtsgrundlage gerechtfertigt ist.

Selbst wenn mit personenbezogenen Daten gearbeitet wird, ist WLAN-Tracking nicht unbedingt verboten, sondern es hängt davon ab, ob die Betroffenen eingewilligt haben.

 WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?So argumentieren WLAN-Tracking-Betreiber 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Top-Angebote
  1. 69,90€ + Versand (Vergleichspreis 100,83€ + Versand)
  2. für 50,96€ mit Code: Osterlion19
  3. (aktuell u. a. ADATA XPG GAMMIX D3 DDR4-3200 8 GB für 49,99€ + Versand)

spaetzlesdrucker 16. Jan 2019

Ja. Da die Beacons nur periodisch ausgesandt werden und auch nur auf dem jeweiligen...

misfit 13. Jan 2019

"Die betroffenen Smartphonenutzer werden darüber nicht informiert und sind daher...

FreiGeistler 13. Jan 2019

Swipe nach unten, tap auf das Wifi-Symbol und Ruhe ist. Das selbe, wenn man Wlan wieder...

Mopsmelder500 12. Jan 2019

ICH WILL JETZT ENDLICH DIE ANGEBOTE Alles offem an meinem Handy, jedem Arsch gebe ich bei...

fox82 10. Jan 2019

Gerichte werden die DSGVO in vielen Details auslegen müssen, etwa was "berechtigtes...


Folgen Sie uns
       


Huawei zu Spionagevorwürfen im Golem.de Interview

Der deutsche Pressesprecher von Huawei erklärt den Umgang mit Spionagevorwürfen.

Huawei zu Spionagevorwürfen im Golem.de Interview Video aufrufen
Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht
Orientierungshilfe
Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Cookie-Banner Deutsche Datenschützer spielen bei Nutzertracking auf Zeit
  2. Fossa EU erweitert Bug-Bounty-Programm für Open-Source-Software
  3. EU-Zertifizierung Neues Gesetz soll das Internet sicherer machen

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

    •  /