Abo
  • Services:

Die rechtliche Situation ist kompliziert

Inwieweit WLAN-Tracking datenschutzrechtlich zulässig ist, richtet sich erst einmal danach, ob mit personenbezogenen Daten gearbeitet wird. Ist das der Fall, muss es dafür einen Grund geben, den die Datenschutz-Grundverordnung (DSGVO) anerkennt. Ihre Regelungen sind aber nicht sehr eindeutig.

Stellenmarkt
  1. Bosch Gruppe, Wernau (Neckar)
  2. ITC Consult GmbH, Wiesbaden

Schon die Frage, ob die erfassten sowie gespeicherten MAC-Adressen der Smartphone-Nutzer personenbezogene Daten nach Artikel 2 Absatz 1 der DSGVO darstellen, ist rechtlich umstritten. Die Datenschutz-Grundverordnung enthält hierzu keine klare Aussage. Die Definition der personenbezogenen Daten in Artikel 4, Ziffer 1 DSGVO ist kompliziert formuliert. Es kommt insbesondere darauf an, ob aufgrund der MAC-Adresse der Smartphone-Nutzer identifizierbar ist. Identifizierbar ist eine Person, "die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind".

Ob danach die Smartphone-Nutzer identifizierbar sind, dazu gibt es bisher keine einschlägigen Gerichtsentscheidungen. Die Datenschutz-Aufsichtsbehörden der einzelnen Bundesländer vertreten unterschiedliche Standpunkte.

Der Hamburgische Beauftragte für Datenschutz- und Informationsfreiheit, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, die Landesdatenschutzbeauftragte von Schleswig-Holstein, die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen sowie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg gehen davon aus, dass das der Fall ist. Sie vertreten die Auffassung, dass es sich bei der MAC-Adresse immer um personenbezogene Daten handelt.

Diese Datenschützer begründen ihre Auffassung damit, dass in der DSGVO deutlich ausgedrückt wird, dass MAC-Adressen personenbezogene Daten sind. Denn in der Definition der personenbezogenen Daten sei von Kennungen, Kennnummern und Online-Kennungen die Rede. Darüber hinaus berufen sie sich darauf, dass die MAC-Adressen der einzelnen Endgeräte den betroffenen Smartphone-Nutzern zugeordnet werden können. Die Betreiber von WLAN-Tracking könnten zurückgelegte Wege oder wiederholte Besuche bestimmter Orte nachverfolgen und Bewegungsprofile erstellen. Bereits der Düsseldorfer Kreis habe in seiner Orientierungshilfe vom 16. Juni 2014 herausgearbeitet, dass eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät beziehungsweise der Karte verbunden sind, regelmäßig durch verschiedene Stellen einer Person zugeordnet werden können (PDF). Bei dem Düsseldorfer Kreis handelt es sich um ein Gremium, das aus den Aufsichtsbehörden für den Datenschutz des Bundes und der einzelnen Bundesländer im nicht öffentlich-rechtlichen Bereich besteht. Es trifft Beschlüsse, die für die Praxis häufig von Bedeutung sind. Die einzelnen Entschließungen können auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit abgerufen werden.

Des Weiteren sei die verantwortliche Stelle unter bestimmten Umständen aufgrund eigenen Wissens in der Lage, einzelne Nutzer zu identifizieren, etwa wenn sich nur eine einzelne Person im Empfangsbereich des WLAN-Routers aufhält. Auch sei eine Identifikation des oder der Betroffenen zum Beispiel bei Einsatz des Gerätes in Einkaufszentren durch Verknüpfung mit Kreditkarteninformation bei Zahlung an Kassen möglich.

Ebenso bestehe die Möglichkeit, dass die verantwortliche Stelle aufgrund Zusatzwissens eines Dritten die erhobenen Daten einer natürlichen Person zuordnen kann. So böten etwa die Gerätehersteller vielfach eine namentliche Registrierung von Smartphones an. Darüber hinaus könnten MAC-Adressen von Smartphones auch von App-Anbietern ausgelesen werden. Soweit die Nutzer dieser Apps namentlich registriert sind, sei auch auf diese Weise ein Personenbezug herstellbar.

Im Oktober 2016 hat der Europäische Gerichtshof im Urteil zum Verfahren Az. C-582/14 im Hinblick auf dynamische IP-Adressen darauf hingewiesen, dass Zusatzwissen eines Dritten bei der Ermittlung des Personenbezugs unter Umständen zu berücksichtigen ist. IP-Adressen sind personenbezogene bzw. personenbeziehbare Daten, weil die Stammdaten zur jeweiligen IP beim Internet Service Provider (ISP) abgefragt werden können.

Eine andere Sichtweise vertritt die Landesbeauftragte für den Datenschutz Niedersachsen. Sie führt aus, dass die MAC-Adresse grundsätzlich ein personenbeziehbares Datum sein kann. Ob dies der Fall sei, hänge vom Zusatzwissen des Verantwortlichen und den sonstigen Möglichkeiten ab, die Person zu identifizieren.

Nach der letztgenannten Auffassung ist WLAN-Tracking normalerweise zulässig. Der Verantwortliche braucht sich hierfür nicht zu rechtfertigen, weil ein Verstoß gegen die Datenschutz-Grundverordnung nicht in Betracht kommt. Anders ist dies nur, wenn das trackende Unternehmen den Betroffenen identifizieren kann. Hingegen ist nach der ersten Ansicht WLAN-Tracking normalerweise rechtswidrig. Es ist nur dann legal, wenn sich das Unternehmen auf einen Grund im Sinne der Datenschutz-Grundverordnung berufen kann.

MAC-Adresse nicht personenbezogen bei Hash-Verfahren?

Demgegenüber sagen die WLAN-Tracking-Betreiber, dass sie es gar nicht mit personenbezogenen Daten zu tun hätten. Dies begründen sie damit, dass die vom Router erfassten MAC-Adressen durch ein Hash-Verfahren verändert worden seien. Infolgedessen scheide ein Verstoß gegen das Datenschutzrecht aus. Dies trifft allerdings nur dann zu, wenn durch das Hash-Verfahren eine hinreichende Anonymisierung erfolgt ist (vgl. Erwägungsgrund 26 in Verbindung mit Artikel 4, Ziffer 1 der DSGVO). Dies erscheint jedoch fragwürdig. Nach Auffassung des Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht führt das Hash-Verfahren zu keiner Anonymisierung personenbezogener Daten. Dies ergebe sich aus einem Beschluss des VGH Bayern zum Einsatz von Facebook Custom Audience (PDF).

Anders sieht die rechtliche Situation möglicherweise aus, wenn beim Hash-Verfahren das sogenannte Salting-Verfahren verwendet wird. Dieses zeichnet sich dadurch aus, dass die gekürzte MAC-Adresse durch einen neuen zufällig generierten Wert ergänzt wird. Hier erscheint denkbar, dass die Datenschutz-Grundverordnung mangels Personenbezuges nicht anwendbar ist. Dies ergibt sich aus den Ausführungen des Hamburger Datenschutzbeauftragten. Er erklärte auf Nachfrage Folgendes: "Daher sind MAC-Adressen zu kürzen; es ist darauf zu achten, dass durch die Anwendung des Salting-Verfahrens Personenbezüge auf die jeweiligen betroffenen Smartphone-Nutzer ausgeschlossen werden. Im Hinblick auf einen datenschutzkonformen Umgang mit MAC-Adressen finden Sie in unserem Tätigkeitsbericht 2014/2015 in Kap. 2.2 (ab S. 183) einige weitergehende Hinweise."

Bei Anwendung des Salting-Verfahrens besteht allerdings das Problem, dass die jeweiligen Smartphone-Nutzer aufgrund der starken Anonymisierung kaum wiedererkannt werden können, wenn sie erneut von einem WLAN-Scanner erfasst werden. Hier ist WLAN-Tracking kaum sinnvoll, weil die doppelte Zählung von Nutzern nicht verhindert werden kann.

Somit müssen Betreiber von WLAN-Tracking damit rechnen, dass die zuständige Aufsichtsbehörde von der Verarbeitung von personenbezogenen Daten ausgeht. Diese ist nur dann rechtmäßig, wenn sie nach Artikel 6 der DSGVO als Rechtsgrundlage gerechtfertigt ist.

Selbst wenn mit personenbezogenen Daten gearbeitet wird, ist WLAN-Tracking nicht unbedingt verboten, sondern es hängt davon ab, ob die Betroffenen eingewilligt haben.

 WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?So argumentieren WLAN-Tracking-Betreiber 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Top-Angebote
  1. (aktuell u. a. Sony 65-Zoll-TV 789€)
  2. 5,00€
  3. 49,99€ (spare 4€ zusätzlich bei Zahlung mit Paysafecard) - Release am 15.3.
  4. 39,95€

spaetzlesdrucker 16. Jan 2019 / Themenstart

Ja. Da die Beacons nur periodisch ausgesandt werden und auch nur auf dem jeweiligen...

misfit 13. Jan 2019 / Themenstart

"Die betroffenen Smartphonenutzer werden darüber nicht informiert und sind daher...

FreiGeistler 13. Jan 2019 / Themenstart

Swipe nach unten, tap auf das Wifi-Symbol und Ruhe ist. Das selbe, wenn man Wlan wieder...

Mopsmelder500 12. Jan 2019 / Themenstart

ICH WILL JETZT ENDLICH DIE ANGEBOTE Alles offem an meinem Handy, jedem Arsch gebe ich bei...

fox82 10. Jan 2019 / Themenstart

Gerichte werden die DSGVO in vielen Details auslegen müssen, etwa was "berechtigtes...

Kommentieren


Folgen Sie uns
       


Touch-Projektoren von Bosch angesehen (CES 2019)

Die Projektoren von Bosch erlauben es, das projizierte Bild als Touch-Oberfläche zu verwenden. Das ergibt einige interessante Anwendungsmöglichkeiten.

Touch-Projektoren von Bosch angesehen (CES 2019) Video aufrufen
IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer

Elektromobilität: Der Umweltbonus ist gescheitert
Elektromobilität
Der Umweltbonus ist gescheitert

Trotz eines spürbaren Anstiegs zum Jahresbeginn kann man den Umweltbonus als gescheitert bezeichnen. Bislang wurden weniger als 100.000 Elektroautos gefördert. Wenn der Bonus Ende Juni ausläuft, sind noch immer einige Millionen Euro vorhanden. Die Fraktion der Grünen will stattdessen Anreize über die Kfz-Steuer schaffen.
Eine Analyse von Dirk Kunde

  1. Elektromobilität Nikola Motors kündigt E-Lkw ohne Brennstoffzelle an
  2. SPNV Ceské dráhy will akkubetriebene Elektrotriebzüge testen
  3. Volkswagen Electrify America nutzt Tesla-Powerpacks zur Deckung von Spitzen

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


      •  /