Ihr Smartphone ist auf der stetigen Suche nach WLAN-Verbindungen. Durch WLAN-Tracking können Bewegungsprofile erstellt werden. Wir geben Beispiele und beleuchten die Problematik aus Sicht des Datenschutzes.
Wer ist wo, wie lange?
Die Ortung von Personen über ihr Handysignal verrät Ladenbesitzern, wie viele Personen an ihrem Geschäft vorbeigehen und wie sich Kunden im Geschäft bewegen. Ziel des Konsumententracking ist natürlich, den Erlös pro Quadratmeter Verkaufsfläche zu optimieren und obendrein eine engere Geschäftsverbindung mit dem Kunden aufzubauen.
Manche Geschäfte rechtfertigen sich, dass Online-Händler schließlich auch die Daten ihrer Kunden sammeln. Kaufhäuser würden über das Kundentracking nun lediglich nachziehen.
Jedes Mobiltelefon mit aktiviertem WLAN ist ständig auf der Suche nach einer WLAN-Verbindung, in die es sich einloggen kann. Diese vom Telefon ausgesandten Signale werden registriert und anhand der Signalstärke ausgewertet. Anhand der Daten wird klar, wo sich gerade, wie viele Kunden aufhalten und wie sie sich bewegen. Vor welchen Produkten verweilen sie wie lange, welche werden ignoriert?
Beispiele von WLAN-Tracking
Es bedarf nicht unbedingt eines mitgeführten Smartphones. Im Logistik-Umfeld wird WLAN-Tracking zur Wegeoptimierung von Gabelstablern genutzt. Unter Idealbedingungen ist eine auf 0,5 m genaue Ortung möglich. Auch an Einkaufswagen können WLAN-Tags angebracht werden, womit diese permanent lokalisierbar sind.
Als erstes Museum der Welt setzt das Museum Industriekultur (Nürnberg) ein System ein, welches mithilfe von WLAN-basierter Ortung Informationen und Orientierung bietet. Auch der Helmut Schmidt Airport Hamburg setzt WLAN-Tracking ein.
Auf der re:publica 2013 wurde eine mehrtägige Besucherstromanalyse mittels WLAN-Tracking erstellt. Das Ergebnis sieht faszinierend aus.
Realisiert von OpenDataCity. Unterstützt durch picocell und newthinking.
Betrifft das den Datenschutzbeauftragten?
Die MAC-Adresse wird als personenbezogene Daten angesehen und fällt unter den Datenschutz. Eine Legitimation über Einwilligungserklärungen, scheitert an der praktischen Umsetzbarkeit. Ein berechtigtes Interesse besteht, denn es ist im Sinne der Geschäfte zu wissen, ob die Produkte optimal platziert sind oder ob genügend Verkaufspersonal bereitsteht. Allerdings stehen dem gegenüber die berechtigten schutzwürdigen Interessen der Betroffenen. Daher bietet auch Artikel 6 Abs. 1 (f) DSGVO keine Rechtsgrundlage.
Bedenken Sie auch den Mitarbeiterdatenschutz. Die Überwachung des Personals sollte ebenfalls ausgeschlossen werden.
WLAN-Tracking datenschutzkonform nutzen
Die hier vorgestellten Verfahren lassen sich nur rechtskonform nutzen, wenn sie so konfiguriert sind, dass eine Verarbeitung von personenbezogenen Daten gänzlich unterbleibt. Die MAC-Adresse lässt sich anonymisieren, in dem man sie mit einer zufälligen Zahlenreihe ergänzt („salzen“) und aus der erweiterten Adresse einen Hashwert bildet. Oder, wie im Bespiel des Einkaufswagens, man setzt auf eigene Geräte, die die Kundenbewegung aufzeichnen ohne auf Kundendaten zurückzugreifen.
Natürlich können auch wir selbst etwas für unseren täglichen, persönlichen Datenschutz tun: Das WLAN und die Ortungsdienste auf dem Mobiltelefon abschalten. Hier finden Sie weitere Tipps für eine sichere Smartphone-Nutzung.
Über den Autor
Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:
Die MAC-Adresse wird als personenbezogenes Datum angesehen? Ist das inzwischen definitiv klar?
Wie erfolgt bei der Messung von Besucherströmen die Zuordnung (da gerätebezogenen) zu dem jeweiligen Betroffenen? Ich gehe davon aus, dass sich nicht massenhaft Besucher in das Netzwerk des Ladenbesitzer einloggen.
Ist es nicht vielmehr so, dass die MAC-Adresse unter bestimmten Umständen ein personenbezogenens Datum sein kann, wenn z.B. ein Unternehmen Geräte ausgibt und über eine Zurodnungstabelle die MAC-Adresse des Gerätes einer Person zu zuordnen ist und sie so identifizierbar macht?
Die Aussage: „Ohne weitere Zusatzinformationen ist die MAC-Adresse kein personenbezogenes Datum“ basiert evtl. auf der Aussage der Art. 29-Gruppe im WP 185:
„Die Kombination einer MAC-Adresse mit einem bekannten Access Point ist als personenbezogenes Datum zu behandeln.“
In der Praxis haben sich die Aufsichtsbehörden der Länder schon seit einigen Jahren positioniert. Das BayLDA schreibt in seinem Tätigkeitsbericht 2013/14 zum Beispiel:
„Aus diesen Gründen sieht das BayLDA gerätebezogene Identifikationsdaten wie die MAC-Adresse als personenbezogenes Datum und damit die Anwendbarkeit des Bundesdatenschutzrechts als gegeben an.“
Gerade bezogen auf den Bereich WLAN-Tracking hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit dies für die Fraport AG untersucht und in seinem Tätigkeitsbericht 2014 auf Seite 198 ausgeführt:
„Weder die Installation der FraApp noch die Registrierung am WLAN-Access-Point fand statt. Dann wird beim eingeschalteten WLAN die MAC-Adresse erfasst. Bei diesem Szenario komme ich zu dem Schluss, dass die MAC-Adressen als personenbezogene Daten anzusehen sind und den Regelungen des Hessischen Datenschutzgesetzes/Bundesdatenschutzgesetzes unterliegen. Durch die Zuziehung von Zusatzinformationen ist es grundsätzlich möglich, eine Identifizierung des Gerätebesitzers durchzuführen. Bei der Internetnutzung entstehen viele Situationen, in denen MAC-Adressen mit identifizierenden Daten verknüpfbar sind, insbesondere bei werbefinanzierten Smartphone Apps oder bei der Anmeldung an Web-Portalen. Somit sind die MAC-Adressen als personenbeziehbare Daten einzustufen.“
Entsprechend wurden mit der Fraport AG ein Konzept entwickelt, bei dem mit einem SALT-Wert der Personenbezug der MAC-Adresse unterbunden wird.
Leider ist es so, dass nach einem der letzten iOS-Updates das WLAN nicht mehr ganz einfach zu deaktivieren ist. Wenn es im Control-Center ausgeschaltet wird, scannt es im Hintergrund dennoch weiter. Die Hersteller machen es einem somit denkbar schwer, sich verantwortlich zu verhalten.
Warum soll Art. 6 I f DSGVO nicht ausreichen? Im Text stellt sich die Aussage dar, als würde das bloße Existieren von Interessen (nicht „berechtigten“, das steht in 6 I f auf Betroffenen-Seite nicht) der Betroffenen ausreichen. Immerhin verlangt das Gesetz ein „überwiegendes Interesse“ auf Seiten der Betroffenen, abgemildert durch die „vernünftigen Erwartungen“. Schade, dass in der Auslegung das Gesetz immer strenger betrachtet wird, als es im Ergebnis/im Einzelfall überhaupt gefordert ist. Gerade die „vernünftigen Erwartungen“ sind doch das bewegliche, zukunftsgerichtete Element in der ganzen Abwägung. Man vergibt sich hier unnötig Möglichkeiten.
Ja, ein Ladenbesitzer hat ein Interesse an den Kundenbewegungen in seinem Geschäft. Aber welchen Nutzen zieht er aus personenbezogenen Daten? Reicht es nicht, diese Daten anonym zu erheben, um die nötigen Anpassungen vorzunehmen? Je eingriffsintensiver die Messung, desto mehr überwiegen die schutzwürdigen Interessen der Betroffenen.
Hallo, ich habe eine Frage bezüglich der Anonymisierung bzw. Pseudonymisierung der MAC Adresse. Im Text steht, dass man die MAC Adresse durch die Salt-Methode anonymisieren kann. Müsste es aber nicht vielmehr heißen, dass die einstige (und wie festgestellt personenbezogene) MAC Adresse pseudonymisiert wird? Vielen Dank für eine kurze Ausführung, weshalb von Anonymisieren gesprochen wird.
Weitere Informationen zur Salt-Methode erhalten Sie in unserem Artikel:
https://www.dr-datenschutz.de/passwort-sicherer-mit-hash-und-salt/