Ein ständig wiederkehrendes Thema ist die Nachverfolgung von Nutzern, die besonders für die naturgemäß datenhungrige Werbeindustrie von Interesse ist. Dieses sogenannte Tracking kommt in ganz verschiedener Form einher. Ein sehr genaues Tracking lässt sich mithilfe des GPS erreichen, das bei jedem aktuellen Smartphone zur Grundausstattung gehört. Bevor GPS-Daten durch Apps genutzt werden können, fragt die App auf dem Smartphone nach, ob sie den Standort verwenden darf oder teilt dies vor der Installation der App mit. Zumindest in diesen Fällen hat der Nutzer noch Kontrolle darüber, welche App seine Standortdaten verarbeiten darf und kann gegebenenfalls auch entsprechende Berechtigungen entziehen. Schwieriger wird es dann, wenn der Nutzer vom Tracking keine Kenntnis erhält. Hier kommt dann vor allem das WLAN-Tracking ins Spiel, welches nicht auf GPS-Daten angewiesen ist und trotzdem Aussagen über den Standort des Nutzers machen kann.

Wie kann ich per WLAN getrackt werden?

Dass das Tracking im WLAN so gut funktioniert, ist der dahinterliegenden Technik geschuldet. Schließlich möchten wir in der Regel, dass sich unser Smartphone oder unser Laptop automatisch mit einem bekannten WLAN verbindet, wenn es in der Nähe ist. Auf irgendeine Art und Weise muss aber unser Smartphone erst einmal herausfinden, welches WLAN sich in der Nähe befindet. Um das zu erfahren, kommuniziert unser Smartphone mit allen in Reichweite befindlichen WLAN-Basisstationen. Damit der WLAN-Router auch weiß, von wem die Nachricht kommt, schickt unser Smartphone eine eindeutige ID mit, die MAC-Adresse. Im Anschluss an die Anmeldung bekommt unser Smartphone nun eine IP-Adresse, die anhand der MAC-Adresse zugewiesen wird. Das Feature, das es uns ermöglicht, automatisch mit WLANs zu verbinden, führt aber auch dazu, dass jeder, der einen WLAN Empfänger in Reichweite aufstellt, von jedem Smartphone in der Nähe die MAC-Adressen mitbekommt – inklusive der Signalstärke. Der Betreiber des WLAN-Empfängers weiß somit, dass sich ein Smartphone mit einer bestimmten MAC-Adresse in der Nähe aufhält und kann anhand der Signalstärke auch die Entfernung zum WLAN-Empfänger abschätzen. Je mehr WLAN-Stationen der Betreiber nun an verschiedenen Orten aufstellt, desto genauer kann er bestimmen, wo sich das Gerät befindet, da sich der Abstand zu den Stationen in etwa an der Signalstärke ablesen lässt. Hierdurch ist es möglich, den Nutzer zu tracken, auch wenn sich sein Smartphone gar nicht mit dem WLAN-Empfänger verbunden hat.

Wie sieht das ganze rechtlich aus?

Zuallererst muss man sich hier die Frage stellen, ob ein solches Tracking überhaupt eine datenschutzrechtliche Rolle spielt. Dreh- und Angelpunkt ist hier die Frage, ob die MAC-Adresse ein personenbezogenes Datum ist, worüber es – wie so oft bei den Juristen – Streit gibt. Während einige Aufsichtsbehörden davon ausgehen, dass es sich hier immer um ein personenbezogenes Datum handelt, geht z. B. die Aufsichtsbehörde in Niedersachsen einen vermittelnden Weg und sieht nur dann einen Personenbezug, wenn Zusatzinformationen vorhanden sind, die den Nutzer identifizieren. Das EuGH-Urteil (C-582/14), wonach IP-Adressen personenbezogene Daten sein können, lässt sich nicht unmittelbar auf MAC-Adressen übertragen. Denn es gibt im Hinblick auf MAC-Adressen keine Datenbank des Internetproviders mit der entsprechenden Zuordnungsmöglichkeit.
Allerdings kann in vielen Fällen auch ohne die Datenbank eines Internetproviders ein Personenbezug hergestellt werden: Beispielhaft stelle man sich das Tracking in einer Einkaufspassage vor. Hier erhält der Betreiber eine Vielzahl verschiedener MAC-Adressen der Besucher. Einige von diesen Besuchern sind nun vielleicht Touristen und haben sich eine Tourismus-App der Stadt installiert und sich für die App ein Konto erstellt. Diese App liest nun die MAC-Adresse des Gerätes aus (auch wenn das bei iOS und Android zunehmend erschwert wird) und sagt der Stadt, welcher Besucher welche MAC-Adresse besitzt. Die MAC-Adresse des Nutzers lässt sich dann einem Nutzerkonto zuweisen. Auch nach dem relativen Ansatz einiger Aufsichtsbehörden besteht in diesem Fall folglich ein Personenbezug. Aber auch der Betreiber eines Routers, kann aufgrund der aufgerufenen Seiten bzw. bei Hotspots aufgrund von Login Seiten einen Personenbezug herstellen, nachdem sich Nutzer dort angemeldet haben.
Meiner Meinung nach lässt sich sehr gut vertreten, dass MAC-Adressen ohne Zusatzinformationen kein personenbezogenes Datum darstellen. Da dies aber auch anders gesehen wird, soll im Folgenden darauf eingegangen werden, wie sich das WLAN-Tracking möglichst rechtssicher gestalten lässt.
Welche Rechtsgrundlage kommt in Frage?
Naturgemäß lässt sich, anders als bei den Apps, nicht nachfragen, ob jemand getrackt werden möchte, weil es technisch nicht möglich ist, auf MAC-Adressebene eine Einwilligung einzuholen. Hier findet nur eine technische Kommunikation statt, von der der Nutzer nichts mitbekommt. Regelmäßig wird ein Nutzer auch nicht verfolgt werden wollen, sodass auch nicht von einer mutmaßlichen Einwilligung ausgegangen werden kann.

Tracking über die Interessenabwägung

Es bleibt noch die Möglichkeit einer Verarbeitung über Art. 6 Abs. 1 lit. f DSGVO, wonach eine Verarbeitung zulässig ist, nachdem man das Interesse des Betroffenen (des Smartphonenutzers) gegen das Interesse des Verantwortlichen (in unserem Beispiel die Stadt) abwägt. Legt man nun z. B. die bessere Planung der Verkehrswege in der Innenstadt auf Seiten des Verantwortlichen in die Waagschale und auf Seiten des Betroffenen sein Recht auf informationelle Selbstbestimmung, kommt es ganz entscheidend darauf an, was mit der MAC-Adresse weiter geschieht. Zu empfehlen wäre grundsätzlich aus der MAC einen Hash zu erstellen (eine Funktion, die aus einer Zeichenfolge einen eindeutigen anderen Wert generiert, der sich nicht zurückrechnen lässt) und nur mit diesem weiter zu arbeiten. Wird die MAC (der Hash) nur für ein paar Sekunden zur Zählung gespeichert und anschließend nicht weiterverarbeitet, ließe sich gut vertreten, dass hier das Interesse des Betroffenen ausreichend gewahrt ist. Für den Fall, dass die MAC-Adresse für einen sehr langen Zeitraum (z. B. mehr als drei Monate) gespeichert wird, könnte wiederum das Interesse des Betroffenen überwiegen. Auch wenn die Stadt noch anderswo Zählungen durchführt und hier die MAC-Adresse zusammenführt, liegt ein deutlich stärkerer Eingriff in die Rechte des Betroffenen vor, sodass hier womöglich das Interesse des Betroffenen überwiegen würde, weil der Personenkreis, der sich an beiden Orten aufhält, deutlich geringer ist und sich die Betroffenen einfacher identifizieren lassen. Mit dem Art. 6 Abs. 1 lit. f DSGVO geht dann auch noch das Widerspruchsrecht des Betroffenen nach Art. 21 Abs. 1 DSGVO einher, auf das der Verantwortliche hinweisen muss. In der Praxis gibt es für die Umsetzung des Widerspruchs kaum eine andere (praktikable) Lösung, als das WLAN auszuschalten. Ein weiterer Ansatz könnte eine Datenbank mit Widerspruchsmöglichkeiten sein, z. B. hier: https://optout.smart-places.org/. Dort kann die eigene MAC-Adresse eingetragen werden, um klarzustellen, dass man nicht getrackt werden möchte. Diese Datenbank wird dann von dem WLAN-Tracking-Anbieter geprüft, sodass die MAC-Adressen auf dieser Liste nicht getrackt werden. Möchte man ein WLAN-Tracking also rechtssicher aufziehen, sollte man bei den Zugangsbereichen zu den „Tracking-Zonen“ Schilder mit entsprechenden Informationen nach Art. 13 DSGVO aufstellen (also u. a. was zu welchem Zweck mit den Daten passiert) und auf das Widerspruchsrecht hinweisen.

Fazit

Für das möglichst rechtssichere Tracking sollten die Besucher vorher über das Tracking informiert und über das Widerspruchsrecht belehrt werden (vor allem, wie dieses umgesetzt wird). Die Daten sollten so kurz wie möglich gespeichert werden. Im Übrigen empfiehlt es sich, die MAC-Adresse nur als Hash weiter zu verarbeiten. Weitere Informationen zu dem Thema finden Sie unter https://www.datenschutz-notizen.de/?s=wlan-tracking

| | , |