„Stadtmarketing will Kunden in der City zählen und erfasst Passanten, die ihr WLAN auf Empfang gestellt haben.“
So titelte das Hamburger Abendblatt auf seiner Internetseite am 11.10.2017 über ein Projekt der Stadt Pinneberg. Ziel ist das Erfassen von Kundenströmen und die Neuansiedlung von Unternehmen in der Pinneberger Innenstadt.
Wie funktioniert das?
Dieses Verfahren findet bereits Millionenfach tagtäglich in Deutschland (und weltweit) statt, wenn auch unbewusst bzw. ungewollt und basiert auf einem ganz einfachen Prinzip. Jedes elektronische Gerät, dass die Möglichkeit des Zugangs zu einem Netzwerk hat, verfügt über eine sogenannte MAC-Adresse (Media-Access-Control-Adresse). Diese MAC-Adresse macht das Gerät einzigartig. Wenn das Gerät über eine WLAN-Funktion verfügt und diese aktiviert ist, wird ununterbrochen versucht, sich in ein WLAN einzuloggen. Damit dies möglich ist, wird die MAC-Adresse stets mit übermittelt, um eine Zuordnung zu ermöglichen. Erkennt das WLAN bzw. der dahinterstehende Router das anfragende Gerät als berechtigt, wird Zugriff auf das WLAN gewährt. Andernfalls wird der Zugriff verweigert. In jedem Fall dokumentiert der Router die Anfrage und damit die Mac-Adresse.
Diesen Prozess kann jeder zu Hause nachvollziehen, der einen Router (z.B eine Fritz Box) mit einem sichtbaren aktivierten WLAN (Standardeinstellung) hat. Über die Menü-Punkte „WLAN“ –> „Funknetz“ –> „Erfolglose Anmeldeversuche anzeigen“ werden die von der Fritz Box abgelehnten Anfragen gespeichert.
Nach dem gleichen Prinzip soll die Kundenstromerfassung erfolgen. Durch den Dienstleister Vitracom AG sollen in der Einkaufspassage Boxen aufgestellt werden, die die Existenz eines WLAN suggerieren. Das mobile Gerät des Passanten interagiert, bei eingeschalteter WLAN-Funktion, mit den Boxen und überträgt dabei auch die MAC-Adresse. Diese sollen nach Angaben der Vitracom AG anschließend gehasht werden. Das bedeutet, dass die Adresse nach einem definierten mathematischen Verfahren verändert wird. Der sich ergebende Hashwert kann nicht in die MAC-Adresse zurückgerechnet werden. Allerdings ergibt dieselbe MAC-Adresse bei demselben definierten mathematischen Verfahren immer denselben Hashwert. Hierdurch kann eine erneute Erhebung festgestellt und dadurch Mehrfachzählungen ausgeschlossen werden. Dies führt aber auch dazu, dass durch Probieren von MAC-Adressen die dazugehörenden Hashwerte individuell ermittelt werden können. Dies kann nur durch die Verwendung eines sog. salt verhindert werden. Hierbei wird der Hash um eine zufällig gewählte Zeichenfolge ergänzt. Da diese bei jeder Umrechnung wechselt, ist eine Zuordnung zwischen MAC-Adresse und Hashwert nicht mehr möglich.
Aufgrund der lebenslangen Verknüpfung von MAC-Adresse mit dem mobilen Gerät ist nach Ansicht des Düsseldorfer Kreises ein Personenbezug hinsichtlich des Geräteinhabers zu bejahen. In seiner Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter stellt er klar:
„Eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät bzw. der Karte verbunden sind, können regelmäßig durch verschiedene Stellen einer Person zugeordnet werden. So werden die Kennungen mitunter von den Netzbetreibern gemeinsam mit dem Namen etc. einer Person gespeichert oder die Kennungen in Verbindung mit einer Registrierung der registrierten Person zugeordnet. Die bekanntesten Kennungen sind die:
- IMEI: International Mobile Equipment Identity (=Gerätenummer)
- UDID: Unique Device ID (=Gerätenummer eines iOS-Gerätes)
- IMSI: International Mobile Subscriber Identity (=Kartennummer)
- MAC-Adresse: Media AccessControl-Adresse (=Hardware-Adresse eines Netzwerkadapters)
- MSISDN: Mobile Subscriber ISDN-Number (=Mobilfunknummer)“
Wird der Hashwert nicht mit einem Salt versehen, setzt sich der Personenbezug am Hashwert fort. Dieser kann anschließend für differenzierte Bewegungsprofile der jeweiligen Geräte genutzt werden, die umso aussagekräftiger werden, je öfter sich das Geräte in dem erfassten Bereich befindet. Besonders Anwohner und Mitarbeiter der Einkaufspassage dürften hier besonders stark beeinträchtigt sein.
Da das gesamte Verfahren von verschiedenen Seiten kritisch gesehen wird, wurde mittlerweile die Bundesdatenschutzbeauftragte durch einen lokalen Politiker mit der Bitte um rechtliche Prüfung eingeschaltet. Dieser stellte insbesondere den Aspekt der fehlenden Benachrichtigung der Betroffenen heraus. Diese wissen gar nicht, dass Informationen Ihres mobilen Gerätes weiterverarbeitet werden.
Fazit
Das Verfahren ist, wenn die Zuordnung der Hashwerte bestehen bleibt, durchaus kritisch zu sehen. Im Hinblick auf die DS-GVO wird in diesem Zusammenhang interessant, wie die Informationspflichten nach Art. 13 DS-GVO, die bei Datenerhebung, zu erfüllen sind, umgesetzt werden.
Als potentiell Betroffener kann man sich letztlich nur dann der Erkennung entziehen, wenn die nicht benötigten Kommunikationsfunktionen ausgeschaltet werden. Positiver Nebeneffekt in vielen Fällen ist die damit einhergehende Reduzierung des Akkuverbrauchs.
8. November 2017 @ 18:23
korrekt! Das Verfahren ist ein sog. Probe-Loggin oder -Sniffing. Der logger (Router) muß keine SSID haben das WiFi Gerät sendet (zZt) freiwillig seine ID und die letzte BSSID mit dem es verbunden war in die Welt hinaus. Also keinerlei ‚privacy by design‘ der Endgeräte. Dies ist leider auch ein weiterer Knackpunkt der ePR-Wunschliste die leider ohne Markt und Technik -Verständnis von der EU erstellt wurde…
6. November 2017 @ 15:13
Wahrscheinlich nicht, da das Mobilgerät in den Anfragen, ob denn diese bekannten WLANs in der Nähe sind (sog. „Probe“-Pakete) ebenfalls seine MAC-Adresse preisgibt.
6. November 2017 @ 14:09
Hm, so ganz verstehe ich das nicht. Ein Salt wird ja normalerweise immer zusammen mit dem Hashwert gespeichert, eben _weil_ der unrsprüngliche Wert (also hier die MAC) wiedererkannt werden soll (siehe https://de.wikipedia.org/wiki/Salt_(Kryptologie)). Wenn der Salt-Wert nicht gespeichert wird und jedesmal neu vergeben wird (was ich dann aber als „Seed“ bezeichnen würde, https://de.wikipedia.org/wiki/Seed_key), kann aber der Inhaber des Devices gar nicht mehr verfolgt werden — was der Intention der Methode widersprechen würde. Eine Möglichkeit wäre, wenn jeden Tag ein neuer, aber für diesen Tag konstanter Seed-Wert verwendet wird. Ob das aber den Datenschutzvorgaben entsprechen würde, kann ich nicht abschließend beurteilen.
4. November 2017 @ 9:19
Demnach schützt auch die Einstellung nur mit bekannten WLAN zu verbinden nichts, oder?
6. November 2017 @ 14:25
@Wil B: Das ist eine sehr gute Frage. So wie ich das 801.11-Protokoll verstanden habe, gibt es eigentlich keinen Grund, auf einen „Advertising-Broadcast“ zu antworten, wenn ein Gerät die SSID nicht bedienen will.