Vor einiger Zeit hatten wir über die datenschutzrechtliche Zulässigkeit des WLAN-Trackings berichtet. Hier sind wir zu dem Ergebnis gekommen, dass ein solches Tracking zulässigerweise durchgeführt werden kann, wenn man einige Maßnahmen trifft. Dieser Auffassung hat sich nun die Aufsichtsbehörde in Schleswig-Holstein entgegen gestellt.

Im Tätigkeitsbericht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) (https://www.datenschutzzentrum.de/tb/tb37/uld-37-taetigkeitsbericht-2019.pdf S. 97-99) kommt die Aufsichtsbehörde zu dem Ergebnis, dass WLAN-Tracking zur Besucherzählung unzulässig sei. Begründet wird das damit, dass MAC-Adressen personenbezogene Daten seien und ein Tracking von Nutzern generell unzulässig sei. Es wird hier leider weder darauf eingegangen, warum (und wann) MAC-Adressen überhaupt personenbezogene Daten sein sollen, noch auf den Umstand, dass eine Messung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO möglich sein könnte, wenn bestimmte Vorkehrungen zum Datenschutz getroffen werden.

Was sind MAC-Adressen überhaupt?

Um sich zu der Frage des Personenbezugs eine Meinung bilden zu können, sollte erläutert werden, was MAC-Adressen überhaupt sind. Es handelt sich hierbei um Hardwareadressen des Netzwerkadapters des jeweiligen Gerätes. Im Fall der Besuchermessung, um die des WLAN-Adapters. Damit ein Smartphone über ein WLAN überhaupt mit dem Internet (oder Netzwerk) kommunizieren kann, braucht es eine IP-Adresse. Diese bekommt es vom WLAN-Zugangspunkt. Das Smartphone teilt dem WLAN-Zugangspunkt seine MAC-Adresse mit und bekommt daraufhin eine IP-Adresse zugewiesen. Die MAC-Adresse liegt also eine Kommunikationsschicht unterhalb der IP-Adresse. Ab diesem Punkt spielt die MAC-Adresse keine wirkliche Rolle mehr in der Kommunikation, weil der Datenverkehr über die IP abgewickelt wird. Der WLAN-Zugangspunkt weiß nicht, zu welchem Gerät bzw. Eigentümer die MAC-Adresse gehört, weil es – anders als etwa beim Internetzugangsanbieter – keine Datenbank gibt, anhand derer man eine solche Zuweisung vornehmen könnte. Die WLAN-Besuchermessung funktioniert vereinfacht gesagt nach dem Prinzip, dass in der Nähe nach Geräten mit MAC-Adressen gesucht wird. Damit der Betreiber des WLAN-Zugangs (oder Messpunkts) den Nutzer zuordnen kann, braucht er noch weitere Informationen. Z. B. wäre denkbar, dass er ein Gäste-WLAN anbietet, bei dem sich Benutzer mit ihrem Namen registrieren müssen. Dann kann er, da er weiß, von welcher (internen) IP-Adresse die Anmeldung durchgeführt wurde, die MAC-Adresse mit dem Nutzer verknüpfen, weil er sowohl über die MAC-Adresse als auch über die IP-Adresse verfügt.

MAC-Adressen sind nicht per se personenbezogene Daten

Zu der Frage, ob MAC-Adressen personenbezogene Daten sind, gibt es verschiedene Ansichten. Der Düsseldorfer Kreis ist der Ansicht, hierbei handele es sich generell um personenbezogene Daten (https://www.lda.bayern.de/media/oh_apps.pdf) und schreibt hierzu:

Eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät bzw. der Karte verbunden sind, können regelmäßig durch verschiedene Stellen einer Person zugeordnet werden.

Das stimmt für die IMEI, IMSI und MSISDN, die vom Mobilfunkanbieter verarbeitet werden. Der Mobilfunkanbieter hat allerdings normalerweise keinen Zugriff auf die WLAN-MAC-Adresse des Smartphones. Die könnte er nur erlangen, wenn er ein WLAN betreiben würde, an dem sich der Nutzer anmeldet. Warum der Düsseldorfer Kreis hier (undifferenziert) MAC-Adressen als personenbezogene Daten einstuft, wird nicht weiter begründet und auch nicht, wie ein Personenbezug bei MAC-Adressen in der Praxis vonstatten gehen soll.

Der Wissenschaftliche Dienst des Bundestages sieht das etwas anders (https://www.bundestag.de/resource/blob/538890/3dfae197d2c930693aa16d1619204f58/wd-3-206-17-pdf-data.pdf) vor allem geht differenzierter. Er bringt ein paar gut begründete Zweifel dahingehend an, ob es sich bei MAC-Adressen überhaupt um personenbezogene Daten handelt, da ein Rückschluss auf Personen regelmäßig gerade nicht möglich ist.

An dieser Stelle möchte ich gerne auch auf das EuGH-Urteil zu der Frage des Personenbezugs von IP-Adressen eingehen (EuGH, Urteil vom 19. Oktober 2016 C-582/14), wonach dynamische IP-Adressen personenbezogene Daten sein können, weil es gewisse Parallelen zu MAC-Adressen gibt.

Hier kommt der EuGH zu folgendem Ergebnis:

[…] Zu prüfen ist jedoch, ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann. […]

Weiter führt der EuGH aus:

[…] Der Anbieter von Online-Mediendiensten verfügt somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen ist, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen. […]

Dem Urteil zufolge sieht der EuGH also auch dynamische IP-Adressen nicht immer, sondern nur unter dem Umstand als personenbezogenes Datum an, dass sich diese einem Nutzer zuordnen lässt. Da Internetzugangs-Anbieter protokollieren, welcher Nutzer welche IP-Adresse in welchem Zeitraum hatte und diese Informationen auf dem Rechtsweg herausverlangt werden können, besteht hier nach dem EuGH-Urteil ein Personenbezug. Somit lässt sich auch im Nachhinein feststellen, welcher Anschlussinhaber hinter welcher IP-Adresse steckte. Auch wenn dem Webseitenbetreiber die Zuordnung nicht selbst möglich ist, so kann der Webseitenbetreiber den Anschlussinhaber aber z. B. im Fall von Cyber-Angriffen ermitteln lassen.

Überträgt man das nun auf MAC-Adressen steht man vor zwei Problemen:

Zum einen gibt es keine entsprechende Zuordnungstabelle, aus der hervorgeht, welche MAC-Adresse zu welchem Nutzer gehört. Zwar ist die MAC-Adresse (anders als die dynamische IP-Adresse) einzigartig und einem Gerät fest zugeordnet, allerdings vergibt der Hersteller der Netzwerkhardware diese Adresse und dokumentiert in der Regel nicht, an wen das Gerät am Ende herausgegeben wird. Nur in wenigen Fällen ließe sich eine solche Zurodnung durch den Hersteller erreichen. Denkbar wäre z. B., dass ein Gerät über den Direktvertrieb an eine natürliche Person übertragen wird und der Hersteller demnach weiß, wer welche MAC-Adresse erhält. Oder aber der Inhaber des Geräts registriert sich mit der MAC-Adresse beim Hersteller.

Das zweite Problem folgt nunmehr aus dem ersten, weil mangels einer entsprechenden Zuordnungs-Liste auch kein Anspruch zur Herausgabe eventueller Informationen bestehen kann. Somit ist das Urteil des EuGH zu IP-Adressen nicht auf MAC-Adressen übertragbar, weil der Hotspot-Betreiber keine (rechtliche) Möglichkeit hat, die Person hinter der MAC-Adresse in Erfahrung zu bringen.

Wann sind MAC-Adressen personenbezogene Daten?

Anders wäre die Situation natürlich zu beurteilen, wenn der Hotspot-Bertreiber über Möglichkeiten verfügt, die Person hinter der MAC-Adresse zu ermitteln, wie bereits oben beschrieben. Hierbei handelt es sich allerdings um einen anderen Sachverhalt als den der reinen Besucherzählung über MAC-Adressen. Neben diesem Fall weiß in der Regel auch der Betreiber des Routers Zuhause, wem welche MAC-Adresse gehört, weil sich oft nur wenige Geräte im WLAN befinden und diese ihre Gerätenamen mit an den Router schicken. Oder aber der Arbeitgeber, bei dem man sich mit seinem (Dienst-)Smartphone im WLAN anmeldet. Auch bei einem alleinstehenden Haus auf dem Land ist klar, wem das Gerät gehört. Diese Liste kann man beliebig weiterführen.

Vor diesem Hintergrund sollte man sich vor Augen führen, dass MAC-Adressen (genau wie jeder andere eindeutige Identifikator) generell die Gefahr bergen, Personen zu identifizieren, weil man schnell an zusätzliche Informationen kommen kann, die zur Identifikation der Person führen. Gerade wegen dieses Risikos habe ich in dem vorherigen Beitrag auch detailliert dargestellt, welche Maßnahmen zu treffen sind, um einem Zusammenführen von Daten und dem Identifizieren der betroffenen Personen entgegenzuwirken. Dass sich auch andere Verantwortliche umfangreiche Gedanken machen, wie sich das WLAN-Tracking über MAC-Adressen zulässigerweise umsetzen lässt, zeigt auch dieser Beitrag über das WLAN-Tracking in der Londoner U-Bahn, um Fahrgasströme messen zu können.

Fazit

Nach alledem bleibt festzuhalten, dass sich mit guten Gründen vertreten lässt, dass MAC-Adressen nur dann personenbezogene Daten sind, wenn sie mit zusätzlichen Daten angereichert werden, da andernfalls eine Zuordnung zu einer natürlichen Person nicht möglich ist. Da aber eine Identifikation in solchen Fällen möglich ist, sollten aus Gründen des Datenschutzes entsprechende Vorkehrungen getroffen werden, um das zu verhindern. Hier wäre eine differenzierte Betrachtungsweise seitens des ULD sehr wünschenswert gewesen. Bis dahin bleibt Betreibern (in Schleswig-Holstein) nur die Möglichkeit, Maßnahmen zum Datenschutz der Besucher zu treffen und die Frage im Zweifel gerichtlich klären zu lassen.