Zur rechtlichen Zulassung von iBeacons

Jede neue Technologie ruft erst einmal rechtliche Bedenken auf, ob ihr Einsatz überhaupt datenschutzkonform ist. Für das Offline Targeting mit iBeacons gilt insoweit nichts anderes. Die Ideen für auf iBeacons basierende Geschäftsmodelle erscheinen dabei grenzenlos, da die digitale Verortung eines Kunden innerhalb eines Geschäftes völlig neue Potentiale für eine individuelle Kundenansprache birgt. Es wird wahrscheinlich nicht zu Unrecht erwartet, dass der stationäre Handel sich infolge dieser Technologie in den nächsten Jahren weitgehend verändern wird. Doch wie ist diese Technologie rechtlich einzuordnen?

Der technische Hintergrund

Das Wort „Beacon“ leitet sich von dem englischen Begriff für „Leuchtfeuer“ ab. Die Technologie der iBeacons basiert auf dem Prinzip Sender-Empfänger. In einem Raum werden kleine Sender (Beacons) als Signalgeber platziert, deren einzige Funktion es zunächst einmal ist, in den festgelegten Zeitintervallen Signale, nämlich eine Kombination aus Zahlen und Buchstaben, zu senden. Kommt ein Empfänger, also z. B. ein Besucher, mit einem Smartphone und einer darauf installierten Mobile-App, die für den Empfang von iBeacon-Signalen konfiguriert ist, in die Reichweite eines solchen Senders, empfängt es das Signal der Beacons und übergibt es an die auf dem Gerät installierte App weiter. Diese führt dann eine bestimmte, von der jeweiligen ID abhängige Aktion aus. Sind mehrere Beacons in Reichweite des Endgerätes, kann darüber hinaus die Position des Empfängers innerhalb eines bestimmten Standortes ermittelt werden. Die Datenübertragung selbst geschieht hierbei über die von Nokia bereits im Jahre 2006 entwickelte Bluetooth-Low-Energie (BLE)-Technologie. Datenschutzrechtlich bedeutsam ist dabei, dass jedes iBeacon also lediglich ein Funksignal aussendet, diese Signale aber nicht verarbeitet. Das Signal wird erst von den Smartphones erfasst und durch die darauf installierten Apps weiterverarbeitet. Dies hat zur Folge, dass eine iBeacon selbst keinerlei Kenntnisse über den Aufenthaltsort des jeweiligen Nutzers besitzt, und es bedeutet auch, dass jeder Nutzer die jeweilige App, die iBeacons verarbeitet, bewusst auf seinem Gerät installiert haben muss. Nur dann kann es zu einem Zusammenspiel zwischen einem iBeacon und einer App kommen.

Die datenschutzrechtliche Sicht

Aus der datenschutzrechtlichen Sicht ist daher zwischen dem iBeacon als Sender und der verarbeiteten App als Empfänger zu unterscheiden. (mehr …)

Anordnung gegen Google

Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit hat in der vergangenen Woche gegenüber Google eine Verwaltungsanordnung erlassen. Das US-Unternehmen wird darin verpflichtet, Daten, die bei der Nutzung unterschiedlicher Google-Dienste anfallen, nur unter Beachtung der gesetzlichen Vorgaben zu erheben und zu kombinieren.
Nach Auffassung des Landesdatenschutzbeauftragten greife die bisherige Praxis der Erstellung von Nutzerprofilen durch Google weit über das zulässige Maß hinaus in die Privatsphäre der Google-Nutzer ein. Google wurde durch die Anordnung verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die sicherstellen, dass deren Nutzer künftig selbst über die Verwendung der eigenen Daten zur Profilerstellung entscheiden können.

(mehr …)

Digitaler Fingerprint – zulässig oder nicht?

Immer mehr Unternehmen setzen für das Targeting digitale Fingerprints ein. Diese Technologie ist bereits seit Ende der 90er Jahre bekannt, aber erst seit ungefähr zwei Jahren setzen immer mehr Technologieanbieter im Onlinemarketing diese Technik ein. Viele versuchten dadurch, dem drohenden Cookie Law zu entgehen, das von den Anwendern bekanntlich verlangte, vor dem Einsatz eines Cookies eine ausdrücklich Einwilligung des jeweiligen Users einzuholen. Dem Wortlaut nach bezog sich das Cookie Law nämlich nicht auf die Technologie des Fingerprintings. Nach der Cookie-Richtlinie der EU (Richtlinie 2009/136/EG) ist eine Einwilligung für den Einsatz von Cookies nur dann erforderlich, wenn diese Cookies auf dem Endgerät des Verbrauchers abgespeichert werden. Ein digitaler Fingerprint wird jedoch nicht auf dem Endgerät des Nutzers abgespeichert, sondern in der Datenbank des Technologieanbieters. Folglich dachten viele, das Cookie Law hierdurch umgehen zu können.
Unter einem Fingerprint versteht man diejenigen Informationen, die zum Zweck der Identifizierung eines Endgerätes gesammelt werden. Typischerweise werden dabei Informationen erfasst, die ein Nutzer im Rahmen der Nutzung einer Webseite ohnehin an den Betreiber einer Webseite überträgt. Bei einem gewöhnlichen Browser gehören hierzu u. a. die IP-Adresse, die Browserkennung (Hersteller und Version, häufig auch das Betriebssystem), die sprachlichen Präferenzen des Browsers bzw. des Nutzers und technische Netzwerkparameter. Zum Teil werden auch Bildschirmauflösungen und Farbtiefe, die Zeitzone und installierte Plug-Ins, einschließlich ihrer Version, erfasst.

(mehr …)

Neue Hinweise der Datenschutzbehörden zum Datenschutz im Mobile Bereich

Der Düsseldorfer Kreis, ein Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, hat unter Federführung des Bayerischen Landesamtes für Datenschutzaufsicht eine „Orientierungshilfe“ für die Entwickler und Anbieter mobiler Apps veröffentlicht, die auf dessen Webseite abrufbar ist (http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Orientierungshilfe_Apps_2014.pdf). Damit liegt erstmals ein ausführliches Dokument der nationalen Datenschutzbehörden vor, das sich eingehend mit den datenschutzrechtlichen Anforderungen an die Entwicklung von Apps befasst.

Nachfolgend fassen wir die wichtigsten Punkte dieses Dokuments zusammen:

1. Neues zu den „personenbezogene Daten“?

Der Begriff der personenbezogenen Daten wird neuerdings durch die Behörden sehr umfassend ausgelegt. Ein personenbezogenes Datum im Sinne von § 3 Abs. 1 BDSG sei danach gegeben, soweit eine Information direkt oder auch nur mit Hilfe von Zusatzwissen auf eine Person zurückgeführt werden könne. Man müsse dabei nicht den Namen oder die Adresse dieser Person kennen. Es reiche vielmehr aus, wenn eine Person „identifizierbar“ sei. Vor diesem Hintergrund seien folgende Informationen als personenbezogene Daten zu qualifizieren:

IP-Adresse
Eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät bzw. der Karte verbunden sind. Die bekanntesten Kennungen sind:
IMEI
UDID
IMSI
MAC-Adresse
MSISDN

Aber auch der Name des Telefons, Standortdaten, Audiodaten sowie Daten für biometrische Erkennungsverfahren seien geeignet, eine einzelne Person eindeutig zu identifizieren und stellten daher personenbezogene Daten dar.

Das gleiche gelte auch für Informationen über die App-Nutzung, also Informationen darüber, welche App z.B. wann durch den Nutzer genutzt wurde. Auch letztere seien personenbezogene Informationen. (mehr …)

Ist eine IDFA ein personenbezogenes Datum?

Die sog. IDFA, der „Identifier for Advertiser“, die jüngst von Apple eingeführt wurde, ist inzwischen zu einer „Währung“ im Mobile-Business geworden.

Fast unbemerkt hatte Apple diese Funktion Anfang des Jahres 2012 zur Verfügung gestellt. Die IDFA soll die sog. UDID (Unique Device Identifier) ersetzen. Sie ermöglicht Werbetreibenden, auf mobilen Applikationen angepasste Werbung anzeigen zu können. Die Nutzung der UDID ist dagegen zukünftig nach den Regeln von Apple verboten. Apps, welche die UDID nutzen, werden nicht mehr im Appstore zugelassen.

Außerdem entfernte Apple diese Funktion komplett aus dem Betriebssystem iOS, ab Versionsnummer 6 aufwärts. Stattdesse setzt Apple nunmehr auf die neue IDFA, die es der Werbewirtschaft wieder ermöglichen soll, das Nutzerverhalten der Nutzer zu beobachten und gezielt Werbung zu schalten. Anders als die UDID kann ein Nutzer die IDFA allerdings in seinem iPhone ganz ausschalten oder zurücksetzen. Die entsprechende Funktion ist im Menü „Werbung“ gut versteckt, aber nach einigem Suchen jedoch auffindbar. (mehr …)