Die sog. IDFA, der „Identifier for Advertiser“, die jüngst von Apple eingeführt wurde, ist inzwischen zu einer „Währung“ im Mobile-Business geworden.

Fast unbemerkt hatte Apple diese Funktion Anfang des Jahres 2012 zur Verfügung gestellt. Die IDFA soll die sog. UDID (Unique Device Identifier) ersetzen. Sie ermöglicht Werbetreibenden, auf mobilen Applikationen angepasste Werbung anzeigen zu können. Die Nutzung der UDID ist dagegen zukünftig nach den Regeln von Apple verboten. Apps, welche die UDID nutzen, werden nicht mehr im Appstore zugelassen.

Außerdem entfernte Apple diese Funktion komplett aus dem Betriebssystem iOS, ab Versionsnummer 6 aufwärts. Stattdesse setzt Apple nunmehr auf die neue IDFA, die es der Werbewirtschaft wieder ermöglichen soll, das Nutzerverhalten der Nutzer zu beobachten und gezielt Werbung zu schalten. Anders als die UDID kann ein Nutzer die IDFA allerdings in seinem iPhone ganz ausschalten oder zurücksetzen. Die entsprechende Funktion ist im Menü „Werbung“ gut versteckt, aber nach einigem Suchen jedoch auffindbar.

Es stellt sich in diesem Zusammenhang die Frage, wie die IDFA datenschutzrechtlich zu beurteilen ist. Wäre sie ein personenbezogenes Datum, würde die Übertragung der IDFA stets zuvor die Einwilligung des jeweiligen Users benötigen. So sehen es die Landesdatenschutzbeauftragten, wenn man ihre Ausführungen in den Orientierungshilfen für App-Entwickler richtig interpretiert. Danach sollen eindeutige Kennziffern immer als personenbezogene Daten einzustufen sein, auch wenn ein außenstehender Dritter, z. B. ein Vermarkter, technisch gar nicht in der Lage wäre zu ermitteln, wer sich hinter dieser Kennziffer verbirgt.

Ob diese Position sich tatsächlich auch in der Rechtsprechung durchsetzen wird, bleibt aber abzuwarten. Denn streng betrachtet liegt nach den Bestimmungen der §§ 3 ff. BDSG mit der IDFA entweder ein anonymes oder jedenfalls ein pseudonymes Datum vor. Anonyme Daten liegen bekanntlich dann vor, wenn es nicht mehr oder nur mit unverhältnismäßig großem Aufwand möglich ist, die hinter einem Datum stehende Person zu reanonymisieren. Ein pseudonymes Datum liegt dagegen dann vor, wenn es noch einen Zuordnungsschlüssel oder eine Zuordnungstabelle gibt, die es jedenfalls irgendeiner Partei ermöglicht, die hinter einem Pseudonym stehende Person zu reanonymisieren.

Wir hatten deshalb jüngst bei dem Bayerischen Landesdatenschutzbeauftragten angefragt, wie er die IDFA datenschutzrechtliche einstuft. Immerhin gibt es die Möglichkeit eines Opt-Outs und damit die Möglichkeit, der Nutzung der eigenen IDFA zu widersprechen. Könnte man vor diesem Hintergrund nicht den Standpunkt vertreten, dass diese Technologie zumindest den Anforderungen des § 15 Abs. 3 TMG entspricht? Der Bayerische Landesdatenschutzbeauftragte wollte sich nicht verbindlich festlegen. Er deutete aber an, dass unter gewissen Voraussetzungen die IDFA tatsächlich als pseudonym qualifiziert werden könnte, mit der Folge, dass es gem. § 15 Abs. 3 des Telemediengesetzes (TMG) möglich wäre, Nutzerprofile auf pseudonymer Basis zu erstellen. Wie immer gilt im Rahmen des § 15 Abs. 3 TMG: Der Nutzer muss im Rahmen der Nutzung einer App auf diese Möglichkeit hingewiesen werden und er muss die Möglichkeit haben, ein „Opt-Out“, also einen Widerspruch, zu erklären. Erfüllt er aber diese Voraussetzungen, so erscheint es möglich, die IDFA zumindest als pseudonymes Datum zu qualifizieren. Es bleibt aber abzuwarten, wie sich die Rechtsprechung insoweit positionieren wird. Wir werden an dieser Stelle darüber informieren.