Zur rechtlichen Zulassung von iBeacons

Jede neue Technologie ruft erst einmal rechtliche Bedenken auf, ob ihr Einsatz überhaupt datenschutzkonform ist. Für das Offline Targeting mit iBeacons gilt insoweit nichts anderes. Die Ideen für auf iBeacons basierende Geschäftsmodelle erscheinen dabei grenzenlos, da die digitale Verortung eines Kunden innerhalb eines Geschäftes völlig neue Potentiale für eine individuelle Kundenansprache birgt. Es wird wahrscheinlich nicht zu Unrecht erwartet, dass der stationäre Handel sich infolge dieser Technologie in den nächsten Jahren weitgehend verändern wird. Doch wie ist diese Technologie rechtlich einzuordnen?

Der technische Hintergrund

Das Wort „Beacon“ leitet sich von dem englischen Begriff für „Leuchtfeuer“ ab. Die Technologie der iBeacons basiert auf dem Prinzip Sender-Empfänger. In einem Raum werden kleine Sender (Beacons) als Signalgeber platziert, deren einzige Funktion es zunächst einmal ist, in den festgelegten Zeitintervallen Signale, nämlich eine Kombination aus Zahlen und Buchstaben, zu senden. Kommt ein Empfänger, also z. B. ein Besucher, mit einem Smartphone und einer darauf installierten Mobile-App, die für den Empfang von iBeacon-Signalen konfiguriert ist, in die Reichweite eines solchen Senders, empfängt es das Signal der Beacons und übergibt es an die auf dem Gerät installierte App weiter. Diese führt dann eine bestimmte, von der jeweiligen ID abhängige Aktion aus. Sind mehrere Beacons in Reichweite des Endgerätes, kann darüber hinaus die Position des Empfängers innerhalb eines bestimmten Standortes ermittelt werden. Die Datenübertragung selbst geschieht hierbei über die von Nokia bereits im Jahre 2006 entwickelte Bluetooth-Low-Energie (BLE)-Technologie. Datenschutzrechtlich bedeutsam ist dabei, dass jedes iBeacon also lediglich ein Funksignal aussendet, diese Signale aber nicht verarbeitet. Das Signal wird erst von den Smartphones erfasst und durch die darauf installierten Apps weiterverarbeitet. Dies hat zur Folge, dass eine iBeacon selbst keinerlei Kenntnisse über den Aufenthaltsort des jeweiligen Nutzers besitzt, und es bedeutet auch, dass jeder Nutzer die jeweilige App, die iBeacons verarbeitet, bewusst auf seinem Gerät installiert haben muss. Nur dann kann es zu einem Zusammenspiel zwischen einem iBeacon und einer App kommen.

Die datenschutzrechtliche Sicht

Aus der datenschutzrechtlichen Sicht ist daher zwischen dem iBeacon als Sender und der verarbeiteten App als Empfänger zu unterscheiden.

Das iBeacon selbst erscheint aus der Sicht des Senders datenschutzrechtlich unproblematisch. Das deutsche Datenschutzrecht regelt in den Bestimmungen des BDSG (Bundesdatenschutzgesetz) und des TMG (Telemediengesetz), dass nur die Verarbeitung von personenbezogenen Daten der vorherigen Einwilligung des Betroffenen bedarf. Personenbezogene Daten sind Einzelangaben über die persönlichen oder sachlichen Verhältnisse einer Person, also z. B. deren Name, die Adresse, die E-Mail-Adresse oder die Telefonnummer. Demgegenüber stehen die anonymen und die pseudonymen Daten. Anonyme Daten liegen dann vor, wenn die hinter einem anonymen Datum – z. B. einer Kennzahl – stehende natürlich Person überhaupt nicht mehr oder nur mit einem unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft ermittelt werden könnte. Pseudonyme Daten unterscheiden sich dagegen von anonymen Daten dadurch, dass diese Daten nicht vollständig verschlüsselt worden sind, sondern dass es immer noch jemanden gibt, der einen Schlüssel für die Rückauflösung der pseudonymen Daten besitzt. Das gesamte Online Marketing spielt sich also in diesem Dreieck zwischen personenbezogenen, anonymen und pseudonymen Daten ab. Versucht man daher vor diesem Hintergrund, die iBeacons datenschutzrechtlich einzuordnen, fällt auf, dass die iBeacons selbst überhaupt keine Daten verarbeiten, erst Recht keine personenbezogenen Daten. iBeacons senden nur Buchstaben oder Zahlen, sie besitzen aber keinen Bezug zu einer konkreten Person. Es kommt daher zu keinem Zeitpunkt zu einer Verarbeitung von personenbezogenen Daten durch den Einsatz von iBeacons. Der Einsatz der iBeacons selbst ist daher datenschutzrechtlich unbedenklich.

Die Sicht des Empfängers

Von Bedeutung ist dagegen der Empfang der iBeacons auf dem Endgerät des Users und die Verarbeitung der Signale durch die iBeacon-fähige App. Mit dem Empfang der von den iBeacons ausgestrahlten Signale kommt es jetzt zu einer Verknüpfung dieser Signale mit der App des jeweiligen Nutzers, und damit zu einer Verknüpfung der sich in der App befindlichen personenbezogenen Informationen. Diese Verarbeitung der iBeacon-Signale in einer App führt deshalb zu einer Verarbeitung von personenbezogenen Daten im Sinne des § 3 BDSG, so dass dieser Vorgang der Zustimmung des jeweiligen Inhabers der App bedarf.

§ 12 TMG sieht vor, dass ein Diensteanbieter personenbezogene Daten nur dann erheben und verwenden kann, wenn der jeweilige Nutzer ausdrücklich in diesen Vorgang eingewilligt hat. Wie eine solche Einwilligung auszusehen hat, regelt § 13 TMG. Danach hat der jeweilige App-Anbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Verarbeitung seiner personenbezogenen Daten in allgemein verständlicher Form zu unterrichten. Diese Unterrichtung kann in der Regel im Zusammenhang mit dem Download der App im AppStore und einer dort abrufbaren Datenschutzerklärung erfolgen. Diese Datenschutzerklärung muss aber hinreichend transparent sein. Es muss sichergestellt werden, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, dass eine Einwilligung protokolliert wird und der Nutzer den Inhalt seiner Einwilligung jederzeit wieder abrufen kann. Es muss außerdem sichergestellt werden, dass der Nutzer die Möglichkeit besitzt, seine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Auf diese Möglichkeiten hat der jeweilige App-Anbieter den Nutzer vor dem Download seiner App in der Datenschutzerklärung ausdrücklich hinzuweisen.

Aufklärung in Datenschutzerklärungen

Der Anbieter einer App muss zudem in seiner Datenschutzerklärung darüber aufklären, für welche Zwecke er insbesondere die Standortdaten der Nutzer verwendet und dass er die iBeacon-Technologie einsetzt. Dass gerade diese Pflicht zu einer umfassenden Aufklärung innerhalb einer Datenschutzerklärung in vielen Fällen missachtet wird, zeigt eine Prüfung des Bayerischen Landesamtes für Datenschutz im vergangenen Jahr.

Darüber hinaus haben die Datenschutzbehörden  am 16. Juni 2014 eine sog. „Orientierungshilfe“ zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter veröffentlicht. Dieses Dokument, das das Bayerische Landesamt für Datenschutz federführend für den sog. Düsseldorfer Kreis, eine Zusammenkunft der Datenschutzbehörden in Deutschland, erstellt hat, ist auf der Webseite des Bayerischen Landesamtes für Datenschutz abrufbar (http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Orientierungshilfe_Apps_2014.pdf). Auch diese erste umfassende Stellungnahme der öffentlichen Datenschutzbehörden zur Entwicklung von Apps in Deutschland macht deutlich, dass die Erhebung von Standortdaten und damit auch die Verarbeitung von iBeacon-Signalen zulässig sein kann, wenn die entsprechende Einwilligung des Nutzers eingeholt wurde. Die Einwilligung muss aber den oben beschriebenen Anforderungen entsprechen.

Fazit

Es kann also festgehalten werden, dass durch die iBeacons neue Marketingtechnologien entstanden sind, die durchaus datenschutzkonform eingesetzt werden können. Das Problem haben dabei nicht die iBeacon-Anbieter, sondern die Anbieter der Apps, die Signale von iBeacons verarbeiten. Ihnen wird es in erster Linie die Aufgabe zukommen, den Einsatz der iBeacons in ihren eigenen Datenschutzerklärungen hinreichend deutlich und transparent darzustellen. Geschieht dies aber und wird damit die Einwilligung datenschutzkonform eingeholt, steht einem Einsatz von iBeacons nichts entgegen.