IP- Adressen: Das Jahr der Entscheidung

Vor kurzem hat der Bundesgerichtshof dem Europäischen Gerichtshof die Frage vorgelegt, ob es sich bei IP-Adressen um personenbezogene Daten im datenschutzrechtlichen Sinne handelt (BGH-Beschluss vom 25.10.2014, VI ZR 135/13). Damit kommt es endlich zu einer europaweiten, höchstrichterlichen Rechtsprechung zu dem altbekannten Thema der Onlinebranche, ob IP-Adressen personenbezogen sind oder nicht.

Die Frage ist deshalb von kaum zu überschätzender Bedeutung, weil praktisch jede Onlinetechnologie in irgendeiner Form auf IP-Adressen zurückgreift. Adserver benötigen die IP-Adresse, um Werbung auszuliefern, Re-Targeting-Anbieter können ihr Geschäftsmodell praktisch nicht umsetzen, würden sie nicht auf IP-Adressen zurückgreifen, Geotargeting funktioniert ohne die IP-Adresse nicht, usw.

Warum ist diese Frage wichtig?

Warum ist die Frage wichtig, ob IP-Adressen personenbezogen sind oder nicht? Wären sie personenbezogen, würde jede Übertragung, Verarbeitung oder Speicherung einer IP-Adresse der vorherigen Zustimmung der betroffenen Person bedürfen. Sind sie dagegen nicht personenbezogen, kann jedermann im Rahmen seines Geschäftsmodells auf IP-Adressen zurückgreifen, ohne dass dies der Zustimmung z. B. der User z.B. einer Webseite bedarf: Nach § 12 Abs. 1 Telemediengesetz (TMG), darf „… der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, … es erlaubt oder der Nutzer eingewilligt hat.“   (mehr …)

Zur rechtlichen Zulassung von iBeacons

Jede neue Technologie ruft erst einmal rechtliche Bedenken auf, ob ihr Einsatz überhaupt datenschutzkonform ist. Für das Offline Targeting mit iBeacons gilt insoweit nichts anderes. Die Ideen für auf iBeacons basierende Geschäftsmodelle erscheinen dabei grenzenlos, da die digitale Verortung eines Kunden innerhalb eines Geschäftes völlig neue Potentiale für eine individuelle Kundenansprache birgt. Es wird wahrscheinlich nicht zu Unrecht erwartet, dass der stationäre Handel sich infolge dieser Technologie in den nächsten Jahren weitgehend verändern wird. Doch wie ist diese Technologie rechtlich einzuordnen?

Der technische Hintergrund

Das Wort „Beacon“ leitet sich von dem englischen Begriff für „Leuchtfeuer“ ab. Die Technologie der iBeacons basiert auf dem Prinzip Sender-Empfänger. In einem Raum werden kleine Sender (Beacons) als Signalgeber platziert, deren einzige Funktion es zunächst einmal ist, in den festgelegten Zeitintervallen Signale, nämlich eine Kombination aus Zahlen und Buchstaben, zu senden. Kommt ein Empfänger, also z. B. ein Besucher, mit einem Smartphone und einer darauf installierten Mobile-App, die für den Empfang von iBeacon-Signalen konfiguriert ist, in die Reichweite eines solchen Senders, empfängt es das Signal der Beacons und übergibt es an die auf dem Gerät installierte App weiter. Diese führt dann eine bestimmte, von der jeweiligen ID abhängige Aktion aus. Sind mehrere Beacons in Reichweite des Endgerätes, kann darüber hinaus die Position des Empfängers innerhalb eines bestimmten Standortes ermittelt werden. Die Datenübertragung selbst geschieht hierbei über die von Nokia bereits im Jahre 2006 entwickelte Bluetooth-Low-Energie (BLE)-Technologie. Datenschutzrechtlich bedeutsam ist dabei, dass jedes iBeacon also lediglich ein Funksignal aussendet, diese Signale aber nicht verarbeitet. Das Signal wird erst von den Smartphones erfasst und durch die darauf installierten Apps weiterverarbeitet. Dies hat zur Folge, dass eine iBeacon selbst keinerlei Kenntnisse über den Aufenthaltsort des jeweiligen Nutzers besitzt, und es bedeutet auch, dass jeder Nutzer die jeweilige App, die iBeacons verarbeitet, bewusst auf seinem Gerät installiert haben muss. Nur dann kann es zu einem Zusammenspiel zwischen einem iBeacon und einer App kommen.

Die datenschutzrechtliche Sicht

Aus der datenschutzrechtlichen Sicht ist daher zwischen dem iBeacon als Sender und der verarbeiteten App als Empfänger zu unterscheiden. (mehr …)

Anordnung gegen Google

Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit hat in der vergangenen Woche gegenüber Google eine Verwaltungsanordnung erlassen. Das US-Unternehmen wird darin verpflichtet, Daten, die bei der Nutzung unterschiedlicher Google-Dienste anfallen, nur unter Beachtung der gesetzlichen Vorgaben zu erheben und zu kombinieren.
Nach Auffassung des Landesdatenschutzbeauftragten greife die bisherige Praxis der Erstellung von Nutzerprofilen durch Google weit über das zulässige Maß hinaus in die Privatsphäre der Google-Nutzer ein. Google wurde durch die Anordnung verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die sicherstellen, dass deren Nutzer künftig selbst über die Verwendung der eigenen Daten zur Profilerstellung entscheiden können.

(mehr …)

Neue Hinweise der Datenschutzbehörden zum Datenschutz im Mobile Bereich

Der Düsseldorfer Kreis, ein Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, hat unter Federführung des Bayerischen Landesamtes für Datenschutzaufsicht eine „Orientierungshilfe“ für die Entwickler und Anbieter mobiler Apps veröffentlicht, die auf dessen Webseite abrufbar ist (http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Orientierungshilfe_Apps_2014.pdf). Damit liegt erstmals ein ausführliches Dokument der nationalen Datenschutzbehörden vor, das sich eingehend mit den datenschutzrechtlichen Anforderungen an die Entwicklung von Apps befasst.

Nachfolgend fassen wir die wichtigsten Punkte dieses Dokuments zusammen:

1. Neues zu den „personenbezogene Daten“?

Der Begriff der personenbezogenen Daten wird neuerdings durch die Behörden sehr umfassend ausgelegt. Ein personenbezogenes Datum im Sinne von § 3 Abs. 1 BDSG sei danach gegeben, soweit eine Information direkt oder auch nur mit Hilfe von Zusatzwissen auf eine Person zurückgeführt werden könne. Man müsse dabei nicht den Namen oder die Adresse dieser Person kennen. Es reiche vielmehr aus, wenn eine Person „identifizierbar“ sei. Vor diesem Hintergrund seien folgende Informationen als personenbezogene Daten zu qualifizieren:

IP-Adresse
Eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät bzw. der Karte verbunden sind. Die bekanntesten Kennungen sind:
IMEI
UDID
IMSI
MAC-Adresse
MSISDN

Aber auch der Name des Telefons, Standortdaten, Audiodaten sowie Daten für biometrische Erkennungsverfahren seien geeignet, eine einzelne Person eindeutig zu identifizieren und stellten daher personenbezogene Daten dar.

Das gleiche gelte auch für Informationen über die App-Nutzung, also Informationen darüber, welche App z.B. wann durch den Nutzer genutzt wurde. Auch letztere seien personenbezogene Informationen. (mehr …)

Ist eine IDFA ein personenbezogenes Datum?

Die sog. IDFA, der „Identifier for Advertiser“, die jüngst von Apple eingeführt wurde, ist inzwischen zu einer „Währung“ im Mobile-Business geworden.

Fast unbemerkt hatte Apple diese Funktion Anfang des Jahres 2012 zur Verfügung gestellt. Die IDFA soll die sog. UDID (Unique Device Identifier) ersetzen. Sie ermöglicht Werbetreibenden, auf mobilen Applikationen angepasste Werbung anzeigen zu können. Die Nutzung der UDID ist dagegen zukünftig nach den Regeln von Apple verboten. Apps, welche die UDID nutzen, werden nicht mehr im Appstore zugelassen.

Außerdem entfernte Apple diese Funktion komplett aus dem Betriebssystem iOS, ab Versionsnummer 6 aufwärts. Stattdesse setzt Apple nunmehr auf die neue IDFA, die es der Werbewirtschaft wieder ermöglichen soll, das Nutzerverhalten der Nutzer zu beobachten und gezielt Werbung zu schalten. Anders als die UDID kann ein Nutzer die IDFA allerdings in seinem iPhone ganz ausschalten oder zurücksetzen. Die entsprechende Funktion ist im Menü „Werbung“ gut versteckt, aber nach einigem Suchen jedoch auffindbar. (mehr …)