Was sagt die DSGVO zum Thema WLAN Tracking?

Im Dezember 2018 stellte die Niederländische Datenschutzbehörde klar, dass die Zählung von Besucherzahlen in (halb-)öffentlichen Bereichen mit Tracking-Technologien nur unter sehr strengen Bedingungen erlaubt ist (auf Niederländisch). Als Ergebnis dieses Richtlinie haben eine Reihe von Gemeinden das WLAN-Tracking im Stadtzentrum vorübergehend eingestellt. Ein Trackingunternehmen hat ebenfalls angekündigt, dass es aufhören wird, WLAN-Tracking als Service anzubieten. Anfang Januar hat eine Gemeinde, die Besucher über WLAN-Tracking verfolgt, das Tracking jedoch wieder aufgenommen.

In diesem Blog erklären wir, warum die Datenschutz-Grundverordnung (DSGVO) auch für WLAN-Tracking gilt, wie die Rollen Verantwortlicher und Auftragsverarbeiter verteilt sind und nach welchen Prinzipien Organisationen Einspruch einlegen können, wenn sie WLAN-Tracking nutzen wollen.

Was ist WLAN-Tracking und welche personenbezogenen Daten werden in der WLAN-Tracking-Technologie verarbeitet?

WLAN-Tracking bedeutet, dass mit Hilfe des Signals von mobilen Geräten Menschen verfolgt werden können. WLAN-Tracking ist "simpel", da das Telefon nicht mit einem WLAN-Netzwerk verbunden sein muss, um von einem Sensor verfolgt zu werden. Mobile Geräte übertragen kontinuierlich WLAN-Signale, um sich mit einem WLAN-Hotspot zu verbinden. Der Sensor empfängt die WLAN-Signale vom Telefon. Diese Signale enthalten die MAC-Adresse des Telefons. Dadurch ist das Telefon von anderen Geräten unterscheidbar. Der Sensor verarbeitet die MAC-Adresse in Kombination mit anderen Daten, nämlich der Signalstärke des registrierten WLAN-Signals des Gerätes, dem Standort des Telefons, dem Datum und der Uhrzeit der Messung. Basierend auf diesen Daten kann man Informationen über die Anzahl der Geräte innerhalb der Reichweite des Sensors und das Bewegungsverhalten von Personen erlangen. Auf diese Weise generieren Unternehmen wirtschaftliche Daten über das Einkaufsverhalten und die Bewegungsflüsse in bestimmten Bereichen (auf Englisch).

Eine MAC-Adresse wird in dem Moment zu personenbezogenen Daten, wenn sie mit anderen (persönlichen) Daten kombiniert wird, die auf eine Person zurückgeführt werden können. Diese Rückverfolgbarkeit ist über die beobachteten Standortdaten des Mobiltelefons möglich. Die gemeinsamen europäischen Datenschutzbehörden (ehemals Artikel 29 Arbeitsgruppe) haben diese Position in der Beratung 13/2011 zum Geolokalisierungsdienst und zu intelligenten mobilen Geräten weiter ausgearbeitet (auf Englisch).

Wer ist Verantwortlicher, wer ist Auftragsverarbeiter im Falle von WLAN-Tracking?

Der Datenverantwortliche bestimmt, zu welchem Zweck und mit welchen Mitteln die Daten verarbeitet werden. Der Auftragsverarbeiter ist derjenige, der personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Im Rahmen des WLAN-Tracking kann dies von Fall zu Fall unterschiedlich sein. Regierungsstellen und Unternehmen übernehmen verschiedene Rollen. Dabei sind mehrere Fallkonstellationen möglich. Der für die Verarbeitung Verantwortliche muss mit dem Auftragsverarbeiter einen Auftragsverarbeitungsvertrag abschließen, um sicherzustellen, dass die verarbeiteten personenbezogenen Daten nicht für andere Zwecke (wieder) verwendet werden. Zum Beispiel beauftragt eine Gemeinde ein Trackingunternehmen, um die Teilnehmer bei einer Veranstaltung zu verfolgen. Gemäß dem Auftragsverarbeitungsvertrag darf das Unternehmen diese Daten nur zu diesem Zweck erheben und nicht für eigene Zwecke (wieder) verwenden. In diesem Fall ist die Gemeinde die für die Verarbeitung verantwortliche Partei und das Trackingunternehmen der Auftragsverarbeiter. Es kann aber auch umgekehrt sein. Verarbeitet das Trackingunternehmen die Daten auch für eigene Zwecke, wie z.B. die Erstellung von Statistiken oder die Entwicklung anderer Dienstleistungen, so können das Unternehmen und die Kunden (z.B. die Gemeinde) gemeinsam für die Verarbeitung verantwortlich sein. Dann sind sie gemeinsam für den Schutz der Privatsphäre der Beteiligten wie Shopbesucher und Passanten verantwortlich.

Grundlage für die Verarbeitung von MAC-Adressen und Standortdaten

Im Sinne der DSGVO muss der für die Verarbeitung Verantwortliche über eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen. Dies gilt auch, wenn ein Unternehmen personenbezogene Daten mittels WLAN-Tracking verarbeitet. In Artikel 6 Absatz 1 führt die DSGVO sechs mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten auf:

  1. Der Betroffene stimmt der Verarbeitung für bestimmte Zwecke zu.
  2. Die Verarbeitung ist für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich.
  3. Die Verarbeitung ist notwendig, um einer gesetzlichen Verpflichtung des für die Verarbeitung Verantwortlichen nachzukommen.
  4. Die Verarbeitung ist nur in lebensbedrohlichen Situationen zum Schutz der lebenswichtigen Interessen der betroffenen Person erforderlich.
  5. Die Datenverarbeitung ist notwendig für die Erfüllung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung eines öffentlichen Amtes ausgeübt wird.
  6. Die Verarbeitung der Daten ist für das berechtigte Interesse der Organisation oder des Dritten, an den die Daten weitergegeben werden, erforderlich.

Nicht jede Grundlage kann für die Verarbeitung von MAC-Adressen und Standortdaten im WLAN-Tracking gelten. Die Prinzipien unter 3 und 4 können nicht angewendet werden, da es keine gesetzliche Verpflichtung gibt, Menschen über WLAN-Tracking zu verfolgen, und weil mit WLAN-Tracking in akuten Notfällen keine Leben gerettet werden können. Die relevanten Rechtsgrundlagen werden im Folgenden näher erläutert.

Will sich die verantwortliche Stelle auf die Einwilligung (§ 6 Abs. 1 a DSGVO) berufen, muss die betroffene Person derjenigen Partei, die sie über WLAN-Signale verfolgen will, ihre vorherige Zustimmung erteilen können. Diese Einwilligung ist nur gültig, wenn die betroffene Person diese freiwillig gibt und wenn ihre Einwilligung auf spezifischen Informationen beruht, ohne dass Unklarheiten bestehen. Es ist jedoch ziemlich schwierig, einen Passanten im Voraus um Erlaubnis zu bitten. Der Tracking-Sensor macht keinen Unterschied zwischen dem Telefonbesitzer, der sich bereit erklärt hat und dem, der nicht mittels WLAN-Tracking verfolgt werden möchte. Um eine legitime Einwilligung zu erhalten, müssen das Trackingunternehmen oder der Kunde die betroffenen Personen ordnungsgemäß über die Verarbeitung der MAC-Adressen und anderer Telefondaten informieren. Aber das Aufhängen von Informationschildern reicht nicht aus. Kurz gesagt, die Grundlage "Erlaubnis der betroffenen Person einholen" bietet in der Regel keine gute Grundlage für das WLAN-Tracking, da es in der Praxis schwierig ist, vorab eine Erlaubnis von zufälligen Passanten oder Käufern einzuholen.

Die Grundlage der Verarbeitung auf der Grundlage einer Vereinbarung (Art. 6 Abs. 1 lit. b DSGVO) ist auch in diesem Zusammenhang nicht anwendbar, da Kaufleute und Kommunen keine Vereinbarungen mit zufälligen Passanten oder dem Einkaufspublikum haben.

Nur Verwaltungsbehörden können die Verarbeitung personenbezogener Daten auf die Notwendigkeit stützen, eine Aufgabe im öffentlichen Interesse oder in Ausübung eines öffentlichen Amtes zu erfüllen (Artikel 6 Absatz 1 Buchstabe DSGVO). Verwaltungsbehörden können WLAN-Tracking nutzen, wenn es wirklich notwendig ist, eine öffentliche Aufgabe zu erfüllen. Es reicht daher nicht aus, dass die Verarbeitung für die Erfüllung einer öffentlichen Aufgabe, wie z.B. die Aufrechterhaltung der öffentlichen Ordnung oder die Möglichkeit, datengesteuerte Entscheidungen über die Gestaltung von Einkaufsgebieten zu treffen, "praktisch" ist. Die Verwaltungsbehörde muss nachweisen können, dass die Verletzung der Privatsphäre notwendig ist. Dabei müssen die Verantwortlichen, wie bei der Grundlage des berechtigten Interesses, diese im Lichte der Grundsätze der Verhältnismäßigkeit und Subsidiarität bewerten. Das bedeutet, dass Sie sich fragen müssen, ob eine solche Verarbeitung wirklich notwendig ist, d.h. ob Sie nicht zu viele oder zu sensible Daten verarbeiten, und ob Sie die Daten nicht auf andere Weise erheben können, bei der Sie die Privatsphäre der betroffenen Personen nicht oder weniger schädigen.

Die Förderung des legitimen Interesses (Grund 6) der Organisation kann auch als Grundlage für die Verarbeitung von MAC-Adressen im WLAN-Tracking dienen. Diese Grundlage ist für Verwaltungsbehörden bei der Erfüllung einer öffentlichen Aufgabe nicht geeignet, jedoch für Unternehmen. So kann beispielsweise ein Vermieter von Einzelhandelsflächen ein berechtigtes Interesse daran haben, betriebswirtschaftliche Informationen über die Anzahl der Besucher pro Markt im Laufe der Zeit zu sammeln. Das Unternehmen muss dieses Interesse jedoch mit den Interessen der Shop-Besucher und Passanten abwägen. Nach Angaben der Niederländischen Datenschutzbehörde können kommerzielle Zwecke keinem berechtigten Interesse dienen, wenn es darum geht, Personen im öffentlichen Raum zu folgen (auf Niederländisch). Die Behörde schreibt (in einem öffentlichen Statement über Kameras in Werbeflächen):

"Eine privatrechtliche Person wird nicht so schnell eine Grundlage für die Verarbeitung personenbezogener Daten im öffentlichen Raum haben, die kein Privateigentum sind, ohne die Zustimmung oder den Vertrag mit einer betroffenen Person über Kameras in Werbeflächen. Denn privatrechtliche Personen haben dort grundsätzlich keine Autorität, und die Verarbeitung personenbezogener Daten im öffentlichen Raum ohne Erlaubnis und/oder Vertrag liegt in erster Linie in der Verantwortung der (gesetzgebenden) Regierung oder muss durch diese ermöglicht worden sein."

Die Frage ist, ob diese Bewertung Bestand haben wird, wenn ein Trackingunternehmen oder eine andere verantwortliche Person, die die Dienste eines Trackingunternehmens in Anspruch nimmt, rechtliche Schritte dagegen einleiten würde.

Die Artikel-29-Gruppe gibt eine klare Erklärung ab, dass Verarbeitungsvorgänge schnell den Test des berechtigten Interesses bestehen können, sofern sie nicht im Widerspruch zu Gesetzen und Vorschriften stehen (auf Englisch). Daher kann ein kommerzielles Interesse in der Tat ein berechtigtes Interesse sein. Viel wichtiger sind die folgenden beiden Teile: ob die Verarbeitung proportional ist und ob die Verarbeitung im Einzelfall bestimmten Personen nicht zu viel schadet. Im letzteren Fall müssen Sie Maßnahmen ergreifen, um dies zu verhindern.

Das Trackingunternehmen kann die negativen Folgen für die Beteiligten minimieren, indem es beispielsweise die Messdaten sofort auf dem Sensor anonymisiert. Darüber hinaus erscheint die Unterscheidung, ob es sich um einen privaten oder öffentlichen Raum handelt, eher willkürlich. So sind beispielsweise Bahnhöfe und Einkaufszentren in der Regel in Privatbesitz. Es erscheint unproportional, dass diese Parteien ein berechtigtes Interesse an der Nutzung von WLAN-Tracking haben sollten.

Kurz gesagt, die DSGVO gilt auch für WLAN-Tracking, da personenbezogene Daten (einschließlich MAC-Adressen von mobilen Geräten) verarbeitet werden. Darüber hinaus können im Rahmen des WLAN-Tracking der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter von Fall zu Fall unterschiedlich sein, da mehrere Fallkonstellationen möglich sind. Hierbei ist für die Bewertung wichtig, welche Partei die Mittel und die Verarbeitungszwecke bestimmt.

In unserem folgenden Blog erklären wir, welche Prinzipien von Datenschutz durch Technikgestaltung (Privacy by Design) für das Design einer Tracking-Technik wie WLAN-Tracking gelten können. Mit Hilfe von Datenschutz durch Technikgestaltung kann ein Trackingunternehmen Statistiken auf der Grundlage von WLAN-Signalen mit minimalen Auswirkungen auf die Privatsphäre der Beteiligten erstellen. Benötigen Sie unterstützung bei diesen oder anderen Themen, zögern Sie nicht, uns zu kontaktieren!

Author image
Jill Baehring
Datenschutzberaterin und externe DSB bei Privacy Company