Datenschutz bei Geolocation services – Stellungnahme der Art. 29 Datenschutzgruppe

Ich weiß immer wo ich bin: Mein Laptop, mein Telefon und selbst meine Sportuhr sind mit einem GPS-Empfängern ausgestattet. Ist der Standort eines Telefons bekannt, bietet dies die Chance für tolle Dienste (z.B. Karten und andere Informationen über die Umgebung).

Fragwürdiges und wohl erfolgloses Angebot von www.ehebruch24.de

Fragwürdiges und wohl erfolgloses Angebot von http://www.ehebruch24.de

Problematisch ist vielleicht, dass andere erfahren können wo ich bin, da mein Telefon seinen Standort unter Umständen bekannt gibt oder ungeschützt aufzeichnet. Wegen der zunehmenden Verbreitung von Smartphones gibt es Anlass, sich über den Datenschutz bei Geolocation Services Gedanken zu machen. Die Artikel 29 Datenschutzgruppe hat in dieser Woche ein Arbeitspapier zu diesem Thema veröffentlicht. Diese Arbeitsgruppe ist nach Artikel 29 der Datenschutzrichtlinie 95/46/EG benannt und hat die Aufgabe, „alle Fragen im Zusammenhang mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zu prüfen, um zu einer einheitlichen Anwendung
beizutragen“.

Die Datenschutzgruppe beschränkt ihre Ausführungen auf drei Anwendungsfälle:

  • „Standortdaten“: Ein eingeschaltetes Mobiltelefon ist mit der Station des Netzbetreibers verbunden. Mit der Kenntnis der Station kann man den Standort des Mobiltelefons recht genau bestimmen.
  • GPS-Daten: GPS ist wesentlich genauer. Die Bestimmung des Standorts ist auf wenige Meter genau möglich.
  • WLAN – access points: Ein eingeschalteter WLAN- access point teilt seiner Umgebung seine Anwesenheit permanent mit. Zu diesem Zweck sendet ein WLAN-access point u. a. seine Media-Access-Control-Adresse (MAC), die der eindeutigen Identifizierung des Geräts dient. Sind die Standorte von WLAN-access points bekannt, kann von den WLAN-access point in der Umgebung des Mobiltelefons auf den Standort des Mobiltelefons geschlossen werden. Die Standorte von access points werden seit einigen Jahren von unterschiedlichen Unternehmen erfasst. Auch am Computer kann man diese Technik ausprobieren: Google maps in Firefox aufrufen und auf den Punkt klicken. Jetzt nur noch den Zugriff erlauben und schon wird der aktuelle Standort bestimmt.

Die Datenschutzgruppe hat beispielhaft unterschiedliche Stellen identifiziert, die rechtlich für die Verarbeitung dieser Daten verantwortlich sein können. Dabei ist der Gruppe bewusst, dass eine Stelle auch mehrere Rollen gleichzeitig einnehmen kann.

  • „Controller of geolocation infrstrukture“ also z.B. die Unternehmen, die Standorte von WLAN-access points erfassen
  • Anbieter von Lokalisierungsanwendungen und -diensten, z. B. die Unternehmen, die vom Telefon des Nutzers Standortdaten anfordern, um Informationen über die Umgebung liefern zu können.
  • Entwickler von Betriebssystemen

Die Datenschutzgruppe stellt fest, dass die Verarbeitung der Geolokalisierungsdaten durch die genannten Verantwortlichen nicht durch spezielle Richtlinien geregelt ist, sondern der Datenschutzrichtlinie 95/46/EG unterworfen ist. Ausgehend von dieser Feststellung weist die Datenschutzgruppe auf rechtliche Anforderungen an die Datenverarbeitung hin und geht dabei insbesondere auf die Anforderungen an eine wirksame Einwilligung des Nutzers ein. Ein Aspekt ist dabei, dass eine Einwilligung aktiv erfolgen muss („opt-in“) und nicht darin gesehen werden kann, dass der Nutzer die Datenübermittlung nicht unterbindet („opt-out“).

Neu und nicht von der Richtlinie vorgesehen ist die Empfehlung, die Einwilligung zeitlich zu befristen und den Nutzer mindestens jährlich an die Einwilligung zu erinnern. Dies erscheint sinnvoll, da es schwierig sein dürfte, auf Dauer den Überblick über die erteilten Einwilligungen zu behalten.

Überraschend ist die Einordnung der Informationen über WLAN-access points. Diese sind auf die MAC-Adresse, den Standort und möglicherweise die SSID beschränkt. Es ist meines Erachtens sehr fraglich, ob es sich bei diesen Informationen um personenbezogene Daten handelt. Selbst wenn man mir die MAC-Adresse meines WLAN-access points zuordnen kann, frage ich mich, welches (persönlichkeitsrechtliche)Risiko damit für mich verbunden sein könnte und ob es sich wirklich um eine „Information über eine […] Person“ im Sinne von Art. 2 lit. a der Richtlinie handelt.

Selbst die Datenschutzgruppe scheint sich in der Bewertung nicht ganz sicher gewesen zu sein:

The fact that in some cases the owner of the device currently cannot be identified without unreasonable effort, does not stand in the way of the general conclusion that the combination of a MAC address of a WiFi access point with its calculated location, should be treated as personal data.

Advertisements
Dieser Beitrag wurde unter Datenschutz, geolocation abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Datenschutz bei Geolocation services – Stellungnahme der Art. 29 Datenschutzgruppe

  1. Pingback: Datenschutz bei Geolocation services – Stellungnahme jetzt auch auf Deutsch | Geoinformationsrecht

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s