Beacons und Datenschutz: das muss kein Widerspruch sein

Das Wort „Beacon“ leitet sich von dem englischen Begriff für „Leuchtfeuer“ ab. Die Technologie der iBeacons basiert auf dem Prinzip Sender – Empfänger. In einem Raum werden kleine Sender (Beacons) als Signalgeber platziert, deren einzige Funktion es zunächst einmal ist, in den festgelegten Zeitintervallen Signale, nämlich eine Kombination aus Zahlen und Buchstaben, zu senden. Kommt ein Empfänger, zum Beispiel ein Besucher mit einem Smartphone und einer darauf installierten Mobile-App, die für den Empfang von iBeacon-Signalen konfiguriert ist, in die Reichweite eines solchen Senders, empfängt es das Signal der Beacons und übergibt es an die auf dem Gerät installierte App weiter. Diese führt dann eine bestimmte, von der jeweiligen ID abhängige Aktion aus. Sind mehrere Beacons in Reichweite des Endgerätes, kann darüber hinaus die Position des Empfängers innerhalb eines bestimmten Standortes ermittelt werden. Die Datenübertragung selbst geschieht hierbei über die von Nokia bereits im Jahre 2006 entwickelte Bluetooth-Low-Energie (BLE) Technologie. Datenschutzrechtlich bedeutsam ist dabei, dass jedes iBeacon also lediglich ein Funksignal aussendet, es verarbeitet diese Signale aber nicht. Das Signal wird erst von den Smartphones erfasst und durch darauf installierte Apps weiterverarbeitet. Das bedeutet andererseits aber auch, dass eine iBeacon selbst keinerlei Kenntnisse über den Aufenthaltsort des jeweiligen Nutzers besitzt und es bedeutet auch, dass jeder Nutzer die jeweilige App, die iBeacons verarbeitet, bewusst auf seinem Gerät installiert haben muss. Nur dann kann es zu einem Zusammenspiel zwischen einem iBeacon und einer App kommen, die auf einem Smartphone installiert ist.

 Die datenschutzrechtliche Sicht

Aus der datenschutzrechtlichen Sicht ist daher zwischen dem iBeacon als Sender und der verarbeiteten App als Empfänger zu unterscheiden.

Das iBeacon selbst erscheint aus der Sicht des Senders datenschutzrechtlich unproblematisch. Das deutsche Datenschutzrecht regelt in den Bestimmungen des BDSG (Bundesdatenschutzgesetz) und des TMG (Telemediengesetz), dass nur die Verarbeitung von personenbezogenen Daten der vorherigen Zustimmung des Betroffenen bedarf.

Personenbezogene Daten sind Einzelangaben über die persönlichen oder sachlichen Verhältnisse einer Person, also beispielsweise deren Name, die Adresse, auch die E-Mail-Adresse oder die Telefonnummer einer Person. Demgegenüber stehen die anonymen und die pseudonymen Daten. Anonyme Daten liegen dann vor, wenn die hinter einem anonymen Datum – zum Beispiel einer Kennzahl – stehende natürlich Person überhaupt nicht mehr oder nur mit einem unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft ermittelt werden könnte. Pseudonyme Daten unterscheiden sich dagegen von anonymen Daten dadurch, dass diese Daten nicht vollständig verschlüsselt worden sind, sondern dass es immer noch jemanden gibt, der einen Schlüssel für die Rückauflösung der pseudonymen Daten besitzt. Das gesamte Onlinemarketing spielt sich also in diesem Dreieck zwischen personenbezogenen, anonymen und pseudonymen Daten ab. Versucht man daher vor diesem Hintergrund die iBeacons datenschutzrechtlich einzuordnen, fällt auf, dass sie selbst überhaupt keine Daten verarbeiten, erstrecht keine personenbezogenen Daten. iBeacons senden nur Buchstaben oder Zahlen, sie besitzen aber keinen Bezug zu einer konkreten Person. Es kommt daher zu keinem Zeitpunkt zu einer Verarbeitung von personenbezogenen Daten durch den Einsatz von iBeacons. Der Einsatz der iBeacons selbst ist daher datenschutzrechtlich unbedenklich.

 Die Sicht des Empfängers

Von Bedeutung ist dagegen der Empfang der iBeacons auf dem Endgerät des Users und die Verarbeitung der Signale durch die iBeacon-fähige App. Mit dem Empfang der von den iBeacons ausgestrahlten Signale kommt es jetzt zu einer Verknüpfung dieser Signale mit der App des jeweiligen Nutzers und damit zu einer Verknüpfung der auf der App befindlichen personenbezogenen Informationen.

Diese Verarbeitung der iBeacon-Signale auf einer App führt deshalb zu einer Verarbeitung von personenbezogenen Daten im Sinne des § 3 BDSG. Und damit bedarf dieser Vorgang der Zustimmung des jeweiligen Inhabers der App.

Denn § 12 des Telemediengesetzes sieht vor, dass ein Diensteanbieter personenbezogene Daten nur dann erheben und verwenden kann, wenn der jeweilige Nutzer ausdrücklich in diesen Vorgang eingewilligt hat. Wie eine solche Einwilligung auszusehen hat, regelt § 13 TMG. Danach hat der jeweilige App-Anbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Verarbeitung seiner personenbezogenen Daten in allgemein verständlicher Form zu unterrichten. Diese Unterrichtung kann in der Regel im Zusammenhang mit dem Download der App im AppStore und einer dort abgelegten Datenschutzerklärung erfolgen. Diese Datenschutzerklärung muss aber hinreichend transparent sein.

Es muss sichergestellt werden, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, dass eine Einwilligung protokolliert wird und der Nutzer den Inhalt seiner Einwilligung jederzeit wieder abrufen kann. Es muss außerdem sichergestellt werden, dass der Nutzer die Möglichkeit besitzt, seine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Auf diese Möglichkeiten hat der jeweilige App-Anbieter den Nutzer vor dem Download seiner App in der Datenschutzerklärung ausdrücklich hinzuweisen.

 Aufklärung in Datenschutzerklärungen

Der Anbieter einer App muss deshalb in seiner Datenschutzerklärung darüber aufklären, für welche Zwecke er insbesondere die Standortdaten der Nutzer verwendet und dass er die iBeacon-Technologie einsetzt. Dass gerade diese Pflicht zu einer umfassenden Aufklärung innerhalb einer Datenschutzerklärung in vielen Fällen missachtet wird, zeigt eine Prüfung des bayrischen Landesamtes für Datenschutz im vergangenen Jahr.

Darüber hinaus haben die Datenschutzbehörden inzwischen am 16. Juni 2014 eine so genannte „Orientierungshilfe“ zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter veröffentlicht. Dieses Dokument, das das bayrische Landesamt für Datenschutz federführend für den sogenannten Düsseldorfer Kreis, das sind alle Aufsichtsbehörden in Deutschland für Datenschutz, erstellt hat, ist auf der Seite des bayrischen Landesamtes für Datenschutz  abrufbar. Auch diese erste umfassende Stellungnahme der öffentlichen Datenschutzbehörden zur Entwicklung von Apps in Deutschland macht deutlich, dass die Erhebung von Standortdaten und damit auch die Verarbeitung von iBeacon-Signalen zulässig sein kann, wenn die entsprechende Einwilligung des Nutzers eingeholt wurde. Die Einwilligung muss aber den oben beschriebenen Anforderungen entsprechen.

 Fazit

Es kann also festgehalten werden, dass durch die iBeacons neue Marketingtechnologien entstanden sind, die durchaus datenschutzkonform eingesetzt werden können. Das Problem haben dabei nicht die iBeacon-Anbieter, sondern die Anbieter der Apps, die Signale von iBeacons verarbeiten. Ihnen wird in erster Linie die Aufgabe zukommen, den Einsatz der iBeacons in ihren eigenen Datenschutzerklärungen hinreichend deutlich und transparent darzustellen. Geschieht das aber und wird damit die Einwilligung datenschutzkonform eingeholt, steht einem Einsatz von iBeacons nichts entgegen.

Autor: Dr. Frank Eickmeier (im Bild) ist seit 1997 Rechtsanwalt und Partner der IT/IP-Kanzlei Unverzagt von Have und insbesondere im Bereich des Rechts der Neuen Medien tätig. Frank Eickmeier berät hier mit seinem Team namhafte Onlinevermarkter, Targeting-Anbieter, Mediaagenturen, Content-Produzenten und Web-2.0-Plattformen bei den klassischen Fragstellungen in der Onlinewelt. Schon frühzeitig spezialisierte sich Frank Eickmeier auf die maßgeblichen datenschutzrechtlichen Fragestellungen, die im Zusammenhang mit Geschäftsmodellen von Unternehmen aus der Branche des Onlinemarketings von Bedeutung sind.

Dieser Beitrag erschien erstmals im e-commerce Magazin, Ausgabe 01/2015

 

RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags