Tracking und Profiling – online und offline

Dass die Online-Welt immer mehr mit der Offline-Welt zusammenwächst, zeigt sich auch in der immer schnelleren Entwicklung von Techniken zur Beobachtung und Ortung von Menschen und der Verfolgung ihrer Bewegungen zu den verschiedensten Zwecken. Lange Zeit wurde dieses Thema ausschließlich bezogen auf die Internet-Nutzung diskutiert. Inzwischen jedoch haben die Anbieter von Internet-Inhalten erkannt, dass Online-Profile sehr viel aussagekräftiger werden, wenn sie zum einen das Verhalten der Nutzer webseitenübergreifend abbilden und zum anderen auch ihr Verhalten offline miteinbeziehen.

Zu diesem Thema veranstaltete die Europäische Akademie für Informationsfreiheit und Datenschutz am 23. November 2016 im Abgeordnetenhaus von Berlin einen Workshop, an dem auch zahlreiche ausländische Experten teilnahmen, die sich an der vorausgegangenen Herbstsitzung der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation (sog. Berlin-Group) beteiligt hatten.

Zunächst berichtete Tobias Judin von der norwegischen Datenschutzaufsichtsbehörde Datatilsynet über die Ergebnisse einer Prüfung diverser Tracking-Technologien, die in Norwegen in öffentlich zugänglichen Bereichen eingesetzt werden. Diese reichen von WiFi-Netzen über Bluetooth-Technologie und den Einsatz von Beacons in Ladengeschäften bis hin zu intelligenter Videoanalyse, die über den Einsatz herkömmlicher Kameras weit hinausgeht. Judin erläuterte die Einordnung dieser Technologien nach norwegischem Recht, die sich durchaus auf andere europäische Länder übertragen lässt. Er bezeichnete die Transparenz beim Einsatz solcher Technik durch Unternehmen als essentiell als notwendig, wenn auch nicht als hinreichend. Darüber hinaus sei die informierte Einwilligung der Betroffenen einzuholen. So ist der Betreiber einer Ladenkette, der seine Kunden in den Geschäften lokalisieren lassen und über eine App gezielte Angebote machen will, dazu verpflichtet, sowohl elektronisch in der App als auch in den jeweiligen Geschäften durch analoge Hinweise auf diese Ortungsmöglichkeit hinzuweisen, um den Kunden eine Entscheidung zu ermöglichen, ob sie davon Gebrauch machen wollen. Für den Einsatz intelligenter Videoanalyse müssen – so Judin – nach norwegischem Recht strengere rechtliche Voraussetzungen erfüllt sein als für WiFi- und Beacon-Technologie.

Achim Klabunde, Leiter des IT-Bereichs beim Europäischen Datenschutzbeauftragten, widmete sich der technisch unterstützten Beobachtung durch öffentliche Stellen. Soweit es sich dabei um EU-Institutionen handelt, werden sie vom Europäischen Datenschutzbeauftragten kontrolliert. Dabei sparte er die öffentliche Sicherheit und Grenzkontrollen aus und konzentrierte sich auf die Beobachtung der Internet-Nutzung durch Unionsbehörden. Er beleuchtete die Reichweiten-Analyse und die Nutzung von sozialen Netzen, wobei er die neueste Entscheidung des EuGH zum Personenbezug von IP-Adressen und die festgestellte Unvereinbarkeit des deutschen Verbots der Speicherung von Nutzungsdaten für Sicherheitszwecke nach dem TMG mit in seine Analyse einbezog.

Die Perspektive der US-Federal Trade Commission beleuchtete in einem Video-Statement der Guilherme Roschke, Counsel for International Consumer Protection der FTC. Er schilderte die umfangreichen Aktivitäten der FTC im Zusammenhang mit verschiedenen Formen des geräteübergreifenden Online-Tracking durch Internet-Unternehmen, die ihre Kunden darüber entweder überhaupt nicht oder irreführend informieren. Dies reicht von „history sniffing“, bei dem die Nutzungshistorie des Browsers ausgelesen wird, bis hin zur unbemerkten Herstellung von Internet-Verbindungen durch moderne Fernsehgeräte, ein Thema, das auch in Deutschland für Diskussionen gesorgt hat. Bemerkenswert war die Aussage, dass die FTC – wie auch die europäischen Datenschutzbehörden – der Auffassung ist, dass Daten, die mittels technischer Identifikationsmerkmale wie der IP- oder der Mac-Adresse zur Personalisierung verwendet werden können, nicht generell als anonyme Daten anzusehen sind.

Abschließend berichtete Frank Wagner von der Deutschen Telekom über den gegenwärtigen Stand der internationalen Diskussion über den Do-Not-Track-Standard. Das World Wide Web Consortium (W3C) hat vor mehreren Jahren hierzu eine Arbeitsgruppe eingesetzt, die inzwischen mehrere Entwürfe für ein browsergestütztes Verfahren vorgelegt hat, mit dem Nutzer den von ihnen besuchten Webseiten mitteilen können, ob sie eine Speicherung ihrer Nutzungsdaten nach Ende der Nutzung akzeptieren oder nicht. Während die US-Internet-Wirtschaft offenbar kein Interesse an einem solchen Standard hat und das W3C deshalb Ende 2016 die Arbeiten daran einstellen wird, erläuterte Wagner die Absicht der Deutschen Telekom, gemeinsam mit anderen europäischen Stakeholdern dafür werben zu wollen, dass die Datenschutzbehörden in der Union den Do-Not-Track-Standard als eine Möglichkeit der informierten Einwilligung nach der Datenschutz-Grundverordnung qualifizieren.

 

Alexander Dix

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert