Mit der fortschreitenden Technologie im Mobilfunk stellt sich verstärkt die Frage, wie Dienste zur Erfassung des Aufenthaltsorts eigentlich datenschutzrechtlich zu bewerten sind. So beschäftigte das Thema unlängst auch eine hochrangige Arbeitgruppe der EU. Wie weit die Experten dabei ins technische und juristische Detail gingen, erklären Thomas Weimann und Daniel Nagel.
Als ein Polizeisprecher Ende November 2008 während der verheerenden Attacken in Mumbai vor die Mikrophone trat und erklärte, dass die Lage unter Kontrolle sei, lauschte nicht nur die beunruhigte Bevölkerung seinen Worten; auch ein Helfer der mit GPS-Sendern ausgestatteten Terroristen vor dem Bildschirm hörte und gab sogleich die Position des Sprechers an seine sich am nächsten befindenden Kumpane durch. Kurze Zeit später wurde der Sprecher durch einen gezielten Schuss getötet.
Die Aufarbeitung der Anschläge machte schnell deutlich, dass die Terroristen der indischen Polizei im Hinblick auf den Einsatz modernster Geodatentechnologie einen Schritt voraus waren. Daher überraschte es wenig, dass in der Folgezeit bei vielen Sicherheitskonferenzen auf diese Technologie ein Hauptaugenmerk gelegt wurde.
Aber auch Datenschützer beschäftigen sich seit einiger Zeit immer intensiver mit der Frage nach Gefahren und Nutzen von Geodaten. Nachdem zuletzt die BITKOM einen Vorstoß gewagt hatte, legte nun die Article 29 Working Party der EU nach. Die Arbeitsgruppe, der neben dem europäischen Datenschutzbeauftragten auch die Datenschutzbeauftragten aller europäischen Mitgliedsstaaten angehören und deren Stellungnahmen in Datenschutzbelangen ein erhebliches Gewicht innerhalb Europas haben, veröffentlichte Mitte dieses Monats eine Stellungnahme zu "Geolocation services on smart mobile devices".
Geodaten können auf mehrere Arten erfasst werden
Das erklärte Ziel der Stellungnahme, den "Rechtsrahmen für den Einsatz von Geodatendiensten, die mithilfe von mobilen Endgeräten verfügbar sind oder generiert werden, mit dem Internet verbunden werden können und über einen GPS-Sensor verfügen" zu klären, klingt zunächst wenig spektakulär. Die dabei gezogenen Schlüsse sind es aus datenschutzrechtlicher Sicht umso mehr.
Das Papier unterscheidet zunächst zwischen drei Arten von Geodaten beziehungsweise Erfassungsmöglichkeiten: Daten, die durch die Standorte von Sendemasten gewonnen werden können, Daten die über und von Wirelessnetzwerken gesammelt werden, und Daten, die mittels der GPS-Technologie erfasst werden können.
Erstere Daten können beispielsweise als Staufrühwarnsystem genutzt werden, wenn die Geschwindigkeit des Netzwechsels von im Auto mitgeführten Mobiltelefonen auf den nächsten Sendepunkt mit Bestandsdaten verglichen wird. Gleichzeitig ermöglichen sie aber auch mithilfe von zusätzlichen Indikatoren wie etwa der Feldstärke, eine recht genaue Lokalisierung des jeweiligen Endgerätes.
Zuletzt wegen Google Street View in die Diskussion gekommene Daten über Drahtlosnetzwerke, die von mobilen Endgeräten automatisch erkannt werden und welche die jeweilige MAC-Adresse offenlegen können, verhelfen zur Möglichkeit einer genauen Kartographie und damit einer präziseren Standortbestimmung. Das gilt sowohl bezüglich der Wirelessnetzwerke selbst als auch der damit datenaustauschenden mobilen Geräte. Wie genau eine Bestimmung des Aufenthaltsortes schließlich mittels GPS möglich ist, ist – von wenigen Ausnahmen abgesehen – jedem klar, der ein Navigationssystem sein Eigen nennt.
Nachts eingeschaltetes Handy erlaubt Rückschlüsse auf Schlafgewohnheiten
Die Working Party sieht im Hinblick auf jegliche Sammlungs- und Übertragungsmöglichkeit von Geodaten erhebliche Risiken für die Privatsphäre. Dies stützt sie unter anderem darauf, dass mobile Geräte sehr nah am Körper getragen werden und daher auch sehr genaue Rückschlüsse auf eine Person zulassen.
Ein über Nacht eingeschaltetes Mobiltelefon könnte so zum Beispiel anhand fehlender Bewegungsdaten nicht nur eine Lokalisierung des Schlafzimmers einer Person, sondern auch Rückschlüsse über deren Schlafgewohnheiten ermöglichen.
Selbst wenn in der Stellungnahme mögliche Gefahren eher beiläufig erwähnt werden, muss man nur einen Blick auf die gerne auch von Minderjährigen frequentierten und freizügig mit Daten und Bildern gefütterten Portale werfen, die beispielsweise eine Modellkarriere versprechen und als besondere Features auch die Einbindung von Geodaten ("befindet sich gerade in…") und Google-Maps-Verknüpfungen anbieten, um die angesprochenen "neuen Risiken" nachvollziehen zu können.
Anbieter müssen Kunden über aktivierten Dienst informieren
Juristisch interessant ist aber vor allem die daraus gezogene Schlussfolgerung: Geodaten machen eine eine mittelbare Identifizierung möglich und können damit Daten mit Personenbezug darstellen.
Die Folge ist, dass in einigen Fällen vor Erhebung, Nutzung oder Verwendung von Geodaten eine vorherige ausdrückliche Einwilligung des Betroffenen erforderlich ist. Eine generelle Akzeptanz über die Zustimmung zu Allgemeine Bedingungen reicht nicht aus.
Zu begrüßen ist die von der Working Party in diesem Zusammenhang vorgenommene Differenzierung nach Personenkreisen, die mit den Geodaten in Kontakt kommen: Sie unterscheidet zwischen Anbietern von Zugang zu und von Inhalten von Telemediendiendiensten und berücksichtigt auch Betriebssystemhersteller gesondert. Insbesondere bei Zugangsvermittlern liegen - auch dank der möglichen Verknüpfung von Geodaten mit weiteren Daten - nach Ansicht der Working Party personenbezogene Daten vor.
Bei den anderen Gruppen erfolgt eine feingliedrige Unterscheidung danach, ob die Dienste über einen Browser erreicht oder installiert werden, welche Daten dabei übermittelt werden oder ob gar ein vorherige Registrierung erforderlich ist. Dies kommt der Ansicht des relativen Personenbezugs nahe, die im Rahmen der Diskussion vertreten wird, ob IPv4-Adressen personenbezogene Daten darstellen: Die Frage, ob solche Daten vorliegen kann nicht nur abstrakt anhand der jeweiligen Daten definiert, sondern auch in Bezug auf die verarbeitende Stelle untersucht werden.
Unabhängig von der Frage, ob eine Einwilligung erforderlich ist, hält die Working Party es jedoch für unabdingbar, Hersteller von Betriebsoftware für mobile Endgeräte dazu anzuhalten, Geodatendienste in der Standardeinstellung zu deaktivieren und Nutzer etwa mittels eines Icon zu warnen, solange die Dienste aktiviert sind.
Inwieweit die Stellungnahme Anklang in der Praxis findet, bleibt abzuwarten. Es sollte aber nicht vergessen werden, wer in Europa für die Verfolgung und Ahndung von Datenschutzverstößen zuständig ist oder für zuständig erklärt werden kann: In den meisten Fällen sind es die Mitglieder der Article 29 Working Party.
Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart.
Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart.
Beide Autoren beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht und sind Verfasser diverser Veröffentlichungen auf diesen Gebieten.
Mehr auf LTO.de:
Unterzeichnung des Geodaten-Kodex: Mehr als reiner Aktionismus
Google Street View: Urheber- und Persönlichkeitsrechte werden verletzt
Google Street View: Im Kreuzfeuer der Datenschützer
Thomas Weimann und Daniel Nagel, Geolocation auf Smartphones: . In: Legal Tribune Online, 30.05.2011 , https://www.lto.de/persistent/a_id/3388 (abgerufen am: 13.12.2025 )
Infos zum Zitiervorschlag
