Recap: Workshop der EAID
WEITERE LESE-EMPFEHLUNG: Die Entscheidung FTC vs. Wyndham
Am 23. November 2016 lud die Europäische Akademie für Datenschutz und Informationsfreiheit (EAID) zum Workshop in Berlin ein, um im kleinen Kreis das spannende Thema „Tracking and Profiling – Online and Offline“ rechtsvergleichend zu beleuchten.
Smarte Kameras stellen Datenschutz vor neue Herausforderungen
Den Auftakt machte Tobias Judin von der Norwegischen Datenschutzbehörde (Datatilsynet) mit einem Vortrag zum Thema „Tracking in Public Spaces“. Judin schilderte die Erfahrungen der Aufsichtsbehörde mit Tracking über WiFi, Bluetooth, Beacons oder durch den Einsatz von intelligenten Videoanalysesystemen (Kameras mit intelligenten Sensoren). Die rechtliche Zulässigkeit dieser Technologien sei grundsätzlich nach ihrem Zweck, Einsatzort sowie der Transparenz der Angaben, die gegenüber den Betroffen gemacht werden, zu beurteilen. Weiter führt Judin aus, dass der Einsatz von WiFi-Tracking oder Kameras mit intelligenten Sensoren besonders problematisch an „sensiblen“ Orten wie Krankenhäusern, Gebetshäusern oder LGBTQ-Bars sei, da der Aufenthalt an diesen Orten Rückschlüsse über die Krankheiten einer Person, ihre Religionszugehörigkeit oder ihre sexuelle Orientierung erlaubt. Die beim Einsatz von intelligenten Videoanalysesystemen anfallenden Metadaten, sind nach Meinung der Aufsichtsbehörde ebenfalls an den strengen norwegischen Vorschriften zur Videoüberwachung zu messen. Für diese müssten beispielsweise dieselben Löschfristen wie für Videoaufnahmen gelten, auch wenn sie anonymisiert oder pseudonymisiert seien, da bei kontinuierlicher Videoüberwachung ein Personenbezug in einem kleinen Land wie Norwegen nie vollends ausgeschlossen werden könne. Damit erteilt die Norwegische Datenschutzbehörde der Nutzung anonymisierter oder pseudonymisierter (Kamera-)Metadaten zu Marktforschungszwecken (zum Beispiel der Analyse des Konsumverhaltens in Kaufhäusern) eine klare Absage.
Webanalyse auch im öffentlichen Sektor
Achim Klabunde, Leiter IT-Policy beim Europäischen Datenschutzbeauftragten, machte in seinem Vortrag „Tracking by Public Sector Services“ deutlich, dass neben der Überwachung an Flughäfen, Grenzkontrollpunkten und anderen öffentlichen Orten, der Begriff „Tracking“ durch staatliche Einrichtungen auch eine andere Dimension haben kann. So seien für Organe und Einrichtungen der Europäischen Union soziale Medien ein wichtiges Kommunikationsmittel im Rahmen ihrer Öffentlichkeitsarbeit ist. Daher stellen sich beim Thema Webanalyse dieselben datenschutzrechtlichen Fragestellungen wie im privaten Sektor.
Risiko „Audio Beacons“
Der Vortrag „The FTC Approach to Tracking and Profiling“ von Guilherme Roschke von der US-amerikanischen Behörde Federal Trade Commission wurde aufgrund des bevorstehenden Thanksgiving-Feiertags in den USA leider nur via Video übertragen. Roschke’s Redebeitrag zeigte dennoch, wie eine Wettbewerbs- und Verbraucherschutzbehörde effektiv gegen Datenschutzverstöße vorgehen kann. Ausgangspunkt ist hierbei stets der Verdacht auf unfaire oder irreführende geschäftliche Handlungen (unfair or deceptive business practices).
So habe die FTC bereits eine Vielzahl von Verfahren gegen Unternehmen wegen des Einsatzes von Tracking- und Profilingtechnologien geführt. Diese sind aus Sicht der Aufsichtsbehörde immer dann problematisch, wenn dem Nutzer wesentliche Informationen über die Technologie verschleiert oder vorenthalten werden – oder wenn dem Nutzer suggeriert wird, dass solche Technologien nicht zum Einsatz kommen. In einem besonders drastischen Fall des geräteübergreifenden Trackings, warnte die FTC App-Entwickler vor der “Unique Audio Beacon“-Technologie der Firma Silverpush, die in ihren Apps zum Einsatz kam. Die Technologie ermöglicht es mobilen Apps hochfrequente (für den Menschen nicht hörbare) Audiosignale in laufenden TV-Sendungen des nahegelegenen Fernsehers zu erkennen. Solange das mobile Gerät des Nutzers angeschaltet ist, läuft die Funktion im Hintergrund ab, auch wenn die App nicht genutzt wird. Unternehmen wären auf diese Weise in der Lage das Fernseh- und Konsumverhalten von Nutzern genauestens auszuwerten. Silverpush hat sich mittlerweile von der Technologie distanziert und die FTC setzt unermüdlich ihren Weg als „lifeguard for consumer privacy“ fort.
Do Not Track’s not dead
Frank Wagner von der Deutschen Telekom gab interessante Einblicke in die Entstehungsgeschichte der Initiative „Do Not Track“ und die Arbeit der „W3C Tracking Protection Working Group“ mit Blick auf die Gestaltung und Interpretation der Einstellung in Web-Browsern. Der Mechanismus signalisiert einer Website den Wunsch, von dem Betreiber der Seite nicht getrackt zu werden. Auch wenn „Do Not Track“ bisher nicht die Popularität erreicht hat, die man sich erhofft hatte, ist Wagner der Auffassung, dass der Mechanismus mit der Datenschutzgrundverordnung wieder an Relevanz gewinnen könnte. Er sieht die Zukunft von „Do Not Track“ nicht als herkömmlichen „Adblocker“, sondern als sinnvollen Mechanismus zur Einholung von Nutzereinwilligungen. Ob „Do Not Track“ in dieser neuen Rolle auf eine breitere Akzeptanz bei Nutzern und Unternehmen trifft, wird sich wohl erst ab Mai 2018, mit der Anwendung der Datenschutzgrundverordnung, zeigen.
Zusammenfassung
Der Workshop der Europäischen Akademie für Datenschutz und Informationsfreiheit zum Thema „Tracking and Profiling – Online and Offline“ war eine hervorragende Gelegenheit, sich intensiv mit datenschutzrechtlichen Fragestellungen moderner Trackingtechnologien zu befassen, über den nationalen „Tellerrand“ zu blicken und Lösungsansätze zu diskutieren. Spirit Legal LLP ist beim nächsten Mal gerne wieder dabei!
