WLAN-Tracking beim Bummeln in der Stadt
Nicht nur das eine oder andere Stadtmarketing zählt Besucher in Innenstädten, sondern auch immer mehr Betreiber eines Ladengeschäftes erfassen ihre Kunden sowie vorbeigehende Passanten. Dies geschieht nicht nur in Hamburg, Berlin oder Pinneberg, sondern auch im beschaulichen Parchim in Mecklenburg-Vorpommern.
Aber was machen die nun? Wie erfassen etwa Stadtmarketing sowie Ladeninhaber Kunden und Passanten? Über Studenten, die sich etwas dazuverdienen?
Nein! Sondern mit der Hilfe all derer, die das WLAN ihres mobilen Endgerätes – etwa des Smartphones – aktiviert haben.
Aus persönlichen Daten wird ein persönliches Produkt
Der deutsche Einzelhandel hat bislang vor allem Kundenkarten ausgegeben, also das sogenannte Clubmodell ausprobiert: Damit hat er die Einkäufe und Vorlieben von Kunden ausgewertet sowie hin und wieder Papiercoupons mit grob individualisierten Angeboten in deren Briefkästen werfen lassen. Allerdings hält auch hier nunmehr eine verstärkte Digitalisierung Einzug, weshalb sich auch das Kosten-Nutzen-Verhältnis positiv verändert, und so entdecken auch immer mehr Kommunen für ihre Innenstädte das WLAN-Tracking, um ihre Besucher noch besser kennenzulernen.
Ziel ist die Erfassung von Kundenströmen, die Neuansiedlung von Unternehmen und die Ergründung sowie Erzeugung von Kundenwünschen. So könnte es möglicherweise von Vorteil sein, dem Kunden, der eine bestimmte Einkaufsstraße betritt, entsprechende Rabattcoupons für die in der Nähe befindlichen Geschäfte auf sein Mobilgerät zu schicken.
Wie funktioniert das?
Das entsprechende Verfahren kommt bereits millionenfach täglich in Deutschland zur Anwendung, wenn auch – trotz mancher Fernsehwerbung, die Rabatte verspricht, die nur aufgrund dieser Technologie möglich sind – ziemlich unbemerkt und basiert auf einem sehr simplen Prinzip.
Jedes elektronische Gerät, dass die Möglichkeit des Zugangs zu einem Netzwerk – etwa einem WLAN – besitzt, verfügt über eine sogenannte MAC-Adresse. Diese Adresse macht das Gerät in der Regel weltweit einzigartig. Wenn nun dieses Gerät über eine WLAN-Funktion verfügt und diese auch aktiviert ist, wird es ununterbrochen versuchen, sich mit den in der Nähe befindlichen WLAN-Netzen zu verbinden. Damit dies möglich ist, wird die MAC-Adresse stets an das jeweilige WLAN übermittelt, um im Falle einer erfolgreichen Verbindung mit diesem WLAN Datenpakete austauschen zu können. Erkennt das WLAN bzw. der dahinterstehende Router das anfragende Gerät als berechtigt, wird der Zugriff auf das WLAN gewährt. Andernfalls wird der Zugriff verweigert. In jedem Fall dokumentiert der Router die Anfrage und damit die jeweilige MAC-Adresse.
Diesen Prozess kann jeder zu Hause nachvollziehen, der einen Router mit einem aktivierten sowie sichtbaren WLAN besitzt. Auch in diesem werden erfolglose Anmeldeversuche von WLAN-fähigen Geräten dokumentiert.
Nach dem gleichen Prinzip erfolgt die Erfassung der Kunden bzw. Passanten mittels suggerierter WLAN-Netze. Auch hier interagiert das mobile Gerät des Passanten – bei eingeschalteter WLAN-Funktion – mit der sich in der Nähe befindenden Technik des Zählenden und überträgt dabei auch die MAC-Adresse.
Einige Betreiber solcher „Zählanlagen“ geben zwar an, dass die jeweilige MAC-Adresse gehasht wird, was nichts anderes bedeutet, als dass die Adresse nach einem definierten mathematischen Verfahren verändert wird und der sich ergebende Hashwert nicht in die MAC-Adresse zurückgerechnet werden kann, allerdings ergibt dieselbe MAC-Adresse bei demselben definierten mathematischen Verfahren immer den gleichen Hashwert. Hierdurch kann zwar eine erneute Erhebung festgestellt und dadurch Mehrfachzählungen ausgeschlossen werden, dies führt aber auch dazu, dass durch ein Ausprobieren von MAC-Adressen die dazugehörenden Hashwerte individuell ermittelt werden können. So etwas kann nur durch die Verwendung eines „Salt“ unterbunden werden, wobei hierbei der jeweilige Hash um eine zufällig gewählte Zeichenfolge ergänzt wird, die bei jeder Umrechnung wechselt und so eine Zuordnung zwischen MAC-Adresse sowie Hashwert unmöglich macht.
Aufgrund der lebenslangen Verknüpfung von MAC-Adresse und mobilem Gerät ist nach Ansicht des Düsseldorfer Kreises ein Personenbezug hinsichtlich des Gerätebesitzers zu bejahen. In seiner Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter stellt er daher klar:
„Eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät bzw. der Karte verbunden sind, können regelmäßig durch verschiedene Stellen einer Person zugeordnet werden. So werden die Kennungen mitunter von den Netzbetreibern gemeinsam mit dem Namen etc. einer Person gespeichert oder die Kennungen in Verbindung mit einer Registrierung der registrierten Person zugeordnet. Die bekanntesten Kennungen sind die:
- IMEI: International Mobile Equipment Identity (=Gerätenummer);
- UDID: Unique Device ID (=Gerätenummer eines iOS-Gerätes);
- IMSI: International Mobile Subscriber Identity (=Kartennummer);
- MAC-Adresse: Media AccessControl-Adresse (=Hardware-Adresse eines Netzwerkadapters);
- MSISDN: Mobile Subscriber ISDN-Number (=Mobilfunknummer)“.
Im Ergebnis bedeutet dies: Wird der jeweilige Hashwert nicht mit einem „Salt“ versehen, setzt sich der Personenbezug im Hashwert fort, es liegen unstreitig personenbezogene Daten vor, die unzweifelhaft durch das Datenschutzrecht geschützt sind. Der jeweilige Hashwert kann so für differenzierte Bewegungsprofile der jeweiligen Geräte genutzt werden, die umso aussagekräftiger werden, je öfter sich das Geräte im erfassten Bereich befindet. Besonders Anwohner und Mitarbeiter von entsprechend überwachten Bereichen dürften hier betroffen sein.
Da das gesamte Verfahren von unterschiedlichsten Stimmen sehr kritisch gesehen wird, wurde mittlerweile die Bundesdatenschutzbeauftragte um die Prüfung des Einsatzes entsprechender Technologien gebeten, die dabei insbesondere den Aspekt der fehlenden Benachrichtigung der Betroffenen herausstellte. Diese wüssten gar nicht, dass Informationen ihres mobilen Gerätes weiterverarbeitet werden.
Ergebnis
Das hier beschriebene Verfahren ist – wenn eine Zuordnung der Hashwerte bestehen bleibt – durchaus kritisch zu sehen. Im Hinblick auf die DS-GVO wird in diesem Zusammenhang sehr interessant werden, wie der Betreiber einer entsprechenden Technik vor allem den proaktiven Informationspflichten nach Art. 13 DS-GVO, die bereits bei der Datenerhebung zu erfüllen sind, entsprechen kann.
Die ANMATHO AG empfiehlt, nicht genutzte Kommunikationsfunktionen in mobilen Geräten – hier etwa auch Bluetooth – grundsätzlich zu deaktivieren, um eine entsprechende Erkennung zu verhindern. Ein positiver Nebeneffekt ist dabei sicherlich die längere Akkulaufzeit Ihres Mobilgerätes.