Schlagwort-Archive: Schutzgesetz

Aufsatz „Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter – Der Fall Telefónica/O2“, K&R 2013, 7, erschienen

In eigener Sache:

Mein Aufsatz mit dem Titel „Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter – Der Fall Telefónica/O2“ ist mittlerweile in der Zeitschrift Kommunikation & Recht (K&R), Heft 1/2013, S. 7 ff., erschienen.

Der Aufsatz beschäftigt sich mit der Absicht von Telefonica/O2, Standortdaten und Bewegungsprofile seiner Kunden zu verkaufen, ich hatte am 30.10.2012 bereits eine kurze Bewertung abgegeben.

Die Aus- und Verwertung von vorhandenen Datenbeständen wird auch in der Zukunft weiter aktuelles Thema bleiben. Dies zeigt nicht zuletzt der vor einigen Tagen erschienen Artikel von Fischermann und Hamann mit dem Titel „Wer hebt das Datengold?“. Der nun in der K&R erschienene Aufsatz behandelt die Problematik speziell im Hinblick auf die Verwertung von Daten durch Telekommunikationsdiensteanbieter, die bereits durch die reine Diensterbringung die Möglichkeit haben, relevante und sensitive Datensammlungen über ihre Kunden anzulegen (und dies wie das Beispiels Telefonica/O2 zeigt offenbar wenigstens teilweise auch tun).

Dabei gehe ich in dem Aufsatz insbesondere auf den Telekommunikationsdatenschutz der §§ 91 ff. TKG und den allgemeinen Datenschutz des BDSG, aber auch die Verletzung des Fernmeldegeheimnisses nach § 206 StGB ein.

Siehe auch:

Telefonica will Standortdaten seiner Kunden verkaufen – Eine kurze Bewertung

Wie heute berichtet wird, plant Telefonica (u.a. O2), die Standortdaten seiner Kunden als Produkt namens „Smart Steps“ in Form von Bewegungsprofilen an gewerbliche Kunden zu verkaufen.

Die Tagesschau erläutert dazu:

Durch ihre Bewegungsdaten erfährt der Geschäftsbesitzer von Telefónica nicht nur, dass Sie vor seinem Schaufenster stehen geblieben sind. Er erfährt auch, aus welcher Richtung Sie kamen, wie lang Sie stehen geblieben sind, wie alt Sie sind und welchem Geschlecht Sie angehören. Wertvolle Informationen – die, so Telefónica, allerdings anonymisiert werden.

Wann der Dienst in Deutschland starten soll, ist noch unklar. Allerdings kündigt Telefonica/O2 bereits jetzt an, auch die deutschen Datenschutzbestimmungen einhalten zu wollen. Möglich machen soll es eine Anonymisierung plus Einwilligung des Kunden. In den AGB soll zudem eine entsprechende Einwilligungserklärung vorhanden sein.

Ich bin gespannt, wie Telefonica/O2 diese Ankündigungen möglich machen will. Denn datenschutzrechtlich bewegt sich der Konzern auf sehr unsicherem Grund. Insbesondere sieht § 98 TKG einen sehr speziellen und weitgehenden Schutz von Standortdaten vor, um den Telefonica nur schwerlich herumkommen wird.

Anonymisierung

Schon die behauptete Anonymisierung ist kaum das Allheilmittel, das Telefonica sich davon erhofft. Denn nach den derzeitigen Produktbeschreibungen ordnet Telefonica die Standortdaten eindeutig einer Person zu. Wenn Telefonica behauptet, die Daten seien anonymisiert, dann ist wohl gemeint, dass derjenige, der die Daten kauft, nicht den Namen des Kunden erfährt. Das soll eine Anonymisierung darstellen. Dazu sind zwei Dinge zu beachten:

1. Rechtswidrige Erhebung der Daten bei Telefonica

Um ein Bewegungsprofil zu erhalten, müssen die Daten bei Telefonica selbst nicht-anonymisiert vorliegen. Wenn die Daten anonymisiert wären, könnte Telefonica ab dem Zeitpunkt der Anonymisierung das Bewegungsprofil nicht mehr fortführen. Damit dürfte die Behauptung widerlegt sein, dass die Daten (bei Telefonica/O2) überhaupt anonymisiert werden.

Für diese Erhebung und das Anlegen eines Bewegungsprofils benötigt Telefonica nach § 4a Abs. 1 BDSG eine Rechtfertigung. Diese kann praktisch nur in einer Einwilligung liegen. Es dürfte kaum möglich sein, dass Telefonica eine solche Einwilligung vom Kunden in der erforderlichen Form (insb. klar, verständlich, deutlich hervorgehoben (nicht versteckt in AGB) und ohne Verstoß gegen das Kopplungsverbot) einholen können wird. Auch Thilo Weichert vom Unabhängigen Landesdatenschutzzentrum Schleswig-Holstein hat bereits Zweifel am Vorgehen von Telefonica zu erkennen gegeben.

Damit wäre bereits die Erhebung der Daten datenschutzrechtswidrig. Das betrifft dann natürlich auch die weitere Verwendung. Daten, die rechtswidrig erhoben werden, müssen nach § 35 Abs. 2 S. 2 BDSG unverzüglich gelöscht werden – sie können also gar nicht erst für den Käufer anonymisiert und verkauft werden.

2. Anonyme Daten für den Käufer?

Vermutlich ist Telefonica/O2 der Auffassung, dass die Daten an den Abnehmer anonymisiert weitergegeben werden, indem Name etc. nicht mit übermittelt werden. Das dürfte ein Trugschluss sein. Anonym sollen Daten nach § 3 Abs. 6 BDSG in folgenden Fällen sein:

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Das Gegenteil von anonymen Daten sind personenbezogene Daten nach § 3 Abs. 1 BDSG:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Dabei ist zu beachten, dass es ausreicht, wenn Daten personenbeziehbar sind, wenn also unter Verwendung z.B. von anderen Daten herausgefunden werden kann, welcher natürlichen Person die Daten zuzuordnen wären.

Nach der Ankündigung will Telefonica dem Käufer der Daten ermöglichen, z.B. herauszufinden, wann und wie lange ein Kunde in seinem Geschäft verweilt hat, aus welcher Richtung er kam etc. Es ist nicht schwer sich vorzustellen, dass der Käufer – auch ohne, dass er den Namen seines Kunden von Telefonica erfährt, in vielen Fällen herausfinden können wird, auf welchen seiner Kunden sich die von Telefonica erworbenen Daten beziehen. In einem Extrembeispiel einer kleinen Boutique mit wenigen Stammkunden muss der Inhaber des Geschäfts im Grunde nur die Kreditkartenabrechnung (Zeitpunkt eines Einkaufs) mit den Daten von Telefonica abgleichen, um herauszufinden, auf welchen Kunden sich die Daten von Telefonica beziehen.

Dieses Beispiel mag zunächst sehr speziell wirken. Es sollte aber nicht vergessen werden, dass auch in Geschäften heutzutage eine Vielzahl von Daten erhoben werden. So ließen sich die Bewegungsdaten nicht nur mit den Abrechnungsdaten, sondern z.B. auch mit Videoaufnahmen kombinieren und so ein eindeutiger Personenbezug herstellen.

Dieser Befund lässt sich im Übrigen ohne weiteres allein auf die Normen des BDSG stützen – der spezielle und weitreichende Schutz des § 98 TKG untermauert ihn zusätzlich.

Fazit und Ausblick

Nach meiner Auffassung wird es Telefonica kaum möglich sein, einen solchen Dienst in Übereinstimmung mit deutschem Recht einführen zu können. Es ist schwer vorstellbar, dass Telefonica eine wirksame Einwilligung seiner Kunden in das Vorgehen erhalten wird, zumal eine solche Einwilligung nachträglich für Bestandskunden eingeholt werden müsste. Auf § 28 BDSG kann sich Telefonica kaum stützen. Das Anlegen und Verkaufen von Bewegungsprofilen gehört nun einmal nicht zu den vertraglich erforderlichen Datennutzungen bei einem Mobilfunkvertrag.

Es ist zu hoffen, dass Telefonica/O2 diese Fragen vor Einführung durch die Rechtsabteilung/externe Kanzleien klären lassen wird – wenn dies nicht bereits erfolgt ist. Es ist wie gesagt schwer vorstellbar, dass ein solches Gutachten zum Ergebnis kommen kann, dass „Smart Steps“ mit deutschem Recht vereinbar ist.

Kunden von Telefonica/O2 können vermutlich bereits nach der jetzt erfolgten Ankündigung rechtlich gegen Smart Steps vorgehen. Telefonica hat im Grunde angekündigt, über seine Kunden Daten unter Verstoß gegen §§ 43, 44 BDSG zu erheben. §§ 43, 44 BDSG stellen Schutzgesetze im Sinne des § 823 Abs. 2 BGB dar. Daher bestehen gute Aussichten, dass ein vorbeugender Unterlassungsanspruch der Kunden von Telefonica/O2 nach § 823 Abs. 2 BGB besteht, die Ankündigung begründet jedenfalls die Wiederholungsfahr. Des Weiteren dürften die Verbraucherzentralen ein Interesse daran haben, gegen solche Modelle frühzeitig vorzugehen.

Es ist abzuwarten, ob entsprechende Abmahnungen (und einstweilige Verfügungen) in naher Zukunft bei Telefonica/O2 eintreffen werden.