Standortdaten: So lässt sich ungewollte Ortung umgehen

Nähe erzeugt Betroffenheit und Relevanz. So lehrt es die Psychologie. Die Werbewirtschaft handelt seit Langem nach diesen Erkenntnissen. Entsprechend erfolgreich ist Online-Werbung, die die Standortdaten von Nutzerinnen und Nutzern berücksichtigt.

Woher kommen die Standortdaten?

Nicht jeder möchte allerdings, dass sein Standort ständig für Dritte verfügbar ist. Aus gutem Grund, denn Standortdaten sind Gegenstand des Datenschutzes.

Die Datenschutz-Grundverordnung (DSGVO) nennt Standortdaten ausdrücklich in ihren Begriffs-Bestimmungen. Nach Artikel 4 Absatz 1 DSGVO zählen diese Daten zu den personenbezogenen Daten.

Das unterstreicht die Bedeutung der Schutzmaßnahmen, die eine ungewollte Ortung betroffener Personen verhindern.

Stellen Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter daher in Ihrer Datenschutzschulung vor, wie Anbieter Standortdaten erheben und wie sich die Nutzerinnen und Nutzer gegen eine ungewollte Ortung wehren können:

• Geht es um Ortung, denken viele Nutzende zuerst an GPS (Global Positioning System). Entsprechende Funktionen gibt es bekanntlich nicht nur bei der Fahrzeug-Navigation, sondern auch bei vielen Smartphones und Tablets.
• Darüber hinaus lassen sich Standortdaten über WLAN, NFC (Near Field Communication) und Bluetooth ermitteln. Achtung: Nicht nur Smartphones und Tablets sind damit ausgestattet. Auch andere vernetzte Geräte können damit aufwarten (Stichwort IoT, Internet of Things). So warnt zum Beispiel der Europäische Datenschutzbeauftragte (EDPS) vor den Datenschutz-Risiken durch das sogenannte Internet of Behaviours (IoB), bei dem sich verschiedene Sensordaten aus dem IoT mit Personen und ihrem Verhalten verknüpfen lassen.
• Neben den Geräteschnittstellen wie WLAN, NFC und Bluetooth sowie den Sensoren wie GPS spielen Anwendungen eine Rolle, die über die Schnittstellen und Sensoren auf die Standortdaten zugreifen wollen. Dazu gehören Browser und viele mobile Apps, aber auch Online-Dienste wie Suchmaschinen (Google & Co.) und soziale Netzwerke (Facebook & Co.).
• Die IP-Adresse kann ebenfalls einiges über den Standort verraten. Aus diesem Grund nutzen Werbeunternehmen das sogenannte IP-Geotargeting.

Wie funktioniert IP-Geotargeting?

Um Abwehrmöglichkeiten gegen eine unerwünschte Ortung zu finden, muss man sich näher mit den genannten Ortungsfunktionen und -diensten befassen.

Während WLAN, Bluetooth, NFC und insbesondere GPS als Möglichkeiten zur Ortung immerhin einige Anwender kennen, ist das bei den IP-Adressen kaum der Fall.

Dabei nutzen die Anbieter die Zuordnung zwischen IP-Adresse und Standort, also das sogenannte Geotargeting, häufig. In der Trefferliste der Google-Suche findet sich beispielsweise in der Fußzeile ein Hinweis wie „86438 Kissing – Laut meiner IP-Adresse“.

Ein weiteres Beispiel: Das Geotargeting-Programm NetAcuity Pulse von Digital Element nutzt ein Netzwerk an IP-Standortangaben. Diese Angaben erhält der Anbieter über mobile Geräte, Milliarden georteter Transaktionen und Internetrouting-Infrastruktur.

Die Online-Targeting-Methode basiert darauf, wo sich ein User zu einem bestimmten Zeitpunkt befindet, und ist nicht gerätespezifisch. So können die erhobenen IP-Daten beispielsweise u.a. Aufschluss geben, ob die Verbindung über ein WLAN-Netz, den jeweiligen Aufenthaltsort des Users, über einen privaten oder gewerblichen Hotspot hergestellt wurde.

Auf diese Weise soll das Targeting Umsatzchancen, Renditen, Markentreue und Kundenbindung verbessern.

Wie lässt sich unerwünschte Ortung umgehen?

Geben Sie in Ihrer Datenschutz-Unterweisung den Internet-Nutzenden im Unternehmen Tipps, was bei der Ortung zu beachten ist:

• GPS, WLAN, Bluetooth, NFC, Internetzugang und mobile Datennetze ermöglichen es, das jeweilige Gerät und damit den Nutzer oder die Nutzerin zu orten. Die Empfehlung: Die Schnittstellen und Funktionen deaktivieren, wenn der Nutzer bzw. die Nutzerin sie nicht braucht.
• Wer eine oder mehrere der Funktionen (GPS, WLAN, NFC, Bluetooth, Internetzugang, mobile Datennetze) benötigt, sollte kontrollieren, welche App und welcher Online-Dienst darüber Standortdaten erheben will. Das können Browser, Online-Dienste wie Google oder Facebook und zahlreiche (mobile) Apps sein. Im Fall der Browser spricht man von standortbezogenem Surfen (www.mozilla.org/de/firefox/geolocation/).
• Vielfach erfragen mobile Apps den Standort des Nutzers, obwohl dieser für den gewünschten Dienst keine Rolle spielt. Stattdessen übermitteln viele App-Betreiber heimlich und ohne Einwilligung des oder der Betroffenen die Standortdaten an Dritte, die damit zum Beispiel Werbung auf den aktuellen Standort zuschneiden.Je nach App, Browser und Online-Dienst variieren die Einstellungen, mit denen sich die Abfrage des Standorts deaktivieren lässt. Und auch der genaue Pfad ändert sich bei mobilen Apps, Google, Facebook & Co. recht häufig. Raten Sie den Nutzerinnen und Nutzern, in jedem Fall nach diesen Optionen zu suchen.
• Ist es nicht möglich, eine App ohne die Berechtigung, den Standort abzufragen, zu nutzen, sind die Standortdaten für den gewünschten Dienst aber nicht erforderlich, empfehlen Sie, auf die App zu verzichten.
• Je nach mobilem Betriebssystem lassen sich App-Berechtigungen einzeln erteilen oder blockieren. Einige Apps geben sich dann auch mit einem Teil der angefragten Berechtigungen zufrieden. Die anderen Apps installiert man dann besser nicht, wenn sie Standortdaten ohne offensichtlichen Grund abfragen.

Es gibt eine Reihe von Spionage-Apps, die heimlich die Standortdaten abfragen. Dagegen helfen Security-Apps, die Warnhinweise zu Datenschutz-Problemen anzeigen und nicht nur Schadsoftware. Eine solche Funktion nennt sich meist Privacy-Scanner.

Wie lässt sich erkennen, ob Anbieter Standortdaten datenschutzkonform nutzen?

Damit ein Nutzer oder eine Nutzerin beurteilen kann, ob ein Anbieter seine Standortdaten datenschutzgerecht verarbeitet oder nicht, muss er oder sie die Voraussetzungen dafür kennen. Die wichtigsten Fragen dabei lauten:

• Gibt es eine rechtliche Grundlage? Verwendet der Anbieter etwa anonymisierte Daten, bietet er eine informierte Einwilligung oder gibt es eine vertragliche Grundlage?
• Hat der Anbieter eine Datenschutzerklärung? Klärt er über die Art der Daten, die er erhebt, auf? Klärt er auf über den Zweck, eine mögliche Weitergabe an Dritte, über die Löschung der Daten?
• Besteht nach der Einwilligung die Möglichkeit, sie zu widerrufen oder temporär zu deaktivieren?
• Weist der Anbieter auf die aktive Ortung hin?

Haben die Kolleginnen und Kollegen all diese Informationen von Ihnen bekommen, können sie bewusst mit Ortung umgehen.

Hintergrund: Standortdaten – die Lieblinge der Werbung

Weltweit investieren Werbetreibende große Anteile ihrer Werbe-Budgets in Location-based Marketing. So erwartet die Studie „Global Location Based Advertising Market“ von RegionalStat ein jährliches Marktwachstum bis ins Jahr 2030 von 17,4 Prozent.

Offensichtlich sind Standortdaten für die Werbewirtschaft also von ähnlicher Bedeutung wie Tracking-Cookies und andere Tracking-Verfahren.

Die Parallele zwischen Cookies und Standortdaten greift aber nicht vollständig. Denn Cookies sollen bevorzugt unverändert bleiben (Persistente Cookies), während sich Standortdaten laufend ändern, jedenfalls bei mobilen Endgeräten und Nutzenden.

Trotzdem ist die genannte Verwandtschaft zwischen Cookies und Standortdaten interessant für Datenschützer: Während Nutzerinnen und Nutzer inzwischen für bestimmte Cookie-Arten Browser-Werkzeuge (Cookie-Manager) kennen, um sie zu verwalten und zu löschen, sind Lösungen zum Schutz der Standortdaten kaum bekannt.

Es ist deshalb wichtig, die oben genannten Datenschutz-Werkzeuge und -Verfahren vorzustellen, mit denen sich Standortdaten der Nutzenden verwalten und kontrollieren lassen.

Oliver Schonschek