Standortdaten: So lässt sich ungewollte Ortung umgehen

Nähe erzeugt Betroffenheit und Relevanz. So lehrt es die Psychologie. Die Werbewirtschaft handelt seit Langem nach diesen Erkenntnissen. Entsprechend erfolgreich ist Online-Werbung, die die Standortdaten des Nutzers berücksichtigt.
Woher kommen die Standortdaten?
Nicht jeder möchte allerdings, dass sein Standort ständig für Dritte verfügbar ist. Aus gutem Grund, denn Standortdaten sind Gegenstand des Datenschutzes.
Die Datenschutz-Grundverordnung (DSGVO) nennt Standortdaten ausdrücklich in ihren Begriffs-Bestimmungen. Nach Artikel 4 Absatz 1 DSGVO zählen diese Daten zu den personenbezogenen Daten.
Das untersteicht die Bedeutung der Schutzmaßnahmen, die eine ungewollte Ortung betroffener Personen verhindern.
Stellen Sie als Datenschutzbeauftragter daher in Ihrer Datenschutz-Unterweisung vor, wie Anbieter Standortdaten erheben und wie sich die Nutzer gegen eine ungewollte Ortung wehren können:
- Geht es um Ortung, denken viele Nutzer zuerst an GPS. Entsprechende Funktionen gibt es bekanntlich nicht nur bei der Fahrzeug-Navigation, sondern auch bei vielen Smartphones und Tablets.
- Darüber hinaus lassen sich Standortdaten über WLAN, NFC (Near Field Communication) und Bluetooth ermitteln. Achtung: Nicht nur Smartphones und Tablets sind damit ausgestattet. Auch andere vernetzte Geräte können damit aufwarten (Stichwort IoT, Internet of Things).
- Neben den Geräteschnittstellen wie WLAN, NFC und Bluetooth sowie den Sensoren wie GPS spielen Anwendungen eine Rolle, die über die Schnittstellen und Sensoren auf die Standortdaten zugreifen wollen. Dazu gehören Browser und viele mobile Apps, aber auch Online-Dienste wie Suchmaschinen (Google & Co.) und soziale Netzwerke (Facebook & Co.).
- Die IP-Adresse kann ebenfalls einiges über den Standort verraten. Aus diesem Grund nutzen Werbeunternehmen das sogenannte IP-Geotargeting.
Wie funktioniert IP-Geotargeting?
Um Abwehrmöglichkeiten gegen eine unerwünschte Ortung zu finden, muss man sich näher mit den genannten Ortungsfunktionen und -diensten befassen.
Während WLAN, Bluetooth, NFC und insbesondere GPS als Möglichkeiten zur Ortung immerhin einige Anwender kennen, ist das bei den IP-Adressen kaum der Fall.
Dabei nutzen die Anbieter die Zuordnung zwischen IP-Adresse und Standort, also das sogenannte Geo-Targeting, häufig. In der Trefferliste der Google-Suche findet sich beispielsweise in der Fußzeile ein Hinweis wie „86438 Kissing – Laut meiner IP-Adresse“.
Ein weiteres Beispiel: Das Geotargeting-Programm NetAcuity Pulse von Digital Element nutzt ein Netzwerk an IP-Standortangaben. Diese Angaben erhält der Anbieter über mobile Geräte, Milliarden georteter Transaktionen und Internetrouting-Infrastruktur.
Die Online-Targeting-Methode basiert darauf, wo sich ein User zu einem bestimmten Zeitpunkt befindet, und ist nicht gerätespezifisch.
So können die erhobenen IP-Daten beispielsweise u.a. Aufschluss geben, ob die Verbindung über ein WLAN-Netz, den jeweiligen Aufenthaltsort des Users, über einen privaten oder gewerblichen Hotspot hergestellt wurde.
Auf diese Weise soll das Targeting Umsatzchancen, Renditen, Markentreue und Kundenbindung verbessern.
Wie lässt sich unerwünschte Ortung umgehen?
Geben Sie in Ihrer Datenschutz-Unterweisung den Internet-Nutzern im Unternehmen Tipps, was bei der Ortung zu beachten ist:
GPS, WLAN, Bluetooth, NFC, Internetzugang und mobile Datennetze ermöglichen es, das jeweilige Gerät und damit den Nutzer zu orten. Die Empfehlung: Die Schnittstellen und Funktionen deaktivieren, wenn der Nutzer sie nicht braucht.
Wer eine oder mehrere der Funktionen (GPS, WLAN, NFC, Bluetooth, Internetzugang, mobile Datennetze) benötigt, sollte kontrollieren, welche App und welcher Online-Dienst darüber Standortdaten erheben will.
Das können Browser, Online-Dienste wie Google oder Facebook und zahlreiche (mobile) Apps sein. Im Fall der Browser spricht man von standortbezogenem Surfen (www.mozilla.org/de/firefox/geolocation/).
Vielfach erfragen mobile Apps den Standort des Nutzers, obwohl dieser für den gewünschten Dienst keine Rolle spielt.
Stattdessen übermitteln viele App-Betreiber heimlich und ohne Einwilligung des Betroffenen die Standortdaten an Dritte, die damit zum Beispiel Werbung auf den aktuellen Standort zuschneiden.
Je nach App, Browser und Online-Dienst variieren die Einstellungen, mit denen sich die Abfrage des Standorts deaktivieren lässt. Und auch der genaue Pfad ändert sich bei mobilen Apps, Google, Facebook & Co. recht häufig. Raten Sie den Nutzern, in jedem Fall nach diesen Optionen zu suchen.
Ist es nicht möglich, eine App ohne die Berechtigung, den Standort abzufragen, zu nutzen, sind die Standortdaten für den gewünschten Dienst aber nicht erforderlich, empfehlen Sie, auf die App zu verzichten.
Je nach mobilem Betriebssystem lassen sich App-Berechtigungen einzeln erteilen oder blockieren. Einige Apps geben sich dann auch mit einem Teil der angefragten Berechtigungen zufrieden. Die anderen Apps installiert man dann besser nicht, wenn sie Standortdaten ohne offensichtlichen Grund abfragen.
Es gibt eine Reihe von Spionage-Apps, die heimlich die Standortdaten abfragen. Dagegen helfen Security-Apps, die Warnhinweise zu Datenschutz-Problemen anzeigen und nicht nur Schadsoftware. Eine solche Funktion nennt sich meist Privacy-Scanner.
Empfehlung: In der Regel Standortzugriff verwehren
Nur wenn die Nutzer tatsächlich einen standortabhängigen Dienst wie Navigation einsetzen, sollten sie Browsern, Online-Diensten oder Apps erlauben, auf den Standort zuzugreifen. In allen anderen Fällen verweigern sie den Standortzugriff besser.
Wie lässt sich erkennen, ob Anbieter Standortdaten datenschutzkonform nutzen?
Damit ein Nutzer beurteilen kann, ob ein Anbieter seine Standortdaten datenschutzgerecht verarbeitet oder nicht, muss er die Voraussetzungen dafür kennen. Die wichtigsten Fragen dabei lauten:
- Gibt es eine rechtliche Grundlage? Verwendet der Anbieter etwa anonymisierte Daten, bietet er eine informierte Einwilligung oder gibt es eine vertragliche Grundlage?
- Hat der Anbieter eine Datenschutzerklärung? Klärt er über die Art der Daten, die er erhebt, auf? Klärt er auf über den Zweck, eine mögliche Weitergabe an Dritte, über die Löschung der Daten?
- Besteht nach der Einwilligung die Möglichkeit, sie zu widerrufen oder temporär zu deaktivieren?
- Weist der Anbieter auf die aktive Ortung hin?
Haben die Kolleginnen und Kollegen all diese Informationen von Ihnen bekommen, können sie bewusst mit Ortung umgehen.
Hintergrund: Standortdaten – die Lieblinge der Werbung
Weltweit investieren Werbetreibende mehr als die Hälfte (52 Prozent) ihrer Werbe-Budgets in Location-based Marketing. Das ergab der „Global Location Trend Report 2019“ der Location Based Marketing Association (LBMA).
Offensichtlich sind Standortdaten für die Werbewirtschaft also von ähnlicher Bedeutung wie Tracking-Cookies und andere Tracking-Verfahren.
Die Parallele zwischen Cookies und Standortdaten greift aber nicht vollständig. Denn Cookies sollen bevorzugt unverändert bleiben (Persistente Cookies), während sich Standortdaten laufend ändern, jedenfalls bei mobilen Endgeräten und Nutzern.
Trotzdem ist die genannte Verwandtschaft zwischen Cookies und Standortdaten interessant für Datenschützer: Während Nutzer inzwischen für bestimmte Cookie-Arten Browser-Werkzeuge (Cookie-Manager) kenne, um sie zu verwalten und zu löschen, sind Lösungen zum Schutz der Standortdaten kaum bekannt.
Es ist deshalb wichtig, Datenschutz-Werkzeuge und -Verfahren vorzustellen, mit denen sich Standortdaten der Nutzer verwalten lassen.