Mobiltelefone und Tablets können durch sogenanntes Audiotracking mittels Ultraschall unbemerkt das Verhalten ihrer Benutzer verfolgen – etwa das Betrachten bestimmter Videos oder den Aufenthalt an bestimmten Räumen und Plätzen. Dieses Jahr im Frühjahr hat die Fachhochschule St. Pölten die App Soni- Control veröffentlicht, mit der das akustische Tracking blockiert werden kann. Zwei Wiener Datenschutz- und IT-Juristen haben nun eine rechtliche Einordnung dieser Form des Trackings veröffentlicht und rufen zu mehr Transparenz im Umgang mit der neuen Technik auf.
neuen Technik auf. Im Forschungsprojekt SoniControl entwickelten Wissenschaftler der FH St. Pölten eine Methode, wie das unbemerkte (und meist ungewollte) akustische Ausspionieren enttarnt und blockiert werden kann. Daraus entstanden ist die weltweit erste Ultraschall-Firewall, die seit März im App Store gratis verfügbar ist und bisher mehr als 20.000 Mal weltweit heruntergeladen wurde. Sie spürt die akustischen Cookies auf und unterdrückt sie mit unhörbaren Ultraschall- Störsignalen.
Inspiriert durch die Arbeit im Projekt oniControl haben die Juristen Ermano euer und Fabian Reinisch von der Wiener Kanzlei EY Law Pelzmann Gall Rechtsanwälte vor Kurzem in der Zeitschrift für Informationsrecht einen Artikel [1] veröffentlicht, der das Audiotracking rechtlich einordnet. Sie fordern mehr Transparenz von App-Anbietern.
Audiotracking müsse Personen nicht automatisch identifizieren, schreiben die Juristen. Es könnten auch anonyme Profile von Konsumenten erstellt werden. In den meisten Fällen wären Benutzer jedoch über Accounts, Geräteerkennung und Social-Media- Profile identifizierbar. Durch sogenanntes ross-Device-Tracking, das Beobachten des Verhaltens über mehrere Endgeräte, könnten zudem anonyme Geräte zuordenbar werden. Auch könnte eine Verbindung zwischen privaten und Firmengeräten hergestellt werden, was den Juristen zufolge ein Problem hinsichtlich Sicherheit und Geheimnisschutz darstellen könnte.
Beim sogenannten Location-Tracking kann mittels Ultraschallsignalen und Audio- Cookies festgestellt werden, welche Kundinnen und Kunden in welche Geschäfte gehen, wie sie sich dort bewegen und wie lange sie sich darin aufhalten. Damit könne auch bei ausgeschaltetem GPS-Signal am Handy ein Bewegungsprofil erstellt werden. „Im Weiteren ließen sich dann sogar das persönliche Umfeld und das Sozialverhalten analysieren. Der Einsatz solcher Technologien führt generell zu einer für betroffene Personen unbewussten De-Anonymisierung. Die zukünftige Reichweite dieser Möglichkeit ist aber noch nicht abschätzbar“, sagt Fabian Reinisch, Rechtsanwaltsanwärter bei EY Law.
Für Audio-Cookies sind den Juristen zufolge Regeln des Telekommunikationsgesetzes, welches bei den hier anwendbaren orschriften auf der ePrivacy-Richtliniebasiert, und der Datenschutzgrundverordnung (DSGVO) relevant. Aus datenschutzrechtlicher icht gäbe es hinsichtlich des Audiotrackings aber viele Grauzonen.
„Die Anwendbarkeit des Telekommunikationsgesetzes bezieht sich nur auf das Erheben der personenbezogenen Daten mittels Tracking-Technologien. Alle weiteren datenschutzrechtlich relevanten Vorgänge wie etwa das Speichern der Daten, die Zusammenführung mit anderen personenbezogenen Daten zur Profilerstellung, weitere Analysen auf Grundlage dieser Daten, die Übermittlung der Daten, das Erstellen von Statistiken usw. sind allein nach der Datenschutzgrundverordnung DSGVO zu beurteilen“, erklärt Ermano Geuer, Rechtsanwalt bei EY Law. Je nach datenschutzrechtlicher Beziehung sind dann entsprechende Verträge zwischen App- Anbietern, Werben
Werbendem und Impulsaussendern abzuschließen“. Fazit der Rechtsexperten: Generell könnten Ultraschallübertragungstechnologien in vielen Bereichen sehr sinnvoll eingesetzt werden und neue Ansätze für die digitale Gesellschaft bieten, weshalb diese Technologien nicht als grundsätzlich negativ zu betrachten seien. Schwierigkeiten ereite allerdings oft das notwendige technische Verständnis der Nutzern und die mangelnde Transparenz der angebotenen Software sowie das bewusste Verstecken solcher Tracking-Tools.
App- Anbieter sollten durch Umsetzen der gesetzlichen Vorschriften für mehr Transparenz sorgen und Nutzerinnen und Nutzern eine Kontrolle über ihre Daten geben. Da in vielen Fällen personenbezogene Daten erhoben werden, sei eine vorherige informierte Einwilligung erforderlich. Bei dieser Einwilligung sind Nutzer über die Funktionsweise des Trackings und die Art der Datenerhebung aufzuklären. Dies passiere derzeit jedoch in vielen Fällen nicht umfangreich genug – man willige etwa nur ein, dass die App auf das Mikrophon zugreift, hat aber keine Information zu der darüber stattfindenden Datenübermittlung im Ultraschall.
Zu einem verantwortungsvollen Umgang mit der Technik wollte auch Matthias Zeppelzauer, Senior Researcher in der Forschungsgruppe Media Computing am Institut für Creative\Media/Technologies der FH St. Pölten, beitragen. Er hat mit seinen Kollegen Peter Kopciak, Kevin Pirner, Alexis Ringot und Florian Taurer die App entwickelt, mit der die akustische Cookies erkannt und deaktiviert werden können. „Ziel des Projekts war nicht nur, die Privatsphäre durch Erkennen und Filtern von akustischen Cookies gezielt zu schützen, sondernauch, Bewusstsein für akustisches Tracking u schaffen. Es freut uns, dass das Thema nun auch von rechtlicher Seite detailliert beleuchtet wird.
Im derzeit laufenden Folgeprojekt Soni- Talk entwickelt Zeppelzauer mit Kollegen selbst ein erstes offenes und privatsphäre- orientiertes Protokoll für die Datenübertragung im Ultraschall. „Hier legen wir besonderen Wert darauf, die von den Juristen aufgezeigte Verpflichtung zur Aufklärungund Einwilligung der NutzerInnen bereits beim Design der Technologie zu integrieren“, sagt Zeppelzauer.