12.09.2017

So lässt sich ungewollte Ortung umgehen

Standortdaten machen Personen identifizierbar und Nutzerprofile zu Bewegungsprofilen. Entsprechend begehrt sind sie bei Werbetreibenden, entsprechend hoch muss ihr Schutz sein. Doch die unerwünschte Ortung hat viele Gesichter. Welche Gegenmaßnahmen wirken wirklich?

ungewollte Ortung
© Prasit Rodphan /​ iStock/​ Thinkstock

Nähe erzeugt Betroffenheit und Relevanz. So lehrt es uns die Psychologie. Die Werbewirtschaft handelt seit Langem nach diesen Erkenntnissen. Entsprechend erfolgreich ist Online-Werbung, die den Standort des Nutzers berücksichtigt.

Viele Wege führen zu Standortdaten

Nicht jeder möchte allerdings, dass seine Standortdaten ständig für Dritte verfügbar sind. Stellen Sie als Datenschutzbeauftragter daher in Ihrer Datenschutzunterweisung die Möglichkeiten vor, wie Anbieter Standortdaten erheben und wie sich die Nutzer gegen eine ungewollte Ortung wehren können:

  • Geht es um Ortung, denken viele Nutzer zuerst an GPS. Entsprechende Funktionen gibt es bekanntlich nicht nur bei der Fahrzeug-Navigation, sondern auch bei vielen Smartphones und Tablets.
  • Darüber hinaus lassen sich Standortdaten über WLAN, NFC (Near Field Communication) und Bluetooth ermitteln. Nicht nur Smartphones und Tablets sind damit ausgestattet. Auch andere vernetzte Geräte können damit aufwarten (Stichwort: IoT, Internet of Things).
  • Neben den Geräteschnittstellen wie WLAN, NFC und Bluetooth sowie den Sensoren wie GPS spielen Anwendungen eine Rolle, die über die Schnittstellen und Sensoren auf die Standortdaten zugreifen wollen. Dazu gehören Browser und viele mobile Apps, aber auch Online-Dienste wie Suchmaschinen (Google & Co.) und soziale Netzwerke (Facebook & Co.).
  • Die IP-Adresse kann ebenfalls einiges über den Standort verraten. Aus diesem Grund nutzen Werbeunternehmen das sogenannte IP-Geotargeting.

Beispiel: IP-Geotargeting

Um Abwehrmöglichkeiten gegen eine unerwünschte Ortung zu finden, muss man sich näher mit den genannten Ortungsfunktionen und -diensten befassen.

Während WLAN, Bluetooth, NFC und insbesondere GPS als Möglichkeiten zur Ortung immerhin bei einigen Nutzern präsent sind, ist das bei den IP-Adressen kaum der Fall. Dabei wird die Zuordnung zwischen IP-Adresse und Standort häufig genutzt. In der Trefferliste der Google-Suche findet sich beispielsweise in der Fußzeile ein Hinweis wie „86438 Kissing – Laut meiner IP-Adresse“.

Ein weiteres Beispiel: Das Geotargeting-Programm NetAcuity Pulse von Digital Element nutzt ein Netzwerk an IP-Standortangaben. Diese Angaben erhält der Anbieter über mobile Geräte, Milliarden georteter Transaktionen und Internetrouting-Infrastruktur.

Die Online-Targeting-Methode basiert darauf, wo sich ein User zu einem bestimmten Zeitpunkt befindet, und ist nicht gerätespezifisch. So können die erhobenen IP-Daten beispielsweise u.a. Aufschluss geben, ob die Verbindung über ein WLAN-Netz, den jeweiligen Aufenthaltsort des Users, über einen privaten oder gewerblichen Hotspot hergestellt wurde. Auf diese Weise soll das Targeting Umsatzchancen, Renditen, Markentreue und Kundenbindung verbessern.

Schritt für Schritt: Unerwünschte Ortung umgehen

Geben Sie in Ihrer Datenschutzunterweisung den Internetnutzern im Unternehmen Tipps, was bei der Ortung zu beachten ist:

GPS, WLAN, Bluetooth, NFC und mobile Datennetze können eine Ortung des jeweiligen Geräts und damit des Nutzers ermöglichen. Die Schnittstellen und Funktionen sollten deshalb deaktiviert sein, wenn sie der Nutzer nicht braucht.

Wer eine oder mehrere der Funktionen (GPS, WLAN, NFC, Bluetooth, mobile Datennetze) benötigt, sollte kontrollieren, welche App und welcher Online-Dienst darüber Standortdaten erheben will. Dies können Browser, Online-Dienste wie Google oder Facebook und zahlreiche (mobile) Apps sein. Im Fall der Browser spricht man von standortbezogenem Surfen (www.mozilla.org/de/firefox/geolocation/).

Je nach App, Browser und Online-Dienst variieren die Einstellungen, mit denen sich die Abfrage des Standorts deaktivieren lässt. In jedem Fall sollten die Nutzer nach diesen Optionen suchen (der genaue Pfad ändert sich bei Google, Facebook & Co. recht häufig).

Ist die Nutzung einer App ohne die Berechtigung, den Standort abzufragen, nicht möglich, sind die Standortdaten für den gewünschten Dienst aber nicht erforderlich, empfehlen Sie, auf die App zu verzichten.

Je nach mobilem Betriebssystem lassen sich App-Berechtigungen einzeln erteilen oder blockieren (z.B. bei Android OS 7). Einige Apps geben sich dann auch mit einem Teil der angefragten Berechtigungen zufrieden. Die anderen Apps installiert man dann besser nicht, wenn sie Standortdaten ohne offensichtlichen Grund abfragen.

Es gibt eine Reihe von Spionage-Apps, die heimlich die Standortdaten abfragen. Dagegen helfen Security-Apps, die Warnhinweise zu Datenschutz-Problemen anzeigen und nicht nur Schadsoftware. Eine solche Funktion wird meist Privacy-Scanner genannt.

Empfehlung: In aller Regel Standortzugriff verwehren

Nur wenn die Nutzer tatsächlich einen standortabhängigen Dienst wie Navigation einsetzen, sollten sie Browsern, Online-Diensten oder Apps erlauben, auf den Standort zuzugreifen. In allen anderen Fällen verweigern sie den Standortzugriff besser.

Standortdaten – die Lieblinge der Werbung

Laut einer Studie des Marktforschungsinstituts Berg Insight sollen die Ausgaben für standortbasierte Echtzeit-Werbung bis 2018 auf 15 Milliarden Euro bzw. 40 Prozent des gesamten Budgets für mobile Werbung steigen. Aus dem „Global Location Trend Report“ der Location Based Marketing Association (LBMA) ging für 2016 hervor:

75 Prozent der Werber halten Location-based Marketing für ein wichtiges Thema.

Alle Location-Technologien – Beacons, NFC (Near Field Communication), GPS und WiFi – werden zweistellig wachsen. 63 Prozent der Werber planen, in WiFi zu investieren, 57 Prozent nehmen für GPS Geld in die Hand, 46 Prozent für NFC, und 41 Prozent investieren in Beacons (Bluetooth).

Social Location Services sind für Werber derzeit am interessantesten. 48 Prozent wollen soziale Apps und Location-Technologien nutzen, um Verbraucher in die Läden zu bringen.

Doch Standortdaten können noch mehr: Neben standortbezogener Werbung gibt es Lösungen für eine standortbezogene Preisgestaltung bis hin zu Lösungen zur Shop- und Regal-Optimierung auf Basis von Standortdaten.

„Mit ortsbasierten Daten können wir die Effektivität von verschiedenen Kanälen wie Mobile, Out of Home, Radio oder IoT zuverlässig messen. Als ‚Cookie in der physischen Welt‘ ermöglichen es diese Daten, zukunftsweisende neue Dienstleistungen anzubieten – und das nicht nur im Marketing“, so ein Statement der Location Based Marketing Association (LBMA) DACH zur oben genannten Studie.

Die Parallele zwischen Cookies und Standortdaten greift nicht vollständig. Denn Cookies sollen bevorzugt unverändert bleiben (Persistente Cookies), während sich Standortdaten laufend ändern, jedenfalls bei mobilen Endgeräten und Nutzern. Trotzdem ist die genannte Verwandtschaft zwischen Cookies und Standortdaten interessant für Datenschützer: Während Nutzer inzwischen für bestimmte Cookie-Arten Browser-Werkzeuge (Cookie-Manager) zur Verwaltung und Löschung kennen, sind Lösungen zum Schutz der Standortdaten kaum bekannt. Es ist deshalb wichtig, Datenschutz-Werkzeuge und -Verfahren vorzustellen, mit denen sich Standortdaten der Nutzer verwalten lassen.

Datenschutzgerechte Nutzung von Standortdaten erkennen

Damit ein Nutzer beurteilen kann, ob ein Anbieter seine Standortdaten datenschutzgerecht verarbeitet oder nicht, muss er die Voraussetzungen dafür kennen. Die wichtigsten Fragen:

  • Gibt es eine rechtliche Grundlage (Anonymisierung, informierte Einwilligung, Vertrag)?
  • Gibt es eine Datenschutzerklärung (Art der Daten, Zweck, mögliche Weitergabe, Löschung)?
  • Besteht die Möglichkeit zum Opt-out (Widerruf der Einwilligung, temporäre Deaktivierung)?
  • Weist der Anbieter auf die aktive Ortung hin?

Haben die Kollegen all diese Informationen von Ihnen bekommen, können sie nun bewusst mit Ortung umgehen.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)