Google und die Erfassung von W-Lans
Der Bundesdatenschutzbeauftragte hat, wie es in einer Pressemitteilung heißt, über eine andere europäische Datenschutzbehörde erfahren, dass Google-Street-View-Fahrzeuge auch mit einem Scanner für WLAN-Netze ausgestattet sind. Peter Schaar zeigte sich „entsetzt“ und forderte Google auf, die „rechtswidrig erhobenen“ Daten zu löschen. Das Thema hat zu einer breiten Medienberichterstattung von Bild bis FAZ geführt.
In einem Beitrag für Telemedicus kritisiert Adrian Schneider die Reaktion der Datenschützer und vertritt die Ansicht, dass es nur dann zu einer Erhebung personenbezogener Daten kommt, wenn der Betreiber des W-Lans dem Netz seinen eigenen Namen gibt.
Die Frage lautet stets, ob die Daten die erhoben werden einer Person zugeordenet werden können und damit Personenbezug aufweisen. Was Schneider allerdings nicht anspricht, ist die Möglichkeit, die Daten des W-Lans (Mac-Adresse und SSID) mit der postalischen Adresse (Ort, Straße, Hausnummer) zu verknüpfen, wodurch sich in vielen Fällen erst durch die Kombination ein Personenbezug ergibt. Google hat sich vermutlich auch deshalb beeilt zu versichern, dass die erhobenen W-Lan Daten gerade nicht für Street View benutzt werden. Andererseits legt Google einen immer größeren Daten-Pool an, von dem keiner genau weiß, wie die Daten benutzt und verknüpft werden.
Das Problem ist hierbei auch die sehr weite Definition des Rechtsbegriffs der personenbezogenen Daten. Die Datenschutzrichtlinie sieht den erforderlichen Personenbezug nach ihrem Art. 2 a) bereits dann als gegeben an, wenn eine Person direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen. Und das ist der Grund dafür, dass die Kombination der oben genannten Informationen zumindest in einem Teil der Fälle eben doch eine Person bestimmbar macht.
Man kann der Rechtsansicht der Datenschützer meines Erachtens deshalb nicht wirklich widersprechen, aber man kann sich an der geäußerten Empörung stören. Denn das europäische Datenschutzrecht ist nicht internetkonform und es muss dringend ergänzt werden. Im Zuge dessen sollte eine öffentliche Diskussion darüber geführt werden, wie man den Datenschutz einerseits und die Funktionsfähigkeit des Netzes und damit auch die Grundrechte auf Meinungs- und Informationsfreiheit andererseits in einen sachgerechten Ausgleich bringt.
Stimmt, in Kombination mit der postalischen Adresse *kann* sich auch wieder ein Personenbezug ergeben. Aber auch das ist bei weitem nicht immer der Fall. Bei Mehrfamilienhäusern wird man zum Beispiel kein WLAN einer einzelnen Person zuordnen können und selbst bei Einfamilienhäusern mit mehreren Bewohnern wird das nicht möglich sein.
Ich gebe zu, ich vertrete die Ansicht, dass der Begriff des Personenbezugs oft viel zu weit ausgelegt sind. In diesem Fall zeigt sich das m.E. wieder sehr deutlich: An sich sind WLAN-Daten völlig neutral und es gibt zig Anbieter, die WLANs systematisch Scannen, um eine Lokalisierung darüber anzubieten[1]. Nur weil die theoretische Möglichkeit besteht, in bestimmten Sonderkonstellationen unter Zuhilfenahme anderer Daten möglicherweise einen Personenbezug herzustellen, halte ich es nicht für sinnvoll, Technologien zu blockieren. Zumal nicht ersichtlich ist, warum jemand einen solchen Personenbezug überhaupt herstellen sollte. Die Information, wer welches WLAN betreibt, ist schlicht wertlos.
Wie ich schon in meinem Artikel bei Telemedicus geschrieben habe: Ich finde es gut, dass wir Aufsichtsbehörden haben, die sowas im Auge behalten und nötigenfalls einschreiten. Diese reflexartige Skandalisierung halte ich aber für kontraproduktiv, weil gerade in solchen schwierigen Grenzbereichen eine enge Zusammenarbeit mit den datenverarbeitenden Stellen erforderlich ist. Und die wird durch solch polemische Äußerungen vergiftet.
[1] Zum Beispiel:
http://www.gammax-systems.net/projekte/wlan-ortung.html
http://www.magicmap.de/hintergrund.htm
http://www.it2media.de/de/desktopdefault.aspx/tabid-133/206_read-1847/
Comment by Adrian — 23.04, 2010 @ 11:44
Ich finde das größere Problem hier ist, wie auch leider bei der Tagesschau gestern gesehen, dass nur über Google berichtet wird um die Empröritis wegen Streetview noch zu erhöhen und dabei nicht drauf eingegangen wird, dass andere Firmen auch schon jahrelang WLAN-Standorte aufzeichnen. Die Standortbestimmung über empfangbare Accesspoints ist schon seit langem Standard.
Daher sollte man sich entweder ganz aufregen oder gar nicht.
Comment by metaph3r — 23.04, 2010 @ 12:06
JA. Bitte weiter in diese Kerbe hauen.
Comment by vera — 23.04, 2010 @ 12:09
„Datenschutzrecht ist nicht internetkonform und es muss dringend ergänzt werden.“
Schon. Nur, wer soll es ändern? Peter Schaar ist „entsetzt“ und die Politik sieht das Internet als Forum für Kinderschänder und Raubmordkopierer.
Solange auf der Entscheiderebene absolute Unkenntnis und Beratungsresistenz vorherrschen, werden Unternehmen wie z.B. Google das hemmungslos ausnutzen.
Comment by Axel John — 23.04, 2010 @ 12:22
Jedes WLan-fähige Smartphone macht genau das selbe. Jedes IPhone ermittelt ständig seinen Standort durch Abglich mit den bekannten WLans in der Umgebung und sendet die Standortdaten von unbekannten WLans zur Zentrale um die dortige Datenbank zu verbessern.
Das System besteht seit rund vier Jahren, seit zwei sind die Datenbanken so gut, dass sie flächendeckend brauchbar sind. Google hatte überhaupt keinen Grund irgendjemandem gegenüber zu erzählen, dass sie bei den Fotofahrten auch diese Daten aufzeichnen. Die Google-Autos haben übrigens auch GPS an Bord. Noch ein Skandal?
Comment by Marc B. — 23.04, 2010 @ 12:24
Genau, wie metaph3r dies richtig sieht wird Google eigentlich dafür bestraft, dass Sie soviele der gesammelten Daten öffentlich machen bzw. über das Google Dashbord dem Benutzer zugänglich machen.
Viel Interessanter wäre in dem Zusammenhang doch, wie die Daten vom Benutzergerät(Handy, Laptop, e.t.c.) ins Internet gerten.
Wenn ich mich via Firefox lokalisieren lasse erhalte ich jeweils eine Firefox spezifische Anfrage ob ich die aktuelle Website dazu berechtigen will. Vom Betriebssystem(Windows oder Mac OS) erhalte ich keinerlei Hinweis, dass gerade ein Programm alle verfügbaren Accespoints in meinem Umkreis abgefragt hat.
Comment by Stephan — 23.04, 2010 @ 13:25
Dann sind wir uns aber einig, dass in einigen Fällen Personenbezug bestehen kann. Jens Ferner hat anderer Stelle darauf hingewiesen, dass dann aber auch noch die Frage einer Gestattung nach §§ 28, 29 BDSG zu erörtern ist. Von der Tendenz her gebe ich Dir völlig Recht, ein glasklarer Datenschutzverstoß sieht anders aus. Und das Problem ist auch die Meinungsführerschaft der Datenschützer. Wenn Schaar einmal hustet, dann verbreiten 20 Zeitungen seine – in diesem Fall fragwürdigen – Ansichten.
Comment by admin — 23.04, 2010 @ 18:27
Mir ist das alles zu viel ‚könnte‘, zu viel übersteigerte Angst. Allerdings habe ich mich vorhin schon etwas ausführlicher in einer eigenen Betrachtung geäußert.
Comment by Dierk — 23.04, 2010 @ 18:45
Nun, die Verknüpfung der SSID oder auch der MAC-Adresse des WLAN-Interfaces mit Name oder gar Anschrift des Besitzers ist eben NICHT so ohne weiteres möglich (siehe ausführliche Erklärung unter meinem Link).
Möglich wäre sie bei einzelnen freistehenden Einfamilienhäusern mitten im Wald bei nur einem einzigen empfangbaren WLAN. In Städten, in denen sich die Google Cars herumtreiben, ist nicht mal so ohne weiteres feststellbar, in welchem Haus sich der Accesspoint befindet, geschweige denn, bei welcher Mietpartei er steht. Da sind Telefonbücher weitaus informativer.
Comment by XSized — 24.04, 2010 @ 16:41
Google badet bestimmt in Kinderblut.
(ne mal ernsthaft: Es ist einfach momentan ’schick‘ auf google zubashen. Da kam die Meldung gerade recht.)
Comment by Kleinberg — 26.04, 2010 @ 11:24