Die Nutzeranalyse auf Smartphone-Apps ist für Unternehmen und Werbetreibende mittlerweile ebenso verbreitet wie das herkömmliche Tracking über den Internetbrowser. Um die Anwendungen kommerzialisieren zu können, müssen Anbieter von Apps ihre Nutzer wiederkennen. Dies ist notwendig, um sie anschließend in Werbeumfelder gruppieren und dann plattformübergreifend ansprechen zu können. Personalisierte Werbung ist dabei nur möglich, wenn die App-Anbieter wissen, welcher Nutzer sich hinter der installierten Anwendung befindet. Programmierer haben hierzu häufig die jeweilige Geräte-ID eines iPhone oder Android-Telefons verwendet. Dass diese Nummer nur einmalig vergeben wird, rief die Datenschützer auf den Plan, weshalb Apple bereits Anfang 2012 die Nutzung dieser Nummer für Werbezwecke untersagte und eine neue Advertising-ID einführte. Diese Nummer kann seitdem durch den Nutzer verwaltet und zurückgesetzt werden. Auch Google hat nachgezogen und seit August 2014 ebenfalls eine eigene Werbe-ID für Android eingeführt. Doch ist die neue Werbe-ID wirklich datenschutzkonform? Der folgende Beitrag gibt einen Überblick.

 

Bisherige Praxis: Speicherung der Geräte-ID

Sowohl bei Apple wie auch Android-Geräten mussten Programmierer für eine dauerhafte Zuordnung regelmäßig auf die Geräte-ID (Unique Device Identifiers, UDID) für das Werbetracking zugreifen. Diese einmalige Nummer wird bei der Installation des Geräts vergeben und kann nur durch eine Neuinstallation des Betriebssystems geändert werden. Wird die Nummer noch mit einer Registrierung verbunden und an Dritte, z.B. Werbenetzwerke, weitergegeben, ist ein dauerhaftes personenbezogenes Tracking möglich. Nutzer haben im Regelfall weder Kenntnis von der Weitergabe, noch können sie dieser Nutzung widersprechen.

 

Kritik der Datenschützer

Datenschützer haben die Nutzung der Geräte-ID schon frühzeitig kritisiert. Durch die Einmaligkeit der Nummer kann dauerhaft nachvollzogen werden, wer sich hinter der Geräte-ID verbirgt. Sie waren demnach der Auffassung, dass ohne entsprechende Einwilligung und Widerspruchsrecht der Geräteinhaber die Nutzung der Gerätenummer unzulässig sei. Doch auch die Werbeindustrie, die naturgemäß einen geringeren Fokus auf das Thema Datenschutz legt, war mit dieser Nummer nicht mehr zufrieden. Dies lag insbesondere daran, dass beim Weiterverkauf eines Geräts die Nummer auf neue Nutzer übertragen wird. Wer also beispielsweise ein gebrauchtes iPhone kauft, könnte Anzeigen präsentiert bekommen, die dem Nutzungsprofil des Vorbesitzers entsprechen. Die Geräte-ID war für das Nutzertracking demnach fehleranfällig.

 

Apple und Google reagieren

Um Datenschützern und auch der Werbeindustrie entgegen zu kommen, hat Apple bereits 2012 begonnen, die Nutzung der Geräte-ID für die Entwickler zu unterbinden . Seit der Einführung von iOS 6 wurde stattdessen eine eigene Advertising-ID (IDFA) eingeführt, die unabhängig vom Gerät vergeben wird. Auch bei Android gibt es mittlerweile eine eigene Werbe-ID, welche die bisherige Gerätenummer ersetzt. Sobald Nutzer sich mit einem Google -Account auf dem Smartphone anmelden, erhalten sie automatisch eine persönliche Werbe-ID. Auch diese Nummer wird unabhängig vom Gerät vergeben und ist durch Verbindung mit dem Nutzerkonto Google somit auf weitere mobile Endgeräte übertragbar.

Im Gegensatz zur Geräte-ID können Nutzer die Werbe-ID selbständig zurücksetzen und somit die Verknüpfung temporär aufheben. Auch wenn diese Rücksetzung tief in den Einstellungen versteckt wurde, ist sie sowohl bei Apple- als auch Android-Geräten möglich. Zusätzlich können Nutzer durch ein Häkchen den App-Anbietern signalisieren, dass sie keine interessenbezogene Werbung wünschen.

Trotz Widerspruch und Rücksetzungsoption stellt sich für App-Anbieter die Frage, ob durch die Vergabe von Werbe-ID´s das datenschutzrechtliche Problem der Verarbeitung von Personendaten ohne Einwilligung gelöst wurde. Hierzu muss ein wenig ausgeholt werden und zunächst der generelle Personenbezug der Werbe-ID geklärt werden.

 

Personenbezug der Werbe-ID

Auch die Werbe-ID kann ein personenbezogenes Datum im Sinne des Bundesdatenschutzgesetzes (BDSG) darstellen. Sobald auch hier eine Verknüpfung zwischen Nummer und einem Namen oder einer E-Mail Adresse stattfindet, ist der Bezug zu einer real existierenden Person gegeben. Selbst wenn auf die Verknüpfung durch Registrierung innerhalb der App verzichtet wird, ist dieser Rückschluss nicht zwangsläufig ausgeschlossen. Nach dem Gesetz (§ 3 Absatz 1 BDSG) genügt nämlich bereits die Bestimmbarkeit – also mögliche Verknüpfung zwischen Information und Mensch – für die Anwendung des Datenschutzrechts. Dabei ist umstritten, wann diese Bestimmbarkeit im Einzelfall tatsächlich vorliegt. Bereits die theoretische Möglichkeit einer Zusammenführung zwischen Nummer und Person kann für einen Personenbezug ausreichen. Beispielhaft ist hierbei der Streit um die IP-Adresse, bei welchem die deutschen Aufsichtsbehörden für den Datenschutz (siehe Beschluss des Düsseldorfer Kreises zur Websiteanalyse) und ein großer Teil der Rechtsprechung die IP-Adresse als personenbezogene Information ansehen. Nach dieser Ansicht genügt bereits die objektive Möglichkeit eine Nummer mit einem Namen zu verknüpfen. Nicht notwendig ist dabei, dass ein Websitebetreiber diese Verknüpfung selbst durchführen kann. Vielmehr reicht es aus, dass durch Abfrage bei einem Dritten (z.B. dem Access-Provider), die hinter der IP-Adresse angemeldete Person ermittelt werden kann. Dass diese Information im Regelfall nur über eine richterliche Anordnung eingeholt werden kann und darüber hinaus auch mehrere Personen ein Gerät und somit eine IP-Adresse verwenden, ist nach dieser Meinung unbeachtlich. Es genügt die theoretische Verknüpfung zwischen Nummer und Namen.

Folgt man dieser derzeit herrschenden Ansicht, spricht im digitalen Zeitalter so gut wie jede Verknüpfungsmöglichkeit für den Personenbezug einer Information. Die Gegenansicht vertritt daher die Meinung, dass nur dann ein Personenbezug gegeben ist, wenn eine Verknüpfung „ohne großen Aufwand“ ermöglicht werden kann. Dieser sogenannte „relative“ Personenbezug stellt somit auf die Verhältnisse der jeweiligen verarbeitenden Stelle ab. Im Falle der dynamischen IP-Adresse, wird diese Kennung durch Access Provider vergeben. Eine Zusammenführung zwischen IP und Nutzer ist für Websitebetreiber im Regelfall nur mit unverhältnismäßigem Aufwand möglich. Aus diesem Grund wird ein Personenbezug hier abgelehnt. Auch wenn diese Ansicht durch einige Gerichtsentscheidungen gestützt wird, ist sie bisher (leider) nicht die Führende.

 

Auswirkung auf die Werbe-ID

Überträgt man den Streit um die IP-Adresse auf die Werbe-ID muss zunächst unterschieden werden, ob eine eigene Registrierung innerhalb der App vorliegt oder nicht. Fordert die App eine persönliche Registrierung mit Namen oder E-Mail Adresse und werden diese Informationen mit der Werbe-ID verknüpft, liegt unstreitig ein Personenbezug vor. Das gleiche gilt im Falle einer Anmeldung über Facebook-Connect oder das Google Log-In, da der Anbieter der App über die Schnittstelle personenbezogene Daten von den Netzwerken erhält.

Ist eine Verbindung mit Registrierungsdaten hingegen nicht vorgesehen, ist auch hier auf die theoretische Zusammenführung der Daten abzustellen. Vergleicht man diesen Sachverhalt mit dem Streit um die IP-Adresse, liegt ein Personenbezug immer dann vor, wenn das Apple- oder Google-Konto mit der Werbe-ID verknüpft wurde und App Anbieter auf diese Information zugreifen können. Da die Möglichkeit besteht die App auf die Identität des Kontoinhabers abfragen zu lassen, ist eine theoretische Verknüpfung und somit ein Personenbezug anzunehmen. Somit dürfte auch die Werbe-ID nur mit ausdrücklicher Zustimmung der Nutzer verwendet werden.

 

Widerspruch durch Reset der Werbe-ID

Ein besonderes Augenmerk ist zusätzlich auf die Möglichkeit zum Reset der Werbe-ID zu richten. Da die ID nicht mehr dauerhaft an ein bestimmtes Gerät gekoppelt ist, können Nutzer in den Einstellungen die Nummer neu vergeben lassen. In diesem Fall wäre eine bis dato enthaltene Verknüpfung aufgehoben und der Personenbezug beendet. Hier kommt es jedoch darauf an, dass die neue Werbe-ID nicht mit der alten ID gemeinsam gespeichert wird. Andernfalls bleibt der Personenbezug erhalten und eine Nutzung ohne Zustimmung wohl unzulässig.

 

Reaktion von Google und Apple

Google und Apple kennen diese Problematik, weshalb sie ihre jeweiligen Bedingungen für Entwickler entsprechend angepasst haben, um sich selbst aus der Verantwortung zu nehmen. Die Richtlinie für Entwickler des Google Play Store legt beispielsweise fest, dass eine Zusammenführung von Werbe-ID und Geräte-ID nur mit ausdrücklicher Zustimmung des Nutzers erfolgen darf. Nach Zurücksetzen der ID darf eine neue Werbe-ID wiederum nur mit ausdrücklicher Zustimmung des Nutzers mit einer vorherigen Werbe-ID oder daraus stammenden Daten verknüpft werden. Hat ein Nutzer zudem die interessenbezogene Werbung in den Einstellungen deaktiviert, ist dies durch die App-Anbieter zu berücksichtigen. Apple hat für die Entwickler sehr ähnliche Bedingungen geschaffen.

 

Fazit

Durch die Einführung der Werbe-ID´s ist das Datenschutzproblem nicht wirklich gelöst. Durch die Registrierung bei Google und Apple und eine Zugriffsmöglichkeit der App-Anbieter auf die Identität der Nutzer, bleibt ein Personenbezug bestehen. Folgt man der herrschenden Ansicht bei der Bewertung der IP-Adresse, ist dieser Bezug ausreichend. Eine Nutzung wäre damit nur nach entsprechender Einwilligung der Betroffenen zulässig. Nutzer haben jedoch den Vorteil, die Werbe-ID zurücksetzen und den Anbieter innerhalb der Einstellungen signalisieren zu können, personalisierte Werbung abzuschalten. Laut Nutzungsbedingungen sind die Entwickler an diese Aufforderung auch gehalten. Wird hiergegen verstoßen droht die Verbannung aus den jeweiligen App-Stores.

 


David OberbeckÜber den Autor:
David Oberbeck ist Rechtsanwalt und Partner der Datenschutzkanzlei. Seine Beratungsschwerpunkte liegen im Datenschutz-, Wettbewerbs- und IT-Recht. Zudem ist er als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig.