07.11.2016

Tracking: Legally on the Track?

Wie Standort- und Verhaltensinformationen analysiert werden und welche Regeln dabei aus rechtlicher Optik zu beachten sind. Tracking ist das Wort der Stunde für die Werbeindustrie – und für Datenschützer. Doch was genau umfasst der Begriff, und welchen Regeln untersteht Tracking in der Schweiz?

Von: Roland Mathys  DruckenTeilen Kommentieren 

Roland Mathys, lic.iur., lic.oec.publ., LL.M. (LSE)

Roland Mathys ist Partner und Rechtsanwalt bei Schellenberg Wittmer AG, einer der führenden Wirtschaftsanwaltskanzleien der Schweiz. Er hat Wirtschaftsinformatik und Recht studiert und praktiziert seit dem Jahre 2000 als Rechtsanwalt im Recht der Informationstechnologie (IT), wo er auch ein Nachdiplomstudium in London absolviert hat. Zu seinen primären Arbeitsgebieten zählen IT-Outsourcing, Datenschutz, IT-Compliance und Prozessführung im Bereich der IT.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

«Tracking» steht als Oberbegriff für verschiedene Technologien, die zur Aufzeichnung und Analyse des Standorts, der Bewegungen und des Verhaltens von Personen dienen. So vielfältig wie die zum Einsatz kommenden Technologien sind auch die Einsatzbereiche des Tracking.

«Tracking»

Heute werden im Wesentlichen die folgenden Tracking-Methoden verwendet:

  • Web-Tracking: Bezieht sich auf das Aufzeichnen des Surfverhaltens eines Website-Besuchers durch den Einsatz sogenannter Cookies oder auf andere Weise. Dies kann der Optimierung der Webseiten oder dem Auswerten von Produktpräferenzen dienen.
  • Mobile-Tracking: Dient der Aufzeichnung des Standorts und der Bewegung von Personen oder Objekten. Zur Standortbestimmung dient typischerweise ein Mobiltelefon das via GPS, WLan oder GSM geortet wird.
  • Videobasiertes Tracking: Auch Videokameras können in Kombination mit geeigneter Software zur Erfassung von Personen und Personengruppen eingesetzt werden.
  • RFID-Tracking: Ein RFID-Chip ist ein kleiner Schaltkreis, der ohne eigene Stromquelle in der Lage ist, kleine Datenpakete über kurze Distanzen zu senden und zu empfangen. Dies kann in der Logistik (Steuerung von Förderbändern und Robotern), bei der Zutrittskontrolle (Skilift) oder für die automatisierte Inventarisierung von Gegenständen nützlich sein.

Rechtlicher Rahmen

In der schweizerischen Rechtsordnung sind im Kontext von Tracking vor allem das Datenschutzgesetz (DSG) inklusive Verordnung und das Fernmeldegesetz (FMG) relevant.

Das DSG gilt für private und öffentliche Datenbearbeiter und beinhaltet namentlich die Grundsätze der Transparenz, Zweckbindung, Verhältnismässigkeit und Datensicherheit.

Das FMG sieht in Art. 45c Bst. b eine Informationspflicht von Website-Betreibern bei der Verwendung von Cookies vor. Der Nutzer muss über die Verwendung von Cookies und seine Möglichkeit, diese Verwendung abzulehnen, informiert werden (opt out).

Was müssen Unternehmen beachten, die Tracking einsetzen?

Die notwendigen Massnahmen hängen stark von der konkret eingesetzten Technologie ab. Einige allgemeingültige Anforderungen lassen sich jedoch ableiten:

  • Transparenz und Information: Der Einsatz einer Tracking-Technologie muss für die betroffenen Personen erkennbar sein. Während dies bei einigen Anwendungen, wie etwa einem Navigationssystem oder beim Social-Location-Sharing (ein Pionier in diesem Bereich ist die Schweizer App «Pathshare», www.pathsha.re) offensichtlich ist, bedarf es bei anderen eines entsprechenden Hinweises. Beim videobasierten Customer-Tracking kann der Betroffene beispielsweise nicht ohne weiteres unterscheiden, ob er von einer Überwachungskamera bloss gefilmt wird oder ob eine Software auch sein Alter, Geschlecht oder seine Ethnie auswertet. Hier ist daher ein entsprechender Hinweis erforderlich.
  • Zweckbindung: Die durch Tracking gesammelten Daten dürfen nur zu dem bekannt gegebenen oder aus den Umständen ersichtlichen Zweck verwendet werden. Eine erweiterte Datenverwendung bedarf der Einwilligung des Betroffenen. Die Abgrenzung, was noch vom Zweck erfasst ist und was nicht mehr, ist oft schwierig. Unternehmen tendieren aus diesen Gründen dazu, den Zweck möglichst abstrakt und weit zu formulieren. Eine Formulierung, die so abstrakt ist, dass die Zweckbindung sich letztlich objektiv nicht mehr erkennen lässt, ist jedoch ungültig. Auch hier kann die Abgrenzung im Einzelfall Probleme bereiten.
  • Einwilligung: Für eine Reihe von Fällen verlangt das DSG eine Einwilligung durch den Betroffenen. So – wie erwähnt – bei der zweckwidrigen Verwendung bereits erhobener Daten, aber auch bei der Bekanntgabe besonders schützenswerter Daten (z.B. betreffend die Gesundheit oder die Ethnie) oder von Persönlichkeitsprofilen. Zudem kann die nachträgliche Einwilligung eine Datenbearbeitung rechtfertigen, selbst wenn diese zuvor gegen den ausdrücklichen Willen der betroffenen Person stattgefunden hat. Eine solche Einwilligung muss aber stets nach hinreichender Aufklärung und freiwillig erfolgen. Beide Anforderungen geben mitunter Anlass zur Diskussion: Wie weitgehend muss die Information sein? Ist die Einwilligung noch freiwillig, wenn als Ausweg beispielsweise nur bleibt, eine Lokalität mit Videotracking gar nicht zu betreten?
  • Verhältnismässigkeit: Es sind nur diejenigen Daten der betroffenen Personen zu erheben, die für die Zweckbestimmung tatsächlich erforderlich sind. Eine Rolle spielt auch die Qualität der Sicherung, insbesondere bei besonders schützenswerten Daten. So hat das Bundesverwaltungsgericht nach entsprechender Empfehlung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einen Schwimmbadbetreiber kritisiert, weil digitale Fingerabdrücke der Abonnementsbesitzer zentral statt dezentral gespeichert wurden (Urteil Nr. A-3908/2008 vom 4. August 2009).
  • Datensicherheit: Die technische und organisatorische Datensicherheit muss gewährleistet werden.
  • Registrierungspflicht für Tracking-Datensammlungen: Datensammlungen, die besonders schützenswerte Daten oder Persönlichkeitsprofile enthalten, müssen beim EDÖB registriert werden. Dies gilt ebenso, wenn regelmässig Daten an Dritte bekannt gegeben werden.
  • Pflichten bei Bekanntgabe in Drittländer: Die Datenbekanntgabe in Länder ohne angemessenen Datenschutz ist meist nur nach dem Abschluss spezieller Garantievereinbarungen erlaubt.
  • Bearbeitungsreglement: Es empfiehlt sich, ein entsprechendes Reglement zu erlassen, damit diese Grundsätze im Unternehmen eingehalten werden können.

Welche Möglichkeiten haben Betroffene zur Unterbindung von Tracking?

Den Betroffenen stehen diverse rechtliche Behelfe zur Verfügung, um einer widerrechtlichen Bearbeitung ihrer Daten zu begegnen. Diese reichen vom Recht auf Auskunft, Einsicht, Korrektur und Löschung bis zu Schadenersatz und Genugtuung. Der Rechtsweg ist aber – zumindest im privaten Umfeld – meist unverhältnismässig aufwändig und langwierig, so dass technische Massnahmen eher Erfolg versprechen.

Die gängigen Webbrowser verfügen über einen «Anonymous»-Modus (aktivierbar über Strg+Shift+N bei Internet Explorer und Chrome), der limitierten Schutz bietet. Für mehr Schutz empfehlen sich beispielsweise die Tools des Tor-Projekts. Standortbasierte Funktionen am Handy lassen sich ausschalten. Schwieriger wird es demgegenüber, sich beispielsweise gegen die Gesichtserkennung im Warenhaus zur Wehr zu setzen. Wie viele Unannehmlichkeiten der Einzelne für den Schutz seiner Privatsphäre letztlich in Kauf zu nehmen bereit ist, muss jeder für sich selbst entscheiden.

Produkt-Empfehlungen

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    CHF 48.00

  • Die wichtigsten IT-Vertragsvorlagen

    Die wichtigsten IT-Vertragsvorlagen

    Über 100 IT-Vertragsvorlagen, Checklisten und Arbeitshilfen auf praktischem USB-Stick.

    Mehr Infos

  • Cloud-Computing

    Cloud-Computing

    Erfahren Sie welchen Nutzen Cloud-Computing Ihnen und Ihrem Unternehmen bringen kann.

    Mehr Infos

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Nächster Termin: 07. Mai 2019

mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos