Von Kathrin Schürmann
Eine ausdrückliche Hinweispflicht sieht das Bundesdatenschutzgesetz (BDSG) nur für die Videoüberwachung vor. Nach § 6b Absatz 2 BDSG ist der für die Videoüberwachung Verantwortliche verpflichtet, den Umstand der Videoüberwachung durch geeignete Hinweise transparent zu machen. Als geeignet hat sich hierzu der Einsatz von Piktogrammen erwiesen, etwa nach der DIN-Norm 33450 (Video-Infozeichen).
Selbstverpflichtungsvereinbarungen der Wirtschaft
Eine vergleichbare Vorschrift für Funktechnologien wie iBeacon oder die sogenannte Radiofrequenz-Identifikations-Technologie (RFID) gibt es nicht. Bei RFID handelt es sich um eine Technologie zur automatischen Identifikation von mit RFID-„Tags“ versehenen Gegenständen und Lebewesen. Sie ermöglicht eine eindeutige Identifizierung, ohne eine Sicht- oder Kontaktverbindung zu benötigen. Auf Grund der sich hieraus ergebenden Möglichkeiten steht häufig die Optimierung von Verkaufsstrategien im Fokus des Interesses: Durch die Zuordnung der produktspezifischen Daten zu bestimmten Personen oder Personengruppen können Konsum- und Verhaltensprofile zur Nutzung im Marketingbereich erstellt werden.
Für den verbrauchergerichteten Einsatz von RFID gibt es zwar Selbstverpflichtungsvereinbarungen der Wirtschaft sowie Empfehlungen der EU-Kommission, die für Transparenz gegenüber den Verbrauchern sorgen sollen. Hierzu ist beispielsweise vorgesehen, dass Verbraucher von Geschäften auf den Einsatz von RFID durch einheitliche Zeichen hingewiesen werden sollen. Diesen Vereinbarungen und Empfehlungen kommt jedoch – wie auch ihre Namen schon zum Ausdruck bringen – keine Verbindlichkeit zu.
Transponder sind datenschutzkritischer als iBeacons
Gegen eine Kennzeichnungspflicht von iBeacons spricht auch der Umstand, dass auf diesen keinerlei personenbezogenen Daten gespeichert werden. Insoweit unterscheiden sich iBeacons von RFID-Lesegeräten (sogenannte „Transponder“). Diese Transponder sind deutlich datenschutzkritischer, da sie die in der Lage sind, personenbezogene Daten aus einem RFID-Tag, den der Verbraucher bei sich führt, ohne dessen bewussten Mitwirkungsakt auszulesen. iBeacons sind jedoch reine Sendegeräte. Zum Empfang oder gar zur Verarbeitung von personenbezogenen Daten sind sie nicht in der Lage.
Ein Umgang mit personenbezogenen Daten findet allenfalls auf dem mobilen Endgerät des Verbrauchers statt – und dies auch nur, wenn er eine entsprechende App installiert und die notwendigen Schnittstellen-Freigaben erteilt hat.
Bei iBeacon-basierten Apps die Datenschutzerklärung anpassen
Fazit: Eine gesetzliche Hinweispflicht auf den Einsatz von iBeacons für Geschäfte besteht nicht. Umfangreiche Informationspflichten bestehen jedoch für die Anbieter von iBeacon-basierten Apps, sofern sie mit personenbezogenen Daten ihrer Nutzer umgehen. In der Regel muss die Datenschutzerklärung angepasst werden. Falls Location Based Services angeboten werden, ist besondere Sorgfalt auf die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des App-Nutzers zu legen.
Über die Autorin:
Rechtsanwältin Kathrin Schürmann ist in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts.