De-Anonymisierung durch Audio-Cookies

Ansicht der Fachhochschule St. Pölten

Juristen analysieren rechtlichen Rahmen zu ungewolltem Audiotracking

Mobiltelefone und Tablets können durch sogenanntes Audiotracking mittels Ultraschall unbemerkt das Verhalten ihrer BenutzerInnen verfolgen – etwa das Betrachten bestimmter Videos oder den Aufenthalt an bestimmten Räumen und Plätzen. Dieses Jahr im Frühjahr hat die Fachhochschule St. Pölten die App SoniControl veröffentlicht, mit der das akustische Tracking blockiert werden kann. Zwei Wiener Datenschutz- und IT-Juristen haben nun eine rechtliche Einordnung dieser Form des Trackings veröffentlicht und rufen zu mehr Transparenz im Umgang mit der neuen Technik auf.

Weltweit erste Ultraschall-Firewall

Im Forschungsprojekt SoniControl entwickelten Wissenschaftler der FH St. Pölten eine Methode, wie das unbemerkte (und meist ungewollte) akustische Ausspionieren enttarnt und blockiert werden kann. Daraus entstanden ist die weltweit erste Ultraschall-Firewall, die seit März im App Store gratis verfügbar ist und bisher mehr als 20.000 Mal weltweit heruntergeladen wurde. Sie spürt die akustischen Cookies auf und unterdrückt sie mit unhörbaren Ultraschall-Störsignalen.

Inspiriert durch die Arbeit im Projekt SoniControl haben die Juristen Ermano Geuer und Fabian Reinisch von der Wiener Kanzlei EY Law Pelzmann Gall Rechtsanwälte vor Kurzem in der Zeitschrift für Informationsrecht einen Artikel veröffentlicht, der das Audiotracking rechtlich einordnet. Sie fordern mehr Transparenz von App-Anbieterinnen und -Anbietern.

De-Anonymisierung und Bewegungsprofile

Audiotracking müsse Personen nicht automatisch identifizieren, schreiben die Juristen. Es könnten auch anonyme Profile von Konsumentinnen und Konsumenten erstellt werden. In den meisten Fällen wären Benutzerinnen und Benutzer jedoch über Accounts, Geräteerkennung und Social-Media-Profile identifizierbar. Durch sogenanntes Cross-Device-Tracking, das Beobachten des Verhaltens über mehrere Endgeräte, könnten zudem anonyme Geräte zuordenbar werden. Auch könnte eine Verbindung zwischen privaten und Firmengeräten hergestellt werden, was den Juristen zufolge ein Problem hinsichtlich Sicherheit und Geheimnisschutz darstellen könnte. 

Beim sogenannten Location-Tracking kann mittels Ultraschallsignalen und Audio-Cookies festgestellt werden, welche Kundinnen und Kunden in welche Geschäfte gehen, wie sie sich dort bewegen und wie lange sie sich darin aufhalten. Damit könne auch bei ausgeschaltetem GPS-Signal am Handy ein Bewegungsprofil erstellt werden. „Im Weiteren ließen sich dann sogar das persönliche Umfeld und das Sozialverhalten analysieren. Der Einsatz solcher Technologien führt generell zu einer für betroffene Personen unbewussten De-Anonymisierung. Die zukünftige Reichweite dieser Möglichkeit ist aber noch nicht abschätzbar“, sagt Fabian Reinisch, Rechtsanwaltsanwärter bei EY Law.

Rechtliche Grauzonen

Für Audio-Cookies sind den Juristen zufolge Regeln des Telekommunikationsgesetzes, welches bei den hier anwendbaren Vorschriften auf der ePrivacy-Richtlinie basiert, und der Datenschutzgrundverordnung (DSGVO) relevant. Aus datenschutzrechtlicher Sicht gäbe es hinsichtlich des Audiotrackings aber viele Grauzonen.

„Die Anwendbarkeit des Telekommunikationsgesetzes bezieht sich nur auf das Erheben der personenbezogenen Daten mittels Tracking-Technologien. Alle weiteren datenschutzrechtlich relevanten Vorgänge wie etwa das Speichern der Daten, die Zusammenführung mit anderen personenbezogenen Daten zur Profilerstellung, weitere Analysen auf Grundlage dieser Daten, die Übermittlung der Daten, das Erstellen von Statistiken usw. sind allein nach der Datenschutzgrundverordnung DSGVO zu beurteilen. Je nach datenschutzrechtlicher Beziehung sind dann entsprechende Verträge zwischen App-Anbieterinnen und -Anbietern, Werbendem und Impulsaussenderinnen und -aussendern abzuschließen“, erklärt Ermano Geuer, Rechtsanwalt bei EY Law. 

Mehr Transparenz gefordert

Fazit der Rechtsexperten: Generell könnten Ultraschallübertragungstechnologien in vielen Bereichen sehr sinnvoll eingesetzt werden und neue Ansätze für die digitale Gesellschaft bieten, weshalb diese Technologien nicht als grundsätzlich negativ zu betrachten seien. Schwierigkeiten bereite allerdings oft das notwendige technische Verständnis der NutzerInnen und die mangelnde Transparenz der angebotenen Software sowie das bewusste Verstecken solcher Tracking-Tools.

App-Anbieterinnen und -Anbieter sollten durch Umsetzen der gesetzlichen Vorschriften für mehr Transparenz sorgen und Nutzerinnen und Nutzern eine Kontrolle über ihre Daten geben. Da in vielen Fällen personenbezogene Daten erhoben werden, sei eine vorherige informierte Einwilligung erforderlich. Bei dieser Einwilligung sind Nutzerinnen und Nutzer über die Funktionsweise des Trackings und die Art der Datenerhebung aufzuklären. Dies passiere derzeit jedoch in vielen Fällen nicht umfangreich genug – man willige etwa nur ein, dass die App auf das Mikrophon zugreift, hat aber keine Information zu der darüber stattfindenden Datenübermittlung im Ultraschall.

Zu einem verantwortungsvollen Umgang mit der Technik wollte auch Matthias Zeppelzauer, Senior Researcher in der Forschungsgruppe Media Computing am Institut für Creative\Media/Technologies der FH St. Pölten, beitragen. Er hat mit seinen Kollegen Peter Kopciak, Kevin Pirner, Alexis Ringot und Florian Taurer die App entwickelt, mit der die akustische Cookies erkannt und deaktiviert werden können. „Ziel des Projekts war nicht nur, die Privatsphäre durch Erkennen und Filtern von akustischen Cookies gezielt zu schützen, sondern auch, Bewusstsein für akustisches Tracking zu schaffen. Es freut uns, dass das Thema nun auch von rechtlicher Seite detailliert beleuchtet wird.

Datenaustausch mittels Ultraschall im Internet of Things

Im derzeit laufenden Folgeprojekt SoniTalk entwickelt  Zeppelzauer mit Kolleginnen und Kollegen selbst ein erstes offenes und privatsphäre-orientiertes Protokoll für die Datenübertragung im Ultraschall. „Hier legen wir besonderen Wert darauf, die von den Juristen aufgezeigte Verpflichtung zur Aufklärung und Einwilligung der NutzerInnen bereits beim Design der Technologie zu integrieren“, sagt Zeppelzauer. 

Artikel: Rechtliche Einordnung von Audio-Tracking

Ermano Geuer und Fabian Reinisch
Zeitschrift für Informationsrecht, August 2018, Heft 3, pp 274-282
ZIIR 2018, 274

Aussendung zu den Forschungsprojekten

„Ultraschall-Firewall fürs Handy“

Projekt SoniControl

Das Projekt wurde von der Initiative netidee (www.netidee.at) gefördert. Organisiert und finanziert wird die Förderaktion von der gemeinnützigen Internet Foundation Austria (IPA).

Projekt SoniTalk

Das Projekt wird von der Initiative netidee (www.netidee.at) gefördert. Organisiert und finanziert wird die Förderaktion von der gemeinnützigen Internet Foundation Austria (IPA).

Jetzt teilen: