Personentracking

Personentrackingsysteme finden zunehmende Verbreitung. Eingesetzt werden sie z.B. zur Optimierung von Verkehrs- und Personenströmen oder für die Analyse von Kundenverhalten zu Marketing- und anderen Zwecken. Mit diesen Systemen werden zum Teil auch besonders schützenswerte Personendaten erhoben oder Persönlichkeitsprofile generiert. Daher ist bei ihrem Betrieb Vorsicht geboten.

Nachfolgend werden die wichtigsten datenschutzrechtlichen Aspekte erläutert, die bei Personentracking zu beachten sind.

Bearbeitung von Personendaten durch Personentrackingsysteme

Um Bewegungen von Objekten (z.B. Personen oder Fahrzeuge) aufzuzeichnen, sind grundsätzlich zwei Varianten denkbar: Entweder man erfasst ein Objekt und verfolgt dessen Bewegung, indem man es flächendeckend überwacht, oder man erfasst an einem bestimmten Ort (z.B. am Eingang eines Einkaufszentrums oder auf der Autobahneinfahrt) bestimmte Merkmale der passierenden Objekte so, dass man sie an nachfolgenden Kontrollpunkten wiedererkennen und deren Bewegungen nachvollziehen kann. Während die erste Variante insbesondere bei grossräumigen Projekten sehr aufwändig ist und daher selten praktiziert wird, drängen immer mehr Anbieter von Systemen der zweiten Variante auf den Markt.

Wir haben deshalb einige dieser Systeme analysiert und konnten zwei Hauptformen feststellen: 

  1. Die einen Systeme erfassen direkt personenbezogene Merkmale wie biometrische Gesichtsdaten oder Autokennzeichen, um Personen und Fahrzeuge beim Passieren der Kontrollpunkte wiederzuerkennen. Sie bieten oft die zusätzliche Möglichkeit, die erfassten Personen in Kategorien wie Alter, Geschlecht oder Ethnie einzuteilen. Mit diesen Systemen werden zweifelsohne Personendaten bearbeitet.

  2. Der andere Systemtyp dagegen erfasst Daten der von den passierenden Personen getragenen Mobilfunkgeräte (IMSI- und TMSI-Nummern oder Mac-Adresse) und zeichnet so den Weg des Trägers auf. Bei diesen Systemen wurde verschiedentlich die Meinung vertreten, es würden keine Personendaten erhoben, weshalb das Datenschutzgesetz nicht zur Anwendung komme.
    Diese Auffassung greift indessen zu kurz: Es ist zwar richtig, dass die Betreiber solcher Systeme zurzeit noch nicht in der Lage sind, IMSI- und TMSI-Nummern oder Mac-Adressen direkt einer bestimmten Person zuzuordnen. Bei den erstellten Bewegungsprofilen kann dies aber unter Umständen möglich sein. So unterscheiden sich beispielsweise die Bewegungsprofile des Verkaufspersonals in einem Ladengeschäft von denjenigen der Kunden. Bei kleineren Läden lässt sich so rasch ein Bewegungsprofil einem bestimmten Mitarbeitenden zuordnen. Aber auch durch die Verknüpfung der erhobenen Daten und der erstellten Profile mit weiteren Daten (z.B. den Bildern von Überwachungskameras oder Zahlungsdaten) kann eine Zuordnung möglich werden. Es muss daher auch bei diesen Systemen von einer Personendatenbearbeitung im Sinne des Datenschutzgesetzes ausgegangen werden.

Mit beiden Systemtypen werden folglich Personendaten bearbeitet. Dementsprechend braucht es für den Einsatz von Personentrackingsystemen immer einen Rechtfertigungsgrund. Als solcher kommt vorliegend ein überwiegendes privates oder öffentliches Interesse oder die Einwilligung der Betroffenen in Betracht.

Einwilligung der Betroffenen

Das Einholen einer (rechtsgültigen) Einwilligung ist in der Praxis oft schwierig, weil die betroffenen Personen, bevor sie einwilligen, angemessen über die fragliche Datenerhebung und -bearbeitung informiert werden müssen (vgl. dazu auch den Abschnitt „Information der betroffenen Personen" weiter unten). An Orten mit grossem Publikumsverkehr, wo Menschen ständig in Bewegung sind, ist es schwierig, Informationen in angemessenem Umfang so anzubieten, dass die Betroffenen sie überhaupt wahrnehmen. Eine Einwilligung, die ohne vorgängige Information erfolgt und deren Tragweite nicht ersichtlich oder abschätzbar ist, ist aber nicht rechtsgültig.

Ausserdem muss die Einwilligung freiwillig erfolgen: Freiwilligkeit ist nur dann gegeben, wenn den Betroffenen eine gleichwertige Alternative zur Verfügung steht, also z.B. die Möglichkeit besteht, sich in einem überwachten Einkaufszentrum zu bewegen, ohne von den Trackingsystemen erfasst zu werden. Besteht die einzige Alternative darin, das Einkaufszentrum nicht zu betreten, ist keine Freiwilligkeit im Rechtssinne gegeben. Eine so erteilte Einwilligung ist deshalb nichtig. Hingegen könnte man z.B. durch den Einsatz einer sogenannten „White List" (vom System lesbare Liste der nicht zu trackenden Personen oder Mobilfunkgeräte) verhindern, dass das Trackingsystem Menschen erfasst, die ihre Einwilligung nicht erteilt haben.

Eine erteilte Einwilligung kann jederzeit widerrufen werden. Daher muss sichergestellt werden, dass die Daten der Personen, welche ihre Einwilligung widerrufen, nachträglich gelöscht werden können. Dementsprechend sind Löschprozesse zu definieren und für das Löschverfahren verantwortliche Personen zu bezeichnen.

Überwiegendes privates oder öffentliches Interesse

Wo das Einholen einer rechtsgültigen Einwilligung nicht möglich ist, muss für den Betrieb von Personentrackingsystemen ein überwiegendes privates oder öffentliches Interesse gegeben sein. Ein überwiegendes Interesse liegt in der Regel dann vor, wenn die Datenbearbeitung zu nicht-personenbezogenen Zwecken erfolgt (Art. 13 Abs. 2 lit. e DSG). Wird ein Personentrackingsystem z.B. zur Analyse von Personenströmen zur Verbesserung der Sicherheit in Flughäfen oder Bahnhöfen eingesetzt, kann von einem überwiegenden öffentlichen Interessen ausgegangen werden, sofern dabei nicht das Verhalten bestimmter Personen analysiert wird. Dasselbe gilt für die Analyse von Verkehrsströmen auf Autobahnen zur Vermeidung von Staus.

Ein überwiegendes privates Interesse kann z.B. dann geltend gemacht werden, wenn mit dem System Kundenfrequenzen gemessen oder das durchschnittliche Verhalten von Kundenkategorien analysiert werden soll. Kein Rechtfertigungsgrund besteht in der Regel aber für Auswertungen des persönlichen Verhaltens bestimmter (nicht zwingend namentlich bekannter) Personen, um diesen z.B. massgeschneiderte Werbung zuzustellen.

Bei nicht-personenbezogenem Tracking sollte in jedem Fall Folgendes beachtet werden:

  • Personenbezogene Daten sind im frühestmöglichen Zeitpunkt zu löschen oder zu anonymisieren. Es sollten keine Profile über einen längeren Zeitraum erstellt werden.
  • Die Auswertung muss in Kategorien erfolgen, die keine Identifizierung einzelner Menschen ermöglichen. Eine Identifizierung ist immer dann möglich, wenn in einer Kategorie nur eine Person erfasst wird oder nur eine Person eine bestimmte Kombination einzelner Kategorien erfüllt. Die Daten müssen deshalb so aggregiert werden, dass ein Personenbezug unmöglich ist.
  • Die Daten sollten nicht mit weiteren Daten verknüpft werden. Dies gilt sowohl für weitere Daten aus demselben Umfeld (z.B. eine Kombination des Bewegungsprofils mit den Bildern der Überwachungskameras oder den Zahlungsdaten eines überwachten Ladenlokals) als auch für die Verknüpfungen mit Daten aus anderen Quellen (also z.B. die Verknüpfung der Daten aus dem Einkaufszentrum A vom Tag X mit den Daten aus dem Einkaufszentrum B vom Tag Y), da mit jeder Verknüpfung die Identifizierbarkeit steigt.

Information der betroffenen Personen

Unabhängig davon, ob der Einsatz eines Personentrackingsystems durch ein überwiegendes Interesse oder die Einwilligung der Betroffenen gerechtfertigt ist, müssen letztere vorgängig angemessen über die mit dem Tracking verbundenen Datenbearbeitungen informiert werden. Dabei sind verschiedene Anforderungen zu erfüllen:

  • Die betroffenen Personen müssen vor dem Betreten überwachter Örtlichkeiten über den Betrieb des Trackingsystems informiert werden. Dies erfolgt am besten mit Hilfe gut sichtbarer Hinweisschilder. Die Schilder müssen im Minimum darauf hinweisen, dass Einzelpersonen erfasst und deren Weg innerhalb eines bestimmten Gebietes aufgezeichnet werden.
  • Es ist standardisiertes Informationsmaterial zu erstellen, das über alle wesentlichen Punkte der mit dem System verbundenen Personendatenbearbeitung Aufschluss gibt. Das Informationsmaterial muss vor Ort verfügbar sein und den betroffenen Personen auf Anfrage, bei einer Rechtfertigung durch Einwilligung sogar unaufgefordert, ausgehändigt werden.
  • Prozesse zur Gewährung des Auskunftsrechts und eines allfälligen Löschrechts sind zu definieren sowie die für die jeweiligen Prozesse verantwortlichen Personen zu bezeichnen. Es muss sichergestellt sein, dass die betroffenen Personen ihr Auskunfts- und Löschrecht rasch, unbürokratisch und kostenlos wahrnehmen können.

Zusätzliche Massnahmen bei der Verwendung biometrischer Daten

Bei einigen Trackingsystemen kommen biometrische Daten zum Einsatz, um bestimmte Personen zu erkennen und deren Weg aufzuzeichnen (i.d.R. Gesichtserkennung). Die Bearbeitung solcher Daten birgt ein erhöhtes Risiko einer Persönlichkeitsverletzung, da sie direkt und dauerhaft mit einer Person verbunden sind und im Falle eines Missbrauchs nicht einfach geändert oder gewechselt werden können. Daher ist beim Umgang mit ihnen besondere Vorsicht geboten (vgl. auch unseren Leitfaden zu biometrischen Erkennungssystemen).

Werden bei Personentrackingsystemen biometrische Daten verwendet, gilt Folgendes:

  • Es dürfen keine biometrischen Rohdaten verwendet werden. Der Einsatz von Referenzmustern (Templates), die wesentlich weniger Informationen über die betroffenen Personen enthalten und damit ein geringeres Missbrauchsrisiko aufweisen, ist für das Personentracking ausreichend, sodass die Verwendung von Rohdaten unverhältnismässig wäre. Diverse von uns geprüfte Systeme haben zudem gezeigt, dass es nicht notwendig ist, dass die verwendeten Templates in allgemein lesbarer Form vorliegen. Daher sind sie so schnell wie möglich in einen Hashwert umzuwandeln, sodass Rückschlüsse auf Eigenschaften der dahinter stehenden Personen zusätzlich erschwert werden.
  • Die Daten sind im frühestmöglichen Zeitpunkt zu löschen oder zu anonymisieren. Da es nicht zulässig ist, Bewegungsprofile über einen längeren Zeitraum zu erstellen, ist auch die Speicherung biometrischer Daten während längerer Zeit unverhältnismässig. Selbst wenn diese in Zusammenhang mit einer White List verwendet werden, ist eine maximale Speicherfrist zu definieren, nach deren Ablauf die Daten unwiderruflich zu löschen sind.
  • Werden biometrische Daten zentral gespeichert, darf kein Bezug zu weiteren Daten der betroffenen Personen hergestellt werden können (auch nicht aufgrund eines Pseudonyms, wie z.B. einer Mitarbeiternummer). Der Speicher ist zudem so zu konzipieren, dass die biometrischen Daten weder mit weiteren Informationen verknüpft noch aus dem System ausgelesen und so anderweitig verwendet werden können
  • Das Resultat der Datenbearbeitung darf keinerlei biometrische Angaben enthalten.

Nicht erlaubte Anwendungen von Personentrackingsystemen im Privatbereich

Generell ausgeschlossen sind folgende Anwendungen:

  • Die Überwachung bestimmbarer Einzelpersonen ohne deren Einwilligung. Für eine solche Überwachung ist kein überwiegendes Interesse denkbar. Eine solche Praktik würde die Persönlichkeitsrechte der Betroffenen deshalb widerrechtlich verletzen.
  • Das Anlegen von Persönlichkeitsprofilen ohne explizite Einwilligung der betroffenen Personen, wobei auch detaillierte Bewegungsprofile von Einzelpersonen darunter fallen können. Persönlichkeitsprofile geniessen, wie besonders schützenswerte Personendaten auch, einen erhöhten gesetzlichen Schutz, sodass sie nicht ohne Wissen und explizite Einwilligung der Betroffenen erstellt werden dürfen. Zudem ist auch hier kein überwiegendes Interesse denkbar.
  • Die Überwachung der Mitarbeitenden in einem Unternehmen. Aufgrund von Art. 26 der Verordnung 3 zum Arbeitsgesetz (Gesundheitsvorsorge, ArGV 3) ist der Einsatz von Überwachungs- und Kontrollsystemen, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen, verboten, weshalb eine derartige Praktik auch dann widerrechtlich wäre, wenn sie mit der Einwilligung der betroffenen Personen erfolgte.
https://www.edoeb.admin.ch/content/edoeb/de/home/datenschutz/technologien/personentracking.html