Erfassung von WLAN-Netzwerken

Im Frühjahr 2010 wurde bekannt, dass Google auf seinen Kamerafahrten für Street View auch in der Schweiz Daten aus WLAN-Funknetzen gespeichert hatte. Unsere Abklärungen haben ergeben, dass die Erfassung dieser Daten nicht datenschutzkonform war.

Im April 2010 haben wir betreffend Erfassung von WLAN-Netzen durch Google Abklärungen eingeleitet und die Firma zur Stellungnahme aufgefordert. Anfangs Mai 2010 teilte uns Google schriftlich mit, dass tatsächlich Daten zu WLAN-Netzen in der Schweiz erhoben und bearbeitet werden, jedoch keine Kommunikationsinhalte (Payload). Der Zweck der Datenerhebung sei der Aufbau einer von GPS unabhängigen Lokalisierungsfunktion anhand der WLAN-Router- und Funkantennenstandorte. Bereits Mitte Mai 2010 berichtete uns Google dann aber, dass im Rahmen der Street-View-Aufnahmefahrten doch auch unbeabsichtigt Kommunikationsinhalte aus offenen Netzwerken aufgezeichnet worden seien. In der Folge stellte Google die Aufnahmefahrten solange ein, bis die WLAN-Ausrüstungen aus den Fahrzeugen demontiert waren.

Unmittelbar nach dem Bekanntwerden der WLAN-Datenaufzeichnung hat Google die Daten aus dem Firmennetzwerk separiert, für weitere Verwendungen gesperrt und verschlüsselt. Bei der Analyse dieser Daten haben wir Fragmente aus den WLAN-Übertragungen entdeckt, die jeweils in dem Moment stattfanden, als das Street-View-Fahrzeug den Sendebereich des WLAN-Routers passierte. Es handelt sich unter anderem um vollständige E-Mail-Nachrichten, Webseitenaufrufe, Benutzernamen, Passwörter, Telefonnummern, E-Mail-Adressen und Geschäftsadressen. Damit decken sich unsere Erkenntnisse mit den Ergebnissen von anderen Datenschutzbehörden.

Mit dem Verzicht auf die WLAN-Ausrüstung in den Aufnahmefahrzeugen werden künftig bei den Fahrten von Google keine Payloaddaten mehr erfasst. Ausserdem empfahlen wir der Firma, die in der Schweiz widerrechtlich erhobenen Payloaddaten komplett zu löschen und technische und organisatorische Massnahmen zur Verhinderung ähnlicher Vorfälle zu treffen. Das beinhaltet unter anderem die Berücksichtigung von Privacy by Design bereits in der Entwicklungsphase, aber auch Audits vor Einführung von neuen Dienstleistungen oder Produkten.

Im Rahmen dieser Abklärungen haben wir überdies festgestellt, dass noch immer eine Vielzahl von WLAN-Netzwerken unverschlüsselt betrieben werden. Insbesondere überrascht, dass nicht nur private, sondern auch geschäftliche Informationen (z.B. E-Mails zum Datawarehouse-Projekt einer Bank) offen über die WLAN-Netzwerke übertragen werden. Wir empfehlen dringend, WLAN-Netzwerke nur verschlüsselt zu betreiben (WPA2-AES), um zum einen die Datenübertragung vor dem Zugriff durch Drittpersonen zu schützen, zum andern aber auch, um Unbefugte daran zu hindern, als Trittbrettfahrer die Bandbreite des WLANs für den Internetzugang zu schmälern oder ihn gar für illegale Handlungen zu missbrauchen. Zusätzlich regen wir an, vertrauliche Informationen selbst dann zu chiffrieren, wenn diese über gesicherte Verbindungen (SSL, VPN) übermittelt werden.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/18--taetigkeitsbericht-2010-2011/erfassung-von-wlan-netzwerken.html