Redaktion Dr. Web 18. April 2014

Apples iBeacons: Unbegrenzte Möglichkeiten oder haufenweise rechtliche Fallstricke?

Mit dem Launch von iOS 7 hat Apple vor einigen Monaten „iBeacon“ eingeführt. Besonders Einzelhändler und Marketers interessieren sich für die neue Technologie, verspricht sie doch die Chance, Online-Shopper zurück in den stationären Einzelhandel zu bringen. Den Ideen für iBeacon-basierte Geschäftsmodelle und Apps sind nahezu keine Grenzen gesetzt. Doch wo liegen die rechtlichen Grenzen?

20131228103926!Beacons-ble-module

Technischer Hintergrund

Ein iBeacon ist ein kleiner Funksender, dessen einzige Funktion im permanenten Aussenden einer aus Zahlen und Buchstaben bestehenden ID besteht. Sobald sich ein iBeacon-kompatibles Endgerät in Reichweite des Funksignals befindet, empfängt es die ID und reicht es an eine auf dem Gerät installierte App weiter, die daraufhin eine bestimmte, von der ID abhängige Aktion ausführt. Dies setzt voraus, dass die App programmiert worden ist, um auf genau dieses Signal zu reagieren. Bei den ausgelösten Aktionen kann es sich beispielsweise um das Auslösen und Anzeigen einer bestimmten Push-Mitteilung oder um die Gutschrift von Prämien handeln. Ein iBeacon kann allerdings – wie ein Radiosender – nur senden, aber keine Informationen empfangen. Aus datenschutzrechtlicher Sicht sind iBeacons daher an sich unproblematisch –rechtliche Probleme bereiten kann aber, was eine App mit den iBeacon-Signalen macht.

Wettbewerbsrecht

 Die Frage, unter welchen Voraussetzungen zu Werbezwecken eine iBeacon-basierte Push-Mitteilung auf dem Endgerät des Nutzers angezeigt werden darf, ist noch nicht gerichtlich geklärt. Nach § 7 UWG ist Werbung verboten, wenn sie eine „unzumutbare Belästigung“ des Empfängers darstellt. Werbung per SMS, MMS und E-Mail, die ohne vorherige Einwilligung des Empfängers versendet wird, wird vom Gesetz automatisch als „unzumutbare Belästigung“ angesehen. Dies wird damit begründet, dass die auf diesen Kommunikationswegen übertragenen Nachrichten typischerweise auf dem Endgerät des Nutzers gespeichert werden und dadurch Speicherplatz verbrauchen. Push-Mitteilungen sind aber nur auf den ersten Blick mit diesen Kommunikationsmitteln vergleichbar. Typischerweise werden sie nämlich nicht auf dem Endgerät gespeichert, sind also „flüchtig“. Allerdings mutet das Speicherplatz-Argument heutzutage überholt an, und für das Ausmaß der Belästigung spielt es bei lebensnaher Betrachtung keine Rolle, ob diese nun per SMS oder als Push-Mitteilung empfangen wird. Bis die Gerichte diese Frage geklärt haben, ist es daher ratsam, auch vor dem Versand von Push-Mitteilungen die Einwilligung des Empfängers einzuholen. Wichtig ist dabei, dass dem Nutzer eine einfache Möglichkeit zum Widerruf seiner Einwilligung angeboten wird – idealerweise innerhalb der App. Je nach der Gestaltung der App kann es aber auch ausreichen, den Nutzer innerhalb der App eine Anleitung zur Verfügung zu stellen, die ihm leicht verständlich erklärt, wie er die Anzeige von Push-Nachrichten in den Systemeinstellungen seines Geräts ausschalten kann.

shield-105499_640

Eine weitere wettbewerbsrechtliche Herausforderung stellt die inhaltliche Gestaltung der Push-Mitteilungen dar. So ist unter anderem das Verbot der sogenannten unsachlichen Beeinflussung von Verbrauchern zu beachten. Eine solche kann eintreten, wenn der Nutzer bei einer Kaufentscheidung einem besonderenZeitdruck unterworfen wird, ihm also beispielsweise per Push-Nachricht mitgeteilt wird, dass er nur dann in den Genuss eines besonderen Angebots kommt, wenn er es in den nächsten 10 Minuten annimmt. Wichtig ist auch das Verbot des irreführenden Verschweigens von wesentlichen Informationen sowie – wenn mit Preisangaben geworben wird – die Beachtung der Vorgaben der Preisangabeverordnung (PAngV). Da es sich bei Push-Mitteilungen um Telemediendienste handelt, müssen außerdem die Werbevorschriften des Telemediengesetzes beachtet werden. Diese verlangen unter anderem, dass Push-Werbebotschaften klar als Werbung zu erkennen sind und dass aus ihnen hervorgeht, wer Auftraggeber der Werbung ist. Noch schwieriger wird es, wenn die Push-Mitteilungen Werbung in Gestalt von Rabattgutscheinen, Prämien oder Gutscheinen enthalten. Dann müssen nämlich zugleich die Angebotsbedingungen auf klare und verständliche Weise zugänglich gemacht werden.

 Die Einhaltung dieser Vorschriften kann sich angesichts der kleinen Smartphone-Bildschirme als ziemlich kniffelig darstellen.

 Datenschutzrecht

 Die zweite Herausforderung für das iBeacon-basierte Marketing birgt das Datenschutzrecht. Es geht zum einen um die Frage, ob und ggf. wie eine Einwilligung des Nutzers eingeholt werden muss. Zum anderen ist zu klären, ob die Datenschutzerklärung der App angepasst werden muss.

 iBeacons können den Standort eines Nutzers nicht ermitteln. Insoweit unterscheidet sich die Technik von der Standortermittlung per GPS. Die per GPS ermittelten Standortdaten (Längen- und Breitengrade) sind aus sich heraus verständlich. Die Standortermittlung per iBeacon ist aber eher mit der Wi-Fi-Methode zu vergleichen. Sowohl bei der iBeacon- als auch bei der Wi-Fi-Methode werden die von den Funksendern (also den iBeacons bzw. WLAN-Zugangsstationen) ausgesendeten IDs mit einer Datenbank abgeglichen. In dieser Datenbank sind die zu den jeweiligen IDs gehörigen Standorte hinterlegt. Mittels der iBeacon-Technologie kann der Standort daher auch dann von einer App ermittelt werden, wenn der Nutzer die Ortungsfunktion für diese App in den iOS-Systemeinstellungen deaktiviert hat. Bei der Entwicklung der App ist daher unbedingt darauf zu achten, dass eine (versehentliche) Verarbeitung von Standorten über Umwege ausgeschlossen wird.

secret-205648_640

Aus Sicht der deutschen und europäischen Datenschutzbehörden dürfen Geodaten in der meisten Fällen nur mit vorheriger, ausdrücklicher Einwilligung des Nutzers erhoben und verarbeitet werden. Die Einwilligung muss freiwillig erfolgen und soll jederzeit „aus der Nutzungssituation heraus“ widerrufen werden können. Außerdem soll die Einwilligung nach einiger Zeit erneuert werden. Zumindest sollten daher Apps, die mit Standortdaten umgehen, entweder eine Opt-out-Möglichkeit innerhalb der App anbieten, oder aber es sollte – sofern die betriebssystemseitigen Opt-out-Möglichkeit benutzt werden – detailliert und verständlich (idealerweise bebildert) beschrieben werden, wie und wo der Nutzer die entsprechenden Einstellungen vornehmen kann.

Fazit

Die iBeacon-Technik hat großes Potenzial. Damit einem die rechtlichen Anforderungen keinen Strich durch die Rechnung machen, sollten diese schon in der Planungsphase der App beachtet und im Pflichtenheft festgeschrieben werden. Hierzu ist – wegen der derzeit noch unklaren Rechtslage – neben einer guten juristischen auch eine gute technische Kenntnis erforderlich. Mit dieser lassen sich dann aber auch die meisten App-Konzepte und Geschäftsmodelle ausreichend rechtskonform und zukunftssicher umsetzen. Ganz ohne eine gewisse Risikobereitschaft bei allen Beteiligten geht es zur Zeit aber noch nicht.

Die Autorin:

Die Rechtsanwältin Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.

Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

(dpe)

Redaktion Dr. Web

Unter der Bezeichnung "Redaktion Dr. Web" findest du Beiträge, die von mehreren Autorinnen und Autoren kollaborativ erstellt wurden. Auch Beiträge von Gastautoren sind hier zu finden. Beachte dann bitte die zusätzlichen Informationen zum Autor oder zur Autorin im Beitrag selbst.
Dr. Webs exklusiver Newsletter
Hinweise zum Datenschutz, also dem Einsatz von Double-Opt-In, der Protokollierung der Anmeldung, der Erfolgsmessung, dem Einsatz von MailChimp als Versanddienstleister und deinen Widerrufsrechten findest du in unseren Datenschutzhinweisen.

Ein Kommentar

  1. Einzig relevant wäre eigentlich, dass es gesetzlich vorgeschrieben ist, dass alle diese Systeme, die eine Ortung und Identifikation erlauben – abgesehen vom Mobiltelefonteil – vorgabemäßig wirksam abgeschaltet sind und nicht durch Software von außen eingeschaltet werden können. Wenn das im Recht nicht vorgesehen ist, dann ist das kein Rechtsstaat mehr, der im Sinne der Bevölkerung agiert.

    Ich betrachte daher Firmen als kriminell, die Produkte herstellen, die das nicht gewährleisten. Es waren vor 80 Jahren schon schlimmere Dinge legal, aber mir reicht das auch schon.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kennst du schon unseren Newsletter?

Hinweise zum Datenschutz, also dem Einsatz von Double-Opt-In, der Protokollierung der Anmeldung, der Erfolgsmessung, dem Einsatz von MailChimp als Versanddienstleister und deinen Widerrufsrechten findest du in unseren Datenschutzhinweisen.