Die datenschutzrechtlichen Anforderungen richten sich nicht an Hersteller von Produkten, sondern an datenschutzrechtlich Verantwortliche und Auftragsverarbeiter.
Das so genannte Apple AirTag ist ein Tool, das von Apple insbesondere als Hilfsmittel zum Auffinden verlorener Gegenstände wie etwa Schlüssel beworben wird. Der Aufenthaltsort des AirTags wird dabei etwa mit Hilfe des sog. Find-My-Netzwerks festgestellt, und Nutzer:innen des AirTags werden auf ihrem iPhone über den Aufenthaltsort des AirTags informiert. Eine Reihe von Presseberichten über unerwünschtes Ausspähen des Aufenthaltsorts von Personen unter Nutzung des AirTags führte auch zu Presseanfragen.
Der Sachverhalt zeigt exemplarisch die Risiken missbräuchlicher Nutzung digitaler Technologien und gleichzeitig die Grenzen des Anwendungsbereichs des Datenschutzrechts und damit auch der Aufsicht durch die Datenschutzaufsichtsbehörden auf. Die datenschutzrechtlichen Anforderungen der DSGVO richten sich an Verantwortliche und Auftragsverarbeiter, die Verarbeitungen personenbezogener Daten durchführen, nicht jedoch an Hersteller, die Produkte anbieten, mit denen personenbezogene Daten verarbeitet werden können. Wie auch andere Hersteller vergleichbarer Tools unterliegt damit nicht Apple in seiner Eigenschaft als Hersteller des AirTags der Datenschutzaufsicht, vielmehr wären etwa Unternehmen oder andere Organisationen, die ein solches Tool im Rahmen ihrer Tätigkeit verwenden, als datenschutzrechtlich Verantwortliche einzustufen und damit Adressaten der datenschutzrechtlichen Verpflichtungen und der datenschutzrechtlichen Aufsicht.
Die Anforderungen der DSGVO gelten dabei nicht, soweit personenbezogene Daten ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten verarbeitet werden (sog. Haushaltsausnahme, Artikel 2 Abs. 2 lit. c DSGVO). Ausspähungen etwa des Aufenthaltsorts im familiär-privaten Umfeld unterfallen nach Beurteilung der Aufsichtsbehörde der sog. Haushaltsausnahme; so sehr ein unerwünschtes Ausspähen daher als missbilligungswürdig erscheinen mag, kann die Datenschutzaufsichtsbehörde daher solche Fälle mangels Zuständigkeit nicht mit den in der DSGVO zur Verfügung gestellten aufsichtlichen Befugnissen aufgreifen. Gleichwohl gelten auch für Ausspähungen im familiären Umfeld selbstverständlich die allgemeinen zivilrechtlichen und strafrechtlichen Grenzen zum Schutz der Persönlichkeitsrechte und Privatsphäre einschließlich der jeweiligen Rechtsdurchsetzungsverfahren, mit denen Betroffene gegen Ausspähungen wirksam entgegentreten können.
Aus den dargestellten Gründen hat die Datenschutzbehörde keinen Anlass gesehen, die Nutzung von AirTags in den regelmäßigen Gesprächen mit Vertretern von Apple genauer zu analysieren. Bislang liegen hierzu auch keine spezifischen Beschwerdevorgänge vor, während z.B. der Einsatz sonstiger Trackingtechnologien im unternehmerischen Umfeld in der Vergangenheit wiederholt Gegenstand von aufsichtlichen Verfahren war.
Bürger:innen, die befürchten durch AirTags ausgespäht zu werden, können auf die von Apple bislang zu einzelnen Details bereit gestellten Informationen über Kontroll- und Abwehrmöglichkeiten verwiesen werden, die nach unserer Kenntnis noch weiter ausgebaut werden sollen:
https://support.apple.com/de-sg/HT212227
https://support.apple.com/de-de/HT211658
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks