Track me if you ... oh.
avatar
Klaudia
Klaudias Website Icon Klaudia auf Mastodon Icon Supportseite Icon Auphonic Stunden spenden Icon Patreon Icon
avatar
Clemens Hopfer
Twitter Icon Mastodon Icon

><br /> Standorterhebung auf Basis von WiFi und Bluetooth betrifft Mobiltelefone, Tablets, Laptops, Smartwatches, Bluetooth Kopfhörer, Tokens, Schüsselanhänger, Autoradios, Navis, eRoller, eBikes, … also alles, was WiFi oder Bluetooth eingeschaltet hat. Bei vielen Geräten ist Bluetooth nicht einmal mehr abschaltbar, denken wir an die beliebten Kopfhörer. Das machen sich Trackinganbieter zu Nutzen. Es ist heute unmöglich zu wissen, wer uns trackt und in welchem Ausmaß Daten über uns und unsere Standorte gesammelt werden.</p> <script>window.podcastData78587d245db61f = {

Aufnahme des Talks beim #35c3

!!! TRIGGERWARNING !!!

Informationen zum Thema Offlinetracking findet man selten unter diesem Titel. Dafür muss man tief ins Marketingsprech der verschiedenen Anbieter eintauchen: „Big Data“, „Location Based Services“, „Cross-Device User Identification“, „Data-Driven Marketing“, „Mobile Advertising“, „Personalization“, „Mobile Opportunities“, „Data Mining“, „Consumer Data Industry“, „Location Analytics for Retailers“ (Cisco), oder wie es cmo.com 2016 beschrieb: „The Rise of Geo, Local and Hyperlocal“.

Links

-> Slides

Verkehrsdatennutzung durch Mobilfunkbetreiber

ÖAW Studie zur Nutzung von Verkehrsdaten durch Mobilfunkanbieter

Google Standortdaten

netzpolitik.org: Standortdaten: Beschwerde gegen Google in sieben Staaten Europas
futurezone.at: Google speichert Standortdaten auch, wenn Funktion deaktiviert wurde

Apple „Wichtige Orte“

t3n.de: Euer iPhone trackt euch auf Schritt und Tritt: So deaktiviert ihr die Funktion

„Ich hab ja kein Problem, wenn Apple weiß, wo ich mich aufhalte. Aber ich tu mir grad wirklich schwer, Dir diesen Screenshot zu geben.“ A. Hacker

Standortanalyse für Werbezwecke

zeit.de: Ein Königreich für deine Konsumwünsche
zdf.de: Ausgespäht im Supermarkt
heise.de: Tracking im Supermarkt: Wie Händler ihre Verkäufe durch Kundenortung ankurbeln wollen

Kundenkarten

oracle.com: Oracle Buys Datalogix

Facebook

futurezone.at (2016): Facebook speichert, wenn User offline einkaufen gehen
futurezone.at (2016): Facebook weiß, wo du einkaufst – User meist ahnungslos
facebook.com: Offline-Conversions
e-dialog.at: Facebook – Offline Conversions messen (18. Mai 2018)
haystack.mobi/panopticon

Bluetooth & WiFi Tracking

Die erwähnten Paper von u.a. Paul Fuxjäger

golem.de: Verschleiern der MAC-Adresse bei WLAN ist fast nutzlos

Beispiel: Cisco Location Analytics for Retailers

Cisco stellt die Hardware her, bietet dazu aber auch die Analyse dahinter an.
Cisco Meraki, Location Analytics API

Increasing Airport Efficiencies with Cisco Wi-Fi
https://www.youtube.com/watch?v=sm3JtnOJ_K4

Beispiel: Aruba & Euclid

Aruba ist ein Hardwarehersteller wie Cisco, bietet aber (soweit bekannt) selbst keine Analyse an. Dafür wird eine API zur Verfügung gestellt, auf welche verschiedene Analysedienstleister, beispielsweise Euclid, zugreifen können.

Aruba: Werbung, Analyse und mobile Anwendungen
Euclid: Visitor identity and behavior.

Beispiel: Verkehrsanalyse durch Bluetooth Tracking

Bonn trackt Verkehrsteilnehmer per Bluetooth

US Legislative

Die Big Data and Privacy Working Group (unter Obama) kam 2014 drauf, dass das „notice and consent“ Modell nicht mehr ausreichend ist.

EU Recht

iapp.org (International Association of Privacy Professionals), Februar 2018: What the GDPR will mean for companies tracking location
-> „France’s CNIL censured the billboard giant JCDecaux for installing Wi-Fi boxes on their signs that captured the unique MAC addresses“
(Funfact: JCDecaux hat in Leipzig die Wartehäuschen der Öffis ausgestattet.)
-> „The Swedish „visitor flow“ tracking outfit Bumbee Labs got into similar hot water with that country’s privacy watchdog around the same time, leading it to stop collecting MAC addresses.“

DSGVO – Art 6.1.f „berechtigtes Interesse“
DSGVO – Erwägungsgrund 47

Opinion 01/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC) – wp247
Deutsches Telekommunikationsgesetz § 89 – Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen
Österreichisches Telekommunikationsgesetz 2003: §93 – Kommunikationsgeheimnis

Weiterverkauf von Daten – Data Brokers

cbsnews.com: The Data Brokers: Selling your personal information
propublica.org: Everything We Know About What Data Brokers Know About You

Selbstschutzmöglichkeiten

Weitere Infos

EHI Retail Institute: Whitepaper: Smart Store (Nach Registrierung gratis verfügbar)
digitalcourage.de: Der Kundschaft auf der Spur: Positionstracking im Einzelhandel
netzpolitik.org: Endlich auch offline verfügbar: Gläserne Kunden
cmo.com (2016): „The Rise Of Geo, Local, And Hyperlocal“
nytimes.com: Your Apps Know Where You Were Last Night, and They’re Not Keeping It Secret
nytimes.com: How to Stop Apps From Tracking Your Location

Tracking in Apps

Privacy International: Investigating Apps interactions with Facebook on Android
haystack.mobi/panopticon
mobilsicher.de
exodus-privacy.eu.org
appcensus.mobi

Tracking auf Webseiten

sendsdata.to

Staatliche Suche nach Mobilgeräten

Polizei Brandenburg fahndet nach MAC-Adresse
heise.de: l+f: Haben Sie diese MAC-Adresse gesehen?
Funkzellenabfrage: Die alltägliche Rasterfahndung unserer Handydaten, Talk von Ulf Buermeyer und Andre Meister

Transkript

Moderator: Gut dann beginnen wir mit dem nächsten Vortrag: Track me if you … oh. Wer von euch kennt die Bluetooth MAC-Adresse seines Telefons auswendig? Ha! Wer von euch weiß nicht, ob die sich ändert? Eins… Zwei… Wer von euch kennt die WLAN MAC-Adresse seines Telefons auswendig. Keiner. Wer von euch ändert die gewohnheitsmäßig? Keiner. Oder so gut wie keiner. An der Stelle kommen Clemens Hopfer und jinxx, Klaudia, ins Spiel. Die beiden werden uns jetzt erklären, was große Firmen mit diesen Daten machen, die man aus Mobilfunkgeräten, zum Beispiel Handys, manche nennen sie auch liebevoll persönliche Wanze, daraus gewinnen kann und was man daraus für monetäre Vorteile ziehen kann. Ein Applaus für die beiden bitte.

Klaudia: Hallo, schönen guten Abend.

Clemens: Hallo.

Klaudia: Das ist der Teil mit ‚wir erzählen Euch ganz kurz, warum wir hier sind und warum wir das sagen können, was wir hier sagen. Mein Name ist Klaudia Zotzmann-Koch. Ich habe unter anderem auch den Datenschutz Podcast, mach da ein bisschen was zum Thema Datenschutz. No na … Und ansonsten habe ich sechs Jahre in der als Projektmanager in der Webentwicklung verbracht und habe da viele Dinge gesehen, was so an Tracking an auf verschiedenen Seiten eingebaut wurde für verschiedene Gerätschaften. Und ja, ich bin jetzt seit 2016 beim Chaos Computer Club und sehe jetzt gerade noch viel mehr davon. Und das ist ganz schön f*cking gruselig.

Clemens: Ja, mein Name ist Clemens Hopfer. Ich bin schon länger beim Wiener Freifunk, Funkfeuer heißt das bei uns, tätig und beschäftige mich auch beruflich mit Firmware Entwicklung Richtung Open WRT Entwicklung. Komme eigentlich aus der Elektrotechnik, aber irgendwie hat es mich in die Netzwerk und Software Schiene verschlagen. Und wir machen zusammen auch seit 2016 die PrivacyWeek in Wien als Chaos Computer Club Wien. Und irgendwie wollten wir schon länger mal etwas machen zum Thema Offline Tracking weil es gibt dazu relativ wenig Informationen und das mal zusammentragen. Und bei mir ist das Thema auch beruflich mal aufgekommen und ich hab mich damit auch schon näher beschäftigt deshalb gerade weil man so wenig dazu findet dachten wir, das wäre mal interessant.

Klaudia: Ich hatte halt auch beim vorletzten Job wurde ich gezwungen mich mit Werbetechnik im Web Bereich mehr auseinanderzusetzen: Werbebanner und so weiter. Was einer der Gründe ist, warum es auch jetzt nicht mehr mein Job ist. Offline Tracking … Spoiler: unter Offline Tracking findet man quasi nix. Also wenig. Triggerwarning: Es wird jetzt gleich ganz viel Marketingsprech. Was man halt tatsächlich findet oder worunter man halt entsprechende Technologien findet, seht ihr hier: Location Based Services, Big Data, Location Analytics for Retailers – das ist der Marketingsprech von Cisco -, Consumer Data Industry, Cross Device User Identification, Mobile Opportunities – das ist das von Google -, was haben wir hier noch? Data Mining

Zuschauer ruft: Bingo!

Klaudia: Mobile Advertising, Data driven Marketing. Was haben wir noch? Da oben: The rise auf Geo, Local and Hyperlocal. Das war eine hübsche Zwischenüberschrift in einem Artikel. Das heißt wenn man sich mit dem Thema auseinandersetzt, braucht man ein gewisse Stressresistenz was Marketingsprech angeht. man findet tatsächlich relativ viele Informationen in Werbebroschüren von Werbeanbietern also was sie tatsächlich tun wollen und aus meiner Erfahrung jetzt vom vorletzten Job, weicht das tatsächlich auch nicht sehr von dem ab was sie dann letztendlich tatsächlich tun.

Clemens: Und das Interessante dabei ist auch, dass Print Broschüren von den Firmen üblicherweise wesentlich mehr Informationen beinhalten, als was ihr auf der Homepage seht. Gerade auf der Homepage ist üblicherweise ‚ja, … blah … irgendwas mit Location‘. In den Werbebroschüren steht dann doch noch ein bisschen genauer drin, wie das tatsächlich funktioniert.

Klaudia: genau damit uns jetzt nicht völlig schlecht wird, sagen wir weiter Offline Tracking und dem begegnet man üblicherweise in Shops also wo auch immer ihr halt in so einen Laden reingeht, auf Einkaufsstraßen, Straßenverkehr tatsächlich, durch Verkehrsbetriebe, Bahnen etc und an ganz vielen anderen Stellen.
Genau, wer oder was … Wir haben … Fangen wir mal ganz außen an: Wer oder was trackt euch? Natürlich einmal die Mobilfunker wo ihr jetzt mit eurem Telefon in deren Netz euch aufhaltet. D’oh. Da jetzt nicht so viel Neues. Eins, zwei, Test? Ah! Geräte und/oder Betriebssystem Hersteller, App Hersteller, WiFi wenn ihr WiFi aktiv nutzt also aktiv anschaltet, irgendwo ein öffentliches Netzwerk nutzt, WiFi passiv – das heißt wenn ihr das WiFi aktiviert habt aber euch nicht in irgendein Netz einloggt, Bluetooth, Kartenzahlungen, Kundenkarten, Videoüberwachung und alle möglichen Dinge von denen wir jetzt noch nicht wissen, dass wir sie auf dem Schirm haben sollten.
Für Mobilfunkbetreiber gibt es gerade eine Studie von diesem Jahr, das ist in dem Fall eine für Österreich. Die Kurzfassung ist: österreichische Mobilfunker benutzen und vermarkten die Bewegungsprofile der Kundinnen. Opt-Out Möglichkeiten: so mittel bis nicht vorhanden. Also ich glaube, einer von denen lässt es tatsächlich zu, alle anderen nicht. Die URLs bzw. Adressen von den einzelnen Studien und was wir so zitieren haben wir in den Slides unten drin, die können wir dann auch gerne zur Verfügung stellen dann können wir alles auch nochmal selber nachlesen. Ich empfehle vorher einen Schnaps.
Google Standortdaten: Wer hat es noch nicht mitgekriegt dieses Jahr? Ganz neu ist es jetzt nun auch nicht. Google trackt Standorte der Nutzer ihrer Services. Völlig egal ob Android oder iOS, auch wenn es wenn es keine bzw. wenn es einen aktiven Widerspruch dazu gab. Da gibt es einen längeren Artikel bei der futurezone und einen auf netzpolitik.org. Wie gesagt URLs sind dann auch da, kann man sich dann nochmal in Länge durch geben. Wir gehen jetzt kurz über solche Sachen drüber, weil wir dann nachher zu WiFi und Bluetooth nochmal im Detail kommen.
Apple ‚Wichtige Orte‘: Wer hat hier ein iPhone? Ich sehe Hände. Gut. Wer hat ‚Wichtige Orte‘ ausgeschaltet? Ok.

Clemens: Deutlich weniger.

Klaudia: Wir haben 100 Leute gefragt … Um genau zu sein eigentlich primär die Menschen die gerade am Tisch saßen, als wir die Slides gemacht haben. ‚Sag mal hast du eigentlich diese ‚Wichtigen Orte‘ bei dir an?‘ ‚Hm, joa.‘ Antwort war: ‚Ich habe ja kein Problem wenn Apple weiß wo ich mich aufhalte. Aber ich hab jetzt echt ein Problem, dir diesen Screenshots zu geben.‘ Sollte man mal drüber nachdenken. Also das ist ein Screenshot eines befreundeten Hackers … treibt sich halt auch rum.
Kommen wir jetzt mal zu allem anderen was sie sonst so machen. Oh Wunder: Reklame Reklame. Ganz kurz nur drei Zitate. Einmal von der Zeit, der Artikel ist von 2017. Da wurde das schon mal aufgenommen: ‚Mit Ultraschall, Bluetooth und Sensoren‘ – immer mehr Tracking Technologien in diversen Einkaufszentren und so weiter. Es gab das Ganze auch im ZDF das ist ebenfalls September 2017: ‚Ausgesspäht im Supermarkt‘. Das Thema ist offensichtlich ausreichend groß, dass es auch in die Medien so kommt. Und dann hätten wir noch auch Tracking im Supermarkt, der ist jetzt von Februar 2018: ‚Wie Händler ihre Verkäufe durch Kundenortung ankurbeln wollen‘. Das heißt, sie haben ein ziemliches Interesse daran zu sehen, wer steht wie lange vor welchem Regal. Und rechnen dann halt auch zurück: Sind die Leute kaufkräftig oder nicht so? Wollen wir die jetzt vielleicht irgendwie in die Abteilung für die teureren Lebensmittel schicken oder eher in die Diskonter Abteilung? Da ist schon recht viel Wollen dahinter.
Datalogix – Wer hat schon von Datalogix gehört? Ich sehe eine Hand.

Clemens: Wer von euch hat eine Kundenkarte?

Klaudia: Ich habe eine … zwei!

Clemens: Ich sehe tatsächlich sehr wenige Hände.

Klaudia: Okay, gut. Datalogix ist ein Anbieter. Die machen primär – es steht ja da auch schon ganz schön: Datalogic connects offline purchasing data to digital media to improve audience targeting and measure sales impact. Datalogix aggregates and provides insights on over 2 trillion Dollars in consumer spending. Wir haben das jetzt mal kurz übersetzt: zwei Trillionen sind zwei Billionen Dollar sind 2.000 Milliarden Dollar. Und diese Einkäufe in diesem Segment mappen sie jetzt auf einzelne Konsumentenströme. Datalogix ist 2014 von Oracle gekauft worden. Das heißt, wenn man jetzt ein Oracle Tracking in seinem Laden einsetzen möchte, hat man diese Technologie, die Datalogix zur Verfügung stellt, quasi direkt mit dabei. Genau und im selben Artikel – das ist es übrigens eine Presseerklärung auf der Oracle Webseite zum Kauf von Datalogix – es geht um ‚personalization across digital, mobile, offline and TV. With Datalogix Oracle Data Cloud will deliver the richest understanding of consumers across both, digital and traditional channels based on what they do, what they say, and what they buy.‘ Das heißt Sie führen einfach alles zusammen, was sie irgendwie kriegen können. Also nicht nur alles was wir im Netz zu tun, sondern auch alles, was wir sonst zu tun. Und auch interessant, was jetzt allerdings nicht Teil des Talks sein wird, aber nur um es nochmal darauf hinzuweisen: Smart TVs werden natürlich auch getrackt.

Clemens: Und was man öfter sieht ist eben z.B. da: ‚to measure every consumer interaction‘. Also einige Hersteller versprechen tatsächlich wirklich sehr hohe Prozentsätze der Leute zu tracken. Wie gut das funktioniert ist immer fraglich. Aber vom Marketing her meiner Meinung nach kann das auch schon gefährlich sein.

Klaudia: Facebook spielt natürlich auch mit, kennen wir … Das ist ein Artikel von 2016. Wie gesagt nichts Neues. Facebook weiß wo man sich aufhält. 2018 … Das war jetzt gerade Anfang Dezember der Artikel: Es gibt neue Patentanmeldungen von Facebook die halt auf Grund dreier Technologien, die sie jetzt patentiert haben, vorhersagen wollen, wo man sich aufhalten wird. Das heißt, da ist ein Teil mit NFC, einer mit halt auch anderen Leuten mit denen man befreundet ist, oder wo jetzt gerade ein großer Menschenstrom ist. Das wird eben auch alles direkt mit verwertet.
Wer kennt die Seite haystack.mobi? Ich sehe noch keine Hand. Keiner kennt haystack.mobi. Okay. Das ist eine ziemlich coole Website: haystack.mobi/panopticon. Funktioniert leider nicht gut mobil, weil sie sehr viel Ressourcen braucht. Rendert einem aber schön raus, wenn man in dieses Suchfeld eingibt eine Android-App. Ja, man gebe Android App Name in diese Suchfeld ein und bekommt dann angezeigt welche Tracker eingebaut sind. Im Falle von SwiftKey ist eingebaut Crashlytics und Facebook Tracking. Das heißt, wer die Android-App SwiftKey benutzt um schneller zu tippen, sendet halt ständig Daten an Facebook. Pinterest: ebenfalls Facebook, Criticism, Brand, Craslytics, Adjust. Facebook Messenger sends nur zu Facebook. Die teilen nicht gern.

Clemens: Tatsächlich erstaunlich datensparsam. Wonder, why …

Klaudia: Meine Vermutung ist jetzt auch aus Webentwicklungserfahrung: Wenn man jetzt diese Tracker in die Android-Version einbaut, werden sie wahrscheinlich in der iOS-Version nicht fehlen.
Bluetooth …

Clemens: Worüber wir eigentlich reden wollen … Das war mal so eine Introduction, was gibt’s so allgemein als Location Tracking? Vor allem aktives. Daneben hat sich noch ein ganz anderer Markt entwickelt der eigentlich mit – im Endeffekt – euren Kommunikationsdaten arbeitet. Zur Frage ‚Was das eigentlich alles betroffen?‘ Wir haben uns mal aufgeschrieben, was darunter fällt. Die Liste geht vor allem IoT noch ins Unendliche weiter. Da könnte man problemlos Kühlschränke, Kaffeemaschinen, …

Klaudia: Schlüsselbundanhänger … hier diese Suchdinger …

Clemens: Genau. Zahnbürsten etc., weiterführen.

Klaudia: Einhörner! Ist die Barbara da mit ihrem gehackten Einhorn? Ich seh sie gerade nicht. Ok.

Clemens: Und zwar basiert das auf … Wir schauen uns vor einem speziellen WLAN Tracking an, weil ich mich damit beschäftigt hab und WLAN Tracking hat sich eigentlich in den letzten Jahren ziemlich durchgesetzt. Davor gab es ein bisschen Bluetooth Tracking, das halt auf Bluetooth hello-messages im Endeffekt basiert, sehr ähnlich wie sich die Bluetooth Geräte finden. Nachdem immer mehr Smartphones im Endeffekt im Umlauf sind, hat sich WLAN Tracking relativ stark durchgesetzt, weil das im Endeffekt in jedem Accesspoint geht. Nachdem so ca jeder Shop aktuell sowieso gerne ein Kunden WLAN hätte, dann ist das halt Abfallprodukt. Also des Kunden WLAN. Beides zusammen ist wahrscheinlich schon über zehn Jahre alt. Zu Bluetooth Tracking hab ich mir mal – ist mir das erste Mal glaub ich untergekommen bei Festivals. Das ist wahrscheinlich so ca 15 Jahre her, als die ersten Telefone, Feature-Phones mit Bluetooth gab. WLAN Tracking ist sicher auch schon gute zehn Jahre in den Anfängen her.
Wie funktioniert das Ganze? Und zwar nicht exakt im technischen Detail, sondern eigentlich möchten wir mal erklären wie das ein bisschen high-level funktioniert. Wir haben im WLAN-Standard sogenannte Probe-Requests. Das ist ein Management Paket, das jeder Client ausschickt im Endeffekt, um aktives Scanning zu machen. Das ist eine Broadcast Anfrage und heißt im Endeffekt nichts anderes als ‚Bin ich zu Hause?‘. Also ich frage meine Umgebung: ‚Bin ich gerade zu Hause?‘ und wenn mir ein bekanntes Gerät antwortet, dann weiß ich, okay, ich bin offensichtlich zu Hause und kann mich in meinen Accesspoint einloggen. Grund dafür ist, das ist definitiv stromsparender, als wenn ich jetzt eine Sekunde zum Beispiel in jeden WLAN Kanal reinhören muss, um einen Accesspoints Beacon zu empfangen, weil direkt auf Probe-Requests schicken die Accesspoints halt direkt ihre Beacons. Das heißt innerhalb von einer Millisekunde oder zwei Millisekunden weiß ich, okay, in meinem Umkreis ist kein Accesspoint, der für mich interessant ist. Das heißt, ich kann mein WLAN wieder schlafen legen. Gleichzeitig wird es verwendet zwischen Accesspoints im Wechsel. Wenn ich nämlich am Rande einer Zelle bin, dann möchte ich eigentlich als Gerät bzw. als WLAN Chipset schon wissen, mit welchem Accesspoint ich mich demnächst verbinden kann. Roaming funktioniert im WLAN nämlich auf Clientseite und nicht auf Accesspointseite. Es gibt so einen Trick oder ein paar Trick, wie man das ein bisschen auf Accesspointseite steuern kann. Aber eigentlich sagt der Client, welchen Accesspoint er als nächstes gerne hätte. Und der letzte Punkt, weshalb es diese Probe-Requests gibt, ist versteckte SSIDs. Also Accesspoints, die keine Beacons aussenden. Da muss der Client halt aktiv fragen: ‚Ist der Accesspoint gerade da? Bin bin ich zu Haus?‘ Und wenn der Accesspoint sagt: ‚Ja, du bist zu Hause, du darfst dich bei mir einloggen‘, dann kommt eigentlich erst diese Verbindung zustande.
Was in so einem Frame enthalten? Das ist grundsätzlich die MAC-Adresse des anfragenden Clients, Capabilities – also was unterstütze ich? -, eventuell Kanäle – 2,4 oder 5 Gigahertz, unterschiedliche nach Client -, aber auch welche Modulationen – also 80211 n, b, g oder was auch immer der Client unterstützt-, und Vendor-specific Fields. Was oft auch noch drinnen ist, ist ‚gesuchte SSIDs‘. Dann wissen die Accesspoints nämlich, womit sich der Client eigentlich verbinden möchte und brauchen nicht mal antworten wenn ich als Accesspoint diese SSID oder dieses Netz gar nicht ausstrahle. Es ist ganz interessant, die meisten Clients machen das. Es ist halt ein massives Privacy Leak weil die WLAN Geräte einfach permanent ihre mehr oder weniger WLAN-Liste broadcasten.

Klaudia: Und die ist, soweit ich weiß, eigentlich pro Gerät auch unique. Also selbst wenn wir jetzt viel zusammen unterwegs sind, sind es halt doch nicht 24 Stunden, die wir so rumrennen und immer im selben WLAN bei uns einloggen, sondern letztendlich lässt sich dadurch durch eine solche Liste halt wieder auf ein spezielles Gerät und dadurch halt auch auf eine spezielle Person zurückführen.

Clemens: Genau. Vor allem auch im Zusammenhang mit den Vendor-specific Fields. Das heißt ich habe eventuell Felder, die kann ich nicht decodieren, aber ich weiß wenn ein Gerät mit ähnlichen Daten wiederkommt, dann ist die Chance groß, dass es dasselbe ist. Diese Probe-Requests werden je nach Client Implementierung und je nach Power Saving mehrmals die Minute ausgestrahlt, zum Teil sogar mehrmals innerhalb von zehn Sekunden. Und das obwohl der Client nicht verbunden ist mit einem Accesspoint. Das kommt darauf an sehr stark auf die Geräte. Smartphones verhalten sich da anders als Laptops. So ziemlich das Schlimmste was ich gesehen hab war glaube ich in eine Nintendo Switch, die alle zwei, drei Sekunden so gut fünf Pakete rausgeschmissen hat und einfach mal nachgefragt hat, ob irgendwo ein Accesspoint im Umkreis ist.

Klaudia: Wer läuft mit einem Nintendo Switch durch die Gegend? Ich sehe keine Hand. Das ist gut.

Clemens: Gleichzeitig wird das auf mehreren Kanälen oder allen Kanälen gebroadcasted. Natürlich möchte ich die Accesspoints erreichen, zu denen ich mich hin connecten möchte. Das heißt der Client geht üblicherweise in seine Kanalliste durch und fragt bei jedem Kanal an. Das heißt aber gleichzeitig, wenn ich Tracking aufgrund diesen Requests machen möchte, dann brauche ich nicht einmal einen Haufen Accesspoints, sondern dann reicht ein einziger auf einem Kanal weil die Chance sehr groß ist, dass der Client auf dem Kanal einfach mal Probes senden wird. Was noch dazu kommt ist: Management Frames werden immer mit sehr niedriger Bandbreite gesendet, damit sie einfach Kommunikationen sauber und sicher statt – sicher im Sinne von mit hoher Reichweite und wenig Paketverlust stattfinden kann. Das heißt auch, selbst wenn euer WLAN zuhause nur 20 Meter weit geht, weil ihr danach keine Bandbreite mehr habt, Management Frames gehen ein paar hundert Meter. Das heißt das kann selbst wenn man in der Straße eventuell nicht direkt an einem Geschäft vorbeigeht, nur wenn man daran schräg vorbeigeht oder so im Umkreis von ein paar hundert Metern, ist es sehr leicht, da aufgeschnappt zu werden.

Klaudia: Also das auch als Hinweis. Das ist ein Produkt, was man als Shop Anbieter, wenn ich jetzt so eine Filiale von irgendwas habe, kann ich mir jetzt tatsächlich einen Anbieter suchen und sagen: ‚Hey ich würde ganz gerne wissen, wie viele Leute stehen da war jetzt draußen bei mir an diesem Schaufenster und welche von denen kommen hinterher rein ins Geschäft. Das kann man tatsächlich normal buchen. Das ist dann halt meistens so eine WLAN Tracking, dass man sagt: okay anhand von angeschalteten WLAN bei Geräten können wir jetzt halt rausfinden wieviele Leute stehen denn da wie lange vor diesem Geschäft. Wie oft kommen Sie da vorbei? Und welche von denen kommen später rein und vor welchem Regal stehen sie dann? Für wie lange und kaufen sie hinterher dann tatsächlich auch was? Letzteres wird dann halt auf Kundenkarte gemapped oder oder bei Kartenzahlung.

Clemens: Bei niedrigen Kundenzahlen kannst du das auch mit Timestamps machen. Was in den letzten Jahren sich nun durchgesetzt hat, war die Idee: dann machen wir doch MAC-Randomization. Das heißt die MAC-Adresse mit der wir Beacon-Frames ausschicken, wird einfach regelmäßig gewechselt und wir verwenden nicht die MAC-Adresse die unser Gerät eigentlich hat. Das wird seit Android 6.0 unterstützt, Windows 10 und Linux 3.18 hat es grundsätzlich drinnen, bei iOS ist auch schon länger drinnen. Es ist aber relativ klar schon durch einige Studien, dass sich das vergleichsweise easy umgehen lässt. Als einfaches Beispiel: Die meisten Geräte antworten mit ihrer echten MAC-Adresse wenn man auf ihre falsche Mac-Adresse ein Antwortpaket schickt. Das ist dann zwar nicht mehr passiv, aber wenn ich hier schon ein Accesspoint bin, der beliebige Pakete schicken kann, dann kann ich auch einfach auf Clients, die mich interessieren, antworten und sagen: ‚Hey vielleicht möchtest du dich bei mir einloggen.‘ Und das Gerät antwortet dann mit seiner MAC-Adresse, die im Gerät eingebrannt ist.
Das stellt dann eine Frage: Wer trackt mich jetzt eigentlich genau?

Klaudia: Die Antwort ist: Einmal sind es Infrastrukturanbieter, Shoppingmalls, Einzelhandel, Hotellerie, Tourismusgebiete, Werbedienstleister – davon sehr viele -, Verkehrsbetriebe – erschreckend viele -, und Städte und Verwaltungen tatsächlich. Die Frage ist: Wer steckt jetzt dahinter?
Das heißt, es kommt ja jetzt nicht irgendwie eine Stadtverwaltung und sagt: ‚Wir haben jetzt gerade mal so ein paar Millionen über, wir entwickeln sowas selber.‘ Sondern normalerweise wird das halt an $Dienstleister rausgegeben. Und $Dienstleister sind dann so vorhin genannt Oracle, IBM – da gibt es dieses tolle Watson Personality -, Cisco, Facebook, Purple Wifi, Google, Unwired [Networks] und noch so ein paar.

Clemens: Grundsätzlich ist das Problem, viele von den Firmen, die sich von einer Drittfirma eine solche Lösung einkaufen, wissen selber nicht, wie es funktioniert. Sie wissen nicht, dass da tatsächlich Offline Tracking so passiert, sondern Location Based Service. Das ist grundsätzlich etwas, womit die Leute, die das einkaufen, ein Gefühl haben , wie sowas passiert, welche Daten da verarbeitet werden und wie das privatsphäremäßig aussieht. Ein gutes Merkmal wie man sowas auch erkennt ist: alle diese Firmen, die tracken, wir haben nachher auch noch ein paar Beispiele,, schreiben sich sehr stark drauf dass sie DSGVO-kompatibel sind. Und zwar ausschließlich. Je stärker die Firmen das machen, umso stärker werben sie damit. Zum Thema Städte und Verwaltung, die wollen eventuell gar nicht wissen wie es sind Besucherströme oder so. Da geht es zum Teil auch einfach um Stauerkennung, da haben wir nachher noch ein Beispiel. Oft geht es tatsächlich nicht um Tracking, aber die Methode die verkauft wird, ist halt dieselbe.

Klaudia: So, jetzt gucken wir mal, ob das mit diesem Video funktioniert.

Clemens: Sekunde. Ein Kommentar davon. Das ist ein Anfang eines Werbevideos von Cisco. Das fand ich relativ schön als Beispiel, wie sich solche Firmen das eigentlich vorstellen was sie da eigentlich verkaufen.

Klaudia: Nee, das war’s nicht … Sollte das nicht spielen? … Ah.

Clemens: Wir sehen normalerweise: visitors are ghosts. Licht.

Klaudia: Is that good enough? … Billions of digital footprints left by visitors … Dinge mit realtime interaction mit denen …

Clemens: Genau. Visitor experience will never be the same again. Fand ich relativ schön weil es so schön zeigt – vor allem mit diesem ‚is that good enough?‘ – is it good enough, dass wir uns anonym in öffentlichen Räumen bewegen können? Die Frage finde ich von einer Firma, die sowas anbietet und das als Frage stellt, relativ interessant. Vor allem weil es eine sehr große Firma ist, die wirklich einen sehr großen Marktanteil in dem Bereich hat.

Klaudia: Also wenn man sich halt jetzt ein bisschen darauf einlässt und nicht nach Offline Tracking sucht, sondern nach den vorhin genannten Buzzwords, findet man eine ganze Reihe an genau solchen Werbevideos von Anbietern die genau so etwas tun.

Clemens: Und nur als Hinweis: Wir haben uns nicht weil wir Cisco nicht mögen Cisco rausgesucht. Cisco hat tatsächlich dazu relativ schöne bunte Dinge, die man herzeigen kann. Ist natürlich Marketing für die. Andere sind wir ein bisschen heikler mit ihren Daten.

So, Cisco Meraki, das ist die Cloud-Lösung von Cisco, das heißt da gibt’s keinen Controller den ich on site habe, biete das natürlich auch an. Das heißt wenn der Cisco Meraki habt und dieses Feature eingeschaltet habt, dann steht in eurer Datenschutzerklärung hoffentlich auch drinnen, dass ihr die Daten auch an Cisco weitergebt. Natürlich bieten alle Hersteller von Infrastruktur, die so etwas grundsätzlich unterstützen, APIs an, auch um diese Daten abzugreifen. Und zwar mit voller MAC-Adresse und mit voller Empfangsstärke. Das Interessante daran ist, in der Datenschutzerklärung von Cisco steht drinnen dass die MAC-Adressen nur pseudonymisiert speichern und nicht voll und auch Teile der MAC-Adresse entfernen. Über das API bekomme ich die MAC-Adresse trotzdem raus. Als Hinweis: das ist einfach nur ein Screenshot von meraki.cisco.com und zwar Location Analytics API heißt das. Das ist eine öffentliche Website.

Ein anderer Hersteller hat da eine sehr nette Übersicht über Firmen die Daten von Location Tracking verarbeiten. Aruba werden die meisten von euch kennen. Ich glaube, der Großteil des Congress‘ wird mit Aruba Accesspoints abgedeckt. Und Euclid ist mir ein bisschen auf der Webseite ins Auge gestochen, weil da steht nämlich: ‚Dabei werden ausschließlich anonyme, nicht personenbezogene Daten erhoben.‘

Klaudia: Zeig mal diese anonymen, nicht personenbezogenen Daten.

Clemens: Das sieht dann auf der Euclid Seite ca so aus … Wir haben E-Mail-Adresse, Mobile-ID, Name, Alter, likelyhood of visit und offline visit history. Also quasi das Ganze einmal zusammengefasst. Und Euclid ist auch ein relativ großer Anbieter, der auch in seiner Datenschutzerklärung drin stehen hat, dass er natürlich auch Daten von anderen Firmen einkauft und die zusammenführt. Bei Cisco kann man ein Opt-out machen zum WLAN Tracking. Das heißt man gibt auf einer Maske seine WLAN MAC-Adresse ein und muss ein Captcha von Google lösen. Bei Euclid geht das Opt-out natürlich auch. Man muss allerdings zwingend seine E-Mail-Adresse angeben was ich auch unschön finde.

Klaudia: Das Problem ist jetzt erst einmal, um überhaupt bis dahin zu kommen als Kunde. Also woher soll ich wissen, dass ich bei Euklid opt-outen könnte oder sollte, wenn ich einfach nur mal eine Einkaufsstraße lang gegangen bin.

Clemens: Genau, das Problem ist halt, es gibt Hunderte von diesen Firmen die genau diese Dinge machen. Und das ist als Kunde oder auch als Privatperson einfach selbst wenn man nicht in Shops geht es nicht möglich, festzustellen, von wem werde ich getrackt? An welche Firmen wird es weitergegeben? Was passiert damit eigentlich? Und eventuell sogar mit welchen Apps, die auf meinem Handy laufen, werden die Daten abgeglichen? Weil diese Daten kommen natürlich zum Teil auch aus anderen Datenbanken oder von Handy-Apps. Eine Handy-App kann möglicherweise die MAC-Adresse je nach Typ/Gerätetyp auslesen und deshalb weiß ich relativ sicher: Okey die Person hat Facebook installiert mit der Facebook-ID, hat die MAC-Adresse und die war genau zu den Zeiten in welchem Shop.
Dann haben wir noch ein Video von Cisco und zwar …

Klaudia: Tut das?

Clemens: Ja.

Video: Stores, schools, hotels, airports … If you do business …

Clemens: Dies ist über ein Projekt

Video: … you need to make the most of the utility of that space, to increase revenue. And that means understanding, what your customers do, once they have entered your place of business. By better understanding that behavior you can optimize your physical layout and staffing to better serve those customers. Cisco Connected Mobile Experiences can give you this insight by detecting an anonymousely tracking WiFi signal of smartphones and tablets. The solution can capture, aggregate and analyze customer movements and behaviors at your place of business. Let’s take a look at the solution in action. Working with Cisco and Zita Copenhagen Airport has has been using this approach since 2010.

Clemens: Das ist Kopenhagen.

Video: The airport created 3D-maps of its terminals and use the location analytics from Cisco to overlay the movement of passengers through those terminals. The Cisco solution is able to identify the parting passengers and track their routes through the terminal. Those movements can be tracked and aggregated to determine the most commonly used routes by departing passengers and well-time areas. Similarly it can identify arriving passengers and aggregate their movement through the airport to determine their most common routes and well-time areas. Using location analytics from Cisco and Zita Copenhagen Airport can use this historical data to understand passenger patterns. With more than 20 million passengers visiting the airport each year, Copenhagen Airport and Zita can identify trends through peak and low travel seasons. With this information in hand, the airport can improve capacity management by adjusting layouts, changing store and security staffing and identify and mitigating bottlenecks. As a result, the airport is able to serve its customers better and more cost-effectively. Cisco Connected Mobile Experiences is the tool that lets you use your WiFi network to better understand customer behavior – regardless of your business. … with this information you can realize the full potential of your venue and make your customers happier, more loyal and more willing to spend. Cisco Connected Mobile Experiences – imagine what you could do. For more information visit www. …

Clemens: Gut …

Klaudia: Ja, es wird es wird nicht besser, wenn man es länger guckt.

Clemens: Noch ein kurzes … Meine Überlegungen, die ich dabei hatte bei dem Video. Es wird am Anfang erklärt, das sind ja anonyme Daten. Gleichzeitig kommt später, dass es historische Daten gibt und dass sie Personen genau tracken können. Die zwei Dinge passen halt nicht zusammen. Viele von diesen Herstellern werben damit, dass es anonyme Daten sind …

Klaudia: Bis man halt im Zweifelsfall etwas dazu kauft und das Ganze auf Kartenzahlungen mappt.

Clemens: Im besten Fall sind es pseudonyme Daten. Weil selbst wenn ich nur einen Teil der MAC-Adresse spreche ein speichere, es irgendwie hashe oder so, die Chance ist groß, dass ich es wieder zurückführen kann. Es gibt ein Paper zum Problemen mit MAC-Adressen Hashing. Das ist auch ganz interessant wenn man sich das durchlesen möchte. Falls man so einen Fall tatsächlich hat, wo man sowas implementieren muss. TL;DR des Papers ist: Es gibt nur sehr, sehr wenige Wege das tatsächlich gut zu machen und die meisten machen es falsch.

Klaudia: Wer hat schon von Bonns Bluetooth Tracking gehört? Ah, ein paar Hände.

Clemens: Das ist ein Screenshot der Website, das heißt, die Stadt wirbt aktiv damit.

Klaudia: Mittels Bluetooth Technologie gibt es in Freisprecheinrichtungen, Autoradios, Navi Systeme, Laptops, Notebooks, Tablet-PCs, iPods, Smartphones und so weiter. Diese beliebten Bluetooth Kopfhörer würde ich da jetzt vielleicht noch mal mit dazutun. Wer hatte das Autoradio auf dem Schirm? … Ah, ein paar Hände. Okay, gebe ich zu, hatte ich vorher nicht. Das war so: Ah, stimmt, noch was. Das heißt in der Stadt Bonn wird man … Die machen halt Staumessung oder Verkehrsflussmessung anhand von Bluetooth Geräten. Die Website ist jetzt schon ein paar Jahre alt.

Clemens: Ich glaub, die ist aus 2012 oder 13.

Klaudia: Als das in Betrieb gegangen ist, waren es 18 Prozent der Verkehrsteilnehmer, die dadurch identifiziert wurden bzw. die halt dank Bluetooth erfasst werden konnten. Das wird wahrscheinlich mittlerweile gestiegen sein.

Clemens: Was man hier noch nicht so gut sieht ist, dass da steht: ‚… geschieht dies an mindestens zwei Messstellen, ist bekannt, wie lange das Gerät und damit das Fahrzeug benötigt hat, um die Strecke zwischen den Messpunkten zurückzulegen. Das heißt insofern, dass zwischen den Messpunkten gespeichert wird und mindestens abgeglichen wird. Das ist nicht nur eine reine Statistik wie viele Geräte sehe ich in der letzten Minute zum Beispiel an meinem Standort, was eine Metrik ist, ein einziger Wert, der komplett anonym ist, sondern dass ist ein Abgleich über mehrere Locations.

Klaudia: Die Kurzfassung ist, was wir schon gesagt haben. Wir können alle nicht wissen, wer uns trackt und welches Ausmaß das Ganze hat. Weil wir einfach … Es ist halt eine verbindungslose Technologie – zumindest kabellos. Es gibt eine unbestimmte Anzahl gesichtsloser Anbieter, die von irgendwelchen Firmen eingekauft werden und die Shopbetreiber selber wissen meistens nicht was sie da eigentlich eingekauft haben. Das heißt für uns ist halt das Problem was vorhin schon sagte: Wir können nicht wissen wem wir eine Anfrage schicken müssen, um unsere Daten überhaupt jemals löschen zu lassen.
Auf die Idee sind übrigens mittlerweile sogar die Amerikaner gekommen. Das ist eine Stellungnahme der Big Data and Privacy Working Group noch unter Obama. Die ist von der jetzigen White House Seite schon verschwunden. Man findet sie aber noch im Archiv. Das heißt da kommen sie dann drauf zu hinterfragen, ob das … ‚grant permission for services to collect and use information about them.‘ Das heißt, dieses einem Service hat tatsächlich die Erlaubnis Geben, ob dieses Modell überhaupt noch relevant ist, ob das überhaupt noch angewendet werden kann. Das ist von 2014.

Clemens: Es gibt übrigens nicht nur Firmen in Amerika, die sowas anbieten auch als größeres Businessmodell im Endeffekt, sondern auch relativ viele in Europa.

Klaudia: Genau da haben wir nämlich auch noch zwei. Die hattest du rausgesucht …

Clemens: Genau. Es gab in der EU bereits zwei Fälle die wir als Beispiel hergenommen haben wo sowas von Behörden verboten oder eingedämmt wurde. Und zwar 2015 in Frankreich. Da gibt’s eine relativ große Firma, die so Billboards herstellt und die wollten einen Accesspoint an ihre Straßenschilder montieren also quasi Straßenwerbung montieren, damit sie wissen im Umkreis von 20 Meter wer ist da vorbeigegangen und hat möglicherweise dieses Schild gesehen und ist später dann in der Einkaufsstraße tatsächlich in den dazugehörigen Shop gegangen. Das ist eine Art Erfolgsmessung, was in Werbung hin und wieder angeboten wird. Wurde damals in Frankreich also von der französischen Datenschutzbehörde gekippt und zwar obwohl sie Teile der MAC-Adresse – und zwar, wenn ich mich richtig erinnere, die ersten drei Bytes, also im Endeffekt der Hersteller, und die letzten drei Bytes sind übrig geblieben – obwohl sie nur das verwendet haben, hat die Datenschutzbehörde trotzdem gesagt, das ist noch immer ein zu großer Wiedererkennungsbereich, das ist so legal nicht machbar. Das Projekt wurde dann gekippt.

In Schweden gibt’s eine Firma die so Visitor Flow auch anbietet. Die hatte auch 2015 das Problem, dass die Datenschutzbehörde darauf aufmerksam wurde und die dürfen Probes zwar noch verarbeiten aber nur mehr rein statistisch. Das heißt sie dürfen keine MAC-Adresse speichern und nur mehr eigentlich die Statistik, wie viele Daumen mal Pi Geräte sind an meinem Gerät gerade oder meinem Accesspoint gerade vorbeigegangen. Das war noch vor der DSGVO Rechtsprechung.

Klaudia: Genau, DSGVO. Nach welchen Paragraphen könnte das noch gehen. Artikel 6.1.f, berechtigtes Interesse. Das ist eh das, wo sich jetzt alle Advertising Anbieter quasi darauf rausreden, sie haben ja ein berechtigtes Interesse des verantwortlichen oder eines Dritten. Die Sache ist, da kommt jetzt eigentlich der zweite Teil ins Spiel: ‚wenn diese zur wahrenden berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann wenn es sich bei der betroffenen Person um ein Kind handelt.‘ Wer hat schon Kinder mit Smartphones oder Bluetooth Kopfhörern oder sonstigen Bluetooth Geräten in Einkaufsstraßen gesehen?

Clemens: Also eh praktisch niemand.

Klaudia: Also eigentlich … Eigentlich wäre dem so. Erwägungsgrund 47: ‚Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.‘

Clemens: Die Frage ist aber auch: gilt das als Direktwerbung?

Klaudia: Das ist die große Frage. Es gibt von hier … Warte mal … Wir gehen da jetzt mal schnell drüber, weil sonst kehren sie uns gleich von der Bühne. Die ePrivacy…

Clemens: Das geht schon. Grundsätzlich ist die Artikel 29 Working Group, die mittlerweile in den … Wie heißt die Organisation also die Artikel 29 Working Group hat einige von den …

Klaudia: Europäischer Datenschutz Ausschuss

Clemens: Genau, die Artikel 29 Working Group ist jetzt im Europäischen Datenschutz Ausschuss aufgegangen. Die haben einige Dokumente zum Thema Datenschutz und wie der DSGVO auszulegen ist geschrieben und auch sehr viel zur ePrivacy Regulation. Und haben unter anderem geschrieben, wie denn genau das in der DSGVO auszulegen ist. Und als Beispiel schreiben sie rein, dass das sein dürfte in gewissen Rahmen, z.B. rein statistisches counting, limited in time and space und nur für den purpose und deleted an anonymised ID immediately afterwards. Und: effective opt-out possibilities.

Klaudia: Uns werden da gerade die ‚0 Minuten‘ gezeigt. Sollen wir hier mal flink sein? Also es gibt da noch ein bisschen mehr dazu. In der Realität sieht das leider halt alles noch ganz traurig aus.

Clemens: Das ist auch ein Screenshot von Euclid, da steht ‚a few days later‘ … also quasi wenn ihr ein paar Tage später in irgendeinem anderen Shop, der auch als Drittanbieter oder als als Sub-Sub-Subunternehmer diese Firma verwendet, dann wissen die natürlich, von welchem Shop zu welchem Shop ihr wann geht.
Es gibt dann noch ein paar anwendbare Gesetze abseits der DSGVO, weil nicht nur die DSGVO beschäftigt sich mit Privacy. In Deutschland gibt’s das Telekommunikationsgesetz und das hat das Abhörverbot und die Geheimhaltungspflicht der Betreiber von Empfangsanlagen drinnen. Das regelt eigentlich, dass wenn ich Dinge empfange, die nicht für mich bestimmt sind, dann darf ich sie auch nicht weitergeben und darf eigentlich auch nicht die Tatsache aufschreiben, dass ich so etwas empfangen habe. Das ist nicht ganz so genau geregelt. Das österreichische Telekommunikationsgesetz geht ein bisschen weiter. Es geht nämlich im Speziellen auch auf Funküberwachung, also Funkkommunikation ein und sagt, dem Kommunikationsgeheimnis unterliegen Inhaltesdaten, Verkehrsdaten, Standortdaten und auch Daten aufgrund erfolgloser Verbindungsversuche. Und ein Probe-Request zählt eigentlich als erfolgloser Verbindungsversuch, weil ich versuche, mich mit meinem Heim-Accesspoint zu verbinden. Das Weitere ist, ebenfalls die Weitergabe von Standortdaten ist unzulässig und den genauen Funkanlagen die Dinger empfangen, für die sie nicht … also unabsichtlich oder für die die Information nicht bestimmt war, dürfen diese Daten auch nicht übermittelt werden und auch nicht festgeschrieben werden, dass man sowas überhaupt empfangen hat. Also theoretisch mit exakter Auslegung des Gesetzes dürfte ich nicht mal mitschreiben, wie viele Geräte oder wie viele Probe-Requests statistisch ich gerade empfangen habe. Selbst wenn ich davon nichts mitschreibe, also keine Daten mitschreibe

Klaudia: Und dann … Eigentlich ist das Ganze nämlich noch viel schlimmer. Es gibt nämlich auch noch diese sogenannten Data Broker, die machen nichts anderes als mit Daten zu handeln, diese irgendwo einzukaufen, zusammenzuführen, wieder zu verkaufen. Das heißt Selbst wenn wir jetzt wissen dass man bei Euclid ein Opt-out machen könnte und sich seine Daten dort löschen lassen könnte, ist völlig unklar, ob die nicht unsere Daten, unsere Bewegungsprofile schon an irgendwen anderen weiterverscherbelt haben. Das heißt Data Broker gibts eine ungenannte Anzahl. Ich glaube, das Letzte was ich grob gehört habe war über 6.000. Unsicher, wie da wieder die Geschäftsmodelle dahinter sind und wer mittlerweile alles Zugriff auf die so gesammelten Daten hat.
Ja, Frage: Kann man sich überhaupt selber schützen?

Clemens: Es gibt ein paar Möglichkeiten, um sicher zu gehen. Bluetooth aus, WLAN aus, Kartenzahlungen und Kreditkartenzahlungen vermelden.

Klaudia: Kundenkarten auch am besten.

Clemens: Genau, und Kundenkarten. Und WLAN und Bluetooth am besten immer auslassen auch zu Hause, weil ihr wisst nicht, in welchem Umkreis von paar hundert Meter eventuell Shops könnt ihr das noch verwenden.

Klaudia: Für Android gibt’s da eine App, die das für einen macht, zumindest für Wifi.

Clemens: Die ist aus dem F-Droid Store. Die macht einen Trick, die deaktiviert im Android nämlich alle WLAN … alle gespeicherten WLAN Profile, die gerade nicht passiv in Reichweite erkannt wurden. Das heißt, das funktioniert tatsächlich relativ gut auch mit Testen. Ich hab von meinem Handy da tatsächlich nur Probes gesehen, wenn ich tatsächlich in einem WLAN mit eingebucht hab. Hat noch ein paar andere Tricks, nämlich das erkennt welcher MAC-Adressen der Accesspoint das Gerät schon empfangen hat und wenn die SSID jetzt irgendwo auftaucht, wo sie nicht sein sollte, fragt mich das Gerät: ‚Bist du dir sicher, dass du eigentlich gerade zu Hause bist oder dass dieses WLAN gerade Empfang empfangen werden sollte?‘.

Klaudia: Und bevor sie uns jetzt hier von der Bühne scheuchen, sagen wir erst mal ganz herzlichen Dank für eure Aufmerksamkeit! Immer das WLAN ausdrehen, und Bluetooth. Keine Bluetooth Kopfhörer!

Moderator: Herzlichen Dank, Klaudia und Clemens. Leider sind wir echt ordentlich über der Zeit. Deswegen ist leider keine Zeit mehr für Fragen und Antworten.

Klaudia: Aber wir sind eh noch da.

Moderator: Die beiden sind tatsächlich noch zwei Tage da. Wollt ihr vielleicht einfach hier vorne noch ein paar Minuten stehenbleiben? Dann können Menschen, die nochmal dringende Fragen haben, sich vielleicht mit den beiden kurz kurzschließen? Nochmal bei einem Getränk treffen oder sowas.

Clemens: Ich hätte eine ganz kurze Bitte ins Publikum.

Moderator: Na dann, aber hopp!

Clemens: Wenn ihr öffentliches WLAN benutzt, falls er das tut, dann stellt doch hin und wieder den Firmen, die das zur Verfügung stellen, eine Datenschutz … also eine Daten Auskunftanfrage. Die sind das nämlich überhaupt nicht gewohnt.

Klaudia: Das kann helfen.

Clemens: Ihr habt das Recht, solche Daten zu bekommen, auch WLAN Probes, weil das zählt unter die Information Standortdaten und wahrscheinlich bei öffentlichem WLAN ist gerade dort eine Datenschutzerklärung, wenn es überhaupt festgeschrieben ist, dort drin festgeschrieben, dass WLAN Tracking gemacht wird.

Klaudia: Dankeschön.

Moderator: Sehr schön. Danke nochmal an Klaudia und Clemens.

Unterstützt den Datenschutz Podcast

Unterstützen

Wenn Du mich und den Datenschutz Podcast unterstützen möchtest, findest Du alle Möglichkeiten auf der Supportseite. 🙂