Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat auf seiner Webseite eine Einschätzung zum Betrieb von Personentrackingsystemen veröffentlicht, die, wenn auch das Datenschutzrecht in der Schweiz keine direkte Umsetzung der europäischen Datenschutzrichtlinie darstellt, für die Anwendung des europäischen und deutschen Datenschutzrechts in solchen Szenarien interessant ist. Denn viele Vorgaben des schweizerischen Datenschutzrechts sind mit jenen des europäischen und deutschen Datenschutzrechts vergleichbar.
In seiner Analyse stellt der EDÖB zwei Varianten des Personentrackings dar und verweist darauf, dass die Variante, in der man an einem bestimmten Ort (z.B. am Eingang eines Einkaufszentrums oder auf der Autobahneinfahrt) bestimmte Merkmale der passierenden Objekte so erfasst, dass man sie an nachfolgenden Kontrollpunkten wiedererkennen und deren Bewegungen nachvollziehen kann, in der Praxis immer häufiger zum Einsatz komme.
Mit Blick auf die wichtige Frage, ob überhaupt personenbezogene Daten verarbeitet werden und dann die Regelungen des Datenschutzrechts eingreifen, geht der EDÖB davon aus, dass einige Systeme direkt personenbezogene Merkmale wie biometrische Gesichtsdaten oder Autokennzeichen erfassen, um Personen und Fahrzeuge beim Passieren der Kontrollpunkte wiederzuerkennen. Andere Systeme erfassen Daten der von den passierenden Personen getragenen Mobilfunkgeräte (IMSI- und TMSI-Nummern oder Mac-Adresse) und zeichnen so den Weg des Trägers auf. Hier ist der EDÖB der Auffassung, dass diese Daten zwar für sich nicht unbedingt einen Personenbezug aufweisen.
Jedoch kann sich der Personenbezug gerade aus den erstellten Bewegungsprofilen ergeben. Ein Beispiel: So unterscheiden sich beispielsweise die Bewegungsprofile des Verkaufspersonals in einem Ladengeschäft von denjenigen der Kunden. Bei kleineren Läden lässt sich so rasch ein Bewegungsprofil einem bestimmten Mitarbeiter zuordnen. Der EDÖB ist daher der Ansicht, dass auch bei diesen Systemen von der Verarbeitung personenbezogener Daten auszugehen ist.
Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Nach Ansicht des EDÖB kommen vorliegend ein überwiegendes privates oder öffentliches Interesse der datenverarbeitenden Stelle oder die Einwilligung der Betroffenen in Betracht. Auch im europäischen und deutschen Datenschutzrecht kennen wir diese Erlaubnistatbestände.
Mit Blick auf die Einwilligung der Betroffenen verweist der EDÖB richtigerweise auf praktische Schwierigkeiten, um die Voraussetzungen einer wirksamen Einwilligung zu erfüllen. So müssen die betroffenen Personen, bevor sie einwilligen, angemessen über die fragliche Datenerhebung und -bearbeitung informiert werden. An Orten mit großem Publikumsverkehr, wo Menschen ständig in Bewegung sind, kann dies schwierig sein.
Als Erlaubnistatbestand kommt dann die Interessenabwägung in Frage, bei der die berechtigten Interessen der datenverarbeitenden Stelle oder Dritter mit jenen der Betroffenen abgewogen werden müssen. Nach Auffassung des EDÖB kann in den Fällen, in denen ein Personentrackingsystem z.B. zur Analyse von Personenströmen zur Verbesserung der Sicherheit in Flughäfen oder Bahnhöfen eingesetzt wird, von einem überwiegenden öffentlichen Interessen ausgegangen werden, sofern dabei nicht das Verhalten bestimmter Personen analysiert wird. Dasselbe gilt für die Analyse von Verkehrsströmen auf Autobahnen zur Vermeidung von Staus.
Komplizierter wird es jedoch, wenn das Tracking personenbezogen zum Zwecke der Werbung erfolgen soll. Zwar sieht es der EDÖB auch noch als zulässig an, wenn mit dem System Kundenfrequenzen gemessen oder das durchschnittliche Verhalten von Kundenkategorien analysiert werden soll. Kein Rechtfertigungsgrund bestehe jedoch in der Regel für Auswertungen des persönlichen Verhaltens bestimmter Personen, um diesen z.B. massgeschneiderte Werbung zuzustellen.
Daneben sind weitere Vorgaben des Datenschutzrechts, wie die Pflicht, personenbezogene Daten zu löschen, wenn deren Verarbeitung für den festgelegten Zweck nicht mehr erforderlich ist, oder auch die generelle Informationspflicht zu beachten.