Rechtliche Rahmenbedingungen lbs, Kathrin Schürmann, RA4. Location aus datenschutzrechtlicher
Sicht!
• LocaVon)=)personenbezogenes)Datum?)
• Bundesdatenschutzgesetz:)
))
„Personenbezogene)Daten)sind)Einzelangaben)über)
persönliche)oder)sachliche)Verhältnisse)einer)
besVmmten)oder)bes$mmbaren)natürlichen)Person“.)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
4!
5. Was sind personenbezogene Daten?!
AndroidcNutzer)
32)Jahre)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
5!
RechtsanwälVn)
AmazoncKunde)
BILDcLeser)
LocaVon?)
6. Location als personenbezogenes Datum!
• „Wer)ist)wann)wo?“)
• teilweise)sehr)sensible)Daten)betroffen)
– Kirchgang)(Religionszugehörigkeit))
– Arztbesuch)(Gesundheitszustand))
• besonders)gut)geeignet)für)Profilbildung1
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
6!
10. Wann ist die Nutzung von
personenbezogenen Daten erlaubt?!
Verbot1mit1Erlaubnisvorbehalt:1
• RegelcAusnahmecPrinzip)
• Umgang)mit)personenbezogenen)Daten)ist)immer)
verboten(Regel),)es)sei)denn,)es)gibt)eine)
gesetzliche1Erlaubnis1oder)der)Betroffene)hat)
eingewilligt1(Ausnahme))
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
10!
11. Wann ist die Nutzung von
personenbezogenen Daten erlaubt?!
)
)
)
)
Einwilligung ) ) ) ) ) ) )Gesetzliche)Erlaubnis)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
11!
12. Wann ist die Nutzung von"
Standortdaten erlaubt?!
Daher)in)der)Regel)nur)mit)Einwilligung)des)Users:)
• informiert)
• ausdrücklich)(z.B.)durch)Checkbox))
• freiwillig)
12
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
12)
13. IBM Institute for Business Value"
Global Consumer Study (01/2014)!
• schon)jetzt)sind)36)%)der)Verbraucher)bereit,)ihre)
LocaVon)via)GPS)zu)teilen)
• ...)allerdings)nur,)wenn)sie)sich)hiervon)einen)
konkreten)Nutzen)versprechen)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
13!
15. Prüfung des BayLDA 05/2013!
• nur)61)%)der)Topc150)Apps)haben)eine)
Datenschutzerklärung)
• nur)25)%)der)geprüTen)Apps)haben)eine)
appspezifische)Datenschutzerklärung)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
15!
16. Datenschutzrecht und native Apps!
Warum)braucht)meine)App)eine)eigene)
Datenschutzerklärung?)
)
§ 13 Telemediengesetz:
Der Diensteanbieter hat den Nutzer zu Beginn
des Nutzungsvorgangs über Art, Umfang und
Zwecke der Erhebung und Verwendung
personenbezogener Daten […] in allgemein
verständlicher Form zu unterrichten […].
)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
16!
17. Mindestangaben in der
Datenschutzerklärung!
• IdenVtät)und)KontakVnformaVon)der)
verantwortlichen)Stelle)
• DatencKategorien,)die)die)App)erhebt)und)
verarbeitet)(z.B.)Standortdaten))
ENZ!1
• der)Zweck)der)Datenverarbeitung)
SPAR
TRAN
• die)Datenübertragung)an)Drime)
• Nutzerrechte,)insbesondere)Widerruf)von)
Einwilligungen)sowie)AuskunTsc,)Sperrungsc)
und)Löschungsrechte)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
17!
18. Wie Datenschutzerklärung beim AppVertrieb einbinden?!
Verlinkung)zur)Datenschutzerklärung)des)Anbieters)im)App)Store)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
18!
20. Kann auf diese Weise eine
rechtswirksame Einwilligung eingeholt
werden?!
• Ganz)klar:)Nein!)
– es)kann)nicht)sichergestellt)werden,)dass)der)User)die)
Datenschutzerklärung)tatsächlich)gelesen)und)darauvin)
informiert)eingewilligt)hat)
– akVve)ausdrückliche)Einwilligung)erforderlich)(Checkbox))
– Beweislast)für)wirksame)Einwilligung)liegt)beim)Anbieter)
)
Fazit:)Derzeit)bieten)die)AppcStores)keine)Möglichkeit)
an,)um)rechtswirksame)Einwilligungen)einzuholen!)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
20!
21. Workarounds zur Einholung von
datenschutzrechtlichen Einwilligungen!
• von)den)AppcStorecBetreibern)wird)derzeit)keine)Möglichkeit)zur)
Einholung)von)wirksamen)Einwilligungen)angeboten)
• AppcAnbieter)als)Verantwortlicher)muss)sich)also)eine)eigene)
Lösung)ausdenken)
• Mögliche)eigene)Lösungen:)
– bei)kostenlosen)Apps:)Bei)Aufruf)der)App)den)User)zwingen,)einen)
eigenen)Benutzeraccount)anzulegen)(wie)bei)eBayc)oder)AmazoncApp))
und)in)diesem)Rahmen)die)erforderlichen)Einwilligungen)einholen)
• Nachteil:)macht)App)unamrakVv)und)erhöht)die)„Löschquote“,)da)User)oT)
keinen)ExtracAccount)anlegen)möchten)
– bei)kostenpflichVgen)Apps:)BenutzeraccountcLösung)problemaVsch,)da)
es)dann)an)der)Freiwilligkeit)der)Einwilligung)(„ohne)Zwang“))fehlen)
dürTe)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
21!
24. Weitere mögliche Lösungen zur
Einwilligungseinholung!
• Bei)erstem)Start)der)App)die)Benutzung)der)App)von)
ZusVmmung)zur)Datenschutzerklärung)abhängig)
machen)
– dürTe)bei)kostenlosen)Apps)OK)sein)
– bei)kostenpflichVgen)Apps:)fehlende)Freiwilligkeit)der)
Einwilligung?)
– Außerdem)bei)iOScApps)zu)beachten:)Deutsche)
Niederlassung)von)Apple)prüT)überflugarVg)die)
Vereinbarkeit)von)Datenschutzerklärungen)und)
Nutzungsbedingungen)von)Apps)auf)ÜbereinsVmmung)mit)
den)AppcStorecRichtlinien)(Ablehnungsrisiko))
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
24!
25. Datenschutz bei Apps:"
Wer ist verantwortlich?!
• AppcAnbieter)ist)„verantwortliche)Stelle“)i.S.d.)
BDSG)
– AppcAnbieter)entscheidet,)welche)Daten)erhoben)
werden)
– AppcAnbieter)entscheidet,)wie)die)Daten)verarbeitet)
werden)
• AppcStores)haTen)i.d.R.)nicht,)da)sie)nicht)
„verantwortliche)Stelle“)sind)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
25!
26. Aufsichtsbehörden: Mindeststandards
für den Umgang mit Standortdaten!
• Lokalisierung)standardmäßig)(„by)default“))abgeschaltet)
• jede)Übertragung)oder)Nutzung)von)Standortdaten)wird)
angezeigt,)z.)B.)durch)ein)entsprechendes)Icon)
• grds.)akVve)Einwilligung)des)Users)erforderlich)
– OptcoutcMöglichkeit)genügt)nicht,)freiwilliges)informiertes)Optcin)
erforderlich)
– hierzu)muss)dem)User)der)genaue1Zweck1seiner1Einwilligung1mitgeteilt)
werden)
• Einwilligung)muss)gesondert)eingeholt)werden;)insb.)keine)
„Vermischung“)mit)Allgemeinen)GeschäTsbedingungen)
• Möglichkeit,)erteilte)Einwilligung)„sehr)einfach“)zu)widerrufen)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
26!
27. Best-Practice-Empfehlung der Art.-29Datenschutzgruppe zum Umgang mit
Standortdaten!
„Eine) Anwendung,) die) Standortdaten) verwenden) möchte,) informiert)
den)Nutzer)deutlich)über1die1Zwecke,)für)die)die)Daten)genutzt)werden)
sollen) und) erfragt) die) ausdrückliche) Einwilligung) für) jeden) möglichen)
Zweck.) Der1 Nutzer1 wählt1 ak$v1 das) Maß) der) Granularität) der)
Geolokalisierung) (bspw.) auf) Länderebene,) Städteebene,) Postleitzahlenc
ebene)oder)so)genau)wie)möglich).))
Sobald) der) Dienst) zur) StandortbesVmmung) akVviert) ist,) ist) ständig) ein)
Icon) auf) jedem) Bildschirm) sichtbar,) der) anzeigt,) dass) die) Dienste) zur)
StandortbesVmmung)akVviert)sind.)Der1Nutzer1kann1seine1Einwilligung1
jederzeit1 zurückziehen,1 ohne1 hierfür1 die1 Anwendung1 verlassen1 zu1
müssen.) Der) Nutzer) hat) auch) die) Möglichkeit,) alle) auf) dem) Endgerät)
gespeicherten) Standortdaten) einfach) und) dauerhaT) zu) löschen.“)
)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
27!
28. Ist die Empfehlung der Art.-29-Gruppe
praktisch umsetzbar?!
)
)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
28!
29. Was bedeutet das für die Praxis?!
• gesetzliche)Anforderungen)und)Empfehlungen)der)Art.c29cGruppe)
sind)in)der)Praxis)kaum)umsetzbar)
• Aufsichtsbehörden)gehen)bislang)nicht)akVv)gegen)LocaVoncbasedc
AdverVsing)vor)
• früher)oder)später)werden)sich)die)Aufsichtsbehörden)des)Themas)
jedoch)verstärkt)annehmen;)unklar)ist,)ob)sie)tatsächlich)auf)die)
Erfüllung)aller)gesetzlichen)Anforderungen)bestehen)werden)
• Rechtsunsicherheit)ist)unvermeidlich)
• einzige)„Lösung“)des)Problems:)das)Beste)daraus)machen)
– auf)größtmögliche)Transparenz)Wert)legen)
– „guten)Willen“)demonstrieren)
– kreaVve)Lösungen)suchen,)um)technische)Einschränkungen)durch)iOS,)Android)
&)Co.)zu)umgehen)
SCHÜRMANN)•)WOLSCHENDORF)•)DREYER)
ALL)RIGHTS)RESERVED)
29!