Datenschutzgesetze in den USA auf dem Vormarsch: Illinois erlässt Geolocation Privacy Protection Act

Co-Autorin des Beitrages ist Celin Fischer, Wissenschaftliche Mitarbeiterin bei Spirit Legal

Inhaltsverzeichnis

Am 27. Juni 2017 verabschiedete die General Assembly von Illinois einen Gesetzesentwurf, der die Erhebung und die Nutzung von Geolokalisierungsinformationen, die über Smartphones eingeholt werden, beschränkt. Es überrascht nicht, dass ausgerechnet der US-Staat Illinois ein solches Gesetz beschließt, denn Illinois – mit seiner Hauptstadt Springfield und der Metropole Chicago – ist dafür bekannt, eine sehr strikte Datenschutzgesetzgebung zu fördern. Das Gesetz liegt nun zur Unterschrift beim Governor Bruce Rauners.

Schutz von Geolokalisierungsdaten mit dem Geolocation Privacy Protection Act

Der Geolocation Privacy Protection Act (HB-3449) sieht vor, dass Unternehmen ohne die ausdrückliche Einwilligung des Betroffenen keine Geolokalisierungsinformationen einer location-based application auf Endgeräten sammeln, nutzen, speichern oder verwenden dürfen. Das Gesetz ist zwar frisch, allerdings fällt das Konzept der ausdrücklichen Einwilligung („opt-in“) eher in die Kategorie „bekannt und bewährt“.

Seit Jahren vertritt die Federal Trade Commission (FTC) die Auffassung die Auffassung, dass Standortdaten sensible Daten darstellen, deren Nutzung eine ausdrückliche Einwilligung voraussetzt. Informationen aus location based services können Rückschlüsse auf weitere sensible Daten, wie zum Beispiel auf Gesundheitsdaten oder Hinweise auf religiöse Betätigung, liefern:

“Geolocation information can divulge intimately personal details about an individual. Did you visit an AIDS clinic last Tuesday? What place of worship do you attend? Were you at a psychiatrist's office last week? Did you meet with a prospective business customer?”

Jessica Rich, Director of the FTC Bureau of Consumer Protection, 2014

Die großen App-Plattformen haben daher schon seit Langem Einverständniserklärungen für die Erfassung von Geodaten abgefragt. Das Gesetz ändert also nichts, was sich nicht schon seit Jahren als sehr hilfreich in der Praxis erwiesen hat.

Das Gesetz definiert Lokalisierungsinformationen als Informationen, die von einer Operation des mobilen Geräts erzeugt oder abgeleitet werden, und die ausreichend sind, um die genaue Lage des Geräts bestimmen zu können – und ist damit vergleichsweise technikneutral ausgestaltet. IP-Adressen als solche sind jedoch ausdrücklich von der Definition ausgeschlossen:

"Geolocation information" means information that: (i) is not the contents of a communication; (ii) is generated by or derived from, in whole or in part, the operation of a mobile device, including, but not limited to, a smart phone, tablet, or laptop computer; and (iii) is sufficient to determine or infer the precise location of that device. Geolocation information" does not include Internet protocol addresses.” (HB-3449, Section 5)”

Private Unternehmen müssen Betroffene ausdrücklich und unmissverständlich benachrichtigen, wenn Standortdaten beziehungsweise Geodaten zu bestimmten Zwecken gesammelt, genutzt oder sogar weitergegeben werden. Des Weiteren muss dem Nutzer der Zweck für die Verwendung seiner Lokalisierungsinformationen mitgeteilt werden und es muss ein Hyperlink oder ein vergleichbares Medium zur Verfügung gestellt werden, worüber der Betroffene diese Informationen einsehen kann.

Darüber hinaus muss das Unternehmen eine „ausdrücklich bejahende Einwilligung“ („affirmative express consent“) vom Nutzer für die in den Datenschutzinformationen beschriebenen Tätigkeiten einholen.

Für bestimmte Apps, bei denen zum Beispiel Nachrichten auf den jeweiligen Standort zugeschnitten werden, geben viele User sogar freiwillig ihren Standort preis. Allerdings wollen sie dann vielleicht dennoch wissen, wenn diese Informationen an Dritte verkauft werden. Mit dem uneingeschränkten Gebrauch von Standortdaten können reale Gefahren verbunden sein, von Stalking über unerwünschtes Scoring bis hin zu diskriminierenden geschäftlichen Handlungen.

Section 10 (a): „A private entity may not collect, use, store, or disclose geolocation information from a location-based application on a person's device unless the private entity first receives the person's affirmative express consent after providing clear, prominent, and accurate notice that: (1) informs the person that his or her geolocation information will be collected, used, or disclosed; (2) informs the person in writing of the specific purposes for which his or her geolocation information will be collected, used, or disclosed; and (3) provides the person a hyperlink or comparably easily accessible means to access the information specified in this subsection.“

Doch es gibt eine begrenzte Anzahl von Verwendungen, die von der Bekanntmachung und der Einwilligungserfordernis ausgeschlossen sind, nämlich

  • wenn zum Beispiel Eltern die Informationen benötigen, um ein minderjähriges Kind zu finden;
  • um einem gerichtlich bestellten Vormund, die Möglichkeit zu geben, eine Person mit Behinderung zu finden;
  • für die Bereitstellung von Feuerwehr, Polizei und anderen Notdiensten sowie
  • für den begrenzten Zweck der Bereitstellung von Speicher-, Sicherheits- und Authentifizierungsdiensten.

Section 10 (b): „A private entity may collect, use, store, or disclose geolocation information from a location-based application on a person's device without receiving affirmative express consent if the collection, storage, or disclosure is: (1) to allow a parent or legal guardian to locate an unemancipated minor child; (2) to allow a court-appointed guardian to locate a legally incapacitated person; (3) for the provision of fire, medical, public safety, or other emergency services; or (4) for the limited purpose of providing storage, security, or authentication services.“

 

Das droht bei Verstößen gegen den Geolocation Privacy Protection Act

Bei einem Verstoß drohen Sanktionen von mindestens USD 1000,00 zuzüglich der Anwalts- und Gerichtskosten. Verstöße gegen das neue Gesetz würden zudem eine Verletzung des Illinois Consumer Fraud and Deceptive Businesses Act darstellen.

Section 15 (a): „A violation of this Act constitutes a violation of the Consumer Fraud and Deceptive Business Practices Act. …“

Das Gesetz liegt auf einer Linie mit anderen Gesetzen zum Thema „Privacy“ in Illinois, zum Beispiel dem „Right to know Act“, der derzeit noch verhandelt wird. Das „Right to Know“-Gesetz verlangt, dass Betreiber kommerzieller Websites oder Onlinedienste offenlegen, wie persönliche Informationen von Unternehmen geteilt werden. Die Auskunft hat binnen 30 Tagen zu erfolgen, sei es, nachdem sich Kunden für die Dienstleistungen anmelden oder aber ihr Auskunftsrecht geltend machen. In Deutschland und Europa sind derartige Rechte als Jedermannsrechte nach § 34 des Bundesdatenschutzgesetzes (BDSG) beziehungsweise Art. 15 der Datenschutzgrundverordnung (DSGVO) bekannt.

Im Hinblick auf den Normvollzug ist das Gesetz vergleichsweise „soft“, denn der Attorney General ist allein zuständig, die Einhaltung zu verfolgen. Es wird also kein privates Klagerecht bei Verletzungen geben. Das Gesetz sieht zudem eine 15-tägige Nachfrist beziehungsweise cure period vor, die dem Unternehmen nach der förmlichen Beschwerde durch den Attorney General eingeräumt wird. Innerhalb dieser Frist kann die Verletzung noch beseitigt werden:

Section 15 (b): „A private entity, other than an individual, that is in violation of this Act shall have 15 days after being notified of a violation to rectify that violation before the Attorney General or appropriate State's Attorney's Office may seek an enforcement action against that private entity.“

Vor diesem Hintergrund macht es durchaus Sinn, Verbrauchern die Möglichkeit der (Sammel-)Klage zu verschaffen, indem man die Möglichkeit eröffnet, Verstöße als „Fraud“ beziehungsweise „Deception“ im Sinne der obigen Verbraucherschutzvorschrift einzuordnen.

 

Datenschutzrechtliche Marschrichtung der USA

Welche Auswirkungen das Gesetz haben wird, steht in den Sternen. Es ist jedoch ein weiteres Zeichen für die sich dynamisch verändernde Landschaft der Datenschutzgesetze in den Bundesstaaten der USA, die fast wöchentlich neue Blüten hervorbringt.  In der Vergangenheit gab es zahlreiche Fälle, in denen Unternehmen keine Einwilligung zur Erfassung von Standortdaten eingeholt und dennoch die Aufenthaltsorte von mobilen Geräten getrackt haben. Vor diesem Hintergrund ist neben den Sanktionsaspekten jede Konditionierung hin zu mehr Vorsicht im Umgang mit sensiblen Informationen, durchaus zu begrüßen.

 

Einen Kommentar schreiben

Tags

Handynummer Rechtsprechung brexit Bestpreisklausel Phishing Datenschutzbeauftragter Handelsregister Verlängerung Lohnfortzahlung #emd15 Beweislast Abmahnung Data Breach Leipzig Sitzverlegung Ofcom Ruby on Rails Newsletter zahlungsdienst Social Engineering Auslandszustellung Zustellbevollmächtigter 5 UWG Schleichwerbung Bachblüten Impressum Meldepflicht Heilkunde gezielte Behinderung Tipppfehlerdomain Dark Pattern Annual Return Medienprivileg Asien Evil Legal Medienstaatsvertrag Telefon Online Marketing Travel Industry Resort Mitarbeiterfotografie § 5 MarkenG Persönlichkeitsrecht Midijob EC-Karten § 24 MarkenG ransomware html5 Minijob Internetrecht GmbH Scam Finanzierung Urteil Wettbewerbsbeschränkung Foto fake news LikeButton technology Auftragsdatenverarbeitung Zahlungsdaten Blog Team Opentable Irreführung WLAN recht am eigenen bild Chat drohnengesetz Soziale Netzwerke Datenschutzgrundverordnung Kapitalmarkt ePrivacy Analytics gesellschaftsrecht Gaming Disorder Lizenzrecht Stellenangebot Adwords Fotografen Hinweispflichten Gegendarstellung Werbekennzeichnung Influencer total buy out Tracking verlinken AGB Onlinevertrieb UWG Registered Arbeitsunfall Linkhaftung Suchmaschinen Filesharing Bundeskartellamt Erdogan Customer Service Anmeldung Algorithmen Impressumspflicht Freelancer Markeneintragung Trademark Facial Recognition Sponsoren FashionID bgh Ratenparität Vergleichsportale Datenschutzerklärung Polen Werbung Entschädigung Restaurant videoüberwachung Sicherheitslücke Unlauterer Wettbewerb Einwilligungsgestaltung Geschäftsgeheimnis Buchungsportal copter Bildrechte Digitalwirtschaft Marke neu IT-Sicherheit Boehmermann Creative Commons BDSG Gepäck Türkisch ransom information technology Ferienwohnung Crowdfunding SSO SEA Datenpanne EU-Kosmetik-Verordnung custom audience Double-Opt-In Exklusivitätsklausel Touristik data OLG Köln Hacking Vergütung Leaks jahresabschluss ISPs Anonymisierung Apps c/o Einstellungsverbot targeting Autocomplete Extremisten Unternehmensgründung Vergütungsmodelle Verpackungsgesetz Vertragsrecht Hotelrecht News Online Hackerangriff Hotel Gäste Geschmacksmuster Cyber Security AIDA E-Mail messenger veröffentlichung Mindestlohn CNIL informationspflichten Datenportabilität berufspflicht Technologie Domainrecht Rabattangaben Class Action Urheberrechtsreform Big Data Artificial Intelligence Reisen Kundendaten Datenschutzrecht New Work JointControl kommunen Namensrecht Textilien Custom Audiences NetzDG Weihnachten wetteronline.de Job Urheberrecht

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2020, alle Rechte vorbehalten