Datenschutzgesetze in den USA auf dem Vormarsch: Illinois erlässt Geolocation Privacy Protection Act

Co-Autorin des Beitrages ist Celin Fischer, Wissenschaftliche Mitarbeiterin bei Spirit Legal

Inhaltsverzeichnis

Am 27. Juni 2017 verabschiedete die General Assembly von Illinois einen Gesetzesentwurf, der die Erhebung und die Nutzung von Geolokalisierungsinformationen, die über Smartphones eingeholt werden, beschränkt. Es überrascht nicht, dass ausgerechnet der US-Staat Illinois ein solches Gesetz beschließt, denn Illinois – mit seiner Hauptstadt Springfield und der Metropole Chicago – ist dafür bekannt, eine sehr strikte Datenschutzgesetzgebung zu fördern. Das Gesetz liegt nun zur Unterschrift beim Governor Bruce Rauners.

Schutz von Geolokalisierungsdaten mit dem Geolocation Privacy Protection Act

Der Geolocation Privacy Protection Act (HB-3449) sieht vor, dass Unternehmen ohne die ausdrückliche Einwilligung des Betroffenen keine Geolokalisierungsinformationen einer location-based application auf Endgeräten sammeln, nutzen, speichern oder verwenden dürfen. Das Gesetz ist zwar frisch, allerdings fällt das Konzept der ausdrücklichen Einwilligung („opt-in“) eher in die Kategorie „bekannt und bewährt“.

Seit Jahren vertritt die Federal Trade Commission (FTC) die Auffassung die Auffassung, dass Standortdaten sensible Daten darstellen, deren Nutzung eine ausdrückliche Einwilligung voraussetzt. Informationen aus location based services können Rückschlüsse auf weitere sensible Daten, wie zum Beispiel auf Gesundheitsdaten oder Hinweise auf religiöse Betätigung, liefern:

“Geolocation information can divulge intimately personal details about an individual. Did you visit an AIDS clinic last Tuesday? What place of worship do you attend? Were you at a psychiatrist's office last week? Did you meet with a prospective business customer?”

Jessica Rich, Director of the FTC Bureau of Consumer Protection, 2014

Die großen App-Plattformen haben daher schon seit Langem Einverständniserklärungen für die Erfassung von Geodaten abgefragt. Das Gesetz ändert also nichts, was sich nicht schon seit Jahren als sehr hilfreich in der Praxis erwiesen hat.

Das Gesetz definiert Lokalisierungsinformationen als Informationen, die von einer Operation des mobilen Geräts erzeugt oder abgeleitet werden, und die ausreichend sind, um die genaue Lage des Geräts bestimmen zu können – und ist damit vergleichsweise technikneutral ausgestaltet. IP-Adressen als solche sind jedoch ausdrücklich von der Definition ausgeschlossen:

"Geolocation information" means information that: (i) is not the contents of a communication; (ii) is generated by or derived from, in whole or in part, the operation of a mobile device, including, but not limited to, a smart phone, tablet, or laptop computer; and (iii) is sufficient to determine or infer the precise location of that device. Geolocation information" does not include Internet protocol addresses.” (HB-3449, Section 5)”

Private Unternehmen müssen Betroffene ausdrücklich und unmissverständlich benachrichtigen, wenn Standortdaten beziehungsweise Geodaten zu bestimmten Zwecken gesammelt, genutzt oder sogar weitergegeben werden. Des Weiteren muss dem Nutzer der Zweck für die Verwendung seiner Lokalisierungsinformationen mitgeteilt werden und es muss ein Hyperlink oder ein vergleichbares Medium zur Verfügung gestellt werden, worüber der Betroffene diese Informationen einsehen kann.

Darüber hinaus muss das Unternehmen eine „ausdrücklich bejahende Einwilligung“ („affirmative express consent“) vom Nutzer für die in den Datenschutzinformationen beschriebenen Tätigkeiten einholen.

Für bestimmte Apps, bei denen zum Beispiel Nachrichten auf den jeweiligen Standort zugeschnitten werden, geben viele User sogar freiwillig ihren Standort preis. Allerdings wollen sie dann vielleicht dennoch wissen, wenn diese Informationen an Dritte verkauft werden. Mit dem uneingeschränkten Gebrauch von Standortdaten können reale Gefahren verbunden sein, von Stalking über unerwünschtes Scoring bis hin zu diskriminierenden geschäftlichen Handlungen.

Section 10 (a): „A private entity may not collect, use, store, or disclose geolocation information from a location-based application on a person's device unless the private entity first receives the person's affirmative express consent after providing clear, prominent, and accurate notice that: (1) informs the person that his or her geolocation information will be collected, used, or disclosed; (2) informs the person in writing of the specific purposes for which his or her geolocation information will be collected, used, or disclosed; and (3) provides the person a hyperlink or comparably easily accessible means to access the information specified in this subsection.“

Doch es gibt eine begrenzte Anzahl von Verwendungen, die von der Bekanntmachung und der Einwilligungserfordernis ausgeschlossen sind, nämlich

  • wenn zum Beispiel Eltern die Informationen benötigen, um ein minderjähriges Kind zu finden;
  • um einem gerichtlich bestellten Vormund, die Möglichkeit zu geben, eine Person mit Behinderung zu finden;
  • für die Bereitstellung von Feuerwehr, Polizei und anderen Notdiensten sowie
  • für den begrenzten Zweck der Bereitstellung von Speicher-, Sicherheits- und Authentifizierungsdiensten.

Section 10 (b): „A private entity may collect, use, store, or disclose geolocation information from a location-based application on a person's device without receiving affirmative express consent if the collection, storage, or disclosure is: (1) to allow a parent or legal guardian to locate an unemancipated minor child; (2) to allow a court-appointed guardian to locate a legally incapacitated person; (3) for the provision of fire, medical, public safety, or other emergency services; or (4) for the limited purpose of providing storage, security, or authentication services.“

 

Das droht bei Verstößen gegen den Geolocation Privacy Protection Act

Bei einem Verstoß drohen Sanktionen von mindestens USD 1000,00 zuzüglich der Anwalts- und Gerichtskosten. Verstöße gegen das neue Gesetz würden zudem eine Verletzung des Illinois Consumer Fraud and Deceptive Businesses Act darstellen.

Section 15 (a): „A violation of this Act constitutes a violation of the Consumer Fraud and Deceptive Business Practices Act. …“

Das Gesetz liegt auf einer Linie mit anderen Gesetzen zum Thema „Privacy“ in Illinois, zum Beispiel dem „Right to know Act“, der derzeit noch verhandelt wird. Das „Right to Know“-Gesetz verlangt, dass Betreiber kommerzieller Websites oder Onlinedienste offenlegen, wie persönliche Informationen von Unternehmen geteilt werden. Die Auskunft hat binnen 30 Tagen zu erfolgen, sei es, nachdem sich Kunden für die Dienstleistungen anmelden oder aber ihr Auskunftsrecht geltend machen. In Deutschland und Europa sind derartige Rechte als Jedermannsrechte nach § 34 des Bundesdatenschutzgesetzes (BDSG) beziehungsweise Art. 15 der Datenschutzgrundverordnung (DSGVO) bekannt.

Im Hinblick auf den Normvollzug ist das Gesetz vergleichsweise „soft“, denn der Attorney General ist allein zuständig, die Einhaltung zu verfolgen. Es wird also kein privates Klagerecht bei Verletzungen geben. Das Gesetz sieht zudem eine 15-tägige Nachfrist beziehungsweise cure period vor, die dem Unternehmen nach der förmlichen Beschwerde durch den Attorney General eingeräumt wird. Innerhalb dieser Frist kann die Verletzung noch beseitigt werden:

Section 15 (b): „A private entity, other than an individual, that is in violation of this Act shall have 15 days after being notified of a violation to rectify that violation before the Attorney General or appropriate State's Attorney's Office may seek an enforcement action against that private entity.“

Vor diesem Hintergrund macht es durchaus Sinn, Verbrauchern die Möglichkeit der (Sammel-)Klage zu verschaffen, indem man die Möglichkeit eröffnet, Verstöße als „Fraud“ beziehungsweise „Deception“ im Sinne der obigen Verbraucherschutzvorschrift einzuordnen.

 

Datenschutzrechtliche Marschrichtung der USA

Welche Auswirkungen das Gesetz haben wird, steht in den Sternen. Es ist jedoch ein weiteres Zeichen für die sich dynamisch verändernde Landschaft der Datenschutzgesetze in den Bundesstaaten der USA, die fast wöchentlich neue Blüten hervorbringt.  In der Vergangenheit gab es zahlreiche Fälle, in denen Unternehmen keine Einwilligung zur Erfassung von Standortdaten eingeholt und dennoch die Aufenthaltsorte von mobilen Geräten getrackt haben. Vor diesem Hintergrund ist neben den Sanktionsaspekten jede Konditionierung hin zu mehr Vorsicht im Umgang mit sensiblen Informationen, durchaus zu begrüßen.

 

Einen Kommentar schreiben

Tags

Arbeitsvertrag Duldungsvollmacht Team Adwords Booking.com Bestpreisklausel Beacons Störerhaftung Zahlungsdaten EC-Karten nutzungsrechte Scam Gesundheit Impressum entgeltgleichheit Abmahnung anwaltsserie Prozessrecht Wettbewerbsbeschränkung Bafin Kunsturhebergesetz Urteil kündigungsschutz wallart Unionsmarke Verfügbarkeit besondere Darstellung Sitzverlegung brexit Hotel ITB Herkunftsfunktion Cyber Security drohnengesetz bgh Infosec Online-Portale Privacy Ferienwohnung FTC GmbH gender pay gap Foto Website Beweislast Suchalgorithmus Expedia.com Schutzbrief Versicherungsrecht ADV Urheberrecht Wettbewerb technology Rechtsanwaltsfachangestellte Restaurant Lizenzrecht Freelancer Datenschutzrecht Kapitalmarkt München Bundesmeldegesetz fotos Urlaub Preisauszeichnung Onlinevertrieb Werbung Geschmacksmuster Diskriminierung Google AdWords Kreditkarten Entschädigung Art. 13 GMV data security Panoramafreiheit Stellenausschreibung Wettbewerbsrecht Verbandsklage Verlängerung Dynamic Keyword Insertion §75f HGB Asien Internet Personenbezogene Daten Auftragsdatenverarbeitung Unlauterer Wettbewerb Facebook SEA geldwäsche Schadensfall Geschäftsführer § 4 UWG Interview Midijob Online Marketing wetteronline.de Kundenbewertungen § 5 MarkenG ISPs Hotelkonzept #emd15 Irreführung online werbung Erdogan Referendar HSMA fake news Informationsfreiheit kommunen Bildrechte Textilien Panorama c/o britain Presserecht Suchmaschinen Online-Bewertungen E-Mail Impressumspflicht Ofcom Kartellrecht Hotelsterne Event Kleinanlegerschutz Haftungsrecht Creative Commons PPC Anmeldung gesellschaftsrecht Keyword-Advertising Filesharing EuGH recht am eigenen bild WLAN Social Media Corporate Housekeeping Finanzaufsicht Suchmaschinenbetreiber Markenrecht Urteile Social Engineering 3 UWG Wettbewerbsverbot Meldepflicht ReFa Kinder Dokumentationspflicht OTMR Buchungsportal Konferenz Markensperre Lebensmittel ecommerce § 15 MarkenG Datensicherheit Custom Audiences Rechtsanwältin News Hausrecht total buy out informationspflichten Bachblüten fristen EU-Textilkennzeichnungsverordnung Human Resource Management Erschöpfungsgrundsatz Türkisch Direktmarketing Autocomplete IT-Sicherheit USA Vergütungsmodelle Jugendschutzfilter Hotelvermittler verlinken information technology Data Breach Minijob Niederlassungsfreiheit jahresabschluss Reise copter E-Commerce Online Gesetz Check-in Gepäck Kundendaten Insolvenz Messe Kennzeichnung Einwilligung Vertragsrecht html5 E-Mail-Marketing Werktitel Gäste Sperrabrede Extremisten Europarecht Rechtsprechung

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2017, alle Rechte vorbehalten

Spirit Legal LLP hat 4,75 von 5 Sterne | 61 Bewertungen auf ProvenExpert.com