Datenschutzgesetze in den USA auf dem Vormarsch: Illinois erlässt Geolocation Privacy Protection Act

Co-Autorin des Beitrages ist Celin Fischer, Wissenschaftliche Mitarbeiterin bei Spirit Legal

Inhaltsverzeichnis

Am 27. Juni 2017 verabschiedete die General Assembly von Illinois einen Gesetzesentwurf, der die Erhebung und die Nutzung von Geolokalisierungsinformationen, die über Smartphones eingeholt werden, beschränkt. Es überrascht nicht, dass ausgerechnet der US-Staat Illinois ein solches Gesetz beschließt, denn Illinois – mit seiner Hauptstadt Springfield und der Metropole Chicago – ist dafür bekannt, eine sehr strikte Datenschutzgesetzgebung zu fördern. Das Gesetz liegt nun zur Unterschrift beim Governor Bruce Rauners.

Schutz von Geolokalisierungsdaten mit dem Geolocation Privacy Protection Act

Der Geolocation Privacy Protection Act (HB-3449) sieht vor, dass Unternehmen ohne die ausdrückliche Einwilligung des Betroffenen keine Geolokalisierungsinformationen einer location-based application auf Endgeräten sammeln, nutzen, speichern oder verwenden dürfen. Das Gesetz ist zwar frisch, allerdings fällt das Konzept der ausdrücklichen Einwilligung („opt-in“) eher in die Kategorie „bekannt und bewährt“.

Seit Jahren vertritt die Federal Trade Commission (FTC) die Auffassung die Auffassung, dass Standortdaten sensible Daten darstellen, deren Nutzung eine ausdrückliche Einwilligung voraussetzt. Informationen aus location based services können Rückschlüsse auf weitere sensible Daten, wie zum Beispiel auf Gesundheitsdaten oder Hinweise auf religiöse Betätigung, liefern:

“Geolocation information can divulge intimately personal details about an individual. Did you visit an AIDS clinic last Tuesday? What place of worship do you attend? Were you at a psychiatrist's office last week? Did you meet with a prospective business customer?”

Jessica Rich, Director of the FTC Bureau of Consumer Protection, 2014

Die großen App-Plattformen haben daher schon seit Langem Einverständniserklärungen für die Erfassung von Geodaten abgefragt. Das Gesetz ändert also nichts, was sich nicht schon seit Jahren als sehr hilfreich in der Praxis erwiesen hat.

Das Gesetz definiert Lokalisierungsinformationen als Informationen, die von einer Operation des mobilen Geräts erzeugt oder abgeleitet werden, und die ausreichend sind, um die genaue Lage des Geräts bestimmen zu können – und ist damit vergleichsweise technikneutral ausgestaltet. IP-Adressen als solche sind jedoch ausdrücklich von der Definition ausgeschlossen:

"Geolocation information" means information that: (i) is not the contents of a communication; (ii) is generated by or derived from, in whole or in part, the operation of a mobile device, including, but not limited to, a smart phone, tablet, or laptop computer; and (iii) is sufficient to determine or infer the precise location of that device. Geolocation information" does not include Internet protocol addresses.” (HB-3449, Section 5)”

Private Unternehmen müssen Betroffene ausdrücklich und unmissverständlich benachrichtigen, wenn Standortdaten beziehungsweise Geodaten zu bestimmten Zwecken gesammelt, genutzt oder sogar weitergegeben werden. Des Weiteren muss dem Nutzer der Zweck für die Verwendung seiner Lokalisierungsinformationen mitgeteilt werden und es muss ein Hyperlink oder ein vergleichbares Medium zur Verfügung gestellt werden, worüber der Betroffene diese Informationen einsehen kann.

Darüber hinaus muss das Unternehmen eine „ausdrücklich bejahende Einwilligung“ („affirmative express consent“) vom Nutzer für die in den Datenschutzinformationen beschriebenen Tätigkeiten einholen.

Für bestimmte Apps, bei denen zum Beispiel Nachrichten auf den jeweiligen Standort zugeschnitten werden, geben viele User sogar freiwillig ihren Standort preis. Allerdings wollen sie dann vielleicht dennoch wissen, wenn diese Informationen an Dritte verkauft werden. Mit dem uneingeschränkten Gebrauch von Standortdaten können reale Gefahren verbunden sein, von Stalking über unerwünschtes Scoring bis hin zu diskriminierenden geschäftlichen Handlungen.

Section 10 (a): „A private entity may not collect, use, store, or disclose geolocation information from a location-based application on a person's device unless the private entity first receives the person's affirmative express consent after providing clear, prominent, and accurate notice that: (1) informs the person that his or her geolocation information will be collected, used, or disclosed; (2) informs the person in writing of the specific purposes for which his or her geolocation information will be collected, used, or disclosed; and (3) provides the person a hyperlink or comparably easily accessible means to access the information specified in this subsection.“

Doch es gibt eine begrenzte Anzahl von Verwendungen, die von der Bekanntmachung und der Einwilligungserfordernis ausgeschlossen sind, nämlich

  • wenn zum Beispiel Eltern die Informationen benötigen, um ein minderjähriges Kind zu finden;
  • um einem gerichtlich bestellten Vormund, die Möglichkeit zu geben, eine Person mit Behinderung zu finden;
  • für die Bereitstellung von Feuerwehr, Polizei und anderen Notdiensten sowie
  • für den begrenzten Zweck der Bereitstellung von Speicher-, Sicherheits- und Authentifizierungsdiensten.

Section 10 (b): „A private entity may collect, use, store, or disclose geolocation information from a location-based application on a person's device without receiving affirmative express consent if the collection, storage, or disclosure is: (1) to allow a parent or legal guardian to locate an unemancipated minor child; (2) to allow a court-appointed guardian to locate a legally incapacitated person; (3) for the provision of fire, medical, public safety, or other emergency services; or (4) for the limited purpose of providing storage, security, or authentication services.“

 

Das droht bei Verstößen gegen den Geolocation Privacy Protection Act

Bei einem Verstoß drohen Sanktionen von mindestens USD 1000,00 zuzüglich der Anwalts- und Gerichtskosten. Verstöße gegen das neue Gesetz würden zudem eine Verletzung des Illinois Consumer Fraud and Deceptive Businesses Act darstellen.

Section 15 (a): „A violation of this Act constitutes a violation of the Consumer Fraud and Deceptive Business Practices Act. …“

Das Gesetz liegt auf einer Linie mit anderen Gesetzen zum Thema „Privacy“ in Illinois, zum Beispiel dem „Right to know Act“, der derzeit noch verhandelt wird. Das „Right to Know“-Gesetz verlangt, dass Betreiber kommerzieller Websites oder Onlinedienste offenlegen, wie persönliche Informationen von Unternehmen geteilt werden. Die Auskunft hat binnen 30 Tagen zu erfolgen, sei es, nachdem sich Kunden für die Dienstleistungen anmelden oder aber ihr Auskunftsrecht geltend machen. In Deutschland und Europa sind derartige Rechte als Jedermannsrechte nach § 34 des Bundesdatenschutzgesetzes (BDSG) beziehungsweise Art. 15 der Datenschutzgrundverordnung (DSGVO) bekannt.

Im Hinblick auf den Normvollzug ist das Gesetz vergleichsweise „soft“, denn der Attorney General ist allein zuständig, die Einhaltung zu verfolgen. Es wird also kein privates Klagerecht bei Verletzungen geben. Das Gesetz sieht zudem eine 15-tägige Nachfrist beziehungsweise cure period vor, die dem Unternehmen nach der förmlichen Beschwerde durch den Attorney General eingeräumt wird. Innerhalb dieser Frist kann die Verletzung noch beseitigt werden:

Section 15 (b): „A private entity, other than an individual, that is in violation of this Act shall have 15 days after being notified of a violation to rectify that violation before the Attorney General or appropriate State's Attorney's Office may seek an enforcement action against that private entity.“

Vor diesem Hintergrund macht es durchaus Sinn, Verbrauchern die Möglichkeit der (Sammel-)Klage zu verschaffen, indem man die Möglichkeit eröffnet, Verstöße als „Fraud“ beziehungsweise „Deception“ im Sinne der obigen Verbraucherschutzvorschrift einzuordnen.

 

Datenschutzrechtliche Marschrichtung der USA

Welche Auswirkungen das Gesetz haben wird, steht in den Sternen. Es ist jedoch ein weiteres Zeichen für die sich dynamisch verändernde Landschaft der Datenschutzgesetze in den Bundesstaaten der USA, die fast wöchentlich neue Blüten hervorbringt.  In der Vergangenheit gab es zahlreiche Fälle, in denen Unternehmen keine Einwilligung zur Erfassung von Standortdaten eingeholt und dennoch die Aufenthaltsorte von mobilen Geräten getrackt haben. Vor diesem Hintergrund ist neben den Sanktionsaspekten jede Konditionierung hin zu mehr Vorsicht im Umgang mit sensiblen Informationen, durchaus zu begrüßen.

 

Einen Kommentar schreiben

Tags

Behinderungswettbewerb verlinkung Preisauszeichnung Amazon Privacy Bundeskartellamt AIDA Linkhaftung Sitzverlegung Foto Meinungsfreiheit Recht Direktmarketing Onlinevertrieb Meinung Ofcom München Cyber Security Meldepflicht Reise Panorama Event Gesundheit Opentable Niederlassungsfreiheit Löschung Kritik Social Media Kartellrecht Vergütungsmodelle schule News Booking.com LMIV Rechtsprechung Stellenausschreibung zugangsvereitelung Flugzeug Boehmermann Annual Return Lizenzrecht Osteopathie kommunen Blog patent Facebook Prozessrecht veröffentlichung EuGH events data AGB email marketing Class Action Abwerbeverbot ReFa Datenschutzerklärung Medienrecht html5 § 15 MarkenG Unlauterer Wettbewerb data privacy Jugendschutzfilter Vergütung fristen Keyword-Advertising verbraucherstreitbeilegungsgesetz drohnengesetz Datenschutz Europarecht unternehmensrecht Gäste § 5 UWG LG Hamburg LinkedIn messenger Rechtsanwaltsfachangestellte fake news Markeneintragung Selbstverständlichkeiten Urteile data security Einstellungsverbot Türkisch Informationsfreiheit Kennzeichnung Schöpfungshöhe recht am eigenen bild verlinken USA Störerhaftung Marketing LG Köln Zahlungsdaten Ring brexit Rechtsanwalt Kündigung USPTO 5 UWG Apps Kapitalmarkt E-Mail Phishing CRM Impressumspflicht Data Breach Schleichwerbung Buchungsportal Handelsregister selbstanlageverfahren Unternehmensgründung Reisen Limited Markenrecht fotos EC-Karten Online-Portale Team Insolvenz EU-Textilkennzeichnungsverordnung Bußgeld Technologie Einwilligung Filesharing Kosmetik hate speech BDSG Soziale Netzwerke Suchalgorithmus Crowdfunding targeting Double-Opt-In Hotels Verlängerung Verbandsklage Messe copter Geschäftsführer Tipppfehlerdomain gender pay gap ransom Abmahnung Domainrecht Touristik Persönlichkeitsrecht arbeitnehmer Newsletter Scam wallart berufspflicht datenverlust 2014 §75f HGB markenanmeldung Asien Expedia.com gesellschaftsrecht Gesetz E-Mail-Marketing Vertragsgestaltung Dynamic Keyword Insertion HSMA Dokumentationspflicht Website jahresabschluss Wettbewerbsbeschränkung Zustellbevollmächtigter Minijob Unterlassung Duldungsvollmacht Sicherheitslücke Conversion whatsapp Entschädigung Social Engineering AstraDirekt Geschäftsanschrift Kundendaten Wettbewerb Presse Ratenparität Hotelkonzept Neujahr anwaltsserie Wettbewerbsverbot Personenbezogene Daten neu Geschmacksmuster Haftungsrecht Human Resource Management Influencer Heilkunde IT-Sicherheit Auftragsdatenverarbeitung online werbung Arbeitsvertrag c/o Autocomplete Hotelsterne

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2017, alle Rechte vorbehalten




Spirit Legal LLP hat 4,77 von 5 Sterne | 63 Bewertungen auf ProvenExpert.com