Datenschutzgesetze in den USA auf dem Vormarsch: Illinois erlässt Geolocation Privacy Protection Act

Co-Autorin des Beitrages ist Celin Fischer, Wissenschaftliche Mitarbeiterin bei Spirit Legal

Inhaltsverzeichnis

Am 27. Juni 2017 verabschiedete die General Assembly von Illinois einen Gesetzesentwurf, der die Erhebung und die Nutzung von Geolokalisierungsinformationen, die über Smartphones eingeholt werden, beschränkt. Es überrascht nicht, dass ausgerechnet der US-Staat Illinois ein solches Gesetz beschließt, denn Illinois – mit seiner Hauptstadt Springfield und der Metropole Chicago – ist dafür bekannt, eine sehr strikte Datenschutzgesetzgebung zu fördern. Das Gesetz liegt nun zur Unterschrift beim Governor Bruce Rauners.

Schutz von Geolokalisierungsdaten mit dem Geolocation Privacy Protection Act

Der Geolocation Privacy Protection Act (HB-3449) sieht vor, dass Unternehmen ohne die ausdrückliche Einwilligung des Betroffenen keine Geolokalisierungsinformationen einer location-based application auf Endgeräten sammeln, nutzen, speichern oder verwenden dürfen. Das Gesetz ist zwar frisch, allerdings fällt das Konzept der ausdrücklichen Einwilligung („opt-in“) eher in die Kategorie „bekannt und bewährt“.

Seit Jahren vertritt die Federal Trade Commission (FTC) die Auffassung die Auffassung, dass Standortdaten sensible Daten darstellen, deren Nutzung eine ausdrückliche Einwilligung voraussetzt. Informationen aus location based services können Rückschlüsse auf weitere sensible Daten, wie zum Beispiel auf Gesundheitsdaten oder Hinweise auf religiöse Betätigung, liefern:

“Geolocation information can divulge intimately personal details about an individual. Did you visit an AIDS clinic last Tuesday? What place of worship do you attend? Were you at a psychiatrist's office last week? Did you meet with a prospective business customer?”

Jessica Rich, Director of the FTC Bureau of Consumer Protection, 2014

Die großen App-Plattformen haben daher schon seit Langem Einverständniserklärungen für die Erfassung von Geodaten abgefragt. Das Gesetz ändert also nichts, was sich nicht schon seit Jahren als sehr hilfreich in der Praxis erwiesen hat.

Das Gesetz definiert Lokalisierungsinformationen als Informationen, die von einer Operation des mobilen Geräts erzeugt oder abgeleitet werden, und die ausreichend sind, um die genaue Lage des Geräts bestimmen zu können – und ist damit vergleichsweise technikneutral ausgestaltet. IP-Adressen als solche sind jedoch ausdrücklich von der Definition ausgeschlossen:

"Geolocation information" means information that: (i) is not the contents of a communication; (ii) is generated by or derived from, in whole or in part, the operation of a mobile device, including, but not limited to, a smart phone, tablet, or laptop computer; and (iii) is sufficient to determine or infer the precise location of that device. Geolocation information" does not include Internet protocol addresses.” (HB-3449, Section 5)”

Private Unternehmen müssen Betroffene ausdrücklich und unmissverständlich benachrichtigen, wenn Standortdaten beziehungsweise Geodaten zu bestimmten Zwecken gesammelt, genutzt oder sogar weitergegeben werden. Des Weiteren muss dem Nutzer der Zweck für die Verwendung seiner Lokalisierungsinformationen mitgeteilt werden und es muss ein Hyperlink oder ein vergleichbares Medium zur Verfügung gestellt werden, worüber der Betroffene diese Informationen einsehen kann.

Darüber hinaus muss das Unternehmen eine „ausdrücklich bejahende Einwilligung“ („affirmative express consent“) vom Nutzer für die in den Datenschutzinformationen beschriebenen Tätigkeiten einholen.

Für bestimmte Apps, bei denen zum Beispiel Nachrichten auf den jeweiligen Standort zugeschnitten werden, geben viele User sogar freiwillig ihren Standort preis. Allerdings wollen sie dann vielleicht dennoch wissen, wenn diese Informationen an Dritte verkauft werden. Mit dem uneingeschränkten Gebrauch von Standortdaten können reale Gefahren verbunden sein, von Stalking über unerwünschtes Scoring bis hin zu diskriminierenden geschäftlichen Handlungen.

Section 10 (a): „A private entity may not collect, use, store, or disclose geolocation information from a location-based application on a person's device unless the private entity first receives the person's affirmative express consent after providing clear, prominent, and accurate notice that: (1) informs the person that his or her geolocation information will be collected, used, or disclosed; (2) informs the person in writing of the specific purposes for which his or her geolocation information will be collected, used, or disclosed; and (3) provides the person a hyperlink or comparably easily accessible means to access the information specified in this subsection.“

Doch es gibt eine begrenzte Anzahl von Verwendungen, die von der Bekanntmachung und der Einwilligungserfordernis ausgeschlossen sind, nämlich

  • wenn zum Beispiel Eltern die Informationen benötigen, um ein minderjähriges Kind zu finden;
  • um einem gerichtlich bestellten Vormund, die Möglichkeit zu geben, eine Person mit Behinderung zu finden;
  • für die Bereitstellung von Feuerwehr, Polizei und anderen Notdiensten sowie
  • für den begrenzten Zweck der Bereitstellung von Speicher-, Sicherheits- und Authentifizierungsdiensten.

Section 10 (b): „A private entity may collect, use, store, or disclose geolocation information from a location-based application on a person's device without receiving affirmative express consent if the collection, storage, or disclosure is: (1) to allow a parent or legal guardian to locate an unemancipated minor child; (2) to allow a court-appointed guardian to locate a legally incapacitated person; (3) for the provision of fire, medical, public safety, or other emergency services; or (4) for the limited purpose of providing storage, security, or authentication services.“

 

Das droht bei Verstößen gegen den Geolocation Privacy Protection Act

Bei einem Verstoß drohen Sanktionen von mindestens USD 1000,00 zuzüglich der Anwalts- und Gerichtskosten. Verstöße gegen das neue Gesetz würden zudem eine Verletzung des Illinois Consumer Fraud and Deceptive Businesses Act darstellen.

Section 15 (a): „A violation of this Act constitutes a violation of the Consumer Fraud and Deceptive Business Practices Act. …“

Das Gesetz liegt auf einer Linie mit anderen Gesetzen zum Thema „Privacy“ in Illinois, zum Beispiel dem „Right to know Act“, der derzeit noch verhandelt wird. Das „Right to Know“-Gesetz verlangt, dass Betreiber kommerzieller Websites oder Onlinedienste offenlegen, wie persönliche Informationen von Unternehmen geteilt werden. Die Auskunft hat binnen 30 Tagen zu erfolgen, sei es, nachdem sich Kunden für die Dienstleistungen anmelden oder aber ihr Auskunftsrecht geltend machen. In Deutschland und Europa sind derartige Rechte als Jedermannsrechte nach § 34 des Bundesdatenschutzgesetzes (BDSG) beziehungsweise Art. 15 der Datenschutzgrundverordnung (DSGVO) bekannt.

Im Hinblick auf den Normvollzug ist das Gesetz vergleichsweise „soft“, denn der Attorney General ist allein zuständig, die Einhaltung zu verfolgen. Es wird also kein privates Klagerecht bei Verletzungen geben. Das Gesetz sieht zudem eine 15-tägige Nachfrist beziehungsweise cure period vor, die dem Unternehmen nach der förmlichen Beschwerde durch den Attorney General eingeräumt wird. Innerhalb dieser Frist kann die Verletzung noch beseitigt werden:

Section 15 (b): „A private entity, other than an individual, that is in violation of this Act shall have 15 days after being notified of a violation to rectify that violation before the Attorney General or appropriate State's Attorney's Office may seek an enforcement action against that private entity.“

Vor diesem Hintergrund macht es durchaus Sinn, Verbrauchern die Möglichkeit der (Sammel-)Klage zu verschaffen, indem man die Möglichkeit eröffnet, Verstöße als „Fraud“ beziehungsweise „Deception“ im Sinne der obigen Verbraucherschutzvorschrift einzuordnen.

 

Datenschutzrechtliche Marschrichtung der USA

Welche Auswirkungen das Gesetz haben wird, steht in den Sternen. Es ist jedoch ein weiteres Zeichen für die sich dynamisch verändernde Landschaft der Datenschutzgesetze in den Bundesstaaten der USA, die fast wöchentlich neue Blüten hervorbringt.  In der Vergangenheit gab es zahlreiche Fälle, in denen Unternehmen keine Einwilligung zur Erfassung von Standortdaten eingeholt und dennoch die Aufenthaltsorte von mobilen Geräten getrackt haben. Vor diesem Hintergrund ist neben den Sanktionsaspekten jede Konditionierung hin zu mehr Vorsicht im Umgang mit sensiblen Informationen, durchaus zu begrüßen.

 

Einen Kommentar schreiben

Tags

Abhören Urlaub Prozessrecht Markeneintragung Wettbewerbsrecht Conversion verlinkung AstraDirekt technik Travel Industry Entschädigung Dokumentationspflicht Gesamtpreis email marketing Auftragsdatenverarbeitung Domainrecht Online Marketing Schöpfungshöhe Schadenersatz Unionsmarke PPC Weihnachten Sperrabrede Class Action Lebensmittel Internet of Things Minijob Flugzeug Corporate Housekeeping Textilien Gesundheit Social Media HSMA Bewertung Erschöpfungsgrundsatz IT-Sicherheit E-Commerce § 5 MarkenG USPTO Scam handelsrecht Presserecht Influencer Buchungsportal urheberrechtsschutz unternehmensrecht vertrag Kinder Vergleichsportale messenger Filesharing LinkedIn Wettbewerbsbeschränkung Vertragsrecht datenverlust #emd15 Google AdWords Kekse Ferienwohnung Resort Event Datensicherheit Recht fristen Kunsturhebergesetz Hacking Verfügbarkeit Schleichwerbung Restaurant Urteile informationstechnologie Kennzeichnung Erbe EU-Kosmetik-Verordnung Kapitalmarkt Hotels ransomware Datenschutzerklärung Marketing hate speech Markensperre Distribution Tipppfehlerdomain Osteopathie Berlin veröffentlichung Barcamp Wettbewerb Finanzaufsicht Tracking Überwachung Bußgeld selbstanlageverfahren Exklusivitätsklausel data privacy E-Mail ransom verbraucherstreitbeilegungsgesetz Beacons Website Heilkunde Double-Opt-In Datenpanne Ring gezielte Behinderung Creative Commons drohnengesetz entgeltgleichheit SEA neu jahresabschluss Leipzig Gepäck Marke Xing Social Networks html5 ecommerce Sicherheitslücke CRM Custom Audiences Selbstverständlichkeiten Verbandsklage § 24 MarkenG anwaltsserie Asien Meinung Infosec Internet 3 UWG Team Hinweispflichten Geschmacksmuster right of publicity Apps FTC Boehmermann Abmahnung BDSG markenanmeldung Lizenzrecht E-Mail-Marketing Impressum Preisangabenverordnung Jugendschutzfilter Bundesmeldegesetz Adwords Preisauszeichnung Job Impressumspflicht Jahresrückblick ADV Erdogan Stellenangebot GmbH online werbung Registered Bestandsschutz Bachblüten Finanzierung Booking.com AGB Technologie Meinungsfreiheit News informationspflichten Medienrecht § 15 MarkenG Duldungsvollmacht Personenbezogene Daten Vertragsgestaltung Behinderungswettbewerb copter Herkunftsfunktion Spielzeug data § 4 UWG Hack Online-Portale Rabattangaben Referendar Interview Human Resource Management Gäste Hotelsterne verlinken Versicherungsrecht Kritik Persönlichkeitsrecht Reiserecht Hausrecht Expedia.com Amazon Bafin recht am eigenen bild Foto Recap Suchmaschinenbetreiber Produktempfehlungen schule

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2018, alle Rechte vorbehalten




Spirit Legal LLP hat 4,64 von 5 Sternen | 73 Bewertungen auf ProvenExpert.com