Datenschutzgesetze in den USA auf dem Vormarsch: Illinois erlässt Geolocation Privacy Protection Act

Co-Autorin des Beitrages ist Celin Fischer, Wissenschaftliche Mitarbeiterin bei Spirit Legal

Inhaltsverzeichnis

  1. Schutz von Geolokalisierungsdaten mit dem Geolocation Privacy Protection Act
  2. Das droht bei Verstößen
  3. Datenschutzrechtliche Marschrichtung der USA

Am 27. Juni 2017 verabschiedete die General Assembly von Illinois einen Gesetzesentwurf, der die Erhebung und die Nutzung von Geolokalisierungsinformationen, die über Smartphones eingeholt werden, beschränkt. Es überrascht nicht, dass ausgerechnet der US-Staat Illinois ein solches Gesetz beschließt, denn Illinois – mit seiner Hauptstadt Springfield und der Metropole Chicago – ist dafür bekannt, eine sehr strikte Datenschutzgesetzgebung zu fördern. Das Gesetz liegt nun zur Unterschrift beim Governor Bruce Rauners.

Schutz von Geolokalisierungsdaten mit dem Geolocation Privacy Protection Act

Der Geolocation Privacy Protection Act (HB-3449) sieht vor, dass Unternehmen ohne die ausdrückliche Einwilligung des Betroffenen keine Geolokalisierungsinformationen einer location-based application auf Endgeräten sammeln, nutzen, speichern oder verwenden dürfen. Das Gesetz ist zwar frisch, allerdings fällt das Konzept der ausdrücklichen Einwilligung („opt-in“) eher in die Kategorie „bekannt und bewährt“.

Seit Jahren vertritt die Federal Trade Commission (FTC) die Auffassung die Auffassung, dass Standortdaten sensible Daten darstellen, deren Nutzung eine ausdrückliche Einwilligung voraussetzt. Informationen aus location based services können Rückschlüsse auf weitere sensible Daten, wie zum Beispiel auf Gesundheitsdaten oder Hinweise auf religiöse Betätigung, liefern:

“Geolocation information can divulge intimately personal details about an individual. Did you visit an AIDS clinic last Tuesday? What place of worship do you attend? Were you at a psychiatrist's office last week? Did you meet with a prospective business customer?”

Jessica Rich, Director of the FTC Bureau of Consumer Protection, 2014

Die großen App-Plattformen haben daher schon seit Langem Einverständniserklärungen für die Erfassung von Geodaten abgefragt. Das Gesetz ändert also nichts, was sich nicht schon seit Jahren als sehr hilfreich in der Praxis erwiesen hat.

Das Gesetz definiert Lokalisierungsinformationen als Informationen, die von einer Operation des mobilen Geräts erzeugt oder abgeleitet werden, und die ausreichend sind, um die genaue Lage des Geräts bestimmen zu können – und ist damit vergleichsweise technikneutral ausgestaltet. IP-Adressen als solche sind jedoch ausdrücklich von der Definition ausgeschlossen:

"Geolocation information" means information that: (i) is not the contents of a communication; (ii) is generated by or derived from, in whole or in part, the operation of a mobile device, including, but not limited to, a smart phone, tablet, or laptop computer; and (iii) is sufficient to determine or infer the precise location of that device. Geolocation information" does not include Internet protocol addresses.” (HB-3449, Section 5)”

Private Unternehmen müssen Betroffene ausdrücklich und unmissverständlich benachrichtigen, wenn Standortdaten beziehungsweise Geodaten zu bestimmten Zwecken gesammelt, genutzt oder sogar weitergegeben werden. Des Weiteren muss dem Nutzer der Zweck für die Verwendung seiner Lokalisierungsinformationen mitgeteilt werden und es muss ein Hyperlink oder ein vergleichbares Medium zur Verfügung gestellt werden, worüber der Betroffene diese Informationen einsehen kann.

Darüber hinaus muss das Unternehmen eine „ausdrücklich bejahende Einwilligung“ („affirmative express consent“) vom Nutzer für die in den Datenschutzinformationen beschriebenen Tätigkeiten einholen.

Für bestimmte Apps, bei denen zum Beispiel Nachrichten auf den jeweiligen Standort zugeschnitten werden, geben viele User sogar freiwillig ihren Standort preis. Allerdings wollen sie dann vielleicht dennoch wissen, wenn diese Informationen an Dritte verkauft werden. Mit dem uneingeschränkten Gebrauch von Standortdaten können reale Gefahren verbunden sein, von Stalking über unerwünschtes Scoring bis hin zu diskriminierenden geschäftlichen Handlungen.

Section 10 (a): „A private entity may not collect, use, store, or disclose geolocation information from a location-based application on a person's device unless the private entity first receives the person's affirmative express consent after providing clear, prominent, and accurate notice that: (1) informs the person that his or her geolocation information will be collected, used, or disclosed; (2) informs the person in writing of the specific purposes for which his or her geolocation information will be collected, used, or disclosed; and (3) provides the person a hyperlink or comparably easily accessible means to access the information specified in this subsection.“

Doch es gibt eine begrenzte Anzahl von Verwendungen, die von der Bekanntmachung und der Einwilligungserfordernis ausgeschlossen sind, nämlich

  • wenn zum Beispiel Eltern die Informationen benötigen, um ein minderjähriges Kind zu finden;
  • um einem gerichtlich bestellten Vormund, die Möglichkeit zu geben, eine Person mit Behinderung zu finden;
  • für die Bereitstellung von Feuerwehr, Polizei und anderen Notdiensten sowie
  • für den begrenzten Zweck der Bereitstellung von Speicher-, Sicherheits- und Authentifizierungsdiensten.

Section 10 (b): „A private entity may collect, use, store, or disclose geolocation information from a location-based application on a person's device without receiving affirmative express consent if the collection, storage, or disclosure is: (1) to allow a parent or legal guardian to locate an unemancipated minor child; (2) to allow a court-appointed guardian to locate a legally incapacitated person; (3) for the provision of fire, medical, public safety, or other emergency services; or (4) for the limited purpose of providing storage, security, or authentication services.“

 

Das droht bei Verstößen gegen den Geolocation Privacy Protection Act

Bei einem Verstoß drohen Sanktionen von mindestens USD 1000,00 zuzüglich der Anwalts- und Gerichtskosten. Verstöße gegen das neue Gesetz würden zudem eine Verletzung des Illinois Consumer Fraud and Deceptive Businesses Act darstellen.

Section 15 (a): „A violation of this Act constitutes a violation of the Consumer Fraud and Deceptive Business Practices Act. …“

Das Gesetz liegt auf einer Linie mit anderen Gesetzen zum Thema „Privacy“ in Illinois, zum Beispiel dem „Right to know Act“, der derzeit noch verhandelt wird. Das „Right to Know“-Gesetz verlangt, dass Betreiber kommerzieller Websites oder Onlinedienste offenlegen, wie persönliche Informationen von Unternehmen geteilt werden. Die Auskunft hat binnen 30 Tagen zu erfolgen, sei es, nachdem sich Kunden für die Dienstleistungen anmelden oder aber ihr Auskunftsrecht geltend machen. In Deutschland und Europa sind derartige Rechte als Jedermannsrechte nach § 34 des Bundesdatenschutzgesetzes (BDSG) beziehungsweise Art. 15 der Datenschutzgrundverordnung (DSGVO) bekannt.

Im Hinblick auf den Normvollzug ist das Gesetz vergleichsweise „soft“, denn der Attorney General ist allein zuständig, die Einhaltung zu verfolgen. Es wird also kein privates Klagerecht bei Verletzungen geben. Das Gesetz sieht zudem eine 15-tägige Nachfrist beziehungsweise cure period vor, die dem Unternehmen nach der förmlichen Beschwerde durch den Attorney General eingeräumt wird. Innerhalb dieser Frist kann die Verletzung noch beseitigt werden:

Section 15 (b): „A private entity, other than an individual, that is in violation of this Act shall have 15 days after being notified of a violation to rectify that violation before the Attorney General or appropriate State's Attorney's Office may seek an enforcement action against that private entity.“

Vor diesem Hintergrund macht es durchaus Sinn, Verbrauchern die Möglichkeit der (Sammel-)Klage zu verschaffen, indem man die Möglichkeit eröffnet, Verstöße als „Fraud“ beziehungsweise „Deception“ im Sinne der obigen Verbraucherschutzvorschrift einzuordnen.

 

Datenschutzrechtliche Marschrichtung der USA

Welche Auswirkungen das Gesetz haben wird, steht in den Sternen. Es ist jedoch ein weiteres Zeichen für die sich dynamisch verändernde Landschaft der Datenschutzgesetze in den Bundesstaaten der USA, die fast wöchentlich neue Blüten hervorbringt.  In der Vergangenheit gab es zahlreiche Fälle, in denen Unternehmen keine Einwilligung zur Erfassung von Standortdaten eingeholt und dennoch die Aufenthaltsorte von mobilen Geräten getrackt haben. Vor diesem Hintergrund ist neben den Sanktionsaspekten jede Konditionierung hin zu mehr Vorsicht im Umgang mit sensiblen Informationen, durchaus zu begrüßen.

 

Einen Kommentar schreiben

Tags

JointControl c/o Internet of Things Anonymisierung privacy shield Suchmaschinenbetreiber Kinder Job Ferienwohnung § 5 MarkenG ReFa ePrivacy 5 UWG Buchungsportal Heilkunde Spielzeug Doxing Xing Abmahnung DSGVO Namensrecht Hausrecht whatsapp Data Breach Touristik A1-Bescheinigung Unionsmarke Gesetz § 24 MarkenG NetzDG fotos Überwachung Meldepflicht britain fake news Referendar jahresabschluss Kreditkarten Bildrecherche Selbstverständlichkeiten Registered Haftung Polen Soziale Netzwerke Consent Management Big Data transparenzregister Mindestlohn Deep Fake Check-in Bußgeld Minijob Suchmaschinen email marketing Auftragsverarbeitung Rückgaberecht Weihnachten EuGH Berlin Ring Osteopathie Journalisten Filesharing gender pay gap unternehmensrecht events Europawahl Medienstaatsvertrag FashionID WLAN EU-Kosmetik-Verordnung right of publicity informationstechnologie USA Künstliche Intelligenz SEA Datenschutzerklärung Internet Annual Return Duldungsvollmacht Tracking Interview Verfügbarkeit Insolvenz nutzungsrechte Zahlungsdaten Asien Team Spirit technology fristen Artificial Intelligence Stellenausschreibung handel CRM Hotellerie Unlauterer Wettbewerb Sperrabrede Pseudonomisierung Verpackungsgesetz Internetrecht Vergütungsmodelle Urteile Messe Urteil Erschöpfungsgrundsatz E-Commerce Persönlichkeitsrecht Behinderungswettbewerb Google Medienrecht Hotels data security Datenpanne Personenbezogene Daten besondere Darstellung Hack AIDA SSO Verlängerung Booking.com Haftungsrecht veröffentlichung hate speech markenanmeldung Onlineplattform Sponsoren Reisen Website Informationspflicht Influencer data kinderfotos Bachblüten Corporate Housekeeping TeamSpirit BDSG Abhören LG Köln Konferenz Leipzig Informationsfreiheit Vertragsrecht Linkhaftung Kekse wallart Unternehmensgründung ecommerce TikTok E-Mail Sampling Einwilligung LinkedIn gesellschaftsrecht Entschädigung Expedia.com Europarecht verbraucherstreitbeilegungsgesetz Datensicherheit Authentifizierung Google AdWords Bundeskartellamt zahlungsdienst Onlineshop brexit LMIV Meinung E-Mail-Marketing technik Kundenbewertung Twitter Schöpfungshöhe Amazon Distribution Data Protection Neujahr Lohnfortzahlung Hotelkonzept Umtausch Kinderrechte Tipppfehlerdomain Domainrecht verlinken EC-Karten Anmeldung Unterlassung Online-Portale Videokonferenz Phishing Geschäftsanschrift Online Marketing Bots Einstellungsverbot Herkunftsfunktion Reise HSMA Bestpreisklausel Limited Sponsoring Beweislast Finanzierung

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: