0
News
Neues aus IT-Management und Weiterbildung

Datentreuhänder verkaufen Handy-Standorte von EU-Bürger:innen – bist du auch betroffen?

Immer wieder zeigen Recherchen von Journalist:innen, dass sensible Daten wie Information über den Standort von Handynutzer:innen verkauft werden. Zuletzt sorgte eine Reportage des privaten Radios BNR hier für Aufsehen: Der BNR fand heraus, dass selbst vor hochrangigen Offizieren oder anderen sicherheitsrelevanten Gruppen nicht Halt gemacht wird. Damit stellt der Datenhandel nicht nur ein Datenschutzproblem dar, sondern kann auch schnell ein Risiko für die nationale Sicherheitslage bedeuten.

Pseudonymisierte Daten – reicht das?

Dass die Daten pseudonymisiert sind, ist dabei eine nur schwer haltbare Verteidigung. Laut der Recherche müssen die käuflich erworbenen Daten nur mit frei verfügbaren Daten abgeglichen werden, um dahinter die natürlichen Personen identifizieren zu können.

Schnell stellt sich die Frage, wie die Broker an diese sensiblen Datensätze kommen. Den Händlern zufolge stammen sie aus Apps, in denen Nutzer:innen eine Erlaubnis für die Verwendung von Standortdaten erteilt haben. Die Verarbeitung soll demnach auf eine Einwilligung beruhen. Ob das rechtskonform ist?

mITSM-Stellungnahme: Warum ist dies datenschutzrechtlich kritisch einzustufen?

Wie alle Teilnehmer:innen unserer Datenschutzbeauftragtenschulung wissen, wird durch die DS-GVO das sog. „Verbotsprinzip“ etabliert bzw. auch das „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist, es sei denn, es liegt eine taugliche Rechtsgrundlage vor.
Eine mögliche Rechtsgrundlage für die Datenverarbeitung ist die Einwilligung. Damit eine Einwilligung als tauglich – und damit rechtlich gültig – zählt, müssen mehrere Kriterien erfüllt sein (Art. 4 Nr. 11 DS-GVO). Die Willenserklärung muss unter anderem

  1. unmissverständlich,
  2. freiwillig und
  3. in informierter Weise erteilt werden.

Als selbstverständliche Wirksamkeitsvoraussetzung legt die DS-GVO fest, dass sich der Einzelne der Erteilung einer rechtserheblichen Einwilligung bewusst sein muss. Das bedeutet, dass aus der Einwilligungserklärung eindeutig hervorgehen muss, dass es um rechtsgeschäftlich Erhebliches geht. Ist dies nicht der Fall, so ist die Erklärung nicht wirksam.

Mit anderen Worten: Wenn der Betroffene nicht weiß, was er da erklärt und was mit seinen Daten passieren wird, gibt es auch keine wirksame Einwilligung!

In Bezug auf der verkauften Standortdaten bedeutet das: Waren sich die Betroffenen bewusst, dass ihre Daten weitergegeben und -verarbeitet werden, nur weil sie in der Wetter-, Fitness- oder Navigationsapp die Einwilligung für den Zugriff auf den Standort gegeben haben?

mITSM meint: Sehr wahrscheinlich nicht. Damit ist die Weitergabe der Standortdaten in der EU wahrscheinlich ein Verstoß gegen die DS-GVO.


Über den Autor: Niklas Greimann

Niklas ist Trainer und Produktmanager für den Bereich Datenschutz. Als ausgebildeter Jurist mit dem Schwerpunkt Datenschutz steht er unseren Teilnehmern jederzeit Rede und Antwort. Dank seiner langjährigen Erfahrung in verschiedenen KMUs kann er in seinen Trainings einen hohen Praxisbezug herstellen. Niklas legt Wert auf den Austausch zwischen den Teilnehmern und darauf, seine Schulungen abwechslungsreich und kurzweilig zu gestalten.

14.02.2024

+49 89 - 44 44 31 88 0