Einführung einer angemessenen Datenschutzerklärung
Home » Standort- und Nachverfolgungsdaten » Privatsphäre schützen » Einführung einer angemessenen Datenschutzerklärung

Der Entwickler sollte stets darauf achten, dass das Gerät oder System einen angemessenen Datenschutzhinweis gemäß Artikel 12 und 13 DSGVO sowie den Anforderungen der e-Datenschutz-Verordnung und des nationalen Rechtsrahmens enthält. Darin muss beschrieben werden, wie das Gerät personenbezogene Daten erhebt, verwendet, speichert und offenlegt. Außerdem sollte das Gerät Informationen über die Rechte der betroffenen Personen in zugänglicher Form enthalten[1].

Die darin enthaltenen Informationen müssen in einer verständlichen Sprache erklärt werden, die auch von Personen verstanden werden kann, die fast nichts über IKT-Systeme wissen. Dieser Hinweis muss mindestens alle in den Artikeln 13 und 14 DSGVO aufgeführten Themen enthalten, nämlich: Informationen über (1) den Zweck der Verarbeitung, (2) welche personenbezogenen Daten erhoben werden, (3) wie die erhobenen Daten verwendet werden, (4) an wen die personenbezogenen Standortdaten weitergegeben werden, (5) wie eine betroffene Person ihre Einwilligung widerrufen und Auskunft über ihre personenbezogenen Standortdaten erhalten oder diese berichtigen kann, (6) Informationen über Rechte im Zusammenhang mit der automatisierten Entscheidungsfindung, (7) die Kontaktdaten des zuständigen Datenschutzbeauftragten, falls dieser kontaktiert werden muss, (8) Informationen über die Speicherfristen usw.[2] Darüber hinaus ist es wichtig, die betroffenen Personen über alle Änderungen in Bezug auf die Verarbeitung sie betreffender personenbezogener Daten zu informieren, was im Datenschutzhinweise festgehalten werden sollte. Weiterhin sollte das System so gestaltet sein, dass die betroffene Person auf die Änderungen aufmerksam gemacht wird (durch Meldungen, Symbole, Warnhinweise usw.).

Zusätzlich zu den erwähnten obligatorischen Informationsanforderungen sollten Verantwortliche die folgenden bewährten Verfahren für die Bereitstellung transparenter Informationen bei Projekten befolgen, die die Verarbeitung von Standort- oder Begegnungsdaten beinhalten. Diese sind natürlich nicht obligatorisch, werden aber dringend empfohlen:[3]

  • Welche konkreten Verwendungszwecke werden für die erhobenen Daten angegeben?
  • Geben Sie an, wie häufig und detailliert die Geodaten erhoben werden.
  • Geben Sie die Art und den Typ der erhobenen Daten an.
  • Erinnern Sie die betroffenen Personen gegebenenfalls daran, dass sie vergessen könnten, dass sie nachverfolgt werden, und dass das Gerät ihre Besuche an privaten Orten oder ihre Nähe zu bestimmten Personen aufzeichnen könnte (dies ist nicht obligatorisch, kann aber als gute Praxis angesehen werden);
  • Erinnern Sie die Teilnehmer gegebenenfalls daran, dass die Geodaten Beweise für illegale Aktivitäten enthalten können. In diesem Fall ist die Offenlegung möglicherweise nicht durch die Vertraulichkeitserklärung der Forschungseinrichtung geschützt und könnte von den Strafverfolgungsbehörden aufgedeckt werden (siehe Artikel 10 DSGVO);
  • Bieten Sie eine einfache Möglichkeit, die betroffenen Personen an die Nachverfolgung zu erinnern. Zum Beispiel durch die Aktivierung eines Symbols, wenn Standort- oder Begegnungsdaten erhoben werden, und die Deaktivierung dieses Symbols, wenn keine Daten erhoben werden.
  • Stellen Sie eine Erklärung mit dem Hinweis bereit, dass Personen in Forschungspublikationen oder -präsentationen nicht ohne die ausdrückliche Einwilligung der Teilnehmer identifiziert werden (es sei denn, es gilt eine andere Rechtsgrundlage für die Verarbeitung).
  • Stellen Sie eine Erklärung mit der Erläuterung bereit, dass identifizierbare Daten ohne die Einwilligung der betroffenen Person nicht an Dritte weitergegeben werden, dass aber de-identifizierte Daten weitergegeben werden können.
  • Erinnern Sie die betroffenen Personen gegebenenfalls daran und zeigen Sie ihnen, wie sie die Standortverfolgung oder das Erheben von Begegnungsdaten deaktivieren oder vorübergehend unterbrechen können, wann immer sie dies wünschen.
  • Erstellen Sie eine Liste von Empfängern, die Zugang zu den Daten haben werden.
  • Bewerten Sie das Risiko, dass die Teilnehmer anhand der bereitgestellten Daten re-identifiziert werden können.
  • Bewerten Sie das Risiko, dass im Falle einer versehentlichen Re-Identifikation von Daten ein Schaden entstehen könnte, gegebenenfalls auch ein finanzieller, psychologischer und/oder physischer Schaden.
  • Informieren Sie die betroffenen Personen über ihre Rechte und die Möglichkeit, diese durchzusetzen.
  • Stellen Sie den betroffenen Personen die Kontaktinformationen des zuständigen Datenschutzbeauftragten bereit.

Es wird empfohlen, rechtliche Gestaltungsoptionen zu wählen, die die Datenschutzerklärungen anschaulicher und leichter verständlich machen. Sie können beispielsweise Bildsymbole verwenden, um der Informationspflicht des Verantwortlichen nachzukommen, Videos, Geschichten oder auch eine einfache Formatierung wie die Verwendung von Diagrammen. Es ist notwendig, den Teilnehmern ein „Datenschutz-Selbstmanagement“-Modell zur Verfügung zu stellen, über das sie einfachen Zugang (über einen Link oder einen Menüpunkt) zu kurzen Kontaktinformationen der Einrichtung erhalten. Die Landing Page der App ist ein hervorragender Ort, um relevante Datenschutzinformationen und Kontaktdaten zu veröffentlichen und einen Hyperlink zu einer „zweiten Ebene“ mit detaillierteren Datenschutzinformationen gemäß Artikel 12 Absatz 7 DSGVO bereitzustellen.

Wenn Dritte an der Verarbeitung beteiligt sind, muss eine Vertragsklausel mit den Empfängern der Daten unterzeichnet werden, und zwar unabhängig davon, ob es sich um Verantwortliche oder Auftragsverarbeiter handelt. In dieser Klausel kann festgelegt werden, dass der Empfänger betroffene Personen nicht re-identifizieren wird und dass im Falle einer Re-Identifikation diese Daten gelöscht werden und die Tatsache gemeldet wird.

Checkliste:[4]

☐ Die Verantwortlichen überprüfen regelmäßig die Verarbeitung und aktualisieren gegebenenfalls ihre Dokumentation und die Informationen zum Schutz der Privatsphäre von Personen.

 Die Nutzer werden über alle erhobenen personenbezogenen Daten informiert. Diese Daten werden nur erhoben, wenn eine Rechtsgrundlage für die Verarbeitung vorliegt.

☐ Die Verantwortlichen erläutern, wie Personen auf Details der Informationen zugreifen können, die für die von dem Tool angebotenen Dienste verwendet werden.

    Quellenangaben

    1JRC Technical Reports, Guidelines for public administrations on location privacy, unter: https://publications.jrc.ec.europa.eu/repository/handle/JRC103110

    2JRC Technical Reports, Guidelines for public administrations on location privacy, unter: https://publications.jrc.ec.europa.eu/repository/handle/JRC103110

    3Goldenholz DM, Goldenholz SR, Krishnamurthy KB, et al. Using mobile location data in biomedical research while preserving privacy. Journal of the American Medical Informatics Association, ocy071, https://doi.org/10.1093/jamia/ocy071.

    4Die vorliegende Checkliste wurde auf der Grundlage dieser Dokumente erstellt: EDSA, Leitlinien 04/2020 für die Verwendung von Standortdaten und Tools zur Kontaktnachverfolgung im Zusammenhang mit dem Ausbruch von COVID-19. Angenommen am 21. April 2020; ICO (keine Datum) Principle (b): purpose limitation. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/(abgerufen am 17. Mai 2020).

     

    Skip to content