5 Minuten Lesezeit 18 September 2020

            Frau schaut auf ein Mobiltelefon

Standort-Tracking macht Datenschutz zum zentralen Thema

Von Meribeth Banaschik

EY EMEIA Innovation Leader; Partner, Forensic & Integrity Services, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Rechts- und ehemalige Prozessanwältin. Hat jahrelange Erfahrung in den Bereichen eDiscovery, Dokumentenprüfung, Einhaltung des Datenschutzes, Rechtsstreitigkeiten und Vertragsmanagement.

5 Minuten Lesezeit 18 September 2020

Weitere Materialien

Die Verwaltung und Sicherung personenbezogener Daten erfordert einen höheren Grad unternehmensweiter und funktionsübergreifender Zusammenarbeit als je zuvor.

Kurze Zusammenfassung
  • Durch den zunehmenden Einsatz in Softwareanwendungen, die unser Privat- und Berufsleben prägen, entwickelt sich Standort-Tracking derzeit zu einem entscheidenden Datenschutzproblem.
  • Unternehmen, die seit dem Ausbruch der COVID-19-Pandemie personenbezogene Gesundheitsdaten oder Bewegungen von Mitarbeitern nachverfolgen, müssen die entsprechenden Auswirkungen auf den Datenschutz sorgfältig prüfen.
  • Um die Risiken rund um das Standort-Tracking zu verringern, sollten Compliance-Fachkräfte unternehmensweit zusammenarbeiten.

Unsere Verbundenheit mit dem Smartphone macht es zum perfekten Gerät, um unsere Bewegungen nachzuverfolgen, und führt dazu, dass die Geräte Unternehmen und Regierungen Daten von unschätzbarem Wert zur Verfügung stellen. Oft ahnen wir nicht, dass viele Apps auf unseren Handys es auf Standortdaten spezialisierten Unternehmen erlauben aufzuzeichnen, wie wir unseren Tag verbringen. Im Rahmen einer Untersuchung der New York Times konnten die Bewegungen von Einzelpersonen – wie sie ins Büro pendeln, ihre Kinder von der Schule abholen und sogar ihre Routine durchbrechen, um zu einem Vorstellungsgespräch zu gehen – anhand eines entsprechenden Datensatzes lückenlos nachverfolgt werden.1

Zunehmende Bedenken hinsichtlich des Standort-Tracking sind nur ein Beispiel dafür, inwiefern Datenschutz immer komplexer wird. COVID-19 verschlimmert das Problem gerade, weil Regierungen und Unternehmen mit neuen Technologien experimentieren, um den Ausbruch der Pandemie nachzuverfolgen und einzudämmen. Diese Anstrengungen retten Leben, aber sie schüren auch Ängste vor einem Eindringen in die Privatsphäre und einer Offenlegung personenbezogener Gesundheitsdaten. Datenschutzmanagement wird oft in der Verantwortlichkeit von Fachkräften der Bereiche Compliance und Recht, unterstützt durch das Cybersicherheitsteam, gesehen. Doch immer mehr Unternehmen stellen fest, dass das Thema Datenschutz Stakeholder ziemlich aller Unternehmensbereiche betrifft. Für die Steuerung von Datenschutzrisiken, die durch Standort-Tracking entstehen, bedarf es konzertierter Anstrengungen, einschließlich der Abteilungen Personal, Operations, Informationssicherheit, Kommunikation und Investor Relations.

Datenschutzklagen wegen Standort-Tracking im Fokus von Öffentlichkeit und Aufsichtsbehörden

Wussten Sie, dass das Vorhandensein einer Wetter-App auf Ihrem Handy bedeuten könnte, dass Ihre persönlichen Bewegungen von Sekunde zu Sekunde nachverfolgt und an Dritte verkauft werden, selbst wenn Sie die App gar nicht nutzen? Dies war Grundlage für eine Klage, die 2019 von der Staatsanwaltschaft Los Angeles eingereicht wurde. Der Vorwurf der Klage lautet, die Informationen über den Datenverkauf an Dritte seien in der Datenschutzerklärung und den Datenschutzeinstellungen der App versteckt gewesen, die von der großen Mehrheit der Nutzer nicht gelesen werden.²

⁠Viele Unternehmen, die Standortdaten erfassen, behaupten, damit keine Datenschutzverletzung zu begehen, da die Daten anonym seien, die Nutzer in die Standorterfassung einwilligten und die Daten sicher gespeichert würden. Doch Nachforschungen der New York Times zeigen, dass diese Behauptungen einer gerichtlichen oder aufsichtsrechtlichen Kontrolle nicht immer standhalten. Beispielsweise lässt sich eine Person anhand von Pings, die eine täglich zwischen Haus und Büro zurückgelegte Strecke zeigen, einfach identifizieren.

Während Handy-Apps viele der Tracking-Daten, die an Dritte verkauft werden, liefern, stehen zugleich auch Mobilfunkunternehmen in der Kritik. Die vier größten Mobilfunknetzbetreiber in den USA sagten 2018 zu, den Verkauf von Standortdaten zu beenden, doch zwei Jahre später veranschlagte die US Federal Communications Commission (FCC), die zuständige amerikanische Aufsichtsbehörde, Bußgelder in Höhe von Hunderten Millionen Dollar, da festgestellt wurde, dass die Betreiber weiterhin Kundendaten verkauften und gegen die Regeln der Behörde zum Schutz personenbezogener Daten verstießen.3

COVID-19 macht Standort-Tracking zum zentralen Thema

Die COVID-19-Krise veranlasste einige Regierungen zur Einführung von Handy-Apps, die mithilfe einer Nachverfolgung per Geolokalisierung Kontakte von Einzelpersonen nachverfolgen und es ermöglichen zu überprüfen, ob diese Personen die Quarantäne- und Abstandsregeln einhalten. In einigen Ländern hat das Tracking von Einzelpersonen dazu beigetragen, den Ausbruch des Virus einzudämmen; doch einer Sicherheitsanalyse von Guardsquare, einem führenden amerikanischen Anbieter mobiler Sicherheitsanwendungen, zufolge, in deren Rahmen 17 Tracking-Apps von Regierungen geprüft wurden, können sich Hacker bei der „überwiegenden Mehrheit“ der Apps leicht Zugriff verschaffen.4

Menschenrechtsgruppen sind besorgt, dass diese Apps zu tief in die Privatsphäre eindringen und über die Pandemie hinaus eingesetzt werden könnten. So hat zum Beispiel die norwegische Datenschutzbehörde die Tracking-App des Landes verboten, nachdem festgestellt wurde, dass diese weit mehr Daten erfasste als notwendig.5

Unternehmen erkunden derzeit auch neue Technologien, um die Gesundheit ihrer Mitarbeiter zu schützen, und nutzen Apps für Smartphones, Kameras oder tragbare Bluetooth-Geräte, um die Bewegungen von Mitarbeitern bei der Arbeit zu überwachen. Wenn ein Mitarbeiter positiv auf COVID-19 getestet wird, kann das Unternehmen diejenigen Mitarbeiter, die sich in der Nähe des Infizierten aufgehalten haben, schnell identifizieren. Obwohl es Arbeitgebern in vielen Ländern erlaubt ist, den Standort der Mitarbeiter während der Arbeitszeit nachzuverfolgen, fürchten Datenschützer, dass die Nachverfolgung zu einer Rund-um-die-Uhr-Überwachung ausgeweitet und noch lange nach dem Ende der Krise fortgeführt werden könnte.

Die Pandemie hat auch Datenschutzbedenken im Zusammenhang mit Gesundheitsdaten von Mitarbeitern geschürt. Eine im Mai 2020 veröffentlichte Studie der International Association of Privacy Professionals und von EY ergab, dass fast ein Viertel der Unternehmen Körpertemperaturmessungen bei Mitarbeitern durchgeführt hat und 60 % der Unternehmen Buch über Mitarbeiter mit einer COVID-19-Diagnose führen. Fast ein Fünftel der Unternehmen gab die Namen von positiv auf COVID-19 getesteten Mitarbeitern entgegen der Empfehlung des Europäischen Datenschutzausschusses an andere Mitarbeiter oder Regierungsbehörden weiter.6

Datenschutzvorschriften zielen auf eine Kontrolle des Standort-Tracking ab

Das zunehmende Interesse an Datenschutz hat weltweit zu neuen Vorschriften geführt. Eine der einflussreichsten, die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, behandelt Standortdaten als personenbezogene Daten. Das heißt, Nutzer müssen eigens und freiwillig in das Standort-Tracking einwilligen, anstatt entsprechenden Voreinstellungen zu widersprechen (Opt-out).

Standort-Tracking wird auch im kalifornischen Datenschutzgesetz, dem California Consumer Privacy Act (CCPA), mit dessen Durchsetzung der US-Bundesstaat Kalifornien im Juli 2020 begann, thematisiert. Gemäß dem CCPA können Einwohner des Bundesstaats Widerspruch gegen den Verkauf ihrer personenbezogenen Daten, einschließlich Standortdaten, an Dritte einlegen. Obwohl das Gesetz lediglich für Einwohner dieses Bundesstaats gilt, weiten viele große Unternehmen die Rechte auf alle Amerikaner aus. Schätzungen des Generalstaatsanwalts von Kalifornien zufolge werden Unternehmen mehr als 55 Mrd. US-Dollar ausgeben, um die Einhaltung des CCPA zu gewährleisten.7

Die Berücksichtigung von aus Standort-Tracking resultierenden Datenschutzrisiken erfordert eine funktionsübergreifende Zusammenarbeit

⁠Die Berücksichtigung von Datenschutzrisiken in Verbindung mit Standort-Tracking reicht über den Aufgabenbereich von Rechts- und Compliance-Abteilungen hinaus. Sie erfordert Flexibilität und Agilität, da Unternehmen auf die rasante Entwicklung technologischer und aufsichtsrechtlicher Rahmenbedingungen reagieren müssen. Eine funktionsübergreifende Zusammenarbeit ist daher unerlässlich.

Fachkräfte der Bereiche Recht und Compliance sollten die Zusammenarbeit mit anderen Funktionsbereichen – insbesondere IT-Abteilungen – in die Hand nehmen und ihnen dabei helfen, Risiken zu identifizieren, zu überwachen und zu verringern. Die Personalabteilung sollte sich auf die Schulung von Mitarbeitern und die Mitarbeiterkommunikation konzentrieren, damit Standort-Tracking, sofern es zum Einsatz kommt, nicht die Privatsphäre der Mitarbeiter verletzt und damit die Mitarbeiter den Zweck des Standort-Tracking nachvollziehen können. Experten im Bereich Informationssicherheit und IT müssen den Überblick über die rasante Weiterentwicklung von Technologien behalten, um deren Auswirkungen und potenzielle Risiken zu verstehen. Vor allem aber sollte Datenschutz standardmäßig in die Unternehmenskultur integriert werden (Privacy-by-Design-Konzept).

⁠Unternehmen müssen Datenschutzbedenken bei der Entwicklung von Produkten oder Dienstleistungen, die Standort-Tracking-Funktionalitäten beinhalten, weiterhin in den Vordergrund stellen. Das Missmanagement von Standort-Tracking birgt enorme Risiken, darunter das Risiko einer Verletzung von aufsichtsrechtlichen Vorschriften, Klagen, Reputationsschäden, Mitarbeiterunzufriedenheit und Umsatzeinbußen. Erfolgreiches Management von Standort-Tracking kann dagegen das Leistungsvermögen von Produkten verbessern, die Leistungserbringung vorantreiben und Mitarbeiter und das Unternehmen schützen.

Erkenntnisse

Durch den zunehmenden Einsatz in vielen Softwareanwendungen, die unseren persönlichen und beruflichen Alltag dominieren, entwickelt sich Standort-Tracking derzeit zu einem wichtigen Datenschutzproblem. Die COVID-19-Pandemie hat das Problem verschärft, da Regierungen und Unternehmen alles daran setzen, die Verbreitung des Virus schnellstmöglich einzudämmen. Unternehmen, die im Laufe der Pandemie vorschnell Änderungen am operativen Betrieb vorgenommen haben und z. B. Bewegungen von Mitarbeitern nachverfolgen oder personenbezogene Gesundheitsdaten teilen, müssen die entsprechenden Auswirkungen auf den Datenschutz sorgfältig prüfen.

Compliance-Fachleute sind zur unternehmensweiten Zusammenarbeit angehalten, um Risiken im Zusammenhang mit Standort-Tracking zu verringern, egal ob das Unternehmen Daten an andere Unternehmen vertreibt oder ob es Standort-Tracking in Bezug auf seine Mitarbeiter für interne Zwecke verfolgt. Diese Risiken können aufsichtsrechtliche und rechtliche Maßnahmen, Datenschutzverstöße, eine Demotivation der Mitarbeiter und Datenschutzbedenken sowie eine Schädigung der Marke zur Folge haben.

Die Einhaltung von Datenschutzvorschriften kann kostspielig und schwierig sein. Doch Unternehmen, die Standort-Tracking-Aktivitäten transparent und sicher managen, verschaffen sich dadurch einen Wettbewerbsvorteil, da Datenschutz sowohl für Verbraucher als auch für Mitarbeiter immer wichtiger wird. Unsere Handys mögen uns wichtig sein, aber niemand will mit ihnen seine Geheimnisse preisgeben.

  • Artikelreferenzen anzeigen#Artikelreferenz ausblenden

     

    1. Stuart A. Thompson und Charlie Warzel, „Twelve Million Phones, One Dataset, Zero Privacy“, The New York Times, 19. Dezember 2019
    2. Eriq Gardner, „All the Time and Money on California's New Privacy Law Waster?“, The Hollywood Reporter, 15. Juni 2020
    3. Drew FitzGerald und Sarah Krouse, „FCC Probe Finds Mobile Carriers Didn't Safeguard Customer Location Data“, The Wall Street Journal, 27. Februar 2020
    4. Grant Goodes, The Proliferation of COVID-19 Contact Tracing Apps Exposes Significant Security Risks (Zugriff über www.guardsquare.com), 18. Juni 2020.
    5. „After Being Ranked Among The World's Most Privacy-Invasive, Norway Suspends Use of Contact Tracing App“, CPO Magazine, Zugriff am 2. Juli 2020.
    6. Müge Fazlioglu, Privacy in the Wake of COVID-19: Remote Work, Employee Health Monitoring and Data Sharing, IAPP-EY report, https://iapp.org/resources/article/iapp-ey-report-privacy-in-wake-of-covid19/, Zugriff im Mai 2020.
    7. Standardisierte Regulierungsfolgenabschätzung: California Consumer Privacy Act of 2018 Regulations, erstellt für das California Department of Justice Office of the Attorney General, August 2019

     

     

Führung durch und über COVID-19 hinaus

Verschaffen Sie sich einen Überblick, um sich immer neuen Anforderungen zu stellen, Widerstandsfähigkeit aufzubauen und Ihre Zukunft aktiv zu gestalten: „now, next & beyond“

Mehr erfahren

Kontaktieren Sie uns

Lassen Sie sich von uns bei Krisenmanagement, Business Continuity und Enterprise Resilience unterstützen.

 

Kontaktieren Sie uns

Fazit

Standort-Tracking in Softwareanwendungen, die in unserem Berufs- und Privatleben zum Einsatz kommen, stellt nicht nur eine Bedrohung für den Datenschutz dar, sondern kann auch rechtliche Konsequenzen haben. Während Unternehmen zügig neue Technologien einführen, um ihre Mitarbeiter und Geschäfte im Zuge der COVID-19-Pandemie zu schützen, müssen Abteilungen über ihre gewohnten Aufgabenbereiche hinaus zusammenarbeiten, um rechtliche, Compliance- und Informationssicherheitsrisiken erfolgreich anzugehen.

Über diesen Artikel

Von Meribeth Banaschik

EY EMEIA Innovation Leader; Partner, Forensic & Integrity Services, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Rechts- und ehemalige Prozessanwältin. Hat jahrelange Erfahrung in den Bereichen eDiscovery, Dokumentenprüfung, Einhaltung des Datenschutzes, Rechtsstreitigkeiten und Vertragsmanagement.