Die Nutzung von Telemetriedaten war in den letzten Jahren immer wieder im Fokus der Datenschutz-Aufsichtsbehörden – insbesondere wegen Microsoft 365. Wenn Software-Anbieter im Zusammenhang mit der Erbringung ihrer Leistungen Telemetriedaten von den Nutzern ihrer Software erheben wollen, stellt sich insbesondere die Frage, auf welche Rechtsgrundlage sie diese Datenverarbeitung stützen können.
Dieser Artikel zeigt gangbare Wege für die rechtskonforme Verarbeitung von Telemetriedaten auf, die angesichts der bereits bestehenden Aufmerksamkeit der Datenschutzbehörden dringend angeraten sind.
Telemetriedaten und Datenschutz
Unter Telemetriedaten versteht man alle Daten, die per Fernmessung gesammelt werden und Informationen enthalten, die einen Software-Nutzer identifizieren können.
Die Verarbeitung von Telemetriedaten ist aus datenschutzrechtlicher Sicht kritisch zu bewerten, da sich anhand dieser Informationen Rückschlüsse über den Nutzer ziehen lassen. Als Verantwortliche für die Verarbeitung von Telemetriedaten müssen Software-Anbieter im Rahmen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO (Datenschutz-Grundverordnung) nachweisen können, dass die Verarbeitung rechtmäßig erfolgt.
Demzufolge müssen Sie vorab prüfen und dokumentieren, auf welche Rechtsgrundlage Sie die Verarbeitung von Telemetriedaten stützen können.
Rechtsgrundlagen für die Verarbeitung von Telemetriedaten
Berechtigtes Interesse
Beim berechtigten Interesse gem. Art. 6 Abs. 1 lit. F) DSGVO handelt es sich um eine Vorschrift mit einem weiten und eher unspezifischen Anwendungsbereich. Einerseits hat das den Vorteil, dass die Vorschrift auf eine Vielzahl von Sachverhalten angewendet werden kann. Anderseits führt dies zu Rechtsunsicherheiten und Fragen bei der Anwendung im konkreten Einzelfall.
Grundsätzlich haben Software-Anbieter eine Vielzahl von berechtigten Interessen für die Verarbeitung von Telemetriedaten.
Allein das Vorliegen berechtigter Interessen reicht jedoch nicht aus, um die Verarbeitung zu legitimieren. Zwingend ist, dass die Verarbeitung zur Wahrung der Interessen erforderlich ist und dass die Interessen der Software-Anbieter die Interessen der Betroffenen überwiegen. Den Interessen der Software-Anbieter stehen nämlich die Grundrechte der Nutzer auf Achtung ihres Privatlebens sowie Schutz personenbezogener Daten gem. Art. 7 und Art. 8 der EU-Grundrechtecharta gegenüber.
Auf jeden Fall ist das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen. Dabei sollten Sie u.a. beachten, dass bei der Verarbeitung von Telemetriedaten eine Vielzahl an Nutzungsdaten erhoben werden, die ein umfangreiches Tracking ermöglichen. Denn als Software-Anbieter erlangen Sie dabei ein weiteres Zusatzwissen über die Software-Nutzer, welches Ihnen sonst nicht zugänglich wäre.
Zu prüfen ist ebenfalls, ob die Verarbeitung von Telemetriedaten für die Betroffenen in der Sphäre des Erwartbaren ist. Software-Nutzer erwarten zwar in der Regel, dass personenbezogene Daten durch Software-Betreiber erhoben werden. Aber die Verarbeitung von Telemetriedaten steht außerhalb dessen, was Nutzer objektiv vernünftigerweise erwarten würden, denn derartige Datenerfassungen sind für die herkömmliche Nutzung der Software durch den Benutzer nicht notwendig. Darüber hinaus wirkt sich die Sammlung von Telemetriedaten nachteilig auf die Möglichkeit der Nutzer aus, die Verwendung eigener Daten zu kontrollieren und darüber bestimmen zu können.
Auch wenn dem Nutzer ein Widerspruchsrecht zur Verfügung stünde (durch Deaktivierung), wäre dies nicht ausreichend, denn diese Option käme zu spät, um im Hinblick auf die Eingriffsintensität die erforderliche Schutzwirkung zu entfalten.
Demnach sollten Sie sich nicht auf das berechtigte Interesse als Rechtsgrundlage stützen. Die Verarbeitung von Telemetriedaten sollte optional gestaltet werden und es allein dem Nutzer überlassen, ob er Telemetriedaten übersenden möchte oder nicht.
Einwilligung
Damit Software-Anbieter, die Telemetriedaten verarbeiten wollen, sich demnach datenschutzrechtlich nicht auf dünnem Eis bewegen, sollten sie die Einwilligung ihrer Nutzer einholen. Dabei sind folgende Anforderungen zu beachten:
Zeitpunkt der Einwilligung
Die Einwilligung gem. Art. 6 Absatz 1 lit. a) DSGVO sollte vor der erstmaligen Installation der Software oder vor dem erstmaligen Start der Software eingeholt werden, auf jeden Fall aber vor erstmaliger Erhebung von Telemetriedaten. Erst wenn der Nutzer seine Einwilligung durch eine aktive Handlung (z.B. den Klick auf eine Schaltfläche) abgegeben hat, darf die Erhebung der Telemetriedaten tatsächlich stattfinden. Das bedeutet, dass die Auswahlmöglichkeit nicht standardmäßig voreingestellt sein darf. Denn sogenannte Opt-out-Verfahren reichen für eine DSGVO-konforme Verarbeitung von Telemetriedaten nicht aus.
Dokumentation
Die Einwilligung sollte außerdem dokumentiert werden, damit Sie deren Erteilung im Zweifel nachweisen können.
Widerruf
Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden (Deaktivierungs-Button). Achtung: Der Widerruf muss ebenso einfach möglich sein, wie die Erteilung der Einwilligung (Art. 7 Abs. 3 S. 4 DSGVO).
Informationspflichten
Software-Anbieter müssen weiterhin transparent und umfassend beschreiben, welche Daten genau erfasst werden und für welche Zwecke diese verarbeitet werden sollen. Die Nutzer müssen nämlich genau wissen, worin sie überhaupt einwilligen.
Diese Anforderung ist besonders wichtig, denn die fehlende Informiertheit ist der Hauptkritikpunkt der Aufsichtsbehörden bei der Nutzung von Telemetriedaten durch Microsoft.
So gab Microsoft an, die Telemetriedaten für die Bereitstellung, Verbesserung und Gewährleistung der Sicherheit seiner Produkte zu verwenden. Diese Zweckbestimmungen sind aber sehr vage. Achten Sie demnach darauf, dass Sie Ihre Nutzer ausreichend und umfangreich über die Zwecke der Sammlung der Telemetriedaten unterrichten, damit diese einen genauen Überblick über die Verarbeitung haben.Tipp: Lesen Sie unsere Anleitung zur Erfüllung von Informationspflichten.
Fazit
Die Auswahl der korrekten Rechtsgrundlage sollte stets sorgfältig erfolgen, denn Verstöße gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung können von den Aufsichtsbehörden mit sehr hohen Bußgeldern geahndet werden. Gemäß Art. 83 Abs. 5 lit. a DSGVO können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.
Vor allem bei der Verarbeitung von Telemetriedaten ist große Vorsicht geboten, da dieses Thema bereits aufgrund von Microsoft auf die Agenda der Aufsichtsbehörden gebracht wurde. Wenn Sie die Einwilligung wie hier beschrieben ausgestalten, sollte der Verarbeitung von Telemetriedaten jedoch nichts im Wege stehen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!