Update – Steve Kondik von Cyngn hat ein Antwort auf Google+ im Anschluss an diesen Artikel. Leider geht er in keiner Weise auf die Tatsache ein, dass der Dienst, den er für die Integration ausgewählt hat, die Daten anderer Personen hochlädt, sondern konzentriert sich stattdessen auf den Prozess der Einwilligungsanfrage. Ihr Benutzer-Opt-in-Prozess ist unerheblich, da Personen, deren Daten hochgeladen werden, diese Einwilligungsnachricht nicht sehen können – die App lädt die Daten anderer Personen ohne deren Zustimmung hoch.
Truecaller, ein Unternehmen, von dem viele vielleicht noch nichts gehört haben, hat es gerade geschafft angekündigt eine Vereinbarung zur Partnerschaft mit Cyngn, dem kommerziellen Zweig von CyanogenMod. Auf den ersten Blick eine nette Verbindung zur Integration von Truecaller-Funktionen in den Cyngn OS-Dialer.
Leider ist Truecaller jedoch ein einigermaßen interessantes Unternehmen mit recht interessanten Geschäftsmethoden. Ihr Geschäftsmodell ist sicherlich bestenfalls fragwürdig (und möglicherweise noch viel schlimmer) – wenn Sie die „erweiterte Suche“-Funktion von Truecaller verwenden (was so ziemlich der Fall ist).
„Nun, das ist einfach falsch“, höre ich kluge Leser sagen. „Sicherlich können sie nicht einfach die Kontaktinformationen der Leute mit anderen teilen?“ Also... Herkömmlicherweise hätten Sie Recht – rechtlich gesehen wäre dies zumindest innerhalb Europas illegal. Die Datenschutzrichtlinie ist ein ziemlich umfangreiches Gesetz, das solche Themen abdeckt, und wir werden später noch einmal einen Blick darauf werfen, damit unsere europäischen Nutzer davon profitieren können.
Der „Ausstieg“, den Truecaller nutzen, ist in ihrem Inneren verborgen Nutzungsbedingungen, wo sie auf magische Weise versuchen, hier herauszukommen:
Indem Sie die Erfassung von Kontaktinformationen zulassen, gewähren Sie Truecaller das Recht, diese Kontaktinformationen als Teil zu verwenden des Dienstes und Sie garantieren, dass Sie über alle erforderlichen Berechtigungen zur Weitergabe dieser Kontaktinformationen verfügen uns. Sie können die Weitergabe Ihrer Kontaktinformationen jederzeit ablehnen.
Ja das ist richtig... Das hast du richtig gehört. Sie als Endbenutzer müssen zustimmen, dass alle Ihre Kontakte Ihnen die Einwilligung zum Hochladen ihrer Daten auf Truecaller gegeben haben. Sie behaupten, die Telefonnummern von 1,6 Milliarden Menschen durchsuchbar zu haben, so dass Sie nach deren Nummern suchen können. Hier ist eine Frage: Wie viele Personen, die ihre Kontaktdaten an diesen Dienst übermittelt haben, haben die Erlaubnis dazu erhalten? Natürlich können Sie die Übermittlung Ihrer Daten an Dritte ablehnen, aber das nützt nicht viel, da es unmöglich ist, die Weitergabe Ihrer Daten an andere Personen wirklich abzulehnen. Tatsächlich bietet Truecaller die Möglichkeit, sich selbst zu haben aus der Liste genommenDazu müssen Sie wissen, dass Ihre Daten überhaupt gespeichert sind.
Um zum zurückzukommen EU-Datenschutzrichtlinie, hier ein paar interessante Aussagen, die hier relevant sind:
(a) „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; Eine identifizierbare Person ist eine Person, die direkt oder indirekt, insbesondere durch Bezugnahme auf eine Person, identifiziert werden kann Identifikationsnummer oder einem oder mehreren spezifischen Faktoren seiner physischen, physiologischen, mentalen, wirtschaftlichen, kulturellen oder soziale Identität;"
Da es sich bei Ihrem Namen um Informationen über Sie als identifizierbare Person handelt, handelt es sich bei allen auf Sie bezogenen Daten um „personenbezogene Daten“.
„Einwilligung der betroffenen Person“ ist jede freiwillige, konkrete und informierte Einwilligung der betroffenen Person Willenserklärung, mit der die betroffene Person ihr Einverständnis mit der Verarbeitung der sie betreffenden personenbezogenen Daten erklärt verarbeitet."
Dies definiert die Bedeutung der Einwilligung im Kontext des Gesetzes und erfordert, dass Personen eine informierte Angabe machen dass ihre Daten verarbeitet werden können (die Verarbeitung umfasst jede Form der manuellen oder automatischen Verarbeitung der Daten, einschließlich Lagerung!)
Der wichtigste Teil der Gesetzgebung ist jedoch Artikel 7, der die Umstände regelt, unter denen personenbezogene Daten verarbeitet werden dürfen. Schauen wir uns diese an.
Die Mitgliedstaaten sehen vor, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn:
(a) die betroffene Person hat eindeutig ihre Einwilligung gegeben; oder
Sie sind die betroffene Person; nicht die Person, die es hochlädt. Sie haben Ihre Einwilligung daher nicht erteilt.
(b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich; oder
Da Sie nicht wissen, ob sich jemand dazu entschließt, Ihre Daten an Truecaller zu senden, gehen Sie eindeutig keinen Vertrag ein. Sie müssten sich dessen bewusst sein und sich dafür entscheiden, Vertragspartei eines solchen Vertrags zu werden.
(c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; oder
Für Truecaller besteht keine rechtliche Verpflichtung, diesen Dienst bereitzustellen oder Daten zu sammeln.
(d) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich; oder
Ihre lebenswichtigen Interessen werden durch Truecaller nicht geschützt, sodass jeder Ihren Namen anhand Ihrer Telefonnummer herausfinden kann. Tatsächlich ist es wahrscheinlicher, dass dadurch Ihr lebenswichtiges Interesse an der Privatsphäre (einem Menschenrecht) verletzt wird.
(e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder im öffentlichen Interesse liegt Ausübung öffentlicher Gewalt, die dem Verantwortlichen oder einem Dritten, dem die Daten gehören, übertragen wurde offengelegt; oder
Dies liegt weder im öffentlichen Interesse, noch besteht eine behördliche Befugnis zur Durchführung der Verarbeitung.
(f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder des Dritten oder der Dritten, an die sich die Daten befinden, erforderlich offengelegt werden, es sei denn, diese Interessen überwiegen die schutzwürdigen Interessen der Grundrechte und Grundfreiheiten der betroffenen Person Artikel 1 (1).
Artikel 1 verlangt, dass „die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf Privatsphäre bei der Verarbeitung personenbezogener Daten“, geschützt werden. Diese Klausel wird ihnen nicht weiterhelfen.
Daher schlage ich vor, dass Truecaller keine rechtliche Erlaubnis zur Verarbeitung personenbezogener Daten von Nichtnutzern seines Dienstes hat. Daten, die es von anderen sammelt, sind nicht deren Daten – es handelt sich eindeutig und offensichtlich um personenbezogene Daten anderer betroffener Personen. Diese Leute haben (meiner Ansicht nach) einen berechtigten Rechtsanspruch gegen Truecaller. Da Truecaller seinen Sitz in Schweden hat, einem Mitgliedsstaat der Europäischen Union, gilt für sie die Datenschutzrichtlinie.
Zu sehen, dass diese Art von Funktion in etwas integriert ist, das ursprünglich als benutzerdefinierte Firmware gedacht war und seinen Benutzern Auswahl und Freiheit bieten sollte, ist geradezu unvorstellbar. Da Cyngn versucht, der „Anti-Google“ zu sein, sollten sie vielleicht einen Blick darauf werfen, bevor sie das neueste #bigthing in ihr Produkt integrieren?
Vielleicht ist es an der Zeit, dass die europäischen Opfer von Truecaller zusammenkommen und einen Testfall zu diesem Thema einleiten? Für mich sieht es ziemlich eindeutig aus. Truecaller hat keine Einwilligung derjenigen, deren Daten sie verarbeiten. Wenn die Maßnahmen gegen Truecaller erfolgreich wären, könnten Unternehmen wie Facebook aufgrund ihrer Angewohnheit, „Befreier“ zu sein, die nächsten sein. Ihre Kontaktdaten an deren Server (ohne Zustimmung der Beteiligten), um Schattenprofile von Nicht-Facebook zu erstellen Benutzer. Da wir bereits wissen, dass Facebook so viele Kontaktdaten wie möglich über Nicht-Dienstnutzer (die dies nicht getan haben) gesammelt, zusammengestellt und zusammengeführt hat Personen, die der Verarbeitung ihrer Daten durch Facebook zugestimmt haben), sollten sich bei ihrer Anwesenheit in Irland vielleicht eine Kopie der Datenschutzrichtlinie ausdrucken und diese in Anspruch nehmen lesen?