Im Oktober hat die Berlin Group ein Arbeitspapier zu Telemetrie- und Diagnosedaten veröffentlicht. Die Berlin Group ist die Internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT), deren Vorsitzender der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist. Die wesentlichen Aspekte des Arbeitspapiers werden im Folgenden zusammengefasst.
Ziel des Arbeitspapiers
Ziel des Arbeitspapiers ist es, vor allem den Anbietern und Entwicklern von Systemen und Apps (zusammenfassend „Software“ genannt) Empfehlungen zu geben, wie Telemetrie- und Diagnosedaten datenschutzkonform verarbeitet werden können. Adressiert werden auch die Verantwortlichen, welche diese Software nutzen.
Definition von Telemetrie- und Diagnosedaten
Die Berlin Group definiert in ihrem Arbeitspapier die grundlegenden Begriffe wie folgt: Telemetrie- und Diagnosedaten sind Informationen, die von Geräten oder der Software an die Anbieter oder Entwickler übermittelt werden und die in keinem Zusammenhang zum ursprünglichen Zweck der Datenverarbeitung stehen. (Hinweis des Verfassers: Der ursprüngliche Zweck der Datenverarbeitung entspricht verkürzt gesagt dem eigentlichen Zweck der Software, z. B. Ermöglichung des Logins im eigenen Account und Kauf von Produkten.) Im Gegensatz zu diesen ursprünglichen Zwecken fallen unter die zweckfremden Informationen das Monitoring der Leistung, Fehlersuche und -beseitigung, Qualitätssicherung, Verbesserung des Dienstes sowie Forschung und Entwicklung neuer Produkte und Dienste.
Telemetriedaten werden dauerhaft übermittelt und beziehen sich auf die Geräte- oder Softwarenutzung und können auch Informationen zum Standort enthalten.
Diagnosedaten hingegen fallen in bestimmten Situationen an, z. B. bei Softwarefehlern. Dabei können Diagnosedaten auch Informationen zur Softwarenutzung und auch Nutzerdaten enthalten, z. B. geöffnete Dateien zum Zeitpunkt des Softwarefehlers. Die Dateinamen und Dateien könnten personenbezogene Daten enthalten, auch die von anderen als der betroffenen Person.
Die Begriffe Telemetrie- und Diagnosedaten werden im Arbeitspapier überwiegend zusammen genannt, da sie beide personenbezogen Daten enthalten können, sodass die Empfehlungen gleichermaßen gelten.
Personenbezogene Daten bei Telemetrie- und Diagnosedaten
Die Berlin Group betont, dass der Begriff der personenbezogenen Daten sehr weitreichend ist. Es liegt demnach nicht nur dann ein Personenbezug vor, wenn die Telemetrie- und Diagnosedaten einen Bezug zu einem Namen oder einer E-Mail-Adresse aufweisen. Um personenbezogene Daten zu bejahen, sei es vielmehr ausreichend, dass eine Verbindung der Telemetrie- und Diagnosedaten zu einer Person mittels Pseudonymen bestehe oder sich aus den Umständen ergibt. Selbst wenn die Stelle, die die Telemetrie- und Diagnosedaten verarbeitet, keine Person identifiziert hat und dies auch nicht vorhat, liegen personenbezogene Daten vor. Es genügt, wenn eine Verbindung zwischen den Telemetrie- und Diagnosedaten und dem Gerät oder der Software besteht, z. B. bei Standortdaten. Auf jeden Fall liegen personenbezogene Daten vor, wenn die Nutzer in einem Account angemeldet sind.
Anwendungsfälle
Die Berlin Group nennt drei Anwendungsfälle, bei denen Telemetrie- und Diagnosedaten verarbeitet werden können: Bei Betriebssystemen, clientseitiger sowie serverseitiger Software. So kann z. B. eine Liste der genutzten Apps übermittelt werden, während die Verknüpfung zu einer Person über die Geräte- oder Betriebssystemregistrierung möglich ist, z. B. dem Google Account (Android), der Apple ID (iOS) oder dem Microsoft Account (Windows).
Datenschutzrisiken und Empfehlungen
Da sich insbesondere Anbieter und Entwickler nicht immer über den Umstand des Vorliegens von personenbezogenen Daten bewusst sind, benennt die Berlin Group besonders für diese Gruppe Datenschutzrisiken und formuliert Empfehlungen für verschiedene Stakeholder.
Accounts sollten bei einer Geräteeinrichtung möglichst vermieden werden.
Die betroffenen Personen sind gemäß Art. 13 DSGVO über die Datenverarbeitung von Telemetrie- und Diagnosedaten zu informieren, insbesondere wann welche Telemetrie- und Diagnosedaten zu welchem Zweck durch wen (Vertraulichkeit) verarbeitet werden. Auch ist ein Hinweis auf die Aktivierung oder Deaktivierung in den Software- oder Betriebssystemeinstellungen und auf den Widerruf/Widerspruch erforderlich.
Unter Berücksichtigung der Grundsätze der Zweckbindung, Datenminimierung und Speicherbegrenzung dürfen nur die für den Zweck (Softwarebetrieb) erforderlichen Daten verarbeitet werden und sind nach Zweckerfüllung zu löschen. Daher dürfen insbesondere Telemetriedaten nicht ohne näheren Verwendungszweck erhoben und grundlos aufbewahrt werden, da sie im Vergleich zu Diagnosedaten nicht aufgrund eines bestimmten Ereignisses erhoben worden sind. Nicht-erforderliche Daten und besondere Kategorien personenbezogener Daten (z. B. Daten, die Rückschlüsse auf Gesundheitsdaten geben) dürfen nur mit Einwilligung verarbeitet werden.
Anbieter und Entwickler sollen möglichst nur anonyme Daten verarbeiten. Eine Zählung der Downloads könne ohne personenbezogene Daten erfolgen.
Bei Updates müssten vorherige Einstellungen übernommen werden, sodass verhindert wird, dass durch das Update Telemetrie- und Diagnosedaten übermittelt werden.
Gesetzgeber sollten festlegen, in welchen Fällen und für welche Zwecke Telemetrie- und Diagnosedaten ohne Einwilligung verarbeitet werden dürfen.
Unternehmen sollten sich möglichst für einen datenschutzkonformen Anbieter entscheiden (gilt auch für Enduser) und ggf. verhandeln bzw. Konfigurationen vornehmen, um die Verarbeitung von Telemetrie- und Diagnosedaten zu minimieren oder auszuschließen.
Fazit
Das Arbeitspapier zeigt die datenschutzrechtlichen Herausforderungen auf, die es bei Telemetrie- und Diagnosedaten geben kann und ermutigt die Beteiligten, die Verarbeitung von Telemetrie- und Diagnosedaten vor Verwendung kritisch zu prüfen.
In der Regel ist nur das die Software einsetzende Unternehmen als Verantwortlicher verpflichtet, die Software bzgl. der Telemetrie- und Diagnosedaten datenschutzfreundlich zu konzipieren und zu konfigurieren (Data Protection by Design and by Default gemäß Art. 25 DSGVO), sodass nur die erforderlichen personenbezogenen Daten verarbeitet werden. Softwarehersteller sind gerade nicht Adressat der Vorschrift. Damit ist allein der Verantwortliche für die Datenschutzkonformität bzgl. der Verarbeitung von Telemetrie- und Diagnosedaten zuständig. Wenn Hersteller jedoch Telemetrie- und Diagnosedaten erhalten, müssen auch sie das Datenschutzrecht einhalten. Falls Hersteller keine Informationen zu Telemetrie- und Diagnosedaten bereitstellen sollten, müsste der Verantwortliche diese Informationen vor Softwareeinsatz einholen und die Rechtsgrundlagen für die Datenflüsse prüfen.
11. November 2023 @ 10:57
Microsoft so: ohne Account geht hier gar nichts, und eure Drittanbieteraccounts für E-Mail Konten holen wir uns jetzt auch!