Der Beitrag untersucht, welche datenschutzrechtlichen Vorgaben Kunden beachten müssen, die Produkte mit Telemetrie-Funktionen einsetzen wollen. Insoweit wird erörtert, welche Datenarten und Betroffenengruppen typischerweise Gegenstand der Telemetrie sind (II.). Das Hauptproblem des Kunden liegt in der rechtfertigungsbedürftigen Offenlegung der Telemetriedaten an den Hersteller (III.). Die Lösungsansätze aus der Praxis über Auftragsverarbeitung (IV.), „echte“ Datenübermittlung („controller to controller transfer“, V.) und Anonymisierung (VI.) erweisen sich insoweit als nicht datenschutzkonform.

Warum Hersteller die Telemetriefunktionen ihrer (Software-)Produkte aus datenschutzrechtlichen Gründen optional ausgestalten müssen

Inhaltsverzeichnis:

I.       Einführung

II.     Personenbezug von Telemetriedaten

1.      Datenkategorien

2.      Betroffene

3.      Personenbezug

4.      Mangelnde Transparenz

III.        Offenlegung der Telemetriedaten durch den Kunden

IV.        Auftragsverarbeitung

1.      Entscheidung über Zwecke und Mittel

a)      Grundsatz

b)      Typische Verarbeitungszwecke und Interessenlagen bei der Telemetrie

2.      Verantwortlichkeit des Kunden

3.      Zwischenergebnis

V.     Controller-to-Controller Transfer

1.      Akzessorische Offenlegung?

2.      Mögliche Rechtsgrundlagen für eine Offenlegung

a)      Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

b)      Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

c)      Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

d)      Verarbeitung von Beschäftigtendaten

3.      Folgeprobleme beim Controller-to-Controller-Transfer

a)      Auslandsübermittlung

b)      Gemeinsame Verantwortlichkeit

c)      Informationspflichten und Zweckänderung

4.      Zwischenergebnis

VI.        Anonymisierungsvereinbarungen

VII.       Ergebnis

I. Einführung

[1] Zahlreiche Software-Hersteller und SaaS-Anbieter werten das Nutzungsverhalten ihrer Kunden aus. Im Rahmen dieser sog. Telemetrie ¹  werden oft auch personenbezogene Daten verarbeitet. Dies soll u.a. der Verbesserung und Weiterentwicklung der Produkte und Services, der Analyse und Behebung von Fehlern und Sicherheitsproblemen und der Marktforschung dienen. Zum Teil erfolgt die Telemetrie auch zu Werbezwecken, z.B. um den Kunden nutzungsbasierte, personalisierte Werbung anzuzeigen ² .

[2] Derzeit steht die Verarbeitung von Telemetriedaten durch Microsoft bei der Nutzung von Windows 10 und Office 365 im besonderen Fokus der Datenschutz-Aufsichtsbehörden.

[3] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im November 2018 die Windows 10-Telemetrie technisch analysiert ³ . Das Niederländische Justizministerium hat in 2018 und 2019 umfangreiche Datenschutzfolgenabschätzungen zur Windows 10 – und Office 365-Telemetrie erstellen lassen und dabei technische und rechtliche Aspekte eingehend untersucht ⁴ . Zuletzt hat die deutsche Datenschutzkonferenz im November 2019 eine „Handlungsempfehlung“ zur Windows 10-Telemetrie herausgegeben ⁵ .

[4] Klare Vorgaben für den rechtlichen Umgang mit der Telemetriedatenverarbeitung gibt es derzeit leider nicht. Vor allem ist unklar, ob und unter welchen Voraussetzungen Produkte mit Telemetriefunktionen rechtskonform eingesetzt werden können. Die „Handlungsempfehlung“ der Datenschutzkonferenz vom November 2019 stellt lediglich fest, dass die mit der Telemetrie verbundenen Datenübermittlungen „auf ihre Rechtmäßigkeit zu prüfen sind“ – ohne jedoch nähere Kriterien für die Prüfung anzugeben.

II. Personenbezug von Telemetriedaten

[5] Datenschutzrechtliche Probleme bestehen nur, soweit es sich bei den Telemetriedaten um personenbezogene Daten handelt. Die typischerweise erhobenen Telemetriedaten sind in der Regel mindestens personenbeziehbar, wenn nicht sogar unmittelbar personenbezogen ⁶ .

1. Datenkategorien

[6] Im Rahmen der Telemetrie werden üblicherweise Daten über das Nutzungsverhalten erhoben und ausgewertet, z.B. wann, wie oft und wie lange eine Software genutzt wird. Zum Teil werden noch detaillierte Informationen über Nutzeraktivitäten ausgewertet, z.B. welche Funktionen innerhalb der Software aufgerufen werden ⁷  oder sogar Tastaturanschläge ⁸ . Bei der Windows 10-Telemetrie können die Telemetriedaten z.B. Informationen über die Nutzung von Software sowie die Nutzungsdauer von Eingabegeräten wie Maus oder Touchscreen umfassen ⁹ .

[7] Zum Teil werden auch „Inhaltsdaten“ zu Telemetriezwecken genutzt, d.h. die mit der Software oder dem jeweiligen Service verarbeiteten Inhalte wie etwa Dokumente und Daten. So kann die Windows 10-Telemetrie z.B. auch die URLs der mit dem Edge-Browser besuchten Webseiten umfassen ¹⁰ .

2. Betroffene

[8] Die vorgenannten Telemetriedaten können sich auf verschiedene Kategorien von Betroffenen i.S.v. Art. 4 Nr. 1 DSGVO beziehen:  (...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht