Zwei mittelständische Unternehmen sind von der CNIL (französische Datenschutzbehörde) abgemahnt worden. Die betroffenen Unternehmen – Teemo und Fidzup – sammeln Geolokationsdaten für getargetete Werbung.
Laut der CNIL, ist der Grund für die Abmahnung die Erhebung und Verarbeitung von Daten ohne eine Einwilligung. Fidzup wird ermahnt, da nicht klar genug sei welche Daten gesammelt wurden und Teemo sammelte die Daten erst, nachdem die Benutzer die App heruntergeladen hatten. Darüber hinaus wurde die Speicherung von Geolokationsdaten für 13 Monate im Fall von Teemo als zu lang angesehen, so die CNIL.
Wenn man die Veröffentlichung der CNIL und weitere Quellen liest, stellt man fest, dass die CNIL Teemo im Herbst letzten Jahres (2017) untersuchte, den Fall aber erst im Juli 2018 veröffentlichte, anscheinend um einen öffentlichen Case zu schaffen. Die CNIL hat keine Strafzahlungen (!) verhängt – wohl wissend, dass einige der Punkte auf Interpretationen beruhen, hat aber eine klare Frist für die Umsetzung der Anforderungen gesetzt.
Ferner inhaltlich zu digitalen Geschäftsmodellen:
- die CNIL sieht eine große Verantwortung gerade beim Prozessor (hier: SDK-Anbieter, die sicherstellen müssen, dass die Controller den Consent haben) insb. wenn in einem parallelen Modell auch Daten für eigene Zwecke (i.d.R. als Controller) gesammelt werden
- die CNIL sieht eine hohe Transparenz und eindeutige Einwilligungen u.a. bei Geolokationsdaten als kritisch an
- die CNIL sieht längere Speicherdauern bei bestimmten Geschäftsmodellen als kritisch an
ePrivacy hält diese Position für umstritten.