Aufforderung zur Ablehnung der Erhebung personenbezogener Daten bei Flock Safety und die Reaktion des Unternehmens

 (honeypot.net)
2 Punkte von GN⁺ 15 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Ein in Kalifornien lebender Nutzer reichte bei Flock Safety einen Antrag auf Löschung personenbezogener Daten und Untersagung ihrer Erhebung zu seiner Person, seiner Familie und seinen Fahrzeugen ein
  • Das Unternehmen lehnte den Antrag ab und erklärte, es sei lediglich ein Datenverarbeiter (Processor) und die Kontrolle über die Daten liege bei den Kundenorganisationen
  • In der Antwort erläuterte das Unternehmen unter anderem ein Verbot des Datenverkaufs, eine automatische Löschung nach 30 Tagen sowie den auf Fahrzeugbilder im öffentlichen Raum fokussierten Erfassungsumfang
  • Der Antragsteller argumentiert, dass Flock Safety tatsächlich personenbezogene Identifikationsdaten direkt verarbeitet und daher zur Löschung verpflichtet sei
  • Rechtliche Schritte sind bislang nicht entschieden; die Beauftragung eines Anwalts wird offengehalten

Antrag auf Löschung personenbezogener Daten bei Flock Safety und die Reaktion des Unternehmens

  • Ein in Kalifornien lebender Nutzer stellte per E-Mail bei Flock Safety einen Antrag auf Löschung personenbezogener Daten und Untersagung ihrer Erhebung nach dem CCPA (California Consumer Privacy Act)
    • Gefordert wurde die Löschung aller Informationen über ihn selbst, seine Fahrzeuge und seine Familienangehörigen aus sämtlichen Datenbanken sowie ein Verbot der künftigen Erhebung und Speicherung
  • Flock Safety teilte in der Antwort mit, dass der Antrag nicht bearbeitet werden könne
    • In der Antwort-E-Mail wurde der Name des Empfängers zweimal falsch angegeben
    • Das Unternehmen erklärte ausdrücklich: „Flock Safety ist ein Dienstleister und Processor, der Daten im Auftrag seiner Kunden verarbeitet; Eigentümer und Verantwortliche der Daten sind die Kunden.“
    • Daher müsse der Löschungsantrag nicht an Flock Safety, sondern direkt an die Organisation (den Kunden) gerichtet werden, die den Dienst nutzt
  • Das Unternehmen erläuterte zusätzlich seine Richtlinien zur Datenerhebung und -speicherung
    • Gemäß den Kundenverträgen seien Umfang und Grenzen der Datenverarbeitung festgelegt; Eigentümer der Daten seien die Kunden
    • Kein Datenverkauf: Flock Safety verarbeitet Daten nach Anweisung der Kunden und verkauft oder teilt sie nicht zu kommerziellen Zwecken
    • Erfasste Informationen: Kennzeichenerkennungssysteme (LPR) sammeln keine sensiblen Informationen wie Namen oder Adressen, sondern nur im öffentlichen Raum aufgenommene Fahrzeugbilder und äußere Merkmale
    • Nutzungszweck: Kunden verwenden die Daten zu Sicherheitszwecken wie dem Management der öffentlichen Sicherheit, der Reaktion auf Vorfälle und der Aufklärung von Straftaten
    • Speicherdauer: Standardmäßig werden die Daten nach 30 Tagen automatisch gelöscht; Kunden können den Zeitraum je nach Gesetzeslage oder Richtlinien anpassen
  • Flock Safety verwies für weitere Details auf die Privacy Policy und die LPR Policy

Rechtliche Einordnung und Position der betroffenen Person

  • Der Antragsteller hält die Antwort von Flock Safety für rechtlich unzutreffend
    • Begründet wird dies damit, dass Flock Safety tatsächlich personenbezogene Identifikationsdaten (PII) erhebt und verarbeitet
    • Nach seiner Auslegung des CCPA sind Stellen, die solche Informationen verarbeiten, verpflichtet, auf Löschungsanträge zu reagieren
  • Ob rechtliche Schritte eingeleitet werden, ist derzeit offen; die Beauftragung eines Anwalts bleibt eine Möglichkeit

Verwandte Beiträge

1 Kommentare

 
GN⁺ 15 일 전
Hacker-News-Kommentare

  • Ich habe diesen Beitrag geschrieben. Ich habe nicht erwartet, dass Flock meiner Anfrage nachkommt, aber ich habe es versuchsweise ausprobiert. Ihre Antwort fand ich jedoch bedenklich. Sie sagten, „die Daten gehören dem Kunden, und der Kunde entscheidet über Nutzung und Weitergabe“, was dem Geist des CCPA direkt widerspricht. Es sind meine Daten, warum also hat ihr Kunde die Kontrolle darüber? Ich habe nicht viel erwartet, aber auf diese Weise abgewiesen zu werden, ist enttäuschend

    • Was sie im Grunde sagten, war: „Kontaktieren Sie nicht uns, sondern den Eigentümer der Kamera.“ Die Daten werden aber auf den Flock-Servern gespeichert. Der entscheidende Punkt ist, dass man nicht allein deshalb kein Eigentum an Daten hat, weil man nur Speicherplatz bereitstellt. Darüber hinaus ist problematisch, dass das Systemdesign selbst Datenschutzverletzungen begünstigt. Genau das ist der zentrale Kritikpunkt an Flock, und es wäre interessant, wenn das vor Gericht verhandelt würde
    • Vielleicht sollte man sie noch einmal kontaktieren und sagen: „Dann geben Sie mir bitte eine Kundenliste und informieren Sie mich jedes Mal, wenn ein neuer Kunde hinzukommt.“
    • Es wäre interessant, wenn ein Richter prüfen würde, wie viel tatsächliche Kontrolle Flock über das System hat. Wenn sie ein System gebaut haben, das die Erfassung personenbezogener Daten so einfach macht, dann sollten sie auch ein ebenso einfaches Verfahren für Löschanfragen geschaffen haben. Letztlich leben wir in einer Welt, in der Unternehmen Privatsphäre auf die leichte Schulter nehmen, weil Verbraucher solche Situationen zugelassen haben. Gut, dass es Einzelpersonen gibt, die sich für solche Probleme interessieren. Ich frage mich, ob es eine Möglichkeit gibt, die Kosten eines Rechtsstreits zu unterstützen
    • Wenn man YouTuber wie LegalEagle einbeziehen würde, könnte das Aufmerksamkeit erzeugen. Benn Jordan als Sachverständiger wäre ebenfalls interessant
    • Aber ist das wirklich „meine Daten“? Wenn ich mit dem Auto fahre und von der Ring-Kamera eines anderen Hauses aufgenommen werde, kann ich dann behaupten, dass mir die Rechte an diesem Video gehören?

  • Ich weiß nicht, ob eine solche Anfrage rechtlich sinnvoll ist. Wenn etwa eine Stadt ein ALPR-System installiert, um Beweise für Straftaten zu sammeln, kann eine Privatperson nicht einfach Flock auffordern: „Erfasst meine Daten nicht.“ Nach geltendem Recht wirkt eine solche Forderung wie eine zu weit gehende Behauptung

  • In letzter Zeit wird in Beiträgen der Firmenname nur noch als „Flock“ angegeben und nicht mehr als „Flock Safety (YC S17)“; das war auch schon im vorherigen Beitrag so. Ich frage mich, ob sich die YC-Schreibweise geändert hat

    • Vielleicht will YC einfach Abstand zu Datenschutzkontroversen halten, aber ehrlich gesagt bezweifle ich, dass sie dafür genug Gespür haben
    • Insgesamt scheint diese Kennzeichnung in letzter Zeit seltener zu werden. Der Titel wird ohnehin direkt vom Einreicher geschrieben, also ist das nichts Automatisiertes

  • Flock hat in Minnesota ähnlich reagiert mit der Begründung: „Wir sind nicht der Data Controller.“ Das geschah trotz des Rechts auf Löschanfragen nach dem MCDPA

    • Das ist die Einhaltung des Gesetzes. Kunden auf Ebene von Bundesstaaten oder Städten werden kaum wollen, dass solche Anfragen akzeptiert werden

  • Der Unterschied zwischen „Flock kann tun, was es will“ und „Flock muss auf Anfrage Daten löschen“ ist letztlich das Gesetz. Da Bürger die Gesetzgeber wählen, muss man durch Wahlen Druck ausüben, damit solche Themen Priorität bekommen

  • Das scheint ein schwieriger Kampf zu werden. Flock stellt die Daten als staatliches Eigentum dar und behauptet, selbst nur ein Speicherdienstleister zu sein. Wenn man AWS oder Google Cloud eine Löschanfrage schickt, wird man wohl ebenfalls die Antwort bekommen: „Wir speichern die Daten nur.“ Letztlich dürfte es ohne Gerichtsbeschluss schwer sein, eine Löschung durchzusetzen. Dass Flock erklärt hat, die Daten nicht für andere Zwecke zu verwenden, stärkt zudem den Cloud-Speicher-Vergleich

    • Aber gibt es abgesehen von Hinweisgebern überhaupt eine Möglichkeit zu überprüfen, ob ein Cloud-Anbieter tatsächlich nicht in die Daten hineinschaut?

  • Laut Flocks LPR-Richtlinie ist ausdrücklich festgehalten, dass Daten zur Erfüllung gesetzlicher Anforderungen oder zur Lösung von Sicherheits- und Datenschutzproblemen verwendet werden können. Fällt dieser Fall dann nicht ebenfalls unter ein Datenschutzproblem? Außerdem fehlt im Abschnitt „Trust Us“ Transparenz bezüglich des Einsatzes von Machine Learning

    • Wenn man sich ihr „Transparency Portal“ ansieht, zeigt sich, dass tatsächlich bei mehr als 30 % der lokalen Behörden nicht einmal der Name offengelegt wird

  • Nach den US-Gesetzen zu dieser Art der Datenerfassung müssen Löschanfragen an die Kommunalverwaltung gerichtet werden. Relevante Informationen dazu gibt es auf deflock.org. Die Seite wird von einem Einwohner aus Boulder, Colorado betrieben

    • Es wäre interessant, ein System zu bauen, das automatisch Anfragen an alle Kommunalverwaltungen verschickt

  • Wenn Flock PII-Daten verarbeitet, dann werden alle ihre Kunden zu Subprozessoren. Daher müsste Flock mit ihnen Datenverarbeitungsverträge (DPA) abschließen. Geht eine Löschanfrage ein, müsste sie auch an alle Subprozessoren wie AWS, GCP und Cloudflare weitergeleitet werden

    • Tatsächlich ist es aber umgekehrt. Flock ist der Subprozessor, und die Stadt oder Kommune, die die Datenerfassung beauftragt hat, ist der Controller. Daher müssen Anfragen dorthin gerichtet werden

  • Wenn ihre Ausrede gilt, dann ist der CCPA nutzlos

    • Aber möglicherweise war die Anfrage von Anfang an nicht gültig. Man kann zum Beispiel nicht bei einem Unternehmen, das im Auftrag der Polizei eine Radarkamera betreibt, verlangen: „Löschen Sie mein Foto.“ Die Daten gehören dem Staat
    • Außerdem werden ab dem Moment, in dem eine Regulierung eingeführt wird, Umgehungswege geschaffen. Noch bevor ein Gesetz überhaupt in Kraft tritt, werden bereits Schlupflöcher dafür entworfen