Mobiele telefoon niet persoonlijk genoeg voor GDPR-bescherming?!
Tegenstrijdige uitspraak van het Oostenrijkse Bundesverwaltungsgericht (BVwG): Verkeers- en locatiegegevens van mobiele telefoons zijn bijzonder gevoelige gegevens die extra bescherming behoeven, maar tegelijkertijd zijn het helemaal geen persoonsgegevens. Volgens het BVwG mag de aanbieder van mobiele telefonie A1 weigeren informatie over verkeers- en locatiegegevens te verstrekken, omdat deze gegevens bijzonder gevoelig zijn en niet kan worden bewezen dat een mobiele telefoon niet door andere personen is gebruikt. noyb gaat in beroep.
Klacht bij DSB. Sinds A1 Telekom Austria tijdens de Corona-pandemie de bewegingsgegevens van mobiele telefoongebruikers aan de overheid heeft verstrekt, willen veel gebruikers weten welke locatiegegevens over hen zijn verzameld en opgeslagen. Toen een gebruiker een verzoek om toegang indiende, weigerde A1 informatie over verkeers- en locatiegegevens te verstrekken omdat de gebruiker onvoldoende kon bewijzen dat hij de enige gebruiker van het telefoonnummer/SIM-kaart was. Volgens A1 was het daarom onduidelijk of de verzamelde locatiegegevens daadwerkelijk afkomstig waren van dezelfde persoon die het verzoek om toegang had ingediend. Daarop diende noyb in juni 2020 een klacht in tegen A1 bij de Oostenrijkse autoriteit (DSB) en voerde uitvoerig aan dat de betreffende mobiele telefoon alleen door klager werd gebruikt. Zonder de feiten zelf te onderzoeken, stemde de DSB in met de argumentatie van A1. noyb stapte vervolgens naar de federale administratieve rechtbank.
Onmogelijk bewijs vereist. Volgens het Bundesverwaltungsgericht kan de mobiele provider weigeren op een verzoek om toegang te antwoorden omdat de locatie van een mobiele telefoon niet noodzakelijk de locatie van de eigenaar hoeft te zijn. De gebruiker zou dus moeten bewijzen dat zijn mobiele telefoon (ook beveiligd met pincode en vingerafdruk) niet door iemand anders werd gebruikt. Maar zelfs een beëdigde verklaring van de gebruiker werd door de rechtbank niet aanvaard.
"De federale administratieve rechtbank eist dat de betrokkenen bewijzen dat zij de enige gebruiker van een mobiele telefoon zijn om een kopie van hun gegevens te krijgen. Tegelijkertijd oordeelt de rechtbank echter dat een dergelijk bewijs praktisch onmogelijk is - een onoplosbaar dilemma met als gevolg dat men geen informatie krijgt over het gebruik van gegevens door A1." - Marco Blocher, advocaat gegevensbescherming bij noyb
Vergaande gevolgen. Als de uitspraak van het Bundesverwaltungsgericht wordt bevestigd, dreigen getroffen personen in Oostenrijk massaal gediscrimineerd te worden. De rechtbank eist een bewijs van exclusief gebruik, met name omdat verkeers- en locatiegegevens inhoudelijk gevoelige informatie zijn. Volgens de logica van de rechter zouden de verantwoordelijken voor de verwerking eenvoudigweg kunnen weigeren informatie te verstrekken zodra het om wat gevoeligere gegevens gaat. Immers, ook iemand die een smartwatch draagt, de gebruiker van een datingapp of de gebruiker van een menstruatie- of zwangerschapsapp kan niet objectief bewijzen dat hij daadwerkelijk de enige was die het apparaat of de app te allen tijde gebruikte. noyb zal tegen de beslissing van de federale administratieve rechtbank in beroep gaan bij het hoogste administratieve hof.