De zeer populaire smartphone-app WetterOnline deelt de persoonlijke gegevens van zijn gebruikers met honderden externe bedrijven voor advertentiedoeleinden. Tot een paar dagen geleden bevatte dit zeer precieze locatiegegevens die kunnen worden gebruikt om de woon- en werkplek van een gebruiker of zelfs een bezoek aan een militaire basis af te leiden. Deze gegevens zijn terechtgekomen op marktplaatsen waar ze openlijk te koop worden aangeboden. Alleen de gebruikers zelf krijgen hun gegevens niet. WetterOnline weigert informatie te verstrekken over de verwerkte gegevens en beweert dat het te duur zou zijn om te voldoen aan het toegangsrecht van de GDPR. noyb dient nu een klacht in bij de relevante gegevensbeschermingsautoriteit in Duitsland.
Precieze locatiegegevens zijn een veiligheidsrisico. Onderzoek door netzpolitik.org en andere internationale media toonde aan dat populaire smartphone-apps de locatiegegevens van enkele honderden miljoenen Europeanen delen met externe bedrijven. Gegevensmakelaars consolideren vervolgens gegevens uit talrijke bronnen en bouwen zo uitgebreide gegevensverzamelingen op. Wat dit nog problematischer maakt, is dat de locatiegegevens ook de zogenaamde Mobile Advertising ID (MAID) bevatten. Dit is een unieke identificatiecode voor elke gebruiker. Met behulp van al deze gegevens kunnen individuele personen tot op een meter nauwkeurig worden gelokaliseerd. In de volgende stap is het dan mogelijk om veelbezochte plaatsen af te leiden, zoals de woonplaats en het werk, maar ook bezoeken aan een afkickkliniek of een militaire basis. Zoals netzpolitik.org levendig laat zienkan de beschikbaarheid van dergelijke informatie zelfs een risico vormen voor de nationale veiligheid.
Ingo Dachwitz, journalist bij netzpolitik.org: "Uit ons onderzoek Databroker Files blijkt dat de handel in onze gegevens volledig uit de hand loopt. Niemand kan bijhouden waar de gegevens terechtkomen die smartphone apps zogenaamd verzamelen voor advertenties. Dit zou al een probleem zijn als de gegevens echt alleen werden gebruikt voor gepersonaliseerde reclame. In verkeerde handen, bijvoorbeeld van inlichtingendiensten, stalkers of nazi's, worden ze een echt gevaar."
Het regent gegevens - voor derden. Het team van netzpolitik.org en zijn partners slaagden erin om zo'n dataset te bemachtigen, samen met informatie over de herkomst van de locatiegegevens die werden verkocht. WeatherOnline, een app die meer dan 100 miljoen keer is gedownload meer dan 100 miljoen keeris een van de apps die er in het bijzonder uitspringt. Volgens de dataset verzamelde de app de exacte locatiegegevens van tienduizenden gebruikers op slechts één dag en alleen al in Duitsland - en verkocht deze aan talrijke externe bedrijven in de advertentie-industrie. Het zogenaamde real-time bieden (RTB) zal hier waarschijnlijk een centrale rol spelen. Hierbij wordt advertentieruimte binnen milliseconden geveild aan de hoogste bieder. Als neveneffect komen de persoonlijke gegevens van gerichte gebruikers ook terecht bij een groot aantal andere spelers in het advertentie-ecosysteem. Volgens het privacybeleid van WetterOnline zijn dit meer dan 300 bedrijven. Een paar dagen geleden heeft WetterOnline echter het toestemmingsformulier en privacybeleid op zijn app aangepast. Er staat nu dat GPS-locatiegegevens niet langer worden gebruikt voor advertentiedoeleinden.
De grondrechten van de betrokkenen respecteren? Vermoedelijk te veel moeite. Om meer te weten te komen over de online verhandelde locatiegegevens, diende netzpolitik.org journalist Ingo Dachwitz een verzoek in bij WetterOnline - en werd prompt afgewezen omdat "het extraheren en compileren van al deze gegevens aanzienlijke technische, personele en financiële middelen zou vereisen". Volgens het bedrijf vertegenwoordigt het verzoek een "onevenredige inspanning" - wat echter geen uitzondering is onder de GDPR. Met andere woorden: WetterOnline heeft er duidelijk geen probleem mee om de persoonsgegevens van gebruikers naar honderden derde bedrijven te sturen. Alleen wanneer een betrokkene zijn fundamentele recht op gegevensbescherming wil uitoefenen, lijkt het te ver te gaan. WetterOnline weigert simpelweg te voldoen aan de wettelijke verplichting om informatie te verstrekken.
Martin Baumann, advocaat gegevensbescherming bij noyb: "De GDPR maakt duidelijk dat betrokkenen het recht hebben op een kopie van hun gegevens die door een bedrijf worden verwerkt. Er is eenvoudigweg geen uitzondering voor een vermeende 'onevenredige inspanning'. WetterOnline moet net als alle andere bedrijven voldoen aan de EU-wetgeving."
Klacht ingediend in Duitsland. noyb heeft nu een klacht ingediend bij de gegevensbeschermingsautoriteit van Noordrijn-Westfalen namens netzpolitik.org journalist Ingo Dachwitz (WetterOnline is gevestigd in Bonn). We vragen WetterOnline om volledig te voldoen aan het verzoek van de klager om toegang en om zowel een kopie van de verwerkte persoonsgegevens als informatie over de ontvangers van die gegevens te verstrekken. Dit om soortgelijke schendingen in de toekomst te voorkomen, noyb de bevoegde autoriteit ook voorstellen een bestuurlijke boete op te leggen.
