„persönliche Daten bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennnummer oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.
Innerhalb des Corporate Messaging-Ökosystems bedeuten personenbezogene Daten alles, was die betroffene Person (den Verbraucher) eindeutig adressiert oder identifiziert, einschließlich:
- MSISDN- und IMSI-Nummern, die zur Identifizierung einer Mobiltelefon-, Betreiber- und Verbrauchernummer verwendet werden
- E-Mail-Addresse
- OTT-Adresse (z. B. Benutzername oder die Skype- oder Facebook-Adresse eines Benutzers)
- IP-Adresse (die jedes Gerät identifiziert, das das Internetprotokoll für die Kommunikation verwendet)
- Eine Kombination von Kommunikationsmetadaten, z. Zeitpunkt einer Nachricht in Kombination mit dem Absender einer Nachricht (z. B. einer Bank), die eine Person eindeutig identifizieren könnte
Darüber hinaus deckt die DSGVO jedoch auch personenbezogene Daten ab, die in einer Nachricht enthalten sein können, darunter:
- Der Name eines Benutzers
- Bankkonto- und Kreditkartennummern
- Führerschein und Kfz-Kennzeichen
- Sozialversicherungs- oder andere ID-Nummern
- Policennummern und Buchungsreferenzen
- Eine Kombination aus identifizierenden Elementen, z. körperliche Merkmale, Ort, Beruf usw.
Die DSGVO definiert auch sensible Daten, die zusätzliche sichere Schutzmaßnahmen und eine ausdrückliche Autorisierung erfordern, um gespeichert zu werden:
- Rasse oder ethnische Herkunft, religiöse oder philosophische Überzeugungen und politische Ansichten
- Sexualleben, Gesundheit und genetische Daten
- Biometrische Daten
- Vorstrafenregister
Nach der DSGVO muss die Erhebung und Verarbeitung personenbezogener Daten „bestimmten, eindeutigen und rechtmäßigen Zwecken“ dienen und eine Rechtsgrundlage haben. Ein Datenverantwortlicher oder Datenverarbeiter muss mindestens eine der unten aufgeführten Rechtsgrundlagen haben, um das Recht zu haben, personenbezogene Daten zu speichern und zu verarbeiten.
Welche Rechtsgrundlage haben Anbieter von CPaaS Nachrichtendaten verarbeiten und archivieren?
CPaaS-Anbieter, die als Datenverarbeiter oder Unterverarbeiter fungieren, benötigen keine Zustimmung der betroffenen Person, um ihre personenbezogenen Daten zu speichern und zu verarbeiten.
CPaaS-Anbieter haben in der Regel zwei legitime Gründe für die Verarbeitung: Sie verfügen über eine Rechtsgrundlage, da sie den Vertrag mit dem Verantwortlichen erfüllen müssen, um die vom Verantwortlichen gesendeten Nachrichten zu speichern und zu verarbeiten. Sie sind außerdem gesetzlich verpflichtet, die Telekommunikationsgesetze einzuhalten, die die Aufbewahrung von Kommunikationsprotokollen für einen bestimmten Zeitraum vorschreiben.
Dieser Zeitraum ist von Land zu Land unterschiedlich, sollte aber als Rechtsgrundlage für die Speicherung einiger Daten angesehen werden. Die rechtlichen Gründe für die Speicherung und Verarbeitung personenbezogener Daten sind:
- Zustimmung: Der Interessent hat freiwillig seine Zustimmung zur Speicherung und Verarbeitung von Informationen für einen bestimmten Zweck gegeben
- Vertragserfüllung – der wahrscheinlichste Grund, warum Messaging-Aggregatoren und CPaaS-Anbieter personenbezogene Daten speichern
- Gesetzliche Verpflichtungen – üblich in der Kommunikation wie rechtmäßiges Abhören und strafrechtliche Ermittlungen
- Zum Schutz lebenswichtiger Interessen einer Person, z. ein Krankenhaus, das versucht, das Leben eines Menschen zu retten
- Es liegt im öffentlichen Interesse / öffentliche Aufgaben – zB Steuererhebung, Pass-, Führerscheinbearbeitung
- Berechtigte Interessen - z. Betrugsprävention oder Bonitätsprüfungen
