"persönliche Daten bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Identifikationsnummer oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. "
Innerhalb des Corporate Messaging-Ökosystems bedeuten personenbezogene Daten alles, was die betroffene Person (den Verbraucher) eindeutig adressiert oder identifiziert, einschließlich:
- MSISDN- und IMSI-Nummern, die zur Identifizierung einer Mobiltelefon-, Betreiber- und Verbrauchernummer verwendet werden
- E-Mail-Addresse
- OTT-Adresse (z. B. Benutzername oder die Skype- oder Facebook-Adresse eines Benutzers)
- IP-Adresse (die jedes Gerät identifiziert, das das Internetprotokoll für die Kommunikation verwendet)
- Eine Kombination von Kommunikationsmetadaten, z. Zeitpunkt einer Nachricht in Kombination mit dem Absender einer Nachricht (z. B. einer Bank), die eine Person eindeutig identifizieren könnte
Darüber hinaus deckt die DSGVO jedoch personenbezogene Daten ab, die in einer Nachricht enthalten sein können, einschließlich:
- Der Name eines Benutzers
- Bankkonto- und Kreditkartennummern
- Führerschein und Kfz-Kennzeichen
- Sozialversicherungs- oder andere ID-Nummern
- Policennummern und Buchungsreferenzen
- Eine Kombination aus identifizierenden Elementen, z. körperliche Merkmale, Ort, Beruf usw.
Die DSGVO definiert auch sensible Daten, die zusätzliche sichere Schutzmaßnahmen und eine ausdrückliche Autorisierung erfordern, um gespeichert zu werden:
- Rasse oder ethnische Herkunft, religiöse oder philosophische Überzeugungen und politische Ansichten
- Sexualleben, Gesundheit und genetische Daten
- Biometrische Daten
- Vorstrafenregister
Nach der DSGVO muss die Erhebung und Verarbeitung personenbezogener Daten „bestimmten, eindeutigen und rechtmäßigen Zwecken“ dienen und eine Rechtsgrundlage haben. Ein Datenverantwortlicher oder Datenverarbeiter muss mindestens eine der unten aufgeführten Rechtsgrundlagen haben, um das Recht zu haben, personenbezogene Daten zu speichern und zu verarbeiten.
Was ist die Rechtsgrundlage für Lieferanten von CPaaS Nachrichtendaten verarbeiten und archivieren?
CPaaS-Anbieter benötigen in ihrer Eigenschaft als Datenverarbeiter oder Unterauftragsverarbeiter keine Zustimmung der interessierten Partei zur Speicherung und Verarbeitung ihrer personenbezogenen Daten.
CPaaS-Anbieter haben im Allgemeinen zwei Gründe für eine rechtmäßige Verarbeitung: Sie haben eine Rechtsgrundlage, weil sie den Vertrag mit dem Verantwortlichen erfüllen müssen, um die vom Verantwortlichen gesendeten Nachrichten zu speichern und zu verarbeiten. Sie sind auch gesetzlich verpflichtet, die Telekommunikationsgesetzgebung einzuhalten, die die Archivierung von Kommunikationsprotokollen für einen bestimmten Zeitraum vorschreibt.
Dieser Zeitraum ist von Land zu Land unterschiedlich, sollte aber als Rechtsgrundlage für die Speicherung einiger Daten angesehen werden. Die rechtlichen Gründe für die Speicherung und Verarbeitung personenbezogener Daten sind:
- Zustimmung: Der Interessent hat freiwillig seine Zustimmung zur Speicherung und Verarbeitung von Informationen für einen bestimmten Zweck gegeben
- Ausführung eines Vertrags – der wahrscheinlichste Grund, warum Messaging-Aggregatoren und CPaaS-Anbieter personenbezogene Daten speichern
- Gesetzliche Verpflichtungen – üblich in der Kommunikation wie rechtmäßiges Abhören und strafrechtliche Ermittlungen
- Zum Schutz lebenswichtiger Interessen einer Person, z. ein Krankenhaus, das versucht, das Leben eines Menschen zu retten
- Es liegt im öffentlichen Interesse / öffentlichen Aufgaben - z. Steuererhebung, Reisepass, Führerscheinbearbeitung
- Berechtigte Interessen - z. Betrugsprävention oder Bonitätsprüfungen
