Bleiben die Daten der mobilen App-Nutzer privat? Wie wird die Endbenutzerdaten geschützt?
Approov verarbeitet oder sammelt keine "personenbezogenen Daten", wie von der Datenschutzgrundverordnung (GDPR) definiert, oder personenbezogene Daten (PII), wie vom California Consumer Privacy Act (CCPA) definiert. Die Approov Mobile Security-Plattform sammelt nur die IP-Adresse und die Geräte-ID, und beide Felder sind anonymisiert.
GDPR ist eine Verordnung in der Europäischen Union, die im Mai 2018 in Kraft trat. Sie regelt den Schutz personenbezogener Daten für Einzelpersonen innerhalb der EU und des Europäischen Wirtschaftsraums (EWR). Personenbezogene Daten werden von der GDPR als alle Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie Name, Identifikationsnummer, Standortdaten, Online-Identifikator oder einem oder mehrere spezifische Faktoren, die die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser Person ausmachen.
Der California Consumer Privacy Act (CCPA) ist ein Datenschutzgesetz in Kalifornien, das im Januar 2020 in Kraft trat. Es gibt kalifornischen Bewohnern bestimmte Rechte über ihre persönlichen Informationen, einschließlich des Rechts zu erfahren, welche Informationen über sie gesammelt werden, das Recht, diese Informationen zu löschen, und das Recht, dem Verkauf ihrer persönlichen Informationen zu widersprechen. PII oder personenbezogene Informationen werden vom CCPA als Informationen definiert, die eine bestimmte Verbrauchergruppe oder ein Haushalt identifizieren, beschreiben oder damit in Verbindung gebracht werden können. Dazu gehören Identifikatoren wie Name, Adresse, E-Mail-Adresse, Sozialversicherungsnummer, Führerscheinnummer, Passnummer und biometrische Daten.
Gemäß der GDPR werden IP-Adresse und Geräte-ID nur dann als anonymisierte Daten betrachtet, wenn der Datencontroller Maßnahmen ergriffen hat, um sicherzustellen, dass die Daten nicht mehr mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden können. Anonymisierte Daten fallen nicht unter den Geltungsbereich der GDPR, da sie sich nicht auf eine identifizierte oder identifizierbare Person beziehen. Ähnlich gilt unter dem CCPA: Wenn eine IP-Adresse und Geräte-ID anonymisiert wurden, sodass sie nicht mehr einer bestimmten Verbrauchergruppe oder einem Haushalt zugeordnet werden können, werden sie nicht als personenbezogene Informationen (PII) betrachtet.
Approov | CriticalBlue Limited hat umfassend den Schutz der Datensammlungs- und -speicherungsmethoden im Verhältnis zum Auswirkungen eines Datenlecks auf eine Einzelperson geprüft, und die Kontrollen, die in Kraft sind, schützen die Daten angemessen in Übereinstimmung mit dem bewerteten Risiko.