Ratschläge für die Praxis

Datenschutz in Apps für Kinder & Jugendliche – darauf müssen App-Anbieter achten
Kommentare

App-Nutzer werden immer jünger. Dementsprechend gibt es immer mehr Apps, die sich speziell an Kinder und Jugendliche richten. Den jungen App-Nutzern ist aber oft nicht bewusst, welche Risiken der unbedachte Umgang mit persönlichen Daten birgt. Das Datenschutzrecht sieht deshalb besonders strenge Anforderungen zum Schutz von Kindern und Jugendlichen vor. App-Anbieter, die diesen Anforderungen nicht genügen, riskieren nicht nur Bußgelder, sondern auch den Rauswurf aus den App-Stores.

Anforderungen der Behörden

Die Datenschutzaufsichtsbehörden der Länder Bayern, Hessen und Berlin haben im Rahmen des “Sweep Day 2015”, einer internationalen Prüfaktion der Datenschutzbehörden, zahlreiche Apps, die sich bei deutschen Kindern besonderer Beliebtheit erfreuen, einer Datenschutzkontrolle unterzogen.

Der Fokus lag dabei auf der Frage, ob die untersuchten Apps über eine für das Zielpublikum verständliche appspezifische Datenschutzerklärungen verfügen, welche Berechtigungen zu welchen Zwecken eingeholt werden und ob zusätzliche Schutzmechanismen (Warnhinweise, Elternsicherungen) vorhanden sind. Das ausführliche Ergebnis der Prüfung steht noch aus. Der bayerische Landesdatenschutzbeauftragte hat sich in einer kurzen Presseerklärung aber bereits zum Ergebnis der Prüfung geäußert. Dieses sei enttäuschend: So verfüge nur die Hälfte der kontrollierten Apps über eine appspezifische Datenschutzerklärung, häufig habe es zudem an einer deutschsprachigen Fassung gefehlt. Darüber hinaus wird bemängelt, dass nur die wenigsten Apps den Eltern die Möglichkeit geben, das Nutzungsverhalten ihrer Kinder zu kontrollieren. App-Anbieter seien daher aufgefordert, die Schutzbedürftigkeit Minderjähriger verstärkt zu berücksichtigen. Verwiesen wird schließlich auf die 2014 veröffentlichte „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“, die insbesondere die Einwilligungsfähigkeit Minderjähriger im Blick hat.

Risikofaktor Einwilligung

Ist eine Einwilligung unwirksam, ist die darauf beruhende Datenverarbeitung rechtswidrig. Dann drohen Bußgelder bis zu 300.000,00 Euro. Die rechtssichere Gestaltung und Umsetzung des Einwilligungskonzepts ist daher eine der größten rechtlichen Herausforderungen für App-Anbieter. Erst recht gilt dies, wenn die Apps sich (auch) an Minderjährige richten. Ein App-Anbieter, der weiß oder zumindest damit rechnen muss, dass seine Apps von Minderjährigen benutzt werden, muss bei der Gestaltung von Datenschutz- und Einwilligungskonzepten den Grad der Einsichtsfähigkeit seiner minderjährigen Nutzer im Blick haben.

An erster Stelle muss immer die Frage beantwortet werden, „ob“ die abgefragte Einwilligung überhaupt wirksam sein kann, falls der Erklärende noch nicht volljährig ist. Erst wenn dies bejaht werden kann, stellt sich die (nicht weniger anspruchsvolle) Frage der rechtssicheren Umsetzung, also das „wie“.

Zum Leidwesen der App-Anbieter legt das Datenschutzrecht – anders als das BGB – keine verbindliche Altersgrenze fest, ab der eine Einwilligung wirksam ist. Stattdessen kommt es auf den Grad der individuellen Einsichtsfähigkeit an. Eine Einwilligung ist nur wirksam, wenn der Minderjährige in der Lage ist, die Tragweite seiner Einwilligung zu überblicken.
Dies kann wiederum nur im Einzelfall beurteilt werden, da die Einsichtsfähigkeit vom jeweiligen Entwicklungsstand und dem Zweck der jeweiligen Datenverarbeitung abhängig ist. Nicht alle Minderjährigen befinden sich auf dem gleichen Entwicklungsstand und während es Zwecke gibt, die auch von unerfahrenen Nutzern sofort überblickt werden können, gibt es ebenso Zwecke, die selbst von Fachleuten kaum erfasst werden können.

Erschwerend kommt hinzu, dass App-Anbieter auf die Einholung von Einwilligungen häufig gar nicht verzichten können. Und zwar auch dann nicht, wenn das Gesetz die Datenverarbeitung ohne die Einwilligung des Nutzers eigentlich erlaubt. “Schuld” daran sind die Vorgaben der Hersteller der mobilen Betriebssysteme. Beispielsweise erzwingen die aktuellen Versionen von iOS eine Einwilligungsabfrage, sobald eine App auf bestimmte Schnittstellen, etwa des Adressbuches, der Fotodatenbank oder der Ortungsdienste zugreift. Wenn allerdings eine Einwilligung eingeholt wird – aus welchem Grund auch immer – dann muss diese auch wirksam sein. Der Rückgriff auf die gesetzliche Erlaubnis ist dem App-Anbieter von nun an versperrt.

Was bedeutet das für die Praxis?

Sofern der App-Anbieter eine Einwilligung einholen will oder muss, ist zunächst zu klären, ob der Minderjährige überhaupt wirksam einwilligen kann. Dies hängt vom Alter der Nutzer, aber auch vom Zweck der Datenverarbeitung ab. Als Faustregel kann gelten: Wenn für die Datenverarbeitung eigentlich keine Einwilligung erforderlich ist, weil ein gesetzlicher Erlaubnistatbestand zur Verfügung steht, dann kann die Einwilligung minderjähriger Nutzer wirksam sein.

Besondere Vorsicht ist geboten, wenn die Einwilligung auf die Verarbeitung persönlicher Daten zu Werbezwecken abzielt: Das OLG Hamm (OLG Hamm, Urteil vom 20.09.2012, I-4 U 85/12) hat im Jahr 2012 entschieden, dass auch 15-Jährige noch nicht in der Lage seien, die Tragweite einer Einwilligungserklärung zur Datenverarbeitung für Werbezwecke zu erfassen. Deshalb sei – zusätzlich zu der Einwilligung des Jugendlichen – auch die Einwilligung der Eltern erforderlich. Zwar ist fraglich, ob ein solches Urteil angesichts der zunehmenden Medienkompetenz junger Nutzer auch heute noch bestand hätte. Gleichwohl sollten App-Anbieter im Zweifel nicht darauf vertrauen, dass Werbeeinwilligungen Minderjähriger wirksam sind. Insbesondere dann nicht, wenn es um besonders sensible Daten wie Standortdaten, Adressbuchdaten und Fotos geht.

Appspezifische Datenschutzerklärung

Wenn geklärt ist, ob die Einwilligung des Minderjährigen wirksam sein kann, muss die Datenschutzerklärung der App in einer altersgerechten Sprache formuliert werden. Es muss sich um eine appspezifische Datenschutzerklärung handeln. Die Verständlichkeit der Datenschutzerklärung ist Grundvoraussetzung für die Wirksamkeit der Einwilligung. Denn wer nicht weiß, in was er einwilligen soll, kann darin naturgemäß auch nicht einwilligen.

Häufig wird sich eine gewisse Rechtsunsicherheit trotz aller Vorsicht nicht vermeiden lassen. Das heißt aber nicht, dass der App-Anbieter die App nicht vertreiben darf. Dann müssen aber andere Lösungen gefunden werden. Beispielsweise kann das Einwilligungskonzept der App so gestaltet werden, dass die Datenverarbeitung von einer Einwilligung der Eltern abhängig gemacht wird, etwa in Form einer Bestätigungs-E-Mail. Keine der uns bekannten Lösungen bietet zwar vollständige Rechtssicherheit. In der Regel lassen sich aber Lösungen finden, die das Rechtsrisiko auf ein zumutbares Maß begrenzen. Und nicht zuletzt kann der App-Anbieter so seinen guten Willen demonstrieren.

App-Anbieter sind im Übrigen nicht allein in der Pflicht. In der Pflicht sind auch die Betreiber der App Stores und die Eltern der minderjährigen Nutzer. Allerdings ist es App-Anbietern zuzumuten, die Ihnen zur Verfügung stehenden Möglichkeiten zum Schutz Minderjähriger zu nutzen, soweit dies zumutbar ist. Die Betreiber der großen App Stores bieten den App-Anbietern mittlerweile dann auch die Möglichkeit, etwa durch Kennzeichnungen ihrer Apps, bestimmte Altersgruppen vom Erwerb oder Download einer App auszuschließen oder zumindest Warnhinweise anzuzeigen. Zumindest kann so bestimmten Altersgruppen der Zugang zu den Apps erheblich erschwert werden. Diese Möglichkeiten muss jeder App-Anbieter kennen und nutzen.

Risiken

Ein App-Anbieter, der gegen Daten- und Jugendschutzvorschriften verstößt, verstößt automatisch auch gegen die Developer Agreements, die er mit den App-Store-Betreibern geschlossen hat. Stellvertretend sei hier das Developer Distribution Agreement von Google für den Play-Store erwähnt. Dort heißt es unter Ziffer 4.3: “Sie verpflichten sich, […] die Datenschutzrechte und andere gesetzlich verankerte Rechte von Nutzern zu achten. […]. Sie sind zudem verpflichtet, […] rechtlich einwandfreie Datenschutzhinweise sowie einen entsprechenden Schutz zu bieten.”

Fazit

Datenschutzverstöße können nicht nur rechtliche Auseinandersetzungen mit den Aufsichtsbehörden, Bußgelder und Reputationsschäden zur Folge haben. Ständig droht auch das Damoklesschwert des Rauswurfs aus den App-Stores. Vor allem Unternehmen mit einem appbasierten Geschäftsmodell sind daher gut beraten, Datenschutzrisiken möglichst auszuschließen. Wie schon erwähnt, handelt es sich bei Apps nach wie vor um “juristisches Neuland”. Gewisse Risiken können daher nicht ausgeschlossen werden. Manche App-Geschäftsmodelle verlangen den Anbietern nach wie vor eine mehr oder weniger große Portion Mut ab.

Nach unserer Beratungserfahrung sind die meisten appspezifischen Risiken mittlerweile aber sehr gut in den Griff zu bekommen. Neben dem Wissen von den rechtlichen Rahmenbedingungen bedarf es hierzu aber nach wie vor viel Erfahrung, einer genauen Kenntnis der behördlichen Entscheidungspraxis sowie der technischen und wirtschaftlichen Rahmenbedingungen, mit denen sich die App-Anbieter heute konfrontiert sehen.

Apps, Security und mehr

Apple betont gerne, wie sicher iOS ist. Doch jede Sicherheit ist relativ, wenn eine App nicht ausreichend geschützt ist. Das Buch „iOS Security – Sichere Apps für iPhone und iPad“ erläutert die Möglichkeiten für Angriffe auf iOS-Geräte sowie iOS-Apps und erläutert, welche Schwachstellen sich im System befinden. Gleichzeitig werden die Schutzmaßnahmen wie die Sandbox, die Key Chain und weitere Apple Sicherheitsfunktionen so offengelegt, dass Sie deren Möglichkeiten voll ausnutzen und Ihre App richtig schützen können.

 

Aufmacherbild: Group of four children are playing with smartphone via Shutterstock / Urheberrecht: SergiyN

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -