Vorsicht Kontrolle: Mobile Apps und die Datenschutzbehörden
Kommentare

Bereits beim Download, vor allem aber bei der Verwendung einer mobile App für Smartphones oder Tablets werden zahlreiche personenbezogene Daten erhoben. Bisher sind zwar nur wenige Fälle bekannt geworden, in denen das die behördlichen Datenschützer auf den Plan rief. Doch das könnte sich bald ändern.

Das Thema Datenschutz bei Apps wird von einer breiten Öffentlichkeit zunehmend als wichtig wahrgenommen. Zuletzt machte Facebook diesbezüglich von sich reden, als gemeldet wurde, dass ein neues Update der Android-App des Social Networks den Zugriff auf SMS und MMS des Nutzers verlangt – so dass auf diesem Wege von der App auch Kommunikationsinhalte ausgelesen werden könnten, die an sich gar nichts mit dem sozialen Netzwerk zu tun haben. Auch die Aufmerksamkeit der behördlichen Datenschützer für das Thema wird durch solche Meldungen geschärft.

Hinzu kommt, dass die sogenannte Artikel 29-Datenschutzgruppe – ein unabhängiges Beratungsgremium der EU-Kommission – vor einigen Monaten eine Stellungnahme zum Thema veröffentlicht hat. Die Stellungnahmen der Gruppe sind zwar nicht bindend, sie spiegeln aber vielfach die Einschätzung der lokalen Aufsichtsbehörden wider und eignen sich daher als Richtschnur, um datenschutzrechtlichen „Ärger“ zu vermeiden – und als Indikator, wo aktuell das Interesse der Datenschützer liegt. Erfahrungsgemäß schauen auch die vor Ort zuständigen Datenschutzbehörden in diesen Bereichen in der Folgezeit genauer hin.

Gute vs. böse Daten?

Im Hinblick auf den Datenschutz sind natürlich nur solche Daten relevant, die einen Bezug zu einer natürlichen Person aufweisen und damit „personenbezogen“ sind. Andernfalls greifen die Datenschutzgesetze gar nicht. Die Frage, ob bestimmte Daten als personenbezogen anzusehen sind, ist daher immens wichtig und der Ausgangpunkt jeglicher – auch strategisch planerischen – Überlegung. Im Bereich der mobile Apps ist dahingehend noch vieles ungeklärt.

Je nach Art der Apps sammeln diese oftmals automatisch Gerätekennungen, Standortdaten, Kontaktdaten, andere lokal gespeicherte Daten und Nutzungsstatistiken sowie vom Nutzer selbst übermittelte Daten wie etwa Name, E-Mail-Adresse und Zahlungsmethode im App-Store-Account, Kommunikations- oder Formulardaten.

Einige der erhobenen Daten sind eindeutig als personenbezogen zu kategorisieren und damit auch ohne weiteres vom Datenschutzrecht erfasst. Bei anderen Datenkategorien ist dies unter Juristen umstritten. Datenschutzbehörden nehmen in solchen Zweifelsfällen oft an, dass ein Personenbezug der Daten vorliegt. Und eben dieser Linie folgt auch die aktuelle Veröffentlichung der Artikel 29-Datenschutzgruppe im Hinblick auf die mit mobile Apps erhobenen und verarbeiteten Daten (PDF „Opinion 2/2013 on Apps on smart devices“).

Gerichtsentscheidungen existieren kaum, so dass der Einschätzung der Aufsichtsbehörden ein gewisses Gewicht beigemessen werden sollte. Die Behörden sind es auch, mit denen man sich als Anbieter der App regelmäßig auseinandersetzen und einigen muss.

Unzureichende Einwilligungen in die Datenverarbeitung?

Soweit eine Verarbeitung personenbezogener Daten nicht gesetzlich zugelassen ist – beispielsweise, weil sie zur Vertragserfüllung gegenüber dem Nutzer notwendig ist – muss der betroffene Nutzer einwilligen. Gerade bei solchen Einwilligungen sehen die behördlichen Datenschützer aber besonderen Nachholbedarf. So sei die Datenverarbeitung oft nicht transparent, vorgesehene Einwilligungen würden nicht informiert und freiwillig erfolgen. Daher fordern die Behördenvertreter insbesondere die folgenden Punkte zu beachten:

  • Freiwilligkeit: Damit die Einwilligung wirksam erteilt werden kann, muss dies freiwillig erfolgen. Daher genügt nicht die bloße Information, sondern der Nutzer soll die Installation oder den Start auch abbrechen können, wenn er nicht zustimmt.
  • Information: Weitere Voraussetzung für die wirksame Erteilung der Einwilligung ist, dass der Nutzer entsprechend informiert über die wesentlichen Umstände ist. Der Nutzer muss insbesondere die Identität des App-Entwicklers oder Publishers kennen und wissen, welche Arten von personenbezogenen Daten zu welchem Zweck erfasst werden, ob diese Daten Dritten zur Verfügung gestellt werden, und wie er seine Rechte ausüben kann.
  • Konkretheit: Schließlich muss sich die Einwilligung, damit sie wirksam erteilt werden kann, auf einen spezifischen Sachverhalt beziehen. Dies bedeutet, dass sie sich auf genau bezeichnete Datenverarbeitungsvorgänge beziehen und nicht zu allgemein gehalten sein soll.

Ein klassisches Problem in der Praxis: Die Informationen sind häufig entweder lückenhaft erteilt oder so allgemein gehalten, dass von einer informierten Entscheidung kaum gesprochen werden kann. Außerdem wird oft übersehen, dass bei einem Update der App mit erweitertem Funktionsumfang gegebenenfalls auch eine neue Einwilligung eingeholt werden muss.

Standortdaten als „Steckenpferd“ der Behörden?

Die Verarbeitung von Standortdaten des Nutzers erfahren eine besondere Aufmerksamkeit der Artikel 29-Datenschutzgruppe. Die Gruppe meint, dass für die Verarbeitung von nicht nur anonymisierten Standortdaten grundsätzlich die Einwilligung des betroffenen Nutzers eingeholt werden muss.

Eine schlichte Opt-out-Möglichkeit soll hier ebenso wenig ausreichend sein, wie eine Einwilligung in zwingend zu akzeptierenden Allgemeine Geschäftsbedingungen. Allerdings wollen die Datenschützer die Verarbeitung solcher Standortinformationen zulassen, die gerade notwendig ist, um einen Dienst in Anspruch zu nehmen. Das betrifft also zum Beispiel solche Apps, deren Hauptzweck es ist, andere angemeldete Personen im näheren Umkreis des Nutzers anzuzeigen.

Als weiteres Beispiel wird von den Datenschützern ein Listingdienst für Restaurants genannt. Die Einwilligung der Nutzer soll sich dann aber nur auf die Lokalisierung zur Anzeige des Listings beziehen und nicht eine generelle Einwilligung zur Verarbeitung von Positionsdaten sein.

Daneben stellt die Artikel 29-Gruppe im Hinblick auf Standortdaten eine ganze Reihe weiterer Forderungen auf beziehungsweise gibt entsprechende Empfehlungen:

  • Default: Geolokalisierungsdienste sollen per default auf „aus“ geschaltet sein. Der Nutzer soll dann die Möglichkeit haben, stufenweise bei bestimmten Anwendungen die Verwendung von Standortinformationen „an“ zu schalten. Er soll zudem jedes Mal beim Start der App aufs Neue gefragt werden.
  • Warnung: Um dem Risiko einer geheimen Überwachung zu begegnen, ist die Gruppe der Ansicht, „dass das Gerät ständig warnen sollte, wenn der Geolokalisierungsdienst eingeschaltet ist“. Dies kann beispielsweise mittels eines dauerhaft eingeblendeten Icons geschehen.
  • Wiederholung: Einwilligungen zur Verwendung von Standortinformationen sollen „nach einer angemessenen Zeitspanne“ erneuert werden – und das selbst dann, wenn keine Änderung in der Art der Verarbeitung erfolgt ist. Auch wenn der Nutzer den Dienst während der letzten zwölf Monate nicht aktiv genutzt hat, soll eine erneute Einwilligung fällig sein.
  • Erinnerung: Zudem soll jeder Nutzer im Jahresturnus an die Verarbeitung seiner personenbezogenen Daten erinnert werden.
  • Opt-out: Schließlich soll den Nutzern eine einfache Opt-out-Möglichkeit für den Geolokalisierungsdienst eingeräumt werden, die zugleich „ohne negative Auswirkungen auf die Verwendung des Endgeräts“ bleibt.

Zur effektiveren und leichteren Durchsetzung der Rechte seitens der Nutzer wird von der Artikel 29-Gruppe empfohlen, eine Funktion zur (Nach-) Regulierung der Einwilligung und zum Einsehen der erfassten Daten in Apps einzubauen. Erteilte Einwilligungen sollen durch die Integration solcher Funktionen leichter zurückgezogen werden können. Vorbild hierfür ist offenbar das Google Dashboard, auch wenn es nicht ausdrücklich genannt wird.

Empfohlen wird darüber hinaus eine Funktion, die die App-Anbieter über eine Deinstallation der App informiert und zugleich dem Nutzer die Möglichkeit gibt, ausgewählte Daten auch nach der Deinstallation der App weiterhin beim Anbieter vorhalten zu lassen. Solange diese Option nicht spezifisch vom Nutzer gewählt wird, sollen nach Ansicht der behördlichen Datenschützer alle personenbezogenen Daten gelöscht werden.

Existiert eine solche Funktionen nicht, sollen die Anbieter im Falle einer Inaktivität des jeweiligen Nutzers die Daten nur noch für eine bestimmte Zeit vorhalten, die von der Art der Daten abhängen soll. Schließlich soll der Nutzer über bevorstehende Datenlöschungen informiert werden.

Praxisempfehlung für App-Anbieter

Da die Datenschutzbehörden das Thema mobile Apps auf der Agenda haben, sollten auch die Entwickler das Thema Datenschutz frühzeitig beachten.

Die vorgestellten Leitlinien und Forderungen der behördlichen Datenschützer wirken indirekt: Aus Deutschland ist nämlich die Bundesdatenschutzbeauftragte Mitglied der Artikel 29-Gruppe, nicht die Vertreter aus den 16 Landesbehörden. Einige der Empfehlungen sind auch eher als Best Practice zu verstehen. Auch wenn es sich nicht um fixe Vorgaben handelt, werden die örtlichen Aufsichtsbehörden die diskutierten Aspekte erfahrungsgemäß dennoch in Zukunft (strenger) berücksichtigen und sich dabei an den Empfehlungen der Artikel 29-Gruppe orientieren.

Werden die relevanten Datenschutzerfordernisse rechtzeitig eingeplant, spart dies später oft technisch aufwändige Anpassungen. Idealerweise werden die Datenschutzanforderungen so umgesetzt, dass Nutzer ihren Mehrwert erkennen, vielleicht sogar als Kundenreaktivierungsmaßnahme.

Und auf die leichte Schulter nehmen sollte man die Anforderungen nicht, denn Verstöße gegen Datenschutzrecht können nicht nur mit Bußgeldern geahndet werden, sondern auch dazu führen, dass die App in ihrer bisherigen Form nicht mehr weiter be- und vertrieben werden kann. Da Datenschutzverstöße zunehmend auch als Wettbewerbsverstöße angesehen werden, können diese nach Ansicht einiger Gerichte beispielsweise auch von Konkurrenten sowie Verbraucher- und Wettbewerbszentralen durchgesetzt werden.

Mitarbeit: Tim Christopher Caesar


Aufmacherbild: Safety concept: hand holding smartphone Foto via Shutterstock / Urheberrecht: Maksim Kabakou

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -