Laut einem Marktforschungsbericht des Softwareunternehmens Safedk verstoßen derzeit ca. 55% aller Apps die im Google Play Store angeboten werden gegen die Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Hier erfahren Sie, worauf es bei der Entwicklung von Apps aus datenschutzrechtlicher Sicht ankommt.
Der Inhalt im Überblick
Problematische Datenzugriffe
Auch wenn der der Bericht des Unternehmens natürlich auch darauf abzielt, eigene Produkte des Softwareunternehmens zu bewerben, ist diese große Anzahl von Apps, die gegen die DSGVO (und im Übrigen auch gegen bereits geltendes Datenschutzrecht) verstoßen, durchaus realistisch. Dabei ist das in dem Bericht thematisierte Problem eigentlich altbekannt. Apps greifen über Schnittstellen auf das Adressbuch, die Kamera, das Mikrofon, Positionsdaten oder andere Daten zu, obwohl diese Zugriffe möglicherweise für deren Funktionalität gar nicht erforderlich sind.
Datenschutzverstöße sind zahlreich
Wenn Apps auf diese Daten zugreifen, wird regelmäßig gegen zahlreiche datenschutzrechtliche Vorgaben verstoßen. Zu nennen wären dabei insbesondere der Zweckbindungsgrundsatz, der Grundsatz der Datenminimierung, sowie Privacy by Design/by Default. Aber auch das Transparenzgebot bzw. die nach DSGVO umfangreichen Informationspflichten werden von den Herstellern oft nicht beachtet. Dies wirkt sich dann auch auf eine Einwilligung der Nutzer in die Datenverarbeitung aus, die in vielen Fällen aufgrund rechtlicher Mängel ebenfalls unwirksam ist.
Aktuelles Negativbeispiel – der „Schutzranzen“
Der neueste Kracher im Bereich „schöne neue Welt“ ist die App „Schutzranzen“. Diese überwacht Grundschulkinder durch eine lückenlose Aufzeichnung der Standortdaten und Erstellung von Bewegungsprofilen. Damit sollen Eltern jederzeit wissen, wo sich Ihre Kinder aufhalten. Autofahrern, die ebenfalls die App installiert haben, werden Bereiche angezeigt, in denen sich vielen Kinder aufhalten. Es wird außerdem ein Warnsignal bei einem zu geringen Abstand zu den gesendeten Standortdaten abgegeben. Neben dem problematischen gesellschaftspolitischen Aspekt und den Zweifeln am tatsächlichen Nutzen dieser App (vielleicht mal besser die Augen auf die Straße als aufs Smarthphone?), wurde auch Kritik an der Datenverarbeitung und Transparenz geübt. Der Bürgerrechtsverein Digitalcourage beklagt technisch unsichere Datenübermittlungen von Standortdaten an Webserver in die USA, die in den Datenschutzbestimmungen zudem nicht erwähnt werden. Die niedersächsische Datenschutzbeauftragte Barbara Thiel bemängelt unter anderem, dass sich die App auch Berechtigungen für Fotos, Medien, Dateien und die Kamera geben lässt und zu bezweifeln sei, dass diese Berechtigungen für die Funktionen der Apps erforderlich sind.
Wie mache ich es richtig?
Bei der Entwicklung von Apps ist aus datenschutzrechtlicher Sicht einiges zu beachten. Einen guten Überblick geben unsere Blogartikel „App Entwicklung – was ist datenschutzrechtlich zu beachten?““ und „Datenschutz bei Apps – Orientierungshilfe des Düsseldorfer Kreises“. Diese stammen zwar aus den Jahren 2014 und 2016, sind aber nach wie vor sehr aktuell, auch im Hinblick auf die Vorgaben der DSGVO. Wichtig ist allerdings, dass die derzeit noch einschlägigen Vorschriften des Telemediengesetzes (TMG) in naher Zukunft durch die ePrivacy-Verordnung abgelöst werden. Zusätzlich müssen App-Anbieter neue Anforderungen ab dem 25.05.2018 mit Geltung der DSGVO beachten. Zu nennen wären hier insbesondere:
Rechenschaftspflichten
App Anbieter haben als Verantwortliche i.S.d. Art. Art. 4 Nr. 7 DSGVO die Pflicht gegenüber der Aufsichtsbehörde jederzeit nachzuweisen, dass Sie die Vorgaben der DSGVO einhalten. Dies betrifft die Einhaltung der Datenschutzgrundsätze (Art. 5 DSGVO), die Wahrung der Betroffenenrechte (Art. 12-22 DSGVO) und die Sicherheit der Verarbeitung (Art. 32 DSGVO). Zudem müssen Verfahrensverzeichnisse geführt werden (Art. 30 DSGVO), Datenschutzfolgenabschätzungen müssen ggf. durchgeführt und dokumentiert werden (Art. 35 DSGVO) und Datenschutzverstöße müssen an die zuständige Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO).
Erweiterte Informationspflichten und Transparenz
Die Nutzer müssen in verständlicher Sprache und leicht zugänglicher Weise verständlicher Weise über die Datenverarbeitung informiert werden. Einen ausführlichen Artikel zu den Informationspflichten nach DSGVO gibt es hier.
Wahrung der Betroffenenrechte
Die einzelnen Betroffenenrechte sind hier erklärt. Für App-Anbieter kann insbesondere das neue Recht auf Datenübertragbarkeit eine Rolle spielen.
Anforderungen an eine Einwilligung
Soll die Datenverarbeitung per App auf Grundlage einer Einwilligung erfolgen ist der Art. 7 DSGVO zu beachten. Insbesondere ist auf eine ausführliche Information und das Widerrufsrecht zu achten. Ausführlich dazu hier.
Privacy by Design und Privacy by Default
Schon in der Entwicklungsphase ist durch interne Strategien sicherzustellen, dass Datenschutzvorgaben umgesetzt werden können, also neben der Sicherheit der Verarbeitung entsprechende Kontrollmöglichkeiten für den Nutzer über seine personenbezogene Daten gewährleistet werden. Außerdem sind die Voreinstellungen einer App so zu gestalten, dass nur die für den Zweck der Datenverarbeitung erforderlichen Daten erhoben und gespeichert werden. Ausführlich dazu hier.
Handlungsempfehlung
Spätestens jetzt sollten App Anbieter realisieren, dass die Vorgaben der DSGVO bei der Entwicklung von Apps zu beachten sind. Alte Apps, die bereits im App- oder Playstore sind, sollten auf den Prüfstand gestellt werden. Denn auch Google hat angekündigt die Nutzungsbedingungen des Playstores demnächst zu ändern. Apps, die ohne Einschränkung Daten sammeln, werden es demnach in Zukunft schwer haben, nicht gegen die neuen Nutzungsbedingungen zu verstoßen.