Aus aktuellem Anlass (Pokémon GO), beschäftigt sich dieser Artikel mit den Grundsätzen der datenschutzkonformen Mobile App Entwicklung und möchte App Entwicklern und App Anbietern wichtige, dringend zu beachtende, Punkte aufzeigen.
Der Inhalt im Überblick
Pokémon GO
Seit der vergangenen Woche steht Pokémon Go des Entwicklers Niantic für Android und iOS, in bislang nur ausgewählten Regionen, zum kostenlosen Download bereit. Seit heute ist es auch in Deutschland verfügbar. Nichts desto trotz schaffte es die App bereits nach kurzer Zeit für Aufsehen zu sorgen. Jedoch nicht nur wegen des neuen Spielkonzepts, sondern auch wegen dem Verstoß gegen Datenschutzgrundsätze. Neben einer Datenschutzrichtlinie, auf welche wir hier nicht näher eingehen wollen, verschaffte sich die App, aufgrund eines Fehlers, Vollzugriff auf die Google Accounts ihrer Nutzer.
Mit Hilfe des Vollzugriffs auf das Google Konto kann ein Konto wie ein eigenes verwaltet und genutzt werden. Es können unter anderem alle E-Mails gelesen und sogar Neue unter dem Namen des Betroffenen versendet, Kontaktdaten ausgelesen und Daten von der Google Drive gelöscht werden.
Verbot mit Erlaubnisvorbehalt
Im Datenschutzrecht gilt der Grundsatz des Verbotes mit Erlaubnisvorbehalt. Dies bedeutet, dass die Erhebung und Verwendung personenbezogener Daten grundsätzlich verboten ist, es sei denn, es existiert eine Erlaubnis dazu. Eine solche Erlaubnis kann sich einerseits aus einer Rechtsvorschrift oder aus einer Einwilligung des Nutzers bzw. der betroffenen Person ergeben.
Als Rechtsvorschriften kommen insbesondere §§ 14 und 15 TMG in Betracht. Danach darf ein Diensteanbieter (App-Anbieter) personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind, bzw. um die Inanspruchnahme von Telemedien zu ermöglichen und den Dienst abzurechnen.
Existiert kein gesetzlicher Erlaubnistatbestand, ist die Erhebung und Verwendung personenbezogener Daten nur mit einer wirksamen Einwilligung des betroffenen Nutzers möglich. Soweit eine Einwilligung in Betracht kommt, sind die Voraussetzungen für eine wirksame Einwilligung in § 4a BDSG und § 13 Abs. 2, 3 TMG geregelt. Auch wir haben uns im Blog mit diesem Thema bereits beschäftigt.
Grundsätze der Datenvermeidung, Datensparsamkeit und Zweckbindung
Nach dem in § 3a BDSG normierten Grundsatz der Datenvermeidung und der Datensparsamkeit dürfen nur so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden und ist darauf bereits bei der App Entwicklung zu achten. Diesem Ziel kann auch eine Pseudonymisierung i.S.d. § 3 Abs. 6a BDSG oder Anonymisierung i.S.d. § 3 Abs. 6 BDSG von Daten dienen. Es sollte also sichergestellt werden, dass durch die App nur diejenigen personenbezogenen Daten erhoben und verwendet werden, die wirklich erforderlich sind.
Darüber hinaus muss jeder Umgang mit personenbezogenen Daten einen bestimmten, legitimen Zweck verfolgen. Eine Datensammlung ohne Verfolgung eines konkret festgelegten Zwecks ist genauso wenig zulässig wie die Änderung eines Zweckes und der Verwendung der bis dahin gesammelten Daten für diesen neuen Zweck, ohne dass auch für diesen Datenumgang eine Erlaubnis existiert.
Anmelden mit dem Google-Konto
Bereits tausende von Apps und Webseiten erlauben die Registrierung mit Hilfe eines Google oder Facebook Kontos und es bestehen gegen diese Art der Authentifizierung, sofern die vorstehenden Grundsätze beachtet werden, auch keine Einwände.
Für den Fall der Registrierung bei einem Dienst, wie Pokémon GO, können die hierfür notwendigen Daten, wie z.B. der Name und die E-Mail-Adresse, erhoben, verarbeitet und genutzt werden. Daneben dürfen jedoch keine weiteren Daten erhoben werden, es sei denn sie sind für den Dienst zwingend notwendig.
Aufklärung über Datenerhebung, -verarbeitung und – nutzung
Neben der Beachtung der datenschutzrechtlichen Grundsätze hat der App-Anbieter gemäß § 13 Abs. 1 S. 1 TMG den Nutzer
„zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten [außerhalb der EU bzw. des EWR] (…) in allgemein verständlicher Form zu unterrichten“.
Folglich hat er, wie auch der Webseitenbetreiber eine Datenschutzerklärung vorzuhalten und ist er auch für dessen Vollständigkeit und Richtigkeit verantwortlich. Keinesfalls sollte die Datenschutzerklärung der Webseite einfach in die App kopiert werden, da erhebliche Unterschiede bestehen können und man so ggf. falsch, bzw. unvollständig aufklärt. Daher sollte eine Datenschutzerklärung speziell für die App erstellt werden. Weitere Informationen über den Inhalt einer solchen Datenschutzerklärung finden sie in unserem Artikel „Datenschutzerklärung in Apps – Inhalt, Form und Muster“.
Wichtig ist, dass die Datenschutzerklärung bereits im jeweiligen App Store vor dem Download abgerufen werden kann, jederzeit abrufbar ist und der Nutzer darin über die nachstehenden Punkte umfassend aufgeklärt wird:
- Kontaktdaten des Anbieters
- Beschreibung der Datenarten, die von der App erhoben werden (Zugriffsrechte)
- Erklärung des Zwecks für die diese Daten erhoben werden (inkl. Nutzungsprofile)
- Speicherdauer
- Information über Übermittlung an Dritte und deren Zweck
- Aufklärung über Nutzerrechte
- Datum der Erstellung
Werden daneben noch andere Tools innerhalb der App zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung des Dienstes, wie z.B. Google Analytics, DoubleClick. o.ä., Nutzerprofile bei Verwendung von Pseudonymen eingesetzt, so ist der Nutzer hierüber ebenfalls vollständig zu informieren und ist er auf sein Widerrufsrecht hinzuweisen, §15 Abs. 3 i.V.m. §13 Abs. 1 TMG.
Technischer Datenschutz
Neben den vorstehend erwähnten Punkten darf die Rolle des technischen Datenschutzes nicht außer Acht gelassen werden. Bei der datenschutzgerechten Gestaltung spielt auch die Sicherheit einer App eine entscheidende Rolle, weshalb bereits im Entwicklungsprozess darauf hingewirkt werden sollte, dass kritische Schwachstellen von vornherein vermieden werden und das Sicherheitsniveau der App dem heutigen Stand der Technik entspricht. Bei Verarbeitung personenbezogener Daten ergeben sich die notwendigen technischen Anforderungen an eine App aus den Technischen und organisatorischen Maßnahmen nach § 9 BDSG (und der dazugehörigen Anlage) und aus § 13 Abs. 4 TMG.
Weiterführende Informationen
Die vorstehenden Artikel stellt lediglich einen Auszug der zu beachtenden Punkte dar und jede App ist für sich zu betrachten, weshalb er eine datenschutzrechtliche Beratung nicht zu ersetzen vermag. Der jeweilige Datenschutzbeauftragte sollte frühzeitig in den App-Entwicklungsprozess eingebunden werden.
Wer sich jedoch tiefer mit der Materie auseinander setzen möchte, der sei auf die Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter des Düsseldorfer Kreis sowie den kürzlich vom Bayerischen Landesamt für Datenschutz veröffentlichten Prüfkatalog für den technischen Datenschutz bei Apps mit normalem Schutzbedarf verwiesen.
Ich habe eine Frage zum Gesundheitsdatenschutz: Ich vertreibe eine Android-App, mit der sich Nutzer an die Einnahme von Medikamenten erinnern lassen können. Sämtliche Daten (Namen der Medikamente, Einnahmezeitpunkte, Einnahmerhythmus, sonstige Bemerkungen sowie evtl. ein Foto der Medikamentenverpackung) speichert und verarbeitet die App direkt auf dem jeweiligen Smartphone. Weder die Daten selbst noch irgendwelche davon abgeleiteten Auswertungen werden ins Internet übertragen. Der Nutzer kann die Daten aber verschlüsselt exportieren und per E-Mail zu Sicherungszwecken oder zwecks Übertragung auf ein anderes Smartphone versenden. Da nun die Namen der Medikamente Auskunft über die gesundheitlichen Probleme des jeweiligen Nutzers geben können, fällt die App m. E. auch unter die besonderen Anforderungen des Gesundheitsdatenschutzes. Wie müsste nun im Rahmen der allgemeinen Datenschutzerklärung der Bereich des Gesundheitsdatenschutzes konkret formuliert werden? Besten Dank im Voraus!
Leider dürfen wir im Rahmen unseres Blogs keine Rechtsberatung leisten. Für konkrete Formulierungen sollten Sie sich an einen Rechtsanwalt oder eine Unternehmensberatung wenden.