Das Thema Datenschutz fristet im Entwicklungsprozess einer App oft ein Schattendasein, obwohl aufsichtsbehördliche Maßnahmen und Bußgelder drohen. Als Hilfestellung hat der Düsseldorfer Kreis die „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“ veröffentlicht.
Der Inhalt im Überblick
- Orientierungshilfe des Düsseldorfer Kreis
- Privacy by Design
- Welche personenbezogenen Daten gibt es bei Apps?
- Grundsätze des Datenschutzrechts
- Information des Nutzers zwingend
- Sicherheit einer App
- Datenverarbeitung verboten, außer…
- Erlaubnisnormen im TMG
- Erlaubnis aus dem BDSG
- Einwilligung
- Vorsicht: Kontrollen durch die Aufsichtsbehörden laufen
- Fazit
Orientierungshilfe des Düsseldorfer Kreis
Der Düsseldorfer Kreis ist ein Zusammenschluss der deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich. Ziel des Gremiums ist es, einen Konsens bei der Auslegung, Anwendung und Weiterentwicklung des deutschen Datenschutzrechts zu finden. Der Düsseldorfer Kreis veröffentlicht regelmäßig Orientierungshilfen. Diese sind – wie der Name schon vermuten lässt – ebenfalls keine verbindlichen Vorgaben. Die Orientierungshilfen sind bei spezifischen Themen als Leitfaden anzusehen. Sie bieten einen Überblick über datenschutzrechtliche Probleme und stellen den gemeinsamen Standpunkt der Aufsichtsbehörden dar. Der Düsseldorfer Kreis wendet sich mit der neusten Orientierungshilfe unmittelbar an Entwickler und Anbieter einer App für Smartphones und Tablets. Die datenschutzrechtlichen Anforderungen an online Apps werden anhand von Beispielen erläutert.
Privacy by Design
Von einer Idee bis zum Angebot der App in einem Appstore ist es ein langer Weg. Neue Apps sprießen wie Pilze aus dem Boden. Viele träumen von dem ganz großen Wurf mit einer App. Viel Wert wird bei der Entwicklung auf das Design, die Handhabung und das richtige Marketing gelegt. Dabei wird oft übersehen, dass in allen Schritten der App-Entwicklung datenschutzrechtliche Vorgaben zu berücksichtigen sind (privacy by design). Nur so kann verhindert werden, dass eine App später ohne datenschutzrechtliche Mängel angeboten werden kann. In den meisten Fällen scheitert die datenschutzkonforme Entwicklung einer App an der Unkenntnis der App-Entwickler. Auch im Datenschutz gilt, Unwissenheit schützt vor „Strafe“ nicht. Werden personenbezogene Daten unrechtmäßig erhoben oder verwendet, kann hierfür der App-Anbieter als verantwortliche Stelle unter Umständen zur Kasse gebeten werden. Verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben ist in erster Linie der Anbieter einer App, auch wenn er die App nicht selbst entwickelt hat oder Dienstleister einsetzt.
Welche personenbezogenen Daten gibt es bei Apps?
Das Datenschutzrecht ist nur auf personenbezogene Daten anwendbar. Die folgenden Informationen können z. B. auf eine natürliche Person Rückschlüsse gewähren:
- IP-Adresse
- Geräte- und Kartenkennung (IMEI, UDID, IMSI, MAC-Adresse)
- Mobilfunknummer (MSISDN)
- Name des Telefons
- Standortdaten
- Fotos
- Videos
- Audiodateien
- Biometrische Daten (z. B. Fingerabdruck)
- Nutzungsdaten
- Kontaktdaten
- Kalendereinträge
- Registrierungsdaten
- Anruflisten
- Nachrichten
- Kontoverbindungsdaten
Grundsätze des Datenschutzrechts
Schon in der frühen Entwicklungsphase sollten die Grundprinzipien des Datenschutzes berücksichtigt werden. Der Grundsatz der Direkterhebung wird beispielweise verletzt, wenn die Grundeinstellungen so gesetzt werden, dass automatisch das Telefonbuch eines Nutzers ausgelesen wird. Zudem ist bei einer App genau aufgrund des Zweckbindungsgrundsatzes zu überprüfen, ob die Zugriffsrechte auf Daten für den im Voraus bestimmten Zweck notwendig sind.
„So ist z.B. ein Zugriff auf das gesamte Adressbuch des Geräts mit all den darin hinterlegten persönlichen Informationen des Nutzers und seiner Kontakte und deren Verwendung nicht zulässig, wenn lediglich z.B. eine Adresse für die Navigation mit einer App benötigt wird.“
Information des Nutzers zwingend
Die Pflicht, ein Impressum und eine Datenschutzerklärung auf einer Webseite bereitzustellen, ist mittlerweile fast jedem bekannt. Bei der Entwicklung einer App wird jedoch oft übersehen, dass auch hier ein Impressum und eine Datenschutzerklärung notwendig sind. Welche Angaben im Impressum enthalten sein müssen, finden Sie hier. Genau wie eine Webseite ist eine App ein Telemediendienst, bei dem der Anbieter den Nutzer über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten informieren muss. Eine Information muss bereits vor Beginn des Nutzungsvorgangs erfolgen, so dass die Datenschutzerklärung bereits im Appstore oder mindestens vor dem Start der App zum Abruf bereitgehalten wird. Zusätzlich muss die – gut lesbare – Datenschutzerklärung auch während der Nutzung der APP jederzeit abrufbar sein. Eine bloße Verlinkung auf die Datenschutzerklärung einer Webseite ist nicht ausreichend.
Sicherheit einer App
Der Düsseldorfer Kreis legt zudem großen Wert auf die Sicherheit einer App. Aus diesem Grund werden Tipps zur Vermeidung von typischen Sicherheitsrisiken gegeben. Dies betrifft Maßnahmen rund um Anmeldung, Datenübertragung, Datenspeicherung, Protokollierung bis hin zu Schutzmechanismen des Server-Backend.
Datenverarbeitung verboten, außer…
Die Orientierungshilfe gibt auch einen Überblick über die zulässigen Datenverwendungen. Grundsätzlich ist jede Erhebung oder Verwendung von personenbezogenen Daten verboten. Es sei denn, es gibt eine gesetzliche Erlaubnis oder die Einwilligung des Nutzers. Erlaubnisnormen für die Verarbeitung von personenbezogenen Daten in Apps ergeben sich aus dem Telemediengesetz oder dem Bundesdatenschutzgesetz.
Erlaubnisnormen im TMG
Bei einer App handelt es sich um einen Telemediendienst. Für die Datenerhebung und Verwendung auf (technischen) Anwendungsebenen sind speziellen datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) anzuwenden. Es wird zwischen Bestandsdaten (§ 14 TMG), Nutzungsdaten, pseudonymen Nutzerprofilen und Nutzungsdaten zu Abrechnungszwecken (§ 15 TMG) unterschieden.
Bestandsdaten sind Daten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind. Hierunter fallen die Daten, die bei einer Registrierung angegeben werden müssen.
Zu den Nutzungsdaten zählen die personenbezogenen Daten, ohne die die App nicht verwendet werden kann. Dies ist in der Regel die IP-Adresse und falls erforderlich Kennung oder Standort. Die Erhebung und Verwendung dieser Daten ist nach § 15 TMG zulässig.
Unter Pseudonymen können zudem Nutzungsprofile zu Werbezwecken angelegt werden (§ 15 Abs. 3 TMG). Allerdings hat der App-Anbieter die Pflicht auf die Erstellung von Profilen z. B. in einer Datenschutzerklärung hinzuweisen und dem Nutzer die Möglichkeit eines Opt-Out zugeben. Die Aufsichtsbehörden stellen zudem klar:
„Eindeutige Geräte- und Kartenkennungen wie die IMEI-Nummer oder auch die IP-Adresse stellen kein Pseudonym dar. Diese Daten dürfen auch nicht in das Nutzungsprofil einfließen, da die Zusammenführung pseudonymer Nutzungsprofile mit Daten über den Träger des Pseudonyms unzulässig ist (Verstoß gegen § 15 Abs. 3 S. 3 TMG, § 13 Abs. 4 Nr. 6 TMG).“
Nutzungsdaten dürfen zudem für Abrechnungen von kostenpflichtigen Angeboten verwendet werden.
Erlaubnis aus dem BDSG
Auf der Inhaltsebene sind die allgemeinen datenschutzrechtlichen Vorgaben des Bundesdatenschutzgesetzes (BDSG) zu berücksichtigen. Die Verwendung und Erhebung von personenbezogenen Daten kann hier insbesondere durch § 28 BDSG erlaubt sein, jedoch muss hier immer der Einzelfall datenschutzrechtlich bewertet werden.
Einwilligung
Gibt es keine gesetzliche Erlaubnis für die Verarbeitung von personenbezogenen Daten ist eine Einwilligung des Nutzers notwendig. Bei einer elektronischen Einwilligung sind die Voraussetzungen des § 13 TMG zu beachten. Liegen weder eine gesetzliche Erlaubnis noch eine Einwilligung des Betroffenen vor, ist die Datenverarbeitung gesetzeswidrig.
Vorsicht: Kontrollen durch die Aufsichtsbehörden laufen
Das Bayerische Landesamt für Datenschutzaufsicht überprüfte bereits 60 zufällig ausgewählte Apps, darunter wurden 30 in Bayern entwickelt. Hierbei wurden gravierende Mängel bei der Umsetzung des Datenschutzes gefunden. Auch die Datenschutz-Behörden in Nordrhein-Westfalen, Saarland, Hessen und Hamburg beschäftigen sich derzeit ebenfalls eingehender mit etwaigen Rechtsverstößen, leiteten aber noch keine Bußgeld-Verfahren ein. Angesichts der Vielzahl der Verstöße ist es aber nur noch eine Frage der Zeit bis die ersten Anbieter Adressaten von Bußgelbescheiden oder Untersagungsverfügungen werden. Teuer kann es auch ohne Verhängung eines Bußgeldes werden, denn unter Umständen können dem Anbieter Gebühren für die Tätigkeit der Aufsichtsbehörden auferlegt werden.
Fazit
Die Orientierungshilfe gibt einen guten ersten Überblick über datenschutzrechtliche Probleme, die am besten schon bei der Entwicklung einer App berücksichtigt werden sollen. Für konkrete datenschutzkonforme Lösungen ist jedoch die individuelle Analyse jeder App notwendig. Eine möglichst frühe Zusammenarbeit mit Experten im Datenschutz ist daher jedem App-Anbieter zu empfehlen, denn was hilft die tollste App, wenn die Aufsichtsbehörden den Betrieb verbieten.
Kompakt, sehr gut