Auch wenn einige Datenschutz als Wirtschaftshemmnis betrachten, sind App-Anbieter und App-Entwickler gut beraten, die künftigen Anforderungen an den Datenschutz bei der Planung ihrer Apps zu beachten. Hierbei sind insbesondere den Grundsätzen Privacy by Design und Privacy by Default Rechnung zu tragen. Wie das gehen kann und worauf man achten sollte, versucht dieser Beitrag aufzuzeigen.
Der Inhalt im Überblick
DSGVO ändert Vorgaben für App-Entwickler
Das Konzept des Datenschutzes durch Technikgestaltung (Privacy by Design) ist ein wichtiger Grundsatz, der bereits in der 1995 erlassenen Datenschutzrichtlinie RL 1995/46/EG indirekt berücksichtigt und in Verbindung mit dem Konzept datenschutzfreundlicher Voreinstellungen (Privacy by Default) in der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG eingehender erläutert wurde. Eine unmittelbare Rechtswirkung ging von diesen Grundsätzen für die App-Entwicklung jedoch, aufgrund des Richtliniencharakters, nicht aus und fehlte bislang eine vollständige Umsetzung in nationales Recht.
Dies ändert sich spätestens mit in Kraft treten der Datenschutz-Grundverordnung (DSGVO) am 25.5.2018, ohne dass eine weitere Umsetzungsfrist hierfür notwendig ist. Die DSGVO schreibt die vorstehend genannten Konzepte als „Data Protection by Design“ und „Data Protection by Default“ in Artikel 25 fort und legt damit dem für die App Verantwortlichen die Einhaltung dieser Grundsätze auf und sanktioniert Verstöße hiergegen in Art. 83 Abs. 4 a) DSGVO. Nichts anders sagt der kürzlich geleakte Entwurf der ePrivacy-Verordnung aus, auch hier findet das Konzept „Privacy by Design“ Erwähnung
Deshalb sollten App-Anbieter und App-Entwickler, die Apps in Deutschland, bzw. in der EU vertreiben wollen, bereits in der Entstehungs- und Entwicklungsphase die
- (a) datenschutzrechtlichen Vorgaben kennen und durch
- (b) datenschutzgerechte Gestaltung sowie
- (c) datenschutzfreundliche Voreinstellungen
dafür Sorge tragen, dass die App später ohne datenschutzrechtliche Mängel angeboten werden kann.
(a) Datenschutzrechtlichen Vorgaben bei Apps
Im Datenschutzrecht gilt der Grundsatz des Verbotes mit Erlaubnisvorbehalt und ist eine Verarbeitung personenbezogener Daten immer nur dann zulässig, wenn eine Rechtsvorschrift die Verarbeitung erlaubt oder der Betroffene seine ausdrückliche Einwilligung hierzu erteilt hat. Folgende Datenverarbeitungen können auf gesetzliche Tatbestände gestützt werden:
Bestandsdaten gemäß §14 Abs. 1 TMG dürfen für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses über die Nutzung von Telemedien verwendet werden, wenn sie hierfür erforderlich sind. Diese sind regelmäßig der Name, die E-Mail-Adresse und Zahlungsdaten.
Nutzungsdaten können verarbeitet werden um die Inanspruchnahme des Dienstes zu ermöglichen, vgl. §15 Abs. 1 TMG. Zu den Nutzungsdaten zählen personenbezogenen Daten, welche notwendigerweise zur Nutzung der App erhoben und verwendet werden müssen, wie z.B. die IP-Adresse, Cookies und Nutzerkennung.
Darüber hinaus dürfen sogenannte Inhaltsdaten über den Verbindungsvorgang hinaus gespeichert und verarbeitet werden, entweder nach den §§28ff BDSG bzw. §14 Abs. 1 TMG oder §§ 12 Abs. 1, 15 Abs. 1 TMG. Dabei handelt es sich um Daten, die im Rahmen des Telemediendienstes erhoben, aber zur Erfüllung des weiteren Vertrags- und Leistungsverhältnisses verarbeitet werden, hierfür erforderlich sind und ausschließlich zu diesem Zweck verarbeitet werden. Die Zulässigkeit der Verarbeitung hängt daher von der jeweils geschuldeten Leistung ab.
Nutzungsprofile für Werbezwecke oder der bedarfsgerechten Gestaltung der Telemedien dürfen nur auf pseudonymer Basis erfolgen und dem Nutzer ist ein Widerspruchsrecht einzuräumen. Sie dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Alle weitergehenden Verarbeitungszwecke der App, wie beispielsweise die Veröffentlichung von Nutzerinformationen gegenüber Dritten oder anderen App-Nutzern, die Analyse des Nutzungsverhaltens des Einzelnen für Werbezwecke, etc. sind meistens nicht mehr vom Leistungsumfang des Hauptvertrags umfasst und daher nur mit einer wirksamen Einwilligung des Nutzers möglich, dabei sind die Voraussetzungen der § 4a BDSG und § 13 Abs. 2, 3 TMG zu beachten und gelten diese auch nach in Kraft treten der DSGVO fort .
(b) Datenschutzgerechte Gestaltung
Hat man die Voraussetzungen für die zulässige Verarbeitung von personenbezogene Daten verinnerlicht, stellt sich die Frage, wie man diese in der App ordnungsgemäß abbilden kann.
In einem ersten Schritt sollte man mit seinem Datenschutzbeauftragten klären, welche Datenverarbeitungsvorgänge auf eine gesetzliche Rechtsgrundlage gestützt werden können (s.o.). Eine über den Vertragszweck hinausgehende Datenverarbeitung ist per informierter Einwilligung durch bewusste eindeutige Erklärung des Nutzers zu legitimieren. Hierfür können entsprechende Dialogfenster eingeblendet werden und die Einwilligung ist zu protokollieren.
Werden eine Vielzahl von Einwilligungen benötigt bzw. werden Nutzerprofile erstellt, so sollte die App geeignete Privatsphäre-Einstellungen bereithalten, innerhalb welcher der Nutzer die erteilte/nicht-erteilten Einwilligungen einsehen kann und diese jeweils erneut entziehen/erteilen kann. Auch sollte der Nutzer die Möglichkeit haben, die App unter Verwendung eines Pseudonyms zu verwenden – bestenfalls ohne vorherige Pflicht zur Registrierung. Dies gilt für Apps, die ein soziales Netzwerk abbilden, umso mehr.
Darüber hinaus ist sicherzustellen, dass die App eine Datenschutzerklärung enthält, welche den Nutzer über die in der App stattfindende Datenverarbeitung informiert, §13 Abs. 1 TMG. Diese sollte bereits vor Download und Installation der App, bestenfalls im jeweiligen AppStore, abrufbar und in der App einfach auffindbar platziert sein. Auch sollten die Nutzungsbedingungen/AGB den angebotenen Dienst möglichst genau beschreiben und den Leistungsinhalt festlegen, so dass der Nutzer die zur Erbringung des Dienstes erforderliche Datenverarbeitung abschätzen kann.
Letztlich ist ein System zu implementieren, dass die Wahrung der Betroffenenrechte – auf Auskunft, Löschung, Berichtigung und künftig Datenübertragbarkeit – sicherstellt. Dies kann Beispielsweise per Formular geschehen.
(c) Datenschutzfreundliche Voreinstellungen
Die App sollte so voreingestellt sein, dass sich die Datenverarbeitung auf das zur Erfüllung des Vertragszwecks erforderliche Maß beschränkt. Datenverarbeitungen die auf Einwilligungen beruhen sollten erst dann eingeholt, wenn sie tatsächlich benötigt werden (sog. Opt-in) und darf mit einer solchen Datenverarbeitung nicht vor Abgabe der Einwilligung begonnen werden. Eine bloße Opt-Out-Möglichkeit entspricht nicht den gesetzlichen Anforderungen.
Fazit
App-Anbieter und App-Entwickler sollten sich mit ihrem Datenschutzbeauftragten zusammensetzten und die noch verbleibende Zeit bis zum 25.5.2018 nutzen, um ihre Apps zu überprüfen und – sofern nötig – nachzubessern. Möchte man das nicht dem Datenschutz oder seiner Kunden zu liebe machen, dann zumindest um sich den möglichen Sanktionen in Form von Bußgeldern in Höhe von bis zu EUR 10.000.000 bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (sofern höher) zu entziehen.
