Mobile Apps im Fokus der Datenschutzbehörden
Beim Download und der Verwendung einer App werden zahlreiche Daten erhoben. Bisher sind nur wenige Fälle bekannt, in denen das die Datenschützer auf den Plan rief. Das könnte sich bald ändern: Die Artikel-29-Datenschutzgruppe – ein Forum zum Meinungsaustausch der europäischen Datenschutzbehörden – hat jüngst eine Stellungnahme zum Thema veröffentlicht.
Inhaltlich geht es einerseits um automatisiert erhobene Daten wie Gerätekennungen, Standortdaten, Kontaktdaten und andere lokal gespeicherte Daten sowie Nutzungsstatistiken, andererseits um vom Nutzer selbst übermittelte Daten wie etwa Name, E-Mail-Adresse und Zahlungsmethode im App-Store-Account, Kommunikations- oder Formulardaten innerhalb der App und so weiter. Einige dieser Daten sind eindeutig personenbezogen und damit vom Datenschutzrecht erfasst, bei anderen ist dies unter Juristen umstritten.
Die Datenschutzbehörden nehmen in Zweifelfällen an, dass es sich um personenbezogene Daten handelt. Dieser Linie folgt auch die Veröffentlichung der Artikel-29-Datenschutzgruppe („Opinion 2/2013 on Apps on smart devices“). Die Stellungnahmen und Empfehlungen der Gruppe sind nicht bindend. Sie spiegeln aber vielfach die Einschätzung der lokalen Aufsichtsbehörden wieder und eignen sich daher als Richtschnur, um datenschutzrechtlichen „Ärger“ zu vermeiden – und als Indikator, wo momentan das Interesse der Datenschützer liegt.
Schelte der Datenschützer: Unzureichende Einwilligungen
Soweit eine Verwendung von personenbezogenen Daten nicht durch Gesetz zugelassen ist – beispielsweise, weil sie zur Erfüllung des Vertrages mit dem Nutzer notwendig ist – muss der Nutzer in die Datenverarbeitung einwilligen. Nach Meinung der Datenschützer hapert es hier an allen Ecken und Enden – die Datenverarbeitung sei oft nicht transparent, die Einwilligungen nicht informiert und freiwillig. Sie fordern:
- Eine wirksame Einwilligung muss freiwillig sein, das heißt, es genügt nicht die bloße Information. Der Nutzer soll die Installation oder den Start auch abbrechen können, wenn er nicht zustimmt.
- Die Einwilligung muss informiert erfolgen. Dazu muss der Nutzer die Identität des App-Entwicklers oder Publishers kennen und wissen, welche Arten von personenbezogenen Daten zu welchem Zweck erfasst werden, ob diese Dritten zur Verfügung gestellt werden, und wie die Nutzer ihre Rechte ausüben können. Problem in der Praxis: Diese Informationen sind häufig entweder lückenhaft oder so allgemein gehalten, dass von einer informierten Entscheidung kaum gesprochen werden kann.
- Die Einwilligung muss spezifisch sein. Dies bedeutet, dass sie sich auf genau bezeichnete Datenverarbeitungsvorgänge beziehen soll. Als Beispiel wird von den Datenschützern ein Listingdienst für Restaurants angeführt. Die Einwilligung der Nutzer soll sich nach deren Vorstellung nur auf die Lokalisierung zur Anzeige des Listings beziehen, nicht eine generelle Einwilligung zur Verarbeitung von Positionsdaten sein. Dies bedeutet auch, dass bei einem Update der App mit erweitertem Funktionsumfang gegebenenfalls eine neue Einwilligung eingeholt werden muss.
Sonderfall Standortdaten
Besondere Aufmerksamkeit verwendet die Artikel-29-Datenschutzgruppe auf die Erhebung und Verwendung von Standortdaten. Sie vertritt die Ansicht, dass grundsätzlich die Einwilligung des betroffenen Nutzers eingeholt werden muss, wenn nicht nur anonymisierte Standortdaten erhoben werden. Eine Opt-out-Möglichkeit soll ebenso wenig ausreichen wie eine Einwilligung in zwingend zu akzeptierenden AGB. Ausnahme: Wenn gerade die personenbezogene Standortinformation notwendig ist, um einen Dienst in Anspruch zu nehmen, beispielsweise für Apps, die andere angemeldete Personen im näheren Umkreis des Nutzers anzeigen.
Daneben gibt es eine ganze Reihe weiterer Forderungen beziehungsweise Empfehlungen:
- Geolokalisierungsdienste sollen per default auf „aus“ geschaltet sein. Der Nutzer solle dann die Möglichkeit haben, stufenweise bei bestimmten Anwendungen auf „an“ zu stellen. Der Nutzer solle zudem jedes Mal beim Start der App aufs Neue gefragt werden.
- Um die Risiken einer geheimen Überwachung zu vermeiden, sind sie der Ansicht, „dass das Gerät ständig warnen sollte, wenn der Geolokalisierungsdienst eingeschaltet ist“, beispielsweise mittels eines dauerhaft zu sehenden Icons.
- Die Einwilligungen sollen „nach einer angemessenen Zeitspanne“ erneuert werden (selbst, wenn keine Änderung in der Art der Verarbeitung erfolgt ist), beispielsweise, wenn der Nutzer den Dienst während der letzten zwölf Monate nicht aktiv genutzt hat.
- Jeder Nutzer soll im Jahresturnus an die Verarbeitung seiner personenbezogenen Daten erinnert werden. Zudem soll den Nutzern eine einfache Opt-out-Möglichkeit für den Geolokalisierungsdienst eingeräumt werden „ohne negative Auswirkungen auf die Verwendung des Endgeräts“.
Zur leichteren Rechtedurchsetzung wird empfohlen, eine Funktion in Apps einzubauen, über die Nutzer ihre Einwilligungen regulieren und die erfassten Daten einsehen können. Vorbild ist offenbar das Google Dashboard, auch wenn dies nicht ausdrücklich genannt wird. Erteilte Einwilligungen sollen leicht zurückgezogen werden können. Empfohlen wird zudem eine Funktion, die die App-Anbieter bei der Deinstallation der App informiert und dem Nutzer die Möglichkeit gibt, bestimmte Daten beim Anbieter vorhalten zu lassen. Solange dies nicht spezifisch vom Nutzer gewählt wird, sollen alle Daten gelöscht werden.
So lange solche Funktionen nicht existieren, sollen die Anbieter die Daten bei Nutzerinaktivität nur für eine bestimmte Zeit vorhalten. Die Vorhalteperiode hängt dann von der Art der Daten ab. Der Nutzer soll dabei über bevorstehende Datenlöschungen informiert werden.
Fazit für die Praxis
Die nationalen Datenschutzbehörden sind – wie eingangs erwähnt – nicht an diese Veröffentlichung gebunden. Auch sind nicht alle Empfehlungen zwingend zu beachten, einige sind eher als Best Practice zu verstehen. Idealerweise werden diese so umgesetzt, dass Nutzer ihren Mehrwert erkennen, vielleicht sogar als Kundenreaktivierungsmaßnahme. Zwingend ist in jedem Fall die korrekte Information der Nutzer, die saubere Einholung von Einwilligungen, wenn keine gesetzliche Erlaubnisnorm eingreift, sowie die Wahrung der Auskunfts- und Löschungsrechte des Nutzers.
Da die Datenschutzbehörden das Thema Mobile Apps auf der Agenda haben, sollten auch die Entwickler das Thema Datenschutz frühzeitig beachten. Werden die relevanten Datenschutzerfordernisse rechtzeitig eingeplant, spart dies spätere – oft technisch aufwändigere – Anpassungen. Verstöße gegen Datenschutzrecht können nicht nur mit Bußgeldern geahndet werden, sondern auch dazu führen, dass die App in ihrer bisherigen Form nicht mehr weiter be- und vertrieben werden kann.
Da Datenschutzverstöße zunehmend auch als Wettbewerbsverstöße angesehen werden, können diese nach Ansicht einiger Gerichte beispielsweise auch von Verbraucher- und Wettbewerbszentralen durchgesetzt werden. Dieser Beitrag hat die wichtigsten rechtlichen Vorgaben beleuchtet; dass daneben auch technisch die Datensicherheit wichtig ist, dürfte selbstverständlich sein.
Mitarbeit: Tim Christopher Caesar