Kanzlei Lachenmann Onlinerecht IT-Recht

Datenschutz-Anforderungen für App-Anbieter – Orientierungshilfe der Aufsichtsbehörden

Mobile Apps - Rechtsfragen und rechtliche RahmenbedingungenApp-Anbieter unterliegen einer Vielzahl von Datenschutz-Anforderungen – Zu diesen wurde nun eine Orientierungshilfe durch die Datenschutz-Aufsichtsbehörden veröffentlicht (hier im Volltext), die eine Vielzahl von Hinweisen gibt. Die Wichtigsten werden im Folgenden kurz vorgestellt. Vorab: Ich freue mich, dass in unserem Buch „Mobile Apps“, an dem ich mitgeschrieben habe, größtenteils die gleichen Einschätzungen getroffen wurden (also die Datenschutz-Aufsichtsbehörden unserer Meinung gefolgt sind?). Die Datenschutz-Anforderungen für App-Anbieter ergeben sich insbesondere aus dem Telemediengesetz (TMG) und dem Bundesdatenschutzgesetz (BDSG). Um diese Datenschutz-Anforderungen einzuhalten, sollten App-Anbieter (bzw. App-Entwickler) bereits bei der Entwicklung auf die Datenschutzkonformität achten („privacy by design and default“).

Datenschutz-Anforderungen für App-Anbieter – Die wichtigsten Punkte aus der Orientierungshilfe der Aufsichtsbehörden

  • Verantwortlich für die Einhaltung der Datenschutz-Anforderungen ist derjenige, der die App im App-Store anbietet, also der App-Anbieter. Der App-Entwickler ist dafür veranworltich, soweit er die App selbst anbietet oder er vertraglich zur Einhaltung der Datenschutz-Anforderungen verpflichtet wurde (zu Entwicklungsverträgen siehe mein Gastbeitrag bei Gründerszene.de).
  • Zu unterscheiden ist zwischen Bestandsdaten (§ 14 TMG) und Nutzungsdaten (§ 15 TMG), deren Verarbeitung sich nach dem TMG bestimmt und demgegenüber Inhaltsdaten, die nach dem BDSG zu bewerten sind. Es ist sehr zu begrüßen, dass die Aufsichtsbehörden eindeutig klarstellen, dass Inhaltsdaten (die zur Abwicklung eines Vertrages nötig sind, also z.B. die Kalender-Inhalte einer Kalender-App) unter das BDSG fallen. Denn in der rechtswissenschaftlichen Literatur werden die Inhaltsdaten teilweise dem TMG unterworfen, so dass meist eine Einwilligung nötig wäre – was unsinnig ist.
  • Zwingend notwendig sind in jeder App ein Impressum. Das Impressum muss wie bei Webseiten ausgestaltet sein. Noch unklar ist, ob wie bei Webseiten das Impressum stets über 2 Klicks erreichbar sein muss. M.E. ist das nicht notwendig, es reicht wenn es von der Startseite aus erreichbar ist – dann sollte es aber klar als „Impressum“ gekennzeichnet sein. Ein bloßes „I“ könnten die Gerichte als nicht ausreichend ansehen – dennoch ist dies besser als nichts.
  • Natürlich ist ebenfalls eine Datenschutzerklärung notwendig, da bei einer App regelmäßig personenbezogene  Daten erhoben werden (bei Offline-Apps zumindest beim Herunterladen im App-Store). Wichtig: Stellen Sie diese bereits im App-Store bereit! Die wichtigen Anbieter bieten eine entsprechende Möglichkeit. Damit wird der Nutzer bereits vor Datenerhebung informiert. Auch nach dem Herunterladen muss die Datenschutzerklärung stets abrufbar sein, dazu sollte sie neben dem Impressum bereitgestellt werden (und der Link eindeutig gekennzeichnet). Für eine bessere Lesbarkeit sollte die Erklärung in der App in verschiedenen Kapitel unterteilt werden, die dann einzeln geöffnet werden können. (Ein Muster einer Datenschutzerklärung für Apps werde ich im Buch „Formularhandbuch Datenschutzrecht“ veröffentlichen, das von mir mitherausgegeben wird und bei C.H. Beck im Dezember erscheinen wird.)
  • Wenig überraschend vertreten die Aufsichtsbehörden weiterhin die (falsche) „objektive Ansicht“ beim Personenbezug. Damit fallen neben IP-Adresse auch Daten wie IMEI, UDID, IMSI, MAC-Adresse und MSISDN, IDFA, Name des Smartphones uswusf. unter die personenbezogenen Daten. Daher müssen App-Anbieter bei Verarbeitung dieser die Datenschutz-Anforderungen einhalten.
  • Regelmäßig möchten App-Anbieter Nutzungsprofile erstellen, z.B. um gezielte Werbung schalten zu können. Dies ist gem. § 15 Abs. 3 TMG zulässig, wenn diese mittels Pseudonym erfolgt. Dem Nutzer muss also eine Kennnummer zugeordnet werden, auf die die Werbung zugeschnitten wird, ohne dass die Kennnummer mit personenbezogenen Daten verknüpft wird. Dies geschieht bei Apple z.B. über die IDFA („Advertising Identifier“), der einem Endgerät zugeordnet wird und auf den App-Anbieter ihre Werbung beziehen können. Nutzer können die Verwendung von diesem einschränken und ihn komplett löschen. Wichtig: Der Nutzer muss der Werbung in Apps widersprechen können. Dies ist entweder in der App selbst in den Einstellungen zu ermöglichen, oder dem Nutzer ist eine klare Anleitung zu geben, wie er dies in den Einstellungen vornehmen kann. Nicht ausreichend ist es, bloß zu schreiben „Sie können der Werbung in den Einstellungen widersprechen“. Auch ein Widerspruch per E-Mail/Post usw. sei unzulässig, da dies einen Medienbruch darstelle.
  • Für eine Reichweitenmessung bei Apps sind die gleichen Vorgaben zu beachten wie bei Google Analytics usw. (dazu hier), insbesondere ist eine saubere Anonymisierung und eine Auftragsdatenverarbeitung notwendig.
  • Sollen über die gesetzlichen Erlaubnisse hinaus zulässig Daten erhoben werden, ist eine Einwilligung des Nutzers einzuholen. Hier sind die üblichen Anforderungen zu stellen, also ausführliche Information, Protokollierung usw. Dies kann über Pop-ups und die Datenschutzerklärung sichergestellt werden – und muss bei der Programmierung bereits berücksichtigt werden.
  • In ihrer Orientierungshilfe nehmen die Aufsichtsbehörden auch zum technischen Datenschutz Stellung: Bei der Authentifizierung sollen ausreichend komplexe Passwörter erzwungen, 2-Faktor-Authentifizierung und Maskierung der Passworteingabe vorgesehen werden. Passwörter sollen nicht im Klartext in der App gespeichert werden (und bei Vergessen nicht per E-Mail versendet werden). Auto-Logout-Funktionen sollen eingeführt werden. Allgemein sollen die Daten möglichst lokal auf dem Gerät gespeichert werden und auch gegen Diebstahl des Gerätes oder Hacker-Angriffe geschützt werden. Auch zur Einbindung von Webseiten nimmt die Orientierungshilfe Stellung.
  • Die Erhebung von Standortdaten/Geodaten ist grundsätzlich zulässig, jedoch sollte eine „gezielte Verwaschung des Standorts“ erfolgen, also keine Speicherung genauer Adressen, sondern stattdessen grobe Angaben wie „München Innenstadt“. Eine Speicherung soll nur soweit für die Funktion notwendig und lokal erfolgen. Das Abtastintervall soll nur soweit eingestellt sein, wie es für die Funktion notwendig ist.
  • Zu berücksichtigen ist auch erhöhter Schutzbedarf bei besonders schützenswerten Daten (§ 3 Abs. 9 BDSG), wie z.B. Gesundheitsdaten, die besonders zu verschlüsseln sind. Ärtze müssen an den § 203 StGB denken. Auch Bezahlvorgänge (z.B. über NFC – Near field communication) sind speziell zu schützen. Bei Apps für Jugendliche ist an eine Altersverifikation oder Einwilligung der Eltern zu denken.

Fazit zu den Datenschutz-Anforderungen für App-Anbieter aus der Orientierungshilfe der Aufsichtsbehörden

Die Datenschutz-Aufsichtsbehörden habe eine praxisnahe und übersichtliche Orientierungshilfe veröffentlicht, die die geltende Rechtslage gut beschreibt und sinnvolle Hinweise für App-Anbieter gibt. Schade ist, dass nicht näher auf die technische Entwicklung der Apps eingegangen wird, also wie die Datenverarbeitung näher in der Datenschutzerklärung zu beschreiben ist und dass die Werbemöglichkeit mittels IDFA bei Apple nicht erwähnt wird. Insgesamt ein klar positives Fazit: Jeder App-Entwickler sollte diese lesen und berücksichtigen, um so ein hohes Datenschutzniveau sicherzustellen.

Dieser Beitrag wurde in Apps und Recht, Blog, Datenschutzrecht, Internetrecht/Onlinerecht, IT- und Internetrecht, Softwarevertragsrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.