Die Artikel-29-Datenschutzgruppe bietet Orientierungshilfe zu den datenschutzrechtlichen Risiken und Verantwortlichkeiten bei Apps

Apps für mobile, smarte Endgeräte dienen unterschiedlichsten Zwecken, sei es der Zugriff auf das Internet oder soziale Netzwerke, Kommunikation z. B. per E-Mail oder Telefon, Internetbanking oder Unterhaltung (Videos, Musik, Spiele etc.). Der Markt für Apps wächst rasant; nach Schätzungen wurden bereits 2012 täglich mehr als 1.600 neue Apps in die App-Stores eingestellt. Die Artikel-29-Datenschutzgruppe, eine unabhängige Instanz, die die Europäische Kommission in Datenschutzfragen berät, hat im Februar dieses Jahres eine Stellungnahme zu den datenschutzrechtlichen Risiken mobiler Anwendungen veröffentlicht. Sie beleuchtet darin die typischerweise mit Apps verbundenen datenschutzrechtlichen Risiken und erläutert die unterschiedlichen Verantwortlichkeiten der einzelnen Akteure (u.a. Entwickler bzw. Anbieter von Apps, App-Stores und Werbetreibende).  Von Verena Grentzenberg

Stellungnahmen der Artikel-29-Datenschutzgruppe begründen zwar keine unmittelbaren Pflichten für Daten verarbeitende Stellen. Dennoch können Äußerungen der Gruppe eine wichtige Orientierungshilfe beim „datenschutzrechtlichen Design“ von Anwendungen darstellen. Dieser Beitrag stellt daher nachfolgend zentrale Forderungen der Gruppe an Entwickler bzw. Anbieter von Apps vor. Zunächst werden jedoch überblicksartig die von der Gruppe identifizierten größten datenschutzrechtlichen Risiken von Apps und der anwendbare Rechtsrahmen vorgestellt.

Datenschutzrechtliche Risiken von Apps

Apps interagieren oftmals eng mit dem Betriebssystem der smarten Geräte, auf denen sie installiert sind. Dies hat zur Folge, dass Apps typischerweise auf erheblich mehr Daten Zugriff nehmen, als klassische Internetbrowser: Apps können u.a. Adressbücher, gespeicherte Bilder und Videos verwenden, Audio- und Videoaufzeichnungen durchführen und anhand von Standortdaten Bewegungsprofile erstellen. Mithilfe von Apps erstellte Nutzerprofile wiederum können für präzises Werbetargeting eingesetzt werden.

Nach Auffassung der Artikel-29-Datenschutzgruppe zählen zu den bedeutendsten datenschutzrechtlichen Risiken bei Apps die mangelnde Transparenz der mit den Apps einhergehenden Datenverarbeitung und demzufolge unzureichende Einwilligungserklärungen der Nutzer. Auch ungenügende Kenntnisse auf Seiten der Entwickler stellten ein erhebliches Risiko dar. Hinzu kämen ungenügende Sicherheitsmaßnahmen sowie ein Trend zur maximalen Verarbeitung personenbezogener Daten, losgelöst von den Erfordernissen der spezifischen App. Auch würde der Grundsatz der Zweckbegrenzung in vielen Fällen ignoriert (danach dürfen Daten nur für spezifische sowie rechtmäßige Zwecke verarbeitet werden). Vielmehr würden über Apps erhobene Daten oftmals für unbestimmte Zwecke – wie z. B. „Marktforschung“ – mit einer Vielzahl Dritter geteilt.

Die Datenschützer weisen außerdem auf das Problem hin, dass datenschutzkonformes Verhalten bei Apps eine Zusammenarbeit verschiedener Parteien erfordern kann: So sind z. B. die Anbieter von Apps darauf angewiesen, dass wesentliche Informationen über die Datenverarbeitung durch die App schon vor dem Download und damit bereits vom App-Store bereit gestellt werden müssen.

Anwendbares Recht

Der rechtliche Rahmen für die datenschutzrechtlicher Bewertung von Apps ergibt sich in erster Linie aus der europäischen Datenschutzrichtlinie (95/46/EG), die von den EU-Mitgliedstaaten in nationales Recht umgesetzt wurde. Darüber hinaus findet eine Regelung aus der ePrivacy-Richtlinie (2002/58/EG in der Fassung der sogenannten Cookie-Richtlinie 2009/136/EG) Anwendung, wonach der Zugriff auf Informationen im Endgerät eines Nutzers grundsätzlich einer Einwilligung bedarf, unabhängig davon, ob diese Informationen Personenbezug aufweisen. Die Cookie-Richtlinie wurde allerdings von Deutschland – als einzigem Land der EU – bis dato (Juni 2013) nicht umgesetzt.

Mindestvorgaben der Artikel-29-Datenschutzgruppe für App-Entwickler bzw. -Anbieter

Die Anbieter von Apps entscheiden, ob und in welchem Umfang eine App personenbezogene Daten verarbeitet und wie die späteren Nutzer hierüber informiert werden. Die Artikel-29-Datenschutzgruppe ist der Ansicht, dass App-Anbieter daher u. a. folgende Punkte zwingend beachten müssen:

  • Apps sollten Daten nur in einem Umfang erheben, der für die Funktionalität der App zwingend erforderlich ist („Privacy by Design“);
  • App-Anbieter müssen sicherstellen, dass die Datenverarbeitung durch die App auf einer gesetzlichen Rechtsgrundlage basiert (also die Verarbeitung z. B. für die Erfüllung eines Vertrages mit dem Nutzer erforderlich ist) oder eine wirksame und informierte Einwilligung des Nutzers vorliegt (dies ist z. B. erforderlich, wenn besondere Arten von Daten, etwa Gesundheitsdaten, verarbeitet werden);
  • Einwilligungen sollen für verschiedene Kategorien von Daten einzeln eingeholt werden, so dass die Nutzer über abgestufte Zustimmungsmöglichkeiten verfügen; dies soll jedenfalls für die Einwilligung in die Verarbeitung bestimmter Datenarten gelten. Die Gruppe nennt konkret u.a. Standortdaten, Kontakte, Bank- bzw. Kreditkartendaten, Daten aus sozialen Netzwerken, E-Maildaten und Informationen über den Verlauf von Internetzugriffen;
  • Nutzer müssen Einwilligungen widerrufen und die App deinstallieren können; bei der Deinstallation müssen alle Daten gelöscht werden oder der Nutzer eine Einwilligung in die weitere Speicherung seiner Daten für einen definierten Zeitraum erteilen;
  • die App muss eine gut verständliche und leicht zugängliche Datenschutzerklärung enthalten, in der die Nutzer jedenfalls über den App-Anbieter als verantwortliche Stelle, die verarbeiteten Kategorien von Daten, die Zwecke der Datenverarbeitung, eine etwaige Weitergabe von Daten an Dritte, sowie über ihre Rechte in Bezug auf den Widerruf einer erteilten Einwilligung und die Löschung ihrer Daten informiert werden müssen;
  • zumindest über die Zwecke der mit der App verbundenen Datenverarbeitung sollte hinaus bereits vor der Installation informiert werden;
  • Nutzer müssen ihre Rechte auf Auskunft, Berichtigung, Löschung und Widerspruch der Datenverarbeitung ausüben können und sollen über diese Rechte auch informiert werden; für die Information bietet sich wiederum die Datenschutzerklärung an;
  • sowohl für die Löschung von Daten als auch für den Zeitraum, nach dessen Ablauf die Konten inaktiver Nutzer als abgelaufen gelten, müssen Fristen definiert werden;
  • soweit Dienstleister eingeschaltet werden, müssen wirksame Verträge über eine Auftragsdatenverarbeitung geschlossen werden (in Deutschland gemäß den Vorgaben des § 11 BDSG);
  • es müssen Sicherheitsstandards implementiert werden, die dem Stand der Technik entsprechen (Hilfestellung hierbei können z. B. Leitfäden von Herstellern der smarten Endgeräte bzw. den Entwicklern des Betriebssystems oder unabhängiger Dritter leisten, etwa die „Smartphone Secure Development Guidelines“ der EU-Agentur ENISA ).

Wenn App-Anbieter vorstehende Punkte beachten, haben sie bereits wesentliche Schritte getan, um eine möglichst datenschutzkonforme Anwendung bereit zu stellen. Zusätzlich sind ggf. Forderungen nationaler Datenschutzbehörden zu beachten. Für deutsche Anbieter sind dies zum Beispiel die Empfehlungen des Düsseldorfer Kreises für eine datenschutzgerechte Smartphone Nutzung vom 4./5. Mai 2011; die deutschen Behörden betonen ebenfalls die Aspekte Transparenz und „Privacy by Design“. Außerdem müssen deutsche Anbieter, die Nutzungsprofilen erstellen bzw. durch Dritte erstellen lassen, ihren Nutzern unbedingt eine Widerspruchsmöglichkeit anbieten (nach § 15 Abs. 3 TMG). Mit den datenschutzrechtlichen sowie datensicherheitsrechtlichen Anforderungen an App-Anbieter am Beispiel von Android-Apps befasst sich auch ein interessanter Beitrag zweier Referatsleiter des Bayerischen Landesamtes für Datenschutzaufsicht (veröffentlicht in der Zeitschrift für Datenschutz 7/2013, S. 303 ff.).

Update

Im Juni 2014 haben die deutschen Datenschutzbehörden eine Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter veröffentlicht, die hilfreiche Vorgaben speziell für deutsche Anbieter enthält.

Kommentare sind geschlossen.