Datenschutz bei Apps

Im Durchschnitt lädt jeder Nutzer 37 Apps in seinem Store herunter, das macht täglich tausende heruntergeladene Apps von einer Vielzahl von Anbietern für alle gängigen Smart Devise. Während des Downloads und der Nutzung wird eine Vielzahl von Daten erhoben. Bisher ist es zwar datenschutzrechtlich ruhig um den App-Markt geworden, allerdings kann sich das bald ändern, denn die datenschutzrechtliche Problematik rückt immer mehr in den Focus der Datenschützer.

Alles ist verboten, was nicht ausdrücklich erlaubt ist

Um Nutzern ihr Grundrecht auf informationelle Selbstbestimmung zu gewährleisten wurde das Bundesdatenschutzgesetz (BDSG) geschaffen.

  • § 4 ff BDSG regelt Umgang und Erhebung personenbezogener Daten, die von privatrechtlichen Unternehmen und öffentlichen Stellen des Bundes erfasst werden dürfen. Dieser verbietet grundsätzlich die Erhebung aller personenbezogenen Daten, soweit dies nicht explizit erlaubt ist. Ausdrücklich erlaubt ist z. B. die Erfassung von Daten zur Erfüllung vertraglicher oder gesetzlicher Pflichten (§ 28 und § 32 BDSG) oder zur Verfassung von Mahnschreiben (§ 28 1 Nr. 2 BDSG).

Bei den Daten die im Rahmen der Nutzung von Apps erhoben werden, handelt es sich zum einen um automatisiert erhobene Daten wie Kontaktdaten, Standortdaten und Gerätekennungen, andererseits aber auch um Name, E-Mail-Adresse, Zahlungsmethoden im App-Store-Account und viele mehr. Von diesen Daten sind einige eindeutig personenbezogen und damit datenschutzrechtlich erfasst, bei anderen hingegen ist dies nicht so eindeutig und selbst unter Juristen umstritten. Datenschutzbehörden werden  im Zweifelsfall jedoch annehmen, dass es sich um personenbezogene Daten handelt.

Erlaubnis ohne Gesetz

Ist die Erhebung personenbezogener Daten durch das Gesetz nicht zugelassen, muss der Nutzer in die Verwendung und Verarbeitung der Daten einwilligen. An diese Einwilligungen sind jedoch spezielle Anforderungen zu stellen. Eine Einwilligung muss freiwillig und informiert geschehen, damit sie wirksam ist. Zum einen bedeutet dies, dass dem Nutzer Informationen über den Publishers, Art und Zweck der Erhebung der personenbezogenen Daten, ob diese an Dritten weite gegeben etc., bereitgestellt werden. Zum anderen muss der Nutzer bei der Einwilligung im Wesentlichen frei sein. Gerade diese Freiwilligkeit ist jedoch oft problematisch. Im Zusammenhang mit gängigen Smart Devices bedeutet dies nach der Art. 29 – Gruppe, dass einem Nutzer die Möglichkeit eingeräumt werden muss, die Verarbeitung seiner personenbezogenen Daten zu akzeptieren oder abzulehnen. Sofern dem Nutzer also nur die Option „ Ja, ich stimme der Datenverarbeitung zu.“ angezeigt wird reicht dies nicht aus. Vielmehr muss der Nutzer auch die Möglichkeit haben den Vorgang über eine gesonderte Option abzubrechen.

Vollends umstritten und dementsprechend kritisch zu betrachten sind sog. Opt-out-Modelle. Hierbei wird dem Betroffenen durch vorformulierte Klauseln unterstellt, dass er mit der Datenverarbeitung einverstanden ist. Aufgrund des sehr engen Rahmens, indem eine solche Lösung möglich ist, raten wir hiervon regelmäßig ab.

Besonderheit: Standortdaten

Besonders problematisch ist die Ermittlung und Verarbeitung von Standortdaten für Apps die als Dienstleistung die Ortung, Navigation oder Ortsanzeige zum Inhalt haben. Werden die Standortdaten des Mobilfunkendgerätes ermittelt, muss bei jeder Standortfeststellung der Nutzer durch eine Textmitteilung an das Mobilfunkendgerät, dessen Standortdaten ermittelt wurden, informiert werden.

Auch ist darauf zu achten, dass die Standortdaten im zulässigen Umfang erhoben werden. In der Orientierungshilfe des Düsseldorfer Kreises wird daher empfohlen, die Geodaten zu verwaschen, damit nur auf die unbedingt nötige Auflösung zugegriffen wird. Geodaten sollen auch nur dann auf dem Smart Device gespeichert werden, wenn dies für die Funktionalität der App notwendig ist. So soll in den Augen der Datenschützer sichergestellt werden, dass selbst bei einem unberechtigten Zugriff keine Bewegungsprofile erstellt werden können.

Soll der Standort (auch der verwaschenen Standort) an einen Dritten weitergeleitet werden, ist fast immer eine ausdrückliche, gesonderte, schriftliche Einwilligung erforderlich. Nur in Einzelfällen ist die Erhebung des Standorts für die Erbringung des Dienstes erforderlich und damit eine Einwilligung entbehrlich.

Auch andere Gesetze können Anwendung finden

Nicht nur die Vorschriften des BDSG sind für den App-Anbieter von besonderem Interesse. Regelmäßig wird eine App auch als Telemediendienst nach § 1 Abs. 1 TMG einzuordnen sein, so dass die Unterrichtungspflicht nach § 13 Abs. 1 TMG ebenso zu beachten ist, wie die spezifischen datenschutzrechtlichen Vorschriften der §§ 14 und 15 TMG. Auch können die telekommunikationsrechtlichen Vorschriften der §§ 91 ff. TKG zu beachten sein, wenn eine App schlichtweg eine Kommunikation zwischen Ihren Nutzern ermöglicht. Messaging-Dienste müssen daher auch diese Vorschriften beachten.

Zu beachten:

Wichtig ist damit für die App- Entwickler und -Anbieter, dass der Nutzer korrekt über die Erhebung und Verwendung seiner Daten informiert wird und, wenn keine gesetzliche Erlaubnisnorm greift, wirksam eine Einwilligung eingeholt wird.

Denn werden diese Regelungen nicht eingehalten, drohen nicht nur hohe Bußgelder und Schadensersatzzahlungen, sondern auch spätere, oft aufwändige, Anpassungen oder sogar Vertriebsverbote der App in ihrer bisherigen Form.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×