Die Datenverarbeitung mobiler Apps gerät zunehmend in den Fokus der Aufsichtsbehörden. Neben weitreichenden Zugriffsbefugnissen auf Adressbücher, Fotoalben oder Standortdaten werden regelmäßig auch diverse Nutzungsdaten erhoben und zum Teil an Dritte durchgereicht. So zeigt beispielsweise eine Analyse von Privacy International, dass über 60% der installierten Smartphone-Apps Daten an Facebook weitergeben. Dieser Beitrag gibt Ihnen einen Überblick, welche datenschutzrechtlichen Themen Anbieter von Apps im Blick haben müssen. Dazu erhalten Sie konkrete Empfehlung, was es bei der Programmierung von Apps zu beachten gilt.
Gilt die DSGVO für mich?
Zunächst stellen sich Betreiber die Frage, ob die DSGVO bei Ihrer App überhaupt anwendbar ist, wenn dort gar keine Registrierungsdaten erhoben werden. Die Antwort lautet fast immer: „Ja“. Denn das Datenschutzrecht findet bereits dann Anwendung, wenn die erhobenen Informationen mittelbar einen Rückschluss zu einem Menschen ermöglichen. Was beim Namen oder der E-Mail-Adresse noch unproblematisch ist, lässt sich datenschutzrechtlich auch auf die IP-Adresse, Nutzer-ID oder MAC-Adresse übertragen. Sofern auch nur mittelbar ein Bezug zu einem Menschen möglich ist, finden die Regelungen der DSGVO Anwendung. Sofern Sie bereits eine der folgende Informationen verarbeiten, gilt die DSGVO:
- Name
- E-Mail-Adresse
- IP-Adresse
- Gerätekennungen (Device-ID)
- Werbe-ID
- Biometrische Daten wie Fingerabdrücke
Die DSGVO ist nur dann außen vor, wenn anonyme Daten verarbeitet werden. Eine solche Anonymisierung liegt aber nur dann vor, wenn die betroffene Person nicht mehr identifiziert werden kann. Das Zusatzwissen eines Dritten wird dabei mitberücksichtigt, weshalb beispielsweise IP-Adressen keine anonymen Daten darstellen. Im Unterschied zur Pseudonymisierung kann bei der Anonymisierung die betroffenen Person im Nachgang nicht mehr „entschlüsselt“ werden.
Räumlich gilt die DSGVO für alle Unternehmen, die ihre Apps in EU-Ländern anbieten bzw. deren Nutzer sich in der EU befinden. Der Sitz des Unternehmens ist somit nicht (mehr) entscheidend. Sobald sich die App an Europäer richtet und personenbezogene Daten verarbeitet werden, sind die Vorgaben der DSGVO zu beachten.
Wer ist für die Datenverarbeitung verantwortlich?
Wenn Ihr Unternehmen über die Zwecke und Mittel der Datenverarbeitung allein oder gemeinsam mit einem anderen Unternehmen entscheidet, besteht eine datenschutzrechtliche Verantwortlichkeit im Sinne der DSGVO. Im Regelfall ist der Anbieter der App für die Datenverarbeitung verantwortlich. Wird die Entwicklung der App durch einen Dienstleister erledigt und hat dieser Entwickler dauerhaft Zugang zu personenbezogenen Daten, ist auch dies datenschutzrechtlich relevant und muss durch einen Vertrag zur Auftragsverarbeitung im Sinne von Art. 28 DSGVO abgesichert werden. Der Anbieter der App bleibt aber auch in dieser Konstellation verantwortlich und haftet für datenschutzrechtliche Verstöße.
Welche Daten dürfen verarbeiten werden?
Datenschutzrechtlich ist eine Verarbeitung von personenbezogenen Daten nur mit einer Rechtsgrundlage zulässig. So ist die Erhebung und Speicherung erlaubt, wenn die erhobenen Informationen für die Vertragsdurchführung erforderlich sind. Bestehen überwiegende berechtigte Interessen des Unternehmens, kann eine Datenverarbeitung ebenfalls zulässig sein. Und natürlich ist die Nutzung immer dann zulässig, wenn der Betroffenen ausdrücklich eingewilligt hat.
Werden beispielsweise Kontaktdaten für eine Bestellung benötigt, lässt sich die Verarbeitung regelmäßig auf die Vertragsdurchführung stützen. Ebenso kann es bei einer Navigations-App erforderlich sein, dass auf den Standort des Geräts zugegriffen wird oder einer Bildbearbeitungs-App Zugriff auf den Fotospeicher des Geräts gewährt wird.
Andersherum ist es jedoch nicht erforderlich, dass eine Nachrichten-App Zugriff auf das Mikrofon des Smartphones erhält, ohne dass diese Funktion für die Bereitstellung der App erforderlich ist. Eine für den Nutzer nicht sichtbare Funktion der App der spanischen Fußballliga „La Liga“ fertigte beispielsweise Tonaufnahmen an und erhob Standortdaten des Smartphones, um unlizenzierte öffentliche Übertragungen der Spiele aufzudecken. Die zuständige Behörde in Spanien stufte den Vorgang als Verstoß gegen die DSGVO ein und verhängte deshalb ein Bußgeld in Höhe von 250.000 Euro.
Achten Sie deshalb darauf, dass nur diejenigen Daten erhoben und verarbeitet werden, die für die Durchführung der App tatsächlich benötigt werden. Weitere Informationen oder auch Zugriffsbefugnisse dürfen im Regelfall nur mit Einverständnis des Nutzers verarbeitet werden.
Analyse und Tracking
Das Thema Nutzertracking ist auch bei Apps relevant und muss daher in die datenschutzrechtliche Bewertung miteinbezogen werden. Hierbei ist zwischen Tracking und Analyse zu entscheiden. Unter dem Begriff Analyse wird dabei die statistische Reichweitenmessung der App gefasst. So können beispielsweise Daten, wie die Verweildauer, die Spracheinstellung oder der Standort des Nutzers für Analysezwecke erhoben und ausgewertet werden. Zum Teil werden diese Informationen auch zur Fehlerbehebung und Verbesserung der App genutzt.
Daneben werden Nutzer auch individuell nachverfolgt, was üblicherweise als Tracking oder auch Targeting bezeichnet wird. Das Tracking erfasst dabei alle Verfahren, die eine Identifikation des Nutzers sowie eine Analyse des Verhaltens über einen längeren Zeitraum ermöglichen, um in einem weiteren Schritt dem Nutzer persönliche Merkmale oder Interessen zuzuordnen. Anhand der gebildeten Nutzerprofile können dann Werbemaßnahmen gezielt und möglichst personalisiert ausgespielt werden.
Werden Nutzerdaten für Tracking- oder Analysezwecke verarbeitet, benötigen App-Betreiber ebenfalls eine datenschutzrechtliche Erlaubnis (Rechtsgrundlage). Die reine App-Analyse könnte beispielsweise auf das berechtigte Interesse des App-Anbieters gestützt werden, einen reibungslosen Ablauf zu gewährleisten und ggf. Optimierungen in der Programmierung vorzunehmen. Im Gegenzug müssen dabei die Interessen der Nutzer beachtet werden. Dabei sind regelmäßig die vernünftigen Erwartungen der Betroffenen an die Verarbeitung ihrer personenbezogenen Daten zugrunde zu legen. Sofern die Analysedaten nicht an Drittanbieter weitergegeben werden und auch keine geräteübergreifende Analyse stattfindet, kann sich dies noch auf eine Interessenabwägung stützen lassen. In jedem Fall müssen aber die Widerspruchsrechte der Nutzer beachtet werden, was in der Praxis am besten über eigene Opt-Out-Button in der App umgesetzt wird.
Anders sieht es aber beim Tracking auf Nutzerebene aus, insbesondere dann, wenn die Daten geräteübergreifend verarbeitet und ggf. auch an Drittanbieter weitergeleitet werden. In diesen Fällen lässt sich die Datenverarbeitung wohl nur noch auf die Einwilligung der Nutzer stützen.
Es sei noch angemerkt, dass die datenschutzrechtliche Zulässigkeit im Trackingbereich weiterhin hoch umstritten ist. Insbesondere die Aufsichtsbehörden tendieren verstärkt zu einer ausdrücklichen Einwilligung der Nutzer (siehe Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien). Eine solche Einwilligung muss dann zu Beginn der Installation wirksam, das heißt freiwillig und transparent, eingeholt werden. Eine Einwilligung ist nämlich nur dann zulässig, wenn sie informiert und ohne Zwang eingeholt wurde. Darüber hinaus ist die Erklärung jederzeit widerruflich, was ebenfalls beachtet werden muss und worauf Nutzer bei Erhebung hinzuweisen sind. Weitere Infos zu diesem Themenbereich finden Sie in unserem Blogartikel über Tracking und Webanalyse.
Weitergabe an Dritte
Unabhängig vom Tracking, ist generell darauf zu achten, ob und wenn ja welche Daten an Dritte weitergegeben und durch diese verarbeitet werden. Werden beispielsweise externe Plugins in die App programmiert, fließen hierbei häufig auch personenbezogene Daten an Dritte. Insbesondere Software Development Kits (SDKs) laden hierbei fremden Code von Drittanbietern nach, was einen Datenabfluss von Nutzerdaten zur Folge haben kann. Verschiedene Aufsichtsbehörden wollen daher gemeinsame Prüfstrategien entwickeln und Kontrollen durchführen, um dem Problem entgegen zu treten (siehe Protokoll unter Top 27).
Die Verwendung von SDKs sollte daher auf Ihre Notwendigkeit hin überprüft werden, ebenso sollten die Einstellungen entsprechend angepasst werden, um einen Datenfluss an den Anbieter des SDKs zu unterbinden oder jedenfalls einzuschränken. Auch hier gilt: Eine Datenübertragung an Dritte ist nur mit Rechtsgrundlage zulässig.
Wie und wann muss ich die Nutzer informieren?
Sofern personenbezogene Daten durch die App verarbeitet werden, finden zusätzlich die Informationspflichten der DSGVO Anwendung. Diese werden regelmäßig durch eine eigene Datenschutzerklärung erfüllt, in der unter anderem darüber informiert werden muss, welche personenbezogenen Daten verarbeitet werden, wie lange diese gespeichert werden und auf welche Rechtsgrundlage die Verarbeitung gestützt wird. Häufig wird in Apps auf die allgemeinen Datenschutzerklärungen der Websites verlinkt, was dann dazu führen kann, dass die Hinweise zur Datenverarbeitung unvollständig dargestellt werden. App-Anbieter sollten daher eine eigens auf die App abgestimmte Datenschutzerklärung erstellen und dort über alle relevanten Prozesse zu informieren. Wie man das Thema angehen kann, haben wir Ihnen auf unserer Übersichtsseite zur Erstellung einer Datenschutzerklärung zusammengefasst.
Wann und wo müssen Nutzer informiert werden?
Der Betroffene muss nach Art. 13 DSGVO zum Zeitpunkt der Erhebung der Daten informiert werden. Da bereits bei der Installation der App personenbezogene Daten verarbeitet werden, ist bereits vor dem Download eine Datenschutzerklärung bereitzustellen. Eine Datenschutzerklärung sollte daher bereits im jeweiligen App Store zur Verfügung gestellt werden. Das Einfügen eines Links, welcher zur eigenen Datenschutzerklärung auf der Website führt, ist hierfür ausreichend, soweit die Datenschutzerklärung auch tatsächlich über die Datenverarbeitung der App informiert.
Generell müssen die Hinweise zum Datenschutz leicht auffindbar sein. Neben dem Einstellen der Datenschutzerklärung im App Store, muss die Datenschutzerklärung daher auch in der App selbst jederzeit abrufbar sein und zwar so, dass der Nutzer diese ohne größere Anstrengungen finden kann.
Checkliste der Aufsichtsbehörde Bayern
Um die datenschutzrechtlichen Vorgaben zu erfüllen, sind eine Vielzahl von Maßnahmen notwendig. Um hierbei nicht den Überblick zu verlieren, kann das Prüfprotokoll des Bayerischen Landesamtes für Datenschutzaufsicht genutzt werden. Dieses stammt zwar aus dem Jahr 2016 enthält aber die wesentlichen Prüffragen, die sich Anbieter von Apps, die in der EU genutzt werden, stellen müssen.
Rechtsanwalt David Oberbeck hat seinen Beratungsschwerpunkt im Datenschutzrecht, Wettbewerbsrecht und IT-Recht. Er berät Unternehmen als externer Datenschutzbeauftragter und beratender Rechtsanwalt.
Yvonne Heuer