Es ist mittlerweile knapp ein Jahr vergangen, seitdem das Bayerische Landesamt für Datenschutzaufsicht im Rahmen einer Prüfung 30 Apps Bayerischer Unternehmen unter die Lupe genommen hat. Einziger Prüfungspunkt der Behörde war die Verfügbarkeit einer Datenschutzerklärung, deren Verständlichkeit und die Erreichbarkeit des hinter der Erklärung stehenden Unternehmens. Ergebnis der Prüfung: Lediglich 25% der Apps verfügten über eine transparente Erklärung, welche die Datenverarbeitung der jeweiligen Anwendung enthielt. Der Rest hatte keine oder nur unvollständige Angaben zum Datenschutz. Die Behörde kündigte daraufhin weitere Prüfungen mit Bußgeldverfahren an. Unsere Kanzlei erhält immer häufiger Anfragen zur Erstellung von Datenschutzerklärungen von Apps. Auch wenn jede Apps spezifische Anpassungen benötigt, soll der folgende Beitrag eine erste Anleitung zur eigenen Datenschutzerklärung geben.

 

Rechtliche Anforderungen

Wie herkömmliche Webseiten fallen auch Smartphone Apps unter die Vorgaben des Telemediengesetzes (TMG). Dort ist in § 13 Absatz 1 festgelegt, dass sogenannte Diensteanbieter die Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Datenerhebung in allgemein verständlicher Form zu unterrichten haben. § 13 TMG setzt damit die Anforderungen von Artikel 10 der Europäischen Datenschutzrichtlinie um, die ebenfalls Hinweispflichten für webbasierte Datenverarbeitung fordert. Da nahezu jede App in irgendeiner Form personenbezogene Daten erhebt oder verarbeitet, ist diese Pflicht grundsätzlich von allen Anbietern umzusetzen.

 

Informationspflicht vor Datenerhebung

Alle Informationen über den Umfang der Datenverarbeitung müssen dem Nutzer bereits vor der Installation der App zugänglich sein. Nur so können Nutzer den „Datenhunger“ der App beurteilen und entscheiden, ob sie damit einverstanden sind oder nicht. Ist die Erklärung erst innerhalb der Anwendung abrufbar, ist das Kind vielleicht schon in den Brunne gefallen und die App hat beispielsweise das Adressbuch auf die eigenen Server transferiert. Aus diesem Grund empfiehlt die Artikel 29 Datenschutzgruppe in ihrem Leitfaden für App Entwickler, dass bereits im jeweiligen App Store die nötigen Informationen zur Datenverarbeitung abrufbar sein müssen.

 

Worüber muss der Nutzer konkret aufgeklärt werden? Ein Leitfaden.

Nach Artikel 10 der Datenschutzrichtlinie hat jede betroffene Person das Recht, die Identität des für die Verarbeitung Verantwortlichen zu erfahren, der ihre personenbezogenen Daten verarbeitet. Zudem haben Nutzer das Recht, zu erfahren, welche Arten von Personendaten verarbeitet werden und zu welchem Zweck dies geschieht. Diese allgemeinen Formulierungen müssen nun individuell mit Leben gefüllt werden. Regelmäßig müssen folgende Fragen in verständlicher Sprache beantwortet werden:

 

1. Wer ist Anbieter der App und wie kann ich das verarbeitende Unternehmen erreichen?
Diese Angaben entsprechen den Pflichtangaben des Impressums. Nutzer müssen eine Kontaktmöglichkeit haben, an welche sie Auskunft über die Datenverarbeitung richten können. Anschrift, E-Mail Adresse und ggf. eine Telefonnummer sind erforderlich. Alternativ kann auch auf die Impressumangaben verlinkt werden.

2. Welche Kategorien personenbezogener Daten werden durch die App im Einzelnen erfasst und verarbeitet?
Zunächst muss über die Zugriffsbefugnisse der App hingewiesen werden. Diese sind individuell und werden vom Entwickler der App programmiert. So ist beispielsweise wichtig, wenn die App auf das Telefonbuch, die Anruferliste, Bilderalben, den Telefonspeicher und Geo-Daten des Mobiltelefons zugreift. Darüber hinaus müssen hier auch die Pflichtangaben (z.B. Benutzername, E-Mail Adresse, Bankdaten) benannt werden, die für eine Registrierung erforderlich sind.

3. Zu welchem Zweck werden die Personendaten erfasst?
Hier sollten den Nutzern möglichst genaue Erklärungen geliefert werden. Allgemeine Hinweise wie „zu Marketingzwecken“ oder „Produktinnovationen“ helfen nur wenig weiter. So muss beispielsweise erklärt werden, dass der Zugriff auf die Standortdaten nötig ist, um Diesen über die App mit anderen Nutzern teilen zu können. Der Zugriff auf das Adressbuch ist teilweise erforderlich, wenn die App gemeinsame Nutzer ermitteln will (z.B. Whatsapp).

4. Werden Daten an Dritte weitergegeben?
Diese Information ist zwar wichtig, bedarf jedoch einer rechtlichen Bewertung. So gibt es beispielsweise im Datenschutzrecht Möglichkeiten Dienstleister (also Dritte) vertraglich zu binden, sodass diese keine eigene Datenverarbeitung vornehmen. Das Ganze nennt sich „Auftragsdatenverarbeitung“ und bewirkt, dass rechtlich keine Übertragung von Personendaten stattfindet, sondern die Verarbeitung der Daten beim Auftraggeber verbleibt. Diese Fälle müssen nicht explizit in einer Datenschutzerklärung benannt werden. Werden jedoch Daten an andere Unternehmen übertragen, muss darüber hingewiesen werden. Hier gilt es aber zu beachten, dass der bloße Hinweis in der Datenschutzerklärung die Übermittlung nicht rechtfertigt. Vielmehr müssen die Nutzer darin ausdrücklich einwilligen.

5. Wird das Nutzerverhalten ausgewertet?
Was auf Webseiten schon weit verbreitet ist, wird zunehmend auch in Apps integriert. Nutzeranalyse mit Google Analytics oder ähnlichen Tracking-Tools werden auch in Smartphone-Anwendungen integriert. In diesem Fall gelten die gleichen Hinweispflichten wie auf Webseiten. Allerdings bereitet hier das Widerspruchsrecht (siehe nächster Punkt) Schwierigkeiten.

6. Wie kann ich der Datennutzung widersprechen?
Grundsätzlich muss Nutzern ein Widerspruchsrecht in die Datenverarbeitung eingeräumt werden. Insbesondere die Auswertung von Nutzerverhalten ist davon betroffen, da diese Informationen regelmäßig nicht für Ausführung der App nicht benötigt werden und somit nicht für die Bereitstellung der App erforderlich sind. Hier müssen die Anbieter der App die besonderen Umstände beachten. So bietet Google beispielsweise einen Link an, über welchen Nutzer von Webseiten, das Tracking von Google Analytics ausschalten können. Gerne wird dieser Link in die Datenschutzerklärung von Apps kopiert. Allerdings zeigt er hier keine Wirkung, da die dahinter liegende Browser-Erweiterung für Smartphones nicht funktioniert. Aus diesem Grund müssen bereits bei der Entwicklung Widerspruchsmöglichkeiten programmiert werden, auf die innerhalb der Datenschutzerklärung dann hingewiesen wird. Innerhalb der Einstellungen eines IPhones haben Nutzer bereits systemseitig die Option das Tracking von Google auszuschalten. Apps für Android müssen hingegen in der Programmierung erweitert werden.

 

Umsetzungsempfehlung

Neben den Inhalten ist auch die Darstellung der Datenschutzhinweise wichtig. Für Nutzer ist es meist sehr mühsam sich durch seitenlange Erklärungstexte zu scrollen. Insbesondere die eingeschränkte Größe von Smartphone-Displays kann zur Unübersichtlichkeit führen. Aus diesem Grund schlägt beispielsweise die Artikel 29 Datenschutzgruppe in ihrem Leitfaden die Verwendung von Mehrebenen-Erklärungen vor. Beispielsweise können zunächst Kapitel bzw. Icons angezeigt werden, welche der Nutzer einzeln öffnen kann, um den dort hinterlegten Inhalt abzurufen. Auf diese Weise werden Nutzer in übersichtlicher Weise über die Datenverarbeitung der App informiert.

 

Fazit

Auch wenn derzeit außerhalb von Bayern keine systematische Prüfung von Datenschutzerklärungen in Apps stattfindet, sollten Anbieter die oben aufgeführten Hinweise beachten. Sobald eine individuelle Beschwerde bei einer Aufsichtsbehörde eingeht, müssen diese handeln, was auch zu weiteren Datenschutzprüfungen führen kann. Dazu kommen mögliche Abmahnungen von Wettbewerbern. Nach einem aktuellen Urteil des OLG Hamburg, stellt eine fehlende Datenschutzerklärung einen Wettbewerbsverstoß dar. Unternehmen sollten daher schnell handeln und Ihre Apps datenschutzrechtlich transparent darstellen. Sollten Sie hierzu Fragen haben oder benötigen Sie Hilfe bei der Erstellung einer mobilen Datenschutzerklärung, steht unserer Kanzlei selbstverständlich gerne beratend zur Verfügung.

 


David OberbeckÜber den Autor:
David Oberbeck ist Rechtsanwalt und Partner der Datenschutzkanzlei. Seine Beratungsschwerpunkte liegen im Datenschutz-, Wettbewerbs- und IT-Recht. Zudem ist er als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig.