Braucht meine App eine Datenschutzerklärung?

Es scheint noch nicht allgemein bekannt zu sein, dass auch für Apps eine Datenschutzerklärung vonnöten ist. Das zeigt sich daran, dass laut einer im Juni dieses Jahres durchgeführten Stichprobe des Bayerischen Landesamts für Datenschutzaufsicht nur 25 Prozent der geprüften Apps eine spezielle Datenschutzerklärung haben.

App-spezifische Datenschutzerklärung

Eine Datenschutzerklärung muss in verständlicher Form über die Art, den Umfang und den Zweck der Datenerhebung und -verwendung informieren. Der Nutzer der App muss außerdem durch einen eindeutigen und sofort erkennbaren Hinweis auf die Datenschutzerklärung hingewiesen werden. Hierzu bietet sich ein Link mit der Bezeichnung Datenschutzerklärung oder Datenschutzhinweis, der in allen Menüs verfügbar ist, an. Versteckte Datenschutz-Informationen unter Menüpunkten wie Impressum, AGB oder Nutzungsbestimmungen genügen den Anforderungen nicht.

Rechtliche Besonderheiten von Apps

Viele datenschutzrechtlich relevante Punkte ähneln sich bei Webseiten und Apps, so muss beispielsweise eine Kontaktmöglichkeit für den Betroffenen angeboten oder die verantwortliche Stelle benannt werden. Allerdings weisen Apps auch Besonderheiten auf, etwa die Einholung spezieller Berechtigungen zum Zugriff auf personenbezogene Daten, zum Beispiel Standortinformationen (Location Based Services) oder Smartphone-Telefonbücher. Für diese Fälle sollte eine angepasste Aufklärung über die angebotenen Funktionen erfolgen. Auch die in Webseiten weit verbreiteten Informationen zu Cookies können nicht übernommen werden, stattdessen gilt es, die Nutzer gegebenenfalls über Alternativ-Technologien mit ähnlichen Funktionsweisen zu informieren.

Wann muss der Nutzer informiert werden?

Gemäß § 13 Abs. 1, S. 1 TMG muss der Nutzer zu Beginn des Nutzungsvorgangs informiert werden – dies wird insbesondere von den Datenschutzbehörden so ausgelegt, dass der Nutzer so frühzeitig wie möglich informiert werden soll. Bei Apps ist die Darstellung der Datenschutzerklärung schon vor dem ersten Start möglich, das heißt entweder im App Store oder nach dem Herunterladen. Google bietet beispielsweise zu diesem Zweck Entwicklern eine Anleitung, wie die Datenschutzerklärung in Google Play eingebunden werden kann. In Apples App Store kann die Datenschutzerklärung durch einen Link integriert werden. Sofern rechtlich eine Zustimmung zur Datenschutzerklärung notwendig wird, muss dann regelmäßig die Frage beantwortet werden, wie diese in der App eingeholt werden kann.

Gesetzliche Informationspflichten

Das Übernehmen von bereits bestehenden Datenschutzerklärungen birgt rechtliche Risiken, da ein anderer „Dienst“ im Sinne des Telemediengesetzes vorliegt. Vor allem aus Telemedien- und Bundesdatenschutzgesetz können sich weitere Informationspflichten ergeben, daher sind jeweils die Besonderheiten der konkreten Apps zu berücksichtigen. Eine App-spezifische Datenschutzerklärung kann jedoch nicht datenschutzrechtlich notwendige Einwilligungen ersetzen, sondern soll vielmehr über die konkrete Art und Weise der Datennutzung informieren.

Autor: Andreas Dölker ist Volljurist und als Berater für ISiCO Datenschutz tätig. Das in Berlin ansässige Unternehmen bietet Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit an. Die Tätigkeitsschwerpunkte von Andreas Dölker umfassen vor allem das IT- und Datenschutzrecht. Wegen seiner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau berät er hauptsächlich Unternehmen an den Schnittstellen zwischen Recht und Technik.

Das sagt die Praxis

„Nur 25 Prozent der Apps verfügen über eine App-spezifische Datenschutzerklärung“

Nur 25 Prozent der Apps verfügen über eine App-spezifische Datenschutzerklärung: Das Bayerische Landesamt für Datenschutzaufsicht hat 2013 im Rahmen einer internationalen Prüfungsaktion 30 Apps bayerischer Anbieter überprüft und dabei erhebliche Mängel bei der Information über den Umgang mit Daten festgestellt. Als App-Entwickler gehört das Thema der Datenschutzerklärung in Apps inzwischen bei fast allen Kundenprojekten zum Standardelement. Wir unterscheiden dabei zwischen drei Stufen: Bei Apps ohne Dateneingabe durch den Nutzer wird, ähnlich wie bei Webseiten, mit Standardtexten für den Datenschutz gearbeitet. Diese decken die Sammlung der implizit erfassten Daten (z.B. Nutzungsstatistiken via Google Analytics) ab, da heutzutage fast keine App mehr ohne eine Analyse des Nutzungsverhaltens auskommt.

Bei vielen B2C Apps werden aber Daten der Nutzer explizit abgefragt oder es wird sogar eine Registrierung durchgeführt. Dabei ist es unbedingt notwendig, dass der Nutzer den Datenschutzbestimmungen aktiv zustimmt. In einer weiteren Ausbaustufe muss User-Generated-Content – Inhalte von Nutzern für andere Nutzer – durch den App-Anbieter moderiert werden: Apple verlangt z.B. die Möglichkeit eine Urheberrechtsverletzung bei Bildern direkt in der App beanstanden zu können.

Autor: Dominik Ueblacker, Geschäftsführer Vertrieb & Marketing der Weptun, das als  Mobile IT-Dienstleister bei der Umsetzung von Anwendungen für mobile Endgeräte unterstützt.

„Betreiber einer App sollten vor deren Vertrieb prüfen, ob sie dem Datenschutzrecht entspricht“

Betreiber und Entwickler von Apps sollten datenschutzrechtliche Risiken vermeiden. Ich rate dem Betreiber einer App, vor deren Vertrieb zu prüfen, ob sie dem Datenschutzrecht entspricht. Dazu wird er auch von Anbieter-Plattform vertraglich verpflichtet, z.B. bei iOS und Android. Dass und ob eine Datenübertragung stattfindet muss klar kommuniziert werden. Jedes Erheben, Verarbeiten oder Nutzen personenbezogener Daten bedarf grundsätzlich der Einwilligung des informierten Betroffenen. Fehlt diese Einwilligung und liegt keine gesetzliche Ausnahme vor, drohen Verbote oder Schadensersatz.

Dabei haben Entwickler und Betreiber die Chance, den Nutzern mehr Privatsphäre zu bieten. Dazu sollte die Datennutzung durch die App minimal und sicher sein (sog. Privacy by Design): z.B. benötigt ein Messaging-Dienst keine Standort-Daten. Eine App kann natürlich weitere Dienste zur Verfügung stellen, die zu einer größeren Datennutzung führen. Diese Dienste sollten jedoch nicht in den Standard-Einstellungen aktiviert sein (sog. Privacy-by-Default).

Autor: Bernd Suchomski, Rechtsanwalt, LL.M mit Fokus IT-Recht unterstützt im Rahmen des eBusiness-Lotsen Schwaben Unternehmen mit seinem Fachwissen.