Datenschutz-Tipps für App-Entwickler

© emojoez/shutterstock.de

Bei der Entwicklung mobiler Apps sollten Unternehmen nicht nur auf Funktionalität und Bedienkomfort achten, sondern auch auf die Anforderungen des Datenschutzrechts. Der Düsseldorfer Kreis hat dafür nun eine Orientierungshilfe entwickelt.

Der Düsseldorfer Kreis ist ein Gremium der Konferenz der Datenschutzbeauftragten des Bundes und der Länder und koordiniert damit die Entschließungen der unterschiedlichen Datenschutzbehörden.

Dessen Empfehlungen werden von den einzelnen Landesdatenschutzbehörden aufgegriffen und sind entscheidend für alle App-Anbieter und App-Entwickler mit Sitz in Deutschland. Nicht zu beachten sind diese Empfehlungen (und deutsches Datenschutzrecht), wenn sich die App-Anbieter/-Entwickler in einem anderen Land der Europäischen Union oder des Europäischen Wirtschaftsraumes (EWR) befinden.

Aufpassen müssen jedoch Anbieter/Entwickler außerhalb Europas, für diese können die Empfehlungen beziehungsweise deutsches Datenschutzrecht Anwendung finden, wenn personenbezogene Daten in Deutschland mittels der App erhoben werden. Dies ist leicht der Fall, zum Beispiel durch die Eingabe von Registrierungsdaten in einer App, aber auch gegebenenfalls schlicht durch die Benutzung der App.

Gerätekennungen und Standortdaten

Letzteres hat damit zu tun, dass Geräte und Kartenkennungen von Smartphones bereits als personenbezogene Daten angesehen werden. Beim Umgang mit Kennungen wie IMEI, UDID, IMSI oder MSISDN sind daher schon die Anforderungen des Bundesdatenschutzgesetzes sowie des Telemediengesetzes zu beachten.

In der Praxis ist konkret zu prüfen, zu welchem Zweck die Kennziffern eingesetzt werden und ob die Verwendung gesetzeskonform ist. Insbesondere ist eine zufallsgenerierte eindeutige Nummer anstatt einer festen Gerätekennung empfehlenswert. Dies hat den Vorteil, dass außerhalb der App und bei Neuinstallation der App (oder des Gerätes) kein Bezug mehr zum Gerät vorhanden ist.

Weiterhin stellen Standortdaten oftmals personenbezogene Daten dar, die für die Erstellung von Bewegungsprofilen genutzt werden können. Daher verweisen die Behörden darauf, dass die Verarbeitung von Nutzungsdaten für Werbezwecke nur mit einer gesetzlichen Erlaubnis oder der Einwilligung des Nutzers möglich ist.

Schließlich ist darauf zu achten, dass die Standortdaten nicht exakt erfasst werden, sondern entsprechend "verwaschen" werden (beispielsweise ist "München Stadtmitte" anstatt "München Bahnhofsplatz 1" zu empfehlen) und nur in einem Intervall abgefragt werden, das für die Benutzung der App tatsächlich erforderlich ist.

Opt-out-Vorschriften

Der Düsseldorfer Kreis weist darauf hin, dass Widerspruchsmöglichkeiten effektiv und angemessen erfolgen müssen, was in erster Linie durch Opt-out-Links und Auskreuzfelder erfolgen soll. Die bislang ungeklärte Frage, ob ein Opt-out auch durch E-Mail oder postalisch erfolgen kann, wird verneint und zu Recht damit begründet, dass dies einen Medienbruch bedeuten würde.

Sofern ein Opt-out über die allgemeinen Einstellungen des Endgerätes erfolgen soll, wird eine konkrete Schritt-für-Schritt-Anleitung verlangt, wie die Einstellungen gerätespezifisch erfolgen können. Der bloße Hinweis auf Einstellungsmöglichkeiten am Gerät genügt nicht.

In der Praxis muss für sämtliche eingebundenen Analyse- und Werbeanbieter (etwa Localytics, Flurry Analytics, aber auch Tools zur Reichweitenmessung) geprüft werden, ob ein Opt-out rechtlich erforderlich ist und wie dies technisch ausgestaltet werden kann. Dabei ist insbesondere die Beachtung von Widersprüchen bei gleichsam nativen Inhalten und Webview-Seiten eine Herausforderung.

App-spezifische Datenschutzerklärung

Wie letztes Jahr auch bei unseren Partnern von www.medienundmarken.de dargestellt, benötigen Apps eine angepasste Datenschutzerklärung. Hierzu empfiehlt der Düsseldorfer Kreis, die Erklärung entweder im App Store oder nach dem Herunterladen und vor dem Start der App für den Nutzer zum Abruf  bereitzuhalten. Neben den üblichen gesetzlich geforderten Inhalten sollen die eingeholten Berechtigungen und konkret stattfindenden Zugriffe erläutert werden.

Hervorgehoben wird die Einteilung in Kapitel, die einzeln geöffnet werden können, wodurch ähnliche Empfehlungen ausgesprochen werden wie von der Artikel-29-Gruppe auf europäischer Ebene. Schließlich weist der Düsseldorfer Kreis darauf hin, dass auch Apps ein Impressum vorhalten müssen.

Nicht beantwortet wird dabei die Frage, ob die bisherige 2-Klick-Rechtsprechung, das heißt die Erreichbarkeit des Impressums nach höchstens zwei Maus-Klicks, auch auf Apps angewendet werden kann oder ob aufgrund des kleineren Bildschirms Besonderheiten gelten (zum Beispiel die Berücksichtigung, dass oftmals bereits ein Klick erforderlich ist, um ein Menü zu öffnen).

Eine Frage der Nutzung

Abschließend wird darauf hingewiesen, dass Bundesdatenschutzgesetz und Telemediengesetz je nach Nutzungskontext Anwendung finden. Sofern hiernach keine gesetzliche Erlaubnis besteht, kann eine Datenverarbeitung nach der Einwilligung durch den Nutzer erlaubt sein.

Hierfür kommt es auf die exakte Formulierung der Einwilligung an, wobei jedoch durch die gängigen Betriebssysteme wie Android und iOS oftmals technische Rahmenbedingungen und die geringe Größe der Smartphones beachtet werden müssen.

Der Autor

© Andreas Dölker

Andreas Dölker, Rechtsanwalt und Berater bei der ISiCO Datenschutz GmbH. Er berät Unternehmen an den Schnittstellen zwischen Recht und Technik, zu Themen wie Outsourcing, Cloud Computing, Open Source, Lizenzierung und Online-Marketing. Zu seinen Mandanten gehören hauptsächlich Unternehmen aus der Informations- und Telekommunikationstechnologiebranche.

Das in Berlin ansässige Unternehmen ISiCO bietet Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit an.