23.06.2014

APP+RECHT: Datenschutz. Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter

Im letzten Beitrag ging es darum, dass auf dem Weg von einem guten Konzept zu einer erfolgreichen App in der Regel immer auch juristische Aspekte berücksichtigt werden müssen. Dabei haben wir u.a. darauf hingewiesen, dass v.a. bei der Ausgestaltung einer App der datenschutzrechtlich relevante Bereich besonders fehleranfällig ist, da hier vielfältige und teils sehr unterschiedliche Funktionalitäten der App beachten werden müssen. Unterlaufen dabei Fehler, läuft man leider schnell Gefahr sich angreifbar zu machen. Damit die Entwicklung und Ausgestaltung einer App möglichst auf der rechtssicher erfolgt, hat der Düsseldorfer Kreis eine Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter veröffentlicht, die wir hier kurz vorstellen möchten. Die Orientierungshilfe ist am Ende des Beitrags direkt als Pdf abrufbar.

Allgemeins zum Der Düsseldorfer Kreis Der Düsseldorfer Kreis ist ein Gremium der Datenschutzbeauftragten des Bundes und der Länder. Die Datenschutzbeauftragten von Bund und Ländern kommen dabei in regelmäßigen Konferenzen zusammen und beraten datenschutzrechtliche Themen im nicht-öffentlichen (privaten) Bereich. Im Rahmen seiner Betätigung hat der Düsseldorfer Kreis vor einer Woche online eine „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“ veröffentlicht. Der Düsseldorfer Kreis weist mit der Orientierungshilfe App-Entwickler und App-Anbieter speziell auf die datenschutzrechtlichen und technischen Voraussetzungen bzw. Anforderungen bei der Entwicklung, der Ausgestaltung und der Verwendung von Apps hin.

Anwendungsbereich und Verantwortlichkeiten Welches Datenschutzrecht anzuwenden ist, hängt danach immer jeweils von der relevanten Niederlassung bzw. der datenschutzrechtlich verantwortlichen Stelle ab: Sitzt der App-Anbieter bzw. die datenverarbeitende Niederlassung (nur) in Deutschland, so gelten deutsche Rechtsnormen. Sitzt der App-Anbieter bzw. die datenverarbeitende Niederlassung hingegen außerhalb Deutschlands aber innerhalb des Europäischen Wirtschaftsraums, so gelten die Rechtsnormen des jeweiligen Landes; wenn der App-Anbieter bzw. die datenverarbeitende Niederlassung hingegen außerhalb des Europäischen Wirtschaftsraums sitzt, gilt deutsches Datenschutzrecht nur, wenn über die App personenbezogene Daten in Deutschland erhoben und verwendet werden.

Hinsichtlich des sachlichen Anwendungsbereiches erläutert der Düsseldorfer Kreis, dass zu personenbezogenen Daten (also Daten, die zur Bestimmbarkeit einer bestimmten Person verwendet werden können) grundsätzlich sowohl IP-Adressen, als auch Geräte- und Kartenkennungen wie z.B. IMEI, IMSI oder MAC-Adresse sowie Standort-, Audio- und Fotodaten zählen (können).

Außerdem erläutert der Düsseldorfer Kreis recht ausführlich den Begriff des datenschutzrechtlich Verantwortlichen. Das ist grundsätzlich der nach außen erkennbar auftretende Anbieter der App. Dabei ist in der Regel unbeachtlich, ob der Anbieter die App selbst nur anbietet und die Entwicklung einem Dritten überlassen hat oder die Durchführung der Datenverarbeitung im Auftrag (Auftragsdatenverarbeitung) an einen Dienstleister überträgt: Er bleibt der datenschutzrechtlich Verantwortlicher. Eine andere Verantwortlichkeit kann sich aber dann ergeben, wenn unabhängig vom Anbieter von einem Dritten Daten erhoben werden, z.B. Fehlermeldungen, die direkt zum Entwickler gesendet werden etc.

Erlaubnistatbestände und Datenschutzgrundsätze Darüber hinaus stellt der Düsseldorfer Kreis die Erlaubnistatbestände und Grundsätze des datenschutzrechts dar. Zunächst ist die Datenverarbeitung nur rechtmäßig, wenn der Betroffene in die Datenverarbeitung eingewilligt hat oder die Datenverarbeitung aufgrund einer gesetzlichen Vorschrift erlaubt ist. Beispielhaft führt der Düsseldorfer Kreis auf, dass die Datenverarbeitung u.a. dann (gesetzlich) erlaubt ist, wenn diese zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich ist oder, wenn diese notwendig ist, um eine Inanspruchnahme des Dienstes der App überhaupt erst ermöglichen zu können (z.B. Standort, eindeutige Gerätekennnummern). Dabei können die personenbezogenen Daten, die für die konkreten Zwecke erforderlich sind, u.a. auch über den Nutzungsvertrag zwischen App-Anbieter und Nutzer definiert werden.

Ebenso stellt die Orientierungshilfe die Grundsätze dar, unter denen Nutzungsprofile von Nutzern über eine App erstellt werden können. So berechtigt § 15 Abs. 3 TMG u.a. den App-Anbieter oder seine Auftragnehmer zur Erstellung anonymisierter Nutzerprofile zu Werbezwecken. Nutzer müssen außerdem immer zumindest innerhalb der Datenschutzerklärung bzw. der Datenschutzhinweise auf die Widerspruchsmöglichkeit, möglichst per Opt-Out-Möglichkeit mittels Klick, hingewiesen werden. In anonyme Nutzerprofile dürfen ohne ausdrückliche Einwilligung der betroffenen allerdings keine personenbezogenen Daten wie z.B. IP-Adressen oder Gerätekennnummern einfließen. Außerdem sei nach dem Düsseldorfer Kreis auch eine besondere Einstellung auf dem Endgerät, durch die der Nutzer signalisiert, dass er eine Verarbeitung seiner Nutzungsdaten zu werblichen Zwecken nicht wünscht, als Widerspruch zu werten, an den sich der App-Anbieter halten muss.

Außerdem müsse eine Einwilligung des Betroffenen in die Datenverarbeitung neben der Freiwilligkeit und Informiertheit grundsätzlich auch dem Schriftformerfordernis Rechnung tragen. Eine Ausnahme vom Schriftformerfordernis liegt wegen den besonderen Umständen nicht bereits nicht vor, wenn eine Einwilligung bei der Nutzung einer App eingeholt werden soll; für die Einwilligung bedarf es daher entweder der Schriftform, der elektronischen Form oder besonderer Umstände, die zu einer Angemessenheit einer anderen Form als der Schriftform fuhren.

Sonstige Ausführungen Neben den vorstehend dargestellten wichtigsten Themenbereichen erklärt der Düsseldorfer Kreis noch wesentliche Datenschutzgrundsätze u.a. zur Direkterhebung von Daten (z.B. in Bezug auf die Verarbeitung von Daten aus dem Adressbuch der Nutzer), zur Datenvermeidung, zur Möglichkeit der anonymen/pseudonymen Nutzung, sowie zur Zweckbindung bzw. zur Erforderlichkeit der Datenverarbeitung und zur Impressumspflicht. Zudem stellt die Orientierungshilfe klar, dass bereits in der Entwicklungsphase einer App den Prinzipien „Privacy by Design“ und „Privacy by Default“ Rechnung getragen werden sollte.

Ebenso weisen die Datenschutzbeauftragten darauf hin, dass eine Datenschutzerklärung stets spezifisch auf die Funktionalität einer App zugeschnitten sein muss. Eine einfache Verknüpfung mit Datenschutzhinweisen eines ähnlichen oder alternativen Webangebotes des gleichen Anbieters wird den Ansprüchen an eine Unterrichtung nach den rechtlichen Vorschriften nicht gerecht.

Zuletzt beleuchtet der Düsseldorfer Kreis außerdem noch die Folgen einer rechtswidrigen Datenverarbeitung und stellt den entsprechenden Sanktionsrahmen vor. Außerdem erfolgen spezielle Ausführungen zu Besonderheiten im Rahmen von Angeboten bzw. Apps mit integrierten Bezahlsystemen oder von Apps, die speziell an Kinder und Jugendliche gerichtet sind oder von öffentlichen Stellen angeboten werden.

Fazit Im Gesamten bietet die Orientierungshilfe einen sehr guten und informativen ersten Überblick über die datenschutzrechtlichen Grundregeln bei der Entwicklung und Erstellung von Apps. Die Ausführungen des Düsseldorfer Kreises sind allerdings nicht als einzige oder umfassende Informationsübersicht zu verstehen, denn eine App erfordert in den meisten Fällen stets eine individuelle rechtliche Anpassung auf ihre jeweilige Funktionalität. Besonders bemerkenswert ist es aber, dass der Düsseldorfer Kreis die Orientierungshilfe als Leitfaden erstellt hat und so zumindest für die ersten Schritte ein sicheres datenschutzrechtliches Bauchgefühl für App-Entwickler und App-Anbieter wecken kann.

Die Orientierungshilfe-Datenschutzanforderungen an App-Entwickler und App-Anbieter vom Berliner Beauftragten für Datenschutz und Informationssicherheit ist über den vorstehenden Link direkt abrufbar.