Best-Practice-Guide des Justizministeriums zu verbraucherfreundlichen Apps

Das Bundesjustizministerium hat eine Orientierungshilfe für App-Entwickler zum Verbraucher-, Daten- und Jugendschutz veröffentlicht. Checklisten arbeiten die für Praktiker wichtigsten Themen übersichtlich auf und dienen als erste Orientierung, worauf – jedenfalls nach Meinung des Ministeriums – bei der Entwicklung und beim Vertrieb von Apps geachtet werden sollte.

Die Broschüre ist  in Kooperation mit Organisationen aus dem Verbraucher-, Daten- und Jugendschutz entstanden; auch Branchenverbände konnten sich einbringen. So haben unter anderem jugendschutz.net, Stiftung Warentest, der Verbraucherzentrale Bundesverband und Bitkom mitgewirkt.

Der Leitfaden ist auf Deutsch und Englisch erschienen und steht frei als Download zur Verfügung. Er präzisiert teilweise die gesetzlichen Anforderungen, an anderen Stellen geht er jedoch inhaltlich deutlich über die gesetzlichen Anforderungen hinaus bzw. interpretiert die gesetzlichen Anforderungen eher einseitig im Sinne des Ministeriums. Wir erwarten, dass sich Verbraucherschützer künftig an diesen Leitlinien orientieren werden. In jedem Fall sind die 23 Seiten eine lohnende Lektüre.

Die wichtigsten Punkte lassen sich wie folgt zusammenfassen:

Datenschutz

Beim Datenschutz greift der Guide die Verpflichtung auf, Informationen zur Datenverarbeitung bereits im App-Store zur Verfügung zu stellen. Diese Informationen sollen in einer standardisierten, leicht verständlichen Kurzinformation angezeigt werden. Für diesen „One-Pager“ sieht die Broschüre in der Anlage auch ein Muster vor, wobei auch dieses recht allgemein gehalten ist. Nach der Installation sollen die Informationen zur Datenverarbeitung auch aus der App erreichbar sein.

Wirklich Neues zum Datenschutz enthalten die Leitlinien nur wenig, die gebündelte Sammlung macht sie aber zu einer guten Hilfe in der Praxis. Ein Schwerpunkt der Hinweise liegt auf den Aspekten der Zweckbindung und des Privacy by Design. So sollen Nutzer z.B. erteilte Zugriffsberechtigungen und das Datensendeverhalten auch nachträglich einschränken können. Ihnen sollen zudem einfache Möglichkeiten an die Hand gegeben werden, personenbezogene Daten löschen bzw. sperren zu lassen.

Wenn möglich, sollen Apps anonyme oder pseudonyme Nutzungen zulassen. Ist eine Verarbeitung im Klartext nicht erforderlich, sollen Anbieter personenbezogene Daten möglichst nur als Hashwerte verarbeiten. Der Schritt davor, also die Übertragung personenbezogener Daten, soll grundsätzlich nur verschlüsselt erfolgen, was den Anforderungen der meisten App Stores entspricht. Für Authentifizierungsvorgänge regen die Empfehlungen an, ein Mehrfaktor-Verfahren anzubieten.

Verbraucherschutz

Zur Verbraucherinformation sieht der Guide ebenfalls ein Muster für einen One-Pager vor. Wie bereits bei den Infos zum Datenschutz, sollen Anbieter dabei einen sogenannten Layered-Approach nutzen: Der One-Pager selbst soll – dem Namen entsprechend – kurz gehalten sein. Von dort aus sollen User an weiterführende Informationen gelangen können.

Bevor sie eine App kaufen, sollen Nutzer eine Gelegenheit zum Ausprobieren erhalten. Die meisten App Stores sehen bereits die Möglichkeit vor, gekaufte Apps innerhalb einer Testphase zurückzugeben. Darüber hinaus schlägt der Guide vor, dass App-Anbieter datensparsame Freemium-Konzepte, Schnupperangebote oder Demofunktionen anbieten. Dies kann wirtschaftlich sinnvoll sein, rechtlich verpflichtend ist es jedoch, wie viele der Empfehlungen, nicht.

Ausführlich behandelt werden In-App-Käufe, bei denen der Guide eine besondere Transparenz und einen erhöhten Schutz verlangt. So sollen die Eingabe von Benutzernamen und Kennwort vor einem Kauf als Default-Vorgabe eingerichtet sein, auf Bestell-Overlays sollen Anbieter verzichten. Auch diese Empfehlungen dürfen nicht als rechtsverbindliche Vorgaben missverstanden werden. Im Übrigen haben es die Anbieter ja auch gar nicht in der Hand, welche Einstellungen zur Passworteingabe Nutzer etwa auf ihren Mobilgeräten vornehmen.

Bei In-App-Käufen sollen Entwickler insbesondere Kinder vor unbeabsichtigten Käufen schützen und – insoweit wenig überraschend – müssen natürlich die gesetzlichen Informationspflichten erfüllen. Bei dem im Guide vorgestellten Weg handelt es sich jedoch nur um eine von mehreren möglichen Varianten, wie dies umgesetzt werden kann. Die genannten Beispiele gehen zudem über die rechtlichen Vorgaben deutlich hinaus. Es empfiehlt sich stets, eine auf die App und Zielgruppe abgestimmte Lösung im Einzelfall zu suchen.

Vermeiden sollen Anbieter auch den Einsatz von Werbe-Netzwerken, die auf Abo-Fallen verweisen. Was damit gemeint ist, wird aber nicht konkretisiert. Eine Haftung des App-Anbieters für angezeigte Werbung ist so gut wie ausgeschlossen, solange dieser von Rechtsverstößen der ausgelieferten Werbung keine Kenntnis hat. Ein seriöses Werbe-Netzwerk auszuwählen, liegt aber letztlich im Interesse aller Beteiligten.

Einmal gekaufte Inhalte sollen Nutzer einfach wiederherstellen können, zum Beispiel nach einem Geräteverlust. Können App-Daten auch in anderen Apps eingesetzt werden, soll ein Export in ein gängiges Format möglich sein. Bei personenbezogenen Daten kann auch nach der DSGVO die gesetzliche Pflicht bestehen, solche Daten in einem maschinenlesbaren Format herauszugeben.

Der Leitfaden empfiehlt insbesondere bei kostenpflichtigen Angeboten eine aktive Produktpflege und einen nutzerfreundlichen Support. So sollen Nutzer bei Supportanfragen umgehend eine Empfangsbestätigung erhalten und eine Information, wann sie mit einer Antwort rechnen können.

Sicherheitsupdates sollen Anbieter für einen angemessenen Zeitraum bereitstellen. Stellt ein Anbieter den Support ein, ist das den Nutzern mitzuteilen. Ist das Ende des Supports beim Kauf bereits vorher absehbar, empfehlen die Guidelines bereits beim Download der App und bei In-App-Käufen darauf hinzuweisen. Bereits jetzt greift bei Apps im Übrigen das gesetzliche Gewährleistungsrecht, wobei durch die geplante Digitale-Inhalte-Richtlinie hier Änderungen zu erwarten sind.

Weitergehende Empfehlungen enthält der Guide für Betreiber von App-Stores.

Jugendschutz

Nicht zuletzt aufgrund der häufigen Nutzung von Apps durch Minderjährige legt die Orientierungshilfe einen Schwerpunkt auf Fragen des Jugendschutzes. Als wichtigsten Hinweis setzt der Guide dabei auf die Altersklassifizierungen. Die Stores von Google, Nintendo, Oculus und Windows nutzen hierfür das maßgeblich von der deutschen USK mit entwickelte IARC-System.

Neben der Altersklassifizierung soll vorab auch über weitere altersspezifische Inhaltsrisiken informiert werden, wie z.B. mögliche Gefahren von Belästigungen oder Preisgaben personenbezogener Daten. Während diese Hinweise teils gesetzlich (Datenschutzerklärung) oder von den App Stores (Standortabfragen) vorgeschrieben sind, gehen andere Empfehlungen darüber hinaus (jugendspezifische Kommunikationsrisiken). Neben ausführlichen Informationen zum Inhalt sollen – wie ohnehin erforderlich – auch die Kontakt- und Hilfemöglichkeiten leicht auffindbar und verständlich gehalten werden.

Um Minderjährige vor entwicklungsbeeinträchtigenden Inhalten zu schützen, empfiehlt die Broschüre ein „altersspezifisches Safety by Design“. Dabei sollen u.a. die Anmeldeprozesse altersgerecht und sicher sein und es sollen technischen Mittel bereitstehen, um Verstöße zu melden und Belästiger zu blockieren. Darüber hinaus gibt es konkrete Praxisratschläge für kindgerechte Werbung und In-App-Käufe sowie zur Einbindung externer Inhalte und Social-Media Verlinkungen.

Auf den Grundsatz des Privacy by Design im Datenschutz weist die Broschüre im Abschnitt zu Minderjährigen nochmals gesondert hin. Gerade hier empfiehlt sich ohnehin ein sensibler Umgang.

***

Wer sich vertieft mit Rechtsfragen bei Apps beschäftigen möchte, dem sei natürlich unser Buch „Apps und Recht“ ans Herz gelegt.

Kommentare

Schreibe einen Kommentar