Google geht derzeit gegen Apps vor, die gegen die Richtlinien zu Nutzerdaten des Play Store verstoßen. Wie The Next Web berichtet, soll in den meisten Fällen die erforderliche Datenschutzerklärung (Privacy Policy) fehlen. Entwickler sind aufgefordert, die Verstöße bis zum 15. März 2017 zu beheben. Anderenfalls kündigt das Unternehmen an, die Sichtbarkeit der Apps im Store einzuschränken oder sie ganz aus dem Play Store zu entfernen.
Was konkret zu tun ist sowie was Entwickler und Anbieter bei Apps grundsätzlich beachten müssen, wollen wir im Folgenden erläutern. Auch unabhängig von diesem Anlass ist Datenschutz bei Apps ein Thema, welches häufig für viel Unsicherheit sorgt.
Was ist eine „Privacy Policy“ im deutschen Recht und wann braucht man sie?
Apps greifen regelmäßig auf eine Vielzahl personenbezogener Daten zu, darunter die Werbe-ID des Gerätes, Standortinformationen, Adressbuchdaten, Kalendereinträge, Kontodaten oder Fotos. Über die Erhebung, Verarbeitung und Übertragung solcher Daten müssen Anbieter transparent informieren. Eine Privacy Policy – im deutschen Recht „Datenschutzerklärung“ – ist dabei in der Regel nicht nur rechtlich verpflichtend, sie ist auch aus Vertrauensgründen empfehlenswert.
Über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung von Daten außerhalb der EU bzw. des EWR müssen Anbieter zu Beginn des Nutzungsvorgangs in allgemein verständlicher Form unterrichten. Diese Verpflichtung ergibt sich aus § 13 Abs. 1 TMG.
Ausgenommen von der Verpflichtung sind reine „Offline-Apps“, da sie keine personenbezogenen Daten erheben und verwenden. Für Telekommunikationsdienste wie Messenger und Apps, die ausschließlich Rundfunkangebote verbreiten, gelten zudem einige Besonderheiten. Bei Apps, die keine personenbezogenen Daten verarbeiten, empfehlen wir, einen entsprechenden Hinweis in die App-Beschreibung aufzunehmen.
Was muss nach dem Telemediengesetz in der Erklärung stehen?
Die Datenschutzerklärung soll Nutzer detailliert darüber unterrichten, wozu der Anbieter die erhobenen Daten benötigt und wie er mit ihnen umgeht. Insbesondere ist es wichtig zu erklären, wieso eine App spezielle Berechtigungen verlangt wie den Zugriff auf das Adressbuch oder den Standort. Daher reicht es im Normalfall auch nicht aus, schlicht auf die Datenschutzerklärung der eigenen Webseite zu verlinken.
Die Information des Nutzers muss vor der ersten Datenerhebung erfolgen. In der App muss sie zudem jederzeit erreichbar sein. In der Datenschutzerklärung sollten dabei folgende Punkte enthalten sein:
- Namentliche Bezeichnung der verantwortlichen Stelle mit Adresse und Kontaktinformationen
- Beschreibung der Daten, die von der App erhoben werden, einschließlich der Standortdaten (und deren Granularität)
- Beschreibung der Gerätefunktionen oder Sensoren, auf welche die App zugreift
- Erläuterung der Zwecke, zu denen diese Daten erhoben werden
- Bezeichnung der Dritten, an die Nutzerdaten übermittelt werden
- Zweck der Übermittlung an Dritte
- Beschreibung der Steuerungsmöglichkeiten des Endnutzers in Bezug auf die Erhebung, Nutzung und Verarbeitung seiner Daten
- Ggfs. kurze Erläuterung, welche Auswirkungen die Verweigerung der Einwilligung für die Nutzung der App bzw. bestimmter Funktionen hat
- Informationen über eine Verarbeitung der Daten außerhalb des EWR und ggfs. über die ergriffenen Schutzmaßnahmen (z.B. Standardvertragsklauseln, etc.)
Achtung: Neben einer Datenschutzerklärung ist auch bei Apps ein vollständiges Impressum erforderlich.
Tracking und Social Plugins
Bei der beliebten Nutzung von Tracking-Lösungen wie Google Analytics in Apps ist auf eine datenschutzkonforme Einbindung zu achten. Die Voraussetzungen entsprechen denen der Einbindung auf Webseiten: IP-Adressen dürfen nur anonymisiert erhoben werden, der Anbieter muss einen Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen haben, und die Datenschutzerklärung muss auf die Verwendung hinweisen.
Häufig übersehen wird dabei, dass die Möglichkeit des „Opt-Out“ auch in der App gegeben sein muss. Best-Practice ist es, die Möglichkeit unmittelbar in den Einstellungen der App anzubieten. Ein entsprechender Link sollte zudem in der Datenschutzerklärung enthalten sein.
Datenschutzrechtlich umstritten ist der Einsatz von Social Plugins wie Like- oder Tweet-Buttons. Neben dem obligatorischen Hinweis in der Datenschutzerklärung empfehlen wir beim Einsatz solcher Buttons eine Wrapper-Lösung wie das c’t-Projekt Shariff einzusetzen.
Anforderungen der App Stores – was ist zu beachten?
Bei Android-Apps, die über den Google Play Store vertrieben werden, verlangt Google, die Datenschutzerklärung sowohl im entsprechenden Bereich der Play Developer Console als auch in der App selbst bereit zu stellen. Dies entspricht der deutschen Rechtslage. Ebenso ist eine Voraussetzung, dass Apps Nutzerdaten nur verschlüsselt übertragen (HTTPS). Wichtig ist vor allem der transparente Umgang mit Nutzerdaten:
Wenn Ihre App personenbezogene oder vertrauliche Nutzerdaten in einer Art und Weise erfasst und überträgt, die im Eintrag der App auf Google Play oder in der Benutzeroberfläche der App nicht klar und deutlich beschrieben ist, muss vor der Erfassung und Übertragung klar und deutlich darauf hingewiesen werden, wie die Nutzerdaten verwendet werden, und der Nutzer muss dieser Verwendung aktiv zustimmen.
Zusätzliche Voraussetzungen stellt Google auf für Apps, die
- Finanz- oder Zahlungsinformationen oder amtlichen Identifikationsnummern verarbeiten,
- nicht öffentliche Telefonbuch- oder Kontaktdaten verarbeiten, oder
- Virenschutz- oder Sicherheitsfunktionen wie Antiviren-, Anti-Malware- oder sicherheitsbezogene Funktionen enthalten.
Bei Apple finden sich die entsprechende Regelungen im Developer Program License Agreement sowie den App Store Review Guidelines. Auch diese verlangen, dass Nutzer transparent über Datenerhebungen und -verwendungen informiert werden. Registrierungspflichten sollen Apps zudem möglichst vermeiden, sofern eine Nutzung auch ohne Login möglich ist.
Als weitergehende Orientierung: Empfehlungen des Düsseldorfer Kreises
Eine Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter hat der sogenannte „Düsseldorfer Kreis“ bereits 2014 veröffentlicht. Auf 33 Seiten hat das Gremium deutscher Datenschutzaufsichtsbehörden zusammengefasst, was bei der Entwicklung von Apps ihrer Ansicht nach zu beachten ist.
Die Lektüre empfiehlt sich, da Mitbewerber abmahnen und Verstöße mit Bußgeldern von bis zu EUR 300.000,00 geahndet werden können. Mit Inkrafttreten der DSGVO werden diese Anforderungen noch einmal strenger. Die wichtigsten Punkte haben wir im Blog bereits zusammengefasst. Neben den Voraussetzungen an Datenschutzerklärungen und -einwilligungen, beschreibt die Orientierungshilfe auch eine Reihe technischer Schutzmaßnahmen, die bei der Entwicklung zu beachten sind.
Ausführliche Informationen zu Datenschutz bei Apps finden sich zudem im entsprechenden Kapitel des Buches „Apps und Recht“.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.