Datenschutz Verstehen – Datenschutz bei Apps
Kurze Einleitung
Das Thema Datenschutz nimmt in der Softwarebranche eine wichtige Rolle ein. Insbesondere im Bereich der Entwicklung von Anwendungen, sog. Apps, für mobile Endgeräte und Betriebssysteme wie Apples iOS oder Googles Android OS, müssen datenschutzrechtliche Vorgaben frühzeitig erkannt und umgesetzt werden. Die Funktionsweise der jeweiligen App entscheidet zudem, ob gewisse zusätzliche Voraussetzungen im Datenschutz umgesetzt werden müssen. In unserem heutigen Blogbeitrag erfahren Sie, welche datenschutzrechtlichen Vorgaben aus der europäischen Datenschutz-Grundverordnung (DSGVO) bei Apps einzuhalten und zu berücksichtigen sind.
Inhalt:
- Welche Daten werden von Apps verarbeitet?
- Technisch-organisatorische Maßnahmen in Apps
- Auftragsverarbeitung, Drittstaaten und gemeinsame Verantwortlichkeit
- Datenschutzerklärung für Apps
- Datenschutz iOS App
- Datenschutz Android App
- Was passiert, wenn eine Datenschutzerklärung nicht in der App zur Verfügung gestellt wird?
Welche Daten werden von Apps verarbeitet?
Typischerweise werden durch Apps, unabhängig davon, ob es sich um Apps für iOS oder Android OS handelt, folgende personenbezogene Daten der Nutzer verarbeitet:
- IP-Adresse
- Gerätekennungen
- E-Mail-Adresse
- Name
- SIM-Kartennummer
- Fingerabdrücke
- Filme, Fotos, Audioaufnahmen
- Gesundheitsdaten
- Standortdaten
- Mac-Adressen
- SIM-Kartennummer
Diese Datenkategorien sind nicht abschließend und nur beispielhaft aufgeführt. Insbesondere dann, wenn besondere Kategorien von personenbezogenen Daten gem. Art 9 Abs. 1 DSGVO verarbeitet werden, ist eine besondere Rechtsgrundlage erforderlich und die Anforderungen an die technische und organisatorische Sicherheit der Verarbeitung besonders hoch.
Technisch-organisatorische Maßnahmen in Apps
Bereits während der Entwicklungsphase sollten datenschutzrechtliche Vorgaben der DSGVO und des neuen Bundesdatenschutzgesetzes (BDSG-neu) identifiziert und eingehalten werden, da nachträgliche Veränderungen hinsichtlich der App, wegen nicht rechtzeitig erkannter datenschutzrechtlichen Risiken, häufig zu höheren Aufwänden und Kosten führen können. Essentiell ist die Implementierung von technisch-organisatorischen Maßnahmen (TOM) gem. Art 32, 25 DSGVO. Besonders bei Apps sind die Stichwörter Privacy by default bzw. Privacy by design zu berücksichtigen: Privacy by default meint in diesem Zusammenhang, dass Datenschutz durch eine gewisse Gestaltung der Technik etabliert werden soll. Privacy by Design knüpft an die individuelle Konfiguration an, denn in diesem Zusammenhang spielen datenschutzfreundliche Voreinstellungen i.S.v. Art. 25 Abs. 2 DSGVO eine entscheidende Rolle. So sind z.B. Voreinstellungen bezüglich bestimmter Funktionen, wie z.B. die Option, sich für einen Newsletter anzumelden, standardmäßig deaktiviert, um eine aktive Handlung des Nutzers für eine Datenverarbeitung einzufordern, die bei einer Einwilligung in jedem Fall aufgrund der höchstrichterlichen Rechtsprechung ohnehin erforderlich ist. Beispiele für Privacy by design sind Technikgestaltungen, wie z.B. die sichere Verschlüsselung und Pseudonymisierung von personenbezogenen Daten. Dies gilt insbesondere für sensible Daten, wie z.B. Passwörter der Nutzer. Weitere technisch-organisatorische Maßnahmen müssen nach Maßgabe der Art. 32, 25 DSGVO ebenfalls implementiert werden. Welche Maßnahmen im Einzelnen erforderlich sind, lässt sich nur nach einer Analyse der jeweiligen Verarbeitungen der App beantworten.
Auftragsverarbeitung, Drittstaaten und gemeinsame Verantwortlichkeit
Wenn bei der jeweiligen App Dienstleister zum Einsatz kommen und diese personenbezogene Daten, z.B. der Nutzer der App, im Auftrag verarbeiten, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Eine Auftragsverarbeitung liegt bereits dann vor, wenn beispielsweise Cloud-Dienstleister zum Einsatz kommen und personenbezogene Daten durch SaaS-Dienste verarbeiten. Bereits das Hosting bei Dienstleistern von personenbezogenen Daten bildet eine Auftragsverarbeitung. Auch die Wartung und der Support für die jeweilige App durch externe Dienstleister wird nach herrschender Meinung (hierzu gehören insbesondere die Aufsichtsbehörden) als Auftragsverarbeitung erfasst, soweit hier ein Zugriff auf personenbezogene Daten im Rahmen des Zugriffs auf die App möglich ist.
Wenn darüber hinaus auch personenbezogene Daten in sog. Drittstaaten übermittelt werden, müssen zusätzlich die Regelungen der Art. 44 ff. DSGVO eingehalten werden. Zusammengefasst geht es hier darum, dass zusätzliche, nachweisbare Garantien für eine sichere Verarbeitung existieren müssen, um die Übermittlung von personenbezogenen Daten an Staaten, die nicht Mitglied der Europäischen Union sind und auch nicht als sog. sicherer Drittstaat im Rahmen eines Angemessenheitsbeschlussses qualifiziert wurden, zu legitimieren. Zum einen gibt es hier die Möglichkeit, einen sog. sektorspezifischen Angemessenheitsbeschluss für das jeweilige Unternehmen, an welches personenbezogenen Daten übermittelt werden, zu erhalten. Diese gibt es derzeit nur für US-amerikanische Unternehmen, wenn diese eine Privacy Shield Zertifizierung besitzen und diese Zertifizierung auch für die jeweiligen Datenkategorien, die übermittelt werden sollen, gilt. Falls kein Angemessenheitsbeschluss i.S.v. Art. 45 DSGVO existiert, muss geprüft werden, ob geeignete Garantien gem. Art 46 DSGVO, hier insbesondere Corporate Binding Rules nach Art. 47 DSGVO, vorliegen und die Datenübermittlung auf die hier genannten Garantien gestützt werden kann. Auch der Abschluss von EU-Standarddatenschutzklauseln ist ein beliebtes Instrument, um eine erforderliche Garantie für die Sicherheit der Datenübermittlung zu erbringen.
In gewissen Fällen, falls eine gemeinsame Verantwortlichkeit zwischen App-Entwickler und weiteren Unternehmen vorliegt, kann auch der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO erforderlich sein.
Datenschutzerklärung für Apps
Wenn die entwickelte App einsatzbereit und zum Download zur Verfügung gestellt wird, ist zu gewährleisten, dass die Nutzer der App zum Zeitpunkt der Erhebung der personenbezogenen Daten über die Datenverarbeitung nach den Vorgaben der Art. 12, 13 DSGVO informiert werden. Auch Regelungen des Telemediengesetzes (TMG) können eine Rolle spielen und müssen bei Einschlägigkeit integriert werden. Dieses Informationsschreiben wird häufig als Datenschutzerklärung bezeichnet und gerade in Zusammenhang mit Apps verwendet. In der Regel ist dies der Zeitpunkt, indem der Nutzer das erste Mal die App startet. Hier ist dann ein entsprechendes Fenster mit den erforderlichen Informationen einzublenden. Über welche Angaben im Einzelnen die jeweiligen Nutzer informiert werden müssen, hängt von dem jeweiligen Umfang der Verarbeitung von personenbezogenen Daten ab. Die Art und Weise, wie zu informieren ist, zählt Art. 12 DSGVO auf. So ist beispielsweise eine klare, einfache und verständliche Sprache zu verwenden und die Informationen müssen transparent übermittelt werden. Die konkreten Angaben, die in dem Informationsschreiben enthalten sein müssen, nennt Art. 13 DSGVO. Hierzu gehören z.B. der Name und die Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten (falls vorhanden), die Zwecke und Rechtsgrundlagen der Verarbeitungen, die Dauer der Verarbeitungen, die Empfänger der Daten, Profiling, die involvierte Logik (falls vorhanden) und das überwiegende berechtigte Interesse, falls diese Rechtsgrundlage in Art. 6 Abs. 1 lit. f) DSGVO für eine Verarbeitung von personenbezogenen Daten beansprucht wird. Alle weiteren erforderlichen Angaben ergeben sich aus dem Katalog des Art. 13 DSGVO und bedürfen einer Einzelfallprüfung.
Datenschutz iOS App
Im App Store von Apple existiert die Möglichkeit, eine Datenschutzerklärung bereits vor der Installation der iOS App auf dem jeweiligen Endgerät (iPhone, iPod, iPad) dem Interessenten bzw. Nutzer der App zur Verfügung zu stellen. Wenn Sie das Formular für die Anmeldung der App im App Store ausfüllen, finden Sie hier eine Zeile (Privacy Policy URL) für einen Link zu Ihrer Datenschutzerklärung. Verlinken Sie allerdings nur auf eine Datenschutzerklärung, die nicht die Verarbeitung von personenbezogenen Daten auf Ihrer Website berücksichtigt, sondern insbesondere über die Datenverarbeitung in der gegenständlichen App informiert. Darüber hinaus werden Entwickler seitdem 03. Oktober 2018 sogar dazu verpflichtet, eine Datenschutzerklärung in die jeweilige App zu integrieren. Mehr zu dieser Verpflichtung erfahren Entwickler in den App Store Guidelines unter dem Abschnitt Legal.
Datenschutz Android App
Auch Google stellt Entwicklern für Android Apps eine Guideline für das Thema Datenschutz zur Verfügung. Insbesondere an die Verarbeitung von sog. sensiblen Daten (sensitive data) stellt Google besondere Anforderungen. Zu diesen sensiblen Daten gehören u.a. Zahlungs- und Finanzdaten, Authentifizierungsdaten, Standort des verwendeten Geräts und Daten über das Nutzungsverhalten. Selbst wenn Google derzeit Entwickler nicht dazu verpflichtet, eine Datenschutzerklärung in die jeweilige App zu integrieren, drohen dennoch weiterhin Konsequenzen aufgrund der gesetzlichen Regelungen in der DSGVO (siehe weiter unten). Darüber hinaus bietet der Google Play Store, ähnlich wie Apples App Store, Entwicklern die Möglichkeit, einen Link für eine Datenschutzerklärung hinzuzufügen, sodass die Datenschutzerklärung bereits im Google Play Store durchgelesen werden kann. Der Link für die Datenschutzerklärung kann im Formular unter dem Punkt Privacy Policy abgelegt werden.
Was passiert, wenn eine Datenschutzerklärung nicht in der App zur Verfügung gestellt wird?
Wenn die App personenbezogene Daten verarbeitet und diese zum Zeitpunkt der ersten Nutzung der App durch den Nutzer erhoben werden, muss zu diesem Zeitpunkt über die Datenverarbeitung informiert werden. Der Inhalt richtet sich nach den Vorgaben des Art. 13 DSGVO, die Art und Weise, wie informiert wird, nach Art. 12 DSGVO. Verstöße gegen diese Vorschriften können zu Bußgeldern von bis zu 20 Mio. Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres führen. Die Aufsichtsbehörden können nicht nur das Fehlen einer Datenschutzerklärung, sondern auch die inhaltliche oder rechtliche falsche Gestaltung der Datenschutzerklärung mit einem Bußgeld ahnden. Aus diesem Grund empfehlen wir die Konsultation Ihres Datenschutzbeauftragten, um eine rechtssichere Datenschutzerklärung zu entwickeln und den Nutzern Ihrer App zur Verfügung zu stellen.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.