Der Düsseldorfer Kreis – das gemeinsame Gremium der deutschen Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich – hat nun endlich die lang erwartete „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“ veröffentlicht.
Auf überschaubaren 33 Seiten definieren die Behörden die rechtlichen Anforderungen an Apps und befassen sich auch mit den technischen Rahmenbedingungen. Überraschungen gibt es eigentlich keine. Gelesen haben sollte man sie allerdings trotzdem, immerhin liegt zum ersten Mal eine abgestimmte Zusammenfassung der datenschutzrechtlichen Spielregeln vor, die App-Anbieter nach Ansicht der Aufsichtsbehörden zu beachten haben. Und diese Spielregeln sollte man gut verinnerlichen, denn die deutschen Datenschutzbehörden werden ab sofort gegen Anbieter vorgehen, deren Apps den Anforderungen des Datenschutzrechts nicht genügen, machte der Leiter der federführenden bayerischen Aufsichtsbehörde bei der Vorstellung des Papiers unmissverständlich klar. Bisher haben die deutschen Datenschutzbehörden zwar auch Apps danach untersucht, ob sie den datenschutzrechtlichen Anforderungen genügen. Verstöße wurden jedoch nur in geringem Umfang geahndet. Häufiger Kritikpunkt war dabei die mangelnde Transparenz für die Nutzer darüber, welche Daten über die App gesammelt werden, auf welche Daten Zugriff besteht, wie die Daten verarbeitet und für welche Zwecke die Daten genutzt werden. Die Missachtung der neuen Orientierungshilfe kann mit Bußgeldern bis zu EUR 300.000,00 geahndet werden, oftmals in Verbindung mit einem erheblichen Imageschaden. Der bislang herrschende „Waffenstillstand“ ist damit vorbei!
Zusammengefasst und neben vielen anderen Punkten verlangen die Datenschutzbehörden in der Orientierungshilfe vor allem Folgendes:
- Bereits in der Entwicklungsphase ist sicherzustellen, dass nur solche Daten erhoben und verarbeitet werden, die für die Nutzung der App tatsächlich erforderlich sind. Nutzer müssen über die Art, den Umfang und den Zweck der Erhebung, Verarbeitung und Nutzung ihrer persönlichen Daten in verständlicher Weise informiert werden. Es bedarf daher einer app-spezifischen Datenschutzerklärung.
- Die Datenschutzerklärung soll bereits auf der Produktseite in dem jeweiligen App-Store verlinkt sein, damit der Nutzer sie vor dem Download zur Kenntnis nehmen kann. Es reicht nicht aus, die Datenschutzerklärung von einem ähnlichen Web-Dienst oder einer Website zu verwenden. Die Datenschutzerklärung muss die Datenerhebung und -nutzung durch die App spezifisch erläutern. So muss bspw. die Datenerhebung mittels der verschiedenen Sensoren des mobilen Endgeräts, wie der Kamera, des Mikrophons, etc. oder der Einsatz mobiler Tracking-Technologien offengelegt werden.
- Zudem muss die Datenschutzerklärung auch in die App integriert werden und von dort aus leicht zugänglich sein. Gleiches gilt für die Kontaktinformationen des Anbieters. Die Orientierungshilfe beinhaltet nützliche Vorgaben, auf welche Weise die wirksame Einwilligung der Nutzer eingeholt werden kann – ein in der Praxis sehr relevantes Thema. Ein Leitmotiv des Papiers ist „Privacy by Design“, also die Pflicht der App-Anbieter, bereits von Anfang an die datenschutzrechtlichen Anforderungen im Rahmen der Entwicklung ihrer App zu beachten und designtechnisch einzufügen.
- Besondere Anforderungen gelten für Standortdaten, da diese als besonders sensibel angesehen werden. Insoweit verlangt die Orientierungshilfe über die Transparenz hinaus, dass Standorte nur in der unbedingt notwendigen Präzision ermittelt und verwendet werden. Daneben gelten auch für Gesundheits-, Bankkonto- und Minderjährigendaten sowie für ähnlich sensible personenbezogene Daten strengere Regeln. Darüber hinaus beschreibt die Orientierungshilfe auch eine Reihe von technischen Schutzmaßnahmen (auch hier wieder Privacy by Design), einschließlich ausreichender Schutzmechanismen des Server Backends, Verschlüsselungen, sicheren Passwortanforderungen, etc.
Die Datenschutzbehörden sehen primär die die Unternehmen, die die Apps über die App-Stores vertreiben als datenschutzrechtlich verantwortlich an. Folglich richtet sich die Orientierungshilfe primär an die App-Anbieter. Aber auch die darüber hinaus Beteiligten, einschließlich der App-Stores, tragen nach den Datenschutzgesetzen Verantwortung für die Konformität und werden daher von den Datenschutzbehörden ebenfalls adressiert. Jeder, der im Bereich App-Entwicklung bis App-Vermarktung tätig ist sollte daher schnellstmöglich sicherstellen, dass die Apps datenschutzrechtskonform sind – bevor es die Datenschutzbehörden tun.
Update: Eine etwas erweiterte englischsprachige Version dieses Beitrags kann bei unseren Specials heruntergeladen werden.
Wir danken unserer wissenschaftlichen Mitarbeiterin Leonie Schneider für die Mitarbeit an diesem Artikel.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.