Apps – Online.Spiele.Recht

Gelten auch für Games: Neue Regeln für IT-Sicherheit bei Online-Services

Adrian Schneider — Thu, 13 Aug 2015 07:25:56 +0000

Am 1. August ist das IT-Sicherheitsgesetz in Kraft getreten. Damit werden vor allem Betreiber von sog. „kritischen Infrastrukturen“ – zum Beispiel Energieversorgung, Banken, Telekommunikationsanbieter – zu sehr umfangreichen Sicherheitsmaßnahmen verpflichtet. Heimlich, still und leise haben sich aber auch neue Regeln für die IT-Sicherheit bei „normalen“ Online-Services wie Online-Games, Apps oder Webshops mit eingeschlichen.

Ab sofort müssen alle „geschäftsmäßigen“ Onlinedienste neue Regelungen beachten – andernfalls drohen Bußgelder und möglicherweise auch Abmahnungen.

Die neuen Regelungen

Zum 1. August wurde ein neuer § 13 Abs. 7 in das Telemediengesetz (TMG) eingefügt, der lautet:

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Für wen gelten die neuen Regelungen?

Die neuen Sicherheitsregeln gelten für Anbieter von „geschäftsmäßigen“ Telemedien. Telemedien sind, vereinfacht gesagt, alle Online-Services, die nicht bloß im Transport von Daten bestehen – beispielsweise Webseiten, Blogs, Shops, aber auch Online-Games und Apps, sofern sie Online-Inhalte darstellen. Keine Telemedien sind etwa IP-Telefonielösungen oder reine Chats.

Geschäftsmäßig sind Telemedien dann, wenn sie nicht rein privat und non-profit sind. Auf Umsatz- oder Gewinnspanne kommt es nicht an. Wird etwa in einem kostenlosen Spiel In-Game-Werbung geschaltet, gilt es als „geschäftsmäßig“, unabhängig davon, ob die Werbung überhaupt Umsatz einfährt.

Welche Sicherheitsmaßnahmen schreibt das Gesetz vor?

Das Gesetz schreibt drei Maßnahmenpakete vor:

Schutz vor unerlaubtem Zugriff
Schutz von personenbezogenen Daten
Schutz vor Störungen von außen

Wie diese Maßnahmen technisch umzusetzen sind, schreibt das Gesetz nicht vor. Die Gesetzesbegründung erklärt nur sehr allgemein, was unter den einzelnen Maßnahmen zu verstehen ist.

Unter den „Schutz vor unerlaubtem Zugriff“ (§ 13 Abs. 7 Nr. 1 TMG) fallen allgemein Maßnahmen, die Server und Anwendungen nach außen absichern. Dazu können beispielsweise Firewalls zählen. Konkret gibt die Gesetzesbegründung aber auch das regelmäßige Einspielen von Updates vor. Innerhalb welcher Reaktionszeiten Updates eingespielt werden müssen, sagt das Gesetz allerdings nicht.

Unter den „Schutz von personenbezogenen Daten“ (§ 13 Abs. 7 Nr. 2 a) TMG) fallen vor allem Verschlüsselungsmechanismen. Das stellt auch das Gesetz ausdrücklich klar (§ 13 Abs. 7 Satz 3 TMG). Gemeint ist damit vermutlich vor allem Transportverschlüsselung, d.h. TLS/SSL. Zwar lässt das Gesetz auch andere Maßnahmen als Transportverschlüsselung zu, letztlich läuft die neue Regelung aber auf eine allgemeine Verschlüsselungspflicht für geschäftsmäßige Online-Services hinaus. Zu beachten ist dabei auch, dass die Verschlüsselung „als sicher anerkannt“ sein muss. Orientierung können dafür die Richtlinien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sein. In jedem Fall dürfen aber keine Methoden eingesetzt werden, die bereits als unsicher bekannt sind.

Unter „Schutz vor Störungen von außen“ (§ 13 Abs. 7 Nr. 3 b) TMG) versteht das Gesetz offenbar Maßnahmen zur Abwehr von „Distributed Denial of Service“-Attacken (DDoS), also das gezielte Überlasten von Servern und Diensten. Wie genau man sich in der Praxis davor schützen soll, lässt das Gesetz offen. Hier wird sich in der Praxis zeigen müssen, welche Methoden sich als praktikabel erweisen und was genau das Gesetz tatsächlich von den Betreibern von Online-Services erwartet.

Alle Maßnahmen stehen unter dem Vorbehalt, dass sie „technisch möglich und wirtschaftlich zumutbar“ sein müssen. Welcher Service welche genauen Maßnahmen umsetzen muss, hängt also sehr vom Einzelfall ab. Das ist einerseits eine gute Nachricht, weil das Gesetz keine unverhältnismäßigen Investitionen in die IT-Sicherheit erwartet. Andererseits lässt sich aber auch schwer einschätzen, wann welche genauen Maßnahmen ausreichend sind, um die Anforderungen des Gesetzes zu erfüllen.

Was passiert, wenn man sich nicht an das Gesetz hält?

Nach § 16 Abs. 2 Nr. 3 TMG kann ein Verstoß gegen § 13 Abs. 7 Nr. 1 und Nr. 2 a) TMG mit einem Bußgeld von bis zu 50.000 EUR geahndet werden. Aufmerksame Leser werden bemerkt haben: § 13 Abs. 7 Nr. 2 b) TMG ist davon nicht erfasst. Wer also keine Maßnahmen gegen „Störungen von außen“ – sprich DDoS – ergreift, hat kein Bußgeld zu erwarten.

Wie hoch das praktische Risiko eines Bußgeldes sein wird, muss sich auch noch zeigen. Zuständig für Bußgeldverfahren nach dem Telemediengesetz sind verschiedenste Landesbehörden. In NRW beispielsweise die Bezirksregierung Düsseldorf, in Niedersachsen das Landesamt für Verbraucherschutz und Lebensmittelsicherheit [sic!]. In der Vergangenheit haben sich diese Behörden eher zurückhaltend gezeigt, was die Durchsetzung ähnlicher Bußgeldtatbestände im Telemediengesetz angeht.

Unklar ist bislang allerdings, ob ein Verstoß gegen die neuen Sicherheitsregeln von Konkurrenten oder Verbraucherschützern abgemahnt werden kann. Es gibt gute Argumente dafür, allerdings auch gute Argumente dagegen. Letztlich werden das die Gerichte entscheiden müssen. Es ist aber durchaus wahrscheinlich, dass es in absehbarer Zeit zumindest erste Versuche geben wird, unliebsame Konkurrenten wegen versäumter IT-Sicherheitsmaßnahmen anzugehen.

Danke an Oliver Garcia für den Hinweis und unseren wissenschaftlichen Mitarbeiter Marcel Hartmann für die Unterstützung bei der Recherche.

App-Anbieter aufgepasst! Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe

Konstantin Ewald — Thu, 10 Jul 2014 05:04:01 +0000

Der Düsseldorfer Kreis – das gemeinsame Gremium der deutschen Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich – hat nun endlich die lang erwartete „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“ veröffentlicht.

Auf überschaubaren 33 Seiten definieren die Behörden die rechtlichen Anforderungen an Apps und befassen sich auch mit den technischen Rahmenbedingungen. Überraschungen gibt es eigentlich keine. Gelesen haben sollte man sie allerdings trotzdem, immerhin liegt zum ersten Mal eine abgestimmte Zusammenfassung der datenschutzrechtlichen Spielregeln vor, die App-Anbieter nach Ansicht der Aufsichtsbehörden zu beachten haben. Und diese Spielregeln sollte man gut verinnerlichen, denn die deutschen Datenschutzbehörden werden ab sofort gegen Anbieter vorgehen, deren Apps den Anforderungen des Datenschutzrechts nicht genügen, machte der Leiter der federführenden bayerischen Aufsichtsbehörde bei der Vorstellung des Papiers unmissverständlich klar. Bisher haben die deutschen Datenschutzbehörden zwar auch Apps danach untersucht, ob sie den datenschutzrechtlichen Anforderungen genügen. Verstöße wurden jedoch nur in geringem Umfang geahndet. Häufiger Kritikpunkt war dabei die mangelnde Transparenz für die Nutzer darüber, welche Daten über die App gesammelt werden, auf welche Daten Zugriff besteht, wie die Daten verarbeitet und für welche Zwecke die Daten genutzt werden. Die Missachtung der neuen Orientierungshilfe kann mit Bußgeldern bis zu EUR 300.000,00 geahndet werden, oftmals in Verbindung mit einem erheblichen Imageschaden. Der bislang herrschende „Waffenstillstand“ ist damit vorbei!

Zusammengefasst und neben vielen anderen Punkten verlangen die Datenschutzbehörden in der Orientierungshilfe vor allem Folgendes:

Bereits in der Entwicklungsphase ist sicherzustellen, dass nur solche Daten erhoben und verarbeitet werden, die für die Nutzung der App tatsächlich erforderlich sind. Nutzer müssen über die Art, den Umfang und den Zweck der Erhebung, Verarbeitung und Nutzung ihrer persönlichen Daten in verständlicher Weise informiert werden. Es bedarf daher einer app-spezifischen Datenschutzerklärung.

Die Datenschutzerklärung soll bereits auf der Produktseite in dem jeweiligen App-Store verlinkt sein, damit der Nutzer sie vor dem Download zur Kenntnis nehmen kann. Es reicht nicht aus, die Datenschutzerklärung von einem ähnlichen Web-Dienst oder einer Website zu verwenden. Die Datenschutzerklärung muss die Datenerhebung und -nutzung durch die App spezifisch erläutern. So muss bspw. die Datenerhebung mittels der verschiedenen Sensoren des mobilen Endgeräts, wie der Kamera, des Mikrophons, etc. oder der Einsatz mobiler Tracking-Technologien offengelegt werden.

Zudem muss die Datenschutzerklärung auch in die App integriert werden und von dort aus leicht zugänglich sein. Gleiches gilt für die Kontaktinformationen des Anbieters. Die Orientierungshilfe beinhaltet nützliche Vorgaben, auf welche Weise die wirksame Einwilligung der Nutzer eingeholt werden kann – ein in der Praxis sehr relevantes Thema. Ein Leitmotiv des Papiers ist „Privacy by Design“, also die Pflicht der App-Anbieter, bereits von Anfang an die datenschutzrechtlichen Anforderungen im Rahmen der Entwicklung ihrer App zu beachten und designtechnisch einzufügen.

Besondere Anforderungen gelten für Standortdaten, da diese als besonders sensibel angesehen werden. Insoweit verlangt die Orientierungshilfe über die Transparenz hinaus, dass Standorte nur in der unbedingt notwendigen Präzision ermittelt und verwendet werden. Daneben gelten auch für Gesundheits-, Bankkonto- und Minderjährigendaten sowie für ähnlich sensible personenbezogene Daten strengere Regeln. Darüber hinaus beschreibt die Orientierungshilfe auch eine Reihe von technischen Schutzmaßnahmen (auch hier wieder Privacy by Design), einschließlich ausreichender Schutzmechanismen des Server Backends, Verschlüsselungen, sicheren Passwortanforderungen, etc.

Die Datenschutzbehörden sehen primär die die Unternehmen, die die Apps über die App-Stores vertreiben als datenschutzrechtlich verantwortlich an. Folglich richtet sich die Orientierungshilfe primär an die App-Anbieter. Aber auch die darüber hinaus Beteiligten, einschließlich der App-Stores, tragen nach den Datenschutzgesetzen Verantwortung für die Konformität und werden daher von den Datenschutzbehörden ebenfalls adressiert. Jeder, der im Bereich App-Entwicklung bis App-Vermarktung tätig ist sollte daher schnellstmöglich sicherstellen, dass die Apps datenschutzrechtskonform sind – bevor es die Datenschutzbehörden tun.

Update: Eine etwas erweiterte englischsprachige Version dieses Beitrags kann bei unseren Specials heruntergeladen werden.

Wir danken unserer wissenschaftlichen Mitarbeiterin Leonie Schneider für die Mitarbeit an diesem Artikel.

I know where you are – Geolocation aus datenschutzrechtlicher Sicht

Tim Maiorino — Tue, 14 Jun 2011 05:30:06 +0000

Dank der Ausstattung von Smartphones mit GPS-Chips (Global Positioning System) kann nun auch jeder Fußgänger, Jogger und Fahrradfahrer seine Position, Strecke und Geschwindigkeit auch ohne besondere Navigationsgeräte bestimmen. Gut entwickelte Apps bieten dem User zahlreiche hilfreiche Funktionen. Der Aufenthaltsort ist mithilfe von GPS oder WLAN bis auf ca. 4-15 Meter exakt zu bestimmen. Dabei können die Ortungsdaten jederzeit vom App-Anbieter und auch vom Telekommunikationsanbieter – durch Ortung des Smartphones – gesammelt und abgespeichert werden. Dies führt dazu, dass diese Anbieter genau wissen, wo man sich wann gerade aufhält, welchen Weg man zur Arbeit nutzt, wo man gerne mittags isst, ob man regelmäßig ins Stadion geht, welchen Arzt man aufsucht, welche Kirche man besucht oder wo genau man seine Nächte verbringt. Daraus ergeben sich für die Anbieter äußerst detaillierte Bewegungsprofile, von denen der User regelmäßig nichts mitbekommt. Zwar lässt sich Geolocation abschalten, viele User vergessen dies aber oder haben gar keine Kenntnis von dieser Abschaltfunktion.

Datenschützer haben daher schon länger zahlreiche Bedenken gegen Geolocation geäußert. Nun hat sich auch die europäische Artikel-29-Datenschutzgruppe mit dieser Problematik befasst. Bei der Artikel-29-Datenschutzgruppe handelt es sich um das unabhängige Beratungsgremium der Europäischen Kommission, die sich mit Fragen des Datenschutzes auseinandersetzt.

Sowohl App-Anbieter als auch Telekommunikationsanbieter können den Smartphone-User identifizieren:

Der Telekommunikationsanbieter kann die georteten Geodaten anhand der gespeicherten Kundendaten problemlos dem Smartphone-User zuordnen. Für den Erwerb von Apps muss der Smartphone-User in der Regel Name, Adresse und Bankverbindung angeben, so dass auch der App-Anbieter die Geodaten und Bewegungsprofile durch Verknüpfung dieser Daten einer bestimmten Person – nämlich dem Smartphone-User – zuordnen kann.

Daher hat die Art-29-Datenschutzgruppe im Hinblick auf Telekommunikations- und Anbieter von Geolocation-Apps zu Recht angenommen, dass es sich bei den Geodaten des Smartphone-Users um personenbezogene Daten handelt und die Datenschutzgesetze Anwendung finden. Denn der Betroffene hat das Recht grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen und zu wissen wer, was, wann und bei welcher Gelegenheit über ihn weiß. Mangels Erlaubnistatbestandes dürfen die Bewegungsdaten grundsätzlich nicht ohne die vorherige Einwilligung des Handynutzers erhoben, gespeichert oder verwertet werden. Andernfalls sind Erhebung, Speicherung und Verwertung datenschutzrechtlich unzulässig.

Die Einwilligung des Smartphone-Users muss ausdrücklich und vorab erfolgen. Eine konkludente Zustimmung durch Vertragsabschluss – sei es durch den Kauf der App oder den Abschluss des Mobilfunkvertrages – ist gerade nicht ausreichend. Ebenso ist eine Einwilligung nicht durch bloße Akzeptanz der AGB möglich. Eine solche Einwilligung muss freiwillig erteilt werden, wobei der Einwilligende vollumfänglich über die Datenerhebung informiert sein muss.

Die Einwilligung soll in regelmäßigen Abständen aktualisiert werden, um sicher zu gehen, dass der User nach wie vor an dem Service interessiert und mit der Ortung einverstanden ist. Als Zeitraum sollte ein Jahr angemessen sein. Darüber hinaus sollte die Einwilligung jederzeit leicht widerrufbar und die Daten einsehbar und löschbar sein.

Die datenverarbeitende Stelle muss sicherstellen, dass ihre User wissen, dass sie ihre Daten sammelt und zu welchen Zwecken. Der User muss „Herr seiner Daten“ bleiben und selbst entscheiden können, ob er einwilligt oder nicht.

Der User würde daher am sinnvollsten geschützt, wenn Smartphone-Anbieter Ihre Geräten mit der Ortungsfunktion ab Werk ausgeschaltet verkaufen, so dass der User bei jeder einzelnen Inanspruchnahme des Systems selbst aktiv die Einschaltung vornehmen kann/muss. Die sicherste Möglichkeit wäre eine Displayanzeige, die ähnlich wie ein GPS-Icon oder ein Bluetooth-Icon fortwährend anzeigt, ob die Lokationsfunktion gerade ein- oder ausgeschaltet ist. Nur auf diesem Wege wäre gewährleistet, dass der User sich darüber bewusst ist, dass sein aktueller Standort in diesem Moment ermittelt und gespeichert wird.

Ob aus der unverbindlichen Empfehlung der Art.29-Datenschutzgruppe eine Richtlinie wird, bleibt abzuwarten. Da aktuell aber die Geräte meist noch ab Werk mit eingeschalteter Geolocation-Funktion angeboten werden, müssen User selbst aktiv werden, wenn sie ihre Ortung vermeiden wollen, und genau kontrollieren, ob und wann sie die Geolocation-Funktion Ihres mobilen Gerätes ein- beziehungsweise ausschalten.

Zudem sollte der User sich bewusst machen, wer denn alles Zugriff auf seine Geodaten hat. Denn bei der Erlangung von Geodaten sind die Anbieter der jeweiligen App, die Entwickler des genutzten Betriebssystems, die Kontrolleure des konkreten Geolocation-Angebots, sowie soziale Netzwerke oder andere Kommunikationsmedien, die beispielsweise „geotagging“ (Verortung von Fotos) anbieten, und nicht zu letzt der Telekommunikationsanbieter eingebunden.

Vielen Dank an unsere wissenschaftliche Mitarbeiterin Frau Kristina Krupp für die wertvolle Recherche und Mitarbeit an diesem Beitrag.