Datenschutzerklärung – Online.Spiele.Recht

Abmahnung für fehlerhafte Datenschutzerklärung: Ja, nein, nicht mehr lang?

Felix Hilgert — Thu, 08 Nov 2018 08:11:13 +0000

Hoch umstritten ist in Deutschland zur Zeit die Frage, ob Online-Anbieter wegen einer fehlerhaften Datenschutzerklärung von Wettbewerbern oder Verbraucherschützern abgemahnt werden können. Grundsätzlich ist jeder Verstoß gegen eine so genannte Marktverhaltensregel zugleich ein abmahnfähiger Wettbewerbsverstoß (sog. Vorsprung durch Rechtsbruch, verankert in § 3a UWG). Ob aber die Vorschriften der DSGVO solche Marktverhaltensregeln darstellen (dürfen) ist unklar, da sie dem nationalen Recht vorgehen und somit, wenn sie abschließende Regelungen über Sanktionen treffen, möglicherweise auch die Abmahnung nach § 3a UWG ausschließen. Gerichte und Gesetzgeber sind sich da aber derzeit uneinig…

Uneinigkeit unter den Gerichten

So hat das LG Würzburg am 13. September 2018 (Az.: 11 O 1741/18 UWG) „pro Abmahnung“ entschieden und festgestellt, dass dem Antragssteller ein Verfügungsanspruch auf Unterlassung zustehe, da die Antragsgegnerin über ein Kontaktformular Daten erheben konnte, die auf ihre Website zu findende Datenschutzerklärung der DSGVO jedoch nicht genüge. Insbesondere erklärte das Gericht, dass es mit der Rechtsprechung zum alten Recht (OLG Hamburg, Az. 3 U 26/12 und OLG Köln, Az. 8 U 121/15) davon ausgehe, dass

„es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3a UWG darstellt [sic!] und somit vom Antragsteller abgemahnt werden konnte“.

Das Gericht erläuterte jedoch in der sehr knapp formulierten Entscheidung nicht weiter, wie es gerade auf Grundlage der – möglicherweise abschließenden – DSGVO zu diesem Ergebnis gekommen ist.

Im Gegensatz dazu hatte das LG Bochum bereits am 07. August 2018 (Az.: I-12 O 85/18) „contra Abmahnung“ festgestellt, dass „die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält“. Die selbstverständliche Folge ist somit, dass eine Abmahnung wegen Verstoßes gegen § 3a UWG ausscheidet. Das Gericht erkennt, dass diese Frage besonders umstritten ist, und führt Argumente zur Untermauerung seiner Ansicht aus. Die DSGVO enthalte eine detaillierte Regelung des anspruchsberechtigten Personenkreises. Und:

„danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen“.

Als Ergebnis ist also das Gericht der Ansicht, dass der Uniongesetzgeber eine Erstreckung auf Mitbewerber nicht zulassen wollte.

Noch ganz frisch ist eine Entscheidung des OLG Hamburg (25. Oktober 2018, Az.: 3 U 66/17 – Entscheidungsgründe noch nicht veröffentlicht), die eine vermittelnde Ansicht ausführlich begründet. Danach können Verstöße gegen die DSGVO durch Mitbewerber abmahnfähig sein. Nach detaillierter Analyse des Wortlauts kommt das Gericht zum Ergebnis, dass die Sanktionen der Art. 77 ff DSGVO nicht abschließend sind. Für die Abmahnung kommt es aber immer noch darauf an, ob die in Betracht gezogene Norm auch tatsächlich ein Marktverhalten reguliert – dies könne man nicht pauschal für alle DSGVO-Vorschriften annehmen. Im konkreten Fall, bei dem es um die Gestaltung von Bestellbögen für Arzneimittel und die damit zusammenhängende Verarbeitung von Patientendaten ging, hat das OLG die Klage jedoch mangels Wettbewerbsverstoß abgewiesen. Das LG Hamburg (Urteil v. 02.03.2017 – Az.: 327 O 148/16) hatte in der Vorinstanz – nach dem alten Datenschutzrecht – der Klage noch stattgegeben und entschieden, dass im konkreten Fall die Verarbeitung von Patientendaten ohne Einwilligung ein über § 3a UWG abmahnbarer Verstoß gegen Marktverhaltensregelungen sei.

„Abmahnmissbrauch“ und die Lösung des Gesetzgebers

Rechtsunsicherheit allenthalben also. Selbst wenn man sich an die obergerichtliche Rechtsprechung aus Hamburg hält, kann man in vielen Fällen trefflich streiten, ob denn nun eine Marktverhaltensregel vorliegt oder nicht.

Normalerweise würde man jetzt die Blicke gespannt auf die nächsten Instanzen richten. Eine Auflösung des Streits kommt aber möglicherweise aus einer anderen Richtung, nämlich durch Intervention des Gesetzgebers. Derzeit diskutiert die Regierungskoalition einen Gesetzesentwurf zur „Stärkung des fairen Wettbewerbs“ des Bundesjustizministeriums, der grundsätzlich missbräuchliche Abmahnungen eindämmen will und dabei auch die Anforderungen an Abmahnungen im Bereich der DSGVO konkretisieren könnte. Gerade in diesem Punkt herrscht allerdings auch im Kabinett noch Uneinigkeit.

Die Wettbewerbszentrale hat in ihrer Stellungnahme zu dem Entwurf vom 1. Oktober 2018 die Sorge geäußert, dass dieser nicht weit genug geht, um Abmahnmissbrauch nachhaltig einzudämmen. Sie schlägt insbesondere vor, für Sachverhalte aus dem Bereich Onlinehandel/Internet die Abmahnungs- und Klagebefugnis für Mitbewerber ausgeschlossen wird, soweit es sich um Verstöße gegen bestimmte formale Kennzeichnungs- und Informationspflichten geht. Dies könnte wiederum auch Datenschutzerklärungen erfassen.

Fazit

Im Ergebnis kann nicht ausgeschlossen werden, dass Mitbewerber wegen mangelhaften Datenschutzerklärungen abmahnen. Wer daher im Zuge des Inkrafttretens der DSGVO seine Informationsdokumente noch nicht angepasst hat, ist gut beraten, dies schnell nachzuholen. Auch wenn künftig möglicherweise keine Gefahr durch Abmahnungen von Wettbewerbern mehr droht, darf nicht vergessen werden, dass auch die Aufsichtsbehörden Datenschutzverstöße verfolgen und ahnden können.

Wir danken unserer wissenschaftlichen Mitarbeitern Salomé Appler für die Mitarbeit an diesem Beitrag.

Best-Practice-Guide des Justizministeriums zu verbraucherfreundlichen Apps

Konstantin Ewald — Thu, 09 Nov 2017 13:18:36 +0000

Das Bundesjustizministerium hat eine Orientierungshilfe für App-Entwickler zum Verbraucher-, Daten- und Jugendschutz veröffentlicht. Checklisten arbeiten die für Praktiker wichtigsten Themen übersichtlich auf und dienen als erste Orientierung, worauf – jedenfalls nach Meinung des Ministeriums – bei der Entwicklung und beim Vertrieb von Apps geachtet werden sollte.

Die Broschüre ist in Kooperation mit Organisationen aus dem Verbraucher-, Daten- und Jugendschutz entstanden; auch Branchenverbände konnten sich einbringen. So haben unter anderem jugendschutz.net, Stiftung Warentest, der Verbraucherzentrale Bundesverband und Bitkom mitgewirkt.

Der Leitfaden ist auf Deutsch und Englisch erschienen und steht frei als Download zur Verfügung. Er präzisiert teilweise die gesetzlichen Anforderungen, an anderen Stellen geht er jedoch inhaltlich deutlich über die gesetzlichen Anforderungen hinaus bzw. interpretiert die gesetzlichen Anforderungen eher einseitig im Sinne des Ministeriums. Wir erwarten, dass sich Verbraucherschützer künftig an diesen Leitlinien orientieren werden. In jedem Fall sind die 23 Seiten eine lohnende Lektüre.

Die wichtigsten Punkte lassen sich wie folgt zusammenfassen:

Datenschutz

Beim Datenschutz greift der Guide die Verpflichtung auf, Informationen zur Datenverarbeitung bereits im App-Store zur Verfügung zu stellen. Diese Informationen sollen in einer standardisierten, leicht verständlichen Kurzinformation angezeigt werden. Für diesen „One-Pager“ sieht die Broschüre in der Anlage auch ein Muster vor, wobei auch dieses recht allgemein gehalten ist. Nach der Installation sollen die Informationen zur Datenverarbeitung auch aus der App erreichbar sein.

Wirklich Neues zum Datenschutz enthalten die Leitlinien nur wenig, die gebündelte Sammlung macht sie aber zu einer guten Hilfe in der Praxis. Ein Schwerpunkt der Hinweise liegt auf den Aspekten der Zweckbindung und des Privacy by Design. So sollen Nutzer z.B. erteilte Zugriffsberechtigungen und das Datensendeverhalten auch nachträglich einschränken können. Ihnen sollen zudem einfache Möglichkeiten an die Hand gegeben werden, personenbezogene Daten löschen bzw. sperren zu lassen.

Wenn möglich, sollen Apps anonyme oder pseudonyme Nutzungen zulassen. Ist eine Verarbeitung im Klartext nicht erforderlich, sollen Anbieter personenbezogene Daten möglichst nur als Hashwerte verarbeiten. Der Schritt davor, also die Übertragung personenbezogener Daten, soll grundsätzlich nur verschlüsselt erfolgen, was den Anforderungen der meisten App Stores entspricht. Für Authentifizierungsvorgänge regen die Empfehlungen an, ein Mehrfaktor-Verfahren anzubieten.

Verbraucherschutz

Zur Verbraucherinformation sieht der Guide ebenfalls ein Muster für einen One-Pager vor. Wie bereits bei den Infos zum Datenschutz, sollen Anbieter dabei einen sogenannten Layered-Approach nutzen: Der One-Pager selbst soll – dem Namen entsprechend – kurz gehalten sein. Von dort aus sollen User an weiterführende Informationen gelangen können.

Bevor sie eine App kaufen, sollen Nutzer eine Gelegenheit zum Ausprobieren erhalten. Die meisten App Stores sehen bereits die Möglichkeit vor, gekaufte Apps innerhalb einer Testphase zurückzugeben. Darüber hinaus schlägt der Guide vor, dass App-Anbieter datensparsame Freemium-Konzepte, Schnupperangebote oder Demofunktionen anbieten. Dies kann wirtschaftlich sinnvoll sein, rechtlich verpflichtend ist es jedoch, wie viele der Empfehlungen, nicht.

Ausführlich behandelt werden In-App-Käufe, bei denen der Guide eine besondere Transparenz und einen erhöhten Schutz verlangt. So sollen die Eingabe von Benutzernamen und Kennwort vor einem Kauf als Default-Vorgabe eingerichtet sein, auf Bestell-Overlays sollen Anbieter verzichten. Auch diese Empfehlungen dürfen nicht als rechtsverbindliche Vorgaben missverstanden werden. Im Übrigen haben es die Anbieter ja auch gar nicht in der Hand, welche Einstellungen zur Passworteingabe Nutzer etwa auf ihren Mobilgeräten vornehmen.

Bei In-App-Käufen sollen Entwickler insbesondere Kinder vor unbeabsichtigten Käufen schützen und – insoweit wenig überraschend – müssen natürlich die gesetzlichen Informationspflichten erfüllen. Bei dem im Guide vorgestellten Weg handelt es sich jedoch nur um eine von mehreren möglichen Varianten, wie dies umgesetzt werden kann. Die genannten Beispiele gehen zudem über die rechtlichen Vorgaben deutlich hinaus. Es empfiehlt sich stets, eine auf die App und Zielgruppe abgestimmte Lösung im Einzelfall zu suchen.

Vermeiden sollen Anbieter auch den Einsatz von Werbe-Netzwerken, die auf Abo-Fallen verweisen. Was damit gemeint ist, wird aber nicht konkretisiert. Eine Haftung des App-Anbieters für angezeigte Werbung ist so gut wie ausgeschlossen, solange dieser von Rechtsverstößen der ausgelieferten Werbung keine Kenntnis hat. Ein seriöses Werbe-Netzwerk auszuwählen, liegt aber letztlich im Interesse aller Beteiligten.

Einmal gekaufte Inhalte sollen Nutzer einfach wiederherstellen können, zum Beispiel nach einem Geräteverlust. Können App-Daten auch in anderen Apps eingesetzt werden, soll ein Export in ein gängiges Format möglich sein. Bei personenbezogenen Daten kann auch nach der DSGVO die gesetzliche Pflicht bestehen, solche Daten in einem maschinenlesbaren Format herauszugeben.

Der Leitfaden empfiehlt insbesondere bei kostenpflichtigen Angeboten eine aktive Produktpflege und einen nutzerfreundlichen Support. So sollen Nutzer bei Supportanfragen umgehend eine Empfangsbestätigung erhalten und eine Information, wann sie mit einer Antwort rechnen können.

Sicherheitsupdates sollen Anbieter für einen angemessenen Zeitraum bereitstellen. Stellt ein Anbieter den Support ein, ist das den Nutzern mitzuteilen. Ist das Ende des Supports beim Kauf bereits vorher absehbar, empfehlen die Guidelines bereits beim Download der App und bei In-App-Käufen darauf hinzuweisen. Bereits jetzt greift bei Apps im Übrigen das gesetzliche Gewährleistungsrecht, wobei durch die geplante Digitale-Inhalte-Richtlinie hier Änderungen zu erwarten sind.

Weitergehende Empfehlungen enthält der Guide für Betreiber von App-Stores.

Jugendschutz

Nicht zuletzt aufgrund der häufigen Nutzung von Apps durch Minderjährige legt die Orientierungshilfe einen Schwerpunkt auf Fragen des Jugendschutzes. Als wichtigsten Hinweis setzt der Guide dabei auf die Altersklassifizierungen. Die Stores von Google, Nintendo, Oculus und Windows nutzen hierfür das maßgeblich von der deutschen USK mit entwickelte IARC-System.

Neben der Altersklassifizierung soll vorab auch über weitere altersspezifische Inhaltsrisiken informiert werden, wie z.B. mögliche Gefahren von Belästigungen oder Preisgaben personenbezogener Daten. Während diese Hinweise teils gesetzlich (Datenschutzerklärung) oder von den App Stores (Standortabfragen) vorgeschrieben sind, gehen andere Empfehlungen darüber hinaus (jugendspezifische Kommunikationsrisiken). Neben ausführlichen Informationen zum Inhalt sollen – wie ohnehin erforderlich – auch die Kontakt- und Hilfemöglichkeiten leicht auffindbar und verständlich gehalten werden.

Um Minderjährige vor entwicklungsbeeinträchtigenden Inhalten zu schützen, empfiehlt die Broschüre ein „altersspezifisches Safety by Design“. Dabei sollen u.a. die Anmeldeprozesse altersgerecht und sicher sein und es sollen technischen Mittel bereitstehen, um Verstöße zu melden und Belästiger zu blockieren. Darüber hinaus gibt es konkrete Praxisratschläge für kindgerechte Werbung und In-App-Käufe sowie zur Einbindung externer Inhalte und Social-Media Verlinkungen.

Auf den Grundsatz des Privacy by Design im Datenschutz weist die Broschüre im Abschnitt zu Minderjährigen nochmals gesondert hin. Gerade hier empfiehlt sich ohnehin ein sensibler Umgang.

***

Wer sich vertieft mit Rechtsfragen bei Apps beschäftigen möchte, dem sei natürlich unser Buch „Apps und Recht“ ans Herz gelegt.

Datenschutz bei Google Play Store Apps: Jetzt handeln!

Konstantin Ewald — Wed, 15 Feb 2017 09:30:15 +0000

Google geht derzeit gegen Apps vor, die gegen die Richtlinien zu Nutzerdaten des Play Store verstoßen. Wie The Next Web berichtet, soll in den meisten Fällen die erforderliche Datenschutzerklärung (Privacy Policy) fehlen. Entwickler sind aufgefordert, die Verstöße bis zum 15. März 2017 zu beheben. Anderenfalls kündigt das Unternehmen an, die Sichtbarkeit der Apps im Store einzuschränken oder sie ganz aus dem Play Store zu entfernen.

Was konkret zu tun ist sowie was Entwickler und Anbieter bei Apps grundsätzlich beachten müssen, wollen wir im Folgenden erläutern. Auch unabhängig von diesem Anlass ist Datenschutz bei Apps ein Thema, welches häufig für viel Unsicherheit sorgt.

Was ist eine „Privacy Policy“ im deutschen Recht und wann braucht man sie?

Apps greifen regelmäßig auf eine Vielzahl personenbezogener Daten zu, darunter die Werbe-ID des Gerätes, Standortinformationen, Adressbuchdaten, Kalendereinträge, Kontodaten oder Fotos. Über die Erhebung, Verarbeitung und Übertragung solcher Daten müssen Anbieter transparent informieren. Eine Privacy Policy – im deutschen Recht „Datenschutzerklärung“ – ist dabei in der Regel nicht nur rechtlich verpflichtend, sie ist auch aus Vertrauensgründen empfehlenswert.

Über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung von Daten außerhalb der EU bzw. des EWR müssen Anbieter zu Beginn des Nutzungsvorgangs in allgemein verständlicher Form unterrichten. Diese Verpflichtung ergibt sich aus § 13 Abs. 1 TMG.

Ausgenommen von der Verpflichtung sind reine „Offline-Apps“, da sie keine personenbezogenen Daten erheben und verwenden. Für Telekommunikationsdienste wie Messenger und Apps, die ausschließlich Rundfunkangebote verbreiten, gelten zudem einige Besonderheiten. Bei Apps, die keine personenbezogenen Daten verarbeiten, empfehlen wir, einen entsprechenden Hinweis in die App-Beschreibung aufzunehmen.

Was muss nach dem Telemediengesetz in der Erklärung stehen?

Die Datenschutzerklärung soll Nutzer detailliert darüber unterrichten, wozu der Anbieter die erhobenen Daten benötigt und wie er mit ihnen umgeht. Insbesondere ist es wichtig zu erklären, wieso eine App spezielle Berechtigungen verlangt wie den Zugriff auf das Adressbuch oder den Standort. Daher reicht es im Normalfall auch nicht aus, schlicht auf die Datenschutzerklärung der eigenen Webseite zu verlinken.

Die Information des Nutzers muss vor der ersten Datenerhebung erfolgen. In der App muss sie zudem jederzeit erreichbar sein. In der Datenschutzerklärung sollten dabei folgende Punkte enthalten sein:

Namentliche Bezeichnung der verantwortlichen Stelle mit Adresse und Kontaktinformationen
Beschreibung der Daten, die von der App erhoben werden, einschließlich der Standortdaten (und deren Granularität)
Beschreibung der Gerätefunktionen oder Sensoren, auf welche die App zugreift
Erläuterung der Zwecke, zu denen diese Daten erhoben werden
Bezeichnung der Dritten, an die Nutzerdaten übermittelt werden
Zweck der Übermittlung an Dritte
Beschreibung der Steuerungsmöglichkeiten des Endnutzers in Bezug auf die Erhebung, Nutzung und Verarbeitung seiner Daten
Ggfs. kurze Erläuterung, welche Auswirkungen die Verweigerung der Einwilligung für die Nutzung der App bzw. bestimmter Funktionen hat
Informationen über eine Verarbeitung der Daten außerhalb des EWR und ggfs. über die ergriffenen Schutzmaßnahmen (z.B. Standardvertragsklauseln, etc.)

Achtung: Neben einer Datenschutzerklärung ist auch bei Apps ein vollständiges Impressum erforderlich.

Tracking und Social Plugins

Bei der beliebten Nutzung von Tracking-Lösungen wie Google Analytics in Apps ist auf eine datenschutzkonforme Einbindung zu achten. Die Voraussetzungen entsprechen denen der Einbindung auf Webseiten: IP-Adressen dürfen nur anonymisiert erhoben werden, der Anbieter muss einen Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen haben, und die Datenschutzerklärung muss auf die Verwendung hinweisen.

Häufig übersehen wird dabei, dass die Möglichkeit des „Opt-Out“ auch in der App gegeben sein muss. Best-Practice ist es, die Möglichkeit unmittelbar in den Einstellungen der App anzubieten. Ein entsprechender Link sollte zudem in der Datenschutzerklärung enthalten sein.

Datenschutzrechtlich umstritten ist der Einsatz von Social Plugins wie Like- oder Tweet-Buttons. Neben dem obligatorischen Hinweis in der Datenschutzerklärung empfehlen wir beim Einsatz solcher Buttons eine Wrapper-Lösung wie das c’t-Projekt Shariff einzusetzen.

Anforderungen der App Stores – was ist zu beachten?

Bei Android-Apps, die über den Google Play Store vertrieben werden, verlangt Google, die Datenschutzerklärung sowohl im entsprechenden Bereich der Play Developer Console als auch in der App selbst bereit zu stellen. Dies entspricht der deutschen Rechtslage. Ebenso ist eine Voraussetzung, dass Apps Nutzerdaten nur verschlüsselt übertragen (HTTPS). Wichtig ist vor allem der transparente Umgang mit Nutzerdaten:

Wenn Ihre App personenbezogene oder vertrauliche Nutzerdaten in einer Art und Weise erfasst und überträgt, die im Eintrag der App auf Google Play oder in der Benutzeroberfläche der App nicht klar und deutlich beschrieben ist, muss vor der Erfassung und Übertragung klar und deutlich darauf hingewiesen werden, wie die Nutzerdaten verwendet werden, und der Nutzer muss dieser Verwendung aktiv zustimmen.

Zusätzliche Voraussetzungen stellt Google auf für Apps, die

Finanz- oder Zahlungsinformationen oder amtlichen Identifikationsnummern verarbeiten,
nicht öffentliche Telefonbuch- oder Kontaktdaten verarbeiten, oder
Virenschutz- oder Sicherheitsfunktionen wie Antiviren-, Anti-Malware- oder sicherheitsbezogene Funktionen enthalten.

Bei Apple finden sich die entsprechende Regelungen im Developer Program License Agreement sowie den App Store Review Guidelines. Auch diese verlangen, dass Nutzer transparent über Datenerhebungen und -verwendungen informiert werden. Registrierungspflichten sollen Apps zudem möglichst vermeiden, sofern eine Nutzung auch ohne Login möglich ist.

Als weitergehende Orientierung: Empfehlungen des Düsseldorfer Kreises

Eine Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter hat der sogenannte „Düsseldorfer Kreis“ bereits 2014 veröffentlicht. Auf 33 Seiten hat das Gremium deutscher Datenschutzaufsichtsbehörden zusammengefasst, was bei der Entwicklung von Apps ihrer Ansicht nach zu beachten ist.

Die Lektüre empfiehlt sich, da Mitbewerber abmahnen und Verstöße mit Bußgeldern von bis zu EUR 300.000,00 geahndet werden können. Mit Inkrafttreten der DSGVO werden diese Anforderungen noch einmal strenger. Die wichtigsten Punkte haben wir im Blog bereits zusammengefasst. Neben den Voraussetzungen an Datenschutzerklärungen und -einwilligungen, beschreibt die Orientierungshilfe auch eine Reihe technischer Schutzmaßnahmen, die bei der Entwicklung zu beachten sind.

Ausführliche Informationen zu Datenschutz bei Apps finden sich zudem im entsprechenden Kapitel des Buches „Apps und Recht“.