Mobile Kommunikation
Smartphones sind aus unserem Leben nicht mehr wegzudenken und unser ständiger Begleiter in der modernen Geschäftswelt. Laut einer aktuellen Umfrage des Branchenverbandes BITKOM hat jeder dritte Deutsche ein Smartphone. Schätzungen zufolge werden in diesem Jahr mit einem Anteil von 55 Prozent erstmals mehr Smartphones als sonstige Handys verkauft.
Mindestens ebenso populär wie die Smartphones sind die Apps, die schnell über einen in das Betriebssystem integrierten Online-Shop bezogen und direkt auf dem tragbaren Gerät installiert werden können. Was jedoch noch wenige wissen ist, dass zahlreiche Apps datenschutzrechtlich bedenklich sind, da sie personenbezogene Daten ohne unser Wissen an den App-Anbieter übermitteln. Dieser kann aufgrund der so ermittelten Daten Personen- und Nutzerprofile erstellen, die er an die Werbewirtschaft verkaufen kann. Erst kürzlich stellte Stiftung Warentest in einer Untersuchung fest, dass von 63 geprüften App-Anwendungen, alleine 28 Anwendungen kritisch zu bewerten sind.
Nutzern ist oft nicht bewusst, welche Daten genau von ihnen erhoben und verarbeitet werden. Hier ist es dringend notwendig, dass die App-Anbieter sich an bestehende Regelungen halten und die App-Anwendungen für den Nutzer transparenter gestalten.
Welche Daten werden beim Herunterladen einer App erhoben und verarbeitet?
Wenn der Nutzer aus einem Online-Store eine App herunterlädt und diese beispielsweise auf seinem Smartphone installiert, werden personenbezogene Daten des Nutzers sowohl vom Online-Store Betreiber als auch vom App-Anbieter erhoben und verarbeitet. Dabei unterscheidet man zwischen automatisiert und vom Nutzer selbst übermittelten Daten.
Vom Nutzer eingegebene Daten
Zu den Daten, die der Nutzer selber eingibt, gehören beispielsweise seine Anmeldedaten. Um beim iTunes Shop (iPhone) oder bei Google Marketplace (Samsung Smartphone) einkaufen zu können, muss der Nutzer sich beim jeweiligen Shop-Betreiber registrieren. Dafür muss er seine personenbezogene Daten wie Name, E-Mail Adresse etc., angeben, die dann an die App-Anbietern weitergeleitet werden.
Außerdem kann der App-Anbieter Daten des Nutzers erheben und speichern, die der Nutzer während der Verwendung der App erzeugt. Ein Beispiel dafür sind die Warenbestellung und die Games-Stores sowie Kommunikationsinhalte, wenn der Nutzer mit anderen App-Nutzern über die App kommuniziert.
Automatisiert übermittelte Daten
In einigen Fällen erhebt der App-Anbieter eine Kennziffer, die sogenannte UDID (unique device identifier). Damit kann der App-Anbieter Smartphones oder iPads eindeutig identifizieren und zusätzlich Nutzerstatistiken erstellen.
Bei zahlreichen Apps wie beispielsweise Google, Hotelbewertungen und Reise- und Navigations-Apps werden Informationen zum Standort der Nutzer erhoben.
Außerdem können Apps wie etwa Facebook und WhatsApp auf alle lokal gespeicherten Daten zugreifen und Adressbücher und Kalendereinträge des Nutzers auslesen.
Anwendbarkeit deutsches Datenschutzrecht
Grundsätzlich sind deutsches Datenschutzrecht und die Spezialvorschriften des Telekommunikationsgesetzes sowie des Telemediengesetzes anwendbar, wenn ein App-Anbieter in Deutschland Daten erhebt und verwendet. Häufig sind es jedoch ausländische Unternehmen, die Apps anbieten. Hier ist es in der Praxis sehr schwierig, deutsches Datenschutzrecht gegenüber ausländischen App-Anbietern durchzusetzen.
Umsetzung der Vorgaben für App-Anbieter
Grundsätzlich sollten sich App-Anbieter und Entwickler von Apps an den einschlägigen Gesetzen orientieren und die Betroffenenrechte wahren. Nur dann werden sich langfristig die geschaffenen Lösungen durchsetzen und vom Nutzer akzeptiert werden.
So ist beispielsweise gem. § 13 Abs.1 TMG der App-Anbieter verpflichtet, zu Beginn des Nutzungsvorgangs über die Art, den Umfang und die Zwecke der Erhebung und Verwendung personenbezogener Nutzerdaten (…) in allgemein verständlicher Form zu unterrichten. Die Transparenz, die mit dieser Regelung geschaffen werden soll, wird jedoch leider nicht erreicht, wenn die Datenschutzerklärung etwa zu spät erfolgt oder schlichtweg zu lang formuliert ist.
Obwohl heute in mobilen App-Stores ein Button „Rechtliches“ eingebaut ist, kommt es in der Praxis kaum vor, dass der Nutzer die Nutzungsbedingungen und die Datenschutzerklärung wirklich anklickt und abruft. Hier ist es sinnvoll, andere Lösungen zu integrieren. Die Datenschutzerklärung sollte besser erreichbar und für den Nutzer jederzeit abrufbar sein, zum Beispiel durch die Einbindung eines Links.
Es ist jedoch nicht nur vorgeschrieben, über die Erhebung der Nutzerdaten zu unterrichten, sondern der Nutzer muss vor der Erhebung und Verwendung seiner Daten durch den App-Anbieter auch seine Einwilligung erteilen. Gem. § 13 Abs. 2 TMG kann die Einwilligung elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass
1.der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2.die Einwilligung protokolliert wird,
3.der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Die Umsetzung der gesetzlichen Regelungen ist für beide Seiten sinnvoll: Der App-Anbieter kann besser nachweisen, ob die Einwilligung wirklich vom Nutzer erteilt wurde und gleichzeitig hilft es dem Nutzer, besser nachzuvollziehen, welche Einwilligung er erteilt hat.
Recht auf Löschung von Daten
Der App-Nutzer hat grundsätzlich einen Anspruch auf Auskunft und Löschung seiner Daten nach dem Bundesdatenschutzgesetz. Das heißt, der App-Anbieter muss auf Verlangen des Nutzers Auskunft über die zu seiner Person gespeicherten Daten geben. Auf Verlangen des Nutzers müssen diese vom App-Anbieter gelöscht werden.
Ein Löschungsanspruch kann sich jedoch auch ergeben, wenn die personenbezogenen Daten für die Erfüllung des Zwecks nicht mehr erforderlich sind (gem. § 35 Abs.2 BDSG). Das bedeutet, sie müssen zum Beispiel gelöscht werden, wenn der Nutzer die App löscht. Allerdings wird dies dem App-Anbieter in den seltensten Fällen bekannt werden. Hier sollte überlegt werden, ob nicht eine regelmäßige Löschung nach einem bestimmten Zeitraum, indem der Nutzer die App nicht benutzt hat, empfehlenswert wäre.
Mindestens ebenso populär wie die Smartphones sind die Apps, die schnell über einen in das Betriebssystem integrierten Online-Shop bezogen und direkt auf dem tragbaren Gerät installiert werden können. Was jedoch noch wenige wissen ist, dass zahlreiche Apps datenschutzrechtlich bedenklich sind, da sie personenbezogene Daten ohne unser Wissen an den App-Anbieter übermitteln. Dieser kann aufgrund der so ermittelten Daten Personen- und Nutzerprofile erstellen, die er an die Werbewirtschaft verkaufen kann. Erst kürzlich stellte Stiftung Warentest in einer Untersuchung fest, dass von 63 geprüften App-Anwendungen, alleine 28 Anwendungen kritisch zu bewerten sind.
Nutzern ist oft nicht bewusst, welche Daten genau von ihnen erhoben und verarbeitet werden. Hier ist es dringend notwendig, dass die App-Anbieter sich an bestehende Regelungen halten und die App-Anwendungen für den Nutzer transparenter gestalten.
Welche Daten werden beim Herunterladen einer App erhoben und verarbeitet?
Wenn der Nutzer aus einem Online-Store eine App herunterlädt und diese beispielsweise auf seinem Smartphone installiert, werden personenbezogene Daten des Nutzers sowohl vom Online-Store Betreiber als auch vom App-Anbieter erhoben und verarbeitet. Dabei unterscheidet man zwischen automatisiert und vom Nutzer selbst übermittelten Daten.
Vom Nutzer eingegebene Daten
Zu den Daten, die der Nutzer selber eingibt, gehören beispielsweise seine Anmeldedaten. Um beim iTunes Shop (iPhone) oder bei Google Marketplace (Samsung Smartphone) einkaufen zu können, muss der Nutzer sich beim jeweiligen Shop-Betreiber registrieren. Dafür muss er seine personenbezogene Daten wie Name, E-Mail Adresse etc., angeben, die dann an die App-Anbietern weitergeleitet werden.
Außerdem kann der App-Anbieter Daten des Nutzers erheben und speichern, die der Nutzer während der Verwendung der App erzeugt. Ein Beispiel dafür sind die Warenbestellung und die Games-Stores sowie Kommunikationsinhalte, wenn der Nutzer mit anderen App-Nutzern über die App kommuniziert.
Automatisiert übermittelte Daten
In einigen Fällen erhebt der App-Anbieter eine Kennziffer, die sogenannte UDID (unique device identifier). Damit kann der App-Anbieter Smartphones oder iPads eindeutig identifizieren und zusätzlich Nutzerstatistiken erstellen.
Bei zahlreichen Apps wie beispielsweise Google, Hotelbewertungen und Reise- und Navigations-Apps werden Informationen zum Standort der Nutzer erhoben.
Außerdem können Apps wie etwa Facebook und WhatsApp auf alle lokal gespeicherten Daten zugreifen und Adressbücher und Kalendereinträge des Nutzers auslesen.
Anwendbarkeit deutsches Datenschutzrecht
Grundsätzlich sind deutsches Datenschutzrecht und die Spezialvorschriften des Telekommunikationsgesetzes sowie des Telemediengesetzes anwendbar, wenn ein App-Anbieter in Deutschland Daten erhebt und verwendet. Häufig sind es jedoch ausländische Unternehmen, die Apps anbieten. Hier ist es in der Praxis sehr schwierig, deutsches Datenschutzrecht gegenüber ausländischen App-Anbietern durchzusetzen.
Umsetzung der Vorgaben für App-Anbieter
Grundsätzlich sollten sich App-Anbieter und Entwickler von Apps an den einschlägigen Gesetzen orientieren und die Betroffenenrechte wahren. Nur dann werden sich langfristig die geschaffenen Lösungen durchsetzen und vom Nutzer akzeptiert werden.
So ist beispielsweise gem. § 13 Abs.1 TMG der App-Anbieter verpflichtet, zu Beginn des Nutzungsvorgangs über die Art, den Umfang und die Zwecke der Erhebung und Verwendung personenbezogener Nutzerdaten (…) in allgemein verständlicher Form zu unterrichten. Die Transparenz, die mit dieser Regelung geschaffen werden soll, wird jedoch leider nicht erreicht, wenn die Datenschutzerklärung etwa zu spät erfolgt oder schlichtweg zu lang formuliert ist.
Obwohl heute in mobilen App-Stores ein Button „Rechtliches“ eingebaut ist, kommt es in der Praxis kaum vor, dass der Nutzer die Nutzungsbedingungen und die Datenschutzerklärung wirklich anklickt und abruft. Hier ist es sinnvoll, andere Lösungen zu integrieren. Die Datenschutzerklärung sollte besser erreichbar und für den Nutzer jederzeit abrufbar sein, zum Beispiel durch die Einbindung eines Links.
Es ist jedoch nicht nur vorgeschrieben, über die Erhebung der Nutzerdaten zu unterrichten, sondern der Nutzer muss vor der Erhebung und Verwendung seiner Daten durch den App-Anbieter auch seine Einwilligung erteilen. Gem. § 13 Abs. 2 TMG kann die Einwilligung elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass
1.der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2.die Einwilligung protokolliert wird,
3.der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Die Umsetzung der gesetzlichen Regelungen ist für beide Seiten sinnvoll: Der App-Anbieter kann besser nachweisen, ob die Einwilligung wirklich vom Nutzer erteilt wurde und gleichzeitig hilft es dem Nutzer, besser nachzuvollziehen, welche Einwilligung er erteilt hat.
Recht auf Löschung von Daten
Der App-Nutzer hat grundsätzlich einen Anspruch auf Auskunft und Löschung seiner Daten nach dem Bundesdatenschutzgesetz. Das heißt, der App-Anbieter muss auf Verlangen des Nutzers Auskunft über die zu seiner Person gespeicherten Daten geben. Auf Verlangen des Nutzers müssen diese vom App-Anbieter gelöscht werden.
Ein Löschungsanspruch kann sich jedoch auch ergeben, wenn die personenbezogenen Daten für die Erfüllung des Zwecks nicht mehr erforderlich sind (gem. § 35 Abs.2 BDSG). Das bedeutet, sie müssen zum Beispiel gelöscht werden, wenn der Nutzer die App löscht. Allerdings wird dies dem App-Anbieter in den seltensten Fällen bekannt werden. Hier sollte überlegt werden, ob nicht eine regelmäßige Löschung nach einem bestimmten Zeitraum, indem der Nutzer die App nicht benutzt hat, empfehlenswert wäre.