Datenschutz in Apps für Kinder und Jugendliche
Worauf müssen App-Anbieter achten?
App-Nutzer werden immer jünger. Dementsprechend gibt es immer mehr Apps, die sich speziell an Kinder und Jugendliche richten. Den jungen App-Nutzern ist aber oft nicht bewusst, welche Risiken der unbedachte Umgang mit persönlichen Daten birgt. Das Datenschutzrecht sieht deshalb besonders strenge Anforderungen zum Schutz von Kindern und Jugendlichen vor. App-Anbieter, die diesen Anforderungen nicht genügen, riskieren nicht nur Bußgelder, sondern auch den Rauswurf aus den App-Stores.
Anforderungen der Behörden
Die Datenschutzaufsichtsbehörden der Länder Bayern, Hessen und Berlin haben im Rahmen des “Sweep Day 2015”, einer internationalen Prüfaktion der Datenschutzbehörden, zahlreiche Apps, die sich bei deutschen Kindern besonderer Beliebtheit erfreuen, einer Datenschutzkontrolle unterzogen.
Der Fokus lag dabei auf der Frage, ob die untersuchten Apps über eine für das Zielpublikum verständliche app-spezifische Datenschutzerklärungen verfügen, welche Berechtigungen zu welchen Zwecken eingeholt werden und ob zusätzliche Schutzmechanismen (Warnhinweise, Elternsicherungen) vorhanden sind. Das ausführliche Ergebnis der Prüfung steht noch aus. Der bayerische Landesdatenschutzbeauftragte hat sich in einer kurzen Presseerklärung aber bereits zum Ergebnis der Prüfung geäußert. Dieses sei enttäuschend: So verfüge nur die Hälfte der kontrollierten Apps über eine app-spezifische Datenschutzerklärung, häufig habe es zudem an einer deutschprachigen Fassung gefehlt. Darüber hinaus wird bemängelt, dass nur die wenigsten Apps den Eltern die Möglichkeit geben, das Nutzungsverhalten ihrer Kinder zu kontrollieren. App-Anbieter seien daher aufgefordert, die Schutzbedürftigkeit Minderjähriger verstärkt zu berücksichtigen. Verwiesen wird schließlich auf die 2014 veröffentlichte „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“, die insbesondere die Einwilligungsfähigkeit Minderjähriger im Blick hat.
Risikofaktor Einwilligung
Ist eine Einwilligung unwirksam, ist die darauf beruhende Datenverarbeitung rechtswidrig. Dann drohen Bußgelder bis zu 300.000,00 Euro. Die rechtssichere Gestaltung und Umsetzung des Einwilligungskonzepts ist daher eine der größten rechtlichen Herausforderungen für App-Anbieter. Erst recht gilt dies, wenn die Apps sich (auch) an Minderjährige richten.
Ein App-Anbieter, der weiß oder zumindest damit rechnen muss, dass seine Apps von Minderjährigen benutzt werden, muss bei der Gestaltung von Datenschutz- und Einwilligungskonzepten den Grad der Einsichtsfähigkeit seiner minderjährigen Nutzer im Blick haben.
An erster Stelle muss immer die Frage beantwortet werden, „ob“ die abgefragte Einwilligung überhaupt wirksam sein kann, falls der Erklärende noch nicht volljährig ist. Erst wenn dies bejaht werden kann, stellt sich die (nicht weniger anspruchsvolle) Frage der rechtssicheren Umsetzung, also das„wie“.
Zum Leidwesen der App-Anbieter legt das Datenschutzrecht – anders als das BGB – keine verbindliche Altersgrenze fest, ab der eine Einwilligung wirksam ist. Stattdessen kommt es auf den Grad der individuellen Einsichtsfähigkeit an. Eine Einwilligung ist nur wirksam, wenn der Minderjährige in der Lage ist, die Tragweite seiner Einwilligung zu überblicken.
Dies kann wiederum nur im Einzelfall beurteilt werden, da die Einsichtsfähigkeit vom jeweiligen Entwicklungsstand und dem Zweck der jeweiligen Datenverarbeitung abhängig ist. Nicht alle Minderjährigen befinden sich auf dem gleichen Entwicklungsstand und während es Zwecke gibt, die auch von unerfahrenen Nutzern sofort überblickt werden können, gibt es ebenso Zwecke, die selbst von Fachleuten kaum erfasst werden können.
Erschwerend kommt hinzu, dass App-Anbieter auf die Einholung von Einwilligungen häufig gar nicht verzichten können. Und zwar auch dann nicht, wenn das Gesetz die Datenverarbeitung ohne die Einwilligung des Nutzers eigentlich erlaubt. “Schuld” daran sind die Vorgaben der Hersteller der mobilen Betriebssysteme. Beispielsweise erzwingen die aktuellen Versionen von iOS eine Einwilligungsabfrage, sobald eine App auf bestimmte Schnittstellen, etwa des Adressbuches, der Fotodatenbank oder der Ortungsdienste zugreift. Wenn allerdings eine Einwilligung eingeholt wird – aus welchem Grund auch immer –, dann muss diese auch wirksam sein. Der Rückgriff auf die gesetzliche Erlaubnis ist dem App-Anbieter von nun an versperrt.
App-Nutzer werden immer jünger. Dementsprechend gibt es immer mehr Apps, die sich speziell an Kinder und Jugendliche richten. Den jungen App-Nutzern ist aber oft nicht bewusst, welche Risiken der unbedachte Umgang mit persönlichen Daten birgt. Das Datenschutzrecht sieht deshalb besonders strenge Anforderungen zum Schutz von Kindern und Jugendlichen vor. App-Anbieter, die diesen Anforderungen nicht genügen, riskieren nicht nur Bußgelder, sondern auch den Rauswurf aus den App-Stores.
Anforderungen der Behörden
Die Datenschutzaufsichtsbehörden der Länder Bayern, Hessen und Berlin haben im Rahmen des “Sweep Day 2015”, einer internationalen Prüfaktion der Datenschutzbehörden, zahlreiche Apps, die sich bei deutschen Kindern besonderer Beliebtheit erfreuen, einer Datenschutzkontrolle unterzogen.
Der Fokus lag dabei auf der Frage, ob die untersuchten Apps über eine für das Zielpublikum verständliche app-spezifische Datenschutzerklärungen verfügen, welche Berechtigungen zu welchen Zwecken eingeholt werden und ob zusätzliche Schutzmechanismen (Warnhinweise, Elternsicherungen) vorhanden sind. Das ausführliche Ergebnis der Prüfung steht noch aus. Der bayerische Landesdatenschutzbeauftragte hat sich in einer kurzen Presseerklärung aber bereits zum Ergebnis der Prüfung geäußert. Dieses sei enttäuschend: So verfüge nur die Hälfte der kontrollierten Apps über eine app-spezifische Datenschutzerklärung, häufig habe es zudem an einer deutschprachigen Fassung gefehlt. Darüber hinaus wird bemängelt, dass nur die wenigsten Apps den Eltern die Möglichkeit geben, das Nutzungsverhalten ihrer Kinder zu kontrollieren. App-Anbieter seien daher aufgefordert, die Schutzbedürftigkeit Minderjähriger verstärkt zu berücksichtigen. Verwiesen wird schließlich auf die 2014 veröffentlichte „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“, die insbesondere die Einwilligungsfähigkeit Minderjähriger im Blick hat.
Risikofaktor Einwilligung
Ist eine Einwilligung unwirksam, ist die darauf beruhende Datenverarbeitung rechtswidrig. Dann drohen Bußgelder bis zu 300.000,00 Euro. Die rechtssichere Gestaltung und Umsetzung des Einwilligungskonzepts ist daher eine der größten rechtlichen Herausforderungen für App-Anbieter. Erst recht gilt dies, wenn die Apps sich (auch) an Minderjährige richten.
Ein App-Anbieter, der weiß oder zumindest damit rechnen muss, dass seine Apps von Minderjährigen benutzt werden, muss bei der Gestaltung von Datenschutz- und Einwilligungskonzepten den Grad der Einsichtsfähigkeit seiner minderjährigen Nutzer im Blick haben.
An erster Stelle muss immer die Frage beantwortet werden, „ob“ die abgefragte Einwilligung überhaupt wirksam sein kann, falls der Erklärende noch nicht volljährig ist. Erst wenn dies bejaht werden kann, stellt sich die (nicht weniger anspruchsvolle) Frage der rechtssicheren Umsetzung, also das„wie“.
Zum Leidwesen der App-Anbieter legt das Datenschutzrecht – anders als das BGB – keine verbindliche Altersgrenze fest, ab der eine Einwilligung wirksam ist. Stattdessen kommt es auf den Grad der individuellen Einsichtsfähigkeit an. Eine Einwilligung ist nur wirksam, wenn der Minderjährige in der Lage ist, die Tragweite seiner Einwilligung zu überblicken.
Dies kann wiederum nur im Einzelfall beurteilt werden, da die Einsichtsfähigkeit vom jeweiligen Entwicklungsstand und dem Zweck der jeweiligen Datenverarbeitung abhängig ist. Nicht alle Minderjährigen befinden sich auf dem gleichen Entwicklungsstand und während es Zwecke gibt, die auch von unerfahrenen Nutzern sofort überblickt werden können, gibt es ebenso Zwecke, die selbst von Fachleuten kaum erfasst werden können.
Erschwerend kommt hinzu, dass App-Anbieter auf die Einholung von Einwilligungen häufig gar nicht verzichten können. Und zwar auch dann nicht, wenn das Gesetz die Datenverarbeitung ohne die Einwilligung des Nutzers eigentlich erlaubt. “Schuld” daran sind die Vorgaben der Hersteller der mobilen Betriebssysteme. Beispielsweise erzwingen die aktuellen Versionen von iOS eine Einwilligungsabfrage, sobald eine App auf bestimmte Schnittstellen, etwa des Adressbuches, der Fotodatenbank oder der Ortungsdienste zugreift. Wenn allerdings eine Einwilligung eingeholt wird – aus welchem Grund auch immer –, dann muss diese auch wirksam sein. Der Rückgriff auf die gesetzliche Erlaubnis ist dem App-Anbieter von nun an versperrt.