skip to Main Content
Mainz +49 6131 144 560 Berlin +49 30 285 058 56 kanzlei@res-media.net

Datenschutz bei der Entwicklung von Apps – was ist zu beachten?

Wird eine App nicht in Einklang mit den datenschutzrechtlichen Vorgaben angeboten, weil unzulässig personenbezogene Daten erhoben und verwendet werden, können den App-Anbieter als verantwortliche Stelle im Sinne des Datenschutzes aufsichtsrechtliche Maßnahmen oder Bußgelder treffen. Aber insbesondere App-Entwickler sollten bereits in der Entstehungs- und Entwicklungsphase einer App die Datenschutzvorgaben kennen und durch datenschutzgerechte Gestaltung (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) dafür Sorge tragen, dass die App später ohne datenschutzrechtliche Mängel angeboten werden kann.

 

  • Datenschutzrechtliche Anforderungen beim Umgang mit personenbezogenen Daten

Soweit personenbezogene Daten zur Bereitstellung des Telemedienangebots erhoben und verwendet werden sollen, bedarf es entweder einer Erlaubnis dazu in einer Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht oder einer Einwilligung des Nutzers, um die personenbezogenen Daten zulässigerweise erheben und verwenden zu können (vgl. § 12 Abs. 1 TMG).

Gem. § 14 TMG darf ein Diensteanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind. Welche personenbezogenen Daten konkret für diese Zwecke erforderlich sind, wird durch den jeweiligen Nutzungsvertrag bestimmt, der zwischen dem Diensteanbieter und dem Nutzer abgeschlossen wird.

Zu den sog. Bestandsdaten können insbesondere Name, Anschrift, Rufnummer, Registrierungsdaten und Zahlungsdaten zählen. Nicht unter die Bestandsdaten sind die personenbezogenen Daten zu fassen, welche zwar über eine App erhoben werden, die jedoch nicht zur Nutzung des Telemediums „App“ erforderlich sind, sondern für weitere, außerhalb des Telemediendienstes liegende Zwecke erhoben und verwendet werden. Hierunter fallen die Daten, die bei einer Registrierung angegeben werden müssen. Registrierungsdaten für ein soziales Netzwerk oder Online-Portal sind Bestandsdaten wie die IP-Adresse und falls erforderlich Kennung oder Standort. Die Erhebung und Verwendung dieser Daten ist nach § 15 TMG zulässig.

Nutzungsdaten dürfen zudem für Abrechnungen von kostenpflichtigen Angeboten verwendet werden. Wenn es für das Funktionieren einer App des aktuellen Standortes bedarf, z.B. um die Wegstrecke zu einer angegebenen Adresse berechnen zu können, so darf das Standortdatum für diesen konkreten Zweck erhoben und verwendet werden.  Soweit die Nutzungsdaten durch den App-Anbieter bzw. App-Store-Betreiber für die Abrechnungkostenpflichtiger App-Angebote verwendet werden, handelt es sich um Abrechnungsdaten, deren Verwendung in den §§ 15 Abs. 2, 4 ff. TMG geregelt wird. Der Diensteanbieter darf Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, wenn es für Zwecke der Abrechnung mit dem Nutzer erforderlich ist.

  • Anwendbarkeit des Bundesdatenschutzgesetzes

Soweit es nicht um eine Datenerhebung und -verwendung auf der Anwendungsebene, sondern um eine Datenerhebung und -verwendung auf der Inhaltsebene geht, findet grundsätzlich das BDSG Anwendung.

Ein Datenumgang auf der Inhaltsebene ist dann anzunehmen, wenn online Daten zwischen dem Nutzer und dem App-Anbieter ausgetauscht werden, um ein Vertrags- oder Leistungsverhältnis zu begründen, das selbst keinen Telemediendienst darstellt („Offline-Vertrag“) oder aber solche, die ein Nutzer selbst in die App eingibt. Zwar werden die Daten unter Anwendung des Telemediendienstes „App“ eingegeben und übermittelt, ermöglicht wird jedoch eine Verwendung außerhalb des Anwendungsbereichs des TMG.

Bei der Erhebung und Verwendung personenbezogener Daten durch nicht-öffentliche Stellen sind die §§ 27 ff. BDSG anzuwenden. Darüber hinaus können im konkreten Einzelfall spezielle Datenschutzregelungen vorrangig anzuwenden sein. Während § 4a BDSG neben der Freiwilligkeit und Informiertheit der Einwilligung grundsätzlich die Schriftform fordert, erlaubt und regelt das TMG für Telemedien die Einholung einer elektronischen Einwilligung (s.u.).

Gem. § 4 Abs. 2 S. 1 BDSG sind personenbezogene Daten grundsätzlich beim Betroffenen zu erheben. Ausnahmen bestehen nach § 4 Abs. 2 S. 2 BDSG nur dann, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder wenn die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte für die Beeinträchtigung eines überwiegend schutzwürdigen Interesses der betroffenen Person besteht.

  • Nutzung unter Pseudonym

Unter Pseudonymen können zudem Nutzungsprofile zu Werbezwecken angelegt werden (§ 15 Abs. 3 TMG). Allerdings hat der App-Anbieter die Pflicht auf die Erstellung von Profilen z. B. in einer Datenschutzerklärung hinzuweisen und dem Nutzer die Möglichkeit eines Opt-Out zugeben. Die Aufsichtsbehörden stellen zudem klar:

Eindeutige Geräte- und Kartenkennungen wie die IMEI-Nummer oder auch die IP-Adresse stellen kein Pseudonym dar. Diese Daten dürfen auch nicht in das Nutzungsprofil einfließen, da die Zusammenführung pseudonymer Nutzungsprofile mit Daten über den Träger des Pseudonyms unzulässig ist (Verstoß gegen § 15 Abs. 3 S. 3 TMG, § 13 Abs. 4 Nr. 6 TMG).

  • Anforderungen an die Einwilligung des Nutzers

Gibt es keine gesetzliche Erlaubnis für die Verarbeitung von personenbezogenen Daten ist eine Einwilligung des Nutzers notwendig. Bei einer elektronischen Einwilligung sind die Voraussetzungen des § 13 TMG zu beachten.  Dies bedeutet im Einzelnen, dass

• der Nutzer seine Einwilligung bewusst und eindeutig erklärt hat (z.B. durch Ankreuzen
einer vorformulierten Einwilligung),
• die Einwilligung protokolliert wird,
• der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
• der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.26

Hierauf ist der Nutzer bereits vor Erteilung der Einwilligung hinzuweisen.
Die Einwilligung muss freiwillig durch den Nutzer abgegeben worden sein.

Viele Apps können gebührenfrei genutzt werden. Allerdings werden diese Angebote vielfach durch eine Verarbeitung von Nutzungsdaten zu Werbezwecken finanziert. Dazu können beispielsweise auch die jeweiligen Aufenthaltsorte (Standortdaten) der Betroffenen verwendet werden, um ihnen möglichst passgenaue Werbung zu präsentieren. Werden Standortdaten für die Bewerbung erhoben und verwendet, so ist dies nur mit einer gesetzlichen Erlaubnis oder der Einwilligung des Nutzers möglich, soweit es sich bei den Standortdaten um personenbezogene Daten handelt.

Die Einwilligung muss freiwillig durch den Nutzer abgegeben worden sein.
Im Rahmen eines App-Angebotes ist es daher notwendig, den Nutzer konkret über die Erhebung und Verwendung seiner personenbezogenen Daten zu informieren.

FAZIT:

Bereits bei der Entwicklung einer App ist darauf zu achten, dass durch diese später nur diejenigen personenbezogenen Daten erhoben und verwendet werden, die erforderlich sind.

Soweit es dem Diensteanbieter technisch möglich und zumutbar ist, hat der Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung gem. § 13 Abs. 6 TMG anonym oder unter Pseudonym zu ermöglichen. Über diese Möglichkeit ist der Nutzer zu informieren. Dem Nutzenden muss z.B. bei Apps zur Nutzung sozialer Netzwerke jedenfalls die Möglichkeit gegeben werden unter Pseudonym zu agieren, wenngleich eine Offenlegung der Identität gegenüber dem Diensteanbieter zur Erschwerung von Missbrauch hingenommen werden kann.

Jeder Umgang mit personenbezogenen Daten muss einen bestimmten, legitimen Zweck verfolgen.

Eine Datensammlung ohne Verfolgung eines konkret festgelegten Zwecks ist genauso wenig zulässig wie die Änderung eines Zweckes und der Verwendung der bis dahin gesammelten Daten für diesen neuen Zweck, ohne dass auch für diesen Datenumgang eine Erlaubnis existiert. Soweit der verfolgte Zweck wegfällt, sind die personenbezogenen Daten grundsätzlich zu löschen.

Der Grundsatz der Zweckbindung spielt im Zusammenhang mit der Einholung von Berechtigungen und der damit zusammenhängenden Möglichkeit, Zugriff auf zahlreiche Daten nehmen zu können, eine besondere Rolle, sofern die Plattformen ein Berechtigungskonzept unterstützen. Dabei gelten die folgenden Anforderungen:

Es dürfen nur die für die App erforderlichen Berechtigungen vom Nutzer angefordert werden. Dabei sind die Möglichkeiten, die die Plattform für die Rechtevergabe bietet, auszuschöpfen. Einige Betriebssysteme bieten Berechtigungen nur in festen Kombinationen an, welche neben dem erforderlichen Recht auch nicht benötigte enthalten. Soweit das durch die Begrenzung auf neuere Betriebssystemversionen vermieden werden kann, ist dies bei Entwicklung der App zu berücksichtigen. Lässt sich eine unnötige Berechtigungsgewährung nicht vermeiden, sollte der Anbieter in der Datenschutzerklärung über diesen Umstand aufklären und sich gegenüber dem Nutzer dazu verpflichten, von dem nicht erforderlichen Recht keinen Gebrauch zu machen. Auch wenn ein Nutzer bei der Installation einer App pauschale Berechtigungen erteilt, darf die verantwortliche Stelle dennoch lediglich auf diejenigen Daten zugreifen, die für den verfolgten legitimen Zweck benötigt werden. So ist z.B. ein Zugriff auf das gesamte Adressbuch des Geräts mit all den darin hinterlegten persönlichen Informationen des Nutzers und seiner Kontakte und deren Verwendung nicht zulässig, wenn lediglich z.B. eine Adresse für die Navigation mit einer App benötigt wird.

Diese und weitere Tipps finden sich in der „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“, die der Düsseldorfer Kreis als Hilfestellung veröffentlich hat.

Bildnachweis: treenabeena @ Fotolia.com

geschrieben von: Dr. Kerstin Heiß

Dr. Kerstin Heiß

Dr. Kerstin Heiß
Fachanwältin für Informationstechnologierecht (IT-Recht)

 

 

 

RESMEDIA Mainz – Anwälte für IT-IP-Medien
Am Winterhafen 78 | 55131 Mainz
Fon +49 6131 144 56 -0 | Fax +49 6131 144 56 – 20
E-Mail: drheiss@res-media.net
Internet: www.res-media.net

 

Wie hat Ihnen der Beitrag gefallen?
[Total: 0 Average: 0]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top