skip to Main Content
Mainz +49 6131 144 560 Berlin +49 30 285 058 56 kanzlei@res-media.net

Aktuelles Ergebnis des „Privacy Sweeps“: Smartphone-Apps fallen datenschutzrechtlich durch

Idealerweise sollten durch Apps nur die minimal zur Erfüllung der jeweiligen Dienstleistungen erforderlichen Daten vom Nutzer einsammeln. Zudem müssen die Nutzer über alle Datenverarbeitungen und deren Zwecke verständlich informiert werden. Wie weltweite Untersuchungen von Datenschutzbehörden im Rahmen des sog. „Privacy Sweep“ zeigen, ist dies sehr häufig jedoch nicht der Fall.

Im Jahr 2014 nahmen weltweit 26 Datenschutzaufsichtsbehörden am sog. „Privacy Sweep“ teil (vgl. Jahresbericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit 2014).  In diesem Zusammenhang wurden bei 1211 Smartphone-Apps nicht nur die Datenschutzerklärungen der Unternehmen, sondern auch die tatsächliche Verarbeitung personenbezogener Daten durch die Apps bzw. die mit der App verknüpften Online-Dienste der Unternehmen untersucht.

Geprüft wurden verstärkt die durch die Apps eingeforderten Zugriffsrechte auf Sensoren und gespeicherte personenbezogene Daten wie z. B. GPS-Position, Kamera, Mikrofon, Kalender- und Kontaktdaten, Nachrichten sowie Geräte-Identifikationsnummern (IDs). Diese wurden in Beziehung gesetzt zu den Informationen in der Datenschutzerklärung und den Zwecken der von der jeweiligen App angebotenen Dienste.

Bei den Ergebnissen zeigte sich, dass die Mehrheit der Apps eine oder mehrere Zugriffsrechte auf Sensoren und personenbezogene Daten einfordert, während weltweit nur 43 % der Apps Aussagen zum Datenschutz treffen und nur 15 % erklären, welche Daten bzw. welche Rechte zu welchen Zwecken erhoben bzw. eingefordert werden. 31 % der Apps forderten Rechte ein, die zumindest für die offensichtlichen Funktionen der App nicht erforderlich waren.

  • Rechtliche Grundlagen der Datenerhebung bei Smartphone Apps

Die Verarbeitung von personenbezogenen Daten in Apps kann nach dem Telemediengesetz oder dem Bundesdatenschutzgesetz erlaubt sein.

Bei einer App handelt es sich um einen Telemediendienst. Für die Datenerhebung und Verwendung auf (technischen) Anwendungsebenen sind speziellen datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) anzuwenden. Es wird zwischen Bestandsdaten nach § 14 TMG  und Nutzungsdaten, pseudonymen Nutzerprofilen sowie Nutzungsdaten zu Abrechnungszwecken nach § 15 TMG unterschieden.

Bestandsdaten sind Daten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind. Hierunter fallen die Daten, die bei einer Registrierung angegeben werden müssen.

Zu den Nutzungsdaten zählen die personenbezogenen Daten, ohne die die App nicht verwendet werden kann. Dies ist in der Regel die IP-Adresse und falls erforderlich Kennung oder Standort. Die Erhebung und Verwendung dieser Daten ist nach § 15 TMG zulässig. Nutzungsdaten dürfen zudem für Abrechnungen von kostenpflichtigen Angeboten verwendet werden.

Unter Pseudonymen können zudem Nutzungsprofile zu Werbezwecken angelegt werden (§ 15 Abs. 3 TMG). Allerdings hat der App-Anbieter die Pflicht, auf die Erstellung von Profilen z. B. in einer Datenschutzerklärung hinzuweisen und dem Nutzer die Möglichkeit eines Opt-Out zugeben.

Eindeutige Geräte- und Kartenkennungen wie die IMEI-Nummer oder auch die IP-Adresse stellen kein Pseudonym dar. Diese Daten dürfen auch nicht in das Nutzungsprofil einfließen, da die Zusammenführung pseudonymer Nutzungsprofile mit Daten über den Träger des Pseudonyms unzulässig ist (Verstoß gegen § 15 Abs. 3 S. 3 TMG, § 13 Abs. 4 Nr. 6 TMG.

Gibt es keine gesetzliche Erlaubnis für die Verarbeitung von personenbezogenen Daten, ist eine Einwilligung des Nutzers notwendig. Bei einer elektronischen Einwilligung sind die Voraussetzungen des § 13 TMG zu beachten, d.h. eine elektronische Einwilligung muss sicherstellen, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, dass die Einwilligung protokolliert wird und dass der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Liegen weder eine gesetzliche Erlaubnis noch eine Einwilligung des Betroffenen vor, ist die Datenverarbeitung gesetzeswidrig.

  • Angaben zum Zweck „Einholung von Daten“

Insbesondere die konkreten Angaben zum Zweck der Einholung von bestimmten weitgehenden Rechten können nach dem Ergebnis der Untersuchung oft noch verbessert werden. Allerdings konnten nach Berücksichtigung der Beschreibungstexte und der einzelnen Funktionalitäten der Apps in 75 % der Fälle auf plausible Zwecke geschlossen werden. Bei 10 % der geprüften Apps wurden jedoch Defizite in einem Umfang festgestellt, so wurde beispielsweise von einer Lieferservice-und einer Gutschein-App die Berechtigung zum Zugriff auf die Kamera eingefordert.

  • Erhebung der Geräte-ID

Häufiger wurde die Erhebung der Geräte-ID festgestellt. Mittels dieser oder vergleichbarer IDs ist es möglich, ein Gerät eindeutig, dauerhaft und zudem über verschiedene Apps hinweg zu identifizieren. Da die oft unzulässige und exzessive Nutzung dieser Identifikationsnummern insbesondere durch Werbe- und Trackingdienstleister erhebliche Medienresonanz hervorgerufen hat, haben die Betriebssystemhersteller bereits reagiert und die Nutzung dieser IDs eingeschränkt. Die meisten Apps haben daher im Laufe des Jahres die Nutzung der IDs eingestellt.

  • Standorterhebung

Problematisch kann aber auch die Einräumung solcher Rechte sein, die erforderlich erscheinen. So erheben 65 % der in Berlin geprüften Apps den jeweils aktuellen Standort des Smartphones mit hoher Genauigkeit. Zwar wurde bei genauerer Prüfung immer eine (Neben-)Funktionalität gefunden – meist eine Karte mit eingezeichneten Standorten und Navigationsmöglichkeit – die die Anforderung des präzisen Standortes erklärt. Dennoch stellt diese Funktionalität ein erhebliches Risiko dar, da jede dieser Apps umfangreiche Bewegungsprofile der Nutzer erstellen könnte. Selbst wenn diese Profile unter Pseudonym erstellt werden, sind oft schon wenige für eine Person markante Punkte (z. B. die Kombination aus Wohn- und Arbeitsort) zur Identifizierung ausreichend. Nutzende sollten daher in jedem Einzelfall prüfen, ob eine bestimmte App und deren Anbieter tatsächlich Zugriff auf die jeweils angeforderten Daten erhalten sollen.

  • Empfehlung

Um die von den Datenschutzbehörden aufgezählten Mängel im Datenschutz zu vermeiden, sollten App-Anbieter verbindliche und abschließende Aufzählungen zu den Verwendungszwecken, Speicherzeiträumen und den Verknüpfungen der erhobenen Daten im Rahmen der Datenschutzerklärung vornehmen.

Auch ist es sinnvoll, bestimmte Rechte nur dann – und erst dann – einzufordern, wenn die Funktionalität genutzt wird, die diese Rechte benötigt. Dies stellt allerdings auch Anforderungen an die Hersteller der Smartphone- Betriebssysteme. Bei manchen Anbietern müssen alle jemals im Betrieb notwendigen Rechte bei der Installation eingeräumt werden. Ein Entzug der Rechte ist dort nur durch Deinstallation der jeweiligen App möglich.

geschrieben von: Dr. Kerstin Heiß

Dr. Kerstin Heiß

Dr. Kerstin Heiß
Fachanwältin für Informationstechnologierecht (IT-Recht)

 

 

 

RESMEDIA Mainz – Anwälte für IT-IP-Medien
Am Winterhafen 78 | 55131 Mainz
Fon +49 6131 144 56 -0 | Fax +49 6131 144 56 – 20
E-Mail: drheiss@res-media.net
Internet: www.res-media.net

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top