Der Datenschutz. Ein leidiges Thema für App-Entwickler und überhaupt für alle, die daran beteiligt sind, eine App auf den Markt zu bringen. Immer ist irgendwie der Datenschutz im Weg, dabei wäre ohne ihn doch alles so viel einfacher.
Andererseits sollte aber auch anerkannt werden, dass dieser durchaus seine Berechtigung hat, zumal viele Nutzer bei der Auswahl einer App mittlerweile darauf achten, welche Daten und wieviel sie von ihren Daten preisgeben müssen. Ein „guter“ Datenschutz kann daher durchaus auch ein Wettbewerbsvorteil sein. Daher lohnt es sich, datenschutzrechtliche Aspekte bei der Entwicklung einer App von Anfang an zu berücksichtigen und die App dementsprechend datenschutzkonform auszugestalten.
Allerdings sollte dem Datenschutz nicht nur deswegen Beachtung geschenkt werden, um dem potentiellen Nutzer zu gefallen. Was genau passieren kann bei einem Verstoß gegen datenschutzrechtliche Vorschriften, soll nachfolgend einmal dargestellt werden.
Ein „Knöllchen“ durch die Datenschutzbehörde zu riskieren ist nicht ausgeschlossen
Zunächst einmal können die Datenschutzbehörden natürlich selbst Maßnahmen ergreifen. Von der Verhängung eines Bußgeldes für eine Ordnungswidrigkeit (z.B. wegen einer mangelnden Datenschutzerklärungen nach § 16 Abs. 2 Nr. 2 TMG oder wegen unzulässiger Datenerhebungen bzw. Datenübermittlung iSv. § 43 Abs. 1 Nr. 4), welches im Extremfall bis zu 300.000 Euro erreichen kann, bis hin zu einer Untersagungsverfügung nach § 38 Abs. 5 BDSG ist da alles dabei. Mit einer solchen Untersagungsverfügung kann im Ergebnis der Betrieb einer App und damit im Zweifel eine ganze Unternehmenstätigkeit untersagt werden. Wer auch noch erfahren möchte, ab wann er oder sie sich strafbar macht, der möge einen Blick in § 43 Abs. 2 und § 44 BDSG werfen.
Die Wahrscheinlichkeit, ins Visier der Datenschutzbehörden zu geraten und mit hohen Bußgeldern belegt zu werden, ist allerdings bislang noch nicht allzu hoch. Zum einen fehlt den Behörden das Personal und dementsprechende Kontroll-Kapazitäten, zum anderen gehen sie mit der Verhängung hoher Bußgelder doch recht zurückhaltend um (siehe beispielsweise den 42. Tätigkeitsbericht des Hessischen Datenschutzbeauftragte, welcher im Berichtjahr von 34 abgeschlossen Bußgeldverfahren und dabei verhängten Bußgelder in Höhe von insgesamt 12.250,00 Euro berichtet).
Und dennoch, sich als App-Betreiber in seinem Liegestuhl gemütlich zurückzulehnen und auf den Datenschutz zu pfeifen, nein, davon ist abzuraten. Denn im Einzelfall kann es dann doch einmal zu schmerzlichen Erfahrungen mit den Datenschutzbehörden kommen.
Dies auch deshalb, weil Datenschutzbehörden inzwischen von Unternehmen aufgefordert werden, diejenigen Firmen, die den Datenschutz links liegen lassen, zu sanktionieren (siehe etwa den 24. Tätigkeitsbericht des Landesbeauftragten für Datenschutz Rheinland-Pfalz, S. 90). Und zwar, indem sie den Datenschutzbehörden vermeintliche Verstöße der Konkurrenz melden und diese den Vorwürfen dann entsprechend nachgehen. Denn verständlicher Weise sieht es der Mitbewerber, der selbst einige Zeit und Geld in den Datenschutz investiert hat, nicht gerne, wie die Konkurrenz damit ganz locker und gelassen umgeht.
Zudem betonen die Datenschutzbehörden nicht erst seit gestern, dass datenschutzrechtliche Verstöße keine Kavaliersdelikte sind, und, dass sie dementsprechend verstärkt hiergegen vorgehen wollen. So prüfte z.B. der Landesbeauftragte für Datenschutz in Baden-Württemberg im Rahmen der internationalen “Privacy Sweep” Aktion im Mai 2014 Apps, deren Anbieter ihren Sitz in BW hatten, auf ihre Datenschutzkonformität.
Auch die EU will für ein hohes Schutzniveau sorgen
Dass dem Datenschutz mehr Aufmerksamkeit und Beachtung geschenkt werden sollte, wird zudem auch aus dem Entwurf zur Datenschutz-Grundverordnung der EU deutlich, welche nicht nur weitaus höhere Geldbußen vorsieht, sondern auch in der allgemeinen Datenschutz-Diskussion – über die Juristenkreise hinaus – zunehmend an Relevanz gewinnt.
Abmahnungen durch die Konkurrenz können ebenfalls drohen
Zu guter Letzt können datenschutzrechtliche Verstöße jedenfalls nach einem Urteil des OLG Hamburg grundsätzlich von Mitbewerbern abgemahnt werden. Zur Begründung führt das Gericht unter anderem aus, dass es sich bei einem Verstoß gegen § 13 TMG (der die Pflichten des Diensteanbieters regelt) „nicht nur um die Mißachtung einer allein über individuelle Belange des freien Wettbewerbs regelnden Vorschrift“ handelt. „ Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln.“
So, nachdem nun nach diesen Ausführungen dem Datenschutz zukünftig hoffentlich genug Aufmerksamkeit geschenkt werden dürfte, kommen wir nun dazu, was zu tun ist, um soeben geschildertes zu verhindern.
Die Datenschutzerklärung und die Einwilligung in die Datenverwendung
Fangen wir am besten gleich wieder dort an, wo wir eben aufgehört haben, nämlich bei § 13 TMG. Danach hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten. Ferner hat der Dienstanbieter den Nutzer über die verantwortliche, also datenverarbeitende Stelle sowie über Auskunfts- und Löschungsansprüche und ein bestehendes Widerrufsrecht bei einer erteilten Einwilligung in die Nutzung der personenbezogenen Daten zu informieren.
Da auch ein App-Betreiber ein Diensteanbieter ist, muss er über die Verwendung der Daten aufklären.
Aufklären muss er aber nicht nur über die Verwendung von Daten, die über die App während oder durch die Nutzung selbst erhoben, gespeichert, genutzt werden, wie wohl mancher App-Betreiber noch glauben mag. Auch über all die Daten, die bei der Installation der App vom Telefon “abgegriffen” und anschließend verwendet werden, muss aufgeklärt werden. Dazu zählen z.B. die Geräte-ID oder der Zugriff und die Verwendung auf Fotodateien etc. pp.
Dies geschieht jedoch häufig nicht. In der Regel sieht der Nutzer (wenn überhaupt) nur bei der Installation der App, auf welche Daten zugergriffen werden, und vielleicht noch bei einem Update, wenn der Zugriff erweitert werden soll. Dies geschieht jedoch auch nur übersichtsartig. Zu welchen Zwecken diese Daten gebraucht werden, wird meist nicht erläutert. Dies mag wohl teilweise auch daran liegen, dass einige Daten-Zugriffe für den Betrieb der App gar nicht zwingend notwendig sind. Da diese jedoch wirtschaftlich wertvoll sind, werden sie einfach „nebenbei“ erhoben und verwendet. Dies würde eigentlich eine ausdrückliche Einwilligung des Verwenders voraussetzen, die jedoch so gut wie nie eingeholt wird.
Die richtige Platzierung der Datenschutzerklärung und einer eventuell einzuholenden Einwilligung
Die Datenschutzerklärung sollte grundsätzlich leicht erreichbar in der App aufzufinden sein, so dass der Nutzer jederzeit auf die Erklärung Zugriff nehmen kann.
Da der Nutzer einer App aber, wie bereits oben dargestellt, bereits zu Beginn des Nutzungsvorgangs, d.h. noch zeitlich vor Beginn der Datenerhebung, über die Datenverwendungen aufgeklärt werden muss, genügt das Vorhalten der Datenschutzerklärung in der App dann nicht, wenn die App schon bei der Installation auf Daten zugreift und diese speichert sowie übermittelt. Die Datenschutzerklärung muss in diesem Fall (und sollte sonst auch) schon im App-Store selbst über einen Link abrufbar sein, so dass sich der Nutzer eben bereits zu Beginn des Nutzungsvorgangs informieren kann.
Wenn für die Datenverwendungen Einwilligungen notwendig sind, dann müssen diese auch vor Beginn des Nutzungsvorgangs eingeholt werden. Ist dies nicht möglich, weil z.B. der Store die Möglichkeit nicht bietet, dann ist diese Einwilligung umgehend nach der Installation der App einzuholen.
Noch mehr Wissenswertes…
gibt es auch bei den Datenschutzbehörden selbst zu lesen. So beispielsweise vom Hessischen Datenschutzbeauftragten, der eine kurze datenschutzrechtliche Handreichung für die App-Entwickler von Android Apps ausgearbeitet hat. Und auch der Düsseldorfer Kreis hat eine etwas ausführlichere Orientierungshilfe zu diesem Thema entwickelt. Wen die Praxis weiter interessiert, kann sich auch gerne einmal die bereits von uns verfassen Artikel über die Jobbörsen-App Truffls oder über Flirt-Apps wie Tinder zu Gemüte führen. Und wer schließlich wissen möchte, was juristisch noch so bei der App-Entwicklung und Vermarktung zu beachten ist, der kann einmal hier vorbeischauen.
In diesem Sinne,
auf die nächste datenschutz-konforme App!
Über die Autorin: Nina Diercks, M.Litt (University of Aberdeen) ist Rechtsanwältin und Partnerin der Kanzlei Dirks & Diercks in Hamburg und Gründerin wie Autorin des Social Media Recht Blog.
In ihrer täglichen Arbeit löst sie für ihre Mandanten all diejenigen juristischen Fragestellungen, denen Unternehmen in der digitalen Welt begegnen. Dabei liegen ihre Schwerpunkte unter anderem im Datenschutz- und IT-Vertragsrecht.
Foto: Lisa Krechting
Beitragsbild: Shutterstock
Obwohl informativ und sinnvoll in allen Punkten, fehlen doch, wie fast immer bei diesen Artikeln und ich hatte in Anbetracht des Titels auf mehr gehofft, konkrete Implementierungsideen und Musterbeispiele über die man sprechen könnte.
Der Jurist redet gerne, aber am Ende soll dann der Entwickler mit dem Designer doch bitte kreativ alles so umsetzten, dass es dem Benutzer auch ge- und auffällt.
Das alles während die App-Welt von Standards und Intuitivem Inhalt lebt und Datenschutzkonforme Apps noch nicht klar für den Benutzer gekennzeichnet werden und sich wegen nationaler Datenschutzverordnungen zum Teil nicht auf dem internationalen Markt durchsetzen können.
Tatsächlich klärt der Artikel WO die Kontrollinstanzen hingehören und was die Faktoren sind, darüber hinaus gibt er die Verantwortung wie App und Datenschutz zusammenpassen, wieder großzügig ab.
Vielen Dank für Deinen Kommentar. Du wirfst hier die Frage auf, was Aufgabe eines Juristen und was die eines Entwicklers bzw. Projektleiters ist. Meiner Meinung nach kann der Jurist nur darauf hin weisen, wie die Rechtslage ist, welche Gefahren drohen und welchen Konsequenzen sich ein Publisher bei Nicht-Beachtung gegenüber sieht. Was er nicht kann, ist zu sagen, wie denn die App nun konkret aussehen soll oder wie sie konzipiert sein muss. Diese Transferleistung liegt beim App-Publisher, denn dieses Wissen gehört nicht zu den Kernkompetenzen eines Juristen, der sich nicht regelmäßig mit der operativen Software-Entwicklung beschäftigt. Ein Jurist kann hier begleitend, beratend zur Seite stehen, aber nicht das App-Konzept erstellen. Die Verantwortung für die App hat nun mal in der deutschen Rechtsprechung der Publisher und nicht sein Anwalt.
Die Antwort sehe ich so ein. Man kann vom Jurist nicht konkretes Verständnis und entsprechende Erläuterung erwarten. Aber gerade als Entwickler habe ich mir unter dem Titel schlicht mehr erhofft als nur zu hören, dass es schon theoretisch geht. Und seit ich mich mit dem Thema beschäftige fällt immer wieder auf, dass Juristen gerne so tun, als wäre der Entwickler nur der Handwerker, der’s dann schon richten wird, aber nicht in die Diskussion gehört. Kein Wunder, dass da nichts rauskommt – wenn man die ignoriert und aus der Gleichung rausstreicht, die es dann machen sollen.