Datenschutz bei Smartphone-Apps: Wenn die Werbebranche mitlauscht

Immer mehr Menschen spielen Handy-Games während der Fahrt zu Arbeit oder aber einfach nur auf dem heimischen Sofa in der Freizeit. Da verwundert es nicht, dass die Werbebranche seit längerem daran interessiert ist, sich die umfangreichen Funktionen der Smartphones zu Nutze zu machen. Das Nutzerverhalten wird zunehmend besser analysiert mit dem Ziel, Inhalte und Werbung immer weiter auf den Benutzer auszurichten. Es liegt auf der Hand, dass beispielsweise die Standortdaten weit mehr über den Nutzer verraten als es diesen bewusst sein dürfte.

Ein Großteil der Smartphone Apps greift unlängst auf zahlreiche Funktionen des Handys zurück, wie z.B. die Strandortdaten, das Adressbuch, die Kamera oder auch das Mikrophone. In den meisten Fällen sind diese Funktionen für die Anwendung oder aber das Spiel jedoch gar nicht erforderlich.

Das Marketing im digitalen Zeitalter

Wie die New York Times vor kurzem berichtete, wurde mittlerweile in mehr als 250 Spielen und insgesamt in über 1000 Apps die Software des US-Amerikanischen Unternehmens Alphonso implementiert, die unter anderem auf das Mikrophon des Smartphones zurückgreift und sämtliche Geräusche des Nutzers wie auch aus der nahen Umgebung wahrnimmt.

Konkret ist das Tool des jungen Startups darauf ausgerichtet, Audiosignale von Rundfunk und TV zu erkennen. Auf diese Weise sollen Werbespots oder aber TV-Sendungen im Umfeld des Spielers gehört und identifizieren werden können, um zusammen mit etwaigen Ortsangaben und sonstigen Informationen viel mehr über den Nutzer zu erfahren und zielgruppenorientiertes Marketing zu betreiben. Angesichts der technischen Möglichkeiten, wie sie schon die App von Shazam vor Jahren aufzeigte, sollten einzelne TV-Spots und auch Sendungen in wenigen Sekunden exakt erkannt werden können. Und mit eben jenem Anbieter, der vor kurzem von Apple aufgekauft wurde, arbeitet Alphonso angeblich eng zusammen.

Wer also eine der rund 1000 betroffenen Apps installiert hat und nebenher mehrere Folgen von seiner Lieblingsserie im Fernsehen oder am Rechner schaut, dürfte im Idealfall entsprechende Werbung für die neueste Staffel oder passende Fan-Produkte auf seinem Handy angezeigt bekommen oder sogar per E-Mail erhalten. Und durch zusätzliche Verknüpfungen des Smartphones anhand des Google-Kontos, der Twitter oder Facebook App könnte sich dieses Marketinginstrument auch auf andere Angebote des Internets ausweiten lassen.

Zum Datenschutz bei personalisierter Werbung

Trotz aller vermeintlich positiven Aspekte der personalisierten Werbung und allgemein des modernen Marketings sollten die App-Betreiber und Werbetreibenden im Hinblick auf die bevorstehende Datenschutz-Grundverordnung (DSGVO) den Datenschutz nicht außer Acht lassen. Denn ab dem 25. Mai 2018 bestimmt die DSGVO europaweit die datenschutzrechtlichen Vorgaben, die angesichts von höheren Bußgeldern sicherlich eine größere Außenwirkung genießen dürfte.

Spätestens dann gilt es die Grundsätze wie „Privacy by Design“ und „Privacy by Default“ (Art. 25 Abs. 1 und Abs. 2 DSGVO) schon im Entwicklungsstadiun von Apps und Anwendungen zu berücksichtigen. Erreicht werden sollen damit angemessene datenschutzfreundliche Grundeinstellungen. Im Idealfall bedeutet dieses, dass sämtliche und für die eigentliche Nutzung der Anwendung nicht erforderliche Funktionen wie z.B. die Übermittlung der Standortdaten, das Tracking des Nutzers und auch ein Mikrophon bei Installation bzw. Start der App zunächst deaktiviert sind.

Viele Hersteller folgen diesen datenschutzrechtlichen Anforderungen bereits. Das Samsung Galaxy S8 und weitere aktuelle Smartphone-Modelle aus dem Hause Apple, Samsung und Co. werden in einem solchen Zustand ausgeliefert, dass zahlreiche Funktionen bzw. Berechtigungen zunächst deaktiviert sind. Jede einzelne Anwendung und auch installierte Apps werfen beim erstmaligen Start ein Popup auf, welches die Berechtigungen der Anwendung anzeigt und händisch für die unterschiedlichen Zugriffe auf Features des Mobiltelefons einstellen lässt. So muss der Zugriff auf das Adressbuch, die Kamera oder das Mikrophon erst aktiviert werden oder kann im Nachhinein über die Einstellungen wieder entzogen werden. Über die jeweiligen Menüs können ebenso die Berechtigungen der einzelnen Anwendungen angezeigt und verwaltet werden.

Dann läge die Entscheidung über die Aktivität der jeweiligen Funktionen des Geräts sprichwörtlich in den Händen des Nutzers. Nur ist er darüber auch umfassend aufgeklärt?

Allgemeine Anforderungen des Datenschutzes

Sofern – entgegen früherer illegaler Tools – nunmehr datenschutzkonforme Konzepte des Marketings angestrebt werden, sollten sich die Entwickler und Verantwortlichen an die konkreten Anforderungen nach dem Datenschutzrecht halten.

Die Verarbeitung (Erfassung, Übermittlung und Speicherung) von Standortdaten, Meta-Daten oder auch von Bild- und Audiosignalen beim Betroffenen durch ein Unternehmen bedarf einer gültigen Rechtsgrundlage oder aber der Einwilligung. Doch je sensiblere Angaben und Hintergrundinformationen des Nutzers gesammelt werden, desto mehr spricht gegen die Annahme einer Rechtsgrundlage nach Art. 6 Abs. 1 lit. f) DSGVO. Zwar wird die Werbung und auch die Marktforschung / Nutzeranalyse zu Werbezwecke durch den Verantwortlichen als ein berechtigtes Interesse angesehen, doch dürfte ein dem gegenüberstehendes berechtigtes Interesse des Betroffenen überwiegen. Wird der Mensch jedoch quasi ohne Wissen ständig „abgehört“, indem das Mikrophon während der gesamten Zeit beim Spielen oder Nutzen der Anwendung (im Hintergrund) mitlauscht und sogar das TV-Programm am Fernseher in der anderen Ecke des Raumes oder das Musikstück aus dem Nachbarsraum identifiziert und für Marketing-Methoden auswertet, steht klar der Schutz des allgemeinen Persönlichkeitsrechts (Recht auf informationelle Selbstbestimmung) im Vordergrund. Zumal laut dieser fraglichen Vorschrift bei Kindern per se das berechtigte Interesse desselbigen überwiegt. Und viele Nutzer von Smartphone-Spielen und Apps sind unter 16 Jahre alt und genießen damit diesen erhöhten Schutz.

Wird die Datenverarbeitung durch die integrierte Marketing-Software hingegen auf die Einwilligung des Betroffenen gestützt (nach Art. 6 Abs. 1 lit. a) DSGVO), sind zahlreiche Besonderheiten zu bedenken. Der Nutzer muss zuvor klar über die konkrete Datenverarbeitung und dessen Zweck bzw. Speicherdauer aufgeklärt werden, damit er freiwillig und informiert sein Einverständnis in diese Datensammlung und Auswertung erteilen kann (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO). Diesbezüglich gelten auch zahlreiche Informationspflichten nach Art. 12 ff DSGVO. Der Betroffene muss auch das Recht haben, seine Einwilligung jederzeit einsehen und wiederrufen zu können (Art. 7 Abs. 3 DSGVO) und bei Personen unter 16 Jahren ist die Einwilligung der Eltern bzw. Trägers der elterlichen Verantwortung erforderlich. Diese Überlegung wirft die Frage auf: Führt diese Regelung zu einer notwendigen Altersverifikation?

In der Konsequenz muss der Nutzer zuvor umfassend über die tatsächlichen datenschutzrechtlich relevanten Prozesse in verständlicher Weise aufgeklärt werden (z.B. auch in der Datenschutzerklärung) und jederzeit diese Einwilligung widerrufen können. Die Einwilligung sollte zu Beweiszwecken protokolliert werden. Zudem empfiehlt es sich, die Einwilligung – auch vor dem Hintergrund weiterer zukünftiger, einschlägigen Regelungen (aus der E-Privacy Verordnung) – durch eine eindeutig, aktive und bestätigende Handlung einzuholen, was ein aktives Setzen eines Häkchens oder zumindest einen aktiven Klick einer Schaltfläche voraussetzt. Und um die Freiwilligkeit und Aufgeklärtheit dieser Entscheidung zu untermauern, sollten derart sensible Funktionen (wie z.B. die Kamera, Mikrophon, Standortdaten) eindeutig freiwillig aktiviert werden und nicht durch ein verstecktes Hintertürchen (zur „Verbesserung des Spielgefühls“) einbezogen werden.

Das Unternehmen Alphonso verwies laut Medienberichten auf die eigene Datenschutzrichtlinie und auch auf die Hinweise der Apps und die darin transparente Darstellung der Technik mit dem Zweck der personalisierten Werbung. Der Chef des Unternehmens macht auch gar kein Hehl aus seinem Geschäftsmodell.

Zu klären wären ferner die vom Betreiber zu treffenden technisch-organisatorische Maßnahmen zum Schutze der Daten, beispielsweise durch die verschlüsselte Übertragung, allein vorrübergehende Speicherung und angemessene Löschroutinen. Die aufgezeichneten Audiodateien dürften nicht ewig aufbewahrt werden und sollten der Kontrolle des Nutzers unterliegen.

Was droht bei Datenschutzverstößen?

Werden die grundlegenden Anforderungen aus dem Datenschutz völlig außer Acht gelassen, darf nicht nur die Rechtmäßigkeit der Datenverarbeitung hinterfragt werden. Vielmehr stehen auch Bußgelder im Raume. Und auch Straftatbestände wie auch zivilrechtliche Abmahnungen oder Klagen (auf Unterlassung oder Schadensersatz) sind nicht ganz abwegig, wie der Fall der Puppe „My Friend Cayla“ aufzeigte. Die Puppe, die das Kinderzimmer ausspioniert, war hierzulande schnell verboten. Weitere Rechtsstreitigkeiten mit Herstellern von Smart-TVs, die Funktionen des Geräts heimlich zur Nutzeranalyse ausnutzen, unterstreichen diese Risiken für den Hersteller.

Eine vergleichbare Diskussion rund um die datenschutzrechtlichen Bedenken der immer wieder neu erfundenen Methoden der Datenverarbeitung zur personalisierten Werbung gab es schon bei der Gesichtserkennung im Ladengeschäft, dem Eye-Tracking, dem Nutzer-Tracking durch Facebook und der Verhaltensanalyse. Dem steht die Analyse der Hintergrundgeräusche in Nichts nach.