Datenschutz und Smartphone
Mehr als 20 Millionen Deutsche besitzen heute ein Smartphone. Neben der Kommunikation an sich ermöglichen diese Geräte die Nutzung sogenannter Apps (eng. application). Bei diesen handelt es sich um Software, die eine Vielzahl an Anwendungsmöglichkeiten bietet. Einige Apps übermitteln Daten, aus denen sich Rückschlüsse auf ihre Nutzer ziehen lassen.
Der sorglose Umgang mit den Apps auf Seiten von Anbietern und Nutzern gleichermaßen in Verbindung mit der rasant steigenden Verbreitung, hat Risiken bzgl. der Einhaltung datenschutzrechtlicher Vorschriften zur Folge. Denn gerade bei der Entwicklung von Apps ist auf die Einhaltung datenschutzrechtlicher Vorschriften zu achten. Aber auch bei der Nutzung der Hilfsprogramme sollte der Datenschutz nicht außer Acht gelassen werden.
Welche Daten werden überhaupt erhoben, verarbeitet oder genutzt?
Erwirbt und installiert ein Verbraucher eine App auf seinem Smartphone so werden in der Regel personenbezogene Daten – damit sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person gemeint – erhoben, verarbeitet oder genutzt. Dies kann in der Praxis sowohl durch den Betreiber des App Stores (man denke an Googles „Play Store“ oder Apples „App Store“) als auch den App-Entwickler selbst geschehen.
Dabei ist es denkbar, dass der Verbraucher die Daten manuell – in der Regel durch Eintragung seiner Daten in entsprechende Datenfelder – übermittelt oder dass der Betreiber des App Stores oder der Entwickler der App Daten automatisch erhebt.
Zu den manuell vom Nutzer übermittelten Daten zählen dabei z.B. Daten, die zur Anmeldung beim App Store bzw. der jeweiligen App notwendig sind sowie unmittelbar mit der Verwendung der App in Zusammenhang stehende Daten (z.B. der Konsum des Nutzers oder Gesprächsinhalte).
Zu den automatisiert erhobenen Daten zählen auf dem Endgerät selbst gespeicherte Informationen, darunter vor allem Kontaktinformationen, die z.B. durch beliebte Apps wie „Twitter“, „Foursquare“, „Whatsapp“ oder „Foodspotting“ ausgelesen werden oder in der Vergangenheit wurden, personenbezogene, pseudonyme oder anonyme Nutzungsdaten, die das Nutzerverhalten analysieren und speichern oder geographische Daten, die von Apps mit sogenannten Location Based Services mittels GPS oder WLAN Hotspots ermittelt werden.
Welche datenschutzrechtlichen Bestimmungen sind einzuhalten?
Schwierigkeiten bereitet die Feststellung unter welche Erlaubnisnormen die Erhebung oder Verwendung von Daten fällt. Zu unterscheiden ist zwischen dem App Store-Betreiber und dem Hersteller der App. Hierbei ist zu beachten, dass ein Hersteller einer App, der diese eigenhändig vertreibt (dies ist bei iOS Geräten allerdings nicht möglich), beide der folgenden Bereiche zu beachten hat. Denn bietet man z.B. Apps für Android-Systeme auf seiner Website an, gleicht dies dem Betreiben eines eigenen „kleinen“ App Stores.
Für den Betreiber des App Store gilt:
- Der App Store-Betreiber ist Telemediendienstleister im Sinne des Telemediengesetzes und kann im Rahmen der §§ 14 und 15 TMG Bestands- und Nutzungsdaten erheben:
Bestandsdaten nach § 14 TMG umfassen z.B. die Registrierungsdaten für einen Download im App Store (darunter E-Mail, IP-Adresse, Benutzername und Passwort). Diese müssen indes für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung des Telemediums erforderlich sein. Eine Einwilligung des Nutzers ist dabei nicht erforderlich.
Nutzungsdaten hingegen umfassen das personenbezogene Nutzerverhalten. Diese Daten dürfen nur erhoben oder verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Beispielhaft nennt das Gesetz in § 15 Abs. 1 S. 2 TMG Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Die Erhebung von Nutzungsdaten zum Zwecke der Werbung, der Marktforschung oder der bedarfsgerechten Gestaltung der Telemedien ist nur mit Einwilligung des Nutzers oder bei pseudonymer Erfassung möglich. Bei pseudonymer Erfassung ist der Nutzer auf sein Widerspruchsrecht nach § 15 Abs. 3 TMG hinzuweisen. Zur pseudonymen Erfassung von Nutzungsdaten und Webtracking siehe: „Webtracking zulässig gestalten“
- Der App Store Betreiber (z.B. Apple) ist darüber hinaus Vertragspartner des Nutzers. Inhaltsdaten, die zur Erfüllung des Kaufvertrags beim App-Kauf notwendig sind (z.B. die Bankverbindung des Nutzers) kann dieser nach § 28 Abs. 1 S. 1 Nr. 1 BDSG erheben, ohne dass es einer Einwilligung des Nutzers bedarf. Um Bestandsdaten nach § 14 TMG oder um Nutzungsdaten, die nach § 15 Abs. 1 TMG eine Inanspruchnahme von Telemedien ermöglichen, handelt es sich gerade nicht.
- Die gleichen Überlegungen gelten für In-App-Käufe: In diesen Fällen werden Inhalte aus dem jeweiligen App-Store mittels der App erworben (z.B. Magazine, Kartenmaterial etc.). Der Käufer erwirbt die Inhalte also nicht direkt über den App-Store, sondern geht einen Umweg über die App.
Für den Entwickler der App gilt:
- Handelt es sich um eine App mit Onlinefunktionen so ist der Entwickler Dienstanbieter im Sinne des § 2 Nr. 1 TMG. Dies ergibt sich auch (deklaratorisch) aus den Nutzungsrichtlinien von Google Inc. (LINK: www.google.com/intl/de/policies/privacy) und Apple Inc. (LINK: www.apple.com/de/privacy). Mit Onlinefunktion ist gemeint, dass die App zu ihrer Ausführung notwendigerweise eine Datenverbindung aufbaut. Erreichen Daten den Server des Entwicklers der App gelten daher für ihn auch die §§ 13ff. TMG.
- Werden über die App Verträge geschlossen, die keine In-App-Käufe im obigen Sinne darstellen (z.B. der Kauf eines Buchs in klassischer Papierform mittels der Amazon App), können die zur Begründung und Durchführung des Vertragsverhältnisses erforderlichen Daten rechtmäßig über § 28 Abs. 1 S. 1 Nr. 1 BDSG erhoben werden.
- Aufgrund des im Telemediengesetz herrschenden Grundsatzes der Datenvermeidung nach § 13 Abs. 6 TMG hat der Diensteanbieter eine anonyme oder pseudonyme Nutzung und Bezahlung vorzusehen.
Was haben Entwickler von Apps und Betreiber von App-Stores zu beachten?
Auch Unternehmen, die Apps entwickeln und/oder verkaufen müssen auf die Vorschriften des TMG Acht geben. Sie müssen z.B. den Nutzer zu Beginn des Nutzungsvorgangs über die Datenerhebung und -verwendung aufklären, sich womöglich eine Einwilligung des Nutzers geben lassen, die Impressumspflicht wahrnehmen und eventuell auch bereits erhobene Daten löschen oder sperren.
Unterrichtungspflicht des Anbieters und Einwilligung des Nutzers
Ist das Unternehmen Diensteanbieter, trifft es nach § 13 Abs. 1 TMG eine Unterrichtungspflicht, in der es frühzeitig über Art, Umfang und Zweck der Erhebung und Verwendung von Daten zu informieren hat (sogenannte Datenschutzerklärung).
Diese Mitteilung muss zumindest
- in allgemein verständlicher Form klar und zuverlässig wahrnehmbar,
- für den Nutzer erkennbar und nicht im Angebot versteckt und
- jederzeit, also bereits vor und während der gesamten Dauer des Vertragsverhältnisses, abrufbar sein.
Dabei ist aufgrund des kleinen Displays von Smartphones und der bislang unklaren Rechtslage darauf zu achten, die Länge der Erklärung – also die Anzahl der Display Seiten – möglichst gering zu halten. Jedoch ist eine allgemeine Floskel, die nur eine Konformität mit den geltenden Gesetzen postuliert, nicht ausreichend.
Ist die Erhebung oder Verwendung personenbezogener Daten nicht von einer Erlaubnisnorm gedeckt so muss eine elektronische Einwilligung gemäß §§ 12 Abs. 1, 13 Abs. 2 TMG eingeholt werden.
Für eine rechtmäßige Einwilligung muss sichergestellt sein, dass
- sie freiwillig erfolgt,
- vom Nutzer bewusst und eindeutig erteilt wird,
- die Einwilligung protokolliert wird,
- der Inhalt jederzeit für den Nutzer abrufbar und
- mit Wirkung für die Zukunft jederzeit widerrufbar ist, worauf der Nutzer hinzuweisen ist.
Eine elektronische Einwilligung kann z.B. durch ein angekreuztes Kästchen gegeben werden. Nach dem Payback-Urteil des BGH soll ein vorangekreuztes Einwilligungskästchen (Opt-out) für eine wirksame Einwilligung ausreichend sein. Die Rechtslage hierzu ist indes noch unsicher. Eine sichere Gewährleistung der rechtmäßigen elektronischen Einwilligung liegt jedenfalls in dem Setzen eines Häkchens durch den Nutzer (Opt-in) vor der ersten Datenerhebung.
In Bezug auf den Widerruf einer Einwilligung muss der Telemedienanbieter zudem technisch gewährleisten, dass der Nutzer diesen auch tatsächlich ausüben kann.
Impressumspflicht
Für den Betreiber des App Store und den Entwickler der App, sofern dieser keine ausschließlich offline nutzbare im App Store anbietet, gilt die Impressumspflicht nach § 5 TMG. Nach dieser hat der Diensteanbieter für geschäftsmäßig angebotene Telemedien gewisse Angaben leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten.
Darunter fallen unter anderem:
- vollständiger Name und vollständige Anschrift, bei juristischen Personen zusätzlich die Bezeichnung der Rechtsform, die Vertretungsberechtigten und eventuell notwendige Angaben über das Kapital der Gesellschaft,
- Kontaktinformationen (E-Mail-Adresse und Telefonnummer),
- soweit der Dienst einer behördlichen Zulassung bedarf, Angaben zur zuständigen Aufsichtsbehörde,
- Registerangaben (z.B. das Handels- oder Vereinsregister),
- berufsrechtliche Angaben,
- Umsatzsteueridentifikations- oder Wirtschaftsidentifikationsnummer,
- bei Abwicklung oder Liquidation von Kapitalgesellschaften, die Angaben hierüber.
Löschung oder Sperrung von Daten
Personenbezogene Daten, die rechtmäßig erhoben wurden, sind nach § 35 Abs. 2 S. 2 Nr. 3 BDSG zu löschen, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Dies ist der Fall, sobald der Vertrag zur Nutzung der App zwischen Nutzer und App-Anbieter erlischt.
Eine Ausnahme von der Löschpflicht gilt jedoch dann, wenn die erhobenen Daten Belegcharakter nach den §§ 238, 257 Abs. 1 Nr. 4, Abs. 4 HGB oder § 147 Abs. 1 Nr. 4, Abs. 3 AO aufweisen. In derartigen Fällen sind diese für einen Zeitraum von zehn Jahren aufzubewahren und nach § 35 Abs. 3 Nr. 1 BDSG zu sperren. Die Sperrung erfolgt nach § 3 Abs. 4 Nr. 4 BDSG durch Kennzeichnen, das ihre weitere Verarbeitung oder Nutzung einschränkt. Hierbei ist darauf zu achten, dass eine zukünftige Verarbeitung und Nutzung auch tatsächlich ausgeschlossen ist.
Was sollten Unternehmen bei der Verwendung von Apps durch ihre Mitarbeiter beachten?
Die bisherigen Ausführungen zeigen, dass eine Nutzung von Smartphone-Apps datenschutzrechtlich problematisch sein kann. Für die Nutzung von Smartphones in einem Unternehmen sollte angedacht werden, eine White- bzw. Blacklist aufzustellen. Diese führen konkret auf, welche Apps datenschutzrechtlich als unbedenklich zu betrachten sind bzw. welche nicht installiert werden sollten. Generell zur Sicherheit von Smartphones im Unternehmensumfeld: Lesen sie hier mehr….
Lumanda Salamanda
20. September 2016 @ 10:53
Völlig an den Haaren herbei gezogen!!!!!!!!!!!Müll ist das