Der große Sommerurlaub ist schon ein paar Tage her – neben den unzähligen Fotos bleiben vor allem zahlreiche Apps auf dem Smartphone, die für die Pauschalreise notwendig waren. Gemeint sind die Apps vom Reiseveranstalter, der Fluggesellschaft, dem Hotel und dem zusätzlichen Anbieter von Ausflügen. Sogar größere Museen bieten mittlerweile eine eigene App für die Multimedia-Inhalte an.
Der neueste Clou: Die Betreiber von Hotels und riesigen Anlagen sehen vor, dass ihre Gäste gleich zu Beginn des Urlaubs eine App auf ihrem Smartphone installieren, mittels welcher nicht nur Restaurants oder Tennisplätze gebucht, sondern auch primär die Zimmertür geöffnet werden kann. Letzteres ersetzt dann den mechanischen Schlüssel oder die Keycard für das Türschloss.
All diese Anwendungen bzw. dieser „Service“ hat gleichwohl auch datenschutzrechtliche Relevanz. Denn die Anwendungen erheben nicht nur personenbezogene Daten wie z. B. den Namen oder die E-Mail-Adresse, sondern könnten auch zum Tracking der Nutzenden eingesetzt werden. Zuletzt sind die App-Benachrichtigungen mit (aufdringlichen) Hinweisen auf zusätzliche Angebote und Aktionen zu erwähnen. Schließlich bewirbt der Reiseveranstalter darüber noch während des Urlaubs gleich den nächsten Urlaub mit einer 10-Prozent-Rabattaktion („Jetzt schon den Urlaub 2024 buchen“).
Datenschutzrechtliche Anforderungen für die Nutzung
Zunächst stellt sich die Frage nach einer gültigen Rechtsgrundlage für derartige Datenverarbeitungen. In Betracht kommen die Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) sowie das berechtigte Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO).
Die Einwilligung erfordert eine freiwillige, ausdrückliche und informierte Zustimmung der betroffenen Person, die vom Verantwortlichen nachzuweisen ist. Diese Rechtsgrundlage dürfte bereits an der Freiwilligkeit scheitern, wenn die App für den konkreten Dienst/Service erforderlich ist bzw. keine gleichwertige Alternative angeboten wird. In der Praxis werden die klassischen Wege wie der Ausdruck des Tickets oder die Buchung via Telefon erheblich erschwert, sodass die Installation der App fast schon erzwungen wird. Zudem müsste die Einwilligung durch eine eindeutig bestätigende Handlung eingeholt werden, wie z. B. durch eine Registrierung oder die aktive Auswahl einer Checkbox. Ferner müsste über die Datenverarbeitung gem. Art. 13 DSGVO hinreichend verständlich informiert werden, d. h. insbesondere im Ausland müsste die App – streng genommen – in der jeweiligen Landessprache der Gäste angeboten werden. Zuletzt müsste die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden können, was de facto während des Aufenthalts bzw. der Nutzung der Anwendung nicht realisiert werden kann.
Wird die Datenverarbeitung hingegen auf das berechtigte Interesse gestützt, müsste im Zweifel eine Interessenabwägung vorgenommen werden. So dürften die schutzwürdigen Interessen der betroffenen Person nicht dem berechtigten Interesse des Verantwortlichen überwiegen. Je komplexer und intransparenter die Datenverarbeitung ausgestaltet wird, desto eher dürfte das schutzwürdige Interesse der betroffenen Person überwiegen. Auch spielt hierbei die Vorhersehbarkeit dieser Datenverarbeitung eine gewisse Rolle. Im Erwägungsgrund 47, S. 3 heißt es: „Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.“ Folglich müsste vor Einsatz der App auch über die Datenverarbeitungen und Dienste transparent aufgeklärt werden. Den betroffenen Personen steht grundsätzlich ein Widerspruchsrecht zu.
Vieles spricht aus den genannten Gründen dafür, als Rechtsgrundlage die Vertragserfüllung heranzuziehen. Die Datenverarbeitung müsste demnach für die Erfüllung eines Vertrages erforderlich sein. Diesbezüglich besteht der Spielraum darin, die App als Teil des Vertrages zu regeln, beispielsweise für die Buchung von Zusatzleistungen im Hotel oder zur Kommunikation mit dem Reiseveranstalter.
Jedoch ist diese Konstellation nicht grenzenlos, sondern die Datenverarbeitungen müssten für die Vertragserfüllung erforderlich sein. Das wäre anzunehmen, wenn der Vertragszweck ohne diese Datenverarbeitung nicht oder nur unwirtschaftlich verwirklicht werden kann. Und angesichts der datenschutzrechtlichen Grundsätze gem. Art. 5 Abs. 1 DSGVO wäre auch noch ein großer Wert auf die Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) zu legen, d. h. es sollten nur so wenig Daten wie möglich erhoben werden.
Vor diesem Hintergrund dürften sich in der Regel deutlich datensparsamere Lösungen wie die Zusendung der Unterlagen per E-Mail/Post, der Ausdruck der Daten, die Reservierung per Telefon oder E-Mail oder die Ausgabe von Schlüsseln/Keycards für das Öffnen der Zimmertür anbieten. Selbst die Ausgabe einer PIN wäre erheblich datensparsamer als die Vorgabe der Nutzung einer App bzw. des Smartphones, um dann nur per aktiver Ortungsfunktion sowie Bluetooth das Schloss zum Gebäude zu öffnen.
Datenschutzrechtliche Anforderung für die Werbung
Wenn die Apps noch zusätzliche Funktionen und Inhalte aufweisen, bedarf es in der Regel einer weiteren Rechtsgrundlage für die Datenverarbeitung. Denn sowohl das personenbezogene Tracking innerhalb von solchen Apps als auch insbesondere das Ausspielen von Werbung sind hierzulande auf Grund der strengen Rechtsprechung und nach Maßgabe der Empfehlungen der Aufsichtsbehörden grundsätzlich nur auf Basis der zuvor erteilten Einwilligung der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. a DSGVO) umsetzbar. Zumeist wird sich diese über ein Consent-Management-Banner oder eine Checkbox bei Registrierung/Installation beweissicher einholen lassen.
Dies gilt auch der Werbung mittels der Mitteilung- und Benachrichtigungsfunktion der Smartphone-Betriebssysteme wie Android, z.B. wenn das Hotel oder der Reiseveranstalter eine neue Buchung durch Rabattaktionen („Frühbuchervorteil“) erreichen wollen und deshalb über die Mitteilung oder Benachrichtigung der App im Rahmen der eingeräumten Berechtigung hierauf hinweisen. Diese lässt sich seit einiger Zeit bei den bekannten Herstellern (Apple, Android) durch die Berechtigungen der App direkt und leicht steuern.
Solche Mitteilungen oder Benachrichtigungen oder das Mailing mit Bitte um eine Teilnahme einer Meinungsumfrage bzw. Bewertung des Urlaubs gelten hierzulande grundsätzlich als Werbung im Sinne von § 7 UWG und sollte aus Gründen der Rechtssicherheit auf eine zuvor erteilte, ausdrückliche Einwilligung der angesprochenen Person bei Angabe ihrer personenbezogenen Daten gestützt werden.
Hieran fehlt es allerdings in der Regel oftmals, wie wir auch schon im vergangenen Jahr feststellten. Denn nicht selten erfolgen solche Miteilungen oder Benachrichtigungen, In-App Werbung und das Tracking innerhalb der Anwendung ohne (ausdrückliche) Zustimmung der Nutzenden; und sollen als Gegenstand der AGB/Nutzungsbedingungen gelten. Aber gerade der Abschluss eines Pauschalreisevertrages beinhaltet streng genommen keine Nebenleistung in der Gestalt, schon die Buchung einer Reise im kommenden Jahr zu bewerben. Ähnlich strenge Grenzen können bei der Buchung eines Fluges oder eines Hotelzimmers gezogen werden. Hier ließe sich allenfalls bei Direktwerbung für eigene ähnliche Ware oder Dienstleistung über die besondere Ausnahme nach § 7 Abs. 3 UWG diskutieren, worauf bei erstmaliger Datenverarbeitung ausdrücklich hinzuweisen wäre.
Ungeachtet der Wahl der geeigneten Rechtsgrundlage sowie dessen Umsetzung stellen sich die bereits genannten Fragestellungen zur Freiwilligkeit und der Informiertheit bzw. Transparenz durch entsprechend verständliche Datenschutzhinweise nach Art. 13 DSGVO (Datenschutzerklärung).
Zusätzliche Pflichten
Neben den aufgeführten Voraussetzungen sind auch Löschkonzepte gefordert, damit die Daten nicht endlos verarbeitet werden. Anders als bei einer Datenspeicherung in einer Kundendatenbank wird bei dem Einsatz einer App häufig die Situationen bestehen, dass die Daten für die Dauer des Betriebs bzw. der Nutzung der App vorgehalten werden. Der betroffenen Person steht es auch frei, die App jederzeit wieder zu löschen, also spätestens nach der Abreise diese wieder vom Smartphone zu entfernen. Sofern die App auf einen Kund*innenkonto aufsetzt, wird durch die Deinstallation der App nicht automatisch auch die Löschung des Kund*innenkonto erfolgen, sondern wäre dies zusätzlich vorzunehmen.
Viele Reiseveranstalter bieten keine aktive, zeitnahe Löschung der Daten, so dass sich auch noch einige Jahre nach dem Urlaub die Reiseunterlagen in der App aufrufen lassen. Ein Grund, warum die Flugdetails und Buchungen noch nach fünf Jahren in der App aufrufbar sein sollten, dürfte nicht ersichtlich sein.
Zuletzt gilt es auch die Datensicherheit zu gewährleisten, um keine unbefugten Zugriffe auf die Daten innerhalb der App oder in den Konten der Anbieter vorzuhalten.
Fazit
Viele Unternehmen versuchen immer mehr, durch den aufgedrängten Einsatz von Apps, z. B. während des Aufenthalts im Urlaub, eine dauerhafte Kundenbindung zu erreichen und mittelbar auf diese Weise auch mehr Daten zu verarbeiten bzw. diese für weitere Zwecke zu verarbeiten. Eine Verbesserung des Service steht der etwaigen Belästigung durch elektronischer Werbung gegenüber.
Für einen datenschutzkonformen Einsatz von derartigen Apps sind daher verständliche Datenschutzhinweise/Datenschutzerklärungen und ein funktionierendes Consent-Management unumgänglich. Gleichwohl kann die App jederzeit, spätestens nach Rückkehr aus dem Urlaub wieder gelöscht werden. Alternativ bleibt den betroffenen Personen nur der vorherige Ausdruck der Unterlagen oder der Weg über Telefon oder das Gespräch bei der Rezeption. Aber auch früher, ohne Smartphone, hat der Urlaub ja auch irgendwie geklappt.