Der Datenschutz kommt bei Smartphone-Apps bisher entscheidend zu kurz: Darüber sind sich Datenschützer weitgehend einig. Das Landesamt für Datenschutzaufsicht in Bayern (LDA) hat daher automatisierte Verfahren entwickelt, um die Anwendungen mit geringem Aufwand auf die Einhaltung der datenschutzrechtlichen Anforderungen hin zu überprüfen.
Problematischer Datenhunger von App-Anbietern
Die Durchsetzung eines akzeptablen Datenschutz-Niveaus bei Smartphone-Apps war bisher relativ schwierig. Die kleinen Programme schienen sich zu schnell in zu unübersichtlicher Menge zu verbreiten. Schließlich gibt es für jede Kleinigkeit im Lebensalltag – vom Feststellen des Sonnenstands bis hin zum Auspusten von Kerzen – inzwischen eine entsprechende Anwendung für mobile Geräte.
Gleichzeitig sind sie relativ einfach und schnell zu beziehen. Zahlreiche Apps werden kostenlos angeboten und sind ohne großen Aufwand über den App Store auf dem Gerät installiert. So gab Apple an, im Jahr 2016 erstmals mehr als zwei Millionen Apps in seinem App Store anzubieten. Auch Googles Play Store bietet aktuell über zwei Millionen Apps zum Download an. Völlig unverhältnismäßig zur Flut der Programme erscheint im Vergleich dazu den meisten Nutzern der Aufwand, eine seitenlange Datenschutzerklärung für jedes Programm durchzulesen und nachzuvollziehen.
Diesen Umstand haben einige Anbieter ausgenutzt, um Daten ihrer Kunden in einem Umfang zu sammeln, der den meisten Nutzern nicht bewusst war. Zwar müssen sich Apps mittlerweile den Zugriff auf Teile des Smartphones oder Tablets vom Nutzer freigeben lassen, aber dabei lassen sich immer wieder Apps Berechtigungen einräumen, die sie für den eigenen Betrieb gar nicht benötigen. Wer kommt schon auf die Idee, dass eine einfache Spiele-App Adressbuchdaten, Standortinformationen, Anruflisten und gespeicherte Bilder auswertet? Wie viele Anwender sind sich darüber im Klaren, dass einige Programme umfangreiche persönliche Daten nicht nur an den Hersteller der Anwendung, sondern gleich an ein Dutzend weiterer Unternehmen weiterleiten? Eine Studie von Forschern der Universität Oxford ergab beispielsweise, dass 42,55 Prozent der Apps im Google Play Store den Facebook-Tracker enthalten. Wie viele Anwender haben einen Überblick darüber, welche App auf welche teils sehr privaten Informationen wie den Inhalt von Textnachrichten oder Fotos zugreift?
Landesbehörde entwickelt automatisiertes Prüfverfahren
Dass seitens der Datenschützer Handlungsbedarf besteht, ist offensichtlich. Das LDA in Bayern prüfte 2013 stichprobenartig 30 Apps und 2014 noch einmal 60 weitere – und fand zahlreiche Verstöße gegen das Datenschutzrecht. Keine App erfüllte die Anforderungen an den Datenschutz. Das Verhalten der Apple- und Android-Apps wurde dabei mithilfe von Methoden aus der IT-Forensik und Erkenntnissen aus aktuellen Forschungsprojekten im Bereich der Mobile Security analysiert.
Untersucht wurden dabei Informationen wie die übermittelten Netzwerkdaten, die beteiligten Datenempfänger, die eingesetzte Verschlüsselung und die Methoden zur Reichweitenmessung.
Worauf sollten App-Anbieter achten?
Die Datenschutz-Grundverordnung (DSGVO) macht auch vor Apps nicht Halt. Daraus ergeben sich unter anderem folgende Erfordernisse:
- Der Anwender ist vor der erstmaligen Nutzung der App darüber zu informieren, welche seiner personenbezogenen Daten erhoben, zu welchem konkreten Zweck diese genutzt, in welche Länder und an welche genau bestimmten Unternehmen oder sonstigen Stellen diese übermittelt werden. Jede App sollte über eine entsprechende Datenschutzerklärung verfügen, die für den Nutzer schon vor der Installation und beim erstmaligen Start der App einsehbar sein muss. Der Inhalt der Datenschutzerklärung muss darüber hinaus für den Anwender jederzeit abrufbar vorliegen.
- Die alleinige Existenz einer Datenschutzerklärung ist jedoch nicht ausreichend. Der Anbieter muss nachprüfbar im Rahmen des Möglichen und Zumutbaren sicherstellen, dass der Anwender den Inhalt verstanden hat. Das beinhaltet auch, dass die Erklärung verständlich formuliert und übersichtlich gestaltet ist.
- Erhebt der Anbieter Daten, die über die gesetzlich geregelten Zwecke beispielsweise zur Durchführung des Rechtsgeschäftes hinaus gehen, ist eine ausdrückliche und freiwillige Einwilligung des betroffenen Nutzers erforderlich. Eine solche Einwilligung muss konkret nennen, welche Daten zu welchen eindeutig definierten Zwecken genutzt werden. Die Erteilung der Einwilligung ist zu protokollieren.
- Eine Einwilligung ist nur dann gültig, wenn es dem Betroffenen jederzeit möglich ist, diese für die Zukunft zu widerrufen. Der Anbieter muss entsprechende Möglichkeiten und Wege dazu anbieten und ist dazu verpflichtet, den Nutzer ausdrücklich auf sein Widerrufsrecht hinzuweisen.
- Richten sich Apps an Kinder und Jugendliche unter 16 Jahren, so ist darauf zu achten, dass die Einwilligung der Eltern vorliegen muss, damit personenbezogene Daten verarbeitet werden können.
- Wird das Nutzerverhalten von der App getrackt, so muss auch hier die Einwilligung vor dem Tracking eingeholt werden. Auch über das Tracking muss in der Datenschutzerklärung informiert werden.
- Der Anbieter muss geeignete technische Maßnahmen ergreifen, um die Nutzerdaten vor einem Zugriff Dritter zu schützen. Insbesondere muss eine verschlüsselte Datenübermittlung sichergestellt sein. Das LDA Bayern stellt einen Prüfkatalog zur Verfügung, um die Umsetzung der technischen Maßnahmen zu erfassen. Dieser wurde zwar noch nicht auf die Anforderungen der DSGVO aktualisiert, bietet aber dennoch eine wertvolle Auflistung der notwendigen technischen Maßnahmen.
- Dem Anwender muss die Möglichkeit angeboten werden, Bezahlvorgänge im Zusammenhang mit dem Erwerb oder der Nutzung der App, soweit möglich und zumutbar, anonym oder unter Pseudonym zu tätigen.
- Anbieter sollten die Einhaltung der datenschutzrechtlichen Bestimmungen sowohl im Hinblick auf den Datenfluss im Rahmen der eigentlichen Anwendung als auch der Reichweitenanalyse kontrollieren. Das LDA nennt diesen Bereich explizit als einen Gegenstand seiner Prüfungen.
- Der Anbieter ist dazu verpflichtet, sich gegenüber dem Nutzer eindeutig kenntlich zu machen. Daher sollten Apps nicht nur über ein ordnungsgemäßes Impressum verfügen. Der für die Datenverarbeitung verantwortliche Anbieter muss auch in der Datenschutzerklärung erwähnt werden.
Für App-Entwickler und -anbieter hat der Düsseldorfer Kreis einen Leitfaden herausgegeben, damit der Datenschutz bereits in der Planungsphase berücksichtigt werden kann. Aktuell gibt es zwar keine Fassung, welche konkret auf die DSGVO zugeschnitten wurde, allerdings gibt der Leitfaden wichtige Anhaltspunkte über zu berücksichtigende Aspekte bei der App-Entwicklung.
Dieser aktualisierte Artikel wurde zuerst am 24. April 2013 veröffentlicht.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.