Anwendungsbereich
Der Düsseldorfer Kreis ist ein Gremium der Konferenz der Datenschutzbeauftragten des Bundes und der Länder und koordiniert damit die Entschließungen der unterschiedlichen Datenschutzbehörden. Dessen Empfehlungen werden von den einzelnen Landesdatenschutzbehörden aufgegriffen und sind dadurch entscheidend für alle App-Anbieter und App-Entwickler mit Sitz in Deutschland. Nicht zu beachten sind diese Empfehlungen (und deutsches Datenschutzrecht), wenn sich die App-Anbieter/Entwickler in einem anderen Land der Europäischen Union bzw. des Europäischen Wirtschaftsraumes (EWR) befinden. Aufpassen müssen jedoch Anbieter/Entwickler außerhalb Europas, für diese können die Empfehlungen bzw. deutsches Datenschutzrecht Anwendung finden, wenn personenbezogene Daten in Deutschland mittels der App erhoben werden. Dies ist leicht der Fall, z.B. durch die Eingabe von Registrierungsdaten in einer App, aber auch ggf. schlicht durch die Benutzung der App.
Opt-out
Der Düsseldorfer Kreis weist darauf hin, dass Widerspruchsmöglichkeiten effektiv und angemessen erfolgen müssen, was in erster Linie durch Opt-out-Links und Auskreuzfelder erfolgen soll. Die bislang ungeklärte Frage, ob ein Opt-out auch durch E-Mail oder postalisch erfolgen kann, wird verneint und zu Recht damit begründet, dass dies einen Medienbruch bedeuten würde. Sofern ein Opt-out über die allgemeinen Einstellungen des Endgeräts erfolgen soll, so wird eine konkrete Schritt-für-Schritt-Anleitung verlangt, wie die Einstellungen geräteangepasst erfolgen können. Der bloße Hinweis auf Einstellungsmöglichkeiten am Gerät genügt nicht. In der Praxis muss für sämtliche eingebundenen Analyse- und Werbeanbieter (z.B. Localytics, Flurry Analytics, aber auch Tools zur Reichweitenmessung) geprüft werden, ob ein Opt-out rechtlich erforderlich ist und wie dies technisch ausgestaltet werden kann. Dabei ist insbesondere die Beachtung von Widersprüchen bei gleichsam nativen Inhalten und Webview-Seiten eine Herausforderung.
Regelungen des BDSG und TMG
Abschließend wird darauf hingewiesen, dass Bundesdatenschutzgesetz und Telemediengesetz je nach Nutzungskontext Anwendung finden. Sofern hiernach keine gesetzliche Erlaubnis besteht, kann eine Datenverarbeitung nach der Einwilligung durch den Nutzer erlaubt sein. Hierfür kommt es auf die exakte Formulierung der Einwilligung an, wobei jedoch durch die gängigen Betriebssysteme wie Android und iOS oftmals technische Rahmenbedingungen und die geringe Größe der Smartphones beachtet werden müssen.
———————————–
Andreas Dölker, LL.M. (UBC) | Rechtsanwalt |
als Berater für die ISiCO Datenschutz GmbH tätig
Andreas Dölker berät Unternehmen an den Schnittstellen zwischen Recht und Technik, zu Themen wie Outsourcing, Cloud-Computing, Open-Source, Lizenzierung und Online-Marketing. Zu seinen Mandanten gehören hauptsächlich Unternehmen aus der Informations- und Telekommunikationstechnologiebranche.
Die ISiCO Datenschutz GmbH ist ein in Berlin ansässiges Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.
Fotocredit: © Kigoo Images | www.pixelio.de
Quelle des Beitrages: http://www.isico-datenschutz.de
Appspezifische Datenschutzerklärung
Wie letztes Jahr auch bei unseren Partnern von www.medienundmarken.de dargestellt, benötigen Apps eine angepasste Datenschutzerklärung. Hierzu empfiehlt der Düsseldorfer Kreis die Erklärung entweder im App-Store oder nach dem Herunterladen und vor dem Start der App für den Nutzer zum Abruf bereitzuhalten. Neben den üblichen gesetzlich geforderten Inhalten, sollen die eingeholten Berechtigungen und konkret stattfindenden Zugriffe erläutert werden.
Hervorgehoben wird die Einteilung in Kapitel, die einzeln geöffnet werden können, wodurch ähnliche Empfehlungen ausgesprochen werden, wie von der Artikel 29-Gruppe auf europäischer Ebene. Schließlich weist der Düsseldorfer Kreis darauf hin, dass auch Apps ein Impressum vorhalten müssen. Nicht beantwortet wird dabei die Frage, ob die bisherige 2-Klick-Rechtsprechung, d.h. die Erreichbarkeit des Impressums nach höchstens zwei Maus-Klicks, auch auf Apps angewendet werden kann oder ob aufgrund des kleineren Bildschirm Besonderheiten gelten (z.B. Berücksichtigung, dass oftmals bereits ein Klick erforderlich ist, um ein Menü zu öffnen).
Gerätekennungen und Standortdaten
Letzteres hat damit zu tun, dass Geräte- und Kartenkennungen von Smartphones bereits als personenbezogene Daten angesehen werden. Beim Umgang mit Kennungen wie IMEI, UDID, IMSI oder MSISDN sind daher schon die Anforderungen des Bundesdatenschutzgesetzes sowie des Telemediengesetzes zu beachten. In der Praxis ist konkret zu prüfen, zu welchem Zweck die Kennziffern eingesetzt werden und ob die Verwendung gesetzeskonform ist. Insbesondere ist eine zufallsgenerierte eindeutige Nummer anstatt einer festen Gerätekennung empfehlenswert; dies hat den Vorteil, dass außerhalb der App oder bei Neuinstallation der App (oder des Gerätes) kein Bezug mehr zum Gerät vorhanden ist.
Weiterhin stellen Standortdaten oftmals personenbezogene Daten dar, die für die Erstellung von Bewegungsprofilen genutzt werden können, daher verweisen die Behörden darauf, dass die Verarbeitung von Nutzungsdaten für Werbezwecken nur mit einer gesetzlichen Erlaubnis oder der Einwilligung des Nutzers möglich ist. Schließlich ist darauf zu achten, dass die Standortdaten nicht exakt erfasst werden, sondern entsprechend „verwaschen“ werden (z. B. anstatt „München Bahnhofsplatz 1“ ist „München Stadtmitte“ zu empfehlen) und nur in einem Intervall abgefragt werden, das für die Benutzung der App tatsächlich erforderlich ist.