Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Redaktion Dr. Web 26. März 2013

Smartphone-Apps als Herausforderung für Datenschutz und Sicherheit

Smartphones sind aus unse­rem Leben nicht mehr weg­zu­den­ken und unser stän­di­ger Begleiter in der moder­nen Geschäftswelt. Laut einer aktu­el­len Umfrage des Branchenverbandes BITKOM hat jeder drit­te Deutsche ein Smartphone. Schätzungen zufol­ge wer­den in die­sem Jahr mit einem Anteil von 55 Prozent erst­mals mehr Smartphones als sons­ti­ge Handys ver­kauft.

Mindestens eben­so popu­lär wie die Smartphones sind die Apps, die schnell über einen in das Betriebssystem inte­grier­ten Online-Shop bezo­gen und direkt auf dem trag­ba­ren Gerät instal­liert wer­den kön­nen. Was jedoch noch weni­ge wis­sen ist, dass zahl­rei­che Apps daten­schutz­recht­lich bedenk­lich sind, da sie per­so­nen­be­zo­ge­ne Daten ohne unser Wissen an den App-Anbieter über­mit­teln. Dieser kann auf­grund der so ermit­tel­ten Daten Personen- und Nutzerprofile erstel­len, die er an die Werbewirtschaft ver­kau­fen kann.

app-67760_640

Welche Daten werden beim Herunterladen einer App erhoben und verarbeitet?

Wenn der Nutzer aus einem Online-Store eine App her­un­ter­lädt und die­se bei­spiels­wei­se auf sei­nem Smartphone instal­liert, wer­den per­so­nen­be­zo­ge­ne Daten des Nutzers sowohl vom Online-Store Betreiber als auch vom App-Anbieter erho­ben und ver­ar­bei­tet. Dabei unter­schei­det man zwi­schen auto­ma­ti­siert und vom Nutzer selbst über­mit­tel­ten Daten.

Vom Nutzer eingegebene Daten

Zu den Daten, die der Nutzer sel­ber ein­gibt, gehö­ren bei­spiels­wei­se sei­ne Anmeldedaten. Um beim iTunes Shop (ipho­ne) oder bei Google Marketplace (Samsung Smartphone) ein­kau­fen zu kön­nen, muss der Nutzer sich beim jewei­li­gen Shop-Betreiber regis­trie­ren. Dafür muss er sei­ne per­so­nen­be­zo­ge­ne Daten wie Name, E-Mail Adresse etc., ange­ben, die dann an die App-Anbietern wei­ter­ge­lei­tet wer­den.

Außerdem kann der App-Anbieter Daten des Nutzers erhe­ben und spei­chern, die der Nutzer wäh­rend der Verwendung der App erzeugt. Ein Beispiel dafür sind die Warenbestellung und die Games-Stores sowie Kommunikationsinhalte, wenn der Nutzer mit ande­ren App-Nutzern über die App kom­mu­ni­ziert.

Automatisiert übermittelte Daten

In eini­gen Fällen erhebt der App-Anbieter eine Kennziffer, die soge­nann­te UDID (uni­que device iden­ti­fier). Damit kann der App-Anbieter Smartphones oder iPads ein­deu­tig iden­ti­fi­zie­ren und zusätz­lich Nutzerstatistiken erstel­len.

Bei zahl­rei­chen Apps wie bei­spiels­wei­se Google, Hotelbewertungen und Reise- und Navigations-Apps wer­den Informationen zum Standort der Nutzer erho­ben. Außerdem kön­nen Apps wie etwa Facebook und WhatsApp auf alle lokal gespei­cher­ten Daten zugrei­fen und Adressbücher und Kalendereinträge des Nutzers aus­le­sen.

Anwendbarkeit Deutschen Datenschutzrechts

Grundsätzlich sind deut­sches Datenschutzrecht und die Spezialvorschriften des Telekommunikationsgesetzes sowie des Telemediengesetzes anwend­bar, wenn ein App-Anbieter in Deutschland Daten erhebt und ver­ar­bei­tet. Häufig sind es jedoch aus­län­di­sche Unternehmen, die Apps anbie­ten. Hier ist es in der Praxis sehr schwie­rig, deut­sches Datenschutzrecht gegen­über aus­län­di­schen App-Anbietern durch­zu­set­zen.

recht-paragrafen

Umsetzung der Vorgaben für App-Anbieter

Grundsätzlich soll­ten sich App-Anbieter und Entwickler von Apps an den ein­schlä­gi­gen Gesetzen ori­en­tie­ren und die Betroffenenrechte wah­ren. Nur dann wer­den sich lang­fris­tig die geschaf­fe­nen Lösungen durch­set­zen und vom Nutzer akzep­tiert wer­den.

So ist bei­spiels­wei­se gem. § 13 Abs.1 TMG der App-Anbieter ver­pflich­tet, zu Beginn des Nutzungsvorgangs über die Art, den Umfang und die Zwecke der Erhebung und Verwendung per­so­nen­be­zo­ge­ner Nutzerdaten (…) in all­ge­mein ver­ständ­li­cher Form zu unter­rich­ten. Die Transparenz, die mit die­ser Regelung geschaf­fen wer­den soll, wird jedoch lei­der nicht erreicht, wenn die Datenschutzerklärung etwa zu spät erfolgt oder schlicht­weg zu lang for­mu­liert ist.

Obwohl heu­te in mobi­len App-Stores ein Button „Rechtliches“ ein­ge­baut ist, kommt es in der Praxis kaum vor, dass der Nutzer die Nutzungsbedingungen und die Datenschutzerklärung wirk­lich anklickt und abruft. Hier ist es sinn­voll, ande­re Lösungen zu inte­grie­ren. Die Datenschutzerklärung soll­te bes­ser erreich­bar und für den Nutzer jeder­zeit abruf­bar sein, zum Beispiel durch die Einbindung eines Links.

Es ist jedoch nicht nur vor­ge­schrie­ben, über die Erhebung der Nutzerdaten zu unter­rich­ten, son­dern der Nutzer muss vor der Erhebung und Verwendung sei­ner Daten durch den App-Anbieter auch sei­ne Einwilligung ertei­len. Gem. § 13 Abs. 2 TMG kann die Einwilligung elek­tro­nisch erklärt wer­den, wenn der Diensteanbieter sicher­stellt, dass

  1. der Nutzer sei­ne Einwilligung bewusst und ein­deu­tig erteilt hat,
  2. die Einwilligung pro­to­kol­liert wird,
  3. der Nutzer den Inhalt der Einwilligung jeder­zeit abru­fen kann und
  4. der Nutzer die Einwilligung jeder­zeit mit Wirkung für die Zukunft wider­ru­fen kann. Die Umsetzung der gesetz­li­chen Regelungen ist für bei­de Seiten sinn­voll: Der App-Anbieter kann bes­ser nach­wei­sen, ob die Einwilligung wirk­lich vom Nutzer erteilt wur­de und gleich­zei­tig hilft es dem Nutzer, bes­ser nach­zu­voll­zie­hen, wel­che Einwilligung er erteilt hat.

Recht auf Löschung von Daten

Der App-Nutzer hat grund­sätz­lich einen Anspruch auf Auskunft und Löschung sei­ner Daten nach dem Bundesdatenschutzgesetz. Das heißt, der App-Anbieter muss auf Verlangen des Nutzers Auskunft über die zu sei­ner Person gespei­cher­ten Daten geben. Auf Verlangen des Nutzers müs­sen die­se vom App-Anbieter gelöscht wer­den.

Ein Löschungsanspruch kann sich jedoch auch erge­ben, wenn die per­so­nen­be­zo­ge­nen Daten für die Erfüllung des Zwecks nicht mehr erfor­der­lich sind (gem. § 35 Abs.2 BDSG). Das bedeu­tet, sie müs­sen zum Beispiel gelöscht wer­den, wenn der Nutzer die App löscht. Allerdings wird dies dem App-Anbieter in den sel­tens­ten Fällen bekannt wer­den. Hier soll­te über­legt wer­den, ob nicht eine regel­mä­ßi­ge Löschung nach einem bestimm­ten Zeitraum, indem der Nutzer die App nicht benutzt hat, emp­feh­lens­wert wäre.

Fazit: Es gibt zwar zahl­rei­che Vorschriften und Datenschutzgesetze, die von App-Anbietern ein­ge­hal­ten wer­den müss­ten. Häufig wer­den die­se jedoch von App-Anbietern igno­riert. Die Entwicklung geht zuneh­mend dahin, dass die App-Nutzer kri­ti­scher wer­den, mehr Bewusstsein für den Datenschutz ent­wi­ckeln, unsi­che­re Apps nicht mehr aus­wäh­len oder zuneh­mend ganz dar­auf ver­zich­ten. Daher ist App-Anbietern zu raten, sich mehr um das Thema Datenschutz zu küm­mern und die bestehen­den Regelungen des Datenschutzes schon in der App-Entwicklung zu beach­ten.

Die Autorin:

Mira M. Martz ist Rechtsassessorin und und war nach Ihrem zwei­ten Staatsexamen meh­re­re Jahre in der Unternehmenskommunikation in Berlin tätig. Stationen waren unter ande­rem zwei Bundesverbände und die Kommunikationsagentur Doebler PR. Bei der Rechtsanwaltskanzlei Schürmann Wolschendorf Dreyer ist sie für die Kommunikation und das Marketing zustän­dig.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut nam­haf­te natio­na­le und inter­na­tio­na­le Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angren­zen­den Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erschei­nen regel­mä­ßig Fachaufsätze zu Rechtsfragen aus dem digi­ta­len Themenspektrum.

Redaktion Dr. Web

Unter der Bezeichnung "Redaktion Dr. Web" findest du Beiträge, die von mehreren Autorinnen und Autoren kollaborativ erstellt wurden. Auch Beiträge von Gastautoren sind hier zu finden. Beachte dann bitte die zusätzlichen Informationen zum Autor oder zur Autorin im Beitrag selbst.

4 Kommentare

  1. Ehrlich gesagt macht mir da die Tatsache mehr Angst, das staat­li­che Stellen auf alle Dienste die so ein Jugendlicher in der heu­ti­gen Zeit nutzt, Zugriff hat. Ich bin gespannt wer in 30 Jahren Regierungsposten anneh­men wird; ent­we­der hat­te er “spies­si­ge” Eltern die Ihm alles ver­bo­ten haben, ist erpress­bar bis aufs Letzte oder er war ein Aussenseiter – aus denen ja sta­tis­tisch gese­hen am ehes­ten Psychopathen wer­den – “ich hat­te ja so eine schlim­me Kindheit”.

    Ich hof­fe ich lie­ge damit 100% dane­ben und alles war etwas über­zo­gen.…

  2. Streiche “Google Marketplace” set­ze “Google Play Store”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.