Redaktion Dr. Web 26. März 2013

Smartphone-Apps als Herausforderung für Datenschutz und Sicherheit

Smartphones sind aus unserem Leben nicht mehr wegzudenken und unser ständiger Begleiter in der modernen Geschäftswelt. Laut einer aktuellen Umfrage des Branchenverbandes BITKOM hat jeder dritte Deutsche ein Smartphone. Schätzungen zufolge werden in diesem Jahr mit einem Anteil von 55 Prozent erstmals mehr Smartphones als sonstige Handys verkauft.

Mindestens ebenso populär wie die Smartphones sind die Apps, die schnell über einen in das Betriebssystem integrierten Online-Shop bezogen und direkt auf dem tragbaren Gerät installiert werden können. Was jedoch noch wenige wissen ist, dass zahlreiche Apps datenschutzrechtlich bedenklich sind, da sie personenbezogene Daten ohne unser Wissen an den App-Anbieter übermitteln. Dieser kann aufgrund der so ermittelten Daten Personen- und Nutzerprofile erstellen, die er an die Werbewirtschaft verkaufen kann.

app-67760_640

Welche Daten werden beim Herunterladen einer App erhoben und verarbeitet?

Wenn der Nutzer aus einem Online-Store eine App herunterlädt und diese beispielsweise auf seinem Smartphone installiert, werden personenbezogene Daten des Nutzers sowohl vom Online-Store Betreiber als auch vom App-Anbieter erhoben und verarbeitet. Dabei unterscheidet man zwischen automatisiert und vom Nutzer selbst übermittelten Daten.

Vom Nutzer eingegebene Daten

Zu den Daten, die der Nutzer selber eingibt, gehören beispielsweise seine Anmeldedaten. Um beim iTunes Shop (iphone) oder bei Google Marketplace (Samsung Smartphone) einkaufen zu können, muss der Nutzer sich beim jeweiligen Shop-Betreiber registrieren. Dafür muss er seine personenbezogene Daten wie Name, E-Mail Adresse etc., angeben, die dann an die App-Anbietern weitergeleitet werden.

Außerdem kann der App-Anbieter Daten des Nutzers erheben und speichern, die der Nutzer während der Verwendung der App erzeugt. Ein Beispiel dafür sind die Warenbestellung und die Games-Stores sowie Kommunikationsinhalte, wenn der Nutzer mit anderen App-Nutzern über die App kommuniziert.

Automatisiert übermittelte Daten

In einigen Fällen erhebt der App-Anbieter eine Kennziffer, die sogenannte UDID (unique device identifier). Damit kann der App-Anbieter Smartphones oder iPads eindeutig identifizieren und zusätzlich Nutzerstatistiken erstellen.

Bei zahlreichen Apps wie beispielsweise Google, Hotelbewertungen und Reise- und Navigations-Apps werden Informationen zum Standort der Nutzer erhoben. Außerdem können Apps wie etwa Facebook und WhatsApp auf alle lokal gespeicherten Daten zugreifen und Adressbücher und Kalendereinträge des Nutzers auslesen.

Anwendbarkeit Deutschen Datenschutzrechts

Grundsätzlich sind deutsches Datenschutzrecht und die Spezialvorschriften des Telekommunikationsgesetzes sowie des Telemediengesetzes anwendbar, wenn ein App-Anbieter in Deutschland Daten erhebt und verarbeitet. Häufig sind es jedoch ausländische Unternehmen, die Apps anbieten. Hier ist es in der Praxis sehr schwierig, deutsches Datenschutzrecht gegenüber ausländischen App-Anbietern durchzusetzen.

recht-paragrafen

Umsetzung der Vorgaben für App-Anbieter

Grundsätzlich sollten sich App-Anbieter und Entwickler von Apps an den einschlägigen Gesetzen orientieren und die Betroffenenrechte wahren. Nur dann werden sich langfristig die geschaffenen Lösungen durchsetzen und vom Nutzer akzeptiert werden.

So ist beispielsweise gem. § 13 Abs.1 TMG der App-Anbieter verpflichtet, zu Beginn des Nutzungsvorgangs über die Art, den Umfang und die Zwecke der Erhebung und Verwendung personenbezogener Nutzerdaten (…) in allgemein verständlicher Form zu unterrichten. Die Transparenz, die mit dieser Regelung geschaffen werden soll, wird jedoch leider nicht erreicht, wenn die Datenschutzerklärung etwa zu spät erfolgt oder schlichtweg zu lang formuliert ist.

Obwohl heute in mobilen App-Stores ein Button „Rechtliches“ eingebaut ist, kommt es in der Praxis kaum vor, dass der Nutzer die Nutzungsbedingungen und die Datenschutzerklärung wirklich anklickt und abruft. Hier ist es sinnvoll, andere Lösungen zu integrieren. Die Datenschutzerklärung sollte besser erreichbar und für den Nutzer jederzeit abrufbar sein, zum Beispiel durch die Einbindung eines Links.

Es ist jedoch nicht nur vorgeschrieben, über die Erhebung der Nutzerdaten zu unterrichten, sondern der Nutzer muss vor der Erhebung und Verwendung seiner Daten durch den App-Anbieter auch seine Einwilligung erteilen. Gem. § 13 Abs. 2 TMG kann die Einwilligung elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

  1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  2. die Einwilligung protokolliert wird,
  3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Die Umsetzung der gesetzlichen Regelungen ist für beide Seiten sinnvoll: Der App-Anbieter kann besser nachweisen, ob die Einwilligung wirklich vom Nutzer erteilt wurde und gleichzeitig hilft es dem Nutzer, besser nachzuvollziehen, welche Einwilligung er erteilt hat.

Recht auf Löschung von Daten

Der App-Nutzer hat grundsätzlich einen Anspruch auf Auskunft und Löschung seiner Daten nach dem Bundesdatenschutzgesetz. Das heißt, der App-Anbieter muss auf Verlangen des Nutzers Auskunft über die zu seiner Person gespeicherten Daten geben. Auf Verlangen des Nutzers müssen diese vom App-Anbieter gelöscht werden.

Ein Löschungsanspruch kann sich jedoch auch ergeben, wenn die personenbezogenen Daten für die Erfüllung des Zwecks nicht mehr erforderlich sind (gem. § 35 Abs.2 BDSG). Das bedeutet, sie müssen zum Beispiel gelöscht werden, wenn der Nutzer die App löscht. Allerdings wird dies dem App-Anbieter in den seltensten Fällen bekannt werden. Hier sollte überlegt werden, ob nicht eine regelmäßige Löschung nach einem bestimmten Zeitraum, indem der Nutzer die App nicht benutzt hat, empfehlenswert wäre.

Fazit: Es gibt zwar zahlreiche Vorschriften und Datenschutzgesetze, die von App-Anbietern eingehalten werden müssten. Häufig werden diese jedoch von App-Anbietern ignoriert. Die Entwicklung geht zunehmend dahin, dass die App-Nutzer kritischer werden, mehr Bewusstsein für den Datenschutz entwickeln, unsichere Apps nicht mehr auswählen oder zunehmend ganz darauf verzichten. Daher ist App-Anbietern zu raten, sich mehr um das Thema Datenschutz zu kümmern und die bestehenden Regelungen des Datenschutzes schon in der App-Entwicklung zu beachten.

Die Autorin:

Mira M. Martz ist Rechtsassessorin und und war nach Ihrem zweiten Staatsexamen mehrere Jahre in der Unternehmenskommunikation in Berlin tätig. Stationen waren unter anderem zwei Bundesverbände und die Kommunikationsagentur Doebler PR. Bei der Rechtsanwaltskanzlei Schürmann Wolschendorf Dreyer ist sie für die Kommunikation und das Marketing zuständig.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

Redaktion Dr. Web

Unter der Bezeichnung "Redaktion Dr. Web" findest du Beiträge, die von mehreren Autorinnen und Autoren kollaborativ erstellt wurden. Auch Beiträge von Gastautoren sind hier zu finden. Beachte dann bitte die zusätzlichen Informationen zum Autor oder zur Autorin im Beitrag selbst.
Dr. Webs exklusiver Newsletter
Hinweise zum Datenschutz, also dem Einsatz von Double-Opt-In, der Protokollierung der Anmeldung, der Erfolgsmessung, dem Einsatz von MailChimp als Versanddienstleister und deinen Widerrufsrechten findest du in unseren Datenschutzhinweisen.

4 Kommentare

  1. Ehrlich gesagt macht mir da die Tatsache mehr Angst, das staatliche Stellen auf alle Dienste die so ein Jugendlicher in der heutigen Zeit nutzt, Zugriff hat. Ich bin gespannt wer in 30 Jahren Regierungsposten annehmen wird; entweder hatte er „spiessige“ Eltern die Ihm alles verboten haben, ist erpressbar bis aufs Letzte oder er war ein Aussenseiter – aus denen ja statistisch gesehen am ehesten Psychopathen werden – „ich hatte ja so eine schlimme Kindheit“.

    Ich hoffe ich liege damit 100% daneben und alles war etwas überzogen….

  2. Streiche „Google Marketplace“ setze „Google Play Store“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kennst du schon unseren Newsletter?

Hinweise zum Datenschutz, also dem Einsatz von Double-Opt-In, der Protokollierung der Anmeldung, der Erfolgsmessung, dem Einsatz von MailChimp als Versanddienstleister und deinen Widerrufsrechten findest du in unseren Datenschutzhinweisen.