Von Andreas Dölker
Der Düsseldorfer Kreis ist ein Gremium der Konferenz der Datenschutzbeauftragten des Bundes und der Länder und koordiniert damit die Entschließungen der unterschiedlichen Datenschutzbehörden. Dessen Empfehlungen werden von den einzelnen Landesdatenschutzbehörden aufgegriffen und sind dadurch entscheidend für alle App-Anbieter und App-Entwickler mit Sitz in Deutschland.
Nicht zu beachten sind diese Empfehlungen und deutsches Datenschutzrecht, wenn sich die App-Anbieter/Entwickler in einem anderen Land der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraumes (EWR) befinden. Aufpassen müssen jedoch Anbieter und Entwickler außerhalb Europas, für diese können die Empfehlungen beziehungsweise deutsches Datenschutzrecht Anwendung finden, wenn personenbezogene Daten in Deutschland mittels der App erhoben werden. Dies ist leicht der Fall, zum Beispiel durch die Eingabe von Registrierungsdaten in einer App, aber auch gegebenenfalls schlicht durch die Benutzung der App.
Zufallsgenerierte Nummer statt fester Gerätekennung
Letzteres hat damit zu tun, dass Geräte- und Kartenkennungen von Smartphones bereits als personenbezogene Daten angesehen werden. Beim Umgang mit Kennungen wie IMEI, UDID, IMSI oder MSISDN sind daher schon die Anforderungen des Bundesdatenschutzgesetzes sowie des Telemediengesetzes zu beachten. In der Praxis ist konkret zu prüfen, zu welchem Zweck die Kennziffern eingesetzt werden und ob die Verwendung gesetzeskonform ist. Insbesondere ist eine zufallsgenerierte eindeutige Nummer anstatt einer festen Gerätekennung empfehlenswert; dies hat den Vorteil, dass außerhalb der App oder bei Neuinstallation der App (oder des Gerätes) kein Bezug mehr zum Gerät vorhanden ist.
Weiterhin stellen Standortdaten oftmals personenbezogene Daten dar, die für die Erstellung von Bewegungsprofilen genutzt werden können, daher verweisen die Behörden darauf, dass die Verarbeitung von Nutzungsdaten für Werbezwecken nur mit einer gesetzlichen Erlaubnis oder der Einwilligung des Nutzers möglich ist. Schließlich ist darauf zu achten, dass die Standortdaten nicht exakt erfasst werden, sondern entsprechend „verwaschen“ werden (z. B. anstatt „München Bahnhofsplatz 1“ ist „München Stadtmitte“ zu empfehlen) und nur in einem Intervall abgefragt werden, das für die Benutzung der App tatsächlich erforderlich ist.
Opt-out ohne Medienbruch
Der Düsseldorfer Kreis weist auf die Notwendigkeit effektiver und angemessener Widerspruchsmöglichkeiten hin, was in erster Linie durch Opt-out-Links und Auskreuzfelder erfolgen soll. Die bislang ungeklärte Frage, ob ein Opt-out auch durch E-Mail oder postalisch erfolgen kann, wird verneint und zu Recht damit begründet, dass dies einen Medienbruch bedeuten würde. Sofern ein Opt-out über die allgemeinen Einstellungen des Endgeräts erfolgen soll, so wird eine konkrete Schritt-für-Schritt-Anleitung verlangt, wie die Einstellungen geräteangepasst erfolgen können. Der bloße Hinweis auf Einstellungsmöglichkeiten am Gerät genügt nicht.
In der Praxis muss für sämtliche eingebundenen Analyse- und Werbeanbieter (zum Beispiel Localytics, Flurry Analytics, aber auch Tools zur Reichweitenmessung) geprüft werden, ob ein Opt-out rechtlich erforderlich ist und wie dies technisch ausgestaltet werden kann. Dabei ist insbesondere die Beachtung von Widersprüchen bei gleichsam nativen Inhalten und Webview-Seiten eine Herausforderung.
App-spezifische Datenschutzerklärung formulieren
Apps benötigen eine angepasste Datenschutzerklärung. Hierzu empfiehlt der Düsseldorfer Kreis, die Erklärung entweder im App-Store oder nach dem Herunterladen und vor dem Start der App für den Nutzer zum Abruf bereitzuhalten. Neben den üblichen gesetzlich geforderten Inhalten sollen die eingeholten Berechtigungen und konkret stattfindenden Zugriffe erläutert werden.
Hervorgehoben wird die Einteilung in Kapitel, die einzeln geöffnet werden können, wodurch ähnliche Empfehlungen ausgesprochen werden wie von der Artikel 29-Gruppe auf europäischer Ebene. Schließlich weist der Düsseldorfer Kreis darauf hin, dass auch Apps ein Impressum vorhalten müssen. Nicht beantwortet wird dabei die Frage, ob die bisherige Zwei-Klick-Rechtsprechung, das heißt die Erreichbarkeit des Impressums nach höchstens zwei Maus-Klicks, auch auf Apps angewendet werden kann oder ob aufgrund des kleineren Bildschirm Besonderheiten gelten (zum Beispiel die Berücksichtigung, dass oftmals bereits ein Klick erforderlich ist, um ein Menü zu öffnen).
Regelungen des BDSG und TMG
Abschließend wird darauf hingewiesen, dass Bundesdatenschutzgesetz und Telemediengesetz je nach Nutzungskontext Anwendung finden. Sofern hiernach keine gesetzliche Erlaubnis besteht, kann eine Datenverarbeitung nach der Einwilligung durch den Nutzer erlaubt sein. Hierfür kommt es auf die exakte Formulierung der Einwilligung an, wobei jedoch durch die gängigen Betriebssysteme wie Android und iOS oftmals technische Rahmenbedingungen und die geringe Größe der Smartphones beachtet werden müssen.
Über den Autor:
Andreas Dölker ist Rechtsanwalt und als Berater für die ISiCO Datenschutz GmbH tätig. Das in Berlin ansässige Unternehmen bietet Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit an.