Der Datenschutz kommt bei Smartphone-Apps bisher entscheidend zu kurz: Darüber sind sich Datenschützer weitgehend einig. Das Landesamt für Datenschutzaufsicht in Bayern (LDA) entwickelt daher automatisierte Verfahren, um die Anwendungen mit geringem Aufwand auf die Einhaltung der datenschutzrechtlichen Anforderungen hin zu überprüfen. Dass sich weitere Bundesländer daran ein Beispiel nehmen werden, ist naheliegend.

Behörde prüft Smarthone-Apps

Die Durchsetzung eines akzeptablen Datenschutz-Niveaus bei Smartphone-Apps war bisher relativ schwierig. Die kleinen Programme schienen sich zu schnell in zu unübersichtlicher Menge zu verbreiten. Schließlich gibt es für jede Kleinigkeit im Lebensalltag – vom Feststellen des Sonnenstands bis hin zum Auspusten von Kerzen – inzwischen eine entsprechende Anwendung für mobile Geräte. Gleichzeitig sind sie relativ einfach und schnell zu beziehen. Zahlreiche Apps werden kostenlos angeboten und sind ohne großen Aufwand auf dem Gerät installiert. Völlig unverhältnismäßig erscheint im Vergleich dazu den meisten Nutzern der Aufwand, eine seitenlange Datenschutzerklärung für jedes Programm durchzulesen und nachzuvollziehen.

Diesen Umstand haben einige Anbieter ausgenutzt, um Daten ihrer Kunden in einem Umfang zu sammeln, der den meisten Nutzern nicht bewusst war. Wer kommt schon auf die Idee, dass ein kleines Programm wie die Taschenlampenfunktion eines Smartphones Adressbuchdaten, Standortinformationen, Anruflisten und den Browserverlauf an den Anbieter übermittelt? Wie viele Anwender sind sich darüber im Klaren, dass einige Programme umfangreiche persönliche Daten nicht nur an den Hersteller der Anwendung, sondern gleich an ein Dutzend weiterer Unternehmen weiterleiten? Wie viele Anwender haben einen Überblick darüber, welche App auf welche teils sehr private Informationen wie den Inhalt von Textnachrichten oder Fotos zugreift?

Landesbehörde entwickelt automatisiertes Prüfverfahren

Dass seitens der Datenschützer Handlungsbedarf besteht, ist offensichtlich. Das LDA in Bayern hat angekündigt, dass die Überprüfung von Smartphone-Apps im aktuellen Jahr einen Schwerpunkt seiner Arbeit darstellen wird. Dafür hat es eigens ein Prüflabor eingerichtet, in dem das Verhalten von Smartphone-Apps mithilfe von Methoden aus der IT-Forensik und Erkenntnissen aus aktuellen Forschungsprojekten im Bereich der Mobile Security analysiert werden.

Anhand von Informationen wie den übermittelten Netzwerkdaten, den beteiligten Datenempfängern, der sicheren Verschlüsselung und den eingesetzten Methoden zur Reichweitenmessung sollen in Bayern entwickelte Apps auf ihre Zulässigkeit im Hinblick auf den Datenschutz überprüft werden. Das LDA betont, dass es damit seine Linie fortsetzt, mit computergestützten Methoden technische Prüfungen mit möglichst geringem Personalaufwand durchzuführen. Es ist absehbar, dass andere Bundesländer im Bereich von Smartphone-Apps ähnliche Prüfmaßnahmen ergreifen werden.

Worauf sollten App-Anbieter achten?

Als rechtliche Grundlage für die Prüfung durch die Datenschutzbehörden sind insbesondere § 13 und § 15 Telemediengesetz (TMG) relevant. Daraus ergeben sich unter anderem folgende Hinweise:

  • Der Anwender ist vor der erstmaligen Nutzung der App darüber zu informieren, welche seiner personenbezogenen Daten erhoben werden, zu welchem konkreten Zweck diese genutzt werden, in welche Länder und an welche genau bestimmten Unternehmen oder sonstigen Stellen diese übermittelt werden. Jede App sollte über eine entsprechende Datenschutzerklärung verfügen, die vom Nutzer einsehbar sein muss, bevor die Anwendung aktiviert wird. Der Inhalt der Datenschutzerklärung muss darüber hinaus für den Anwender jederzeit abrufbar vorliegen.
  • Die alleinige Existenz einer Datenschutzerklärung ist jedoch nicht ausreichend. Der Anbieter muss nachprüfbar im Rahmen des Möglichen und Zumutbaren sicherstellen, dass der Anwender den Inhalt verstanden hat. Das beinhaltet auch, dass die Erklärung verständlich formuliert und übersichtlich gestaltet ist.
  • Erhebt der Anbieter Daten, die über die gesetzlich geregelten Zwecke beispielsweise zur Durchführung des Rechtsgeschäftes hinaus gehen, ist eine ausdrückliche und freiwillige Einwilligung des betroffenen Nutzers erforderlich. Eine solche Einwilligung muss konkret nennen, welche Daten zu welchen eindeutig definierten Zwecken genutzt werden. Die Erteilung der Einwilligung ist zu protokollieren.
  • Eine Einwilligung ist nur dann gültig, wenn es dem Betroffenen jederzeit möglich ist, diese für die Zukunft zu widerrufen. Der Anbieter muss entsprechende Möglichkeiten und Wege dazu anbieten und ist dazu verpflichtet, den Nutzer ausdrücklich auf sein Widerrufsrecht hinzuweisen.
  • Der Anbieter muss geeignete technische Maßnahmen ergreifen, um die Nutzerdaten vor einem Zugriff Dritter zu schützen. Insbesondere muss eine verschlüsselte Datenübermittlung sichergestellt sein.
  • Dem Anwender muss die Möglichkeit angeboten werden, Bezahlvorgänge im Zusammenhang mit dem Erwerb oder der Nutzung der App, soweit möglich und zumutbar, anonym oder unter Pseudonym zu tätigen.
  • Eine Datenerhebung für Werbezwecke ist prinzipiell erlaubt, sofern der Nutzer dem nicht widerspricht. Der Anbieter ist verpflichtet, ausdrücklich auf dieses Widerspruchsrecht hinzuweisen.
  • Anbieter sollten die Einhaltung der datenschutzrechtlichen Bestimmungen sowohl im Hinblick auf den Datenfluss im Rahmen der eigentlichen Anwendung als auch der Reichweitenanalyse kontrollieren. Das LDA nennt diesen Bereich explizit als einen Gegenstand seiner Prüfungen.
  • Der Anbieter ist dazu verpflichtet, sich gegenüber dem Nutzer eindeutig kenntlich zu machen. Daher sollten Apps über ein ordnungsgemäßes Impressum verfügen.

 

Verwandte Themen:
So funktioniert Mobile-Werbung datenschutzkonform
Smartphones und Profilbildung
Smartphone-Apps als Datenschutz-Risiko
Daten verlässlich von Smartphones löschen
VoIP: Datenschutz bei der Internettelefonie
Wann ist eine Datenschutz-Prüfung für Sie sinnvoll?

Artikelbild: Symbolbild (c) liewcf

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.