Entwicklung mobiler Apps

Datenschutz-Tipps für App-Entwickler

App-Anbieter müssen bei der Entwicklung von Apps auch den Datenschutz beachten. Der Düsseldorfer Kreis gibt Tipps auf Basis des Datenschutzrechts.

Datenschutz-Anforderungen an Apps

© emojoez/shutterstock.de

Wer Apps entwickelt, muss genau aufpassen, welche Nutzerdaten erfasst werden dürfen.

Bei der Entwicklung mobiler Apps sollten Unternehmen nicht nur auf Funktionalität und Bedienkomfort achten, sondern auch auf die Anforderungen des Datenschutzrechts. Der Düsseldorfer Kreis hat dafür nun eine Orientierungshilfe entwickelt.

Der Düsseldorfer Kreis ist ein Gremium der Konferenz der Datenschutzbeauftragten des Bundes und der Länder und koordiniert damit die Entschließungen der unterschiedlichen Datenschutzbehörden.

Dessen Empfehlungen werden von den einzelnen Landesdatenschutzbehörden aufgegriffen und sind entscheidend für alle App-Anbieter und App-Entwickler mit Sitz in Deutschland. Nicht zu beachten sind diese Empfehlungen (und deutsches Datenschutzrecht), wenn sich die App-Anbieter/-Entwickler in einem anderen Land der Europäischen Union oder des Europäischen Wirtschaftsraumes (EWR) befinden.

Aufpassen müssen jedoch Anbieter/Entwickler außerhalb Europas, für diese können die Empfehlungen beziehungsweise deutsches Datenschutzrecht Anwendung finden, wenn personenbezogene Daten in Deutschland mittels der App erhoben werden. Dies ist leicht der Fall, zum Beispiel durch die Eingabe von Registrierungsdaten in einer App, aber auch gegebenenfalls schlicht durch die Benutzung der App.

Gerätekennungen und Standortdaten

Letzteres hat damit zu tun, dass Geräte und Kartenkennungen von Smartphones bereits als personenbezogene Daten angesehen werden. Beim Umgang mit Kennungen wie IMEI, UDID, IMSI oder MSISDN sind daher schon die Anforderungen des Bundesdatenschutzgesetzes sowie des Telemediengesetzes zu beachten.

In der Praxis ist konkret zu prüfen, zu welchem Zweck die Kennziffern eingesetzt werden und ob die Verwendung gesetzeskonform ist. Insbesondere ist eine zufallsgenerierte eindeutige Nummer anstatt einer festen Gerätekennung empfehlenswert. Dies hat den Vorteil, dass außerhalb der App und bei Neuinstallation der App (oder des Gerätes) kein Bezug mehr zum Gerät vorhanden ist.

Weiterhin stellen Standortdaten oftmals personenbezogene Daten dar, die für die Erstellung von Bewegungsprofilen genutzt werden können. Daher verweisen die Behörden darauf, dass die Verarbeitung von Nutzungsdaten für Werbezwecke nur mit einer gesetzlichen Erlaubnis oder der Einwilligung des Nutzers möglich ist.

Schließlich ist darauf zu achten, dass die Standortdaten nicht exakt erfasst werden, sondern entsprechend "verwaschen" werden (beispielsweise ist "München Stadtmitte" anstatt "München Bahnhofsplatz 1" zu empfehlen) und nur in einem Intervall abgefragt werden, das für die Benutzung der App tatsächlich erforderlich ist.

Opt-out-Vorschriften

Der Düsseldorfer Kreis weist darauf hin, dass Widerspruchsmöglichkeiten effektiv und angemessen erfolgen müssen, was in erster Linie durch Opt-out-Links und Auskreuzfelder erfolgen soll. Die bislang ungeklärte Frage, ob ein Opt-out auch durch E-Mail oder postalisch erfolgen kann, wird verneint und zu Recht damit begründet, dass dies einen Medienbruch bedeuten würde.

Sofern ein Opt-out über die allgemeinen Einstellungen des Endgerätes erfolgen soll, wird eine konkrete Schritt-für-Schritt-Anleitung verlangt, wie die Einstellungen gerätespezifisch erfolgen können. Der bloße Hinweis auf Einstellungsmöglichkeiten am Gerät genügt nicht.

In der Praxis muss für sämtliche eingebundenen Analyse- und Werbeanbieter (etwa Localytics, Flurry Analytics, aber auch Tools zur Reichweitenmessung) geprüft werden, ob ein Opt-out rechtlich erforderlich ist und wie dies technisch ausgestaltet werden kann. Dabei ist insbesondere die Beachtung von Widersprüchen bei gleichsam nativen Inhalten und Webview-Seiten eine Herausforderung.

App-spezifische Datenschutzerklärung

Wie letztes Jahr auch bei unseren Partnern von www.medienundmarken.de dargestellt, benötigen Apps eine angepasste Datenschutzerklärung. Hierzu empfiehlt der Düsseldorfer Kreis, die Erklärung entweder im App Store oder nach dem Herunterladen und vor dem Start der App für den Nutzer zum Abruf  bereitzuhalten. Neben den üblichen gesetzlich geforderten Inhalten sollen die eingeholten Berechtigungen und konkret stattfindenden Zugriffe erläutert werden.

Hervorgehoben wird die Einteilung in Kapitel, die einzeln geöffnet werden können, wodurch ähnliche Empfehlungen ausgesprochen werden wie von der Artikel-29-Gruppe auf europäischer Ebene. Schließlich weist der Düsseldorfer Kreis darauf hin, dass auch Apps ein Impressum vorhalten müssen.

Nicht beantwortet wird dabei die Frage, ob die bisherige 2-Klick-Rechtsprechung, das heißt die Erreichbarkeit des Impressums nach höchstens zwei Maus-Klicks, auch auf Apps angewendet werden kann oder ob aufgrund des kleineren Bildschirms Besonderheiten gelten (zum Beispiel die Berücksichtigung, dass oftmals bereits ein Klick erforderlich ist, um ein Menü zu öffnen).

Eine Frage der Nutzung

Abschließend wird darauf hingewiesen, dass Bundesdatenschutzgesetz und Telemediengesetz je nach Nutzungskontext Anwendung finden. Sofern hiernach keine gesetzliche Erlaubnis besteht, kann eine Datenverarbeitung nach der Einwilligung durch den Nutzer erlaubt sein.

Hierfür kommt es auf die exakte Formulierung der Einwilligung an, wobei jedoch durch die gängigen Betriebssysteme wie Android und iOS oftmals technische Rahmenbedingungen und die geringe Größe der Smartphones beachtet werden müssen.

Der Autor

Andreas Dölker, ISiCO Datenschutz GmbH

© Andreas Dölker

Andreas Dölker, Rechtsanwalt und Berater bei der ISiCO Datenschutz GmbH. Er berät Unternehmen an den Schnittstellen zwischen Recht und Technik, zu Themen wie Outsourcing, Cloud Computing, Open Source, Lizenzierung und Online-Marketing. Zu seinen Mandanten gehören hauptsächlich Unternehmen aus der Informations- und Telekommunikationstechnologiebranche.

Das in Berlin ansässige Unternehmen ISiCO bietet Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit an.

Mehr zum Thema

Marketingstrategie: Instagram für Unternehmen
Marketingstrategie

Instagram entwickelte sich in den letzten Jahren zu einem ernstzunehmenden Kanal, der auch das einfache Aufsetzen erfolgreicher Kampagnen erlaubt.
Fitbit, Runtastic, Nike
Zubehör und Apps

Gewicht, Blutzucker, Puls, Schrittzähler und Blutdruck messen: Clevere Gesundheits- und Fitnessgadets und -Apps für iPhone und iPad.
Syspectr
Systemverwaltung

Mit der Web-Anwendung Syspectr behalten Sie die Windows-Systeme im Unternehmen im Griff. Wir haben die Software im Test.
Mailbox.org-Logo
Business-Alternative für Office 365 & Google Apps

Mailbox.org will eine sichere Alternative für Office 365 und Google Apps sein. Hauptargument: E-Mails und ein Cloud-basiertes Office auf Servern in…
teaser
Mittelstands-Suse

Mit Version 12 des Linux Enterprise Servers verlässt Suse ausgetretene Pfade und setzt auf unkonventionelle, pfiffige Lösungen. Wir machen den Test.