IT-Sicherheit

Mehr Bewusstsein für den Datenschutz

Obwohl das strenge deutsche Datenschutzrecht auch für mobile Apps gilt, scheren sich manche Anbieter nicht viel darum.

Die Zehn Gebote in der Kommunikation

© Fotolia

Die Zehn Gebote in der Kommunikation

Smartphones sind aus unserem Leben nicht mehr wegzudenken und unser ständiger Begleiter in der modernen Geschäftswelt. Laut einer aktuellen Umfrage des Branchenverbandes BITKOM hat jeder dritte Deutsche ein Smartphone. Schätzungen zufolge werden in diesem Jahr mit einem Anteil von 55 Prozent erstmals mehr Smartphones als sonstige Handys verkauft.

Mindestens ebenso populär wie die Smartphones selbst sind die Apps, die schnell über einen in das Betriebssystem integrierten Online-Shop bezogen und direkt auf dem tragbaren Gerät installiert werden können.

Was jedoch einige noch nicht wissen, ist, dass zahlreiche Apps datenschutzrechtlich bedenklich sind, da sie personenbezogene Daten ohne unser Wissen an den App-Anbieter übermitteln. Dieser kann aufgrund der so ermittelten Daten Personen- und Nutzerprofile erstellen, die er beispielsweise an die Werbewirtschaft verkaufen kann. Erst kürzlich stellte die Stiftung Warentest in einer Untersuchung fest, dass von 63 geprüften App-Anwendungen alleine 28 also fast die Hälfte davon - kritisch zu bewerten sind.

Nutzern ist oft nicht bewusst, welche Daten genau von ihnen erhoben und verarbeitet werden. Hier ist es dringend notwendig, dass die App-Anbieter sich an bestehende Regelungen halten und die Apps für den Nutzer transparenter gestalten.

Welche Daten erhoben werden

Wenn der Nutzer aus einem Online-Store eine App herunterlädt und diese auf seinem Smartphone installiert, werden personenbezogene Daten des Nutzers sowohl vom Store-Betreiber als auch vom App-Anbieter erhoben und verarbeitet. Dabei unterscheidet man zwischen automatisiert und vom Nutzer selbst übermittelten Daten.

Vom Nutzer eingegebene Daten

Zu den Daten, die der Nutzer selbst eingibt, gehören beispielsweise seine Anmeldedaten. Um bei iTunes (iPhone), iPad oder bei Google Play (Android-Smartphones und -Tablets) einkaufen zu können, muss der Nutzer sich beim jeweiligen Store registrieren. Dafür muss er seine personenbezogenen Daten wie Name und E-Mail-Adresse angeben, die dann an die App-Anbieter weitergeleitet werden.

Ratgeber: Datenschutz für Existenzgründer

Außerdem kann der App-Anbieter weitere Daten des Nutzers erheben und speichern, die der Nutzer während der Verwendung der App erzeugt. Beispiele dafür sind Warenbestellungen, Spielstände von Game-Apps sowie Kommunikationsinhalte, wenn Nutzer mit anderen Nutzern über die App kommunizieren.

Automatisiert übermittelte Daten

In einigen Fällen erhebt der App-Anbieter eine Kennziffer, die sogenannte UDID (Unique Device Identifier). Damit kann der App-Anbieter Smartphones oder Tablets eindeutig identifizieren und zusätzlich Nutzerstatistiken erstellen.

Bei zahlreichen Apps werden Informationen zum Standort der Nutzer erhoben, dazu gehören beispielsweise Google, Hotelbewertungs- sowie Reise- und Navigations-Apps.

Außerdem können Apps wie Facebook und WhatsApp auf alle lokal gespeicherten Daten zugreifen und  Adressbücher und Kalendereinträge des Nutzers auslesen.

Anwendbarkeit des deutschen Datenschutzrechts

Grundsätzlich sind das deutsche Datenschutzrecht und die Spezialvorschriften des Telekommunikationsgesetzes sowie des Telemediengesetzes anwendbar, wenn ein App-Anbieter in Deutschland Daten erhebt und verwendet. Häufig sind es jedoch ausländische Unternehmen, die Apps anbieten. Hier ist es in der Praxis sehr schwierig, deutsches Datenschutzrecht gegenüber ausländischen App-Anbietern durchzusetzen.

Umsetzung der Vorgaben durch die App-Anbieter

Grundsätzlich sollten sich Anbieter und Entwickler von Apps an den einschlägigen Gesetzen orientieren und die Betroffenenrechte wahren. Nur dann werden sich langfristig die geschaffenen Lösungen durchsetzen und vom Nutzer akzeptiert werden.

So ist der App-Anbieter beispielsweise gemäß § 13 Abs.1 des Telemediengesetzes (TMG) verpflichtet, "zu Beginn des Nutzungsvorgangs über die Art, den Umfang und die Zwecke der Erhebung und Verwendung personenbezogener Nutzerdaten (...) in allgemein verständlicher Form zu unterrichten". Die Transparenz, die mit dieser Regelung geschaffen werden soll, wird jedoch leider nicht erreicht, wenn die Datenschutz erklärung etwa zu spät erfolgt oder schlichtweg zu lang formuliert ist.

Ratgeber: Die Gefahr hinter QR-Codes

Obwohl heute in mobilen App-Stores ein Button für "Rechtliches" eingebaut ist, kommt es in der Praxis kaum vor, dass der Nutzer die Nutzungsbedingungen und die Datenschutzerklärung wirklich anklickt und abruft. Hier ist es sinnvoll, andere Lösungen zu integrieren. Die Datenschutzerklärung sollte besser erreichbar und für den Nutzer jederzeit abrufbar sein, zum Beispiel durch die Einbindung eines Links.

Es ist jedoch nicht nur vorgeschrieben, über die Erhebung der Nutzerdaten zu unterrichten, sondern der Nutzer muss vor der Erhebung und Verwendung seiner Daten durch den App-Anbieter auch seine Einwilligung erteilen. Gemäß § 13 Abs. 2 TMG kann die Einwilligung elektronisch erklärt werden, "wenn der Diensteanbieter sicherstellt, dass

  • der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  • die Einwilligung protokolliert wird,   der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  • der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann."

Die Umsetzung der gesetzlichen Regelungen ist für beide Seiten sinnvoll: Der App-Anbieter kann besser nachweisen, ob die Einwilligung wirklich vom Nutzer erteilt wurde und gleichzeitig hilft es dem Nutzer, besser nachzuvollziehen, welche Einwilligung er erteilt hat.

Das Recht zur Datenlöschung

Darüber hinaus hat der App-Nutzer grundsätzlich einen Anspruch auf Auskunft und Löschung seiner Daten nach dem Bundesdatenschutzgesetz (BDSG). Das heißt, der App-Anbieter muss auf Verlangen des Nutzers Auskunft über die zu seiner Person gespeicherten Daten geben. Auf Verlangen des Nutzers müssen diese vom App-Anbieter gelöscht werden.

Gemäß § 35 Abs.2 BDSG kann sich ein Löschungsanspruch jedoch auch ergeben, wenn die personenbezogenen Daten für die Erfüllung des Zwecks nicht mehr erforderlich sind. Das bedeutet, sie müssen zum Beispiel gelöscht werden, wenn der Nutzer die App deinstalliert. Allerdings wird dies dem App-Anbieter in den seltensten Fällen bekannt werden. Hier sollte überlegt werden, ob nicht eine regelmäßige Löschung nach einem bestimmten Zeitraum, in dem der Nutzer die App nicht benutzt hat, empfehlenswert wäre.

Fazit

Es gibt zwar zahlreiche Vorschriften und Datenschutzgesetze, die App-Anbieter einhalten müssten. Häufig werden diese jedoch von den App-Anbietern ignoriert. Es gibt allerdings einen Trend dahingehend, dass die App-Nutzer kritischer werden, mehr Bewusstsein für den Datenschutz entwickeln, unsichere Apps nicht mehr auswählen oder zunehmend ganz darauf verzichten. Daher ist App-Anbietern schon aus eigenem Interesse zu raten, sich mehr um das Thema Datenschutz zu kümmern und die bestehenden Regelungen des Datenschutzes schon in der App-Entwicklung zu beachten.

Mehr zum Thema

Die Zehn Gebote in der Kommunikation
IT-Sicherheit

Der "Bring Your Own Device"- Ansatz (BYOD) stellt IT-Abteilungen vor große Herausforderungen, denn sie müssen eine sichere Anbindung ins…
Christian Vogt - Regional Director Germany bei Fortinet:
IT-Sicherheitsreport

Ereignisreiche Jahre wie 2012 erfreuen nicht nur Sportfreunde und politisch Interessierte. Auch Cyberkriminelle sind immer dabei, wenn Olympische…
Wie die meisten deutschen Unternehmen kümmern sich auch Startups zu wenig um den Datenschutz. Aufklärung tut Not.
Ratgeber IT-Recht

Wie die meisten deutschen Unternehmen kümmern sich auch Startups zu wenig um den Datenschutz. Aufklärung tut Not.
Ralph Kreter - LogRhythm
News & Trends

Der IT-Security-Experte Ralph Kreter gibt einen Ausblick auf sicherheits-relevante Themen für das kommende Jahr.
Trojaner-Software offenbar drei Jahre alt
IT-Strategien

Angesichts der aktuellen Berichterstattung drängt sich der Verdacht auf, dass der Kampf gegen die Cyberkriminellen bereits zu deren Gunsten…