Hessischer Datenschützer: Hinweise zur Android-Apps und deren Entwicklung

Der Hessische Datenschutzbeauftragte hat auf seiner Internetseite ein Dokument (PDF) bereitgestellt, in dem die datenschutzrechtliche Situation bei Android-Apps und die erforderlichen Berechtigungen für den Zugriff auf personenbezogene Daten näher beleuchtet wird.

Hintergrund des Appells, „Aufgabe für App-Anbieter – Transparenz für Android App-Nutzer herstellen!“ sind Beschwerden von Nutzern, die sich auf Berechtigungen von Apps beziehen. Die hessische Behörde prüfte daher unter anderem, ob Android-Apps unzulässig personenbezogene Daten nutzen oder die Bedeutung und Funktionsweise von systeminternen Berechtigungen – die eine App unter Android-OS benötigt – von den Betroffenen missverstanden werden.

In seiner Erläuterung geht der Datenschutzbeauftragte zunächst auf die allgemeine Funktion von Berechtigungen von Apps unter Android ein. Anhand des Beispiels einer Navigations-App werden dann verschiedene Berechtigungen analysiert und nach ihrer Erforderlichkeit für die Erbringung des Dienstes gefragt. Diese Frage ist datenschutzrechtlich relevant. Zum einen wenn keine Einwilligung zur Nutzung der Daten vorliegt, um die Daten im Rahmen von gesetzlichen Erlaubnistatbeständen rechtmäßig verarbeiten zu können. Zum anderen aber auch aufgrund allgemeiner datenschutzrechtlicher Prinzipien, wie demjenigen der Datensparsamkeit, auf welches von Seiten der Datenschutzbehörden häufig hingewiesen wird.

In dem Dokument weist der Datenschutzbeauftragte daraufhin, dass aus seiner Sicht nicht die Beschreibung der Verwendungsmöglichkeiten dieser Berechtigungen in den Informationen oder Nutzungsbedingungen ausschlaggebend für die datenschutzrechtliche Bewertung sei, sondern die tatsächliche Verwendung der eingeräumten Berechtigungen. Diese werde durch seine Behörde geprüft und an den gesetzlichen Maßstäben gemessen.

Wichtig erscheint ein weiterer Hinweis des Datenschutzbeauftragten: damit neue Apps auch abwärtskompatibel sind, also mit älteren Android-Versionen funktionieren, muss eine App teilweise mehr Berechtigungen verlangen, als für ihre Nutzung unter der aktuellsten Version eigentlich erforderlich sind.

Zum Schluss gibt das Dokument App-Anbietern noch einige allgemeine Hinweise mit auf den Weg. Diese sollten in der Beschreibung ihrer App im Google Play Store detailliert und vollständig folgende Angaben machen oder darauf verlinken:

  • Welche Berechtigungen werden für welche Softwarefunktionalität gebraucht?
  • Wie werden die dadurch gewonnen Daten verarbeitet?

Zudem sollten diese Angaben nach Ansicht der Behörde auch Teil der Datenschutzerklärung der jeweiligen App sein.

Nach weltweiter Prüfung: Auch deutsche Datenschützer stellen rechtliche Mängel bei Apps fest

Im Rahmen des „Privacy Sweep 2014“ haben Datenschutzbehörden auf der ganzen Welt in der Woche vom 12. bis 18. Mai 2014 Apps und deren Anbieter datenschutzrechtlich überprüft.

In Deutschland nahm u. a. der Landesdatenschutzbeauftragte aus Baden-Württemberg an der koordinierten Aktion teil und prüfte Apps die in Baden-Württemberg entwickelt wurden oder deren Anbieter dort ansässig sind.

Laut der offiziellen Pressemitteilung (PDF) des Landesdatenschützers wurde dabei festgestellt, „dass die meisten Apps die notwendige Transparenz im Umgang mit personenbezogenen Daten vermissen ließen“. Kritikpunkt ist vor allem das Fehlen einer Datenschutzerklärung, aus der für die Nutzer hervorgehen muss, welche Daten zur Nutzung des Dienstes erforderlich sind und verarbeitet werden.

App-Anbieter haben in Deutschland vor allem die datenschutzrechtlichen Vorgaben des Telemediengesetzes (TMG) und des Bundesdatenschutzgesetzes (BDSG) zu beachten. Bereits vor einem Jahr hatte das bayerische Landesamt für Datenschutz eine Prüfung von Apps und deren Betreibern durchgeführt und teils erhebliche rechtliche Mängel festgestellt (hierzu mein Beitrag). Die Pflicht eine Datenschutzerklärung vorzuhalten, ergibt sich für App-Betreiber aus § 13 Abs. 1 TMG. Auch der Zusammenschluss der europäischen Datenschutzbehörden (Art. 29 Gruppe) hatte in einer Stellungnahme aus dem Jahre 2013 (WP 202, PDF) auf die rechtliche Pflicht zur Information der App-Nutzer durch den Betreiber hingewiesen, bevor dieser Informationen auf dem Smartphone des Nutzers speichert oder auf dieses über die App zugreift.

Für Betreiber von Apps dürfte zudem interessant sein, dass der baden-württembergische Landesdatenschutzbeauftragte angekündigt hat, in Zukunft derartige Kontrollaktionen gerne wiederholen zu wollen. Angesichts der durchgeführten Prüfaktionen der Behörden in Deutschland (und der Gefahr, bei datenschutzrechtlichen Verstößen gemäß § 16 Abs. 2 TMG eine Ordnungswidrigkeit zu begehen, die nach § 16 Abs. 3 TMG mit einem Bußgeld bis zu 50.000€ geahndet werden kann) sollten App-Betreiber stets die Konformität ihrer Datenschutzerklärung prüfen bzw. eine solche für ihre Dienste erstellen.

Update vom 27.5.2014:

Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat an der diesjährigen Prüfaktion von Apps teilgenommen. Laut der Pressemitteilung wurden 15 internationale iOS und Android-Apps sowie 15 bayerische iOS und Android-Apss untersucht. Bei der Prüfung wurden „erhebliche Mängel beim Datenschutz“ festgestellt. Thomas Kranig, Präsident des BayLDA, stellt fest, dass „die schlechte datenschutzrechtliche Bewertung insbesondere der bayerischen iOS-Apps zeigt, dass die datenschutzrechtlichen Anforderungen durch bayerische App-Anbieter nicht ausreichend wahrgenommen werden„. Wie auch sein baden-württembergischer Kollege zieht Kranig für die zukünftige Arbeit seiner Behörde hieraus den Schluss, dass „nach dieser eher allgemeinen Prüfung eine noch intensivere Prüfung von Apps nach den Maßstäben deutscher Datenschutzgesetze und eine Ahndung von Verstößen notwendig ist„.

 

 

Facebook will Datenschutzrichtlinie und Nutzungsbedingungen ändern

In einem offiziellen Beitrag vom 29. August 2013 auf Facebook stellt Erin Egan, die Leiterin der Datenschutzrechtsabteilung bei dem sozialen Netzwerk, mehrere geplante Änderungen des Unternehmens sowohl in Bezug auf seine Datenverwendungsrichtlinie, als auch die Nutzungsbedingungen (sog. Erklärung der Rechte und Pflichten) vor.

Änderung der Nutzungsbedingungen
Die wohl wichtigste Änderung im Rahmen der neuen Nutzungsbedingungen dürfte der Umfang der Verwendung von Nutzerinformationen für Werbeanzeigen darstellen.
Continue reading

Google Glass: US-Senatoren sind über Antworten enttäuscht

Nachdem im Mai einige US-Senatoren einen Brief mit verschiedenen Fragen an Google zu dessen Datenbrille Glass und damit verbundenen datenschutzrechtlichen Problemen und Auswirkungen auf die Privatsphäre übersandt hatten, erhielten sie jüngst eine Antwort des Unternehmens. Aus Sicht des Senators Joe Barton stellen sich diese jedoch als „enttäuschend“ dar, da manche Fragen nur ungenügend und einige sogar gar nicht beantwortet worden seien.

Auch internationale Datenschützer hatten jüngst einen ähnlichen Brief in Bezug auf die rechtlichen Implikationen des geplanten Verkaufstartes von Google Glass versendet (hierzu mein Beitrag).
Continue reading

Internationale Datenschützer haben Fragen zu Google Glass

Insgesamt 36 internationale Datenschutzbeauftragte und Datenschutzgremien (darunter die europäische Art. 29 Datenschutzgruppe und die kanadische Datenschutzbeauftragte) haben dem Vorstandsvorsitzenden von Google, Larry Page, einen Brief mit verschiedenen Fragen zu der bald erscheinenden Datenbrille von Google übersendet.

Risiken für den Datenschutz
Die Unterzeichner weisen auf verschiedene, in der Vergangenheit aufgeworfene Fragen in den Medien in Bezug auf die Brille hin. So sprechen sie die Angst vor einer dauernden Überwachung durch Brillenträger ebenso an, wie die Frage nach den Umständen der Datenerhebung und –verwendung über die Brille durch Google selbst. Auch weisen sie darauf hin, dass immer wieder betont wurde, dass die Datenschützer sich für eine Kontaktaufnahme durch die Unternehmen aussprechen, bevor neue Produkte und Technologien auf den Markt kommen, um so den Schutz der Daten und der Privatsphäre bereits in der Entwicklungsphase berücksichtigen zu können.

Man zeigt Verständnis dafür, dass auch andere Unternehmen derartige „wearable gadgets“ entwickeln. Da jedoch Google hier eine führende Rolle inne habe und wohl als erstes Unternehmen sein Produkt in der „freien Wildbahn“ testen und damit auch als erstes die ethischen und gesellschaftlichen Gesichtspunkte derartiger Entwicklungen zu spüren bekomme werde, möchte man Google nun direkte Fragen stellen. Denn bisher sei der Konzern auf keine unterzeichnende staatliche Stelle von sich aus zugekommen.
Continue reading

Apps und Datenschutz – Bayerische Datenschützer stellen erhebliche Mängel fest

Das Bayerische Landesamt für Datenschutz (BayLDA) erklärt in einer Pressemitteilung, dass nach einer Prüfung von 30 Apps bayerischer Anbieter „erhebliche Mängel bei der Information über den Umgang mit Daten festgestellt“ wurden. Diese Prüfaktion wurde im Rahmen des „International Internet Sweep Day“ mit Datenschutzaufsichtsbehörden aus 25 Ländern durchgeführt, um Internetseiten und Apps auf Transparenz im Umgang mit personenbezogenen Daten zu prüfen.

Die Beanstandungen

Laut dem BayLDA bezog sich die Prüfung zunächst allein auf die Transparenz, Verfügbarkeit und Verständlichkeit der Datenschutzerklärungen. Dass „lediglich ca. 25 % der geprüften Apps über eine App-spezifische Datenschutzerklärung verfügten, ist erschreckend“, so Thomas Kranig, der Präsident des BayLDA.
Continue reading