Die deutschen Datenschutzbehörden für den nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben eine „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“ (PDF) im Internet veröffentlicht. Damit möchten die Aufsichtsbehörden auf datenschutzrechtliche und technische Anforderungen bei der Entwicklung und dem Einsatz von mobilen Applikationen hinweisen und den Verantwortlichen auch gleichzeitig einen Leitfaden an die Hand geben. Das immerhin 33 Seiten starke Dokument dürfte sich als durchaus nützliches Nachschlagewerk darstellen, vor allem vor dem Hintergrund, dass man so eine ungefähre Vorstellung davon erhält, welche Ansichten die Aufsichtsbehörden in Bezug auf bestimmte rechtliche Probleme vertreten. Nachfolgend möchte ich auf ein paar Einzelheiten des Dokuments eingehen.
Allgemein
Die Orientierungshilfe bezieht sich allein auf (Online-) Apps fu?r Smartphones und Tablets und nicht etwa auf offline nutzbare Apps oder solche, die Teil des Betriebssystems eines Mobiltelefons sind. Die Datenschützer trennen in ihrer Analyse grundsätzlich zwischen zwei Zielgruppen: App-Entwicklern und App-Anbietern. Jedoch können diese Eigenschaften auch zusammenfallen.
Rechtlicher Anwendungsbereich (räumlich und sachlich)
Hinsichtlich der Bestimmung des anwendbaren Datenschutzrechts ist der Sitz der verantwortlichen Stelle bzw. der für die jeweilige Datenverarbeitung „relevanten Niederlassung“ entscheidend. Befindet sich diese in Deutschland, so gilt deutsches Recht. Sitzt ein App-Anbieter außerhalb des EWR und unterhält er auch keine entsprechend Niederlassung innerhalb des EWR, so gilt deutsches Datenschutzrecht, wenn über die App personenbezogene Daten in Deutschland erhoben und verwendet werden.
In Bezug auf den sachlichen Anwendungsbereich stellen die Aufsichtsbehörden klar, dass sowohl IP-Adressen, als auch Geräte- und Kartenkennungen (z. B. IMEI, IMSI oder MAC-Adresse), Standortdaten und auch Audio- und Fotodaten ihrer Ansicht nach grundsätzlich personenbezogene Daten darstellen und damit den gesetzlichen Regelungen zum Datenschutz unterfallen.
Verantwortlichkeiten
Datenschutzrechtlich verantwortlich ist grundsätzlich der App-Anbieter. Dies gilt gerade auch dann, wenn er die App „nur“ anbietet und nicht selbst entwickelt hat. Der App-Anbieter ist daher auch für Nutzer die erste Anlaufstelle (etwa in Bezug auf Ansprüche zur Löschung von Daten oder der Auskunft. Die Verantwortlichkeit bleibt auch bestehen, wenn der Anbieter die Durchführung der Datenverarbeitung an Dienstleister vergibt. Hier liegt dann eine Auftragsdatenverarbeitung vor. Der Anbieter hat dann auf die Erfüllung der Pflichten aus § 11 BDSG zu achten. Als Beispiel führen die Aufsichtsbehörden etwa an, wenn die Reichweitenmessung und Auswertung durch einen Dienstleister. Wenn sich der Dienstleister in einem Drittstaat (also außerhalb des EWR) befindet, dann bestehen zusätzliche Pflichten, da dann nach dem deutschen Datenschutzrecht eine Übermittlung von Daten vorliegt. Jedoch kann sich die Verantwortlichkeit auch verändern, etwa wenn der App-Entwickler über Weisungen des Anbieters hinausgeht. Dann ist der Entwickler verantwortlich. Als Beispiel führt die Orientierungshilfe die Funktion einer automatisierten Fehlermeldung an, bei der personenbezogene Daten direkt an den Entwickler übersendet werden. Auch der Anbieter eines App-Stores kann datenschutzrechtlich verantwortlich sein, wenn er zusätzliche personenbezogene Daten, z. B. bei der Anmeldung, verarbeitet.
Erlaubnistatbestände
Damit eine Datenverarbeitung rechtmäßig erfolgt, muss sie aufgrund einer Einwilligung oder einer gesetzlichen Vorschrift erlaubt sein. Nach der Orientierungshilfe geht dabei das TMG als bereichsspezifisches Gesetz (vor allem wenn es um Diensteebene geht, also für Bereitstellung des Dienstes) den allgemeinen Bestimmungen des BDSG vor. Im TMG wird zwischen Bestandsdaten (§ 14 TMG) und Nutzungsdaten (§ 15 TMG) unterschieden. § 14 TMG legitimiert eine Verarbeitung, wenn diese zur Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich ist. Die Datenschützer stellen klar, dass es für die Frage, welche personenbezogenen Daten konkret für diese Zwecke erforderlich sind, durch den jeweiligen Nutzungsvertrag bestimmt wird, der zwischen dem Diensteanbieter und dem Nutzer abgeschlossen wird. Nach § 15 TMG ist eine Datenverarbeitung erlaubt, wenn diese erforderlich ist, um die Inanspruchnahme des Dienstes zu ermöglichen. Hierunter fallen nach der Orientierungshilfe personenbezogene Daten, welche notwendigerweise zur Nutzung der App durch den Diensteanbieter erhoben und verwendet werden müssen, wie z.B. die IP-Adresse oder eindeutige Kennnummern oder der Standort. Die Datenverarbeitung von Inhaltsdaten erfolgt jedoch nach dem BDSG.
Profilbildung
Nutzungsprofile dürfen auch bei dem Betrieb von Apps erstellt werden. Die Regelung des § 15 Abs. 3 TMG berechtigt jedoch nur den Diensteanbieter selbst oder seine Auftragnehmer zur Erstellung pseudonymisierter Nutzerprofile zu Werbezwecken. Die Datenschützer stellen klar, dass Dritte hiervon nicht erfasst werden. Zudem müssen Nutzer auf die Möglichkeit zu widersprechen hingewiesen werden. Dies muss nach Ansicht der Aufsichtsbehörden zumindest im Rahmen der Datenschutzerklärung geschehen. Jedoch weisen die Datenschützer auch daraufhin, dass etwa eindeutige Geräte- und Kartenkennungen wie die IMEI-Nummer oder auch die IP-Adresse kein Pseudonym darstellen. Diese Daten dürfen daher auch nicht in das Nutzungsprofil einfließen. Für die Ausübung des Widerspruchrechts sollte eine direkte Opt-Out Möglichkeit (Link, Möglichkeit des Auskreuzens) für den Nutzer vorgehalten werden, welche nach Ansicht der Datenschützer mit möglichst einem Klick aktiviert werden kann. Hierbei genügt es jedoch nicht, die Möglichkeit bereitzuhalten per E-Mail oder postalisch einer Nutzungsprofilerstellung gem. § 15 Abs. 3 TMG zu widersprechen. Interessant ist die Ansicht der Datenschützer, dass wenn ein Nutzer durch besondere Einstellungen auf seinem Endgerät signalisiert, dass er eine Verarbeitung seiner Nutzungsdaten für Werbezwecke nicht wünscht, auch diese Erklärung als Widerspruch zu werten und durch den Diensteanbieter zu beachten ist.
Einwilligung
Zur Einwilligung führt die Orientierungshilfe aus, dass nach § 4a BDSG neben der Freiwilligkeit und Informiertheit der Einwilligung grundsätzlich auch die Schriftform erforderlich sei. Zwar sehe§ 4a Abs. 1 S. 3 BDSG eine Ausnahme vom Schriftformerfordernis vor, wenn wegen besonderer Umstände eine andere Form angemessen ist. Solche besonderen Umstände liegen nach Ansicht der Aufsichtsbehörden jedoch nicht generell dann vor, wenn eine Einwilligung (außerhalb des TMG, denn hier ist eine elektronische Abgabe möglich) bei der Nutzung einer App eingeholt werden soll. Die Datenschützer verneinen die Möglichkeit einer entsprechenden Anwendung des § 13 Abs. 2, 3 TMG auf Einwilligungen außerhalb des TMG. Es bedürfe daher entweder der Schriftform, der elektronischen Form gem. § 126a BGB oder besonderer Umstände, welche zur Angemessenheit einer anderen Form als der Schriftform fuhren.
Weitere Themen
Die Orientierungshilfe geht noch auf viele weitere wichtige Themen im Bereich des Datenschutzrechts ein. So werden etwa Datenschutzgrundsätze wie die Direkterhebung (hier vor allem in Bezug auf die Verarbeitung von Daten Dritter über ein Adressbuch), die Datenvermeidung, die Möglichkeit der anonymen oder pseudonymen Nutzung nach 13 Abs. 6 TMG, die Zweckbindung oder die Erforderlichkeit der Datenverarbeitung (so muss sich etwa die Speicherdauer eines jeden personenbezogenen Datums am Grundsatz der Erforderlichkeit messen lassen) angesprochen. Zudem weisen die Datenschützer daraufhin, dass bereits in der Entwicklungsphase einer App den Prinzipien des „Privacy by Design“ und „Privacy by Default“ Rechnung getragen werden sollte.
Auch das Thema „Impressum“ wird angesprochen, ebenso natürlich wie die Notwendigkeit einer Datenschutzerklärung. Diese muss nach Ansicht der Aufsichtsbehörden App-spezifisch ausgestaltet sein, also genügt eine einfache Verknüpfung mit den Datenschutzhinweisen eines ähnlichen oder alternativen Webangebotes des gleichen Anbieters nicht den Ansprüchen an eine Unterrichtung nach den Vorschriften des TMG.
Auch geht die Orientierungshilfe noch auf die möglichen Konsequenzen aus einer rechtswidrigen Datenverarbeitung ein (Ordnungswidrigkeiten oder sogar Straftaten).
Zuletzt werden noch ein paar Besonderheiten von speziellen Formen von Apps und mobilen Diensten angesprochen, so etwa bei Zahlungen über Apps, der Nutzung der Applikationen durch Kinder und Jugendliche oder auch Apps von öffentlichen Stellen.
Fazit
Die Orientierungshilfe bietet einen guten ersten Überblick über rechtliche Probleme, die bei der Entwicklung und dem Angebot von Apps zu beachten sind. Der Leitfaden kann freilich nicht eine genau Analyse und Anpassung, insbesondere ist hier an die Datenschutzerklärung zu denken, ersetzen. Es ist zu begrüßen, dass die Aufsichtsbehörden hier proaktiv tätig werden und ihre Ansichten zu verschiedenen rechtlichen Fragen auf dem Gebiet der Apps darlegen.