Düsseldorfer Kreis: Orientierungshilfe für Entwickler und Anbieter von Apps

Der Zusammenschluss aller Datenschutzbehörden der Länder, der Düsseldorfer Kreis, hat eine Orientierungshilfe für Entwickler und Anbieter von Apps veröffentlicht. Diese betrifft Entwickler und Anbieter von Apps im nicht-öffentlichen Bereich, auf deren Apps die datenschutzrechtlichen Regelungen des Telemediengesetzes (TMG) Anwendung finden.

Die Orientierungshilfe betrifft damit alle Apps, außer App-Angebote, deren Dienst ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze besteht bzw. Rundfunk darstellt  oder die offline betrieben werden. Auch werden Apps, welche Teil des jeweiligen Betriebssystems sind und Besonderheiten von Apps, die für spezielle Endgeräte wie z. B. Smart-TVs oder Smart-Watches entwickelt und angeboten werden, nicht berücksichtigt.

Düsseldorfer Kreis warnt vor Bußgeldern

In ihrer Orientierungshilfe mahnen die Behörden an, dass Anbieter von Apps u.a. mit Bußgeldern belegt werden können, wenn personenbezogene Daten unzulässig erhoben und verarbeitet werden. Anwendbar sind die Vorschriften bereits dann, wenn der Entwickler oder der Anbieter eine datenverarbeitende Niederlassung in Deutschland unterhält. Auf den Sitz des Unternehmens kommt es nicht an. Hat das verantwortliche Unternehmen weder einen Sitz noch eine datenverarbeitende Niederlassung in Deutschland oder in der EU bzw. dem Europäischen Wirtschaftsraum (EWR), so kommt dennoch deutsches Datenschutzrecht zur Anwendung.

Eine der wichtigsten Pflichten von Anbietern ist die ordnungsgemäße Information des Betroffen über die Erhebung und Verwendung seiner Daten z.B. in einer Datenschutzerklärung, die über die verantwortliche Stelle, Datenarten, Zweck der Erhebung oder die Übermittlung der Daten informieren sollte.

Informationspflicht problematisch

Anders als bspw. bei dem Besuch einer Website, kann dies nicht mit einem Hinweis vor dem Start der App getan werden. Der (potentielle) Nutzer muss vielmehr bereits vor dem Herunterladen im jeweiligen Appstore ordnungsgemäß informiert werden. Ein prominent platzierter Link in der Beschreibung der App, der zum Impressum und den Datenschutzhinweisen führt, dürfte an dieser Stelle ausreichen. Unabhängig davon muss, nach Ansicht der Behörden, innerhalb der App die Datenschutzerklärung jederzeit für den Nutzer abrufbar bzw. einsehbar sein. Wichtig bei alledem ist aber, dass eine bloße Verknüpfung mit den Datenschutzhinweisen eines ähnlichen oder anderen Produktes des selben Anbieters nicht ausreichen soll. Dies wird damit begründet, dass Apps direkt und teilweise weitreichenden Zugriff auf das Endgerät selbst haben können. Daher ist es notwendig, für jede App einen eigenen Datenschutzhinweis vorzuhalten.

Einwilligung in Datenerhebung darf nicht Teil der AGB sein

Sollte für die vorgesehene Datenverwendung keine Rechtsgrundlage gegeben sein, so muss vor dem Herunterladen eine explizite Einwilligung des Nutzers eingeholt werden. Diese darf nicht in den AGB enthalten sein und muss spezifisch für bestimmte Zwecke erteilt werden. Für Kinder und Arbeitnehmer gelten hier hohe Wirksamkeitshürden im Rahmen der Freiwilligkeit. Die Einwilligung darf lediglich eine zeitliche Gültigkeit von maximal einem(!) Jahr haben. Diese Anforderungen wurden von der Artikel-29-Datenschutzgruppe des EU-Parlaments bereits am 16.5.2011 aufgestellt.

Hinsichtlich des Anmeldeverfahrens empfehlen die Behörden das Erzwingen oder zumindest eine explizite Darstellung einer ausreichenden Passwortstärke. Zudem sollten Entwickler und Anbieter prüfen, ob ein höheres Schutzniveau der App erforderlich ist, z.B. Zwei-Faktor-Authentifizierung mittels Zertifikaten.

Die Datenschutzbehörden kommen auf alle relevanten und gängigen personenbezogenen Daten zu sprechen, insbesondere auf IP-Adresse, Standortdaten, Gerätekennungen und Informationen über die App-Nutzung.

Weitere Vorschriften außerhalb des BDSG beachten

Im TMG gelten ähnlich strikte Datenschutzbestimmungen wie im Bundesdatenschutzgesetz (BDSG).  So ist die Erhebung und Verwendung von personenbezogenen Daten grundsätzlich nur rechtmäßig, wenn eine sich ausdrücklich auf Telemedien beziehende Rechtsvorschrift dies gestattet oder die Einwilligung des Betroffenen vorliegt, § 12 Abs. 1 TMG. Ebenso verhält es sich, wenn der Bereitsteller des Telemediendienstes die erhobenen personenbezogenen Daten für andere Zwecke verwenden möchte, § 12 Abs. 2 TMG. Existiert keine entsprechende Rechtsvorschrift, so richten sich die Anforderungen an eine wirksame Einwilligung nach § 13 Abs. 2, 3 TMG oder nach § 4a BDSG, wenn das TMG keine Anwendung findet.

Ergänzend zum Datenschutz ist für Apps zu beachten, dass das relevante Rechtsverhältnis regelmäßig zwischen Anbieter und Endkunde entsteht. Zwischen dem Entwickler und dem Endkunden entsteht eine direkte Rechtsbeziehung nur dann, wenn der Entwickler auch gleichzeitig der Anbieter der App auf dem Markt ist. In dieser Rechtsbeziehung sind dann jedoch alle Rechtsnormen anzuwenden, die auch in einem „normalen“ Vertrag anwendbar wären. Dies sind insbesondere das AGB-Recht, Verbraucherregelungen und ggf. Kollisionsrecht (ROM I und II).

Für den US-amerikanischen Markt wurde vom Attorney General, Kalifornien zusammen mit Firmen wie Amazon, Apple, Google, Microsoft, HP oder RIM ein sog. „Joint Statement of Principles“ zu Richtlinien bei der App-Entwicklung schon Anfang 2012 veröffentlicht.