Weltweit engagiert Datenschutzrechtliche Anforderungen an den Einsatz von Apps Andreas Crone, LL.M., Rechtsanwalt It-sa Nürnberg 08.10.2013 Rödl & Partner 13.06.2013 1
Agenda 01 Einführung in die Thematik 02 Rechtliche Anforderungen 03 Praktische Umsetzung 04 Zusammenfassung der Ergebnisse 2
1. Einführung in die Thematik App-Prüfung zeigt erhebliche Mängel beim Datenschutz 1 Datenschutz-Beauftragter Schaar: Apps kritischer als Webseiten 2 Untersuchung von Smartphone-Apps: Stiefkind Datenschutz 3 Apps sollen verraten, was sie speichern 4 f 1 Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht vom 14.05.2013, http://www.lda.bayern.de/lda/datenschutzaufsicht/p_archiv/2013/pm003.html 2 http://www.iphone-ticker.de/datenschutz-beauftragter-schaar-apps-kritischer-als-webseiten-52177/ 3 http://www.tagesspiegel.de/medien/digitale-welt/untersuchung-von-webseiten-und-smartphone-apps-stiefkind-datenschutz/8645622.html 4 http://www.sueddeutsche.de/digital/datenschutz-apps-sollen-verraten-was-sie-speichern-1.1731405 3
1. Einführung in die Thematik Im App Store von Apple waren im Juni 2013 nach eigenen Angaben ca. 900.000 Apps verfügbar, bei Google Play für Android-Betriebssysteme ca. 850.000 Der weltweite Umsatz mit Smartphone-Apps wird weiter steigen Eine eigene datenschutzrechtliche Sensibilität war in der Begeisterung der Anfangsjahr noch nicht vorhanden, entwickelt sich jedoch langsam Das Bayerische Landesamt für Datenschutzaufsicht hat 2013 30 zufällig ausgewählte Apps bayerischer Unternehmen überprüft Ergebnis: lediglich ca. 25 % der geprüften Apps verfügten über eine appspezifische Datenschutzerklärung Weitere kritische Prüfungen sind zu erwarten Bußgelder nicht ausgeschlossen f Bei Entwicklung und Vertrieb einer Apps sollten daher aus Unternehmenssicht von Beginn an datenschutzrechtliche Aspekte berücksichtigt werden 4
1. Einführung in die Thematik Vertragsbeziehungen beim Vertrieb von Apps: Entwickler Anbieter Kunde f App-Store 5
1. Einführung in die Thematik Entwickler Anbieter Kunde App-Store Datenschutzrechtlich Betroffener ist der Kunde Verantwortliche Stelle für die Datenverarbeitung ist in der Regel der Anbieter fist die App von einem externen Entwickler programmiert worden, so kann die Verantwortung nicht auf diesen abgeschoben werden Der App-Store ist ggf, zusätzlich verantwortlich, dies ändert aber nichts an der eigenen Verantwortlichkeit des Anbieters 6
1. Einführung in die Thematik Welche Informationen sind als potentiell personenbezogene Daten relevant? UDID (Unique Device Identifier) Standortdaten des Nutzers Anmeldedaten des App Stores Durch den Nutzer der App erstellte Inhalte Weitere auf dem Smartphone gespeicherte Daten f 7
Agenda 01 Einführung in die Thematik 02 Rechtliche Anforderungen 03 Praktische Umsetzung 04 Zusammenfassung der Ergebnisse 8
2. Rechtliche Anforderungen 4 Gebote des datenschutzkonformen App-Einsatzes a) Der Nutzer muss verständlich, transparent und vollständig über Art und Umfang der Datennutzung informiert werden b) Wenn die Art der Datennutzung nicht durch einen gesetzlichen Erlaubnistatbestand legitimiert ist muss vorab eine Einwilligung des Nutzers eingeholt werden c) Der Nutzer hat das Recht, auf Verlangen Auskunft über die zu seiner Person gespeicherten Daten zu verlangen. Daten sind zu löschen, wenn sie für die Bereitstellung der App nicht mehr erforderlich sind d) Für die Erhebung und Verwendung von Standortdaten sind ggf. besondere Anforderungen zu beachten 9
2. Rechtliche Anforderungen a) Information des Nutzers: 13 Telemediengesetz: Zu Beginn des Nutzungsvorgangs ist über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Nutzerdaten in allgemein verständlicher Form zu unterrichten Der Nutzer muss bereits vor Beginn der Datenverarbeitung in die Lage versetzt werden, deren Art und Umfang überprüfen zu können Hierzu hat sich im Internet die Erstellung einer Datenschutzerklärung durchgesetzt, die parallel zu AGB und Impressum verlinkt wird Einer solche Datenschutzerklärung bedarf es auch bei Apps Jedoch ist Vorsicht geboten: die Datenschutzerklärung der klassischen Internetseite kann in der Regel nicht einfach eins zu eins übernommen werden! Vielmehr sind die Informationen der spezifischen Datennutzung durch die App anzupassen Wenn die App bei einem externen Entwickler in Auftrag gegeben wurde, so ist oft gar nicht bekannt, ob und welche Daten von der App erhoben und gespeichert werden => Der Entwickler ist bei der Erstellung der Erklärung mit einzubeziehen 10
2. Rechtliche Anforderungen b) Einwilligungserklärung des Nutzers: Eine gesetzliche Rechtfertigung für die Datenverarbeitung besteht nach 28 BDSG, 14 f. TMG dann, wenn die Daten für die Begründung oder Durchführung des Vertragsverhältnisses erforderlich sind Für andere Zwecke, z.b. Werbemaßnahmen per E-Mail oder Push-Mitteilung, ist grundsätzlich eine vorherige Einwilligung des Nutzers erforderlich Diese Einwilligung ist vor der Erhebung und Verwendung der Daten einzuholen Die Anforderungen an Form und Inhalt unterscheiden sich nicht von denen für reguläre Webseiten im Internet und müssen auch in der App beachtet werden 11
2. Rechtliche Anforderungen c) Auskunft und Löschung: Oberste Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis): Im Gegensatz zu der für herkömmliche PCs bestehenden Situation fehlt es im Smartphonebereich weitgehend an Möglichkeiten, Datenspuren, die bei der Internetnutzung auf dem Gerät entstehen, zu vermeiden, zu reduzieren, mindestens jedoch, diese erkennbar zu machen und ggf. zu löschen. Solche Möglichkeiten müssen geschaffen und angeboten werden. 1 Nach Auffassung der Art. 29-Datenschutzgruppe der Europäischen Union ist von vorneherein eine angemessene Speicherfrist für die mit der App erfassten Daten festzulegen und ein Zeitraum der Inaktivität, nach dessen Ablauf das Konto als erloschen behandelt wird 1 Beschluss des Düsseldorfer Kreises vom 4./5.5.2011 12
2. Rechtliche Anforderungen d) Standortdaten: 98 Telekommunikationsgesetz (TKG): Standortdaten im Sinne des TKG dürfen für Geolokalisierungsdienste nur verarbeitet werden, wenn sie anonymisiert wurden oder wenn der Teilnehmer seine Einwilligung erteilt hat. Der Anbieter des Dienstes hat bei jeder Feststellung des Standortes des Mobilfunkendgerätes den Nutzer durch eine Textmitteilung an das Endgerät, dessen Standortdaten ermittelt wurden, zu informieren Gilt allerdings mangels Anwendbarkeit des TKG nicht für die Ortung mittels GPS und / oder WLAN Nach herrschender Auffassung handelt es sich jedoch um personenbezogene Daten, so dass die allgemeinen Grundsätze gelten (Einwilligung in die Erhebung und Nutzung in der Regel erforderlich) 13
Agenda 01 Einführung in die Thematik 02 Rechtliche Anforderungen 03 Praktische Umsetzung 04 Zusammenfassung der Ergebnisse 14
3. Praktische Umsetzung a) Information des Nutzers Die Nutzer sind im Voraus über die Verwendung ihrer Daten zu unterrichten Idealerweise müsste daher schon vor dem Herunterladen aus dem App Store die Datenschutzerklärung abrufbar sein Dies ist derzeit in der Regel aufgrund der Ausgestaltung der App Stores meist noch nicht zu realisieren Sofern aber diese Möglichkeit besteht, sollte die Datenschutzerklärung auf der Produktseite im App Store gut sichtbar verlinkt werden Wenn dies nicht möglich ist, so sollte zumindest bei ersten Aufrufen der App ein deutlicher Hinweis auf die Datenschutzerklärung erfolgen Diese ist dann über eine Verknüpfung innerhalb der App jederzeit abrufbar zu halten Ungeachtet der Größe der Smartphone-Displays muss über die einzelnen Datenverarbeitungsprozesse in übersichtlicher Art und Weise informiert werden. Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt, zunächst Kapitel bzw. Icons anzuzeigen, welche der Nutzer einzeln öffnen kann, um den dort hinterlegten Inhalt abzurufen 15
3. Praktische Umsetzung b) Einwilligung des Nutzers Ist eine Einwilligung erforderlich, so muss diese vor Erhebung der Daten eingeholt werden Wenn die Einwilligung verweigert wird, hat die Nutzung der Daten zum angestrebten Zweck zu unterbleiben Die Einwilligung muss bewusst abgegeben werden, d.h. ein Opt Out genügt nicht Ebensowenig genügt ein versteckter Hinweis in der Datenschutzerklärung ( Ich willige ein, dass ) Die Einwilligung kann beispielsweise durch Setzen eines Häkchens in einer Checkbox erfolgen Die Einwilligung muss protokolliert werden und der Nutzer muss die Möglichkeit haben, diese jederzeit zu widerrufen Der Einwilligungstext darf nicht zu pauschal formuliert sein 16
3. Praktische Umsetzung c) Auskunft und Löschung Zur Ermöglichung der Auskunft ist wiederum Voraussetzung, dass sämtliche Verarbeitungs- und Speichervorgänge der App bekannt sind bzw. von Entwickler abgefragt worden sind In der Datenschutzerklärung ist einen Kontaktmöglichkeit für datenschutzrechtliche Belange anzugeben, bei der die Nutzer die Betroffenenrechte geltend machen können Nutzerdaten sind automatisch zu löschen, wenn sie nicht mehr benötigt werden ggf. turnusmäßige Löschung nach einem bestimmten Zeitraum vorsehen 17
3. Praktische Umsetzung d) Standortdaten Vor der erstmaligen Erhebung und Verwendung von Standortdaten ist eine Einwilligung einzuholen Nach Auffassung der Art. 29 Datenschutzgruppe ist der Nutzer außerdem jedes Mal beim Start der App aufs Neue zu fragen, ob er mit der Nutzung einverstanden ist 18
Agenda 01 Einführung in die Thematik 02 Rechtliche Anforderungen 03 Praktische Umsetzung 04 Zusammenfassung der Ergebnisse 19
4. Zusammenfassung 1) Die Kontrolle der Einhaltung der datenschutzrechtlichen Anforderungen durch die Aufsichtsbehörden wird intensiver 2) Apps benötigen ebenso wie Webseiten eine Datenschutzerklärung 3) Diese Datenschutzerklärung sollte nicht einfach von der Webseite übernommen werden, sondern ist auf die spezifische Datenverarbeitung durch die App anzupassen 4) Wird die Entwicklung der App an einen externen Anbieter vergeben, so ist das Datenschutzkonzept mit diesem so früh wie möglich abzustimmen 5) Wenn durch die App Daten erhoben, verarbeitet oder werden, für die eine Einwilligung erforderlich ist, ist diese nach allgemeinen Grundsätzen einzuholen, zu speichern und für den Nutzer jederzeit abrufbar zu halten 6) Vorkehrungen für die Wahrung von Betroffenenrechten (Auskunft und Löschung) sind von Beginn an zu berücksichtigen 20
Ihre Ansprechpartner Andreas Crone, LL.M. Rechtsanwalt Rödl & Partner Nürnberg Äußere Sulzbacher Str. 100 D-90491 Nürnberg Telefon +49 (911) 9193-1619 Telefax +49 (911) 9193-1599 andreas.crone@roedl.com www.roedl.de Jeder Einzelne zählt bei den Castellers und bei uns. Menschentürme symbolisieren in einzigartiger Weise die Unternehmenskultur von Rödl & Partner. Sie verkörpern unsere Philosophie von Zusammenhalt, Gleichgewicht, Mut und Mannschaftsgeist. Sie veranschaulichen das Wachstum aus eigener Kraft, das Rödl & Partner zu dem gemacht hat, was es heute ist. Força, Equilibri, Valor i Seny (Kraft, Balance, Mut und Verstand) ist der katalanische Wahlspruch aller Castellers und beschreibt deren Grundwerte sehr pointiert. Das gefällt uns und entspricht unserer Mentalität. Deshalb ist Rödl & Partner eine Kooperation mit Repräsentanten dieser langen Tradition der Menschentürme, den Castellers de Barcelona, im Mai 2011 eingegangen. Der Verein aus Barcelona verkörpert neben vielen anderen dieses immaterielle Kulturerbe. 21