Wieso, weshalb, warum?

Apps als gelten als sog. Telemedien im Sinne des Telemediengesetzes (TMG) und mussten bereits seit langem eine Datenschutzerklärung bereitstellen, worin dem Nutzer transparent erläutert werden muss, welche Daten bei der App-Nutzung anfallen. Seit dem 25.Mai 2018 gelten nun auch für Apps die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) mit neuen Informations- und Transparenzpflichten. Demnach müssen Nutzer bereits „bei Erhebung“ der Daten in ausführlicher Weise über die Verarbeitungen informiert werden. In diesem Fall also beispielsweise beim ersten Start einer App, etwa durch Hinterlegung von Datenschutzhinweisen- bzw. Einer Datenschutzerklärung.

Was bereits lange gesetzlich gefordert war, wurde bisher eher halbherzig in der Praxis umgesetzt. Eine gesonderte Datenschutzerklärung welche den gesetzlichen Vorgaben entsprach, war in vielen Fällen nicht zu finden. Zumeist wurden lediglich Datenschutzerklärungen der dazugehörigen Webseiten der Anbieter verlinkt, die entweder schlecht lesbar waren oder gar nicht einschlägig für die App.

Reicht nicht die Datenschutzerklärung der Webseite?

Nein, man wird den anderen Nutzungsgewohnheiten und insbesondere Formaten von Apps damit (zumeist) nicht gerecht. Die Unterscheide zu Webseiten, insbesondere bei der technischen Bereitstellung und nicht zuletzt der Darstellung auf den Geräten, sind zu groß.

Beachtet werden müssen auch die speziellen Berechtigungen, welche Apps (idealerweise) vor der ersten Nutzung erfragen. Darf die App auf Fotos zugreifen? Auf das Mikrofon oder gar die Kontaktdaten? Es muss erläutert werden für welche Zwecke diese Berechtigungen erforderlich sind und wie der Nutzer diese im Zweifel auch wieder deaktivieren kann.

Interessant wird es auch hinsichtlich Werbung und Ad-Netzwerke – die meisten Apps leben von Werbung als wichtigste Einnahmenquelle. Man denke etwa an Mobile-Games, welche free2play oder mit Freemium Inhalten angeboten werden und die sich ausschließlich über Ingame-Advertising finanzieren. Hier muss der Nutzer verständlich informiert werden, welche Werbepartner involviert sind, welche Daten verarbeitet werden und wie man diesem widersprechen kann.

Sind Einwilligungen in Datenverarbeitungen abzugeben, etwa für die Verarbeitung von Gesundheitsdaten im Rahmen von sog. Health-Apps, muss die Einwilligung ausdrücklich und insbesondere freiwillig abgegeben werden. Die Datenschutzerklärung – die leider nach wie vor nur von wenigen Nutzern gelesen wird – eignet sich also nicht als Versteck.

Information der Nutzer – dank DSGVO ein schmaler Grad für Apps!

Auf der einen Seite müssen die Nutzer über sämtlich Verarbeitungstätigkeiten, etwa die Einbindung von Analytics, Werbung, Berechtigungen oder auch GPS- bzw. Standortdaten informiert werden. Auf der anderen Seite soll genau diese Information verständlich und transparent erfolgen. Das kann ein schmaler Grad in Anbetracht einer zumeist geringen Bildschirmgröße der mobilen Endgeräte sein, von der Komplexität der genutzten APIs im Backend ganz zu schweigen. Was kann man dem Nutzer hier zumuten und was dient lediglich der eigenen Rechtssicherheit? Lange Texte auf kleinen Bildschirmen verfehlen dabei oft genau den Anspruch des Gesetzgebers. Zielgruppe sollen meine Nutzer sein, nicht die Anwälte des Wettbewerbers.

Wichtig ist auch, dass die Datenschutzerklärung „bei Erhebung“ der Daten abrufbar ist. Dies ist dann gewährleistet, wenn diese idealerweise bereits im App-Store zur Verfügung steht und der Nutzer die Informationen jederzeit innerhalb der App zur Kenntnis nehmen kann, z.B. durch einen eigenen Button „Datenschutz“ in den App-Optionen.

Datenschutzgeneratoren – günstig, aber riskant?!

Für junge Gründer und Entwickler von Apps stellt sich nun die Frage, welches Vorgehen bei der Erstellung solch einer Datenschutzerklärung das Beste ist. Wer sich bereits für seine Webseite damit auseinandergesetzt hat weiß, dass es mehrere Möglichkeiten gibt, eine Datenschutzerklärung zu entwerfen.

Viele junge Unternehmen greifen zu einem „Generator“. Dies kann aber ungleich schwerer sein als für eine Webseite. Hat man etwa einen externen Entwickler eingesetzt, muss sichergestellt werden, dass alle technischen Details bekannt sind und erläutert werden. Diese Detailtiefe mag der Generator des Vertrauens aber gar nicht hergeben. Zu bedenken ist dabei, dass bei Apps aufgrund Kontroversen der Vergangenheit auch von Aufsichtsbehörden gerne ganz genau hingeschaut wird. So ist auch den Kontrollinstanzen bekannt, dass eine große Zahl an Apps Daten im Hintergrund erhebt und speichert, worüber der Nutzer im Zweifel gar nicht informiert wird. Spätestens bei sehr datengetriebenen Apps kann daher eine individuelle Beratung sinnvoll.

Wer sich bisher noch wenig oder gar nicht mit den Anforderungen der DSGVO auseinandergesetzt hat, findet unter folgendem Link eine praxisnahe Zusammenfassung für Startups: DSGVO Leitfaden für Startups: Die 5 wichtigsten ToDo’s