Onlinemarketing
App-Baukästen ermöglichen es auch kleinen Firmen, ihren Kunden mit eigenen Applikationen Zusatzservices für Smartphones anzubieten. Besonders wichtig ist dabei der Datenschutz! Rechtsanwalt Tobias Kohl von der tekit Consult Bonn GmbH erläutert die wichtigsten Regeln.
handwerk magazin: Welche Mängel aus datenschutzrechtlicher Sicht begegnen Ihnen bei der Prüfung von Apps besonders häufig?
Tobias Kohl: Zum einen nicht hinreichend sichere Wege der Datenübertragung. Zweitens unzureichende Informationen der Nutzer über die Datenerhebung und -verwendung. Und drittens mangelnder Zugriffsschutz bei der Speicherung von Daten auf mobilen Endgeräten der Nutzer.
Was müssen App-Anbieter also besser machen?
Zu allererst eine Sensibilität für personenbezogene Daten entwickeln. Dazu gehören alle Informationen, die direkt oder durch Verknüpfung mit Zusatzwissen auf eine Person zurückgeführt werden können – von der IP-Adresse über Geräte- und Kartenkennungen bis hin zu Fotos, um nur einige Beispiele zu nennen. Sowohl bei der Weitergabe als auch bei der Speicherung müssen solche Daten durch Verschlüsselungsalgorithmen, die dem jeweiligen Stand der Technik genügen, gegen Zugriffe Dritter geschützt werden. Außerdem ist der Nutzer darüber zu informieren, welche Daten von ihm erhoben, wie und auf welche Weise sie genutzt, weitergegeben und verarbeitet werden.
Wie müssen Nutzer darüber in Kenntnis gesetzt werden?
Laut Gesetz vor der ersten Nutzung der App. Die Datenschutzerklärung muss also entweder bereits im App-Store oder vor dem ersten Start der App angezeigt werden. In der Erklärung muss unter anderem darüber informiert werden, auf welche Funktionen des Handys die App zugreift, wie etwa Kamera, Mikrofon, Telefonbuch, Geodaten und so weiter. Es genügt also keinesfalls, einfach eine Datenschutzerklärung von der Firmenhomepage zu kopieren. Eine Herausforderung, an der viele scheitern, ist zudem die rechtssichere Gestaltung des Einwilligungskonzeptes. Die Zustimmung muss aktiv, etwa durch Anklicken, erfolgen und auf einer deutlich erkennbaren, unmissverständlichen Information beruhen. Das Problem: Ist die Einwilligung unwirksam, ist die darauf beruhende Datenverarbeitung rechtswidrig.
Welche Konsequenzen kann das haben?
Nach § 43 Bundesdatenschutzgesetz drohen bei Verstößen Bußgelder von bis zu 300.000 Euro.
Gilt das auch, wenn die Speicherung und Verarbeitung der Daten etwa in den USA stattfindet? Wer seine App beispielsweise mit einem App-Baukasten erstellt, bindet sich in der Regel automatisch an den Hostingdienst des Anbieters. Viele Anbieter sind amerikanische Start-ups.
Wenn Sie mit Ihrer App Nutzer in Deutschland ansprechen, noch dazu als deutsches Unternehmen, sind Sie uneingeschränkt verantwortlich dafür, dass die Erhebung und Verarbeitung der personenbezogenen Daten nach den Vorgaben des Bundesdatenschutzgesetzes erfolgt. Welche Dienstleister Sie dabei einbinden, ist zweitrangig. Das verhält sich ähnlich wie bei einer handwerklichen Leistung: Ein Gasinstallateur kann hierzulande ja durchaus Materialien und Nachauftragnehmer aus dem Ausland einsetzen. Am Ende aber muss er dafür geradestehen, dass die Installation deutschen Normen und Vorschriften genügt.
Ist also – auch vor dem Hintergrund der NSA-Affäre und Abhörskandalen – von US-Anbietern generell abzuraten?
Werden Dienstleister aus den USA eingebunden, ist darauf zu achten, dass sie mindestens eine aktuelle Zertifizierung nach „Safe-Harbor“ nachweisen können. Das ist ein zwischen der Europäischen Union und den USA vereinbarter Mindeststandard-Katalog für den Datenschutz. Eine Liste der Teilnehmer hält das US-Wirtschaftsministerium unter https://safeharbor.export.gov/list.aspx im Netz bereit. Nach Möglichkeit sollte darüber hinaus eine Vereinbarung nach den EU-Standard-Vertragsklauseln abgeschlossen werden. Natürlich müssen Nutzer über diese Fakten informiert werden. Bei der Einbindung externer Dienstleister, ob inländisch oder ausländisch, empfiehlt es sich in jedem Fall, eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) abzuschließen. Sie sollte im Detail regeln, wie Rechte, Pflichten und Aufgaben zwischen App-Betreiber und Dienstleister verteilt sind.
Kleine Firmen haben selten die Verhandlungsmacht und die Kapazitäten, um mit Standarddienstleistern, noch dazu im Ausland, solche individuellen Vereinbarungen auszuhandeln.
Umso wichtiger ist es, bei der Auswahl von Dienstleistern von vornherein auf hohe Standards im Datenschutz zu achten. Die Datenschutzbehörden haben dazu eine sehr gute Orientierungshilfe im Netz bereitgestellt. Auch und gerade kleine Firmen sollten ihre Auftragnehmer in die Pflicht nehmen, alle geltenden Vorschriften in diesem Bereich einzuhalten. Mein Rat: Holen Sie, wenn Ihre Hinweise ignoriert werden, juristische Unterstützung hinzu, um Ihren Forderungen Nachdruck zu verleihen. Schon im eigenen Interesse. Vor allem aber im Interesse der Nutzer Ihrer Apps. Datenschutz funktioniert schließlich nur, wenn alle an einem Projekt Beteiligten mitmachen.