Deutsche Datenschutzbehörden: Prüfung von Apps mit Facebook-SDK geplant

Am 3. und 4. April 2019 haben die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) auf ihrer 97. Konferenz u.a. auch über eine geplante Prüfung von Apps und durch diese vorgenommene Verarbeitung personenbezogener Daten diskutiert.

Aus dem veröffentlichten Protokoll (pdf) ergibt sich, dass die Konferenz beschlossen hat, den internen Arbeitskreis Medien unter Beteiligung des Arbeitskreises Technik zu bitten, Prüfszenarien für eine entsprechende Kontrolle von Apps zu entwickeln (siehe TOP 27).

Hierbei geht es den Aufsichtsbehörden aber nicht um eine allgemeine Prüfung von Apps, sondern ganz speziell um solche Apps, die das Software-Development Kit (SDK) von Facebook nutzen.

Nach Aussage der Datenschutzbehörde aus Hamburg würden

über das in vielen Apps verwendete Software-Development Kit von Facebook zahlreiche und häufig sensible Nutzerdaten an Facebook übermittelt.

Es scheint, dass die Behörde aus dem Norden in dieser Thematik schon ein wenig Erfahrung sammeln konnte. Zumindest wird in dem Protokoll weiter beschrieben, dass sich nach Ansicht der Hamburger Behörde in einer Vielzahl solcher Apps kein Hinweis auf die Übermittlung personenbezogener Daten an Facebook finde. Hiermit dürfte wohl ein möglicher verstoß gegen die Transparenzvorgaben der Art. 12-14 DSGVO im Raum stehen.

Hamburg gehe schätzungsweise davon aus, dass bei etwa 30 % der betroffenen Apps kein hinreichender datenschutzrechtlicher Hinweis erfolgt und regt an, dies im Rahmen einer koordinierten Prüfung zu untersuchen.

Dieser Anregung der Aufsichtsbehörde steht ein großer Teil der anderen Bundes- und Landesbehörden positiv gegenüber. Laut dem Protokoll erklären sich die Datenschutzbehörden aus Hamburg, Saarland, Niedersachsen, Mecklenburg-Vorpommern, BfDI, LDA Bayern, Berlin, Hessen und ggf. Rheinland-Pfalz bereit,

sich an der Entwicklung gemeinsamer Prüfstrategien und Kontrollen zu beteiligen.

App-Betreiber bzw. durchaus auch Entwickler von Apps sollten daher in näherer Zukunft damit rechnen, dass Datenschutzbehörden etwa einen Fragenkatalog zur Einbindung des Facebook-SDK versenden könnten. Insbesondere sollte natürlich unabhängig von einer solchen Prüfaktion jeder App-Betreiber für eine DSGVO-konforme Datenschutzerklärung sorgen, um den Anforderungen der Art. 12-14 DSGVO zu genügen. Nach Art. 13 Abs. 1 lit. e) DSGVO gehören zu den verpflichtend zu erteilenden Informationen für App-Nutzer auch Angaben über „die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“. Diese Vorgabe dürfte aus Sicht der Aufsichtsbehörden im vorliegenden Fall insbesondere relevant sein.

Hinzuweisen ist aus Beratersicht aber auch darauf, dass Art. 13 Abs. 1 lit. e) DSGVO alternativ entweder die konkrete Angabe von Empfängern (das wäre dann z.B. Facebook) oder auch die Nennung der der Kategorien von Empfängern von personenbezogenen Daten gestattet. Es ist also nicht zwingend vorgesehen, dass stets ein konkretes Unternehmen als Empfänger benannt werden muss. Jedoch sollte man auch wissen, dass durchaus darüber diskutiert wird, wie diese Vorschrift praktisch anzuwenden ist. Zum Teil wird behördlicherseits auch vertreten, dass, im Sinne eines Stufenverhältnisses, per se immer die konkreten Empfänger anzugeben sind und nur, wenn dies nicht möglich ist, die Kategorien genannt werden könnten.

Hessischer Datenschutzbeauftragter zu Pokémon Go: Nutzer ist darüber informiert, was mit seinen Daten geschieht

Im Rahmen der Antwort auf eine kleine Anfrage (Drs. 19/3658, pdf) im Hessischen Landtag zu dem Dienst Pokémon Go und mit dessen Einsatz einhergehenden datenschutzrechtlichen Fragen, hat auch der Hessische Landesdatenschutzbeauftragte eine Stellungnahme abgegeben.

Der Landesdatenschutzbeauftragte vertritt eine andere Auffassung als der Verbraucherzentrale Bundesverband e.V., der den Entwickler der Pokémon Go-App, das Unternehmen Niantic Inc., unter anderem wegen angeblicher Verstöße der Datenschutzbestimmungen des Dienstes gegen deutsches Datenschutzrecht, um Juli 2016 abgemahnt hatte.

Der Hessische Datenschutzbeauftragte geht davon aus, dass die datenschutzrechtlich verantwortliche Stelle für die Datenverarbeitung im Rahmen der Smartphone-App „Pokemon GO“ die Niantic Inc. mit Sitz in den USA ist. Ein Transfer von einer deutschen bzw. europäischen datenschutzrechtlich verantwortlichen Stelle in einen Drittstaat (USA) finde hingegen nicht statt. Vielmehr werden die Daten mit Einwilligung des Nutzers direkt durch ein US-Amerikanisches Unternehmen erhoben und verarbeitet

Da Niantic Inc., soweit ersichtlich, weder in Deutschland noch in der EU eine Niederlassung habe, unterliege das Unternehmen auch nicht der Kontrolle des Hessischen Datenschutzbeauftragten.

Der Landesbeauftragte führt weiter aus, dass die Datenschutzbestimmungen der „Pokemon GO“-App relativ umfangreich sind und in verhältnismäßig transparenter Form die Datenverarbeitung  bei  der  Nutzung der App erläutern.

Der Nutzer ist darüber informiert, was mit seinen Daten geschieht.

Zudem führt der Landesdatenschutzbeauftragte aus, dass Spieler die Wahl haben, ob sie die Kamera einschalten wollen oder nicht. Für das Abspeichern eines Pokemonfotos im Speicher des Smartphones und das Teilen mit anderen bestehe kein höheres Risiko als bei sonst erstellten und übermittelten Fotos.

Apps für Kinder: Datenschutzbehörde bemängelt fehlende Transparenz

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Rahmen einer international koordinierten Prüfung insgesamt 50 Apps, die sich an Kinder richten, auf ihre Datenschutzkonformität hin geprüft. Das Ergebnis der Prüfung wird in der Pressemitteilung (PDF) des BayLDA wie folgt zusammengefasst:

Hierbei offenbarten sich Mängel in der Transparenz und den Möglichkeiten für Eltern, bestimmte Datenflüsse zu steuern bzw. zu unterbinden.

Untersucht wurden 25 iOS- und 25 Android-Apps. 20 der geprüften Apps werden durch bayerische Unternehmen angeboten, für die das BayLDA die zuständige Aufsichtsbehörde ist.

Besonders kritisiert der Präsident des BayLDA, dass die Apps selbst in deutscher Sprache verfügbar seien, jedoch die Datenschutzerklärung (soweit sie denn überhaupt vorhanden war) nur auf Englisch bereitgestellt wurde.

Aus diesem Grund kündigt das BayLDA auch an, dass alle bayerischen App-Anbieter, die ihr Angebot an das deutsche Zielpublikum richten und nur eine englischsprachige Datenschutzerklärungen vorhalten, gezwungen werden sollen, diese auch auf Deutsch anzubieten. Eine Zusammenfassung der Prüfung durch das BayLDA findet sich in diesem Dokument (PDF).

App-Entwickler und App-Anbieter sollten darauf achten, innerhalb Ihrer App Informationen zum Umgang mit personenbezogenen Daten bereitzustellen. Die hierfür zu erstellende Datenschutzerklärung muss auch innerhalb der App (und nicht etwa nur beim Download) jederzeit für den Nutzer abrufbar sein. Das BayLDA hat im Jahre 2014 eine ausführliche Orientierungshilfe zu den Datenschutzanforderungen an Apps veröffentlicht (PDF).

Die inhaltlichen und auch formellen Anforderungen an die Datenschutzerklärung leiten sich aus dem Telemediengesetz (TMG), genauer aus § 13 Abs. 1 TMG, ab. Danach hat der Diensteanbieter (also der App-Betreiber) den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Wichtig ist insbesondere die Anforderung an die „allgemein verständliche Form“. Diese dürfte im Einzelfall nicht vorliegen, wenn die Hinweise in der Datenschutzerklärung nur auf Englisch verfügbar sind, obwohl sich die App an deutsche Nutzer richtet. Denn nicht jedem Nutzer, noch dazu wie in diesem Fall Kindern, ist es möglich, englische Umschreibungen der Datenverarbeitung zu verstehen. An einer „Verständlichkeit“ könnte es daher fehlen.
Die Ankündigung des BayLDA, bayerische App-Anbieter „zwingen“ zu wollen, deutsche Datenschutzerklärungen vorzuhalten, deutete zudem darauf hin, dass die Aufsichtsbehörde notfalls auch verwaltungsrechtlich gegen Anbieter vorgehen würde.

Datenschutz und Lifestyle-Apps: Europäische Datenschützer fordern Schutz der Gesundheitsdaten

Sog. Lifestyle-Apps, mobile Anwendungen auf Smartphones, Uhren oder Armbändern, die den täglichen Alltag einer Person aufzeichnen und dann Analysen der gesammelten Daten bieten, erfreuen sich immer größerer Beliebtheit. Ein Stichwort ist das sog. „quantified self“.

Das bei diesen Entwicklungen eine Vielzahl an Informationen erhoben, verarbeitet und analysiert wird, dürfte jedem klar. Es geht ja dem Träger zumeist gerade darum, dass das Gerät oder eine App seinen Alltag aufzeichnet und er daraus Schlüsse, etwa zur Verbesserung der eigenen Gesundheit, ziehen kann.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der sog. Art. 29 Gruppe, haben nun eine kurze Stellungnahme veröffentlicht (PDF), in der sie auf die grundsätzliche Definition des Begriffs „Gesundheitsdaten“, die möglichen Risiken einer Verarbeitung solcher Daten und der gesetzlichen Grundlagen des Umgangs mit diesen Daten eingehen. Nachfolgend möchte ich einige der in dem Papier besprochenen Themenfelder kurz darstellen.

Was sind „Gesundheitsdaten“?
Weit überwiegend befassen sich die Datenschützer mit der Frage, was denn überhaupt genau sog. „Gesundheitsdaten“ sind. Denn Art. 8 Abs. 1 der europäischen Datenschutzrichtlinie (RL 95/46/EG) definiert nur die „besonderen Kategorien personenbezogener Daten“, worunter auch „Daten über Gesundheit“ fallen. Was jedoch hierunter zu verstehen ist, das lässt die Richtlinie offen. Auch das deutsche Datenschutzrecht definiert nur die Oberkategorie der „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG). Hierunter fallen auch Angaben über die Gesundheit. Was aber unter den „Angaben über die Gesundheit zu verstehen ist, das wird nicht erläutert.

Die Art. 29 Gruppe geht davon aus, dass es in Europa bestimmte Arten von Informationen gibt, die ohne weiteres als Gesundheitsdaten angesehen werden. Hierzu gehören medizinische Daten, Daten über den physischen oder psychischen Zustand, die im Zusammenhang mit einem beruflichen, medizinischen Kontext entstehen. Nach Ansicht der Datenschützer fallen jedoch unter den Begriff der Gesundheitsdaten noch vielmehr Informationen. So etwa die Information, dass sich eine Person ein Bein gebrochen hat, dass eine Person eine Brille oder Kontaktlinsen trägt oder aber Informationen zu dem Trink- oder Rauchverhalten.

Grundsätzlich möchten die Datenschützer den Begriff der Gesundheitsdaten sehr weit auslegen. So ist es nach ihrer Ansicht gerade auch möglich, dass „rohe“ und für sich genommen völlig belanglose Daten, wie etwa die Information „Person X hat heute 4786 Schritt zurückgelegt“, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten.

Gesetzliche Grundlage der Datenverarbeitung

Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die hier angesprochenen Lifestyle-Apps ist insofern die ausdrücklich Einwilligung der betroffenen Person (Art. 8 Abs. 2 a) RL 95/46/EG bzw. § 4a Abs. 3 BDSG).
Wenn ein Anbieter eines Armbandes oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29 Gruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können.

Zu beachtende Datenschutzprinzipien

Daneben weisen die Datenschützer auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Insbesondere eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung ist hier wichtig. Dies auch vor dem Hintergrund, dass Voraussetzung einer wirksamen Einwilligung ist, dass sie „für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Die Informationen zum Umgang mit den Gesundheitsdaten müssen den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29 Gruppe bereits vor dem Download einer App. Daneben gilt es weitere Datenschutzprinzipien wie den Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit zu beachten.

Behörden fordern App-Stores auf, Datenschutzerklärungen als Pflicht für App-Anbieter einzuführen

Insgesamt 23 Datenschutzbehörden auf der ganzen Welt haben einen offenen Brief an sieben Betreiber großer App-Stores unterzeichnet. Darin fordern die Datenschützer die Betreiber der App-Marktplätze auf, eine Verpflichtung für App-Anbieter vorzusehen, Links zu Datenschutzerklärungen ihrer Apps bereitzustellen, wenn sie über ihre Apps personenbezogenen Daten verarbeiten. Ansonsten sollen die Apps nicht zugelassen werden.

Die unterzeichnenden Datenschutzbehörden, aus Deutschland sind die Landesdatenschützer aus Baden-Württemberg und Bayern beteiligt, arbeiten im sog. „Global Privacy Enforcement Network (GPEN)“ zusammen. Innerhalb dieses Netzwerkes führen die Behörden jedes Jahr weltweit Prüfungen von Apps und deren Einhaltung der geltenden Datenschutzgesetze durch. Der bayerische Datenschützer hatte im Mai 2014 informiert, dass im Rahmen seiner Prüfung 60 Apps begutachtet und teilweise erheblich Mängel festgestellt worden sind. Die Datenschutzaufsichtsbehörden des Bundes und der Länder für den nichtöffentlichen Bereich (Düsseldorfer Kreis) haben in Deutschland im Juni 2014 eine „Orientierungshilfe Apps“ erstellt, um die aus ihrer Sicht notwendigen datenschutzrechtlichen Anforderungen an den Einsatz und den Vertrieb von Apps darzustellen (hierzu mein ausführlicher Blogbeitrag).

In ihrem am 9. Dezember 2014 veröffentlichten Brief, fordern die Datenschutzbehörden aus der ganzen Welt nun jedoch Unterstützung durch die großen Anbieter der App-Stores. Darunter Apple, Google, Samsung und Microsoft. Zwar würde auf den App-Marktplätzen die Möglichkeit für App-Anbieter bestehen, einen Link zu ihrer Datenschutzerklärung einzufügen. Die Marktplatz-Anbieter sollten jedoch dazu übergehen, die Bereitstellung von Informationen zur Datenverarbeitung als zwingende Voraussetzung eines Angebotes der App auf der Plattform vorzusehen.

Datenschutz und „Internet der Dinge“ – Position der Europäischen Datenschützer

Die Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), das Gremium der Vertreter der europäischen Aufsichtsbehörden für den Datenschutz, hat in einer neuen Stellungnahme (WP 223, PDF) zum „Internet der Dinge“ (IoT) ihre Positionen zu verschiedenen datenschutzrechtlichen Fragen im Zusammenhang mit der Datenverarbeitung rund um Smartwatches, Fitnesstracker oder intelligente Thermostate dargelegt. Im Folgenden möchte ich einige der in der Stellungnahme angesprochenen Themenbereiche näher beleuchten.

Räumlicher Anwendungsbereich
Nach Ansicht der Art. 29 Gruppe ist das europäischen Datenschutzrecht (bzw. die jeweilige nationale Umsetzung der Vorgaben der geltenden Datenschutzrichtlinie (DS-RL) 95/46/EG) zum einen dann anwendbar, wenn Datenverarbeitungen „im Rahmen der Tätigkeiten“ einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche (hierzu sogleich) in der Europäischen Union besitzt (Art. 4 Abs. 1 lit. a DS-RL). Was genau unter der Umschreibung „im Rahmen der Tätigkeiten“ zu verstehen ist, wird in dieser Stellungnahme nicht näher erläutert. Jedoch verweisen die Datenschützer auf das Google-Urteil des Europäischen Gerichtshofs (C-131/12) und die dort vorgenommene sehr weite (meines Erachtens mit dem Wortlaut der Datenschutzrichtlinie kaum zu vereinbarende) Auslegung dieses Begriffs. Sollte der für die Datenverarbeitung Verantwortliche nicht in der EU niedergelassen sein, ist das europäische Datenschutzrecht dennoch anwendbar, wenn er nach Art. 4 Abs. 1 lit. c DS-RL auf Mittel zurückgreift, welche in einem Mitgliedstaat belegen sind. Nach Ansicht der Datenschützer stellen alle Geräte, die zur Erhebung oder weiteren Verarbeitung von personenbezogenen Daten im Rahmen eines IoT-Dienstes eingesetzt werden, solche „Mittel“ im Sinne der DS-RL dar. Hierzu gehören aber auch die Smartphones oder Tablets der Nutzer, auf denen entsprechende Software oder Apps zum Analysieren oder Übermitteln der erhobenen Daten installiert sind.

Personenbezogene Daten
Für die Datenschützer sind die Informationen, die von den IoT-Geräten erhoben werden, in den meisten Fällen als personenbezogen im Sinne des Art. 2 DS-RL anzusehen. Entweder kann eine bestimmte Person direkt hierüber identifiziert oder es können Lebensmuster und –gewohnheiten einer Person oder Familie erkannt werden. Jedoch gehen die Datenschützer in ihrer Stellungnahme noch weiter. Selbst wenn Daten pseudonymisiert oder gar anonymsiert werden, so bestünde doch aufgrund der Schieren Menge an Informationen stets ein latentes Risiko einer Re-Identifizierung. Dies reiche aus, um von personenbezogenen Daten auszugehen.

Für die Datenverarbeitung Verantwortlicher
Bei der Frage des für die Verarbeitung Verantwortlichen geht es um die Bestimmung derjenigen Stelle, welche die gesetzlichen Pflichten des Datenschutzrechts treffen. Die Art. 29 Gruppe verweist darauf, dass im Bereich des Internet der Dinge viele verschiedene Spieler beteiligt sind und daher eine genaue Analyse Ihrer Beteiligungen an den jeweiligen Datenverarbeitungsprozessen vorzunehmen ist. Der Gerätehersteller ist nach Ansicht der Datenschützer vor allem dann für die Datenverarbeitung verantwortlich, wenn er nicht nur das physische Gerät verkauft, sondern auch die Software programmiert und damit vorgibt, wie und welche Daten erhoben und zu welchen Zwecken verarbeitet werden. Auch Internetplattformen, auf denen Nutzer die über das Gerät erhoben Daten teilen und veröffentlichen können, besitzen unter gewissen Umständen datenschutzrechtliche Pflichten. So ist etwa der Anbieter eines sozialen Netzwerkes nach Ansicht der Datenschützer dann als Verantwortlicher anzusehen, wenn er Daten aus dem IoT-Gerät eines Nutzers für eigene Zwecke verwendet, z.B. um personalisierte Werbung für passionierte Jogger auszuspielen. Und auch Anbieter von Drittdiensten, etwa speziellen Apps, die auf IoT-Daten zugreifen, sind als für die Verarbeitung Verantwortlichen anzusehen, wenn sie über eine vorhandene API auf Informationen auf dem jeweiligen Gerät zugreifen. Nach Ansicht der Art. 29 Gruppe bedarf es hierfür zumeist der Einwilligung des Betroffenen, welche im Rahmen des Installationsprozesses der App einzuholen ist.

Einwilligung nach der ePrivacy-Richtlinie
Die Art. 29 Gruppe weist in ihrer Stellungnahme darauf hin, dass neben den Regelungen der DS-RL auch einzelne Bestimmungen anderer Gesetze zur Anwendung kommen können. Insbesondere im Blick haben die Datenschützer hierbei Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie (2002/58/EG). Danach ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Dieses Einwilligungserfordernis betrifft nach Ansicht der Datenschützer vor allem den Gerätehersteller. Zu beachten ist, dass die Einwilligung sich nicht nur auf personenbezogene Daten bezieht, sondern ganz allgemein auf Informationen, die in einem IoT-Gerät gespeichert sind.

Erlaubnistatbestände der Datenverarbeitung
Die Verarbeitung personenbezogener Daten, die über ein IoT-Gerät erhoben werden, bedarf nach dem geltenden Prinzip des Verbots mit Erlaubnisvorbehalt eines Erlaubnistatbestandes. Art. 7 DS-RL listet die möglichen gesetzlichen Grundlagen einer Verarbeitung personenbezogener Daten auf. Die Voraussetzungen einer der Alternativen des Art. 7 DS-RL sind neben den Voraussetzungen des Art. 5 Abs. 3 ePrivacy-Richtlinie zu erfüllen (der ja bereits bei einem Zugriff auf Informationen einschlägig ist). Nach Ansicht der Art. 29 Gruppe kommen im Rahmen des Einsatzes von IoT-Geräten vor allem drei Varianten des Art. 7 DS-RL in Betracht. Zum einen Art. 7 lit. a DS-RL, wenn der Betroffene seine Einwilligung in die Datenverarbeitung erteilt hat. Zum anderen Art. 7 lit. b DS-RL, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Die Art. 29 Gruppe weist darauf hin, dass der Anwendungsbereich dieses Erlaubnistatbestandes durch das Merkmal der „Erforderlichkeit“ begrenzt ist. Zum Dritten stellt auch Art. 7 lit. f DS-RL einen tauglichen Erlaubnistatbestand dar, wenn die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird erforderlich ist. Dies jedoch nur, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. In diesem Zusammenhang verweisen die Datenschützer erneut auf das Google-Urteil des EuGH und nehmen die Aussagen des Gerichts zum Anlass darauf einzugehen, dass eine Datenverarbeitung über IoT-Geräte sehr wahrscheinlich die Grundrechte auf Privatleben und den Schutz personenbezogener Daten in besonderer Weise berührt. Die Daten beziehen sich etwa auf die Gesundheit der Betroffenen oder ihre private Umgebung. Nach Ansicht der Art. 29 Gruppe ist eine Datenverarbeitung unter diesen Gegebenheiten kaum allein durch die wirtschaftlichen Interessen des jeweils Verantwortlichen zu rechtfertigen.

Zusammenfassung
Die Stellungnahme der Art. 29 Gruppe geht noch auf weitere Aspekte ein, etwa Anforderungen an die Datenqualität, die Verarbeitung besonderer Arten von personenbezogenen Daten (z. B. Gesundheitsdaten) oder auch zu ergreifende technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Insgesamt dient die Stellungnahme der Datenschützer sicherlich als informative Lektüre, um eine grobe Einschätzung des immer bedeutender werdenden Bereichs des Internets der Dinge aus Sicht der Aufsichtsbehörden zu erhalten. Meines Erachtens sind die Positionen der Art. 29 Gruppe freilich nicht in jedem Punkt las eine Art „obiter dictum“ hinzunehmen. So stellt sich etwa für Geräte- oder Softwarehersteller die Frage des Sinns (bzw. Unsinns) von Anonymisierungsverfahren, wenn nach Ansicht der Datenschützer selbst dann die datenschutzrechtlichen Pflichten eingreifen. Als ob also eine Anonymisierung von Daten gar nicht stattgefunden hätte. Warum sollten Unternehmen dann noch eine Anonymisierung (die mit tatsächlichen und finanziellen Aufwandverbunden ist) vornehmen? Auch in Zukunft werden das vernetzte Haus, das smarte Auto oder die intelligenten Uhren den Datenschutz vor Herausforderungen stellen. Es sollte daher auch genau auf eine mögliche Berücksichtigung dieser Technologien in der geplanten Datenschutz-Grundverordnung geachtet werden und wie das künftige Datenschutzrecht mit technologischen Entwicklungen umgehen wird.
Vg Wort

Apple will Fitness-Daten der User schützen

Mit der ab morgen verfügbaren neuen Version des Betriebssystems iOS 8 führt Apple auch das sog. HealthKit ein. Dabei handelt es sich um eine für App-Entwickler zugängliche Plattform, auf der Gesundheitsdaten von Nutzern gespeichert werden, die zuvor durch eine App (etwa „Health“ von Apple selbst oder auch Apps von Drittanbietern) auf dem Smartphone erhoben wurden.

Nach einem Bericht der Washington Post wird Apple in Bezug auf die so erhobenen und gespeicherten Gesundheitsdaten besondere Schutzvorkehrungen treffen. Grundsätzlich sollen Gesundheitsdaten nur dann im HealthKit für Dritte abrufbar sein, wenn der Nutzer seine Einwilligung erteilt hat. Zudem sollen jegliche Informationen, die von Gesundheits-Apps erhoben werden, verschlüsselt auf dem iPhone abgespeichert werden. Sollte eine Übermittlung der Daten auf einen Server von Apple erforderlich sein, man denke etwa an ein Backup, das der Nutzer durchführen möchte, so soll auch diese Übertragung verschlüsselt erfolgen.

Zudem hat Apple App-Entwickler bereits darauf hingewiesen, dass eine Speicherung von Gesundheitsdaten nicht in der iCloud erfolgen solle. Möchten Entwickler auf die Daten in dem HealthKit zugreifen, so geben die Richtlinien für Entwickler vor, dass die jeweilige App eine Datenschutzerklärung besitzen muss. Eine Nutzung der Gesundheitsdaten für Zwecke der Werbung soll ebenfalls ausgeschlossen sein.

Nach dem deutschen Datenschutzrecht handelt es sich bei den hier in Rede stehenden Gesundheitsdaten um „besondere Arten personenbezogener Daten“ nach § 3 Abs. 9 BDSG. Diese Arten von Daten werden unter dem geltenden Datenschutzrecht als besonders schutzwürdig angesehen. Eine Einwilligung in die Verwendung solcher Daten (als ein möglicher Erlaubnistatbestand) muss sich nach § 4a Abs. 3 BDSG etwa ausdrücklich auf diese Daten beziehen. Der besondere Schutz dieser Datenkategorien rührt aus der europäischen Richtlinie 95/46/EG, nach deren Art. 8 Abs. 1 die Verarbeitung solch sensibler Daten grundsätzlich untersagt ist. Ausnahmen von diesem Verbot bestehen nach Art. 8 Abs. 2 der Richtlinie etwa für den Fall der ausdrücklichen Einwilligung oder wenn die betroffene Person die Daten offenkundig öffentlich zugänglich gemacht hat.

Weitere Informationen zur App „Helath“: https://www.apple.com/de/ios/whats-new/health/ und zum HealthKit: https://developer.apple.com/healthkit/

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für App-Entwickler und App-Anbieter

Die deutschen Datenschutzbehörden für den nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben eine „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“ (PDF) im Internet veröffentlicht. Damit möchten die Aufsichtsbehörden auf datenschutzrechtliche und technische Anforderungen bei der Entwicklung und dem Einsatz von mobilen Applikationen hinweisen und den Verantwortlichen auch gleichzeitig einen Leitfaden an die Hand geben. Das immerhin 33 Seiten starke Dokument dürfte sich als durchaus nützliches Nachschlagewerk darstellen, vor allem vor dem Hintergrund, dass man so eine ungefähre Vorstellung davon erhält, welche Ansichten die Aufsichtsbehörden in Bezug auf bestimmte rechtliche Probleme vertreten. Nachfolgend möchte ich auf ein paar Einzelheiten des Dokuments eingehen.

Allgemein
Die Orientierungshilfe bezieht sich allein auf (Online-) Apps fu?r Smartphones und Tablets und nicht etwa auf offline nutzbare Apps oder solche, die Teil des Betriebssystems eines Mobiltelefons sind. Die Datenschützer trennen in ihrer Analyse grundsätzlich zwischen zwei Zielgruppen: App-Entwicklern und App-Anbietern. Jedoch können diese Eigenschaften auch zusammenfallen.

Rechtlicher Anwendungsbereich (räumlich und sachlich)
Hinsichtlich der Bestimmung des anwendbaren Datenschutzrechts ist der Sitz der verantwortlichen Stelle bzw. der für die jeweilige Datenverarbeitung „relevanten Niederlassung“ entscheidend. Befindet sich diese in Deutschland, so gilt deutsches Recht. Sitzt ein App-Anbieter außerhalb des EWR und unterhält er auch keine entsprechend Niederlassung innerhalb des EWR, so gilt deutsches Datenschutzrecht, wenn über die App personenbezogene Daten in Deutschland erhoben und verwendet werden.
In Bezug auf den sachlichen Anwendungsbereich stellen die Aufsichtsbehörden klar, dass sowohl IP-Adressen, als auch Geräte- und Kartenkennungen (z. B. IMEI, IMSI oder MAC-Adresse), Standortdaten und auch Audio- und Fotodaten ihrer Ansicht nach grundsätzlich personenbezogene Daten darstellen und damit den gesetzlichen Regelungen zum Datenschutz unterfallen.

Verantwortlichkeiten

Datenschutzrechtlich verantwortlich ist grundsätzlich der App-Anbieter. Dies gilt gerade auch dann, wenn er die App „nur“ anbietet und nicht selbst entwickelt hat. Der App-Anbieter ist daher auch für Nutzer die erste Anlaufstelle (etwa in Bezug auf Ansprüche zur Löschung von Daten oder der Auskunft. Die Verantwortlichkeit bleibt auch bestehen, wenn der Anbieter die Durchführung der Datenverarbeitung an Dienstleister vergibt. Hier liegt dann eine Auftragsdatenverarbeitung vor. Der Anbieter hat dann auf die Erfüllung der Pflichten aus § 11 BDSG zu achten. Als Beispiel führen die Aufsichtsbehörden etwa an, wenn die Reichweitenmessung und Auswertung durch einen Dienstleister. Wenn sich der Dienstleister in einem Drittstaat (also außerhalb des EWR) befindet, dann bestehen zusätzliche Pflichten, da dann nach dem deutschen Datenschutzrecht eine Übermittlung von Daten vorliegt. Jedoch kann sich die Verantwortlichkeit auch verändern, etwa wenn der App-Entwickler über Weisungen des Anbieters hinausgeht. Dann ist der Entwickler verantwortlich. Als Beispiel führt die Orientierungshilfe die Funktion einer automatisierten Fehlermeldung an, bei der personenbezogene Daten direkt an den Entwickler übersendet werden. Auch der Anbieter eines App-Stores kann datenschutzrechtlich verantwortlich sein, wenn er zusätzliche personenbezogene Daten, z. B. bei der Anmeldung, verarbeitet.

Erlaubnistatbestände
Damit eine Datenverarbeitung rechtmäßig erfolgt, muss sie aufgrund einer Einwilligung oder einer gesetzlichen Vorschrift erlaubt sein. Nach der Orientierungshilfe geht dabei das TMG als bereichsspezifisches Gesetz (vor allem wenn es um Diensteebene geht, also für Bereitstellung des Dienstes) den allgemeinen Bestimmungen des BDSG vor. Im TMG wird zwischen Bestandsdaten (§ 14 TMG) und Nutzungsdaten (§ 15 TMG) unterschieden. § 14 TMG legitimiert eine Verarbeitung, wenn diese zur Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich ist. Die Datenschützer stellen klar, dass es für die Frage, welche personenbezogenen Daten konkret für diese Zwecke erforderlich sind, durch den jeweiligen Nutzungsvertrag bestimmt wird, der zwischen dem Diensteanbieter und dem Nutzer abgeschlossen wird. Nach § 15 TMG ist eine Datenverarbeitung erlaubt, wenn diese erforderlich ist, um die Inanspruchnahme des Dienstes zu ermöglichen. Hierunter fallen nach der Orientierungshilfe personenbezogene Daten, welche notwendigerweise zur Nutzung der App durch den Diensteanbieter erhoben und verwendet werden müssen, wie z.B. die IP-Adresse oder eindeutige Kennnummern oder der Standort. Die Datenverarbeitung von Inhaltsdaten erfolgt jedoch nach dem BDSG.

Profilbildung
Nutzungsprofile dürfen auch bei dem Betrieb von Apps erstellt werden. Die Regelung des § 15 Abs. 3 TMG berechtigt jedoch nur den Diensteanbieter selbst oder seine Auftragnehmer zur Erstellung pseudonymisierter Nutzerprofile zu Werbezwecken. Die Datenschützer stellen klar, dass Dritte hiervon nicht erfasst werden. Zudem müssen Nutzer auf die Möglichkeit zu widersprechen hingewiesen werden. Dies muss nach Ansicht der Aufsichtsbehörden zumindest im Rahmen der Datenschutzerklärung geschehen. Jedoch weisen die Datenschützer auch daraufhin, dass etwa eindeutige Geräte- und Kartenkennungen wie die IMEI-Nummer oder auch die IP-Adresse kein Pseudonym darstellen. Diese Daten dürfen daher auch nicht in das Nutzungsprofil einfließen. Für die Ausübung des Widerspruchrechts sollte eine direkte Opt-Out Möglichkeit (Link, Möglichkeit des Auskreuzens) für den Nutzer vorgehalten werden, welche nach Ansicht der Datenschützer mit möglichst einem Klick aktiviert werden kann. Hierbei genügt es jedoch nicht, die Möglichkeit bereitzuhalten per E-Mail oder postalisch einer Nutzungsprofilerstellung gem. § 15 Abs. 3 TMG zu widersprechen. Interessant ist die Ansicht der Datenschützer, dass wenn ein Nutzer durch besondere Einstellungen auf seinem Endgerät signalisiert, dass er eine Verarbeitung seiner Nutzungsdaten für Werbezwecke nicht wünscht, auch diese Erklärung als Widerspruch zu werten und durch den Diensteanbieter zu beachten ist.

Einwilligung

Zur Einwilligung führt die Orientierungshilfe aus, dass nach § 4a BDSG neben der Freiwilligkeit und Informiertheit der Einwilligung grundsätzlich auch die Schriftform erforderlich sei. Zwar sehe§ 4a Abs. 1 S. 3 BDSG eine Ausnahme vom Schriftformerfordernis vor, wenn wegen besonderer Umstände eine andere Form angemessen ist. Solche besonderen Umstände liegen nach Ansicht der Aufsichtsbehörden jedoch nicht generell dann vor, wenn eine Einwilligung (außerhalb des TMG, denn hier ist eine elektronische Abgabe möglich) bei der Nutzung einer App eingeholt werden soll. Die Datenschützer verneinen die Möglichkeit einer entsprechenden Anwendung des § 13 Abs. 2, 3 TMG auf Einwilligungen außerhalb des TMG. Es bedürfe daher entweder der Schriftform, der elektronischen Form gem. § 126a BGB oder besonderer Umstände, welche zur Angemessenheit einer anderen Form als der Schriftform fuhren.

Weitere Themen
Die Orientierungshilfe geht noch auf viele weitere wichtige Themen im Bereich des Datenschutzrechts ein. So werden etwa Datenschutzgrundsätze wie die Direkterhebung (hier vor allem in Bezug auf die Verarbeitung von Daten Dritter über ein Adressbuch), die Datenvermeidung, die Möglichkeit der anonymen oder pseudonymen Nutzung nach 13 Abs. 6 TMG, die Zweckbindung oder die Erforderlichkeit der Datenverarbeitung (so muss sich etwa die Speicherdauer eines jeden personenbezogenen Datums am Grundsatz der Erforderlichkeit messen lassen) angesprochen. Zudem weisen die Datenschützer daraufhin, dass bereits in der Entwicklungsphase einer App den Prinzipien des „Privacy by Design“ und „Privacy by Default“ Rechnung getragen werden sollte.
Auch das Thema „Impressum“ wird angesprochen, ebenso natürlich wie die Notwendigkeit einer Datenschutzerklärung. Diese muss nach Ansicht der Aufsichtsbehörden App-spezifisch ausgestaltet sein, also genügt eine einfache Verknüpfung mit den Datenschutzhinweisen eines ähnlichen oder alternativen Webangebotes des gleichen Anbieters nicht den Ansprüchen an eine Unterrichtung nach den Vorschriften des TMG.

Auch geht die Orientierungshilfe noch auf die möglichen Konsequenzen aus einer rechtswidrigen Datenverarbeitung ein (Ordnungswidrigkeiten oder sogar Straftaten).

Zuletzt werden noch ein paar Besonderheiten von speziellen Formen von Apps und mobilen Diensten angesprochen, so etwa bei Zahlungen über Apps, der Nutzung der Applikationen durch Kinder und Jugendliche oder auch Apps von öffentlichen Stellen.

Fazit
Die Orientierungshilfe bietet einen guten ersten Überblick über rechtliche Probleme, die bei der Entwicklung und dem Angebot von Apps zu beachten sind. Der Leitfaden kann freilich nicht eine genau Analyse und Anpassung, insbesondere ist hier an die Datenschutzerklärung zu denken, ersetzen. Es ist zu begrüßen, dass die Aufsichtsbehörden hier proaktiv tätig werden und ihre Ansichten zu verschiedenen rechtlichen Fragen auf dem Gebiet der Apps darlegen.

Fußball-WM: Apps ziehen persönliche Daten ab

Da nun seit ein paar Tagen die Fußball-WM in Brasilien läuft, erfreuen sich auch Apps für Mobiltelefone großer Beliebtheit, die Informationen zu den Spielen und dem Turnier bereithalten.

Dass nicht all diese Apps mit Blick auf den Datenschutz unbedingt zu empfehlen sind, zeigt nun eine Untersuchung des Unternehmens Zscaler.

Dort hat man eine WM-App aus dem Google Play-Store untersucht (Brazil 2014 World Cup) und festgestellt, dass diese unter anderem auf

  • die Telefonnummer,
  • die MAC-Adresse,
  • die E-Mail-Adresse

auf den Mobiltelefonen zugreift.

In der Datenschutzerklärung der App im Google Play-Store wird von dem Anbieter darauf hingewiesen, dass man grundsätzlich keine personenbezogenen Daten speichern  und auf die Informationen auf dem Telefon nur im Rahmen der erteilten Genehmigungen zugreifen würde. Als solche einzuräumenden Zugriffsrechte sind dort der Zugriff auf den Kalender sowie die Möglichkeit des Speicherns von Terminen angegeben, etwa um den Nutzer auf ein Fußballspiel hinzuweisen.

Über die durch Zscaler im Code der App festgestellten Zugriffe wird dort nicht aufgeklärt.

Pikant ist zudem, dass eine Nutzung der MAC-Adressen durch Apps (etwa um hierüber Werbung auszuspielen) über die Bestimmungen des Google Play-Stores eigentlich ausdrücklich verboten ist.

Für Nutzer stellt sich freilich das Problem, dass man ohne einen geschulten Blick in den Code der App diese Datenzugriffe wohl kaum bemerken wird. Allein auf die Nutzerbewertung zu vertrauen wird auch nicht immer helfen, denn die von Zscaler geprüfte App hat ein durchaus positives Voting erhalten.

Hessischer Datenschützer: Hinweise zur Android-Apps und deren Entwicklung

Der Hessische Datenschutzbeauftragte hat auf seiner Internetseite ein Dokument (PDF) bereitgestellt, in dem die datenschutzrechtliche Situation bei Android-Apps und die erforderlichen Berechtigungen für den Zugriff auf personenbezogene Daten näher beleuchtet wird.

Hintergrund des Appells, „Aufgabe für App-Anbieter – Transparenz für Android App-Nutzer herstellen!“ sind Beschwerden von Nutzern, die sich auf Berechtigungen von Apps beziehen. Die hessische Behörde prüfte daher unter anderem, ob Android-Apps unzulässig personenbezogene Daten nutzen oder die Bedeutung und Funktionsweise von systeminternen Berechtigungen – die eine App unter Android-OS benötigt – von den Betroffenen missverstanden werden.

In seiner Erläuterung geht der Datenschutzbeauftragte zunächst auf die allgemeine Funktion von Berechtigungen von Apps unter Android ein. Anhand des Beispiels einer Navigations-App werden dann verschiedene Berechtigungen analysiert und nach ihrer Erforderlichkeit für die Erbringung des Dienstes gefragt. Diese Frage ist datenschutzrechtlich relevant. Zum einen wenn keine Einwilligung zur Nutzung der Daten vorliegt, um die Daten im Rahmen von gesetzlichen Erlaubnistatbeständen rechtmäßig verarbeiten zu können. Zum anderen aber auch aufgrund allgemeiner datenschutzrechtlicher Prinzipien, wie demjenigen der Datensparsamkeit, auf welches von Seiten der Datenschutzbehörden häufig hingewiesen wird.

In dem Dokument weist der Datenschutzbeauftragte daraufhin, dass aus seiner Sicht nicht die Beschreibung der Verwendungsmöglichkeiten dieser Berechtigungen in den Informationen oder Nutzungsbedingungen ausschlaggebend für die datenschutzrechtliche Bewertung sei, sondern die tatsächliche Verwendung der eingeräumten Berechtigungen. Diese werde durch seine Behörde geprüft und an den gesetzlichen Maßstäben gemessen.

Wichtig erscheint ein weiterer Hinweis des Datenschutzbeauftragten: damit neue Apps auch abwärtskompatibel sind, also mit älteren Android-Versionen funktionieren, muss eine App teilweise mehr Berechtigungen verlangen, als für ihre Nutzung unter der aktuellsten Version eigentlich erforderlich sind.

Zum Schluss gibt das Dokument App-Anbietern noch einige allgemeine Hinweise mit auf den Weg. Diese sollten in der Beschreibung ihrer App im Google Play Store detailliert und vollständig folgende Angaben machen oder darauf verlinken:

  • Welche Berechtigungen werden für welche Softwarefunktionalität gebraucht?
  • Wie werden die dadurch gewonnen Daten verarbeitet?

Zudem sollten diese Angaben nach Ansicht der Behörde auch Teil der Datenschutzerklärung der jeweiligen App sein.