Laut einer Studie (Juni 2012) boten nur 48% aller kostenlosen Apps und 32% der kostenpflichtigen Apps (in App Stores, wie z.B. Apple, Android, Kindle), Zugang zu einer Datenschutzerklärung innerhalb der App. Das ist eine überraschend niedrige Zahl, wenn man bedenkt, dass es genügend Gründe gibt diese zu integrieren, insbesondere da die Datenschutzgesetze der meisten Länder die Angabe von Datenschutzerklärungen rechtlich vorschreiben.
Die kalifornische Generalstaatsanwaltschaft erklärt ausdrücklich, dass der Online Privacy Protection Act (CalOPPA) auch in Bezug auf Apps gilt. Um sicherzustellen, dass diese Gesetze tatsächlich eingehalten werden, hat das kalifornische Justizministerium im Juli 2012 eine Einheit für die Kontrolle und den Schutz von Datenschutzrichtlinien eingerichtet. Dies mag so klingen, als ob es nur für Entwickler mit Sitz in Kalifornien gültig wäre, aber es ist eigentlich ein Aufruf zur Einhaltung der Vorschriften für jeden, der potenziell mit Kaliforniern zu tun hat.
Die FTC (Federal Trade Commission) und die kalifornische Generalstaatsanwältin (Kamala Harris), haben Richtlinien veröffentlicht, die bei der Entwicklung mobiler Anwendungen zu beachten sind. Path, Delta und andere Firmen wurden wegen Nichteinhaltung dieser Datenschutzrichtlinien bereits angeklagt oder zu einer Geldstrafe verurteilt.
Es gibt tatsächlich nur sehr wenige Apps, die keine Datenschutzerklärung brauchen. Schauen wir uns das mal im Folgenden genauer an.
Wann brauche ich eine Datenschutzerklärung in meiner App?
Die erste Frage, die Sie sich stellen müssen, ist: sammle ich/verarbeite ich personenbezogene Daten in meiner App?
Personenbezogene Daten können viele Dinge sein: ein Vor- und Nachname, eine E-Mail-Adresse, eine Telefonnummer, Standortdaten und vieles mehr, wie z.B. Analysen oder der Einsatz von Werbung.
Mit personenbezogenen Daten sind alle Informationen umfasst, die über eine Person etwas aussagen. Diese Informationen müssen sich nicht zwingend auf eine bestimmte Person beziehen (wie bspw. beim Namen oder einem Foto des Betroffenen), ausreichend ist vielmehr, dass zu der jeweiligen Person ein Bezug hergestellt werden kann. So können – zumindest bei entsprechendem Zusatzwissen – auch Telefonnummer, Sozialversicherungsnummern, persönlich zugeteilte Berechtigungskennzeichen und u.U. IP-Adressen personenbeziehbare und damit datenschutzrelevante Informationen sein (Hier finden Sie ein Beispiel für die deutsche Definition von personenbezogenen Daten: Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen).
Falls diese Daten also durch eine App erfasst werden, benötigen Sie eine Datenschutzerklärung.
Datenschutzgesetze
Gemäss der Generalstaatsanwaltschaft Kaliforniens und der neuen Interpretation des CalOPPA, ist man bereits dann rechtlichverpflichtet eine Datenschutzerklärung deutlich sichtbar anzuzeigen, wenn man personenbezogene Daten verarbeitet. Dabei muss angegeben werden, wie die Applikation solche sammelt, nutzt und teilt. Diese Regel gilt global für jeden der eine Anwendung vertreibt, die kalifornische Bürger betreffen könnte. Ist die fragliche App also nützlich für Kalifornier, so hat man sich an diese Regeln zu halten. Entwickler die sich nicht an diese Regeln halten, laufen Gefahr unter kalifornischem Recht und dem CalOPPA zur Verantwortung gezogen zu werden.
In 2012 haben sich die Generalstaatsanwältin Harris und die sechs führenden Anbieter von Plattformen für mobile Anwendungen darauf geeinigt, die Mobilfunkbranche auf das Niveau des CalOPPA zu heben. Mehr dazu kann in der Gemeinsamen Grundsatzerklärung nachgelesen werden. Es ist sehr wahrscheinlich, dass weitere Gesetze eingeführt werden.
Angenommen, Sie haben eine App, die sich an europäische Nutzer richtet. Die selben Regeln gelten hier unter der Datenschutzrichtlinie (95/46/EG). Sie gelten in jedem Fall, wenn die Nutzung von Apps auf Smart-Geräten die Verarbeitung personenbezogener Daten beinhaltet. Im Grunde genommen immer dann, wenn Ihre App in der EU verwendet wird, auch wenn Sie nicht dort ihren Sitz haben, gilt das nationale Recht des betroffenen Mitgliedstaats. Auch dann, wenn der Controller nicht im Gemeinschaftsgebiet niedergelassen ist und Geräte verwendet, die sich im Gebiet dieses Mitgliedstaats befinden. Da das Gerät bei der Verarbeitung personenbezogener Daten von und über den Nutzer eine wichtige Rolle spielt, ist dieses Kriterium in der Regel erfüllt und es müssen folglich alle in der Datenschutzrichtlinie definierten Anforderungen eingehalten werden.
Zusätzlich dazu legt die ePrivacy Directive (2002/58/EG, in der Fassung von 2009/136/EG) einen spezifischen Standard für alle weltweit fest, die Informationen auf mobilen Endgeräten von Nutzern im Europäischen Wirtschaftsraum speichern oder darauf zugreifen wollen. Viele Bestimmungen der ePrivacy Richtlinie gelten möglicherweise nicht direkt für Sie als Entwickler, aber die wichtigste bezüglich der Entwicklung mobiler Plattformen ist Artikel 5 Absatz 3, der besagt, dass die Speicherung von Informationen oder der Zugang zu bereits gespeicherten Informationen in den Geräten eines Teilnehmers oder Nutzers nur dann zulässig ist, wenn der betreffende Teilnehmer oder Nutzer seine Zustimmung gegeben hat, nachdem er gemäß der Richtlinie 95/46/EG klare und umfassende Informationen erhalten hat, unter anderem über den Zweck der Verarbeitung.
Hinweis: Die Richtlinien sind in das Recht der europäischen Mitgliedsstaaten einzubinden, daher sollten die nationalen Gesetze im Detail beachtet werden.
Es ist wichtig für App-Entwickler zu wissen, dass beide Richtlinien unerlässlich sind, da die Rechte des Einzelnen nicht übertragbar sind und nicht vertraglich aufgehoben werden können. Dies bedeutet, dass die Gültigkeit des europäischen Datenschutzrechts nicht durch eine einseitige Erklärung oder vertragliche Vereinbarung ausgeschlossen werden kann.
Folglich ist es nötig:
Eine lesbare, verständliche und leicht zugängliche Datenschutzerklärung bereitzustellen, die die Nutzer zumindest über Folgendes informiert:
- Wer Sie sind (Identität und Kontaktdaten),
- Die spezifischen Kategorien von personenbezogenen Daten, die die App erheben und verarbeiten soll,
- Warum die Datenverarbeitung notwendig ist (und für welche Zwecke),
- Ob Daten an Dritte weitergegeben werden (eine konkrete Beschreibung, an wen die Daten weitergegeben werden),
- Die Rechte, die Nutzer haben, in Bezug auf den Widerruf der Einwilligung und die Löschung von Daten.
Dieses Dokument der Article 29 Working Party gibt weitere Einsicht.
Ähnliche Gesetzgebungen existieren in den meisten Staaten mit geringen Abweichungen, welche dann auf die einzelne Situation anzuwenden sind. In Deutschland sind neben den Bundesgesetzen wie das BDSG/TMG auch noch Landesgesetze zu beachten. Eine aktive Datenschutzbehörde ist unter anderem in Hamburg ansässig.
Services/App Stores
Es sind noch andere Dinge zu beachten als nur die reine Gesetzeslage. Hier sind zwei wichtige weitere Aspekte:
- Viele Services/Dienstleistungen die ev. in den Applikationen eingesetzt werden wie mobile Analytikservices oder Werbedienstleistungen müssen ebenso die Gesetze beachten und können in ihren allgemeinen Geschäftsbedingungen den Einsatz einer Datenschutzerklärung verlangen. Ein gutes Beispiel ist Google Adsense.
- Seit der Vereinbarung der App Stores mit dem kalifornischen Justizministerium verbessern diese aktiv die Datenschutz-Situation für die Verbraucher und setzen Datenschutzrichtlinien als Anforderung im Genehmigungsablauf der Apps ein. Eine Email von Amazon, die uns vorliegt hatte dies zum Inhalt:
Customer privacy is important to us, and we know it is important to many of you too. That’s why we want to make sure you know how to include links to your privacy policy on product detail pages for your apps. We require all apps that collect personally identifiable information or personal information to provide a link to their privacy policy, so if you haven’t already done so, please take a moment to submit the privacy policy link for each of your apps today.
(Datenschutz ist uns wichtig, und wir wissen, dass er auch für viele von Ihnen wichtig ist. Deshalb möchten wir sicherstellen, dass Sie wissen, wie Sie Links zu Ihrer Datenschutzerklärung auf den Produktseiten Ihrer Apps einfügen können. Wir bitten alle Anwendungen, die persönliche Identifizierungsdaten oder personenbezogene Daten erfassen, einen Link zu ihrer Datenschutzerklärung anzugeben. Wenn Sie dies noch nicht getan haben, nehmen Sie sich bitte einen Moment Zeit, um den Link zur Datenschutzerklärung für jede Ihrer Anwendungen heute einzureichen.)
Was wenn ich keine Datenschutzerklärung habe?
Viele Entwickler verzichteten bisher aus diversen Gründen auf eine Datenschutzerklärung, jedoch verfügen die Strafverfolgungsbehörden über einen umfangreichen Katalog von Maßnahmen zur Bestrafung dieses Verhaltens.
Die Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 gibt Nutzern außerdem verstärkten Schutz und setzt bei Entwicklern hohe Transparenz bei der Verarbeitung personenbezogener Daten voraus.
iubenda macht das Erstellen von Datenschutzerkärungen für mobile Anwendungen kinderleicht. Der Generator hilft beim Erstellen von mobilen Datenschutzerklärungen und hostet diese dann vorteilhaft auf unseren Servern.