Datenschutz für App-Entwickler

Natürliche Person

Das BDSG schützt grundsätzlich nur Informationen über natürliche Personen, also Menschen, nicht aber über juristische Personen. Dass heißt alle Personen- und Kapitalgesellschaften fallen nicht unter den Anwendungsbereich des BDSG. Entwickler können somit Informationen über juristische Personen problemlos verarbeiten. Grenzen setzen lediglich die allgemeinen Gesetze, etwa das Bürgerliche Gesetzbuch oder das Gesetz gegen den unlauteren Wettbewerb. Sie stellen zum Beispiel Geschäfts- und Betriebsgeheimnisse unter einen besonderen Schutz.

Häufig ist es jedoch so, dass die Daten nicht nur Informationen über das Unternehmen enthalten, sondern zum Beispiel auch über den Geschäftsführer, die Gesellschafter, den Vorstand oder den Aufsichtsrat. Ist dies der Fall, so greift wiederum das BDSG, weil es sich hierbei um gemischte Daten handelt, von denen ein Teil der Informationen eine natürliche Person betrifft. Dazu ein Beispiel: Aus einem aktuellen Handelsregister-Auszug einer GmbH erfahren Sie nicht nur Informationen über die juristische Person (Gründung, Stammkapital, Geschäftsgegenstand), sondern auch den Namen des Geschäftsführers.

Das BDSG erlaubt die Speicherung von personenbezogenen Daten grundsätzlich nur in zwei Fällen: Wenn eine gesetzliche Grundlage für die Speicherung besteht oder wenn der Kunde in die Speicherung eingewilligt hat. Eine gesetzliche Grundlage besteht zum Beispiel dann, wenn mit einem Kunden ein Vertragsverhältnis eingegangen wird. Paragraf 28 des BDSG erlaubt grundsätzlich die Speicherung von Kundendaten. Dies gilt jedoch nur für die Verwendung von Informationen, die zwingend für die Abwicklung des Vertrages notwendig sind. Alle sonstigen Daten dürfen nicht erhoben werden.

In der Regel ist es jedoch so, dass App-Entwickler gerade Daten erfahren wollen, die nicht für die Vertragsabwicklung notwendig sind. Die gesetzliche Grundlage bringt sie daher in den meisten Fällen nicht wirklich weiter. Es bleibt als einzige Möglichkeit häufig nur die Einwilligung des Nutzers.

In der Praxis wird häufig übersehen beziehungsweise missverstanden, dass die Einwilligung aus zwei Teilbereichen besteht: Einmal aus der datenschutzrechtlichen Einwilligung und einmal aus der wettbewerbsrechtlichen Einwilligung. Diese beiden Bereiche sind bei der juristischen Betrachtung zu trennen.

An die datenschutzrechtliche Einwilligung sind andere Anforderungen zu stellen als an die wettbewerbsrechtliche. Während die Verletzung von datenschutzrechtlichen Vorschriften zivilrechtlich nur sehr eingeschränkt verfolgt werden kann, gilt dies für die Verletzung von Normen des Gesetzes gegen den unlauteen Wettbewerb gerade nicht.

Wie unterscheiden sich aber die beide Bereiche voneinander? Bei der datenschutzrechtlichen Einwilligung geht es um die Frage: Darf ich die Daten überhaupt erheben und speichern? Bei der wettbewerbsrechtlichen Einwilligung hingegen stellt sich die Frage: Darf ich die gespeicherten Personen kontaktieren und wenn ja, mittels welchen Mediums (SMS, E-Mail, Telefonanruf)?

Bei der rechtlichen Überprüfung, ob eine konkrete Einwilligungserklärung Bestand hat, müssen App-Entwickler stets beide Ebenen betrachten. Nur wenn die datenschutzrechtliche und die wettbewerbsrechtliche juristisch nicht zu beanstanden sind, liegt eine wirksame Einwilligung vor. Sobald nur einer von beiden Teilen rechtswidrig ist, ist die Einwilligung insgesamt unwirksam.

Im Folgenden werden nur die Aspekte der datenschutzrechtlichen Einwilligung betrachtet. Die Einwilligungserklärung, die dem App-Nutzer vorgelegt wird, muss hinreichend bestimmt sein. Dabei gilt es zwischen der persönlichen und sachlichen Reichweite zu unterscheiden.

• Persönliche Reichweite: Wem gegenüber willige ich ein? Welches Unternehmen erhält die Einwilligung und kann mich somit später kontaktieren?
• Sachliche Reichweite: Für was willige ich ein? Für welche Arten von Medien (Telefon, Fax, SMS, E-Mail) erteile ich meine Einwilligung? Für welchen Werbebereich ( zum Beispiel Unterhosen, Versicherungen oder PKW) erteile ich die Einwilligung?

Die Einwilligung muss somit alle wesentlichen Informationen enthalten, die der Nutzer zur Beurteilung dieser Umstände benötigt. Sobald hier wesentliche Informationen fehlen, wird die Erklärung unwirksam.
Elektronische Erklärung ausreichend

Es reicht aus, wenn die Erklärung des Nutzers in elektronischer Form (zum Beispiel durch Drücken eines Buttons) erfolgt. Die Schriftform ist nicht erforderlich. Die elektronische Variante ist jedoch nur dann erlaubt, wenn sichergestellt ist, dass die Einwilligung protokolliert wird und der Smartphone-Nutzer die Erklärung jederzeit einsehen und widerrufen kann.

Nicht ausreichend ist hingegen, wenn der Nutzer – wie etwa beim iPhone – im Menüpunkt “Ortungsdienste” – die Anwendung aktivieren oder deaktivieren kann. Vielmehr muss bei jeder Anwendung deutlich erkennbar sein, für welchen Zweck sie welche Daten speichert. Wollen App-Entwickler auf der sicheren Seite sein, wird ihnen nichts anderes übrig bleiben, als in ihrer App selbst die entsprechenden Hinweise und Informationen bereitzustellen. Denn die von den Betriebssystemen bereitgestellten Möglichkeiten sind datenschutzrechtlich nicht ausreichend.

Entwickler dürfen den datenschutzrechtlichen Einwilligungstext grundsätzlich mit anderen Regelungen (etwa AGB) räumlich verbinden. Dann muss die Einwilligung jedoch besonders optisch hervorgehoben werden, zum Beispiel durch Fettdruck. Zu beachten ist, dass dies ausschließlich bei der datenschutzrechtlichen Einwilligung gilt. Bei der wettbewerbsrechtlichen Einwilligung hingegen verlangt die Rechtsprechung ausdrücklich eine Trennung.

Die Zustimmung muss zudem ausdrücklich erfolgen, eine lediglich konkludente oder stillschweigend erteilte Einwilligung ist nicht ausreichend. Der Nutzer muss die Einwilligung außerdem grundsätzlich freiwillig abgegeben haben. App-Entwicklern ist es jedoch erlaubt, Nutzern Vergünstigungen zu gewähren, wenn sie zustimmen. Das Gesetz erlaubt es sogar, dass die User einer Einwilligung zwangsweise zustimmen müssen, um eine App überhaupt nutzen zu können.

Einwilligung von Minderjährigen

Grundsätzlich kann die Einwilligung auch von Minderjährigen abgegeben werden. Es kommt nicht auf das Alter der Person, sondern allein auf die Einsichtsfähigkeit des Einwilligenden an. Häufig findet sich der Passus, dass der Erklärende ein Mindestalter von 16 Jahren haben muss. Aus juristischer Sicht ist diese starre Altersnennung jedoch nur wenig überzeugend. Denn entscheidend ist bei der Beurteilung der Einsichtsfähigkeit nicht das abstrakte Alter, sondern der jeweilige geistige Entwicklungsstand des Minderjährigen sowie Art und der Umfang der erhobenen Daten.

So besteht ein grundlegender Unterschied, ob der Minderjährige lediglich seinen Namen und seine Adresse angibt oder auch darüber hinausgehende Informationen, deren Wert er vielleicht als unbedeutend einstuft, die aber unter Umständen höchstpersönliche Details seiner Eltern oder seiner Geschwister beinhalten. Einwilligungen von Personen zwischen drei und zwölf Jahren sind jedoch stets unwirksam, da diese Personen in der Regel die Reichweite ihrer Erklärung noch nicht überblicken können. Ab einem Alter von 14 Jahren wird hingegen von einer Einsichtsfähigkeit auszugehen sein.

Beschluss des Düsseldorfer Kreises

Für Entwickler lohnt sich sicher auch ein Blick in ein Papier des Düsseldorfer Kreises, einer informellen Vereinigung der deutschen Datenschutz-Aufsichtsbehörden. Sie hat kürzlich einen Beschluss hinsichtlich Datenschutz und Smartphone-Nutzung verabschiedet. Darin werden für Datenschutzkonformität vier Punkte eingefordert:

1. Transparenz bezüglich der Preisgabe personenbezogener Daten: Die Nutzer müssen in die Lage versetzt werden, diese Übermittlungen nachzuvollziehen. Sie müssen auch über den jeweiligen Zweck der Datennutzungen unterrichtet werden.

2. Steuerungsmöglichkeiten der Nutzer: Den Nutzern müssen Möglichkeiten an die Hand gegeben werden, mit denen aus der Nutzungssituation heraus gesteuert werden kann, ob und welche Daten einer Applikation zugänglich gemacht werden und an wen sie übermittelt werden.

3. Einflussmöglichkeiten auf das Löschen von Spuren bei der Internetnutzung: Im Gegensatz zu der für herkömmliche PCs bestehenden Situation fehlt es im Smartphone-Bereich weitgehend an Möglichkeiten, Datenspuren zu vermeiden, die bei der Internetnutzung auf dem Gerät entstehen.

4. Anonyme und pseudonyme Nutzungsmöglichkeiten: Generell sollte die Möglichkeit geschaffen werden, mit Smartphones die vermittelten Dienste anonym oder pseudonym zu nutzen.