Ein Beitrag von Matthias Walker, Ass. Jur. BvM Berlin und Kai Bodensiek, Partner BvM Berlin

 

Vor wenigen Tagen wandte sich Google weltweit an zahlreiche Entwickler von Apps, die über den Google Play Store für Android Geräte vertrieben werden. Wie verschiedene Webseiten berichteten, u.a. The Next Web und Techradar, wies Google die Betroffenen darauf hin, dass entweder keine oder nur eine unzureichende Datenschutzerklärung (Privacy Policy) verwendet wird. Es ist derzeit davon auszugehen, dass Google zunächst eine rein formale Prüfung vorgenommen hat und nicht die Datenschutzerklärungen selbst überprüft hat. Es ist aber nicht auszuschließen, dass auch eine beschränkte inhaltliche Prüfung zukünftig erfolgt.

Google forderte die Entwickler dazu auf, entweder die Zugriffsrechte der fraglichen Apps sowie die Erhebung von personenbezogenen Daten einzuschränken oder sowohl in der App als auch auf der Play Store Seite auf eine wirksame Datenschutzerklärung zu verweisen. Apps von Entwicklern, die diesen Vorgaben bis zum 15. März 2017 nicht nachkommen, droht neben der Einschränkung der Auffindbarkeit im Play Store gar die vollständige Löschung der App.

Die Verpflichtung zur Aufnahme einer Datenschutzerklärung hat ihre Grundlage in § 13 Abs. 1 Telemediengesetz (TMG), welcher Anbieter von Telemedien dazu verpflichtet, den Nutzer über die Erhebung und Verwendung personenbezogener Daten sowie über deren Verarbeitung außerhalb der EU zu unterrichten. Kommt der Anbieter seiner Unterrichtungspflicht nicht nach, droht nicht nur der Ausschluss aus dem jeweiligen App Store durch deren Betreiber. Vielmehr sieht das TMG selbst die Möglichkeit eines Bußgeldes von bis zu 50.000,00 Euro durch die entsprechenden Aufsichtsbehörden vor.

Folgende wichtigen Grundsätze sollten App-Entwickler zu Datenschutzerklärungen beachten:

  • Zeitpunkt:

    Der Nutzer muss gleich zu Beginn des Nutzungsvorgangs der App über die Erhebung und Verwendung seiner personenbezogenen Daten, sowie die Datenverarbeitung im Ausland unterrichtet werden.
  • Form:

    Die Unterrichtung muss in einer allgemein verständlichen Form abgefasst und für den Nutzer jederzeit abrufbar sein.
  • Platzierung:

    Datenschutzerklärungen sollten mit maximal zwei Klicks auf dem Hauptbildschirm der App bzw. von der Startseite einer eigenen Webseite aus abrufbar sein. Bei mobilen Geräten besteht durch die meist kleinen Bildschirme das Problem der Lesbarkeit, sodass bei diesen allgemein ein verweisender Link auf die Datenschutzerklärung als ausreichend erachtet wird. Dieser Link sollte sowohl auf die Verkaufsseite der App im Store, als auch in der App selbst implementiert werden. Bei der Implementierung in der App ist indes Vorsicht geboten: Erhebt eine App personenbezogene Daten und kann diese nicht nur online, sondern auch offline betrieben werden, sollte zur Sicherstellung der Unterrichtungspflicht die Datenschutzerklärung auch offline in der App verfügbar gemacht werden.
  • Inhalt:

    Gesetzlich vorgeschriebener Inhalt ist die Angabe der Art, des Umfangs und Zwecks der Erhebung und Verwendung von personenbezogenen Daten sowie die Verarbeitung außerhalb der EU. Dies bedeutet, dass dem Kunden im Detail zu erklären ist, welche Daten (egal ob direkt vom Kunden oder automatisiert durch Tracking Software oder als Nebenprodukt, z.B. bei Serverlogfiles) zu welchem Zweck erfasst und verarbeitet werden. Besonders schwierig ist auch die Aufklärung über die Datenweitergabe bei der Nutzung von Plug-Ins sozialer Netzwerke, bei denen man wenig Einblick in die Datenübermittlung hat. Für Trackingsoftware ist regelmäßig auch die Möglichkeit (auch in Apps) vorzusehen, dass die Datenerhebung abgeschaltet wird. Falls eine Datenverarbeitung außerhalb der EU vorgesehen ist, bedarf es zudem der Angabe des Orts der Verarbeitung sowie etwaiger daraus erwachsender Risiken.

Der Schritt von Google überrascht nicht. Die Anzahl erhältlicher Apps im Google Play Store hat die Marke von 2 Millionen Units bereits hinter sich gelassen. Vor diesem Hintergrund bietet die Entfernung regelwidriger Apps Google nicht nur die Möglichkeit, gegenüber den EU Behörden nachhaltige Compliance-Bemühungen nachzuweisen, sondern den Store zugleich von einer Vielzahl ungenutzter und nicht weiter unterstützter sog. „Zombie-Apps“ aufzuräumen. Außerdem stellt dies einen ersten Schritt zur zwingend notwendigen Selbstregulierung dar, die wir hier im Blog auch letztes Jahr schon eingefordert hatten.

Es bleibt abzuwarten, in welchem Ausmaß Google seiner Ankündigung nach dem 15. März 2017 Taten folgen lässt und Apps ohne bzw. mit unzureichenden Datenschutzerklärungen sanktioniert oder aus dem Store entfernt. Hierauf sollten Entwickler es jedoch kaum ankommen lassen, kann doch durch einen überschaubaren Aufwand sowohl die Sanktionierung durch den Storebetreiber, als auch ein empfindliches Bußgeld vermieden werden.

Mehr Artikel zu: Medien-IT-Recht Internet
Zur Person:
Brehm&vMoers-KaiBodensiek

Kai Bodensiek
Rechtsanwalt BvM Berlin

kai.bodensiek@bvm-law.de