IT-Recht für App-Entwickler: Datenschutz richtig umsetzen

Grundvoraussetzung für die Anwendung des deutschen Datenschutzrechts ist, dass „personenbezogene Daten“ gespeichert werden. Somit fällt nicht jede Speicherung von Informationen in den Schutzbereich des Bundesdatenschutzgesetzes (BDSG), sondern nur solche, die auch Personenbezug haben. Die Anwendung steht und fällt also mit dem Begriff der personenbezogenen Daten. Der muss daher näher erläutert werden.

Das BDSG schützt – wie gesagt – grundsätzlich nur personenbezogene Daten. Für App-Entwickler ist dieser Umstand wichtig, denn sie können unter Umständen von vornherein datenschutzrechtliche Probleme vermeiden, indem sie sich geschickt die Grenzen der einzelnen Voraussetzungen zunutze machen. Das Gesetz definiert in Paragraf 3, Absatz 1 personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

Zerlegt man diesen Satz in seine Einzelteile, dann müssen drei Voraussetzungen gegeben sein, damit das BDSG überhaupt Anwendung findet:

  • Einzelangaben über persönliche oder sachliche Verhältnisse
  • bestimmt oder bestimmbar
  • natürliche Personen

Einzelangaben über persönliche oder sachliche Verhältnisse

Die geschützten Daten müssen Informationen über die betreffende Person selbst („persönlich“) oder über einen auf sie beziehbaren Sachverhalt („sachlich“) enthalten. Beispiele für Angaben persönlicher Natur sind solche zu Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf oder Gesundheitszustand. Angaben über Eigentumsverhältnisse oder Grundbesitz sind dagegen sachlicher Natur.

Aber auch bloße Meinungsäußerungen oder Werturteile sowie Prognoseentscheidungen fallen unter das BDSG. Anschaulich wird das am Bewertungsportal „spickmich.de“: Es bietet Schülern an, ihre Lehrer zu bewerten. In dem Bewertungsmodul stehen dabei folgende Kriterien zur Auswahl: „Cool und witzig“, „beliebt“, „motiviert“, „menschlich“, „guter Unterricht“ und „faire Noten“. Der Begriff der persönlichen oder sachlichen Verhältnisse ist also extrem weit auszulegen, um dem Schutzzweck des BDSG gerecht zu werden. Im Zweifelsfall müssen App-Entwickler somit stets von der Anwendung des BDSG ausgehen.

Bestimmt oder bestimmbar

Aufgrund der gespeicherten Daten muss eine Person bestimmt beziehungsweise zumindest bestimmbar sein. Bestimmt ist eine Person, wenn sich unmittelbar aus den Daten die Identität der Person ergibt oder herleiten lässt. Bestimmbar ist eine Person dann, wenn sie sich unter Zuhilfenahme anderweitiger Daten identifizieren lässt.

Gerade im Bereich der Bestimmbarkeit werden je nach Position ganz unterschiedliche Ansichten vertreten. Für Datenschützer reicht bereits die theoretische Möglichkeit einer Identifizierung aus. So soll selbst in einem Fall, wo die Zusatzinformation nur durch einen Dritten oder durch Gesetzesverstöße erlangt wird, eine Bestimmbarkeit gegeben sein. Eine solche Interpretation würde jedoch zu einer uferlosen Anwendung des BDSG führen, denn praktisch jede Information kann durch eine irgendwo vorhandene Zusatzinformation bestimmbar gemacht werden.

Richtigerweise lehnen daher die überwiegende Rechtsprechung und der erhebliche Teil der rechtswissenschaftlichen Literatur diese Ansicht ab und nehmen einen Bezug nur dann an, wenn eine Ermittlung nach den Kenntnissen und Fähigkeiten der speichernden Stelle möglich ist. Die Heranziehung anderer Daten muss danach mit normalen Mitteln und ohne unverhältnismäßigen großen Aufwand denkbar sein. Ist dies nicht der Fall, so liegt keine Bestimmbarkeit vor.

Es kommt also ganz entscheidend auf die speichernde Stelle an. So kann es gut sein, dass für die eine Stelle die Person bestimmbar ist, weil sie Zugriff auf wichtige externe Daten hat, während die andere Stelle die Person nicht bestimmen kann.

Natürliche Person

Das BDSG schützt grundsätzlich nur Informationen über natürliche Personen, also Menschen, nicht aber über juristische Personen. Dass heißt alle Personen- und Kapitalgesellschaften fallen nicht unter den Anwendungsbereich des BDSG. Entwickler können somit Informationen über juristische Personen problemlos verarbeiten. Grenzen setzen lediglich die allgemeinen Gesetze, etwa das Bürgerliche Gesetzbuch oder das Gesetz gegen den unlauteren Wettbewerb. Sie stellen zum Beispiel Geschäfts- und Betriebsgeheimnisse unter einen besonderen Schutz.

Häufig ist es jedoch so, dass die Daten nicht nur Informationen über das Unternehmen enthalten, sondern zum Beispiel auch über den Geschäftsführer, die Gesellschafter, den Vorstand oder den Aufsichtsrat. Ist dies der Fall, so greift wiederum das BDSG, weil es sich hierbei um gemischte Daten handelt, von denen ein Teil der Informationen eine natürliche Person betrifft. Dazu ein Beispiel: Aus einem aktuellen Handelsregister-Auszug einer GmbH erfahren Sie nicht nur Informationen über die juristische Person (Gründung, Stammkapital, Geschäftsgegenstand), sondern auch den Namen des Geschäftsführers.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

1 Tag ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

1 Tag ago

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

1 Tag ago

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

2 Tagen ago