IT-Recht für App-Entwickler: Datenschutz richtig umsetzen

Das BDSG erlaubt die Speicherung von personenbezogenen Daten grundsätzlich nur in zwei Fällen: Wenn eine gesetzliche Grundlage für die Speicherung besteht oder wenn der Kunde in die Speicherung eingewilligt hat. Eine gesetzliche Grundlage besteht zum Beispiel dann, wenn mit einem Kunden ein Vertragsverhältnis eingegangen wird. Paragraf 28 des BDSG erlaubt grundsätzlich die Speicherung von Kundendaten. Dies gilt jedoch nur für die Verwendung von Informationen, die zwingend für die Abwicklung des Vertrages notwendig sind. Alle sonstigen Daten dürfen nicht erhoben werden.

In der Regel ist es jedoch so, dass App-Entwickler gerade Daten erfahren wollen, die nicht für die Vertragsabwicklung notwendig sind. Die gesetzliche Grundlage bringt sie daher in den meisten Fällen nicht wirklich weiter. Es bleibt als einzige Möglichkeit häufig nur die Einwilligung des Nutzers.

In der Praxis wird häufig übersehen beziehungsweise missverstanden, dass die Einwilligung aus zwei Teilbereichen besteht: Einmal aus der datenschutzrechtlichen Einwilligung und einmal aus der wettbewerbsrechtlichen Einwilligung. Diese beiden Bereiche sind bei der juristischen Betrachtung zu trennen.

An die datenschutzrechtliche Einwilligung sind andere Anforderungen zu stellen als an die wettbewerbsrechtliche. Während die Verletzung von datenschutzrechtlichen Vorschriften zivilrechtlich nur sehr eingeschränkt verfolgt werden kann, gilt dies für die Verletzung von Normen des Gesetzes gegen den unlauteen Wettbewerb gerade nicht.

Wie unterscheiden sich aber die beide Bereiche voneinander? Bei der datenschutzrechtlichen Einwilligung geht es um die Frage: Darf ich die Daten überhaupt erheben und speichern? Bei der wettbewerbsrechtlichen Einwilligung hingegen stellt sich die Frage: Darf ich die gespeicherten Personen kontaktieren und wenn ja, mittels welchen Mediums (SMS, E-Mail, Telefonanruf)?

Bei der rechtlichen Überprüfung, ob eine konkrete Einwilligungserklärung Bestand hat, müssen App-Entwickler stets beide Ebenen betrachten. Nur wenn die datenschutzrechtliche und die wettbewerbsrechtliche juristisch nicht zu beanstanden sind, liegt eine wirksame Einwilligung vor. Sobald nur einer von beiden Teilen rechtswidrig ist, ist die Einwilligung insgesamt unwirksam.

Im Folgenden werden nur die Aspekte der datenschutzrechtlichen Einwilligung betrachtet. Die Einwilligungserklärung, die dem App-Nutzer vorgelegt wird, muss hinreichend bestimmt sein. Dabei gilt es zwischen der persönlichen und sachlichen Reichweite zu unterscheiden.

  • Persönliche Reichweite: Wem gegenüber willige ich ein? Welches Unternehmen erhält die Einwilligung und kann mich somit später kontaktieren?
  • Sachliche Reichweite: Für was willige ich ein? Für welche Arten von Medien (Telefon, Fax, SMS, E-Mail) erteile ich meine Einwilligung? Für welchen Werbebereich ( zum Beispiel Unterhosen, Versicherungen oder PKW) erteile ich die Einwilligung?

Die Einwilligung muss somit alle wesentlichen Informationen enthalten, die der Nutzer zur Beurteilung dieser Umstände benötigt. Sobald hier wesentliche Informationen fehlen, wird die Erklärung unwirksam.

Elektronische Erklärung ausreichend

Es reicht aus, wenn die Erklärung des Nutzers in elektronischer Form (zum Beispiel durch Drücken eines Buttons) erfolgt. Die Schriftform ist nicht erforderlich. Die elektronische Variante ist jedoch nur dann erlaubt, wenn sichergestellt ist, dass die Einwilligung protokolliert wird und der Smartphone-Nutzer die Erklärung jederzeit einsehen und widerrufen kann.

Nicht ausreichend ist hingegen, wenn der Nutzer – wie etwa beim iPhone – im Menüpunkt „Ortungsdienste“ – die Anwendung aktivieren oder deaktivieren kann. Vielmehr muss bei jeder Anwendung deutlich erkennbar sein, für welchen Zweck sie welche Daten speichert. Wollen App-Entwickler auf der sicheren Seite sein, wird ihnen nichts anderes übrig bleiben, als in ihrer App selbst die entsprechenden Hinweise und Informationen bereitzustellen. Denn die von den Betriebssystemen bereitgestellten Möglichkeiten sind datenschutzrechtlich nicht ausreichend.

Entwickler dürfen den datenschutzrechtlichen Einwilligungstext grundsätzlich mit anderen Regelungen (etwa AGB) räumlich verbinden. Dann muss die Einwilligung jedoch besonders optisch hervorgehoben werden, zum Beispiel durch Fettdruck. Zu beachten ist, dass dies ausschließlich bei der datenschutzrechtlichen Einwilligung gilt. Bei der wettbewerbsrechtlichen Einwilligung hingegen verlangt die Rechtsprechung ausdrücklich eine Trennung.

Die Zustimmung muss zudem ausdrücklich erfolgen, eine lediglich konkludente oder stillschweigend erteilte Einwilligung ist nicht ausreichend. Der Nutzer muss die Einwilligung außerdem grundsätzlich freiwillig abgegeben haben. App-Entwicklern ist es jedoch erlaubt, Nutzern Vergünstigungen zu gewähren, wenn sie zustimmen. Das Gesetz erlaubt es sogar, dass die User einer Einwilligung zwangsweise zustimmen müssen, um eine App überhaupt nutzen zu können.

Einwilligung von Minderjährigen

Grundsätzlich kann die Einwilligung auch von Minderjährigen abgegeben werden. Es kommt nicht auf das Alter der Person, sondern allein auf die Einsichtsfähigkeit des Einwilligenden an. Häufig findet sich der Passus, dass der Erklärende ein Mindestalter von 16 Jahren haben muss. Aus juristischer Sicht ist diese starre Altersnennung jedoch nur wenig überzeugend. Denn entscheidend ist bei der Beurteilung der Einsichtsfähigkeit nicht das abstrakte Alter, sondern der jeweilige geistige Entwicklungsstand des Minderjährigen sowie Art und der Umfang der erhobenen Daten.

So besteht ein grundlegender Unterschied, ob der Minderjährige lediglich seinen Namen und seine Adresse angibt oder auch darüber hinausgehende Informationen, deren Wert er vielleicht als unbedeutend einstuft, die aber unter Umständen höchstpersönliche Details seiner Eltern oder seiner Geschwister beinhalten. Einwilligungen von Personen zwischen drei und zwölf Jahren sind jedoch stets unwirksam, da diese Personen in der Regel die Reichweite ihrer Erklärung noch nicht überblicken können. Ab einem Alter von 14 Jahren wird hingegen von einer Einsichtsfähigkeit auszugehen sein.

Beschluss des Düsseldorfer Kreises

Für Entwickler lohnt sich sicher auch ein Blick in ein Papier des Düsseldorfer Kreises, einer informellen Vereinigung der deutschen Datenschutz-Aufsichtsbehörden. Sie hat kürzlich einen Beschluss hinsichtlich Datenschutz und Smartphone-Nutzung verabschiedet. Darin werden für Datenschutzkonformität vier Punkte eingefordert:

  1. Transparenz bezüglich der Preisgabe personenbezogener Daten: Die Nutzer müssen in die Lage versetzt werden, diese Übermittlungen nachzuvollziehen. Sie müssen auch über den jeweiligen Zweck der Datennutzungen unterrichtet werden.
  2. Steuerungsmöglichkeiten der Nutzer: Den Nutzern müssen Möglichkeiten an die Hand gegeben werden, mit denen aus der Nutzungssituation heraus gesteuert werden kann, ob und welche Daten einer Applikation zugänglich gemacht werden und an wen sie übermittelt werden.
  3. Einflussmöglichkeiten auf das Löschen von Spuren bei der Internetnutzung: Im Gegensatz zu der für herkömmliche PCs bestehenden Situation fehlt es im Smartphone-Bereich weitgehend an Möglichkeiten, Datenspuren zu vermeiden, die bei der Internetnutzung auf dem Gerät entstehen.
  4. Anonyme und pseudonyme Nutzungsmöglichkeiten: Generell sollte die Möglichkeit geschaffen werden, mit Smartphones die vermittelten Dienste anonym oder pseudonym zu nutzen.
  5. AUTOR

    Die Kanzlei Dr. Bahr ...

    ... ist auf den Bereich des Rechts der Neuen Medien und den Gewerblichen Rechtsschutz (Marken-, Urheber- und Wettbewerbsrecht) spezialisiert. Unter www.Law-Podcasting.de betreibt sie einen eigenen wöchentlichen Podcast und unter www.Law-Vodcast.de einen monatlichen Video-Podcast. Außerdem stellt die Kanzlei aktuelle Informationen über eine eigene iPhone-App zur Verfügung.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

5 Tagen ago

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

5 Tagen ago

Digitale Produkte „cyberfit“ machen

Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…

6 Tagen ago

Apple schließt Zero-Day-Lücken in iOS, iPadOS und macOS

Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…

6 Tagen ago

Gefährliche Anzeigen für Passwortmanager Bitwarden verbreiten Malware

Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…

6 Tagen ago