Corporate Blog
Apps und die Datenschutz-Grundverordnung (DSGVO)
Ab dem 25.5.2018 wird die europäische Datenschutz-Grundverordnung (DSGVO) europaweit ohne Übergangsfrist oder Umsetzung in nationale Gesetze direkt anwendbar. Jede Verarbeitung personenbezogener Daten wird im Rahmen des Anwendungsbereichs dann allein an den Maßstäben der DSGVO bemessen werden. Vielen Unternehmen scheint jedoch noch nicht klar zu sein, dass insbesondere auch Apps von den zum Teil deutlich strengeren Anforderungen der DSGVO betroffen sind und welche Folgen ihnen bei Nichtbeachtung drohen.
Für welche Datenverarbeitung gilt die DSGVO?
Die DSGVO ist zu beachten, sobald Informationen verarbeitet werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (die sogenannten „personenbezogene Daten“). Damit unterfallen nicht nur eindeutige Einzelangaben einer Person, wie der Name, die Telefonnummer oder die Adresse, der DSGVO. Umfasst sind auch solche Informationen, die lediglich die indirekte Identifizierung einer Person ermöglichen, zu denen die damit auch IP-Adressen, Device-IDs, Cookie- und sonstige (Online-)Kennungen gehören. Keine Anwendung findet die DSGVO lediglich dann, wenn diese Daten anonymisiert worden sind. Dafür ist erforderlich, dass die Daten derart verändert wurden, dass die hinter Angaben stehende betroffene Person gar nicht bzw. nicht mehr identifiziert werden kann. Eine Verschlüsselung oder Pseudonmyisierung reicht hingegen nicht aus.
Für welche Anbieter gilt die DSGVO?
Ein Umzug der Firma in das Ausland und damit sich dem Anwendungsbereich der DSGVO entziehen zu können, irrt gewaltig: Datenschutzvorschriften sind in räumlicher Hinsicht nach der DSGVO nicht mehr auf Datenverarbeitungen im Hoheitsbereich der Mitgliedstaaten beschränkt. Vielmehr wird sich zukünftig jeder Anbieter an den Maßstäben der DSGVO messen lassen müssen, der mit seine Dienste (App, Anwendung, Webseite usw.) in einem Zusammenhang mit der EU steht – sei es weil er eine Niederlassung in der EU hat, weil sich die von der Datenverarbeitung betroffene Person in der EU befindet, durch die App eine Beobachtung (z.B. durch Tracking oder Profiling) der App-Nutzer erfolgt oder schlicht und einfach schon deshalb, weil die App in der EU in App-Store zum Download angeboten wird.
Was muss der App-Anbieter beachten?
Jeder Verarbeitung personenbezogener Daten im Zusammenhang mit einer App müssen stets die in Artikel 5 der DSGVO festgelegten datenschutzrechtlichen Prinzipien zugrunde gelegt werden:Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Besonderes Augenmerk sollten Anbieter auf die Prinzipien der Rechtmäßigkeit und der Minimalen Datenhaltung legen:
Rechtmäßigkeit der Daten
Wer personenbezogene Daten verarbeitet, muss sich stets klar machen, dass jede Verarbeitung personenbezogener Daten verboten ist, wenn sie nicht ausnahmsweise durch eine Einwilligung der betroffenen Person oder einen gesetzlichen Erlaubnistatbestand (vgl. Art. 6 DSGVO) erlaubt ist.
Einwilligung der Daten
Die Einwilligung muss freiwillig und durch eine ausdrückliche Erklärung oder sonstige eindeutig bestätigende Handlung erfolgen. Das bedeutet insbesondere, dass ein Opt-out niemals eine wirksame Einwilligung darstellen kann. Die DSGVO sieht zudem vor, dass die Aufforderung bei Einholung einer Einwilligung auf elektronischem Weg in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes erfolgen muss, für den die Einwilligung gegeben wird. Pop-ups funktionieren hier also auch nicht.
Neu und zwingend erforderlich ist nunmehr, dass die betroffene Person bereits bei Abgabe der Einwilligung auf ihr Widerrufsrecht hingewiesen wird. Überdies ist das Kopplungsverbot zu beachten, nach dem die Freiwilligkeit der Einwilligung verneint werden kann, wenn die Erfüllung eines Vertrags von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig gemacht wird, die für die Erfüllung des Vertrags nicht erforderlich sind.
Werden Daten von Minderjährigen oder besonders sensible Daten (z.B. Gesundheitsdaten in Sport-Apps oder Informationen zur sexuellen Orientierung in Dating-Apps) verarbeitet, muss eine entsprechende Einwilligung weiteren strengen Anforderungen genügen. Bei Minderjährigen unter 16 ist beispielsweise die Einwilligung der Erziehungsberechtigten erforderlich. Dass diese vorliegt, muss sich der App-Anbieter durch angemessene Maßnahmen überzeugen. Die genaue Ausgestaltung über die den Prozess ist hierzu allerdings noch nicht endgültig definiert.
Nicht ausreichend ist regelmäßig die einfache Bestätigung Setzen eines Hakens oder durch Anklicken eines Bestätigungsfeldes; je nach Sensibilität der Daten kann eine Möglichkeit der Überprüfung zum Beispiel das Einsetzen eines Double-Opt-In-Verfahrens unter Berücksichtigung der elterlichen E-Mail-Adresse sein oder das Übersenden eines von den Eltern unterschriebenen Dokuments per Post, Fax oder E-Mail, der Rückgriff auf Kreditkarten der Eltern zur Legitimation von Transaktionen bis hin zu einem (kostenfreien) Telefongespräch oder einer Videokonferenz mit den Eltern.
Erfüllt die Einwilligung die gesetzlichen Vorgaben nicht, ist sie unwirksam und die Datenverarbeitung verboten. Widerruft die betroffene Person eine einmal abgegebene wirksame Einwilligung, ist die weitere Datenverarbeitung ab diesem Zeitpunkt ebenfalls nicht mehr erlaubt.
Gesetzliche Rechtfertigung
Sofern möglich wird es für den App-Anbieter regelmäßig einfacher sein, die Datenverarbeitung auf eine gesetzliche Rechtfertigung zu stützen. Neben den weiteren in Artikel 6 DSGVO genannten Ausnahmetatbeständen dürften die „Verarbeitung zu Vertragszwecken“ sowie das Bestehen „berechtigter Interessen“ die Hauptanwendungsfälle für App-Anbieter darstellen.
Beispielsweise können berechtigte Interessen in der Gewinnerzielung, der Direktwerbung, der Verfolgung eigener Rechte, der Verteidigung des eigenen Vermögens, der Vermeidung von Kosten der Datenhaltung oder der arbeitsteiligen Datenverarbeitung innerhalb von Unternehmensgruppen zu sehen sein. Im Rahmen der erforderlichen Interessenabwägung nach Treu und Glauben sind die vernünftigen Erwartungen des Betroffenen an die Datenverarbeitung zugrunde zu legen. Nur wenn die Interessen der betroffenen Person gegenüber den Interessen des Verantwortlichen (oder eines Dritten) überwiegen, kann die Datenverarbeitung nicht auf ein berechtigtes Interesse gestützt werden.
Gesetz der Datenminimierung
App-Anbieter sehen sich nicht selten dem Vorwurf ausgesetzt uferlos Daten zu sammeln. Mit der DSVO wird das Gebot der Datenminimierung verschärft und konkretisiert.Daten dürfen nur erhoben werden, wenn und soweit sie zur Erreichung des bei Erhebung der Daten die Datenverarbeitung legitimierenden Zwecks erforderlich sind.
App-Anbieter müssen zwingend bereits bei der Entwicklung und Gestaltung von Apps die datenschutzrechtlichen Prinzipien berücksichtigen (beispielsweise durch frühestmögliche Anonymisierung) und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen (sog. „Privacy by design“). Durch die bei Auslieferung der App eingestellten Voreinstellungen ist außerdem sicherzustellen, dass standardmäßig nur solche personenbezogenen Daten verarbeitet werden, die für die konkreten Zwecke der Verarbeitung erforderlich sind (sog. „Privacy by default“).
Welche Rechte haben die Betroffenen?
Zusätzlich zu den bereits jetzt existenten Betroffenenrechte, stehen der betroffenen Person gegenüber dem Anbieter zukünftig nunmehr auch Widerspruchs- und Widerrufsrechte sowie das Recht auf Vergessen werden (Löschung) sowie auf Datenübertragbarkeit (Datenportabilität) zu.
Letzteres bedeutet nichts anderes, als dass die personenbezogenen Daten, die er dem App-Anbieter als Verantwortlichem bereitgestellt hat, dem Betroffenen auf Antrag in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen sind, sofern die Datenverarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt. Der Betroffene hat ferner das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln. Der Betroffene muss daher grundsätzlich die Möglichkeit erhalten, die von ihm eingegeben, hochgeladen oder von Dritten erhaltenen Daten zu portieren, um diese bei sich zu speichern und über diese verfügen zu können.
Für App-Anbieter von wesentlicher Bedeutung ist an dieser Stelle, in welchem Format die Daten bereitgestellt werden müssen. Ein bestimmtes Format schreibt das Gesetz nicht vor. Es muss jedoch interoperabel sein, d.h. kontextabhängig und sektorspezifisch in Form einer übersichtlichen Anordnung der Informationen erfolgen und so bereitgestellt werden, dass eine automatisierte Auslesbarkeit und Verarbeitbarkeit durch Software möglich ist. Dabei trifft den App-Anbieter keine Pflicht, bestimmte technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Soweit technisch machbar kann die betroffene Person aber eine direkte Übermittlung von einem Verantwortlichen zum anderen verlangen.
Welche Rechenschaftspflichten treffen den App-Anbieter?
Den App-Anbieter treffen nach der DSGVO umfangreiche Informations-, Mitteilungs-, Dokumentations-, Nachweis- und Meldepflichten. So müssen die Betroffenen im Zeitpunkt der Datenerhebung über die Datenverarbeitung informiert werden. Das kann auch weiterhin über eine gut sichtbar verlinkte Datenschutzerklärung geschehen. Über die Einhaltung der Datenschutzvorschriften muss zudem gegenüber den Aufsichtsbehörden auf Anfrage jederzeit Rechenschaft abgelegt werden können.
Welche Bußgelder sind zu zahlen?
Bei Verstößen gegen die Vorschriften der DSGVO können die Aufsichtsbehörden – unabhängig von der Unternehmensgröße und je nach den Umständen des Einzelfalls – Geldbußen i.H.v. 10.000.000 EUR bzw. 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 2% bzw. 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist.
Ihr Unternehmen, Ihre App, Ihre Anwendung ist noch konform mit dem neuen Datenschutzrecht? Gerne unterstützen wir Sie bei der konkreten Beratung und der Implementierungen der notwendigen Änderungen.