"Artikel 29"-Gruppe fordert mehr Datenschutz bei Apps

Die Artikel-29-Gruppe der europäischen Datenschutzbeauftragten weist in einer Stellungnahme auf die datenschutzrechtlichen Risiken mobiler Apps hin und leitet daraus Pflichten für Entwickler und Anbieter ab. Die unübersichtliche Ausformung der "Ökosysteme", der vielfältige Zugang zu Daten auf Smartphones oder Tablets und das "mangelnde rechtliche Bewusstsein von Programmierern" erzeuge eine Reihe schwerwiegender Gefahren für die Privatsphäre der Nutzer, heißt es in dem am Freitag veröffentlichten Papier (PDF-Datei).

Die Datenschützer kritisieren, dass die Verarbeitung persönlicher Informationen durch Apps oft intransparent sei und keine ausreichenden Sicherheitsmaßnahmen getroffen würden. Apps seien in der Lage, große Mengen an persönlichen Informationen zu sammeln. So hätten sie etwa oft Zugang zum Photoalbum oder anderen persönlichen Inhalten. Zudem könnten sie in der Regel auf die Standortdaten oder auf Adressbücher zugreifen. In Kombination mit Sensoren wie Mikrofon, GPS-Empfänger oder Kompass könnten die Apps zur Überwachung der Bewegung eines Nutzers in Echtzeit verwendet werden. Dies geschehe oft ohne die informierte Einwilligung der Nutzer, kritisiert der Vorsitzende der Gruppe, Jacob Kohnstamm. Die Entwickler verletzten damit die europäischen Datenschutzbestimmungen.

Nach Ansicht der Datenschützer sind alle Parteien, die an Entwicklung und Vertrieb mobiler Anwendungen beteiligt sind, in der Pflicht, rechtliche Vorgaben einzuhalten. Die Artikel-29-Gruppe will in erster Linie Programmierer ansprechen, da diese die größte Kontrolle über die genaue Art und Weise der Datenverarbeitung in einer App haben. Wichtig sei vor allem, dass sich die App die ausdrückliche Einwilligung des Nutzers holt, wenn sie auf Standort- oder Kontaktdaten, Gerätenummern, hinterlegte Zahlungsangaben, Kennungen für soziale Netzwerke oder andere Daten zugreifen wollten

Eine App sei zudem mit einer klar verständlichen und einfach zugänglichen Datenschutzerklärung nebst zentralem Ansprechpartner auszuliefern, fordern die Datenschützer. Die Speicherdauer für solle begrenzt werden, darüber hinaus sollte ein Konto nach einer gewissen Zeit der Inaktivität automatisch gelöscht werden. Auf die besondere Schutzbedürftigkeit von Kindern sei zu achten, deren Daten dürften etwa nicht für Werbezwecke genutzt werden. Die "E-Privacy-Richtlinie" sehe ferner eine Pflicht vor, Anwender über Datenpannen in Kenntnis zu setzen.

Die Store-Betreiber müssten nach Ansicht der Artikel-29-Gruppe das von Apps ausgehende Risiko für die Privatsphäre vorab einschätzen, ihre Regeln zur Weitergabe eigens erhobener Nutzerdaten an Dritte offenlegen und die Datenschutzanforderungen an die Entwickler durchsetzen. Geräte- und Systemproduzenten müssten Schnittstellen so ausgestalten, dass sie Nutzern eine ausreichende Kontrolle über ihre Einwilligung in die Datenverarbeitung durch Apps erlaubten. Drittparteien wie Werbetreibende sehen die Datenschützer vor allem gefordert, von Nutzern aktivierte Mechanismen wie "Do not Track" zu beachten. (vbr)