Datenschützer: Apps müssen transparenter werden
Entwickler und Anbieter von Apps für Smartphones und Tablets sollen sich an Datenschutzregeln halten. Um sie dabei zu unterstützen, wollen die deutschen Datenschützer einen Leitfaden veröffentlichen.
Die Datenschützer der Länder wollen mit einer Orientierungshilfe für Entwickler und Anbieter dazu beitragen, dem Datenschutz bei Apps auf die Sprünge zu helfen. Dabei legen sie vor allem Wert auf Transparenz. "Nutzer müssen laut Gesetz vor der Nutzung informiert werden. Das kann auf der Plattform geschehen, bevor sie die Anwendung herunterladen oder die App selbst informiert darüber vor der eigentlichen Nutzung," erklärt Thomas Kranig, Leiter des Bayerischen Landesamts für Datenschutzaufsicht, das federführend verantwortlich für die Orientierungshilfe ist. Der Hessische Datenschutzbeauftragte hatte bereits vor zwei Wochen ein Informationsblatt zu den Transparenzpflichten von App-Anbietern veröffentlicht.
(Bild: dpa)
Die 33-seitige Orientierungshilfe, die heise online vorab vorliegt und die am Montag veröffentlicht werden soll, bezieht sich ausschließlich auf Apps für Smartphones und Tablets. Ziel ist es, dass Entwickler bereits während der Entstehungsphase die datenschutzrechtlichen Vorgaben kennen und sie die Apps entsprechend dem Prinzip "privacy by design" gestalten können. Sie sollen außerdem datenschutzfreundliche Voreinstellungen ("privacy by default") einrichten. Das ist aus Sicht der Datenschütze keine freiwillige Leistung, sondern eine Pflicht: "Wird eine App nicht datenschutzkonform angeboten, weil unzulässig personenbezogene Daten erhoben und verwendet werden, können insbesondere den App-Anbieter als verantwortliche Stelle aufsichtsrechtliche Maßnahmen oder Bußgelder treffen."
Bislang ist nicht bekannt, dass in Deutschland Bußgelder gegen App-Anbieter verhängt wurden. Eingegangen sind bei den Datenschutzbehörden bislang aber auch nur wenige Beschwerden. "Die Zahl kann man an einer Hand abzählen," weiß Thomas Kranig. Das Bayerische Landesamt für Datenschutzaufsicht nahm deshalb im Frühjahr auf eigene Faust 60 zufällig ausgewählte Apps genauer unter die Lupe, darunter wurden 30 in Bayern entwickelt. Dabei sah sich das Amt die Datenschutzhinweise an und verglich dies mit dem, was dem ersten Eindruck nach an Daten übermittelt wurde. Im Ergebnis stellte es fest, dass "in jeder App gewissen Datenschutzinformationen vorgehalten werden, die jedoch nicht als ausreichend angesehen werden können".
Dreistufiges Prüfverfahren
Für Thomas Kranig Anlass, um entsprechend seinem Zuständigkeitsbereich zehn bayerische Apps noch intensiver zu prüfen. Gegenüber heise online erklärte Kranig das jetzt angewandte dreistufige Prüfverfahren: Zunächst wird der Datenverkehr über einen zwischengeschalteten Rechner einer dynamischen Analyse unterworfen. Danach wird der Quellcode der App analysiert. Schließlich wird forensisch überprüft, was die App auf dem Rechner auslöst, welche Daten abgelegt und abgegriffen werden. Kranig: "Hier können wir sehr gut erkennen, was passiert." Nach abgeschlossener Überprüfung werden Entwickler und Herausgeber mit den Prüfergebnissen konfrontiert. Je nachdem, ob sie die Mängel beseitigen oder nicht, werden gegebenenfalls Bußgelder festgesetzt. Die Höhe der Bußgelder steht derzeit noch nicht fest, können sich jedoch zwischen 500 und 300.000 Euro bewegen.
Auch im vergangenen Jahr hatten die bayerischen Datenschützer bereits Apps beanstandet. Die Anbieter erfüllten die Anforderungen dann in den geprüften Versionen, nicht aber in anderen. Für Kranig Anlass, eine härtere Gangart einzuschlagen: "Dieses Verhalten ist nicht nachvollziehbar und muss abgestellt werden, notfalls mit Anordnungen oder Bußgeldbescheiden." Laut Orientierungshilfe gilt das deutsche Datenschutzrecht übrigens auch dann, wenn der Sitz und die Niederlassungen des Anbieters außerhalb der Europäischen Union liegen, aber "personenbezogene Daten im Inland mittels der App erhoben und verwendet werden". Auch die Datenschutz-Behörden in Nordrhein-Westfalen, Saarland, Hessen und Hamburg beschäftigen sich derzeit ebenfalls eingehender mit etwaigen Rechtsverstößen, leiteten aber noch keine Bußgeld-Verfahren ein.
Massive Datenschutzverletzungen
Dass die Behörden bei ihren Untersuchungen fündig werden, ist zu erwarten. So stellten in den vergangenen Monaten verschiedene Forschungsprojekte massive Datenschutzverletzungen bei Smartphone-Apps fest. Forscher des Fraunhofer-Instituts AISEC etwa testeten mit der Anwendung App-Ray die beliebtesten 10.000 Android-Apps und stellten dabei fest, dass 91 Prozent eine Berechtigung für den Aufbau einer Internetverbindung vom Nutzer verlangen, ohne dass der Nutzer über den Zweck der Datenübertragung informiert wird.
Forscher der Universität des Saarlandes entwickelten mit der Software Chabada ein Verfahren, mit dem sie feststellen können, ob die Apps mehr können, als sie in ihrer veröffentlichten Funktionsbeschreibung behaupten. Sie testeten bis März vergangenen Jahres mehr als 22.000 Android-Apps. Eine manuelle Nach-Überprüfung von 160 ausgewählten Apps ergab, dass 26 Prozent Datenschutzregeln verletzen, erklärt die Informatikerin Alessandra Gorla gegenüber heise online. Inzwischen hat Google viele dieser Apps aus dem Play Store entfernt. (vbr)
