Fußangeln in Datenschutzerklärungen erkennen

Die europäische Datenschutz-Grundverordnung (DSGVO) verlangt, dass „betroffene Personen“ vor Speicherung und Verarbeitung ihrer personenbezogenen Daten hinreichend informiert werden. Anbieter von Mobil-Apps tun das normalerweise durch Datenschutzerklärungen, in die man spätestens dann einwilligt, wenn man die betreffende Anwendung nutzt. Mancher eilige Smartphone-Jongleur tut sich die Lektüre solcher nicht gerade lesefreundlicher Dokumente gar nicht erst an – er vertraut vielmehr darauf, dass damit schon alles seine Richtigkeit haben wird.

Dieses Vertrauen ist nicht immer gerechtfertigt. Obgleich die verbindliche Einführung von Datenschutzerklärungen bereits im Mai 2018 erfolgt ist und damit nun schon fast drei Jahre zurückliegt, weist die Umsetzung der Vorschriften bei vielen Apps noch erhebliche Mängel auf.

Schon vor der Installation einer App erfasst die als Verteiler auftretende Plattform eine Vielzahl personenbezogener Daten. Wenn der Nutzer einen Download auslöst, erfährt auch der Anbieter der App, wer zu seinem Produkt greift. Für Nutzer besteht dabei das Risiko, die Kontrolle über ihre Daten zu verlieren – das betrifft vom Store-­Account über die IP-Adresse bis hin zu Zahlungsinformationen allerlei, was personenbezogen ist oder zumindest im Zusammenspiel mit anderen Daten Rückschlüsse auf die Identität des Nutzers zulässt.

Dessen Zustimmung zu den Datenschutzbedingungen des Anbieters muss nicht unbedingt ausdrücklich erfolgen. Auch eine „konkludente“ Zustimmung reicht – der Nutzer zeigt sie stillschweigend, indem er etwa die App herunterlädt.

Gib mir was zu lesen!

Apple hat in seinem App-Store für viele Anwendungen Informationen über den Datenschutz integriert. Diese Hinweise sind zwar nicht optimal auffindefreundlich – aber das Scrollen nach unten lohnt sich. Dort erfahren Nutzer beispielsweise, wer für die Datenverarbeitung verantwortlich ist und für Betroffene als Ansprechpartner fungiert. Für detaillierte Informationen werden die eigentlichen Datenschutzbedingungen des Verantwortlichen verlinkt.

Im Google Play Store muss man demgegenüber genauer hinschauen. Hier verstecken sich die Links zu den Datenschutzerklärungen oft weit unten im Beschreibungstext zur jeweiligen App. Kurzinformationen zu den Datenverarbeitungen bietet das Standard-Portal für Android-­Apps normalerweise nicht.

Es lohnt sich, die im Store aufgeführten oder per Link angebundenen Informationen auf bestimmte Fragen hin abzuklopfen. Das Ergebnis zeigt schon ziemlich deutlich, wie ernst der jeweilige Verantwortliche die europäischen Datenschutzbestimmungen nimmt. Die DSGVO räumt in ihrem dritten Kapitel den von Datenerhebung und -verarbeitung Betroffenen umfangreiche Rechte ein. Deren Spek­trum reicht von transparenter Information (Artikel 12) bis zur Ablehnung automatisierter Einzelfallentscheidungen (Artikel 22). Die nationalen Gesetzgeber können diese Rechte etwa zugunsten der Strafverfolgung oder anderer übergeordneter Zwecke einschränken (Artikel 23).

Elementar ist insbesondere das Auskunftsrecht (Artikel 15): Es ermöglicht dem Betroffenen meistens erst, andere Rechte wie die auf Berichtigung und Löschung seiner Daten geltend zu machen. Wenn ein Nutzer vom Verantwortlichen Auskunft über seine Daten verlangt, muss dieser innerhalb eines Monats die geforderten Informationen bereitstellen. Das kann die Art der Daten betreffen, die Verarbeitungszwecke und die Frage, an wen welche Informationen weitergegeben worden sind.

Für die App-Nutzung spielt das Recht auf Widerruf (Art. 7 Abs. 3) eine wichtige Rolle: Eine vom Betroffenen abgegebene Einwilligung muss jederzeit widerrufbar sein – und zwar so einfach, wie sie erteilt worden ist. Ein solcher Widerruf gilt dann aber nur für zukünftige Datenerhebungen oder für die Weiterverarbeitung bereits erhobener Daten.

Datenschutzinformationen der App-­Anbieter sind nicht nur vor dem Download vom Store aus zugänglich. Eine Datenschutzerklärung muss auch innerhalb der installierten App über wenige Klicks auffindbar und auf die jeweilige Anwendung zugeschnitten sein. Diese Dokumente sind meistens nach einem bestimmten Muster aufgebaut. Im besten Fall beginnen sie mit einem Inhaltsverzeichnis, das dabei hilft, gewünschte Informationen aufzufinden. Wichtig ist unter anderem, dass sie die Kontaktdaten des Verantwortlichen nennen. Vorsicht ist geboten, wenn schon diese Angabe fehlt. Dasselbe gilt, wenn die Informationen insgesamt unverständlich beziehungsweise ungeordnet scheinen oder wenn nur pauschale Angaben zu Datenverarbeitungszwecken und Rechtsgrundlagen zu finden sind. Die DSGVO geht davon aus, dass personenbezogene Daten überhaupt nur dann erfasst, gespeichert, verarbeitet oder weitergegeben werden dürfen, wenn es eine Rechtsgrundlage dafür gibt – also einen der rechtfertigenden Gründe, die in Artikel 6 und 9 der Verordnung aufgeführt sind.

Deutsch, bitte!

Auch ein außerhalb der EU ansässiger Verantwortlicher, der Waren oder Dienstleistungen in Deutschland anbietet, muss die DSGVO beachten. Er ist verpflichtet, eine Datenschutzerklärung in „transparenter und verständlicher Form“ zur Verfügung zu stellen. Viele Anbieter kollidieren schon dadurch mit dieser Bestimmung, dass sie ihre Dokumente hierzulande nicht in deutscher Sprache darbieten. So sind etwa innerhalb der Apps für die Diskussions-Audioplattform Clubhouse und den Messenger Signal nur die englischen Datenschutz­erklärungen enthalten beziehungsweise verlinkt. Dem steht als positives Beispiel die PayPal-App gegenüber, die eine deutsche Datenschutzerklärung verfügbar macht.

Was willst du wissen und warum?

Zu den Informationspflichten des Verantwortlichen gehört es aufzuschlüsseln, welche personenbezogenen Daten er erhebt und verarbeitet. Misstrauen ist etwa angebracht, wenn er hierzu keine oder nur sehr pauschale Angaben macht wie „Die App verarbeitet personenbezogene Daten im Sinne der DSGVO“.

Der Nutzer muss zudem wissen, auf welche Rechtsgrundlage sich die Verarbeitung seiner Daten stützt. Nach Artikel 6 Abs. 1 der DSGVO müssen die Verantwortlichen nämlich einen guten Grund dafür haben. Vorbildlich sieht es diesbezüglich bei der ntv-App aus: Unter „Einzelne Verarbeitungszwecke“ listet die Datenschutzerklärung hier jede einzelne Verarbeitung mit der dazugehörigen Rechtsgrundlage auf. Auch für die Xing-App gibt es eine verständliche und ausführliche Darstellung.

Wenn keine Rechtsgrundlage genannt wird, will sich der Anbieter möglicherweise ungerechtfertigte Datenverarbeitung offenhalten. Unzureichend ist es auch, wenn sich die gesamte Datenverarbeitung nur auf eine gemeinsame Rechtsgrundlage stützt, etwa ein „berechtigtes Interesse“ des anbietenden Unternehmens. Wenn es etwa heißt „Die App verarbeitet Ihre personenbezogenen Daten zu Werbe- und Analysezwecken auf Grundlage unseres berechtigten Interesses“, sollten bei datenschutzbewussten Nutzern innere Alarmlämpchen zu blinken beginnen.

Sag mir, wohin

Da nicht überall auf der Welt das gleiche Datenschutzniveau besteht, ist es wichtig, wo der Verantwortliche die personen­bezogenen Daten des Nutzers speichert. Eine Speicherung auf deutschen Servern wie beispielsweise bei der Instant-Mes­saging-App Ginlo ist normalerweise unproblematisch: Die dafür Verantwort­lichen sind dabei automatisch an die in Deutschland und der EU geltenden strengen Datenschutzbestimmungen gebunden, die eine unberechtigte Weitergabe – etwa an fremde Behörden – unter Strafe stellen. Eine Speicherung im außereuropäischen Ausland, wie sie zum Beispiel bei TikTok und Facebook geschieht, ist riskant. Sie wäre datenschutzrechtlich nur zu vertreten, wenn der App-Anbieter eine zusätzliche Garantie abgibt.

Bevor der Europäische Gerichtshof (EuGH) 2020 das Privacy-Shield-Abkommen zwischen den USA und der EU für unwirksam erklärt hat, konnten Unternehmen es als Datenschutzgarantie für den Datenexport verwenden. Seit der EuGH-Entscheidung ist das nicht mehr möglich. Die dadurch notwendige Umstellung für den Nachweis eines aus europäischer Sicht akzeptablen Datenschutzniveaus betrifft nicht zuletzt auch App-Anbieter. Es lohnt sich also, bei der Lektüre von Datenschutzerklärungen darauf zu achten, ob der Verantwortliche versichert, europäisches Datenschutzniveau zu gewährleisten – und auf welche Rechtsgrundlage er sich dabei stützt. Das Privacy-Shield-Abkommen sollte in keiner aktuellen Datenschutzerklärung mehr zu finden sein.

Nicht nur der Speicherort, sondern auch die Angabe der potenziellen Empfänger für die Nutzerdaten ist wichtig. Geht es um Werbenetzwerke – und wenn ja, um welche?

Formulierungen wie „Ihre Daten können von uns an Dritte weitergegeben werden“ reichen nicht aus. Die möglichen Empfänger müssen näher beschrieben werden; außerdem muss der App-Anbieter dabei die Zwecke und Rechtsgrund­lagen der Datenweitergabe nennen. Falls sich der Verantwortliche eine Datenweitergabe an ausländische Partner vorbehält, besteht für den Nutzer ein ebensolches Datenschutzrisiko wie bei der Datenspeicherung auf ausländischen Servern. Facebook und Instagram stützen ihren Datentransfer in Drittländer nun beispielsweise auf europäische Standard­vertragsklauseln.

Zugriffsrechte im Blick behalten!

Nachdem sich eine neue App auf dem Mobilgerät angesiedelt hat, ist es wichtig, ihren Zugriff auf Daten und Funktionen zu regeln. Das gilt insbesondere für Android-­Apps: Dort herrscht erfahrungsgemäß in dieser Hinsicht ein ziemlicher Wildwuchs.

Viele Anwendungen möchten auf Kamera, Mikrofon, Bilder, Kontakte und andere sensible Bereiche zugreifen. Für eine Navigations-App ist beispielsweise der Zugriff auf die Standortdaten unumgänglich. Aber wozu braucht etwa die Amazon-­Shopping-App Zugriff auf die Smart­phonekamera?

Die Grundsätze „Privacy by Design“ und „Privacy by Default“ verpflichten App-­Verantwortliche dazu, die technischen Rahmenbedingungen und Voreinstellungen ihrer Anwendungen so datensparsam wie möglich zu gestalten. Nicht selten erlauben sich Anbieter eine Datenverwendung, die nicht erforderlich und damit auch nicht rechtmäßig ist.

Schlagzeilen machte etwa 2018 die App „La Liga“ von den Ausrichtern der beiden spanischen Profifußball-Ligen: Sie hörte Nutzer übers Smartphonemikrofon ab, um angebliche Pay-TV-Betrügereien aufzuklären. Wer die App verwenden wollte, musste ihr Zugriff aufs Mikrofon gewähren. Dadurch konnte der Anbieter Umgebungsgeräusche aufzeichnen und mit Standortdaten verknüpfen, um nicht genehmigte Spielübertragungen aufzuspüren. Die Nutzer der App wussten nichts von dieser Verarbeitung ihrer Daten und von deren Zweck. Die spanische Datenschutzbehörde AEPD verhängte 2019 in dieser Sache unter anderem wegen des Verstoßes gegen das Transparenzgebot ein Bußgeld von 250.000 Euro.

Aktuell stehen unter anderem die Datenschutzbedingungen der Clubhouse-­App in der Diskussion: Wenn ein Nutzer jemand anderen zur Clubhouse-Teilnahme einladen will, sendet die App die freigegebenen Kontaktdaten aus dem persönlichen Telefonbuch des Mobilgeräts an ihren Betreiber Alpha Exploration in den USA. Der speichert personenbezogene Daten der Eingeladenen und verschafft sich damit die Möglichkeit anzuzeigen, wie viele „Freunde“ einer Telefonnummer bereits auf seiner Plattform angemeldet sind. Die Personen hinter den gespeicherten Telefonnummern werden allerdings nicht nach ihrer Zustimmung zu den Datenschutzbedingungen von Alpha Exploration gefragt – ganz abgesehen davon, dass auch die Datenspeicherung in den USA ohne Erlaubnis der Betroffenen gegen die DSGVO verstößt. Damit hat dann nicht nur der App-Anbieter, sondern möglicherweise auch jeder Einladende datenschutzwidrig gehandelt.

Riegel vorschieben

Die App-bezogenen Datenschutzeinstellungen von iOS und Android geben Anwendern Gelegenheit, Zugriffsrechte für einzelne Apps zu überprüfen und nicht plausible Zugriffe gar nicht erst zu erlauben. Wenn eine App beispielsweise Zugriff auf Bilder oder auf die Kamerafunktion verlangt, obwohl das ihrem Anwendungszweck fernliegt, ist Misstrauen angebracht.

Anwendungen sehen für sich bisweilen per Default weitaus mehr Zugriffsrechte vor, als sie sinnvollerweise brauchen und haben dürften. Es empfiehlt sich aber stets, Apps nur Zugriff auf diejenigen Daten und Funktionen zu gewähren, die für ihre Nutzung wirklich notwendig sind.

Besonders kritisch ist der Zugriff auf die Kontakte, also das im Mobilgerät gespeicherte persönliche Telefonbuch. Diesen beanspruchen beispielsweise viele Messenger-Apps, um sich mit der Kontaktliste des Nutzers zu synchronisieren. Ob man das in vollem Umfang erlaubt, will gut überlegt sein: Die Verarbeitung der personenbezogenen Daten aus der Kontaktliste erfolgt grundsätzlich ohne Einwilligung der Betroffenen und verstößt damit gegen die DSGVO – siehe Clubhouse.

Wo es möglich und sinnvoll ist, empfiehlt es sich, den Zugriff auf sensible Datenbereiche zeitlich zu beschränken. So kann man bei Apps, die einen Standortzugriff beanspruchen, diesen möglicherweise auf die Dauer der direkten Nutzung dieser App beschränken. Ein zeitlich unbeschränktes Zugriffsrecht aufs Mikrofon birgt im schlimmsten Fall das Risiko, dass der Nutzer abgehört und die Aufnahmen verwendet und weitergegeben werden – siehe „La Liga“.

Achtung, Profilsammler!

Wer der Weitergabe von App-übergreifenden Daten und dem Zugriff auf Smartphone-Funktionen wie Kamera, Mikrofon und Standortermittlung zustimmt, macht es Anbietern leicht, Nutzer- oder Bewegungsprofile zu erstellen. „Profiling“ ist laut Artikel 4 Nr. 4 der DSGVO „jede Art der automatisierten Verarbeitung personenbezogener Daten, die dazu führen soll, persönliche Eigenschaften der betroffenen Person zu bewerten“.

Manche Anbieter haben ein starkes Interesse daran, persönliche Vorlieben, Gesundheitszustand und Interessen, Verhalten und Aufenthaltsorte von Nutzern zu erfassen. Sie verwenden die gewonnenen Informationen nicht nur für eigene Zwecke; diese können auch ein durchaus lukratives Handelsgut darstellen. Eine Zustimmung zum Datenzugriff kann weitreichende Folgen haben, die auf den ersten Blick nicht zu überschauen sind. In der Praxis ist es allemal besser, sich dergleichen vorher gut zu überlegen, als die erfolgte Entscheidung im Nachhinein rückgängig machen zu wollen. Die DSGVO verschafft Betroffenen zwar Auskunfts- und Löschungsansprüche, aber oft muss man dennoch mit Konsequenzen leichtfertig erlaubter Datennutzung leben.

Der bestehende Zwiespalt zwischen schnellem, bequemem Gebrauch von Anwendungen beziehungsweise Diensten auf Mobilgeräten und dem Schutz der ­persönlichen Daten lässt sich nicht wegdiskutieren. Wer aber die Datenschutzerklärungen zumindest auf die genannten neu­ralgischen Punkte abklopft und Zugriffsrechte bewusst einstellt, tut damit schon einiges, um die Kontrolle über die eigenen Daten zu behalten. (psz@ct.de)