Home
Intern
Global
Kontakt
28. August 2018
Seit Neuestem geht die Nutzung von Laptops oder Computern zurück. Immer häufiger greifen wir zu mobilen Geräten, wie z.B. Smartphone, Smartwatch oder Tablet, und eben sie werden langsam, aber sicher zu unseren wichtigsten Arbeitsgeräten. Gegenwärtig dient ein Smartphone nicht nur zur Kommunikation, sondern hilft uns bei der Zeitplanung, ist eine Informationsquelle und unterhält uns immer bestens. Dies zwingt die Produzenten von Mobilgeräten, immer schnellere Geräte mit immer mehr Kapazitäten zu entwickeln. Die Entwickler mobiler Apps wetteifern außerdem darum, attraktivere Lösungen zu entwickeln, die einen möglichst großen Kreis von Nutzern erreichen sollen. Mobile Apps sollen aber nicht nur die o.g. Funktionen erfüllen, sondern auch den Schutz personenbezogener Daten garantieren. Dies ist in Zeiten ständiger „Datenleaks“ besonders wichtig, und umso mehr nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO). Worauf müssen die Programmierer bei der Entwicklung von Apps achten, damit es nicht zu einer Verletzung des Schutzes personenbezogener Daten kommt?
Nach den neuen Vorschriften besteht das wichtigste Problem bei der Entwicklung mobiler Apps in der Beantwortung der Frage, welche Rolle bei der Verarbeitung personenbezogener Daten die Entwickler mobiler Apps und deren Geschäftspartner spielen, die zusätzliche Dienstleistungen erbringen, welche zur Entwicklung der Apps unabdingbar sind (z.B. Outsourcing-Dienstleistungen). Diesbezüglich unterscheidet die DSGVO zwei Begriffe: „Verantwortlicher“ und „Auftragsverarbeiter“. Die wichtigsten Entscheidungen trifft der Verantwortliche, der die Zwecke und die Arten der Datenverarbeitung festlegt. Eben er trägt den größten Teil der Verantwortung für die Sicherheit personenbezogener Daten in Apps. Die Rollen der einzelnen Beteiligten hängen von vielen Faktoren ab, u.a. die Nutzung eigener oder externer Server zur Entwicklung und zum Betrieb von Apps oder die Nutzung externer Werbung bereits in der Phase der Nutzung der App. Angesichts der allgemeinen Verbreitung von Apps ist es besonders wichtig, die Beziehung zwischen dem Entwickler der App und dem Dienstleister, der die Infrastruktur z.B. in Gestalt einer externen Cloud zur Verfügung stellt, hervorzuheben.
Grundsätzlich wird der Entwickler der App auch der Verantwortliche sein, und der Lieferfant der Auftragsverarbeiter, der im Namen des Verantwortlichen handelt. Deshalb ist es unumgänglich, dass ein Auftragsverarbeitungsvertrag abgeschlossen wird, der die Anforderungen der DSGVO erfüllt. Vor allem muss der Vertrag Bestimmungen enthalten, die den Gegenstand der Datenverarbeitung betreffen, und somit den Umfang der Daten, zu denen der Auftragsverarbeiter Zugang haben wird, sowie die Zwecke, zu denen die Daten verarbeitet werden. In dem Vertrag müssen außerdem die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters angegeben werden. Besonders wichtig ist es, hervorzuheben, dass der Auftragsverarbeiter einzig und allein auf dokumentierte Anweisung des Verantwortlichen handeln darf. In der Praxis kommt es häufig vor, dass die Lieferanten von Cloud-Dienstleistungen eine stärkere Marktposition haben und deshalb über eigene vorgefertigte Auftragsverarbeitungsverträge oder über AGB verfügen, die sie möglicherweise von ihrer Haftung befreien und oft den Zugang zu einer zu großen Zahl personenbezogener Daten erzwingen. Es ist deshalb außerordentlich wichtig, die Auftragsverarbeitungsverträge vor ihrem Abschluss zu analysieren; bei dieser Analyse sollte man sich der Unterstützung von Juristen versichern, die auf Datenschutz spezialisiert sind.
Der nächste Schritt, der getan werden muss, um die Übereinstimmung mit der DSGVO sicherzustellen, besteht in der Analyse, zu welchen Daten der Entwickler der mobilen App Zugang hat und ob er nicht eine zu große Datenmenge verarbeitet (sogen. überflüssige Daten). Zu den wichtigsten in der DSGVO enthaltenen Grundsätzen gehört derGrundsatz der Datenminimierung. Nach diesem Grundsatz darf der Verantwortliche nur diejenigen Daten verarbeiten, die adäquat sind und deren Verarbeitung ausschließlich auf diejenigen Zwecke beschränkt ist, zu denen sie verarbeitet werden. Unter den Mindestumfang der Daten werden mit Sicherheit die IMEI- und IP-Nummern der Geräte fallen, auf denen die App installiert wurde. Je größer jedoch der Umfang der gesammelten Daten ist, um so notwendiger ist es, nachzuweisen, dass der Verantwortliche diese Daten tatsächlich benötigt, damit seine App funktioniert. Für eine App, die ausschließlich der Generierung von Notizzetteln dienen soll, werden ganz andere Daten benötigt als für eine App, die uns die nächstgelegenen Restaurants gemäß unseren kulinarischen Vorlieben zeigen soll. In beiden Fällen kann man mit Sicherheit nicht Zugang zu Daten wie „Fotos“ oder „Diktiergerät“ verlangen, was bei den gegenwärtig angebotenen mobilen Apps eine gängige Praxis ist.
Die Bestimmung der Daten ist nicht nur für den Verantwortlichen unabdingbar, sondern auch für die betroffene Person, denn diese Person hat das Recht auf Zugang zu Informationen über die Verarbeitungsprozesse, denen ihre Daten unterzogen wurden. Der Entwickler der App (wenn er mit dem Verantwortlichen identisch ist, denn diesem obliegt diese Pflicht) muss die betroffene Person in der „Datenschutzerklärung“ darüber informieren, dass die App, welche diese Person heruntergeladen hat, die Daten dieser Person verarbeitet. Gemäß dem in der DSGVO niedergelegten Transparenzgrundsatz muss die Einholung von Informationen über die Datenverarbeitung genau so einfach sein wie die Nutzung der App, welche der Nutzer heruntergeladen hat. Derjenige Teil der App, welcher der „Datenschutzerklärung“ gewidmet ist, muss vor allem für den Nutzer leicht zugänglich (sogen. Doppelklick-Prinzip) und leserlich sein. Näheres zu der Informationspflicht und ihren verschiedenen Aspekten findet sich in unserem vorigen Artikel.
Noch bevor die Entwicklung einer neuen mobilen App in Angriff genommen wird, ist zu analysieren, welche potentiellen Konsequenzen sich aus der Nutzung der betreffenden App für die personenbezogenen Daten ergeben könnten. Die DSGVO bezeichnet diese Analyse als Datenschutz-Folgenabschätzung (allgemeine Abkürzung DPIA - engl. data protection impact assesment), und in Art. 35 DSGVO wird angegeben, welche Unternehmen verpflichtet sind, eine solche Abschätzung vorzunehmen. Nimmt der Verantwortliche ein Profiling personenbezogener Daten vor, verarbeitet er solche Daten in großem Umfang oder überwacht er regelmäßig öffentlich zugängliche Orte, so muss er eine DPIA vornehmen. Aber selbst wenn der Entwickler der App eines der o.g. Kriterien nicht erfüllt, muss er eine solche Analyse erwägen, um bei einer eventuellen Kontrolle einer Aufsichtsbehörde in der Lage zu sein, nachzuweisen, dass die von ihm angewandten Lösungen mit der DSGVO übereinstimmen. Die Datenschutz-Folgenabschätzung wird mindestens Folgendes enthalten müssen: Beschreibung der Verarbeitungsvorgänge, die mit den personenbezogenen Daten getätigt werden sollen; Bewertung dieser Verarbeitungsvorgänge in Hinsicht auf Angemessenheit sowie auf das Risiko einer Verletzung der Rechte betroffener Personen, d; Liste der geplanten Maßnahmen, welche die Daten vor einer Verletzung deren Sicherheit schützen sollen. Die Analyse ist von dem Verantwortlichen zusammen mit dem Datenschutzbeauftragten durchzuführen, falls ein solcher bestellt wurde. Ähnlich wie bei der DPIA gibt es Datenverarbeitungsverfahren, die lt. DSGVO die Berufung eines Datenschutzbeauftragten erfordern. Wenn also der Verantwortliche nicht sicher ist, was seine Pflicht ist und was ihm lediglich empfohlen wird, so sollte er ein umfassendes rechtlich-technologisches Audit in Erwägung ziehen, durch das er erfahren wird, ob die Verfahren, denen er die personenbezogenen Daten zu unterwerfen beabsichtigt, sicher und rechtmäßig sind.
Neben der Tatsache, dass die DSGVO die Sicherheit personenbezogener Daten gewährleisten soll, ist nicht zu vergessen, dass sie darüber hinaus den betroffenen Personen eine Reihe von Rechten einräumt, welche ihre Privatsphäre schützen sollen. Ein Teil dieser Rechte galt schon aufgrund des inzwischen aufgehobenen Gesetzes über den Schutz personenbezogener Daten; es sind jedoch auch neue Rechte hinzugekommen, die die Privatsphäre der Nutzer noch stärker schützen sollen. Hierzu gehört das Recht auf Datenübertragbarkeit. Erstens garantiert dieses Recht dem Nutzer den Zugang zu seinen Daten, die er von dem aktuellen Verantwortlichen in einem in einem strukturierten, gängigen, maschinenlesbaren Format erhalten muss. Zweitens kann die betroffene Person diese Daten an einen anderen Verantwortlichen übermitteln, ohne dass der aktuelle Verantwortliche sich dem entgegenstellen könnte. Mehr noch: Auf Verlangen der Person, die dieses Recht in Anspruch nehmen möchte, muss der aktuelle Verantwortliche diese Datenübertragung sogar selbst vornehmen, sofern dies technisch machbar ist. Die meisten Zweifel weckt die Frage, in welcher Form die Daten zu übertragen sind, d.h. die Erläuterung, was unter einem „strukturierten, gängigen, maschinenlesbaren Format“ zu verstehen ist. Die europäische Aufsichtsbehörde weist darauf hin, dass hierunter grundsätzlich die Formate HTML, JSON, XML und CSV zu verstehen seien, jedoch kämen je nachdem, zu welchen Zwecken die Daten verarbeitet werden sollen, auch andere Formate in Betracht. Das Wichtigste ist, dass die betroffene Person und ein potentieller neuer Verantwortlicher ohne Schwierigkeiten Einblick in die Daten nehmen können, die zuvor zugänglich gemacht wurden. Das Recht auf Datenübertragbarkeit betrifft unmittelbar die eingangs erwähnte Bedingung – der Verantwortliche muss wissen, welche Informationen er verwaltet, was personenbezogene Daten sind und was nicht, welche detaillierten Informationen sich wo befinden und wem sie zugänglich gemacht werden.
Die Entwickler von mobilen Apps müssen schon in der ersten Phase der Entwicklung genau analysieren, welche Risiken mit der Verarbeitung personenbezogener Daten verbunden sind (sogen. Grundsatz Privacy by Design). Der Wunsch, dass eine bestimmte App von möglichst vielen Nutzern heruntergeladen wird und zugänglich ist, darf nicht ausschlaggebend für die Beantwortung der Frage sein, welchen Einfluss eine bestimmte Lösung auf die Sicherheit und die Privatsphäre der Nutzer dieser App hat.
Sind Sie an den Einzelheiten zu diesem Thema oder an einem rechtlich-technologischen Audit im Hinblick auf die Übereinstimmung mit der DSGVO interessiert, so stehen Ihnen die Experten von Rödl & Partner aus den Büros in Breslau, Danzig, Gleiwitz, Krakau, Posen und Warschau gerne zur Verfügung.
Jarosław Kamiński
Attorney at law (Polen)
Associate Partner
Anfrage senden
Profil
