Googles Forderung nach einer Datenschutzerklärung: Was müssen App-Entwickler beachten?

Bis zum 15. März 2017 haben Entwickler Zeit, eine rechtskonforme Datenschutzerklärung in die von ihnen im Google Play Store angebotenen Apps zu implementieren. Dementsprechende E-Mails erhalten einige Entwickler aktuell vom „Google Play Team“.

Sollte eine solche Erklärung nicht in der angegebenen Zeit eingefügt worden sein, so droht Google mit einer Limitierung der Sichtbarkeit der betreffenden App und im äußersten Fall mit ihrer Entfernung aus dem Store.

Betroffen sind jedoch nur die Applikationen, welche personenbezogene oder vertrauliche Nutzerdaten erfassen, verarbeiten oder weitergeben. Hierzu zählen laut Googles Richtlinienübersicht für Datenschutz und Sicherheit insbesondere Idendifikationsdaten, Finanz- und Zahlungsinformationen, Authentifizierungsinformationen, Telefonbuch- oder Kontaktdaten, Mikrofon- und Kamerasensordaten sowie vertrauliche Gerätedaten.

Die Datenschutzerklärung muss zwingend auf der App Store Seite (bzw. Store Listing Page – hierfür ist ein Feld in der Google Play Developer Console vorgesehen) sowie in die App selbst integriert werden. Hierzu ist in beiden Fällen ein Link, welcher auf eine externe Homepage mit der erforderlichen Erklärung verweist, ausreichend. Zu beachten ist allerdings, dass ein Verwenden einer möglicherweise bereits vorhandenen Datenschutzerklärung der eigenen Webseite auch für die App grundsätzlich nicht ratsam ist. Die Datenerhebungen und –verwendungen von Applikationen sind regelmäßig weitaus komplexer als diejenigen von Webseiten. Das Verfassen einer konkret auf die App zugeschnittenen Datenschutzerklärung ist somit vorzuziehen.

Inhaltlich muss die Erklärung klar und deutlich offenlegen, wie Nutzerdaten durch die App erfasst, verwendet und weitergegeben werden. Auch muss beschrieben werden, an welche Art von Parteien die erfassten Daten übermittelt werden.

Der Nutzer muss dieser Verwendung zudem aktiv zustimmen.

Weiterhin ist zu beachten, dass in einer solchen Datenschutzerklärung u.U. auch auf eine Verwendung von Google Analytics bzw. Conversion-Tracking hingewiesen werden muss.

Grundsätzlich decken sich diese Bestimmungen mit den Regelungen des § 13 Telemediengesetz. Diese verlangen ohnehin eine Datenschutzerklärung. Absatz 1 dieses Paragraphen regelt die Pflicht, den Nutzer der App über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten zu unterrichten – Absatz 2 trifft Regelungen bezüglich der auch aktuell von Google geforderten Einwilligung des Nutzers.

Warum also fordert Google erst jetzt diese ohnehin bestehenden Pflichten?

Vermutlich deshalb, weil viele App-Entwickler dem Datenschutz in der Vergangenheit relativ wenig Beachtung schenkten. In vielen Apps fehlen die bereits jetzt geforderten Datenschutzerklärungen vollständig.

Insbesondere im Hinblick auf die Datenschutzgrundverordnung sieht Google höchstwahrscheinlich Handlungsbedarf, denn Unternehmen droht bei Datenschutzverstößen aufgrund mangelnder Aufklärung der Betroffenen ein Bußgeld von bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes (vgl. Art. 83 Abs. 4 und 5 DSGVO). Daneben ist sind auch Schadenersatzansprüche denkbar (vgl. Art. 82 DSGVO).

Nach § 16 Telemediengesetz waren bisher lediglich Geldbußen in Höhe von bis zu 50.000 Euro möglich – sie wurden von den Datenschutzbehörden jedoch eher selten verhängt.

Schon aus diesem Grund erscheint eine Absicherung seitens Google notwendig.

Zudem fordert das Unternehmen ab dem 15. März 2017 laut „Google Play Richtlinienübersicht für Entwickler: Datenschutz und Sicherheit“ eine Übertragung von personenbezogenen Daten mithilfe einer „modernen Verschlüsselung“. Als Beispiel wird hier HTTPS angeführt.

Auch hier wird ein Bezug zum Telemediengesetz und zur Datenschutzgrundverordnung deutlich.

Das Telemediengesetz fordert von Diensteanbietern, dass sie durch technische und organisatorische Vorkehrungen personenbezogene Daten sichern. Die Diensteanbieter sind allerdings nicht zum Einsatz von Verschlüsselungsverfahren verpflichtet.

Auch die Datenschutzgrundverordnung fordert in Art. 32 die Sicherheit der Datenverarbeitung bezüglich personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen. Unter Punkt 1 a) des Art. 32 DSGVO und ebenso im Erwägungsgrund Nr. 83 wird eine Verschlüsselung erwähnt.

Fazit

Nach alledem nähert sich Google den Anforderungen der aktuellen Datenschutzbestimmungen an und kommt damit den Datenschützern entgegen.

Es ist zu begrüßen, dass Google die Einhaltung aller Datenschutzvorschriften von den App-Entwicklern fordert und die Datenschutzerklärung zu einer Bedingung für eine Veröffentlichung im App-Store macht.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.