Datenschutz Mobile Apps

EU: Datenschützer veröffentlichen Stellungnahme zu Datenschutz bei Mobile Apps


Ihr Kontakt

Die Vereinigung der europäischen Datenschutzbeauftragten, die sogenannte Artikel-29-Datenschutzgruppe, hat vor kurzem eine Stellungnahme zu mobilen Apps veröffentlicht. Sie befasst sich darin insbesondere mit datenschutzrechtlichen Fragen, die sich aufgrund der rasanten technischen Entwicklungen namentlich von Smartphones und Tablet-PCs stellen. Da Apps auf mobilen Geräten zahlreiche Risiken für die Privatsphäre der Nutzer bergen können, spricht die Datenschutzgruppe in ihrer Stellungnahme mehrere Empfehlungen an die beteiligten Unternehmen und Personen (z.B. die App-Entwickler oder die App Stores) aus. Diese hätten insbesondere sicherzustellen, dass Apps nur mit der ausdrücklichen Einwilligung des Nutzers Zugriff auf persönliche Daten erhalten. Die Stellungnahme enthält zahlreiche weitere Pflichten, die die verschiedenen Beteiligten nach Ansicht der Datenschutzgruppe nach EU-Recht erfüllen müssen. Auch schweizerische Anbieter oder Entwickler von Apps oder anderer Software sind potentiell davon betroffen, sofern sie ihre Apps auch in der EU anbieten. Um datenschutzrechtlichen Problemen vorzubeugen, sollten deshalb auch sie die Empfehlungen der Datenschutzgruppe berücksichtigen.

Immer mehr Apps verfügbar

Apps auf mobilen Geräten wie Smartphones oder Tablett-PCs sind heute kaum mehr aus dem Alltag wegzudenken. Sie können aber auch zahlreiche Risiken für die Privatsphäre der Nutzer bergen. Die Behörden schätzen, dass täglich rund 1600 neue Apps in die App Stores aufgenommen werden und ein durchschnittlichen Nutzer nicht weniger als 37 Apps verwendet. Bei diesen Apps fehlt es laut der Datenschutzgruppe oft an der nötigen Transparenz: Nur selten könnten die Nutzer im Voraus den Umfang der Datenbearbeitung von einzelnen Apps erkennen.

Datenschutzrisiken sollen sich insbesondere aufgrund der umfangreichen Datenbearbeitungsmöglichkeiten auf Smartphones ergeben. So können verschiedenste Kategorien von Personendaten bearbeitet werden, wie beispielsweise Standort- oder Kontaktdaten (Adressbuch), Fotos, Kreditkartendaten, die Browsing-History, E-Mail-Adressen, Bilder und Videos sowie biometrische Informationen (z.B. bei Smartphones mit Gesichts- oder Fingerabdruckerkennung).

Datenschutz-Sicherheitsmassnahmen oft nicht ausreichend

Die Artikel-29-Datenschutzgruppe, die Vereinigung der europäischen Datenschutzbeauftragten, hat vor kurzem eine Stellungnahme veröffentlicht, in welcher sie aus den EU-rechtlichen Vorgaben verschiedene „Pflichten“ für die App-Entwickler, -Anbieter oder anderweitig beteiligten Personen und Unternehmen ableitet. Die Datenschutzgruppe hat innerhalb der EU hauptsächlich beratende Funktion. Ihre Empfehlungen und Stellungnahmen stellen ihre eigene Auslegung des EU-Datenschutzrechts dar und sind rechtlich nicht verbindlich. Sie sollen aber zu einer einheitlichen Anwendung der EU-Datenschutzrichtlinien beitragen und dienen deshalb in der Praxis der nationalen Datenschutzbehörden als wichtige Leitlinien.

Die Gruppe bemängelt in ihrer Stellungnahme insbesondere das mangelnde Rechtsbewusstsein der betroffenen Personen und Unternehmen. Oft fehle es an der transparenten Information über die Bearbeitung der persönlichen Daten der Nutzer. Zudem würden häufig keine ausreichenden Datenschutz-Sicherheitsmassnahmen getroffen. Dies sei besonders schwerwiegend, da Apps häufig Zugang zu persönlichen Informationen der Nutzer hätten, namentlich Zugriff auf das Fotoalbum oder das Adressbuch. In Kombination mit den Sensoren der mobilen Geräte, insbesondere Mikrofon oder GPS-Empfänger, bestehe sogar die Gefahr, dass die Apps zur Echtzeit-Überwachung der Nutzer verwendet werden könnten. Da viele der Datenbearbeitungen ohne Einwilligung der Nutzer vorgenommen würden, verstossen die beteiligten Personen und Unternehmen nach Ansicht der Datenschützer gegen das EU-Datenschutzrecht.

Die Datenschutzgruppe erinnert in ihrer Stellungnahme daran, dass alle an der Entwicklung und am Vertrieb von Apps Beteiligten verpflichtet seien, die rechtlichen Vorgaben des EU-Datenschutzrechts einzuhalten. Zudem sei das EU-Datenschutzrecht zwingender Natur und könne deshalb nicht vertraglich ausgeschlossen oder abgeändert werden. Das EU-Datenschutzrecht ist immer dann anwendbar, wenn die Apps auf Nutzer im Europäischen Wirtschaftsraum (EWR) ausgerichtet sind, unabhängig davon, in welchem Land der Entwickler oder Anbieter der App seinen Sitz hat. Somit sind auch Schweizer App-Entwickler, die ihre Apps auf Personen im EWR ausrichten, von den nachfolgend exemplarisch genannten Pflichten betroffen. Diesen wird zur Vorbeugung von datenschutzrechtlichen Problemen empfohlen, die Stellungnahme der Datenschutzgruppe zu lesen und ihre Apps und Datenschutzkonzepte gegebenenfalls daran anzupassen.

Pflichten für App-Entwickler, Geräte- und Softwarehersteller und App Stores

Die Datenschutzgruppe richtet an jede Kategorie von Beteiligten verschiedene Empfehlungen, die sich teilweise überschneiden. Die Datenschützer legen in ihrer Stellungnahme dar, welche Pflichten ihrer Ansicht aus dem EU-Datenschutzrecht für die Parteien hervorgehen. Sie teilt die Beteiligten dazu in vier Gruppen ein:

  • Die App-Entwickler,
  • die Geräte- und Gerätesoftwarehersteller,
  • die App Stores sowie
  • andere Beteiligte wie beispielsweise Hersteller von Tracking-Software oder Unternehmen, die in Apps Werbeanzeigen schalten.

Alle Parteien hätten darauf zu achten, dass Apps nur mit der ausdrücklichen Einwilligung des Nutzers Zugriff auf persönliche Daten erhalten. Namentlich seien Zugriffe auf Standort- und Kontaktdaten, Fotoalben, Gerätenummern, Zahlungsangaben, E-Mail-Adressen und gespeicherte Passwörter immer einwilligungspflichtig. Eine gültige Einwilligung könne zudem nur dann erfolgen, wenn der Nutzer die Wahl hat, die Datenbearbeitung zu erlauben oder zu verweigern. Ein simpler Zustimmungs-Button ohne Möglichkeit, die Installation oder Anwendung abzubrechen oder die Datenbearbeitung zu verweigern, sei dafür nicht ausreichend.

Darüber hinaus gelte für die einzelnen Beteiligten Folgendes:

  • Die Entwickler sollten unter anderem eine Möglichkeit der Nutzer vorsehen, ihre Einwilligung zurückzuziehen, Apps zu deinstallieren und allfällige Daten zu löschen. Weiter sei der Grundsatz der Datensparsamkeit zu beachten, d.h. die Apps sind so zu programmieren, dass sie nur diejenigen Daten erfassen, die für ihre Funktionalität zwingend benötigt werden.
  • Die Betreiber von App-Stores hingegen müssten insbesondere vorab die Risiken für die Privatsphäre der Nutzer analysieren, die von Apps ausgehen können. Darüber hinaus müssen sie Regeln zur Weitergabe von selbst erhobenen Nutzerdaten an Dritte offenlegen. Weiter seien sie auch verpflichtet, sicherzustellen, dass die Entwickler die Datenschutzanforderungen erfüllen.
  • Die Geräte- und Gerätesoftwarehersteller müssen ihre Schnittstellen so ausgestalten, dass ihren Nutzern eine ausreichende Kontrolle über ihre Einwilligung in die Datenverarbeitung durch Apps erlaubt wird.
  • Die weiteren beteiligten Parteien, insbesondere die Hersteller von Tracking-Software, seien verpflichtet, von Nutzern aktivierte Schutzmechanismen zu beachten, namentlich „Do Not Track“-Mechanismen.

Wie bereits erwähnt, wird in der Stellungnahme der Datenschutzgruppe lediglich eine rechtlich grundsätzlich nicht verbindliche Interpretation des EU-Datenschutzrechts dargestellt. Trotzdem ist wahrscheinlich, dass Gerichte in den EU-Mitgliedstaaten der Richtlinieninterpretation der Datenschutzgruppe folgen werden.
Weitere Informationen:

Ansprechpartner: Lukas Bühlmann & Michael Schüepp


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.