Benötigen auch Apps Datenschutzhinweise und einen Cookie-Banner – Teil 1
Datenschutz |
In der heutigen Zeit des Internets sind Datenschutzhinweise und Cookie-Banner sicherlich jedem Internetnutzer bekannt. Fast jede Webseite, die mit einem Computer oder Laptop aufgerufen werden kann, hat sie und man muss teilweise erst unzählige Buttons drücken um schlussendlich die ersehnte Seite sehen zu können.
Aber wie sieht es mit den Apps auf Smartphones oder Tablets aus? Benötigen auch diese Datenschutzhinweise und Cookie-Banner wie sie auf Desktop-Seiten verwendet werden?
In einer kurzen zweiteiligen Blogserie möchten wir auf diese Themen eingehen. Im ersten Teil geht es zunächst um die Frage, ob auch Datenschutzhinweise bei Apps notwendig sind. Im zweiten Teil werden wir dann noch näher auf das Thema Cookie-Banner in Apps eingehen.
1. Rechtliche Grundlage für die Notwendigkeit von Datenschutzhinweisen
Seit Einführung der europäischen Datenschutzgrundverordnung im Jahr 2018 ist die Bereitstellung von Datenschutzhinweisen auf Webseiten europaweit einheitlich geregelt.
Die DSGVO spricht darin aber nicht von Datenschutzhinweisen, sondern von der „Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“ gemäß Art. 13 DSGVO.
Demnach muss jeder Verantwortliche (der Betreiber einer Webseite) darüber informieren, wenn personenbezogene Daten bei der betroffenen Person (der Webseitenbesucher) erhoben werden.
Dieser Pflicht kommen Webseitenbetreiber regelmäßig durch die Bereitstellung von Datenschutzhinweisen nach. Darin soll ausführlich und an zentraler Stelle über die Datenverarbeitung auf der Webseite informiert werden.
Diese Informationspflicht besteht sobald über eine Webseite auch personenbezogene Daten verarbeitet werden und es sich dabei nicht um rein private oder familiäre Tätigkeiten handelt.
Unter den Begriff der personenbezogenen Daten im Sinne der DSGVO fallen dabei nicht nur der Name des Nutzers oder seine E-Mail-Adresse, sondern auch folgende Daten, die für den Betrieb einer Webseite regelmäßig aus technischen Gründen zwingend notwendig sind:
IP-Adresse
Browsertyp und Browserversion
Referrer URL
Hostname des zugreifenden Geräts
Daher muss fast jede Webseite Informationspflichten in Form der Datenschutzhinweise bereitstellen, damit die gesetzlichen Bestimmungen aus der DSGVO erfüllt werden.
2. Müssen also auch Apps Datenschutzhinweise bereitstellen?
Die DSGVO selbst unterscheidet nicht zwischen einer Webseite die über den Browser eines Endgerätes (Desktop-PC, Laptop, Tablet, Smartphone) aufgerufen wird und der Verwendung von Apps auf Smartphones, Tablets oder einem Computer.
Entscheidend ist lediglich, ob bei der Nutzung durch den Verantwortlichen (oder der von ihm beauftragten Dienstleister) personenbezogene Daten der betroffenen Person verarbeitet werden.
Sobald eine App eine Verbindung zu einem Server zum Laden von Inhalten aufnimmt, müssen auch hier regelmäßig technisch notwendigerweise personenbezogene Daten des Nutzers übertragen werden.
Dabei wird regelmäßig die IP-Adresse übertragen, oftmals werden sogar weitergehende Daten wie die Standortdaten, die Gerätekennung und die Mac-Adresse übermittelt.
Daher sollte jeder Entwickler für seine App, die nicht ausschließlich offline auf dem Smartphone des Nutzers nutzbar ist, Datenschutzhinweise mit allen notwendigen Informationspflichten bereitstellen.
3. Was hat das Fehlen von Datenschutzhinweisen zur Folge?
Das Fehlen der gesetzlichen Informationspflichten in Form von Datenschutzhinweisen stellt einen Gesetzesverstoß dar.
Dieser Verstoß wird nach derzeitigem Stand der Rechtsmeinungen auch als wettbewerbsrechtlich relevant angesehen.
Das bedeutet, das Fehlen von Datenschutzhinweisen kann unter anderem von Mitbewerbern abgemahnt werden oder von den Datenschutzaufsichtsbehörden mit einem Bußgeld geahndet werden.
4. Welche Informationen müssen in den Datenschutzhinweisen bereitgestellt werden?
Die Datenschutzhinweise müssen über Art, Umfang und Zweck der Datenverarbeitung umfassend und allgemein verständlich informieren.
Welche Informationen bereitgestellt werden, ist in Art. 13 DSGVO ausführlich geregelt. Demnach müssen insbesondere folgende Informationen bereitgestellt werden:
- Namen und die Kontaktdaten des Verantwortlichen
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke und Rechtsgrundlagen der Verarbeitung
- die Empfänger der personenbezogenen Daten
- gegebenenfalls die Übermittlung der personenbezogenen Daten in ein Drittland oder eine internationale Organisation
- die Dauer der Speicherung
- Welche Rechte der Nutzer auf Auskunft, auf Berichtigung, auf Löschung oder Einschränkung der Verarbeitung, hinsichtlich eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit hat
- das Bestehen des Rechts die Einwilligung jederzeit zu widerrufen
- das Beschwerderecht bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
5. Wie kann ich die Datenschutzhinweise für die App bereitstellen?
Die Datenschutzhinweise müssen zu Beginn des Nutzungsvorgangs und jederzeit während Nutzung der App leicht zugänglich erreichbar sein.
a. Zu Beginn der Nutzung
Damit sich die Nutzer vor der Nutzung der App über die Datenverarbeitung informiert können, müssen die Datenschutzhinweise noch vor dem Download der App bereitgestellt werden.
Das bedeutet, im App Store von Apple oder dem Android App Store von Google müssen die spezifischen Datenschutzhinweise der App verlinkt werden.
b. In der App selbst
Zudem muss in der App selbst ein Link zu den Datenschutzhinweisen vorhanden sein oder diese sollten direkt dort hinterlegt sein.
Dazu sollte z.B. im Menü der App eine Verlinkung eingebunden werden oder eine Unterseite eingebaut werden, sodass die Datenschutzhinweise auch in der App selbst jederzeit eingesehen werden können.