0228 26 68 89 66

EU Art. 29 Gruppe zum Datenschutz bei Apps

Die Artikel 29 Gruppe der EU hat sich mit dem Thema Datenschutz bei Apps auf Smart Devices auseinandergesetzt. Im Workingpaper 02/2013 werden die Probleme dargestellt und diskutiert.

Smart Devices

Die Gruppe richtet ihr Workingpaper offen an alle Smart Devices und sieht dabei vor allem Smartphones, Tablets, aber auch TV Geräte mit Internetanschluss als Anwendungsfälle. Natürlich sind aktuell die Smartphones noch diejenigen Geräte, die die größte Verbreitung haben und gerade durch die Dauernutzung und extreme Mobilität einem zusätzlichen Risiko für Informationsgewinnung ausgesetzt sind.

Anwendbare Gesetze

Die Artikel 29 Gruppe wendet die ePrivacy Richtline 2009/136/EC direkt an. Die Umsetzung dieser auch als „Cookie“ Richtlinie bezeichneten Vorgabe ist in Deutschland noch in der politischen Diskussion. So gibt es aktuell noch kein hartes Cookie Opt-In.

Betriebssystem und API

Die Betriebssysteme der Smartdevices stellen verschiedenste Schnittstellen für die Apps bereit. So können Entwickler von Apps je nach Anwendungsfall auf Daten wie

  • Adressbuch,
  • SD Karte oder den internen Speicher
  • Videokameras (Front und Back),
  • Bewegungs- und Geschwindigkeitssensoren,
  • Mikrofon,
  • GPS Sensor oder
  • IMEI, IMSI, UDID, oder Telefonnummer

zugreifen.

Datenschutzrisiken

Mobile Applikationen können einfach entwickelt werden und haben anders, als klassische Webseiten, gute Möglichkeiten auf Smart Device Informationen zuzugreifen. Gerade darin bestehen so die Gruppe, die besonderen Risiken der Apps. Junge, unerfahrene Entwickler können mit einer guten Idee schnell einen weltweiten Erfolg erringen. Möglicherweise werden dabei aber die rechtlichen oder sicherheitstechnischen Anforderungen nicht ausreichend beachtet.

 

Als besondere Risiken sieht die Gruppe

  • Fehlende Transparenz
  • Fehlende Zustimmung des Nutzer
  • Geringe Sicherheitsmaßnahmen
  • Missachtung der Zweckbestimmung

Einwilligung

Die Gruppe setzt sich auch mit der Frage der Einwilligung in die Datenverarbeitung als eine der häufigsten Rechtfertigungsgrundlage für die Datenverarbeitung auseinander. Die Aussagen aus WP129 15/2011 sollen weiterhin Gültig bleiben.

Sie sehen die Einwilligung als im Rahmen der Installationsprozesse abgegeben an, wenn der Nutzer die Datenverarbeitung klar verständlich offengelegt bekommt und die Möglichkeit hat, den Installationsprozess auch abzubrechen. Zudem kann nach diesem Arbeitspapier der Widerspruch durch Deinstallation der App erklärt werden.

Klar ist weiterhin, dass die Daten nur für den konkreten Zweck verarbeitet und nicht, nur weil sie vorhanden sind, zu anderen Zwecken verwendet werden dürfen.

Sicherheitsmaßnahmen

Im Rahmen der Programmierung Soll auch auf die Sicherheit der personenbezogenen Daten Rücksicht genommen werden. Die Gruppe formuliert absichtlich nicht die konkreten Sicherheitsmaßnahmen, weil diese sich mit dem Stand der Technik auf weiterentwickeln müssen. Sie weist aber darauf hin, dass die IT-Sicherheit entsprechend der konkreten Szenarien wie lokale Speicherung oder serverseitige Speicherung angepasst werden muss. Programmcode sollte möglichst in gekapselt in „Sandboxen“ ausgeführt werden.

Informationspflichten

Datenschutz geht einher mit transparenter Datenverarbeitung. So sieht die Art. 29 Gruppe die Information an den Nutzer als ein wesentliches Element der zulässigen Datenverarbeitung. Information über

  • Name des Datenverarbeiters
  • Daten und Datenkategorien
  • Verarbeitungszwecke
  • Weitergabe an Dritte
  • Nutzerrechte

sollen in geeigenter Weise dem Nutzer vor Installation der App und in der App selbst angezeigt werden.

Löschfristen

Die Gruppe setzt sich auch mit den Löschpflichten auseinander. Ohne konkrete Angaben zu machen, die nach dem Arbeitspapier von der Verarbeitung abhängen, werden einzelne Szenarien vorgestellt, ohne einen Anspruch auf Allgemeingültigkeit zu erheben:

  • Navigations-Apps: Die zehn letzten Ortsangaben

     

  • Maximalspeicherfrist bei Inaktivität (z.B. auch Spielstände)
    • Auf dem Gerät unbegrenzt
    • Auf dem Server des Anbieters 15 Monate
↑ Top of Page