app_store_privacy_policy

Gemäss einer Studie von Mitte letzten Jahres (Juni 2012) waren gerade einmal 48% aller gratis Apps und 32% aller kommerziellen Apps in den App Stores (Apple, Android, Kindle) mit einer Datenschutzerklärung versehen. Das ist eine doch eher erstaunlich tiefe Anzahl, wenn man bedenkt, dass es mehr als genügend Gründe gibt für eine anständig geführte Datenschutzerklärung die aus der App heraus aufzurufen ist. In den meisten Staaten und Datenschutzgesetzen ist die Angabe von datenschutzrelevanten Verhaltensweisen nämlich rechtlich vorgeschrieben.

Der Attorney General, eine Art Justizminister eines US-Amerikanischen Staates, in diesem Falle Kamala Harris hat bereits mehrmals klar gemacht, dass sie gedenkt den Online Privacy Protection Act (CalOPPA) auch auf mobile Apps anzuwenden. Das CalOPPA ist kalifornisches Bundesstaatsrecht und war bis anhin auf online Angebote angewendet worden. Um die Einhaltung des CalOPPA sicherzustellen hat sich kalifornische Justizministerium (Department of Justice) eine Einheit zusammengestellt die sich für die Einhaltung der Datenschutzregeln einsetzt (Privacy Enforcement and Protection Unit in July of 2012). Das klingt, als würde das nur App-Entwickler in Kalifornien etwas angehen, es ist allerdings vielmehr ein Aufruf zur Einhaltung der Datenschutzregeln für alle die möglicherweise Kalifornier als Nutzer haben könnten.

Path, Delta und weitere wurden angezeigt oder bereits rechtskräftig bestraft für die Nichteinhaltung dieser Datenschutzgesetze. Das FTC und die vorgenannte Kamala Harris (AG of California) haben hilfreiche Richtlinien für App-Entwickler zur Befolgung der Vorschriften herausgegeben.

Die einfache Wahrheit ist diese: es gibt nur sehr wenige Apps die keine sogennante privacy policy, oder Datenschutzerklärung brauchen. Hier ist ein kurzer Einblick:

Wann brauche ich eine Datenschutzerklärung in meiner App?

Die erste Frage, die man sich stellen muss: sammle ich/bereite ich personenbezogene Daten in meiner App auf?

Personenbezogene Daten können viele Dinge sein: ein Name, eine Email Adresse, eine Telefonnummer, Ortsangaben und vieles mehr wie Analytics oder der Einsatz von Werbung. Mit personenbezogenen Daten sind alle Informationen umfasst, die über eine Person etwas aussagen. Diese Informationen müssen sich nicht zwingend auf eine bestimmte Person beziehen (wie bspw. beim Namen oder einem Foto des Betroffenen), ausreichend ist vielmehr, dass zu der jeweiligen Person ein Bezug hergestellt werden kann. So können – zumindest bei entsprechendem Zusatzwissen – auch Telefonnummer, Sozialversicherungsnummern, persönlich zugeteilte Berechtigungskennzeichen und u.U. IP-Adressen personenbeziehbare und damit datenschutzrelevante Informationen sein (die deutsche Definition von personenbezogenen Daten, hier ein Link zum Datenschutzbeauftragten des Landes Nordrhein-Westfalen).

Falls diese Daten also durch eine App aufbereitet/genutzt werden, ist eine Datenschutzerklärung Pflicht.

Datenschutzgesetze

Gemäss dem AG of California und der neuen Interpretation des CalOPPA, ist man bereits dann verpflichtet eine Datenschutzerklärung deutlich sichtbar anzuzeigen, wenn man personenbezogene Daten verarbeitet.  Dabei muss angegeben werden, wie die Applikation solche sammelt, nutzt und teilt. Diese Regel gilt global für jeden der eine Applikation vertreibt die kalifornische Bürger berühren könnte. Ist die fragliche App also nützlich für Kalifornier, so hat man sich an diese Regeln zu halten. Entwickler die sich nicht an diese Regeln halten, laufen Gefahr unter kalifornischem Recht und dem CalOPPA zur Verantwortung gezogen zu werden.

in 2012 wurde zudem durch AG Harris und die führenden Marktplätze (die App Stores von den sechs führenden Unternehmen Apple, Google, Amazon etc.) eine Abmachung unterschrieben, die vorsieht die App Stores und das mobile Ökosystem auf das Niveau des CalOPPA zu heben. Mehr dazu kann hier nachgelesen werden im two-page Joint Statement of Principles. Es ist sehr wahrscheinlich, dass weitere Gesetze bald hinzukommen.

Lasst uns annehmen, dass die fragliche App auf Europäische Nutzer ausgerichtet ist. Das Bild ändert sich hier nur marginal. Das relevante rechtliche Framework ist die Data Protection Directive (95/46/EC) der EU. Sie kommt immer zur Anwendung wo die Nutzung von Apps auf Smartphones das Verarbeiten von personenbezogenen Daten mit sich zieht. Grundsätzlich sind, sobald die App in der EU genutzt wird, auch wenn der Entwickler nicht da lebt, die Voraussetzungen die in der “Data Protection Directive” ausgelegt sind zu befolgen.

Zusätzlich dazu legt die ePrivacy directive (2002/58/EC, novelliert durch 2009/136/EC) einen spezifischen Standard für alle weltweit fest, die Informationen auf mobilen Endgeräten speichern, oder auf gespeicherte Informationen von Nutzern aus dem Europäischen Wirtschaftsraum zugreifen wollen. Viele Bestimmungen der ePrivacy Richtlinie sind für Entwickler nicht direkt von Belang, aber die wichtigste im Zusammenhang mit der Entwicklung von Apps für das mobile Ökosystem ist der Artikel 5(3) der bestimmt, dass “die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern”.

(Anmerkung: die Richtlinien sind in die Gesetze der europäischen Mitgliedstaaten umzusetzen, deswegen sind für die Details die nationalen Gesetze zu beachten).

Es gilt also: 

Man stelle eine lesbare, verständliche und leicht zugängliche Datenschutzerklärung zur Verfügung, die im Minimum die Nutzer über folgendes informiert:

  • wer Du bist (Identität und Kontaktdetails)
  • präzise welche Kategorien von personenbezogenen Daten die Applikation sammelt und verarbeitet
  • wieso diese Datenverarbeitung notwendig ist (was ist der Zweck)
  • werden die Daten and weitere Parteien gegeben (genaue Angabe an wen die Daten weitergegeben werden)
  • die Rechte, die die Nutzer haben bezüglich Löschung der Daten und Entzug der Einwilligung

Dieses Dokument der Article 29 working party gibt weitere Einsicht.

Ähnliche Gesetzgebungen existieren in den meisten Staaten mit geringen Abweichungen welche dann auf die einzelne Situation anzuwenden sind. In Deutschland sind neben den Bundesgesetzen wie das BDSG/TMG auch noch Landesgesetze zu beachten. Eine aktive Datenschutzbehörde ist unter anderem diejenige in Hamburg.

Services/App Stores

Weitere Dinge (zusätzlich zur Gesetzeslage) sind auch noch zu beachten. Zwei weitere:

a) Viele Services/Dienstleistungen die ev. in den Applikationen eingesetzt werden wie mobile Analytikservices oder Werbedienstleistungen müssen ebenso die Gesetze beachten und können in ihren allgemeinen Geschäftsbedingungen den Einsatz einer Datenschutzerklärung verlangen. Ein gutes Beispiel ist Google Adsense.

b) Seit der Vereinbarung der App Stores mit dem kalifornischen Justizministerium ist auch da die Situation verändert. Z.t. ist wie beim Amazon Kindle Store das Vorhandensein einer Datenschutzerklärung Pflicht, andere ziehen mit diversen Verbesserungen im Angebot nach. Ein Email von Amazon, das uns vorliegt hatte dies zum Inhalt:

Customer privacy is important to us, and we know it is important to many of you too. That’s why we want to make sure you know how to include links to your privacy policy on product detail pages for your apps. We require all apps that collect personally identifiable information or personal information to provide a link to their privacy policy, so if you haven’t already done so, please take a moment to submit the privacy policy link for each of your apps today.

Was wenn ich keine Datenschutzerklärung habe?

Die meisten Entwickler lassen die Datenschutzerklärung aus diversen Gründen also ganz weg, obwohl das der falsche Weg ist. Datenschützern steht oft mit einem ausgedehnten Strafenkatalog ein Instrument zur Verfügung um solche Verhaltensweisen zu bestrafen. In Australien ist mit der Novellierung des “Australian Privacy Act 1988” ab 2014 der Information Officer mit weitergehenden Kompetenzen ausgestattet und dies dürfte nach PRISM weltweit eher zum Modell als zu etwas anderem werden.

iubenda macht das Erstellen von Datenschutzerkärungen für mobile Applikationen kinderleicht. Der Generator hilft beim Erstellen von mobilen Datenschutzerklärungen und hostet die Erklärungen dann auch vorteilhaft auf den iubenda Servern. 

 

Erstelle eine mobile Datenschutzerklärung

 

Datenschutz in App Stores

Dieser Blogbeitrag behandelt ein wenig die Grundlagen für eine Datenschutzpflicht, sagt aber nicht viel zu den einzelenen App Stores, weswegen wir weiter Posts (Englisch) darüber geschrieben haben:

Hoffentlich tragen diese Beiträge zur endgültigen Publikation im App Store bei!

About Us

iubenda is the easiest and most professional way to generate a privacy policy for your website, mobile app and facebook app
www.iubenda.com

Generate a privacy policy now

Ready in a few steps and built to meet the needs of both website and mobile app owners

Generate your privacy policy now
RSS FEED

Sometimes the best choice is to "just give it a try"

iubenda is the easiest and most professional way to generate a privacy policy for your website, mobile app and facebook app

Generate your privacy policy now