Wie das Bayerische Landesamts für Datenschutzaufsicht (BayLDA), in der Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter des Düsseldorfer Kreises beschreibt, ist eine einfache Verknüpfung mit der Datenschutzerklärung der Internetseite des Anbieters nicht ausreichend, wenn dort nicht über den konkreten Dienst (also die App) unterrichtet wird. Die Datenschutzerklärung für eine Mobile-App stellt in der Regel andere Anforderungen als die der Webseite.

MOBILE-APP VS WEBSITE

Bei der Installation von Apps werden im Gegensatz zu dem Aufruf einer Webseite Berechtigungen vom Nutzer eingeholt. Diese Berechtigungen erlauben es dem App-Anbieter über die entsprechenden Schnittstellen auf die Funktionen des Gerätes und die Daten, die auf dem Gerät gespeichert sind zuzugreifen. Der ganz entscheidende Unterschied liegt also darin, dass eine App oft auf Funktionen des Geräts (z. B. Kamera, Kontaktbuch, Standort,…) zugreifen kann, was durch das Aufrufen einer Webseite für den Webseitenanbieter im Allgemeinen nicht möglich ist. Viele dieser Berechtigungen werden aber gerade benötigt, personenbezogene Daten zu erheben oder zu verwenden. Dies macht eine konkrete Unterrichtung des Nutzers zu Art, Umfang und Zweck der Datenerhebung zwingend erforderlich.

KONKRETE NENNUNG DER ZUGRIFFE

Wenn Berechtigungen eingeholt werden, sind diese und die somit konkret stattfindenden Zugriffe zu benennen. Darüber hinaus empfiehlt das BayLDA auch über Berechtigungen zu unterrichten, die zwar einen Zugriff ermöglichen, aber nicht für den Zweck der Datenerhebung vom App-Anbieter eingeholt und genutzt werden. Dem Nutzer muss beim Lesen der Datenschutzerklärung sofort klar sein, zu welchen Zwecken bestimmte Berechtigungen eingeholt werden. Dabei ist es auf keinen Fall ausreichend, eine negative Beschreibung zu verwenden, bei der ausschließlich klargestellt wird, was nicht gemacht wird.

EINSTELLUNGEN ZUR PRIVATSPHÄRE

Eine weiterer gravierender Unterschied zwischen Mobile-App und Internetseite besteht bei den Einstellungsmöglichkeiten für den Nutzer. Während bei sämtlichen gängigen Internetbrowsern gezielt Einstellungen zur Privatsphäre und zum Datenschutz vorgenommen werden können (z. B. Löschen der Cookies), ist es für App-Nutzer in der Regel nicht machbar, diese Maßnahmen selbst durchzuführen. Werden diese dann in der Datenschutzerklärung unter Bezugnahme auf die Webseite dargestellt, so dienen diese Informationen lediglich dem Webseiten-Besucher aber nicht dem App-Nutzer. Dieser muss folglich davon ausgehen, dass die Datenschutzerklärung der Internetseite auf die Nutzung der App keine Anwendung findet.

DAS MUSS IN DER APP-DATENSCHUTZERKLÄRUNG STEHEN

Die Datenschutzerklärung für eine Mobile-App muss also entsprechend andere bzw. weiterführende Informationen gegenüber der Datenschutzerklärung der Internetseite beinhalten. Der Nutzer muss über folgendes umfassend informiert werden:

• Wer ist der Anbieter (vollständige Kontaktdaten)
• Wann wurde die App erstellt (Datum)
• Welche Datenarten werden von der App erhoben (Beschreibung der Daten und Zugriffsrechte)
• Zu welchem Zweck werden diese Daten erhoben
• Wie lange werden diese Daten gespeichert
• Werden die Daten an Dritte übermittelt und wenn ja, zu welchem Zweck
• Die Rechte des Nutzers bezüglich Löschung, Sperrung und Berichtigung der Daten, sowie Entzug der Einwilligung

BEISPIELBESCHREIBUNG EINER BERECHTIGUNG

Dem zufolge ist also der alleinige Hinweis auf z. B. den Zugriff auf die Kamera des Nutzers nicht ausreichend. Es muss klar beschrieben werden, wofür der Zugriff auf die Fotos notwendig ist und wie lange diese gespeichert werden.
Zugriff auf Kamera
Wir benötigen den Zugriff auf die Kamera Ihres Gerätes. Bei einer Anfrage werden keine Daten von uns erfasst oder gespeichert. Der Zugriff erfolgt lediglich damit Sie einen QR-Code lesen können.
Wenn jedoch Daten erfasst, gespeichert und auch noch an Dritte übermittelt würden, müsste dies natürlich auch bekannt gemacht werden, genauso wie der Zweck der Übermittlung.