Datenschutz für App-Entwickler
Die Kanzlei Dr. Bahr erläutert, was Softwarehäuser und Programmierer beim Erstellen von Smartphone-Apps rechtlich berücksichtigen müssen und welche Unterschiede es dabei zwischen iOS und Android gibt. Insbesondere geht es dabei um Aspekte des Datenschutzes.
Spätestens seit in diesem Jahr weltweit kontrovers diskutiert wurde, warum Apple ungefragt Daten zu Bewegungsprofilen der Nutzer von iPhones und iPads speichert, ist das Thema Datenschutz auch bei Smartphones angekommen. Dieser Artikel beschäftigt sich allerdings nicht mit der allgemeinen Frage, ob iOS und Android grundsätzlich datenschutzrechtlich unbedenklich sind, sondern behandelt die Frage allein aus Sicht eines App-Entwicklers.
Die allererste und wichtigste Frage ist dabei, wann überhaupt deutsches Datenschutzrecht gilt. Finden automatisch deutsche Gesetze Anwendung, nur weil der Entwickler seinen Sitz in Deutschland hat? Innerhalb der EU gilt grundsätzlich: Sitzt die Firma in einem EU-Land und erhebt von dort die Daten deutscher Nutzer, gilt das Recht des jeweiligen EU-Landes. Eine Ausnahme ist, wenn die Firma über eine inländische Niederlassung verfügt und wenn von dort die Daten erhoben werden. In diesem Fall gilt dann deutsches Recht.
Sitz die Firma im EU-Ausland und erhebt von dort die Daten deutscher Nutzer, gilt deutsches Recht. Entwickler können sich also der Anwendung deutschen Datenschutzrechts entziehen, wenn ihre Firma im EU-Ausland sitzt und von dort die Daten erhebt. Die große Frage ist aber, ob eine solche Verlagerung des Unternehmenssitzes ins Ausland im Ergebnis gewinnbringend ist.
Zutreffend ist, dass die deutschen Behörden in solchen Fällen faktisch machtlos sind. Es ist aber zu berücksichtigen, dass man sich dann aber einer ausländische Rechtsordnung unterwirft. Es gilt dann ausländisches Datenschutzrecht und die ausländischen Aufsichtsbehörden sind zuständig. Aber nicht nur das: Auch das Steuerrecht, Gesellschaftsrecht, Vertragsrecht und Arbeitsrecht bestimmt sich nach der ausländischen Rechtsordnung. All dies gilt es bei der Abwägung zu berücksichtigen, ob ein Auslandsstandort Vorteile mit sich bringt.
Darüber hinaus ist zu beachten, dass innerhalb der EU der Rechtsrahmen mittlerweile weitgehend harmonisiert worden ist. Die deutschen Gesetze basieren inzwischen in vielen Teilen maßgeblich auf einer EU-Richtlinie, die einheitlich für alle EU-Länder gilt. Insofern erlangen Entwickler im Ergebnis hinsichtlich der Gesetzeslage nicht wirklich einen dauerhaften Vorteil, wenn sie ins EU-Ausland auswandern.
Ein klarer Standortvorteil hingegen ist die praktische Handhabung des Datenschutzrechts. Es ist ein offenes Geheimnis, dass spanische oder italienische Aufsichtsbehörden anders an die Problematik herangehen als deutsche. Mögen die gesetzlichen Grundlagen auch nahezu gleiche Regelungen enthalten, so werden sie in der alltäglichen Praxis doch sehr unterschiedlich gehandhabt und gelebt.
Grundvoraussetzung für die Anwendung des deutschen Datenschutzrechts ist, dass “personenbezogene Daten” gespeichert werden. Somit fällt nicht jede Speicherung von Informationen in den Schutzbereich des Bundesdatenschutzgesetzes (BDSG), sondern nur solche, die auch Personenbezug haben. Die Anwendung steht und fällt also mit dem Begriff der personenbezogenen Daten. Der muss daher näher erläutert werden.
Das BDSG schützt – wie gesagt – grundsätzlich nur personenbezogene Daten. Für App-Entwickler ist dieser Umstand wichtig, denn sie können unter Umständen von vornherein datenschutzrechtliche Probleme vermeiden, indem sie sich geschickt die Grenzen der einzelnen Voraussetzungen zunutze machen. Das Gesetz definiert in Paragraf 3, Absatz 1 personenbezogene Daten als “Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person”.
Zerlegt man diesen Satz in seine Einzelteile, dann müssen drei Voraussetzungen gegeben sein, damit das BDSG überhaupt Anwendung findet:
- Einzelangaben über persönliche oder sachliche Verhältnisse
- bestimmt oder bestimmbar
- natürliche Personen
Einzelangaben über persönliche oder sachliche Verhältnisse
Die geschützten Daten müssen Informationen über die betreffende Person selbst (“persönlich”) oder über einen auf sie beziehbaren Sachverhalt (“sachlich”) enthalten. Beispiele für Angaben persönlicher Natur sind solche zu Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf oder Gesundheitszustand. Angaben über Eigentumsverhältnisse oder Grundbesitz sind dagegen sachlicher Natur.
Aber auch bloße Meinungsäußerungen oder Werturteile sowie Prognose-Entscheidungen fallen unter das BDSG. Anschaulich wird das am Bewertungsportal “spickmich.de”: Es bietet Schülern an, ihre Lehrer zu bewerten. In dem Bewertungsmodul stehen dabei folgende Kriterien zur Auswahl: “Cool und witzig”, “beliebt”, “motiviert”, “menschlich”, “guter Unterricht” und “faire Noten”. Der Begriff der persönlichen oder sachlichen Verhältnisse ist also extrem weit auszulegen, um dem Schutzzweck des BDSG gerecht zu werden. Im Zweifelsfall müssen App-Entwickler somit stets von der Anwendung des BDSG ausgehen.
Bestimmt oder bestimmbar
Aufgrund der gespeicherten Daten muss eine Person bestimmt beziehungsweise zumindest bestimmbar sein. Bestimmt ist eine Person, wenn sich unmittelbar aus den Daten die Identität der Person ergibt oder herleiten lässt. Bestimmbar ist eine Person dann, wenn sie sich unter Zuhilfenahme anderweitiger Daten identifizieren lässt.
Gerade im Bereich der Bestimmbarkeit werden je nach Position ganz unterschiedliche Ansichten vertreten. Für Datenschützer reicht bereits die theoretische Möglichkeit einer Identifizierung aus. So soll selbst in einem Fall, wo die Zusatzinformation nur durch einen Dritten oder durch Gesetzesverstöße erlangt wird, eine Bestimmbarkeit gegeben sein. Eine solche Interpretation würde jedoch zu einer uferlosen Anwendung des BDSG führen, denn praktisch jede Information kann durch eine irgendwo vorhandene Zusatzinformation bestimmbar gemacht werden.
Richtigerweise lehnen daher die überwiegende Rechtsprechung und der erhebliche Teil der rechtswissenschaftlichen Literatur diese Ansicht ab und nehmen einen Bezug nur dann an, wenn eine Ermittlung nach den Kenntnissen und Fähigkeiten der speichernden Stelle möglich ist. Die Heranziehung anderer Daten muss danach mit normalen Mitteln und ohne unverhältnismäßigen großen Aufwand denkbar sein. Ist dies nicht der Fall, so liegt keine Bestimmbarkeit vor.
Es kommt also ganz entscheidend auf die speichernde Stelle an. So kann es gut sein, dass für die eine Stelle die Person bestimmbar ist, weil sie Zugriff auf wichtige externe Daten hat, während die andere Stelle die Person nicht bestimmen kann.