In letzter Zeit sind diverse Flirt-Apps wie Tinder, happn oder Badoo zum echten Renner auf den Smartphones geworden, wie auch diverse Medienberichte beweisen. Immer mehr Jugendliche nutzen solche Apps für die schnelle Kontaktaufnahme oder einfach nur aus Spaß oder zum Ego-Pushing. Doch irgendwie geht die Diskussion um den Datenschutz ein wenig unter, was vielleicht auch daran liegen mag, dass diese Apps nicht aus dem Hause von Facebook oder Google stammen und die Nutzer (und Journalisten?) von den vielen Urlaubs-Selfies im Bikini geblendet sind.
All jenen, die sich nicht in der Freizeit mit solchen Apps vergnügen, sei eine kurze Einführung gegeben: Einige Apps wie Tinder greifen auf die Datenstämme von Facebook zurück, weswegen Tinder von vielen als die heimliche „Facebook-Flirt-App“ angesehen wird. Profilfotos müssen in einem Album bei Facebook erstellt werden und persönliche Angaben wie Name, Alter und Interessen (Filme, Bücher, Serien usw.) stammen aus dem sozialen Netzwerk. Es besteht daher ein „Facebook-Zwang“. Bei mach anderen Flirt-Apps können direkt kurze Textfelder ausgefüllt und die Bilder hochgeladen werden, ohne sich mit Facebook oder anderen Social Media Angeboten vernetzen zu müssen. Die App „happn“ geht noch ein Schritt weiter und zeigt gleich an, welche Mitglieder sich etwa zeitgleich – zumindest in der Theorie – räumlich anhand von ausgewerteten GPS-Daten getroffen haben, so wie einst Grindr die mutmaßliche Entfernung zu anderen Usern angab. So lässt sich fast schon der tägliche Arbeitsweg oder Aufenthaltsort anderer Mitglieder in der App errechnen.
Allen Apps ist die Notwendigkeit der Aktivierung von GPS gemein, um so den Standort des Nutzers zu ermitteln, woraus sich dann Entfernungen zu anderen Benutzern errechnen lassen. Selbst wenn die App nur im Hintergrund läuft und GPS aktiviert ist, sammelt die App fleißig weiter die Aufenthaltsorte des Benutzers.
Wie war es noch mal mit dem Datenschutz?
Aber findet überhaupt das deutsche Datenschutzrecht Anwendung bei Apps, vor allem bei solchen aus den USA? Sofern der Anbieter einen Sitz in Deutschland hat, gilt das Bundesdatenschutzgesetz (BDSG). Sitzt der Anbieter mindestens mit einer Niederlassung in Europa bzw. dem europäischen Wirtschaftsraum, greift das jeweilige nationale Datenschutzrecht, das am Unternehmenssitz gilt. Hat das Unternehmen keinen Sitz und auch keine datenverarbeitende Niederlassung in Europa, muss es sich bei der Datenerhebung hierzulande gemäß § 1 Abs. 5 S. 2 BDSG an das deutsche Datenschutzrecht halten, um nach dem grundsätzlichen Gedanken des Territorialprinzip und in Ansehung von Rechtsklarheit für die Unternehmen den hiesigen Datenschutzstandard zu gewährleisten (Vgl. Stellungnahme 02/2013 der Artikel 29 Gruppe, WP 202, Ziffer 3.1 ), was beispielsweise bei Tinder oder Grindr der Fall ist.
Was bedeutet das für den Einzelnen?
Zumal in der Regel personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG betroffen sind, denn es handelt sich beim Name, E-Mail Adresse, Wohnort, Alter usw. um „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“. Dynamisch vergebene IP-Adressen werden von Teilen der Rechtsprechung ebenfalls als personenbezogene Daten verstanden (Vgl. AG Berlin-Mitte, DuD 2007, 856; LG Frakenthal, MMR 2008, 687ff, Anders: LG Berlin, Urt. v. 31.1.2013) und GEO-Daten bzw. Ortungsdaten lassen auch einen Personenbezug zu, wenn beispielsweise IP-Adressen im Zusammenhang mit Geräte- und Kartenkennungen des Mobiltelefons und zusätzlichen Standortdaten betroffen sind (Vgl. Stellungnahme 02/2013 der Artikel 29 Gruppe, WP 202, Ziffer 3.1 ). Darüber hinaus sind natürlich noch sonstige Daten, beispielsweise Fotos, Videos, Audiodateien oder auch die generelle Nutzung von Apps unter Umständen als personenbezogene Daten einzuordnen.
Aber gerade die „Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat“, wie § 4 Abs. 1 BDSG festlegt. Nun könnte auf dem ersten Blick an eine Erlaubnis direkt aus dem Datenschutzgesetz nach § 28 BDSG gedacht werden, worauf viele Geschäftsideen in der Praxis auch fußen. Diese Regelung erlaubt es Unternehmen beispielsweise, Daten von potentiellen Kunden, Mitarbeitern oder Teilnehmern zu verarbeiten, wenn dies im berechtigten Interesse des Betroffenen geschieht, er einwilligt oder die Daten aus öffentlich zugänglichen Quellen (beispielsweise in Foren oder Job-Börsen) entstammen. Unter dieser umfangreichen Vorschrift werden unter anderem Gewinnspiele, der Adresshandel oder auch die Speicherung von Bewerbungsunterlagen gesetzlich erlaubt (im Detail ist das alles schon noch ein bisschen komplizierter, aber das lassen wir jetzt mal. Wer sich für die Erhebung, Speicherung und Nutzung von Bewerberdaten, also für den rechtlichen Hintergrund des Active Sourcing interessiert, der kann sich hier belesen).
Und so sprechen im betreffenden Einzelfall auch oft viele Argumente gegen § 28 BDSG als Rechtsgrundlage. Denn schließlich gilt es, das schutzwürdige Interesse des Betroffenen zu bedenken und/oder es fehlt an den öffentlich zugänglichen Quelle der Daten und/oder an der beidseitigen Interessenlage. Eindeutig ist die Anwendbarkeit von § 28 BDSG natürlich bei Apps von Download- oder Lieferservices (Hörbücher, Blumen, Essen oder was auch immer), wenn die erhobenen Daten ausschließlich (!) zu Zwecken der Vertragsdurchführung erhoben werden.
Wir halten fest. Mit dem Verweis auf § 28 BDSG werden die wenigstens Apps datenschutzfest. In der Regel bedarf es aufgrund der zahlreichen personenbezogenen Datenerhebungen einer Einwilligung des Nutzers (§ 4 BDSG) steht und fällt die mit Einwilligung des Nutzers.
Nun meinen viele, dass mit einer korrekten Einwilligungserklärung seitens Nutzer alle möglichen Daten für alle Zeiten erhoben, gespeichert und verwendet werden könnten. Doch 1, Wie sieht eine korrekte Einwilligungserklärung überhaupt aus? Und 2. Stimmt das so? Können dann tatsächlich alle Daten nach belieben verwendet werden?
Auch das Telemediengesetz (TMG) findet Anwendung
Die Antworten hierzu liefert das Telemediengesetz (TMG). Apps greifen in der Regel auf das Internet zu und sind dann als Telemedium nach dem Rundfunkstaatsvertrag einzuordnen. Nach § 2 Nr. 1 TMG ist wiederum ein „Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt“. Folglich ist der Anwendungsbereich des TMG eröffnet, deren spezielleren Normen Vorrang vor dem BDSG haben. (Übrigens: Der „Düsseldorfer Kreis“, das Gremium der Aufsichtsbehörden der Länder für den Datenschutz hat eine nützliche Orientierungshilfe für App-Anbieter bzw. App-Entwickler veröffentlicht. Gerne mal reingucken!)
Grundsätzlich muss also die Einwilligung nach § 4 Abs. 1 BDSG vorliegen, die nun durch § 12 Abs. 1 TMG als speziellere Vorschrift ergänzt wird. Und das TMG erleichtert zur Freude der App-Entwickler den Umgang mit den sensiblen Daten und erlaubt die Nutzung von Bestandsdaten (§ 14 TMG) sowie Nutzungsdaten (§ 15 TMG) im Rahmen der Vorschriften. So ist gemäß § 14 Abs. 1 TMG die Erhebung und Verwendung von personenbezogenen Daten eines Nutzers erlaubt, „soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten).“ Hierzu zählen in der Regel solche Informationen, die der Nutzer in sozialen Netzwerken eingestellt hat oder für Bestellungen über Shopsysteme notwendig sind. Und nach § 15 Abs. 1 TMG können personenbezogene Daten genutzt werden, „soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).“ (In §§ 14, 15 TMG findet sich – sehr grob gesagt – sozusagen der § 28 BDSG im TMG wieder). Zumeist werden Daten zur Identifikation des Nutzers sowie auch die gesammelten IP-Adressen, Geo-Daten und weitere für die Nutzung der App notwendige Angaben fallen.
Für alle anderen personenbezogenen Daten, die nicht Bestands- oder Nutzungsdaten darstellen, was in der Praxis einen Großteil ausmacht, allerdings schwer abzugrenzen sein dürfte, muss eine Einwilligung durch den Nutzer gegenüber dem Telemedienanbieter nach § 13 Abs. 2 TMG elektronisch erklärt werden. Die Einwilligung muss bewusst und eindeutig erklärt sein (Opt-in), protokolliert werden und jederzeit widerrufbar sein. Des Weiteren muss der Anbieter den Nutzer vor Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung der personenbezogenen Daten informieren (§ 13 Abs. 1 TMG).
Auch Apps benötigen eine Datenschutzerklärung
Mithin verlangt der Gesetzgeber eine lesbare, konkret auf die App und dessen Datenerhebung zugeschnittene Datenschutzerklärungen (Vgl. Art. 10 der Europäischen Datenschutzrichtlinie), welche jederzeit zugreifbar und widerrufbar sein soll. Sie muss also verständlich, konkret, deutsch und transparent sein. Weiter muss der Nutzer seine Einwilligung zu der dort beschriebenen Datennutzung ausdrücklich erklären und diese Erklärung muss vom Anbieter protokoliert werden, d.h. der User muss am besten per Opt-In, zustimmen.
Tinder beispielsweise wagt sich bereits grundsätzlich in diese Sphären vor. Es verfügt über eine mit einer deutschsprachigen Datenschutzerklärung in der App. Im Google Playstore wird vor der Installation der App angezeigt, auf welche Funktionen des Telefons die App zugreift – von der Kamera und dem Mikrofone bis zu GPS und dem Adressbuch. Ob damit jedoch eine konkrete Unterrichtung des Nutzers über die Berechtigungen der Apps und Ausmaß und Zweck der Daten-Nutzung erfolgt ist, darf bezweifelt werden. Die erhält der User im Zweifel erst nach dem Download und in der Installation der App. Das ist aber wieder zu spät, da der User vor der Nutzung aufgeklärt werden muss.
Und: Ein App-Betreiber ist ein Diensteanbieter
Darüber hinaus muss sich der App-Betreiber als Diensteanbieter an die Informationspflichten (Impressum) gemäß § 5 Abs. 1 TMG halten, welches leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten ist. Viele Apps scheitern bereits an dieser Hürde, weil aufgrund der Gestaltung des Programms oder der mobilen Seite das Impressum gar nicht jederzeit auffindbar ist. Zu den notwendigen Informationen im Impressum zählen unter anderem Name und Anschrift des Diensteanbieters (und bei juristischen Personen u.a. noch die Rechtsform und die Benennung der Vertretungsberechtigten) und mindestens eine E-Mail Adresse zur schnellen elektronischen Kontaktaufnahme. Und selbst wenn diese jederzeit auffindbar ist: Was bedeutet eine Adresse beispielweise auf den Tonga-Inseln, Burkina Fasu oder Briefkasten in Liechtenstein?
Spezielle Pflichten für Diensteanbieter
Und das ist immer noch nicht alles, denn im TMG sind noch spezielle Pflichten für den Diensteanbieter erwähnt, die sich an die jeweilige Gestaltung und Programmierung der App richten: So muss dieser nach § 13 Abs. 4 TMG durch technische und organisatorische Vorkehrungen sicherstellen, dass der Nutzer jederzeit die Nutzung beenden kann (Nr. 1) und die anfallenden personenbezogenen Daten nach der Beendigung gelöscht oder gesperrt werden (Nr. 2) und wie kann der Nutzer diese Vorgaben überprüfen?
Hieran dürften mehr als Zweifel bestehen, da einige Apps die personenbezogenen Daten wie Profilfotos, GEO-Daten oder das Nutzungsverhalten gar nicht mit Beendigung der Nutzung löschen, sondern noch weiterhin speichern für den Fall, dass der Nutzer sein Account wieder reanimieren will. Es scheint nämlich eher die Regel zu sein, dass die Betreiber gern die Daten der Nutzer – sozusagen „heimlich im Hinterzimmer“ speichern und aufbewahren getreu dem Motto: Wer weiß, was noch kommt. Das verstößt zwar nicht nur gegen § 13 Abs. 4 TMG, sondern auch ganz einfach gegen den Grundsatz der Datensparsamkeit, aber hey, was soll es. Kontrolliert ja eh keiner (dazu so gleich). Die Diskussion fand bereits ausführlich bei Facebook statt, betrifft aber beispielsweise auch Tinder, obgleich bei den Letzterem teilweise schon reagiert worden ist.
Auch gilt es das Trennungsprinzip von Werbung und Inhalt und die Grundsätze der Datensparsamkeit und Zweckgebundenheit aus dem BDSG zu beachten.
Im Übrigen müssen nach § 13 Abs. 4 Nr. 4 TMG die Anbieter sicherstellen, dass personenbezogene Daten desselben Nutzers von mehreren Apps getrennt verwendet werden, was beispielsweise die Koppelung von Nutzungsdaten eines sozialen Netzwerks und einer zusätzlichen Chat-App desselben Anbieters verhindern soll.
Auch auf der technischen Ebene sind eine Vielzahl an Besonderheiten zu beachten: Beispielsweise dürfen Standortdaten nur in Ausnahmefällen gespeichert und müssen besonders geschützt werden, damit keine Bewegungsprofile entstehen und durch fremde Benutzer eingesehen werden können. Darüber hinaus wird eine sichere Verschlüsselung der Datenübertragung, Unkenntlichmachung des Passworts und der Parameter in der URL, eine sichere Programmierung, die zeitliche Beschränkung des Zugangs bei Bezahlsystemen und generelle Schutzkonzepte gefordert. Neben alldem sind dann noch Sicherheitslücken oder im Hintergrund laufende GEO-Daten Sammelsurien denkbar, die allerdings den Rahmen dieses Beitrags sprengen würden.
Nicht zu vergessen sind weitere Fragen nach der Notwendigkeit von Altersverifikationssystemen beim Jugendschutz, wenn beispielsweise Mitglieder pornografische Fotos von sich bei den Flirt-Apps einstellen und der App-Betreiber als Anbieter im Sinne des JMStV zur Verantwortung gezogen werden kann.
Was droht bei Verstößen?
Auch wenn dies eher in die Welt der Theorie gehören mag: Die Datenschutzaufsichtsbehörden können gemäß § 38 Abs. 5 BDSG Maßnahmen ergreifen bei Verstößen gegen das BDSG. So droht je nach Verstoß ein Bußgeld von 50.000 Euro oder mehr oder die Sperrung bzw. Untersagung der App. In ganz gravierenden Verstößen kann das Ordnungswidrigkeiten- oder Strafrecht herangezogen werden.
Ach und wer denkt, das wäre schon alles, irrt sich. Es sind noch aus anderen Gesetzen einige Rechtsvorschriften zu beachten. Denn beispielsweise verstoßen nach (vorläufiger) Auffassung des LG Berlin englischsprachige AGB gegen die deutsche Rechtslage, wie im Versäumnisurteil gegen Whatsapp jüngst festgestellt worden ist. Und auch die Missachtung von § 13 TMG kann gegen das Wettbewerbsrecht nach dem UWG verstoßen (Urteil 3 U 26/12 des OLG Hamburg vom 27.06.2013). Und dann können Verbraucherschutzverbände und Mitbewerber im Sinne des UWG den Anbieter nach dem Wettbewerbsrecht abmahnen und gerichtlich Ansprüche auf Unterlassen oder sogar unter Umständen auf Schadensersatz durchsetzen.
Last but not least könnten auch die Betroffenen selbst (ja, so nennt das BDSG diejenigen von denen Daten erhoben werden 😉 ) die Verletzung von Persönlichkeitsrechten gegenüber dem Anbieter der Apps geltend machen. Schließlich ist Teil des Persönlichkeitsrechts das Recht auf informationelle Selbstbestimmung, dass wiederum durch die Missachtung von datenschutzrechtlichen Vorschriften verletzt sein könnte.
Die „Rechtsunklarheit“ im modernen Datenschutz
Trotz der Kontrolle durch die deutschen Aufsichtsbehörden über die zulassungsfreien Telemedien wird es wohl weiterhin im internationalen Rechtsverkehr schwierig sein, Anbieter aus dem fernen Ausland den hiesigen Vorgaben zu unterwerfen, so dass trotz der vermeintlichen Rechtsverstöße weiterhin Whatsapp, Tinder, Grindr und Co genutzt (und geliebt?) werden und die Debatte über den Datenschutz wenig Einfluss darauf haben wird.
Aber die gute Nachricht: Natürlich gibt es auch einige positive Beispiele von deutschen Unternehmen, die sich an die strengen gesetzlichen Vorgaben halten, wie beispielsweise die Hamburger Unternehmen meetOne, auf deren App die Links zum Impressum und der deutschen Datenschutzerklärung leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sind (§ 5 Abs. 1 TMG). (Wir haben die (Datenschutzerklärung nicht geprüft, aber auf den ersten Blick wirkt das schon mal halbwegs vernünftig). Und auch die neue Flirt-App für Schüchterne „Sumtu“ schreibt sich den Datenschutz – nach Aussagen der Gründer – auf die Fahnen.
Und nun?
Jeder Anwender fragen, bevor er eine App benutzt: Was halte ich in der Hand und was lege ich in fremde App- Hände oder auch: Wo endet meine Einflussnahme? Vermutlich bereits mit der ersten Berührung des Bildschirms. Ich denke, wie hier zuvor anschaulich begründet, ist die Ohnmacht groß, hingegen die Macht eher überschaubar, was gleichermaßen für den Gesetzgeber wie auch Datenschützer gilt. Verständlich ist der Reiz groß, jederzeit verknüpft mit Freunden und Bekannten zu sein, egal wo sie sich zurzeit aufhalten, und teilzunehmen am Spektakel des Informationsaustausches. Eine kaum überschaubare Anzahl dieser Apps bietet leichten Zugriff auf unser gesamtes Privatleben. Und dass ist eigentlich die Krux an der Sache: Nicht mehr überschaubar gleich nicht mehr willentlich beeinflussbar. Nur ein kleiner Fingerdruck und irgendwann kommt es zurück? Ob nur Intimes oder Rechtwidriges? Es ist eben nicht nur ein kleiner Flirt mit dem Fingerdruck.
Jeder Entwickler sollte sich fragen, ob er es nicht vielleicht doch mal mit dem Datenschutz versuchen will. Vielleicht ist der ja doch gar nicht so langweilig? Das Mauerblümchen, das sich als Schmetterling entpuppt?
(Okay, jetzt gehen die Pferde mit mir durch. Drum ist besser mal Schluss hier.)
In diesem Sinne,
vielleicht doch wieder einfach im Café oder der Bar flirten? So wie früher? Ganz verrückt.
Dieser Text erstand unter der maßgeblichen Mitarbeit von unserem Mitarbeiter Herrn Conrad S. Conrad. Besten Dank!
