Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
18
Mai

Von der Idee über die Entwicklung bis zur Vermarktung einer App – Wo liegen die rechtlichen Hürden? (Part 2)

Mai 18, 2015
, , ,

Mit Schrecken muss ich feststellen, dass wir den 18. Mai 2015 schreiben. Das bedeutet, dass die Veröffentlichung des ersten Teils zu den rechtlichen Hürden von App-Entwicklung und App-Vermarktung fast zwei Monate zurück liegt. Huch. Nun denn, jetzt aber.

Während sich der erste Teil mit Fragen des Markenrechts („Wie soll das Kind denn heißen?“) sowie mit IT-Verträgen und Softwarelizenzen im Rahmen der App-Erstellung herumschlug, beschäftigen wir uns im folgenden einmal mit dem Impressum, der Einbindung von Dritt-Services, und insbesondere dem Datenschutz (ach ja, ich weiß… das ungeliebte Kind 😉 ) sowie last but not least, dem Vertrag zwischen dem App-Betreiber und dem End-Nutzer.

4. Impressum

Ja, ja, schnarch. Ich weiß, das Thema Impressum ist grundsätzlich sterbenslangweilig. Vergessen sollte der Betreiber einer App ein solches aber dennoch nicht. Denn er muss als Diensteanbieter nach dem Telemediengesetz (TMG) ferner sicherstellen, dass die nach § 5 Abs. 1 TMG zwingend im Impressum anzugebenden Informationen über den Betreiber in der App  leicht erkennbar, unmittelbar erreichbar und ständig verfügbar gehalten werden. Am Besten funktioniert dies über eine automatisch eingeblendete Navigation am Rand. Ansonsten gilt, wie auch bei einer Otto-Normal-Unternehmer-Webseite, im Zweifel: „Hello, Abmahnung“. Und das ist wirklich überflüssig wie ein Kropf. Also, an das Impressum denken!

5. Einbindung von Drittservices

Oft sehen Apps den Rückgriff auf Services von Drittanbietern vor, wie z.b. von Google Maps oder Facebook oder sonstigen Dritten. Wenn dem so ist, sollte auch hier einmal überprüft werden, ob auch im Verhältnis zu dem jeweiligen Drittanbieter dessen Nutzungs- sowie gegebenenfalls Datenschutzbedingungen mit der Einbindung eingehalten werden und ob die Einbindungen der Drittservices überhaupt rechts- und vor allem datenschutzkonform möglich ist. (Man sollte zumindest seine Risiken kennen…)

6. Datenschutz 

Eben fiel das Wort schon, bei dem zahlreiche Entwickler und Marketeers die Augen verdrehen: Datenschutz. Bereits im Entwicklungsprozess ist ein großes Augenmerk darauf zu legen, dass die „eigene“ App auch den gesetzlichen Anforderungen an den Datenschutz durch die konkrete Ausgestaltung der  Datenschutzbestimmungen gerecht wird. Wer mag, der darf auch gerne das Schlagwort „Privacy by Design“ verwenden.

Verdrehen sollte man die Augen jedoch nicht. Besser hingucken. Und das aus zwei Gesichtspunkten. Zum einen können datenschutzrechtliche Verstöße nach einem Urteil des OLG Hamburg grundsätzlich von Mitbewerbern abgemahnt werden. Zum anderen können natürlich die Datenschutzbehörden selbst Maßnahmen ergreifen. Der den Behörden zur Hand stehende Maßnahmenkatalog reicht dabei von dem Bußgeld für eine Ordnungswidrigkeit (z.B. wegen einer mangelnden Datenschutzerklärungen nach § 16 Abs. 2 Nr. 2 TMG oder wegen unzulässiger Datenerhebungen bzw. Datenübermittlung iSv. § 43 Abs. 1 Nr. 4), welches im Extremfall bis zu 300.000 erreichen kann,  bis hin zu einer Untersagungsverfügung nach § 38 Abs. 5 BDSG. Mit einer solchen kann im Ergebnis der Betrieb einer App und damit im Zweifel eine ganze Unternehmenstätigkeit untersagt werden. (Übrigens, wer wissen will, ab wann er oder sie sich strafbar macht, der möge einen Blick in § 44 BDSG werfen)

UPDATE, 09.02.2017: Im Mai 2018 tritt die Datenschutzgrundverordnung in Kraft. Datenschutzverstöße die in einer mangelnden Information und Aufklärung der Betroffenen zu sehen sind (Verstöße gegen Art. 12 bis 14 der DSGVO) sind dann mit Bußgeldern von bis zu 20 Millionen EUR bzw. 4% des weltweiten Jahresumsatzes bedroht. (Nein, Sie haben sich nicht verlesen).

a. Was kann denn genau bei einem Datenschutzverstoß passieren?

Tatsächlich fallen die verhängten Bußgelder wegen eines Verstoßes gegen datenschutzrechtliche Vorschriften zwar bislang in der Regel weitaus geringer aus (siehe beispielsweise den 42. Tätigkeitsbericht des Hessischen Datenschutzbeauftragte, welcher im Berichtjahr von 34 abgeschlossen Bußgeldverfahren und dabei verhängten Bußgelder in Höhe von insgesamt 12.250,00 EUR berichtet). Und auch verhält es sich zugegebenermaßen nicht so, dass die Datenschutzbehörden vor lauter Personalkapazitäten aus dem Lachen nicht mehr raus kämen. Das wahrlich nicht. Das heißt die Kontroll-Kapazitäten der Behörden sind nach wie vor eher gering und die verhängten Bußgelder „eher“ gering (in Einzelfällen geht das aber schon mal zack-zack nach oben!). Zurücklehnen sollte sich der App-Betreiber jetzt dennoch nicht.

Schließlich verhält es sich mittlerweile so, dass Datenschutzbehörden inzwischen von Unternehmen aufgefordert werden, diejenigen Firmen, die den Datenschutz links liegen lassen, zu sanktionieren (sic! Siehe: 24. Tätigkeitsbericht des Landesbeauftragten für Datenschutz Rheinland-Pfalz, S. 90). Das bedeutet, dass Mitbewerber (vermeintliche) Verstöße der Konkurrenz bei den Datenschutzbehörden melden und diese darauf hin aktiv werden. Das ist irgendwie auch verständlich. Sich selbst um den Datenschutz zu mühen und zu sehen, wie die Konkurrenz eben diese Mühen scheut, ist nicht gerade erheiternd. Darüber hinaus betonen die Datenschutzbehörden in letzter Zeit des Öfteren, dass sie weiter durchgreifen wollen und datenschutzrechtliche Verstöße nicht als Kavaliersdelikte zu betrachten sind. So prüfte z.B. der Landesbeauftragte für Datenschutz in Baden-Württemberg im Rahmen der internationalen „Privacy Sweep“ Aktion im Mai 2014 Apps, deren Anbieter ihren Sitz in BW hatten, auf ihre Datenschutzkonformität.

Dass dem Datenschutz mehr Aufmerksamkeit und Beachtung geschenkt werden sollte, wird zudem auch aus dem Entwurf zur Datenschutz-Grundverordnung der EU deutlich, welche nicht nur weitaus höhere Geldbußen vorsieht, sondern auch in der allgemeinen Datenschutz-Diskussion – über die Juristenkreise hinaus – zunehmend an Relevanz gewinnt.

UPDATE 09.02.2017: Wie oben aufgezeigt, steigen möglichen Bußgelder für mangelnde Datenschutzerklärungen mit der ab Mai 2018 geltenden DSGVO drastisch an. Damit sind die hier gemachten Ausführung zu den „eher geringen Bußgeldern“ hinfällig. Die Intention des Gesetzgebers hinter den hohen Bußgeldandrohungen ist klar: Die Anwender, also die Unternehmen, sollen den Datenschutz endlich genauso ernst wie das HGB, die AO und/oder das Produkthaftungsgesetz nehmen und nicht den Datenschutz nicht mehr nur als „nice to have“ betrachten.

Wenn Sie wissen möchten, welchen Informationspflichten Sie nach der DSGVO konkret unterliegen, lesen Sie gern den Artikel

Die Informationspflichten und Auskunftspflichten der Unternehmen nach der DSGVO (Teil 5 der Reihe zur DSGVO „Worauf müssen sich Unternehmen einstellen?“)

Und wenn Ihnen das als Grund nicht reicht, dann teilen wir Ihnen nun gerne mit, dass Google Play in seinen Entwicklerrichtlinien ebenfalls ausdrücklich Datenschutzrichtlinien für die Apps verlangt  – andernfalls werden die Apps nicht zum Store zugelassen oder wieder entfernt.

Aber weg von den dunklen Gedanken, hin zur Lösung.

b. Datenschutzerklärung und Einwilligungen in die Datenverwendung

Bekanntermaßen hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten. Ferner hat der Dienstanbieter den Nutzer über die verantwortliche, also datenverarbeitende Stelle sowie über Auskunfts- und Löschungsansprüche und ein bestehendes Widerrufsrecht bei einer erteilten Einwilligung in die Nutzung der personenbezogenen Daten zu informieren. Das steht alles in § 13 TMG. Und auch ein App-Betreiber ist eben ein Diensteanbieter. Das heißt er muss über die Verwendung der Daten aufklären.

_______________________________________________________________________________________________

Exkurs:

Das TMG, bzw. Telemediengesetz flankiert das BDSG, das Bundesdatenschutzgesetz, als sog. „lex specialis“. Dieser Begriff ist im Blog hier schön öfter aufgetaucht und meint letztendlich nur, dass es eben ein spezielleres Gesetz ist, dass in diesem besonderen Bereich Vorrang vor dem „normalen“ Gesetz hat, das „normale“ Gesetz aber weiter immer dann Anwendung, wenn das „spezielle“ Gesetz dazu gerade weiter nichts sagt). Das TMG regelt dieses Internet-Dingens-Zeugs, also z.B. auf einer Webseite im Impressum zu stehen hat oder was wann und wie in eine Datenschutzerklärung einer App muss oder wie eine datenschutzrechtliche Einwilligung im Internet denn mal auszusehen hat. Den „übrigen“ Datenkrams regelt dann nach wie vor das BDSG.

________________________________________________________________________________________________

Hierbei ist zu beachten, dass nicht nur über die Verwendung von Daten aufgeklärt werden muss, die über die App während/durch die Nutzung selbst erhoben, gespeichert, genutzt werden. Das findet sich auch noch in der einen oder anderen Datenschutzerklärung einer App.

Darüber hinaus muss aber auch über all die Daten, die bei der Installation der App vom Telefon „abgegriffen“ und anschließend verwendet werden, aufgeklärt werden. Dazu zählt z.B. die Geräte-ID oder der Zugriff und die Verwendung auf Fotodateien etc. pp. Das passiert in der Regel nie. Der User sieht- wenn überhaupt – nur beim Installieren der App übersichtsartig, worauf Zugriff genommen wird. Teilweise sind die Daten-Zugriffe natürlich für den Betrieb der App zwingend notwendig. Teilweise aber auch überhaupt nicht. Doch da diese Daten eventuelle wirtschaftlich attraktiv sind, werden sie trotzdem erhoben und verwendet. Dafür bräuchte es dann eigentlich eine ausdrückliche Einwilligung des Nutzers – aber die Abfrage derer lässt sich wiederum zumeist vergeblich suchen. Daten als (Schatten-)Wirtschaftsgut.

c. Wo muss sie hin? Die Datenschutzerklärung und die Einwilligung?

Ganz grundsätzlich sollte die Datenschutzerklärung leicht erreichbar in der App aufzufinden sein, so dass der User jederzeit darauf Zugriff nehmen kann.

Da aber der Nutzer, wie ausgeführt, vor Beginn des Nutzungsvorgangs über die Datenverwendungen aufgeklärt werden muss, genügt eben das Vorhalten in der App dann nicht, wenn die App schon bei der Installation auf Daten zugreift und diese speichert sowie übermittelt. Die Datenschutzerklärung muss in diesem Fall (und sollte sonst auch) vielmehr im App-Store selbst schon über einen Link abrufbar sein, so dass sich der Nutzer eben vor Beginn des Nutzungsvorgangs informieren kann.

Wenn für die Datenverwendungen Einwilligungen notwendig sind, dann muss diese Einwilligung auch vor Beginn des Nutzungsvorgangs erfolgen. Ist dies nicht möglich, weil z.B. der Store die Möglichkeit nicht bietet, dann ist diese Einwilligung umgehend nach der Installation der App einzuholen.

d. weiter führende Informationen 

Wer dazu mehr wissen will (bzw. muss!), der sollte vielleicht mal bei den Datenschutzbehörden selbst vorbeisurfen: Der Hessische Datenschutzbeauftragte hat hier eine kurze datenschutzrechtliche Handreichung für die App-Entwickler von Android Apps ausgearbeitet. Und wer es gerne gleich länger und intensiver hätte, der kann sich auf  32 Seite die Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter des Düsseldorfer Kreises zu Gemüte führen.

Wir haben übrigen ein paar datenschutzrechtliche Probleme und deren mögliche Lösungen bereits in anderen Artikeln anhand der Jobbörsen-App Truffls und anhand von Flirt-Apps à la Tinder einmal aufgezeigt

7.   Nutzungsbedingungen / Vertragsbeziehungen mit dem Nutzer/Kunden

Uff. So viel, was es zu beachten gilt. Aber wir sind immer noch nicht am Ende. Grundsätzlich ist nämlich auch an die Vertragsbeziehungen zwischen dem App-Bertreiber und dem Nutzer zu denken. Das gilt insbesondere dann, wenn über die App urheberrechtlich geschützte Inhalte hochgeladen werden sollen, Nutzer untereinander kommunizieren sollen usw. und sofort. Hier müssen dann Nutzungsrechte an den Inhalten eingeräumt werden, Regeln für die sonstige Nutzung erstellt und vor allem klar gemacht werden, was passiert, wenn ein Nutzer gegen diese Regelungen verstößt (Regress- und Freistellungsansprüche).

Und klar, wenn die App oder eine Upgrade-Version mit bestimmte Funktionen kostenpflichtig ist, dann muss noch an einiges mehr gedacht werden. Grundlegend müssen Leistung und Gegenleistung definiert werden. Im Falle von Abonnements sind etwa Laufzeiten und Kündigungsmöglichkeiten zu definieren und ein Gedanke an etwaige Haftungsbeschränkungen ist sicherlich auch nicht verkehrt. An was alles genau gedacht werden muss, das hängt schlichtweg vom Einzelfall und den Funktionen der App ab.

Last but not least, beim Verkauf von Apps ist auch über das Widerrufsrecht nachzudenken. Denn eine App ist nun mal nichts anderes als Software. Und beim Kauf von Software hat der Nutzer (Verbraucher) nun mal grundsätzlich ein Widerrufsrecht zu erhalten. (Hier entlang zu der Problematik „Das neue Widerrufsrecht beim Verkauf von Software zum Download„).

Schlimmer geht es bekanntlich ja immer, bzw. komplizierter. Und zwar dann, wenn auch noch In-App-Käufe dem Nutzer das Leben leichter machen sollen. In-App-Käufe finden sich nicht selten in Spielen. Und diese werden gerne von Kindern gespielt. Lange Rede kurzer Sinn: Hier muss ganz besonders auf ein wirksames Zustandekommen des Vertrages zwischen Nutzer und App-Betreiber gedrungen werden.  Des Weiteren muss die Funktion der In-App-Käufe im Einklang mit einer sicheren Bezahlmethode und den Sicherheitsbestimmungen des jeweiligen Store-Betreibers stehen.

Die Nutzungsbedingungen sind jeweils nichts anderes als Allgemeine Geschäftsbedingungen (AGB) und müssen dem zur Folge geltenden Recht entsprechen und der AGB-Kontrolle nach den §§ 307 ff BGB standhalten können.

8. Vertragsbeziehungen zwischen App-Betreibern und App-Vermarktern (wie wird das rechtskonform im Shop implementiert)

Wer eine App auf bzw. in den Markt bringen will, der kommt an den App-Stores von Apple, Google, Nokia, RIM oder Amazon kaum vorbei. Damit muss sich der App-Betreiber im Ergebnis den Nutzungsbedingungen eben dieser Stores unterwerfen. Hier herrscht ein hartes Regime. Und es würde den Umfang des Artikels sprengen, alle einzelnen Voraussetzungen hier aufzuführen. Fakt ist aber, dass die Apps durch die Stores geprüft werden. Und matcht die App nicht die von den Stores vorgegebenen Voraussetzungen, dann wird es auch nichts mit dem Vertrieb über den Store.

Dewegen gilt auch hier: Informieren sie sich gründlich, welche technischen wie rechtlichen Voraussetzungen Sie bzw. ihre App erfüllen muss, um in den Store genommen zu werden.

9. Fazit

Wenn Sie bis hier gekommen sind, denken Sie wahrscheinlich: Okay, nee, ich vergess das hier mal wieder. Das ist zu kompliziert. Verständlich.

Aber so sehr der einzuhaltende rechtliche Rahmen bei der Entwicklung einer App für einen kreativen Kopf eines Unternehmens auch hinderlich sein mag – denn man möchte ja sofort loslegen und die App möglichst auf der Stelle im Store sehen – so sehr lohnt es sich doch, diesem Thema genügende Beachtung zu schenken, und zwar von Beginn an.

Oder wollen Sie viel Geld für die technische Entwicklung einer App ausgegeben haben, um dann wahlweise

  • nach der Markteinführung zu merken, dass Sie diese Bezeichnung niemals hätten verwenden dürfen,
  • mit den Entwicklern über Kreuz zu liegen, eine unfertige App, aber dafür einen Rechtsstreit am Laufen zu haben,
  • eine Abmahnung der Konkurrenz oder ein entsprechendes Schreiben der Datenschutzbehörden mit anschließendem Bußgeldbescheid wegen Datenschutzverstößen im Briefkasten zu haben (oder jedenfalls „freundliche“ Berichterstattung) und/oder
  • am Ende des Tages nicht an das Geld ihrer Endkunden zu gelangen, weil sie die Verträge mit eben diesen für Selbstgänger gehalten haben?

Ja, ja, ich weiß, das sind hier jetzt worst case Szenarien. Aber zum einen ist der Job des Anwalts nun mal das worst case szenario aufzuzeigen. Zum anderen lässt sich das alles drehen und wenden, wie man will:

App-Entwicklung und Vermarktung ist ein Business. Jedes Business hat Regeln. Man kann sich entscheiden ohne oder gegen die Regeln zu spielen. Klar. Aber dann sollte man zumindest das Risiko kennen, um sich bewusst dagegen entscheiden zu können. Oder vielleicht eben doch dafür.

In diesem Sinne,

weiterhin viel Spaß beim der App-Entwicklung!

Das könnte Sie in diesem Zusammenhang auch noch interessieren:

Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Google Play verlangt Datenschutzerklärung für Apps

Das Setzen von Links als Urheberrechtsverletzung (LG Hamburg, Az. 310 O 402/16)

Vertragsgestaltung in der Medien- und IT-Branche – Teil 2

Vertragsgestaltung in der Medien- und IT-Branche – Teil 1

Steht die Kennzeichnung „Sponsored“ im Netz vor dem Aus? (LG München, Az. 4 HK O 21172/14)

Agenturvertrag: Wenn die Agentur die Bilder für den Internetauftritt liefert

Von der Idee über die Entwicklung bis zur Vermarktung einer App – Teil 1

Die Flatrate im Agenturvertrag (LG Köln, Az. 12 O 186/13)

Von den rechtlichen Fallstricken bei der Auswahl der eigenen Domain

Social Media im Unternehmen – Von Aufbewahrungspflichten und Persönlichkeitsrechten

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Informationen zur Datenverarbeitung

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.