Agenturrecht / Datenschutz / EDV-Recht / Hessen / Informationstechnologierecht / Internetrecht / Telekommunikationsrecht / Verbraucherschutz /
Artikelnummer: 14101126
Trennlinien
AUFGABE FÜR APP-ANBIETER: TRANSPARENZ FÜR ANDROID APP-NUTZER HERSTELLEN!
In den vergangenen Monaten erreichten den Hessischen Datenschutzbeauftragten (HDSB) zahlreiche Beschwerden bzgl. der Funktionsweise von bestimmten Apps unter dem Betriebssystem Android. Die Beschwerdeführer erklärten, bestimmte Apps würden auf den Standort, den Kalender und die Kontaktdaten des Gerätes zugreifen. Sie hatten den Verdacht, dass ihre persönlichen Daten verdeckt ausspioniert werden.
Wenn bei den Benutzern Zweifel am rechtmäßigen Umgang mit personenbezogener Daten einer App entstehen, kann es der Reputation der App, der damit verbunden Dienstleistungen und nicht zuletzt der Reputation des verantwortlichen Unternehmens massiv schaden. Dies ist in der Regel mit wirtschaftlichen Nachteilen verbunden. Im internationalen Vergleich sind datenschutzfreundliche Apps aus Deutschland ganz klar ein Wettbewerbvorteil, da insbesondere außerhalb der Europäischen Union oft kein ausreichendes Schutzniveau herrscht. Es war deshalb zu klären, ob diese Apps unzulässig personenbezogene Daten nutzen oder die Bedeutung und Funktionsweise von systeminternen Berechtigungen – die eine App unter Android-OS benötigt – von den Betroffenen missverstanden wird. Persönliche Daten auf Smartphones und Tablet-Computern Smartphones und Tablet-PCs sind leistungsfähige Computer, deren Daten für Angreifer und die Wirtschaft zum Teil viel interessanter sind, als Daten klassischer Personal-Computer, weil sie noch mehr personenbezogene Daten von ihren Besitzern, deren Freunden und anderen Personen preisgeben können. Zum Beispiel: - Kontakte (Namen, Telefonnummern, E-Mail-Adressen, Anschriften, Geburtsdaten uä.) - Geräteinformationen (Rufnummer, eindeutige Geräte-ID) - Fotos, Musik, Videos, Dokumente uä. - Nachrichteninhalte von SMS, E-Mails uä. - Aufenthaltsorte - Kalender/Termine - Telefonate (vergleichbar mit einem Einzelverbindungsnachweis) - Informationen zum Surfverhalten (Anmeldedaten, Passwörter, Chroniken, Lesezeichen uä) Diese Daten lassen sich für wirtschaftliche Zwecke sehr gut nutzen. Deshalb versuchen Gerätehersteller, Provider und vor allem App-Anbieter diese Daten zu erhalten. „Heimtückische“ Apps übertragen diese sogar einfach ungefragt, unverschlüsselt und nicht anonym auf die Server der App Betreiber. Datenschutzgerechte Apps nutzen nur die Daten, die zum Betrieb der App erforderlich sind und nur nach Rückfrage mit dem Betroffenen. Android App-Berechtigungen Damit Apps nicht eigenmächtig auf alle Daten zugreifen können, existieren unter Android-OS systeminterne Berechtigungen. Dadurch soll der Benutzer erkennen können, welche persönlichen Daten eine App verarbeiten will. Die benötigten Berechtigungen werden im Idealfall vor der Installation zur Zustimmung oder Ablehnung angezeigt. Stimmt der Benutzer den Berechtigungen nicht zu, lässt sich die App nicht installieren. Teilweise verlangen Apps nach Berechtigungen, die sie zur Funktionserfüllung nicht benötigen. In solchen Fällen ist Vorsicht geboten. Es besteht die Gefahr, dass die eigenen Daten unberechtigt als Ware gehandelt werden. Typischerweise erscheinen für Apps des Öfteren Updates. Gründe dafür sind Fehlerbeseitigungen, Sicherheitsupdates und Weiterentwicklung der Funktionalität. Updates werden i.d.R. über den Google Play Store installiert. Benötigt die neue Version der App Berechtigungen, die ihr Vorgänger noch nicht benötigt hat, muss der Nutzer diesen und den bisher benötigten Berechtigungen noch einmal explizit zustimmen. Diese Problematik zeigt deutlich die Wichtigkeit der Transparenz als eines der "neuen Datenschutzziele". Deshalb sollten Anbieter in der Beschreibung der App im Google Play Store detailliert und vollständig folgende Angaben machen oder darauf verlinken: - Welche Berechtigungen werden für welche Softwarefunktionalität gebraucht? - Wie werden die dadurch gewonnen Daten verarbeitet? Dabei sollten keine standardmäßigen Berechtigungsbeschreibungen - wie man Sie aus dem Google Play Store kennt - verwendet werden, da sie in ihrer Abstraktheit nicht konkret zur Softwarefunktionalität der App passen. Diese Beschreibung sollte immer auf dem aktuell zu Installation angebotenen Versionsstand basieren. Durch veraltete Beschreibungen entstehen andernfalls Missverständnisse. Zusätzlich sollten diese Angaben auch Teil der Datenschutzerklärung der App sein, die ebenfalls im Google Play Store verlinkt sein muss. Dann können die App-Nutzer erkennen, dass ihre persönlichen Daten nicht verdeckt ausspioniert werden.

Quelle: Der Hessische Datenschutzbeauftragte - PM vom 05.06.2014 von 05.06.2014
http://www.datenschutz.hessen.de/ Externer Link
ArtikelübersichtFacebookNach oben