Die Datenschutz-Grundverordnung (DSGVO) hat die Art und Weise, wie Unternehmen mit personenbezogenen Daten umgehen, grundlegend verändert. Insbesondere für App-Entwickler wirft die DSGVO viele Fragen auf, vor allem im Hinblick auf die Datenschutzerklärung. Eine der häufigsten Unsicherheiten betrifft die detaillierte Auflistung von App-Berechtigungen. Müssen wirklich *alle* Berechtigungen, die eine App anfordert, in der Datenschutzerklärung explizit genannt werden? Die Antwort ist, wie so oft im Datenschutzrecht, nicht ganz einfach und erfordert ein differenziertes Vorgehen.
Was die DSGVO über Transparenz sagt
Die DSGVO legt großen Wert auf Transparenz. Artikel 12 bis 14 der DSGVO schreiben vor, dass betroffene Personen (also die Nutzer) in präziser, transparenter, verständlicher und leicht zugänglicher Form über die Verarbeitung ihrer personenbezogenen Daten informiert werden müssen. Das bedeutet konkret, dass Unternehmen klar und verständlich darlegen müssen, welche Daten sie erheben, zu welchem Zweck sie diese Daten verarbeiten und wie lange sie diese speichern. Auch die Rechte der Nutzer (Auskunft, Berichtigung, Löschung usw.) müssen klar kommuniziert werden.
Nun stellt sich die Frage: Gehören die App-Berechtigungen, die eine App anfordert, zwingend zu den „personenbezogenen Daten” im Sinne der DSGVO? Nicht jede Berechtigung impliziert automatisch die Verarbeitung personenbezogener Daten. Die Berechtigung, auf den Speicher zuzugreifen, kann beispielsweise dazu dienen, App-spezifische Daten zu speichern, die nicht unbedingt personenbezogen sind. Anders sieht es aus, wenn die Berechtigung verwendet wird, um Fotos mit Gesichtern zu speichern oder Kontaktdaten auszulesen.
Der Unterschied zwischen Berechtigung und Datenverarbeitung
Es ist entscheidend, zwischen der *Berechtigung* an sich und der *tatsächlichen Datenverarbeitung* zu unterscheiden. Eine App, die die Berechtigung für den Zugriff auf den Standort anfordert, *kann* den Standort des Nutzers erfassen. Das bedeutet aber nicht, dass sie es auch tatsächlich tut oder dass der Standort mit anderen personenbezogenen Daten verknüpft wird. Die Datenschutzerklärung muss sich auf die *tatsächliche* Datenverarbeitung konzentrieren und nicht nur auf die potenziellen Möglichkeiten, die die Berechtigungen bieten.
Dennoch ist es ratsam, die von der App angeforderten Berechtigungen in irgendeiner Form zu erwähnen. Dies schafft Vertrauen und zeigt, dass das Unternehmen sich der Privatsphäre der Nutzer bewusst ist. Allerdings muss dies nicht in Form einer erschöpfenden Liste erfolgen. Es ist sinnvoller, die Berechtigungen im Kontext der jeweiligen Datenverarbeitung zu erklären.
Wie Sie die DSGVO-Falle vermeiden
Hier sind einige Tipps, wie Sie die DSGVO-Falle bei der Auflistung von App-Berechtigungen in Ihrer Datenschutzerklärung vermeiden können:
- Führen Sie eine Datenverarbeitungsinventur durch: Der erste Schritt ist eine gründliche Analyse der App. Welche Daten werden tatsächlich erhoben und verarbeitet? Zu welchem Zweck werden diese Daten verwendet? Werden die Daten an Dritte weitergegeben? Dokumentieren Sie alle Datenverarbeitungsprozesse detailliert.
- Konzentrieren Sie sich auf die tatsächliche Datenverarbeitung: Beschreiben Sie in Ihrer Datenschutzerklärung *nicht* nur, welche Berechtigungen Ihre App anfordert, sondern *wie* diese Berechtigungen tatsächlich zur Verarbeitung personenbezogener Daten verwendet werden.
- Erklären Sie den Zweck der Datenverarbeitung: Für jeden Datenverarbeitungsprozess müssen Sie den Zweck klar und verständlich erläutern. Warum benötigen Sie die Daten? Was passiert mit den Daten, nachdem sie erhoben wurden?
- Seien Sie transparent über die Weitergabe von Daten: Wenn Sie Daten an Dritte weitergeben (z.B. an Analyse-Tools oder Werbenetzwerke), müssen Sie dies in Ihrer Datenschutzerklärung offenlegen. Nennen Sie die Namen der Dritten und erklären Sie, wie diese die Daten verwenden.
- Listen Sie relevante Berechtigungen im Kontext auf: Anstatt eine lange Liste aller Berechtigungen zu erstellen, können Sie die relevanten Berechtigungen im Kontext der jeweiligen Datenverarbeitung erwähnen. Zum Beispiel: „Um Ihnen personalisierte Empfehlungen zu geben, greifen wir mit Ihrer Zustimmung auf Ihren Standort zu.”
- Nutzen Sie eine mehrschichtige Datenschutzerklärung: Eine lange, unübersichtliche Datenschutzerklärung schreckt Nutzer ab. Verwenden Sie stattdessen eine mehrschichtige Datenschutzerklärung. Die erste Schicht enthält die wichtigsten Informationen in leicht verständlicher Sprache. Die zweite Schicht bietet detailliertere Informationen für interessierte Nutzer.
- Halten Sie Ihre Datenschutzerklärung aktuell: Die Datenverarbeitungsprozesse in Ihrer App können sich im Laufe der Zeit ändern. Überprüfen und aktualisieren Sie Ihre Datenschutzerklärung regelmäßig, um sicherzustellen, dass sie korrekt und vollständig ist.
- Bitten Sie um eine Einwilligung: Für die Verarbeitung bestimmter sensibler Daten (z.B. Gesundheitsdaten, Standortdaten) ist eine explizite Einwilligung der Nutzer erforderlich. Holen Sie diese Einwilligung ein, bevor Sie mit der Datenverarbeitung beginnen.
- Nutzen Sie Datenschutz-Tools: Es gibt verschiedene Tools und Frameworks, die Ihnen bei der Erstellung und Verwaltung Ihrer Datenschutzerklärung helfen können.
- Holen Sie sich rechtlichen Rat: Wenn Sie sich unsicher sind, wie Sie die DSGVO-Anforderungen in Bezug auf App-Berechtigungen erfüllen können, sollten Sie sich von einem Anwalt oder Datenschutzexperten beraten lassen.
Beispiele für die Formulierung in der Datenschutzerklärung
Hier sind einige Beispiele, wie Sie die Verwendung von App-Berechtigungen in Ihrer Datenschutzerklärung beschreiben können:
- Standort: „Um Ihnen standortbezogene Dienste anbieten zu können (z.B. die Suche nach Restaurants in Ihrer Nähe), greifen wir mit Ihrer Zustimmung auf Ihren Standort zu. Ihre Standortdaten werden nicht an Dritte weitergegeben.”
- Kontakte: „Wenn Sie unsere App mit Ihren Kontakten synchronisieren, können Sie leichter Freunde finden und einladen. Ihre Kontakte werden auf unseren Servern gespeichert und verschlüsselt übertragen. Wir verwenden Ihre Kontakte ausschließlich für die Synchronisierung und teilen sie nicht mit Dritten.”
- Kamera: „Um Fotos und Videos aufzunehmen, benötigt unsere App Zugriff auf Ihre Kamera. Die aufgenommenen Fotos und Videos werden auf Ihrem Gerät gespeichert und können optional in der Cloud gesichert werden.”
- Mikrofon: „Um Sprachnachrichten aufzunehmen, benötigt unsere App Zugriff auf Ihr Mikrofon. Die aufgenommenen Sprachnachrichten werden auf Ihren Servern gespeichert und verschlüsselt übertragen.”
Fazit: Transparenz ist der Schlüssel
Die DSGVO verpflichtet App-Entwickler zu Transparenz bei der Verarbeitung personenbezogener Daten. Die detaillierte Auflistung *aller* App-Berechtigungen in der Datenschutzerklärung ist zwar nicht zwingend erforderlich, aber es ist ratsam, die relevanten Berechtigungen im Kontext der jeweiligen Datenverarbeitung zu erwähnen. Konzentrieren Sie sich darauf, *wie* die Berechtigungen tatsächlich zur Verarbeitung personenbezogener Daten verwendet werden und erläutern Sie den Zweck der Datenverarbeitung klar und verständlich. Durch eine transparente und verständliche Datenschutzerklärung schaffen Sie Vertrauen bei Ihren Nutzern und vermeiden teure Bußgelder.
Die Einhaltung der DSGVO ist ein fortlaufender Prozess. Bleiben Sie auf dem Laufenden über die neuesten Entwicklungen im Datenschutzrecht und passen Sie Ihre Datenschutzerklärung und Ihre Datenverarbeitungsprozesse entsprechend an.