Betreiber von Websites und Apps müssen Nutzer detailliert über die Verarbeitung von personenbezogenen Daten informieren. Die Datenschutzgrundverordnung schreibt weitgehende Informationspflichten vor, die sich bei Apps und Websites in einigen Punkten unterscheiden.
Nur wer weiß, wer der Verantwortliche ist und wie die personenbezogenen Daten verarbeitet werden, die bei der Nutzung von Online-Angeboten erhoben und verarbeitet werden, kann eine informierte Entscheidung treffen und so über seine Rechte als Betroffener entscheiden. Diese Informationspflichten sind ein entscheidender Grundstein des Datenschutzes.
Zu den grundsätzlichen Informationspflichten zählen folgende Punkte:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Zweck und Rechtsgrundlage der Datenverarbeitung
- Vorliegen eines berechtigten Interesses (nach Art. 6 Abs. 1 DSGVO)
- Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten
- Datenübermittlung in ein Drittland bzw. an eine internationale Organisation (Angemessenheitsbeschlüsse oder sonstige Schutzgarantien)
- Speicherdauer der Daten
- Sicherstellung der Betroffenenrechte (nach Art. 12 – 23 DSGVO)
- Vorliegen einer Bereitstellungspflicht
- Einsatz von automatisierter Entscheidungsfindung/Profiling
- Kategorien der personenbezogenen Daten (bei Datenerhebung über einen Dritten)
- Quellen, aus der die Daten stammen (bei Datenerhebung über einen Dritten)
Diese Informationenpflichten gelten für Websites
Die Grundlage für die Informationspflicht auf Websites liefert die Datenschutzerklärung. Nach Art. 12 ff. DSGVO sind die notwendigen Informationen bei der Erhebung von personenbezogenen Daten bereitzustellen. Dies geschieht bereits beim Aufruf einer Website mittel sog. „Logfiles“ (Protokolldateien). Weitere Daten werden bei vielen Websites über sog. „Tracker“ (Nachverfolgungssensoren) gesammelt. Diese Verarbeitungsvorgänge müssen in der Datenschutzerklärung explizit beschrieben werden, damit Website-Besucher die Gelegenheit haben, sich über alle Verarbeitungsvorgänge zu informieren. Die Datenschutzerklärung muss zunächst ohne Tracking erreichbar sein. Denn erst nachdem sich die Nutzer über die Verarbeitungen informiert haben, ist eine informierte Einwilligung möglich.
Die Beschreibung der Verarbeitungsvorgänge sind insbes. für folgende Punkte erforderlich:
- Hosting der Website und Logfiles
- Newsletter-Versand
- Kontaktaufnahme (z.B. per Kontaktformular oder E-Mail)
- Registrierung eines Nutzerkontos
- Bewerbungen
- Nutzung von Cookies
- Nutzung von Social-Media-Plugins
Bei der Beschreibung der Verarbeitungsvorgänge sind folgende Punkte wesentlich:
- Name des Anbieters, Art, Umfang und Zweck der Datenverarbeitung (wer verarbeitet welche Daten für welchen Zweck verarbeitet?)
- Rechtsgrundlage der Datenverarbeitung (nach Art. 6 DSGVO, ggf. mit Angabe des berechtigten Interesses)
- Dauer der Datenspeicherung
- Bei Übermittlung von Daten in Drittländer (außerhalb der EU/EWR) die Angabe des Landes und das Vorliegen einer Rechtsgrundlage (nach Art. 44 ff. DSGVO)
- Widerspruchs- und Widerrufsmöglichkeiten der Datennutzung
Diese Informationenpflichten gelten für Apps
Die für Websites geltenden Informationspflichten gelten grundsätzlich auch für Apps. Eine Verlinkung auf die Datenschutzerklärung auf der korrespondierenden Website ist jedoch nicht ausreichend. Da Apps auf bestimmte Smartphone-Funktionen zugreifen können (z.B. Kamera, Kontakte oder Standort), sind einige Besonderheiten zu beachten. Es müssen nicht nur die Verarbeitungsvorgänge dargestellt werden, die bei der App-Nutzung erfolgen, sondern auch die Verarbeitungen, welche unmittelbar beim Download erfolgen.
Zeitpunkt der Bereitstellung
Die Datenschutzerklärung muss bereits bei der Erhebung der Daten zur Verfügung stehen. Da in den meisten Fällen schon beim Download personenbezogene Daten verarbeitet werden, muss auch zu diesem Zeitpunkt der Zugriff auf die Datenschutzerklärung der App möglich sein. Dies ist mittlerweile von den meisten App-Stores in den Entwicklerrichtlinien auch entsprechend vorgegeben.
Erreichbarkeit der Datenschutzerklärung
Die Datenschutzerklärung sollte sich an einer zu erwartenden Position befinden, keine unnötigen Hürden enthalten und auch auf kleinen Displays gut lesbar sein. Dasselbe gilt für datenschutzrechtliche Konfigurationsmöglichkeiten. Die Datenschutzerklärung sollte über einen separaten Menüpunkt „Datenschutz“ erreichbar sein sowie dort, wo sie zum Download angeboten wird (z.B. Website oder App-Store).
App-spezifische Angaben
Da Apps auf verschiedene Smartphone-Funktionen Zugriff haben, ist konkret darzustellen, welche Zugriffsrechte bestehen und zu welchem Zweck diese genutzt werden. Zudem ist auf die Verarbeitung von sog. „Identifiern“ (Nutzerkennungen) einzugehen. Hierbei ist zwischen dynamischen Identifiern (z.B. von Werbenetzwerken) und statischen Identifiern (z.B. MAC-Adresse, SIM-Kartennummer) zu unterscheiden. Die Verarbeitung von statischen Identifiern sollte nur stattfinden, wenn dies konkret erforderlich ist und in der Datenschutzerklärung transparent dargestellt wird.
14.10.2021
Photo by Philip Strong on Unsplash