Datenschutz
App-Anbieter müssen Standortdaten „verwaschen“
Von Andreas Dölker
Der Düsseldorfer Kreis ist ein Gremium der Konferenz der Datenschutzbeauftragten des Bundes und der Länder und koordiniert damit die Entschließungen der unterschiedlichen Datenschutzbehörden. Dessen Empfehlungen werden von den einzelnen Landesdatenschutzbehörden aufgegriffen und sind dadurch entscheidend für alle App-Anbieter und App-Entwickler mit Sitz in Deutschland.
Nicht zu beachten sind diese Empfehlungen und deutsches Datenschutzrecht, wenn sich die App-Anbieter/Entwickler in einem anderen Land der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraumes (EWR) befinden. Aufpassen müssen jedoch Anbieter und Entwickler außerhalb Europas, für diese können die Empfehlungen beziehungsweise deutsches Datenschutzrecht Anwendung finden, wenn personenbezogene Daten in Deutschland mittels der App erhoben werden. Dies ist leicht der Fall, zum Beispiel durch die Eingabe von Registrierungsdaten in einer App, aber auch gegebenenfalls schlicht durch die Benutzung der App.
Zufallsgenerierte Nummer statt fester Gerätekennung
Letzteres hat damit zu tun, dass Geräte- und Kartenkennungen von Smartphones bereits als personenbezogene Daten angesehen werden. Beim Umgang mit Kennungen wie IMEI, UDID, IMSI oder MSISDN sind daher schon die Anforderungen des Bundesdatenschutzgesetzes sowie des Telemediengesetzes zu beachten. In der Praxis ist konkret zu prüfen, zu welchem Zweck die Kennziffern eingesetzt werden und ob die Verwendung gesetzeskonform ist. Insbesondere ist eine zufallsgenerierte eindeutige Nummer anstatt einer festen Gerätekennung empfehlenswert; dies hat den Vorteil, dass außerhalb der App oder bei Neuinstallation der App (oder des Gerätes) kein Bezug mehr zum Gerät vorhanden ist.
Weiterhin stellen Standortdaten oftmals personenbezogene Daten dar, die für die Erstellung von Bewegungsprofilen genutzt werden können, daher verweisen die Behörden darauf, dass die Verarbeitung von Nutzungsdaten für Werbezwecken nur mit einer gesetzlichen Erlaubnis oder der Einwilligung des Nutzers möglich ist. Schließlich ist darauf zu achten, dass die Standortdaten nicht exakt erfasst werden, sondern entsprechend „verwaschen“ werden (z. B. anstatt „München Bahnhofsplatz 1“ ist „München Stadtmitte“ zu empfehlen) und nur in einem Intervall abgefragt werden, das für die Benutzung der App tatsächlich erforderlich ist.
Opt-out ohne Medienbruch
Weiter zu Seite 2 von 2 | Alles zeigen |