Carlo Piltz, Jurist
Carlo Piltz, Jurist © Foto:Reuschlaw

Daten-Sparsamkeit | | von Annette Mattgey

Warum die Neugier der Zahnputz-Apps bedenklich ist

Die Zahnputz-App von Oral-B geriet kürzlich ins Visier der Stiftung Warentest. Die Verbraucherorganisation hatte verschiedene Zahnbürsten hinsichtlich ihres Datensendeverhaltens unter die Lupe genommen. Dabei kam heraus, dass gerade die Android-Version der Zahnputz-App von Oral-B mehr Daten als für die Verwendung notwendig erhebt und in Umlauf bringt. LEAD digital fragte den Datenschutz-Experten Carlo Piltz,

Was versprechen sich Firmen von dieser exzessiven Datensammelei?

Ob das Sendeverhalten der Oral-B-App als "exzessiv" bezeichnet werden kann, dürfte durchaus diskutabel sein. Stiftung Warentest bemängelt in ihrem Bericht, dass - zumindest in der Android-Version - auch Daten an Unternehmen wie Google gesendet werden. Datenschutzrechtlich muss man zunächst unterscheiden: welche Daten sind für den Betrieb der App und die Nutzung ihrer Funktionen erforderlich? Diese Daten dürfen in jedem Fall verarbeitet werden. Sonst könnte Oral-B sein Produkt ja gar nicht betreiben.

Daneben stellt sich die Frage, ob zusätzlich Daten erhoben und weitergegeben werden, die eventuell gar nicht für den Betrieb der App erforderlich sind. Auch wenn die Datenweitergabe für die Nutzung der Funktionen der App an sich nicht erforderlich ist, heißt dies jedoch noch nicht, dass diese Datenverarbeitung unzulässig wäre. So könnte sich Oral-B eine Einwilligung der Nutzer einholen oder auch auf Basis einer Interessenabwägung diese Datenweitergabe vornehmen. Stiftung Warentest nimmt hier leider eine undifferenzierte "Schwarz-weiß"-Betrachtung vor, die im Datenschutzrecht selten zielführend ist. 

Die App arbeitet ja mit einer Kamera, um so zu überprüfen, in welchen Bereichen im Mund geputzt wird. Ist dies aus datenschutzrechtlicher Sicht kritisch?

Würde die Kamera ohne Wissen der Nutzer aktiviert, wäre dies sicherlich kritisch zu sehen. In der Oral-B App muss der Nutzer jedoch aktiv die Kamera einrichten, also deren Aktivierung und Nutzung für die App freigeben. Ohne die genauen Details der App selbst zu kennen, könnte auch in diesem Fall vorher eine Einwilligung der Nutzer eingeholt worden sein, oder man vertritt, meines Erachtens gut begründbar, die Ansicht, dass der Zugriff auf die Kamera und die beim Einsatz stattfindende Datenverarbeitung erforderlich ist, um die entsprechende Funktion der App überhaupt zu nutzen. Dann kann die Datenverarbeitung auch ohne Einwilligung zulässig sein.

In jedem Fall ist es jedoch erforderlich, dass die Nutzer der App im Rahmen von Datenschutzinformationen oder –hinweisen über den Datenumgang und die damit verfolgten Zwecke informiert werden.

Wie bewerten Sie die Tatsache, dass bei der iOS-Version der App der Datenstrom nicht einsehbar war?

Stiftung Warentest stellt diese Tatsache in dem Bericht leider eher negativ dar. Ich bin jedoch der Auffassung, dass dieser besondere Schutz der Datenübermittlung positiv zu bewerten ist. Denn durch die entsprechende technische Maßnahme (etwa eine Verschlüsselung) verfolgt der Hersteller das den Verbraucher schützende Ziel, die sogenannte Weitergabekontrolle zu sichern. Dies bedeutet, personenbezogene Daten sollen bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Aus Sicht der Nutzer ist diese Tatsache meiner Auffassung nach also durchaus positiv zu bewerten

Die Android-Version der App sendet für den Betrieb nicht notwendige Daten wie bspw. die Handy-ID-Nummer an den Hersteller Oral-B und die Google-Firmen Crashlytics und Google Analytics. Wie sehen Sie das?

Aus datenschutzrechtlicher Sicht muss, wie bereits oben beschrieben, genau geprüft werden, ob die Verarbeitung der Android-ID tatsächlich nicht erforderlich ist, um die App betreiben und die Funktionen der App nutzen zu können. Zudem muss bei diesen Arten von Daten immer auch die Frage gestellt werden, ob es sich um "personenbezogene Daten" handelt. Denn nur in diesem Fall sind die Vorgaben des Datenschutzrechts anwendbar. Geht man jedoch, wie derzeit in der Praxis und nach einem entsprechenden Urteil des Europäischen Gerichtshofs zu dynamischen IP-Adressen, von einem weiten Verständnis des Begriffs "personenbezogene Daten" aus, dann wird man die Android-ID als ein solches Datum ansehen können.

Die Datenweitergabe an Dritte (wie etwa Google) wäre dann rechtfertigungsbedürftig. In Betracht käme auch hier eine Einwilligung der Nutzer oder eine gesetzliche Erlaubnis für den Anbieter, nämlich wenn die Weitergabe unbedingt erforderlich ist, damit der Anbieter des Dienstes, der vom Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Man könnte also überlegen, ob etwa die Weitergabe an Crashlytics für die Zurverfügungstellung der App erforderlich ist, insbesondere um die App fehlerfrei und ohne Abstürze anbieten zu können. Bei Google Analytics müsste, nach derzeit noch geltender Rechtslage in Deutschland, im Fall der Erstellung von Nutzerprofilen unter einem Pseudonym (also ohne die Android-ID) durch den Anbieter eine Widerspruchsmöglichkeit für Nutzer in der App implementiert werden. In beiden Fällen müssen die Nutzer auch über die Datenverarbeitung in einer Datenschutzerklärung unterrichtet werden.

Ist die Verwendung einer Werbe-ID eine datenschutzfreundlichere Alternative zur Android-ID?

Die Werbe-ID hat im Gegensatz zur Android-ID den Vorteil, dass Nutzer diese selbständig zurücksetzen und die Verknüpfung mit dem Nutzerkonto zumindest temporär aufheben können. Zudem können Nutzer den jeweiligen App-Betreiber durch Einstellungen darauf hinweisen, dass sie keine interessenbezogene Werbung erhalten möchten. Aus Datenschutzsicht ist es für Nutzer also einfacher, einen Widerspruch auszuüben und eine Verknüpfung mit einem Google-Konto aufzulösen.

Wenn es um Kunden-Daten geht, auf was sollten sich Unternehmen da konzentrieren?

Kundendaten unterliegen, soweit ein Personenbezug vorliegt, den Anforderungen des Datenschutzrechts. Derzeit ist das in Deutschland noch das Bundesdatenschutzgesetz (BDSG) und für die hier behandelte Thematik das Telemediengesetz (TMG). Ab dem 25.5.2018 gilt in ganz Europa ein neues, einheitliches und unmittelbar anwendbares Datenschutzrecht, die EU Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält einige Neuerungen, wie z. B. das Recht auf Datenportabilität oder auch einen erhöhten Bußgeldrahmen für Datenschutzverstöße, viele derzeit bekannte Grundprinzipien bleiben jedoch erhalten.

Unternehmen müssen sich insbesondere fragen, auf welcher Rechtsgrundlage sie mit Kundendaten umgehen dürfen. Existiert ein Vertrag, liegt eine wirksame Einwilligung vor oder kann die Verarbeitung auf eine zu Gunsten des Unternehmens ausgehende Interessenabwägung gestützt werden? Zudem muss die Transparenz der Datenverarbeitung gewährt sein. Dies bedeutet, für Verbraucher verständliche und korrekte Informationen zum Datenumgang bereitzustellen. Auch sollte das Prinzip der Datenminimierung und der Zweckbindung der Verarbeitung beachtet werden. Es sollten also nur jene personenbezogenen Daten verarbeitet werden, die für die Erreichung eines festgelegten Zwecks erforderlich sind. Das anlasslose Anhäufen von Daten lässt sich kaum mit dem Datenschutzrecht vereinbaren. Neben diesen Vorgaben, bei denen es um die Zulässigkeit der Datenverarbeitung geht, müssen sich Unternehmen auch um die Datensicherheit Gedanken machen. Soweit es technisch möglich und wirtschaftlich zumutbar ist, müssen sie bei dem Betrieb von Webseiten oder auch Apps durch technische und organisatorische Vorkehrungen sicherstellen, dass kein unerlaubter Zugriff auf die genutzten technischen Einrichtungen möglich ist und die Einrichtungen, also vor allem das Backend (die Server), gegen Störungen, auch durch äußere Angriffe, gesichert sind.

Carlo Piltz hat in Göttingen Rechtswissenschaften studiert. Er berät im Berliner Büro der Wirtschaftssozietät Reuschlaw Legal Consultants große und mittlere Unternehmen aus Industrie und Handel schwerpunktmäßig im nationalen und internationalen Datenschutzrecht und im IT-Recht. Im März 2017 war er Sachverständiger zur Anhörung des neuen Bundesdatenschutzgesetzes im Innenausschuss des Bundestages. Darüber hinaus ist der langjährige Datenexperte in der Fortbildung von Rechtsanwälten im Bereich Datenschutzrecht tätig.

Warum die Neugier der Zahnputz-Apps bedenklich ist

Artikel bewerten

Vielen Dank, Ihre Bewertung wurde registriert!

Sie können leider nur einmal pro Seite bewerten.

Ihre Bewertung wurde geändert, vielen Dank!