Jungen App-Nutzern ist oft nicht bewusst, welche Risiken der unbedachte Umgang mit persönlichen Daten birgt. Sowohl das geltende Datenschutzrecht als auch die europäische Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 wirksam werden wird, sehen deshalb besonders strenge Anforderungen zum Schutz von Kindern und Jugendlichen vor. App-Anbieter, die diesen Anforderungen nicht genügen, riskieren nicht nur Bußgelder, sondern auch den Rauswurf aus den App-Stores und geschäftsschädigende Reputationsschäden.
App-Nutzer werden immer jünger. Dementsprechend gibt es immer mehr Apps, die sich speziell an Kinder und Jugendliche richten. Den jungen App-Nutzern ist aber oft nicht bewusst, welche Risiken der unbedachte Umgang mit persönlichen Daten birgt. Sowohl das geltende Datenschutzrecht als auch die europäische Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 wirksam werden wird, sehen deshalb besonders strenge Anforderungen zum Schutz von Kindern und Jugendlichen vor. App-Anbieter, die diesen Anforderungen nicht genügen, riskieren nicht nur Bußgelder, sondern auch den Rauswurf aus den App-Stores und geschäftsschädigende Reputationsschäden.
Aktuelle Rechtslage
Die zurzeit geltenden Gesetze machen keine ausdrücklichen Vorgaben zum Kinder- und Jugendschutz in Apps. Die Datenschutzbehörden haben bei der Prüfung von Apps den Fokus daher vor allem darauf gelegt, ob eine ausreichende, für das junge Zielpublikum verständliche, insbesondere altersgerechte Datenschutzerklärungen und Einwilligungstexte vorhanden ist, welche Berechtigungen bei der Installation eingeholt werden, ob Mechanismen zum Schutz des Persönlichkeitsrechts des Kindes, wie z. B. ein Warnhinweis oder Sicherungen, die nur die Eltern aufheben können, vorhanden sind und inwieweit Kinder durch die App-Anbieter selbst oder durch Dritte mit Werbung bedacht werden.
Risikofaktor Einwilligung
Ist eine Einwilligung unwirksam, ist die darauf beruhende Datenverarbeitung rechtswidrig. Dann drohen Bußgelder bis zu 300.000 Euro. Die rechtssichere Gestaltung und Umsetzung des Einwilligungskonzepts ist daher eine der größten rechtlichen Herausforderungen für App-Anbieter. Erst recht gilt dies, wenn die Apps sich (auch) an Minderjährige richten.
Ein App-Anbieter, der weiß oder zumindest damit rechnen muss, dass seine Apps von Minderjährigen benutzt werden, muss bei der Gestaltung von Datenschutz- und Einwilligungskonzepten den Grad der Einsichtsfähigkeit seiner minderjährigen Nutzer im Blick haben.
An erster Stelle muss immer die Frage beantwortet werden, „ob“ die abgefragte Einwilligung überhaupt wirksam sein kann, falls der Erklärende noch nicht volljährig ist. Erst wenn dies bejaht werden kann, stellt sich die (nicht weniger anspruchsvolle) Frage der rechtssicheren Umsetzung, also das „Wie“.
Zum Leidwesen der App-Anbieter legt das geltende Datenschutzrecht – anders als das BGB – keine verbindliche Altersgrenze fest, ab der eine Einwilligung wirksam ist. Stattdessen kommt es auf den Grad der individuellen Einsichtsfähigkeit an. Eine Einwilligung ist nur wirksam, wenn der Minderjährige in der Lage ist, die Tragweite seiner Einwilligung zu überblicken. Dies kann wiederum nur im Einzelfall beurteilt werden, da die Einsichtsfähigkeit vom jeweiligen Entwicklungsstand und dem Zweck der jeweiligen Datenverarbeitung abhängig ist. Nicht alle Minderjährigen befinden sich auf dem gleichen Entwicklungsstand, und während es Zwecke gibt, die auch von unerfahrenen Nutzern sofort überblickt werden können, gibt es ebenso Zwecke, die selbst von Fachleuten kaum erfasst werden können. Erschwerend kommt hinzu, dass App-Anbieter auf die Einholung von Einwilligungen häufig gar nicht verzichten können. Und zwar auch dann nicht, wenn das Gesetz die Datenverarbeitung ohne die Einwilligung des Nutzers eigentlich erlaubt. “Schuld” daran sind die Vorgaben der Hersteller der mobilen Betriebssysteme. Beispielsweise erzwingen die aktuellen Versionen von iOS eine Einwilligungsabfrage, sobald eine App auf bestimmte Schnittstellen, etwa des Adressbuches, der Fotodatenbank oder der Ortungsdienste zugreift. Wenn allerdings eine Einwilligung eingeholt wird – aus welchem Grund auch immer –, dann muss diese auch wirksam sein. Der Rückgriff auf die gesetzliche Erlaubnis ist dem App-Anbieter von nun an versperrt.
DSGVO: Einwilligung erst ab 16
In der DSGVO regelt Artikel 8 DSGVO neu, was zu beachten ist, wenn die Verarbeitung personenbezogener Daten von Kindern durch Apps auf eine Einwilligung gestützt wird. Danach soll die Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten erst ab einem Mindestalter von 16 Jahren möglich sein. Bei jüngeren Nutzern müssen App-Anbieter die Einwilligung von den Eltern oder zumindest deren Zustimmung einholen, andernfalls ist die Datenverarbeitung rechtswidrig. Zwar gibt die DSGVO den Mitgliedsstaaten die Möglichkeit, eine niedrige Altersgrenze zu bestimmen. Bislang gibt es jedoch keine Anzeichen dafür, dass Deutschland von dieser Möglichkeit Gebrauch machen wird.
Erlaubt ab dem Wirksamwerden der DSGVO somit ein 15jähriges Kind einer App die Nutzung seiner Standortdaten oder die Auswertung seines Nutzungsverhaltens zu Werbezwecken, so ist diese Einwilligung unwirksam und die darauf beruhende Datenverarbeitung rechtswidrig, wenn nicht auch die Eltern des Kindes einwilligen oder ihre Zustimmung erteilen.
Was bedeutet das für die Praxis?
Bedauerlicherweise macht die DSGVO keine Vorgaben, wie App-Anbieter eine Einwilligung oder Zustimmung der Eltern einholen können. Insbesondere wird nicht geregelt, in welcher Form dies geschehen kann und welchen Inhalt die einzuholende Einwilligungs- oder Zustimmungserklärung haben muss. Weiter ist unklar, ob die Zustimmung der Eltern bereits vor der Einwilligungserklärung des Kindes vorliegen muss oder ob sie auch nachträglich bis zum Beginn der Datenverarbeitung eingeholt werden kann und ob die Eltern pauschal in mehrere Datenverarbeitungen einwilligen können. Dies führt zumindest für eine Übergabgszeit zu einer erheblichen Rechtsunsicherheit für App-Anbieter.
Neue Prüfpflichten für App-Anbieter
Damit die App-Anbieter ihre Pflicht zur Einholung der Zustimmung oder Einwilligung der Eltern ernst nehmen und sich nicht durch wirkungslose Alibi-Maßnahmen aus der Verantwortung nehmen können, verpflichtet die DSGVO die App-Anbieter “unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“ zu unternehmen, um sich zu vergewissern, dass die Einwilligung durch die Eltern oder mit deren Zustimmung erteilt wurde.
Diese Vorschrift lässt enormen Interpretationsspielraum (Wann unternimmt der Verantwortliche „angemessene Anstrengungen“?) und stellt App-Anbieter vor die Frage, wie in der Praxis ein solches Verfahren konkret aussehen könnte. Zu Recht weist das Bayerische Landesamt für Datenschutzaufsichtdarauf hin, dass es eine große Herausforderung sowohl für die App-Anbieter, derartige praktikable Verfahren zu entwickeln, als auch für die Datenschutzaufsichtsbehörden, diese Verfahren dann letztendlich zu bewerten, sein wird. Allerdings wird sich die „Angemessenheit“ der erforderlichen Anstrengungen maßgeblich nach dem Zweck der Einwilligung richten: An eine Werbeeinwilligung dürften geringere Anforderungen zu richten sein als an eine Einwilligung zur Datennutzung durch soziale Medien oder die Veröffentlichung von Fotos im Internet.
Höhere Bußgelder
Anders als das geltende Datenschutzrecht begrenzt die DSGVO die maximale Höhe von Bußgeldern nicht. Zukünftig können Verstöße mit Bußgeldern in Höhe von bis zu 4% der Jahresumsätze sanktioniert werden. Zudem verlangt die DSGVO ausdrücklich, dass die Höhe der Bußgelder “abschrecken”, also weh tun muss. Insbesondere App-Anbietern, die soziale Netzwerke oder Spiele weltweit anbieten, können daher millionen- oder sogar milliardenschwere Bußgelder drohen.
Sinnvolles Nutzen der Übergangsphase
Bis zum Wirksamwerden der DSGVO am 25. Mai 2018 bleibt es bei der bestehenden Rechtslage. App-Anbieter sollten diese Übergangszeit nutzen, um sich über die neuen Anforderungen der DSGVO und deren Auswirkungen auf ihr Geschäftsmodell zu informieren. Sobald diese identifiziert worden sind, sollten die entsprechende Änderungen an der App in Angriff genommen werden. Eine gewisse Rechtsunsicherheit wird sich dabei nicht vermeiden lassen.
Das Einwilligungskonzept einer App, die sich auch an unter 16-Jährige richtet, muss so umgestaltet werden, dass die Datenverarbeitung von einer Einwilligung der Eltern abhängig gemacht wird. Keine der uns bekannten derzeit angebotenen Lösungen bietet zwar vollständige Rechtssicherheit. In der Regel lassen sich aber praktikable Lösungen finden, die das Rechtsrisiko auf ein zumutbares Maß begrenzen.
App-Anbieter sind im Übrigen nicht allein in der Pflicht. In der Pflicht sind auch die Betreiber der App Stores und die Eltern der minderjährigen Nutzer. Allerdings ist es App-Anbietern anzuraten, die ihnen zur Verfügung stehenden Möglichkeiten zum Schutz Minderjähriger zu nutzen, soweit dies vor dem Hintergrund des jeweiligen Geschäftsmodells zumutbar ist. Die Betreiber der großen App-Stores bieten den App-Anbietern mittlerweile etwa die Möglichkeit, durch Kennzeichnungen ihrer Apps bestimmte Altersgruppen vom Erwerb oder Download einer App auszuschließen oder zumindest Warnhinweise anzuzeigen. Zumindest kann so bestimmten Altersgruppen der Zugang zu den Apps erschwert werden. Diese Möglichkeiten sollte jeder App-Anbieter kennen und nutzen.
Vorgaben der App-Stores
Ein App-Anbieter, der gegen Daten- und Jugendschutzvorschriften verstößt, verstößt automatisch auch gegen die Developer Agreements, die er mit den App-Store-Betreibern geschlossen hat. Stellvertretend sei hier das Developer Distribution Agreement von Google für den Play-Store erwähnt. Dort heißt es unter Ziffer 4.3:
“Sie verpflichten sich, […] die Datenschutzrechte und andere gesetzlich verankerte Rechte von Nutzern zu achten. […]. Sie sind zudem verpflichtet, […] rechtlich einwandfreie Datenschutzhinweise sowie einen entsprechenden Schutz zu bieten.”
Oberstes Gebot: Transparenz
Oberstes Gebot für Anbieter von Apps für Kinder und Jugendliche ist Transparenz. Dies heißt: Alle Datenschutzhinweise und Einwilligungserklärungen müssen in deutscher Sprache und altersgerecht formuliert werden. Wird die Einwilligung oder Zustimmung der Eltern eingeholt, müssen auch die Eltern die Hinweise verstehen. Es muss sich um eine app-spezifische Datenschutzerklärung handeln. Die Verständlichkeit ist entscheidend für die Wirksamkeit der Einwilligung. Denn wer nicht weiß oder versteht, in was er einwilligen soll, kann nicht wirksam einwilligen.
Fazit
Datenschutzverstöße können nicht nur rechtliche Auseinandersetzungen mit den Aufsichtsbehörden, Bußgelder und Reputationsschäden zur Folge haben. Es droht auch das Damoklesschwert des Rauswurfs aus den App-Stores. Vor allem Unternehmen mit einem app-basierten Geschäftsmodell sind daher gut beraten, Datenschutzrisiken möglichst auszuschließen. Wie schon erwähnt, handelt es sich bei Apps nach wie vor um “juristisches Neuland”. Gewisse Risiken können daher nicht ausgeschlossen werden. Die DSGVO wird daran zumindest in der ersten Zeit nichts ändern. Manche App-Geschäftsmodelle verlangen den App-Anbietern nach wie vor eine mehr oder weniger große Portion Mut ab. Nach unserer Beratungserfahrung sind die meisten app-spezifischen Risiken mittlerweile aber sehr gut in den Griff zu bekommen. Neben dem Wissen von den rechtlichen Rahmenbedingungen bedarf es hierzu aber nach wie vor viel Erfahrung, eine genaue Kenntnis der behördlichen Entscheidungspraxis sowie der technischen und wirtschaftlichen Rahmenbedingungen, mit denen sich die App-Anbieter konfrontiert sehen.