Strenge Anforderungen an Android-Apps: Wie Google dem Daten­schutz nützt

von Adrian Schneider

27.02.2017

Google will Programme ohne Datenschutzerklärung aus seinem App Store werfen. Das Unternehmen stellt sehr strenge Anforderungen und ist dabei auf einer Linie mit den deutschen Datenschutzbehörden. Adrian Schneider zu einem kleinen Kuriosum.

Früher war Vieles einfacher. Wer eine Taschenlampe kaufte, konnte davon ausgehen, dass sie nicht in seinem Adressbuch schnüffeln würde. Und eine Wasserwaage war frei von jedem Verdacht, heimlich die Post ihres Besitzers an den Hersteller zu übermitteln.

Heute ist das anders – zumindest dann, wenn Taschenlampe und Wasserwaage in Form von Apps auf dem Smartphone installiert sind. Denn theoretisch kann jede App neben ihrer eigentlichen Funktion im Hintergrund auf fast alle Daten des Telefons zugreifen. Zwar müssen Apps für die meisten Funktionen den Nutzer nach seiner Erlaubnis fragen. Aber welcher Smartphone-User hat noch nicht ein nerviges Pop-up weggewischt, ohne es zu lesen?

Schwarze Schafe unter den App-Anbietern

Problematisch ist das vor allem bei Android-Geräten. Denn anders als bei Apples Betriebssys-tem iOS ist Googles Pendant Android kein hermetisch abgeschottetes System, auf dem nur solche Apps landen können, die die strengen Kontrollen des App-Store-Betreibers passiert haben. Das kann viele Vorteile haben – macht es schwarzen Schafen aber auch sehr viel leichter.

Schon seit Jahren fordert Google daher von allen App-Anbietern in seinem App Store "Google Play", dass sie ihre Nutzer transparent darüber aufklären, welche Daten sie erheben – eben so, wie es auch das deutsche Telemedienrecht vorschreibt. In der Praxis funktioniert das aber nicht flächendeckend. Noch immer tummeln sich zahlreiche Apps bei Google Play, die fragwürdige Zugriffsberechtigungen fordern und mit keinem Wort erklären, was mit den so erhobenen Daten passieren soll.

Google will künftig durchgreifen

Nun hat Google allerdings angekündigt, hart durchzugreifen. In der vergangenen Woche erhielten erste App-Entwickler E-Mails, in denen Google ankündigte, ihre App aus dem Katalog von Google Play zu streichen, wenn nicht umgehend eine Datenschutzerklärung ergänzt wird. In der internationalen Entwicklergemeinde sorgte die Ankündigung für einige Nervosität: Denn wer einmal ein Hausverbot bei Google Play kassiert hat, ist vom Android-Markt nahezu vollständig abgeschnitten.

Hinzu kommt: Die Anforderungen, die Google an eine Datenschutzerklärung stellt, sind nicht ganz einfach zu verstehen. Eine Datenschutzerklärung ist danach nur dann entbehrlich, wenn eine App keine "sensiblen Zugriffsberechtigung oder Nutzerdaten" benötigt. Die europäischen Datenschutzgesetze kennen diese Begriffe jedoch nicht – sie erfassen ausschließlich "personenbezogene Daten", was zumindest begrifflich nicht dasselbe ist.

Ist Google also beim Datenschutz sogar strenger als das deutsche Datenschutzrecht, das inter-national als eines der schärfsten der Welt gilt? Jein. Denn auch die deutschen Datenschutzbe-hörden wenden das Datenschutzrecht nicht nur bei personenbezogenen Daten im engeren Sinne an. In einer "Orientierungshilfe" aus dem Jahr 2014 empfiehlt etwa der Düsseldorfer Kreis, das gemeinsame Gremium der deutschen Datenschutzbehörden, dass in Datenschutzerklärungen für Apps auch erklärt werden soll, welche Zugriffsberechtigungen eine App erfragt – auch dann, wenn die App hierdurch gar keine personenbezogenen Daten erhebt. Und auch einige Daten, bei denen jedenfalls fraglich ist, ob sie einen Personenbezug aufweisen, fallen nach Ansicht der Behörden unter das Datenschutzrecht, so etwa Gerätekennungen.

Das Gesetz gibt all dies zwar nicht her, ohne mehrere Male in Folge um die Ecke zu denken. Google liegt mit seinen Anforderungen aber im Wesentlichen auf einer Linie der deutschen Behörden.

Warum die Ankündigung eine große Bedeutung hat

Warum also die Aufregung um Googles neue Ankündigung, wenn die gleichen Regeln früher auch schon galten? Zum einen, weil Google jetzt ernst macht und im großen Stil konkrete Sanktionen ankündigt. Für Nutzer ist das eine gute Nachricht: Standards werden sehr wahrscheinlich besser durchgesetzt, Datenschutzverweigerer gelöscht. Vor allem auf internationale App-Entwickler kommt nun aber eine Menge Arbeit zu.

Zum anderen ist es nicht das erste Mal, dass Google gesetzlichen Regelungen in der Praxis zur Geltung verhilft, die vorher nicht einheitlich im Netz gelebt wurden. So war es etwa lange um-stritten, ob auch deutsche Internetseiten einen Hinweis anzeigen müssen, wenn sogenannte Cookies verwendet werden. Eine entsprechende Richtlinie der Europäischen Union hatte die Bundesrepublik Deutschland nicht ausdrücklich umgesetzt und damit für viel Verwirrung ge-sorgt. In der Praxis setzte sich dieser Cookie-Hinweis in Deutschland erst flächendeckend durch, als Google einen solchen zur Voraussetzung für sein Werbenetzwerk AdSense machte. Ein Ausschluss aus dem Werbenetzwerk war für viele Anbieter ein größeres Drohszenario als ein Vorgehen der chronisch unterfinanzierten Behörden.

Ähnliches könnte sich nun wiederholen. Zwar wird Google nicht alle Datenschutzerklärungen auch inhaltlich prüfen können. Mit dem realistischen Szenario eines Ausschlusses aus Google Play erhöht sich jedoch für App-Entwickler das praktische Risiko von Datenschutzverstößen signifikant. So könnte es durchaus sein, dass Google mit seiner Ankündigung strenge deutsche Standards bei Datenschutzerklärungen international salonfähig macht.

Adrian Schneider ist Rechtsanwalt bei Osborne Clarke in Köln. Er hat viele Jahre als Software-entwickler gearbeitet und berät Unternehmen im IT- und Datenschutzrecht.

Zitiervorschlag

Strenge Anforderungen an Android-Apps: . In: Legal Tribune Online, 27.02.2017 , https://www.lto.de/persistent/a_id/22208 (abgerufen am: 06.11.2024 )

Infos zum Zitiervorschlag
Jetzt Pushnachrichten aktivieren

Pushverwaltung

Sie haben die Pushnachrichten abonniert.
Durch zusätzliche Filter können Sie Ihr Pushabo einschränken.

Filter öffnen
Rubriken
oder
Rechtsgebiete
Abbestellen