LTO.de - Legal Tribune Online - Aktuelles aus Recht und Justiz
 

Strenge Anforderungen an Android-Apps: Wie Google dem Daten­schutz nützt

von Adrian Schneider

27.02.2017

Google will Programme ohne Datenschutzerklärung aus seinem App Store werfen. Das Unternehmen stellt sehr strenge Anforderungen und ist dabei auf einer Linie mit den deutschen Datenschutzbehörden. Adrian Schneider zu einem kleinen Kuriosum.

Früher war Vieles einfacher. Wer eine Taschenlampe kaufte, konnte davon ausgehen, dass sie nicht in seinem Adressbuch schnüffeln würde. Und eine Wasserwaage war frei von jedem Verdacht, heimlich die Post ihres Besitzers an den Hersteller zu übermitteln.

Heute ist das anders – zumindest dann, wenn Taschenlampe und Wasserwaage in Form von Apps auf dem Smartphone installiert sind. Denn theoretisch kann jede App neben ihrer eigentlichen Funktion im Hintergrund auf fast alle Daten des Telefons zugreifen. Zwar müssen Apps für die meisten Funktionen den Nutzer nach seiner Erlaubnis fragen. Aber welcher Smartphone-User hat noch nicht ein nerviges Pop-up weggewischt, ohne es zu lesen?

Schwarze Schafe unter den App-Anbietern

Problematisch ist das vor allem bei Android-Geräten. Denn anders als bei Apples Betriebssys-tem iOS ist Googles Pendant Android kein hermetisch abgeschottetes System, auf dem nur solche Apps landen können, die die strengen Kontrollen des App-Store-Betreibers passiert haben. Das kann viele Vorteile haben – macht es schwarzen Schafen aber auch sehr viel leichter.

Schon seit Jahren fordert Google daher von allen App-Anbietern in seinem App Store "Google Play", dass sie ihre Nutzer transparent darüber aufklären, welche Daten sie erheben – eben so, wie es auch das deutsche Telemedienrecht vorschreibt. In der Praxis funktioniert das aber nicht flächendeckend. Noch immer tummeln sich zahlreiche Apps bei Google Play, die fragwürdige Zugriffsberechtigungen fordern und mit keinem Wort erklären, was mit den so erhobenen Daten passieren soll.

Google will künftig durchgreifen

Nun hat Google allerdings angekündigt, hart durchzugreifen. In der vergangenen Woche erhielten erste App-Entwickler E-Mails, in denen Google ankündigte, ihre App aus dem Katalog von Google Play zu streichen, wenn nicht umgehend eine Datenschutzerklärung ergänzt wird. In der internationalen Entwicklergemeinde sorgte die Ankündigung für einige Nervosität: Denn wer einmal ein Hausverbot bei Google Play kassiert hat, ist vom Android-Markt nahezu vollständig abgeschnitten.

Hinzu kommt: Die Anforderungen, die Google an eine Datenschutzerklärung stellt, sind nicht ganz einfach zu verstehen. Eine Datenschutzerklärung ist danach nur dann entbehrlich, wenn eine App keine "sensiblen Zugriffsberechtigung oder Nutzerdaten" benötigt. Die europäischen Datenschutzgesetze kennen diese Begriffe jedoch nicht – sie erfassen ausschließlich "personenbezogene Daten", was zumindest begrifflich nicht dasselbe ist.

Ist Google also beim Datenschutz sogar strenger als das deutsche Datenschutzrecht, das inter-national als eines der schärfsten der Welt gilt? Jein. Denn auch die deutschen Datenschutzbe-hörden wenden das Datenschutzrecht nicht nur bei personenbezogenen Daten im engeren Sinne an. In einer "Orientierungshilfe" aus dem Jahr 2014 empfiehlt etwa der Düsseldorfer Kreis, das gemeinsame Gremium der deutschen Datenschutzbehörden, dass in Datenschutzerklärungen für Apps auch erklärt werden soll, welche Zugriffsberechtigungen eine App erfragt – auch dann, wenn die App hierdurch gar keine personenbezogenen Daten erhebt. Und auch einige Daten, bei denen jedenfalls fraglich ist, ob sie einen Personenbezug aufweisen, fallen nach Ansicht der Behörden unter das Datenschutzrecht, so etwa Gerätekennungen.

Das Gesetz gibt all dies zwar nicht her, ohne mehrere Male in Folge um die Ecke zu denken. Google liegt mit seinen Anforderungen aber im Wesentlichen auf einer Linie der deutschen Behörden.

Warum die Ankündigung eine große Bedeutung hat

Warum also die Aufregung um Googles neue Ankündigung, wenn die gleichen Regeln früher auch schon galten? Zum einen, weil Google jetzt ernst macht und im großen Stil konkrete Sanktionen ankündigt. Für Nutzer ist das eine gute Nachricht: Standards werden sehr wahrscheinlich besser durchgesetzt, Datenschutzverweigerer gelöscht. Vor allem auf internationale App-Entwickler kommt nun aber eine Menge Arbeit zu.

Zum anderen ist es nicht das erste Mal, dass Google gesetzlichen Regelungen in der Praxis zur Geltung verhilft, die vorher nicht einheitlich im Netz gelebt wurden. So war es etwa lange um-stritten, ob auch deutsche Internetseiten einen Hinweis anzeigen müssen, wenn sogenannte Cookies verwendet werden. Eine entsprechende Richtlinie der Europäischen Union hatte die Bundesrepublik Deutschland nicht ausdrücklich umgesetzt und damit für viel Verwirrung ge-sorgt. In der Praxis setzte sich dieser Cookie-Hinweis in Deutschland erst flächendeckend durch, als Google einen solchen zur Voraussetzung für sein Werbenetzwerk AdSense machte. Ein Ausschluss aus dem Werbenetzwerk war für viele Anbieter ein größeres Drohszenario als ein Vorgehen der chronisch unterfinanzierten Behörden.

Ähnliches könnte sich nun wiederholen. Zwar wird Google nicht alle Datenschutzerklärungen auch inhaltlich prüfen können. Mit dem realistischen Szenario eines Ausschlusses aus Google Play erhöht sich jedoch für App-Entwickler das praktische Risiko von Datenschutzverstößen signifikant. So könnte es durchaus sein, dass Google mit seiner Ankündigung strenge deutsche Standards bei Datenschutzerklärungen international salonfähig macht.

Adrian Schneider ist Rechtsanwalt bei Osborne Clarke in Köln. Er hat viele Jahre als Software-entwickler gearbeitet und berät Unternehmen im IT- und Datenschutzrecht.

Zitiervorschlag

Adrian Schneider, Strenge Anforderungen an Android-Apps: Wie Google dem Datenschutz nützt . In: Legal Tribune Online, 27.02.2017 , https://www.lto.de/persistent/a_id/22208/ (abgerufen am: 23.10.2019 )

Infos zum Zitiervorschlag
Kommentare
  • 27.02.2017 13:02, FrANzTHekraNz

    Herr Schneider,
    Das Entscheidende ist die Rechteverwaltung in Androids Betriebssystem. Schließlich will ich ja handfest auf meinem Gerät die Entscheidung treffen können!. Und diese ist ab der Version 6.0, Marshmallow, stets aktiv. So kann man zB. Whatsapp den Zugriff auf die Kontakte verweigern, was minimal die Privatsphäre erhöht. Der Eigner fb währt sich dagegen, indem es dann nur die Nummern in den Chats anzeigt und man keine Namen im Programm intern zufügen kann. Andere Android Varianten wie Cyanogenmod oder das chinesische! MIUI boten diese Funktionen auch schon zuvor.

  • 28.02.2017 18:19, Adrian Schneider

    Danke für die Ergänzung. Sie haben natürlich Recht, dass das Berechtigungssystem auch eine wichtige Komponente ist. Ich meine aber, dass sie eine andere Frage betreffen:

    Berechtigungen sind analog - entweder ich erlaube einer App den Zugriff auf eine bestimmte Funktion oder nicht. Wenn ich ihr aber Zugriff gewähre, endet meine Kontrollmöglichkeit.

    Hier braucht es die Datenschutzerklärung. Das "Ob" Regeln die Berechtigungen, über das "Wie" klärt die Datenschutzerklärung auf.

    Natürlich ist auch das noch kein Allheilmittel. Aber ich finde den Schritt richtig, Transparenz zu forcieren.

  • 01.03.2017 11:34, Miss S

    Das Hauptproblem sind aber nicht die Apps, die die Daten sammeln, sondern Google. Und hier bekommt kein Nutzer genannt welche Nutzungs- und Personendaten gespeichert und ausgewertet werden.

    Ein Publisher kann Daten natürlich auch nutzen. Das ist gerade bei kostenlosen Apps notwendig. Aber das eigentliche Problem ist Google. Die Zusammenführung aller gesammelten personenbezogenen Informationen mit Standortdaten ist das was zur grossen Gefahr wird.

    • 01.03.2017 13:46, Xcon

      Werfen Sie bitte mal einen Blick in Ihren Google-Account. Dort können Sie bis ins letzte Detail festlegen, was Google speichern darf und was nicht. Und sie können bisher gespeicherte Daten löschen.

  • 07.03.2017 15:11, Liliane Salcher

    Ich finde das sehr seltsam. Die größte Datenkrake greift im Datenschutz durch? Das ist, wie wenn der Löwe die Hyänen vom Futtertrog vertreibt. Scheint mir wohl eher die eigene Gier nach Daten zu sein. Warum Sie Google dafür Blumen streuen, ist mir vollkommen unklar. Angebracht wäre eher Lob bei Suchmaschinen wie StartPage oder DuckDuck, wobei ich selbst eher StartPage.com empfehle. DuckDuck ist ein US Dienst und die können ja wegen der geltenden Gesetze gar keinen Schutz der Daten gewährleisten.