Datenschutz und Datensicherheit - Kontolöschung innerhalb von Apps bald Pflicht

Datenschutz und Datensicherheit sind zentrale Themen unserer digitalen Welt. Niemand möchte die eigenen privaten Fotos auf fremden Internetseiten wiederfinden oder Firmengeheimnisse in den Händen der Konkurrenz wissen. Wer sich auskennt, schützt sich vor Betrug und beugt finanziellen wie persönlichen Schäden vor.

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Datenschutz ist ein Recht, das jeder Bürger hat. Es garantiert laut der Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI): „Jedem Bürger Schutz vor missbräuchlicher Datenverarbeitung, das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre.“ Der Fokus liegt also auf personenbezogenen Daten.

Was datenschutzrechtlich erlaubt ist und was nicht, regeln das Bundesdatenschutzgesetz (BDSG) und die Datenschutzgesetze der Länder.

Datensicherheit ist weder ein Recht noch ein Gesetz. Sie umfasst Maßnahmen, um Daten gegen Manipulation, Verlust, unberechtigte Kenntnisnahme durch Dritte oder andere Bedrohungen zu schützen. Betroffen sind alle Daten, unabhängig davon, ob sie einen Personenbezug haben oder nicht. Für Unternehmen wie für Privatpersonen kann mangelhafte Datensicherheit zum Problem werden – etwa dann, wenn Datenverluste auftreten oder Betriebsgeheimnisse gestohlen werden.

Konzepte für Datenschutz und Datensicherheit

Zum Glück gibt es bewährte Konzepte, um Daten zu schützen. Dabei wird zwischen Datenschutz- und Datensicherheitskonzepten unterschieden.

Ein Datenschutzkonzept bezieht sich auf digitale wie analoge personenbezogene Daten. Es beschreibt und bewertet die datenschutzrechtlich relevanten Informationen zur Erhebung, Nutzung und Verarbeitung dieser Daten. Konkret legt es fest, wer aus welchem Grund, auf welche Weise und in welchem Umfang Zugriff auf bestimmte personenbezogene Daten hat.

Ein Datensicherheitskonzept ist hingegen eine Kombination aus einem Datenschutz- und einem IT-Sicherheitskonzept mit dem Reifegrad. Es betrifft sämtliche Daten eines Unternehmens – unabhängig davon, ob sie analog oder digital, personenbezogen oder nicht personenbezogen sind. Ziel ist es, unbefugten Zugriff auf Daten jeglicher Art zu verhindern. Das passende Cybersecurity Framework ist dabei eine große Hilfe.

Um die Wirksamkeit eines solchen Konzepts zu überprüfen, kommt Penetration Testing zum Einsatz. Es deckt Schwachstellen und Lücken im digitalen Datenschutz auf, die anschließend geschlossen werden müssen.

Datenschutz und Datensicherheit in Apps allgemein

Auch Apps müssen den Datenschutz gewährleisten und die Datenverarbeitung durch eine Erklärung ankündigen, der die Nutzenden zunächst zustimmen müssen. Die Rahmenbedingungen für solche Datenschutzerklärungen in Apps geben das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) vor.

Das BDSG stellt folgende Anforderungen an die Datenschutzerklärung einer App:

• Darlegung des Grundes für die Datenerfassung, -speicherung und/oder -verarbeitung.
• Auskunft über die Art der durch die App erfassten Daten. Dazu gehören Metadaten, Inhaltsdaten und personenbezogene Daten.
• Auskunft über die Dauer der Speicherung.
• Angabe, welche Dritten zugriffsberechtigt sind.
• Belehrung über das Auskunftsrecht, den Widerruf und die Löschung der Daten.
• Benennung der verantwortlichen Stelle einschließlich Kontaktmöglichkeit.

Ein Verstoß gegen diese Anforderungen wird als Ordnungswidrigkeit geahndet. Wer Apps bereitstellt und in der Datenschutzerklärung unzutreffende oder unvollständige Angaben macht, muss mit empfindlichen Geldbußen oder sogar einer Freiheitsstrafe rechnen.

Bisheriger Datenschutz im Apple App Store und im Google Playstore

Bisher war vor allem vor dem Download einer App unklar, welche Daten sie für welche Zwecke nutzen möchte. Nach dem Download mussten Sie den Nutzungsbedingungen zustimmen – wesentlich besser informiert waren Sie nach deren Lektüre allerdings nicht immer. Apple sorgte für einen Aufschrei unter App-Entwicklern, als das Unternehmen ankündigte, diese Unübersichtlichkeit künftig zu beseitigen. Inzwischen zieht auch Google mit dem Android Play Store nach und will für mehr Datenschutz und Benutzerfreundlichkeit sorgen.

Apple und der App Store

Datenschutz hat bei Apple mittlerweile einen hohen Stellenwert. Im Bereich „App-Datenschutz" ermöglicht der App Store bereits vor dem Download einen Einblick in die Datenschutzangaben der jeweiligen App. So können Sie sich vorab einen Überblick darüber verschaffen, an welchen Daten die App interessiert ist. Die Datenschutzangaben sind dabei in drei Bereiche gegliedert:

• Daten zum Tracking der nutzenden Person
• Direkt mit dem Nutzer verknüpfte Daten
• Nicht verknüpfte Daten

Trackingdaten entstehen, wenn Sie Webseiten aufrufen. Die App beziehungsweise deren Betreiber nutzt diese Daten, um ein Trackingprofil zu erstellen. Auf dieser Grundlage schalten Dritte dann auf Sie zugeschnittene Werbung.

Android und der Google Play Store

Auch bei Android soll der Datenschutz gestärkt werden: Der Google Play Store will nachziehen und bis zum 2. Quartal 2022 ein ähnliches Format wie Apple anbieten. Künftig sollen Nutzende auch im Play Store bereits vor dem Download erfahren, welche Daten die ausgewählte App erheben möchte. Die Umsetzung erfolgt dabei schrittweise.

Zunächst – bis zum 4. Quartal 2021 – müssen alle App-Entwickler offenlegen, welche Arten von Daten sie auf welche Weise speichern. Dazu zählen unter anderem Standort, Kontakte, persönliche Informationen, Fotos und Videos sowie Audio- und Speicherdateien. Zusätzlich sollen Anbieter bis zu diesem Termin vollständig darlegen, wie sie diese Daten verwenden – etwa ob sie für die App-Funktionalität und/oder die Personalisierung erforderlich sind.

Ab dem 1. Quartal 2022 sollen diese und weitere Informationen einer App dann im Play Store verfügbar sein. Ähnlich wie bei Apple mit seinem Datenschutzlabel. Ab dem 2. Quartal 2022 sollen die Angaben dann für alle Apps verpflichtend sein.

Neu für Datenschutz und Datensicherheit im App Store: Die verpflichtende Kontolöschung

Ganz neu ist die verpflichtende Kontolöschung: Wenn Nutzende aufgefordert werden, für eine App einen Account einzurichten, muss dieser auch löschbar sein. Konkret müssen Anbieter sicherstellen, dass der Account direkt innerhalb der App gelöscht werden kann.

Diese Entwicklung ist längst überfällig – insbesondere wenn Sie bedenken, dass das Löschen einer App nicht zwangsläufig auch den zugehörigen Account entfernt.

Denn ohne Löschung des Accounts kann die Verbindung zum App-Anbieter auch ohne aktive Nutzung der App weiter bestehen – allerdings ohne dass Sie Zugriff auf Ihren Account und damit auf Ihre Daten haben.

Verbraucher im Blick – die App Store Guidelines könnten erneut Vorreiter sein

Für Verbraucher machen die neuen Regelungen die App-Nutzung deutlich übersichtlicher. Wünschenswert wäre, dass der Google Play Store sowie weitere App Stores zeitnah nachziehen.

Die Neuerung könnte darüber hinaus als Vorbild für andere Bereiche des digitalen Datenschutzes dienen. Beim Datenschutz in der Cloud herrscht häufig eine ähnliche Unsicherheit wie bei den Datenzugriffen von Apps. Viele Nutzende sind sich ihrer Eigenverantwortung bei der Cloud-Nutzung gar nicht bewusst. Übersichtliche Angaben wie beim „App-Datenschutz” im App Store würden hier einen echten Mehrwert bieten.

Fazit – die neuen App Store Guidelines sind ein Gewinn für alle App-Nutzenden

Die neuen App Store Guidelines stellen den Verbraucher in den Mittelpunkt: Sie erleichtern es, die Kontrolle über die eigenen Daten zu behalten. Das ist eine erfreuliche Entwicklung, die in den kommenden Jahren hoffentlich auch auf weitere Bereiche der digitalen Welt ausstrahlt. Für mehr Sicherheit, Transparenz und damit Nutzerzufriedenheit wäre das ein bedeutender Fortschritt.