Datenschutz und Datensicherheit - Kontolöschung innerhalb von Apps bald Pflicht

Datenschutz und Datensicherheit sind wichtige Themen. Niemand möchte seine privaten Fotos auf irgendwelchen Internetseiten wiederfinden oder seine Firmengeheimnisse in Händen der Konkurrenz wissen. Sich auszukennen, schützt vor Betrug und beugt finanziellen wie persönlichen Schäden vor.

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Datenschutz ist ein Recht, das jeder Bürger hat. Es garantiert laut der Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI): „Jedem Bürger Schutz vor missbräuchlicher Datenverarbeitung, das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre.“ Der Fokus liegt also auf personenbezogenen Daten.

Was datenschutzrechtlich erlaubt ist und was nicht, regeln das Bundesdatenschutzgesetz (BDSG) und die Datenschutzgesetze der Länder.

Datensicherheit ist weder ein Recht noch ein Gesetz. Datensicherheit umfasst Maßnahmen um Daten gegen Manipulation, Verlust, unberechtigte Kenntnisnahme durch Dritte oder andere Bedrohungen zu schützen. Betroffen sind alle Daten, unabhängig davon, ob diese einen Personenbezug haben oder nicht. Für Unternehmen wie für Privatpersonen kann mangelhafte Datensicherheit zum Problem werden. Nämlich dann, wenn dies Datenverluste zur Folge hat oder gar Betriebsgeheimnisse gestohlen werden.

Konzepte für Datenschutz und Datensicherheit

Zum Glück gibt es Konzepte, um Daten zu schützen. Unterschieden wird zwischen Datenschutz- und Datensicherheitskonzepten.

Ein Datenschutzkonzept bezieht sich auf digitale wie analoge persönliche Daten. Es beschreibt und beurteilt die datenschutzrechtlich notwendigen Informationen zur Erhebung, Nutzung und Verarbeitung personenbezogener Daten. Das heißt, es stellt fest, wer, wie, aus welchem Grund und in welchem Umfang Zugriff auf bestimmte personenbezogene Daten hat.

Ein Datensicherheitskonzept ist hingegen eine Mischung aus einem Datenschutz- und einem IT-Sicherheitskonzept mit dem Reifegrad. Es betrifft alle privaten Daten beziehungsweise alle Daten eines Unternehmens – egal ob analog oder digital, ob personenbezogen oder nicht. Es soll verhindern, dass Unbefugte Zugriff auf Daten egal welcher Form haben. Das richtige Cybersecurity Framework ist dabei eine große Hilfe.

Um die Sicherheit eines solchen Konzepts zu überprüfen, kommt das Penetration Testing zum Einsatz. Es zeigt Schwachstellen und Lücken im digitalen Datenschutz auf, die es dann zu schließen gilt.

Datenschutz und Datensicherheit in Apps allgemein

Auch Apps müssen Datenschutz bieten und Datenverarbeitung mit einer Erklärung ankündigen, die Nutzer erst bestätigen müssen. Die Rahmenbedingungen solcher Datenschutzerklärungen bei Apps geben das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) vor.

Das BDSG stellt an die Datenschutzerklärung einer App folgende Anforderungen:

• Darlegen des Grundes der Datenerfassung, -speicherung und/ oder –Verarbeitung.
• Auskunft über die Art der durch die App erfassten Daten. Dazu gehören Metadaten, Inhaltsdaten und personenbezogene Daten.
• Auskunft über die Dauer des Speicherns.
• Welche Dritten zugriffsberechtigt sind.
• Eine Belehrung zwecks Auskunftsrechts, Widerruf und Löschung der Daten.
• Das Nennen der verantwortlichen Stelle, inklusive Kontaktmöglichkeit.

Ein Verstoß gegen diese Anforderungen wird als Ordnungswidrigkeit geahndet. Das heißt: Wer Apps bereitstellt und bei der Datenschutzerklärung unehrliche oder unvollständige Angaben macht, muss mit hohen Geldbußen oder gar einer Gefängnisstrafe rechnen.

Bisheriger Datenschutz im Apple App Store und im Google Playstore

Bisher war vor allem vor dem Download einer App unklar welche Daten diese für welche Zwecke nutzen will. Nach dem Download musste man dann den Nutzungsbedingungen zustimmen. Wesentlich schlauer war man nach dem Durchlesen dieser trotzdem nicht immer. Apple verursachte einen Aufschrei der App-Entwickler, nachdem das Unternehmen ankündigte, diese Unübersichtlichkeit zukünftig zu ändern. Nun zieht auch Google mit dem Android Play Store nach und will für mehr Datenschutz und Benutzerfreundlichkeit sorgen.

Apple und der App Store

Datenschutz schreibt Apple mittlerweile groß. Der Apple Store erlaubt in seiner Ansicht für "App-Datenschutz" bereits vor dem Download einen Blick auf die Datenschutzangaben der App. Das heißt: Der Nutzer kann sich so vor dem Download einen Überblick darüber verschaffen, an welchen Daten die App interessiert ist. Dabei sind die Datenschutzangaben in drei Bereiche gegliedert:

• Daten zum Tracking der nutzenden Person.
• Mit dem Nutzer direkt verknüpfte Daten.
• Nicht verknüpfte Daten.

Trackingdaten sind die Daten, die entstehen, wenn ein Nutzer Webseiten aufruft. Die App beziehungsweise deren Betreiber nutzt diese Daten, um ein Trackingprofil zu erstellen. Dieses verwenden Dritte, um auf den Nutzer zugeschnittene Werbung zu schalten.

Android und der Google Play Store

Bei Android soll der Datenschutz gestärkt werden: Der Google Play Store für Android will also nachziehen und bis ins 2. Quartal 2022 ein ähnliches Format wie Apple anbieten. Nutzende sollen auch im Play Store künftig bereits vor dem Download wissen, welche Daten die ausgesuchte App erheben will. Die Entwicklung soll dabei schrittweise erfolgen.

Zunächst – das heißt bis zum 4. Quartal 2021 – müssen alle App-Entwickler angeben, welche Arten von Daten sie wie speichern. Dazu gehören Standort, Kontakte, persönliche Informationen, Fotos und Videos, Audio- und Speicherdateien. Zusätzlich sollen Anbieter zu diesem Termin alle Informationen dazu angeben, wie sie diese Daten verwenden. Also ob sie beispielsweise zur App-Funktionalität und/oder Personalisierung notwendig sind.

Ab dem 1. Quartal 2022 sollen diese und weitere Informationen einer App dann im Play Store verfügbar sein. Ähnlich wie bei Apple mit seinem Datenschutzlabel. Ab dem 2. Quartal 2022 sollen die Angaben dann für alle Apps verpflichtend sein.

Neu für Datenschutz und Datensicherheit im App Store: Die verpflichtende Kontolöschung

Ganz neu ist die verpflichtende Kontolöschung: Sind Nutzende aufgefordert, für eine App einen Account einzurichten, muss dieser auch löschbar sein. Genauer: Die Anbieter haben sicherzustellen, dass sie den Account von innerhalb der App löschen können.

Diese Entwicklung ist längst überfällig. Vor allem, wenn man in Betracht zieht, dass beim Löschen einer App nicht zwingend auch der Account verschwindet.

Denn ohne Löschung des Accounts kann die Verbindung zur App-Entwickler-Firma auch ohne das Nutzen der App weiter bestehen. Allerdings ohne Zugriff auf den eigenen Account und damit auf die eigenen Daten zu haben.

Verbraucher im Blick - die App Store Guidelines könnten auch hier wieder Vorreiter sein

Für den Verbraucher machen die neuen Regelungen im Hinblick auf die Appnutzung einiges einfacher. Wünschenswert ist auch hier, dass der Google Play Store sowie weitere Stores für Apps bald nachziehen.

Die Neuerung könnte darüber hinaus auch für andere Bereiche des digitalen Datenschutzes ein Vorbild sein. Beim Datenschutz in der Cloud herrscht nämlich oft eine ähnliche Unsicherheit wie bei den Befugnissen von Apps. Nutzer wissen oft gar nicht um ihre Eigenverantwortung bei der Cloud-Nutzung. Übersichtliche Angaben wie beim „App-Datenschutz“ im App Store würden hier gute Dienste leisten.

Fazit - die neuen App Store Guidelines sind ein Gewinn für alle App-Nutzer

Die neuen App Store Guidelines haben den Verbraucher im Blick: Sie machen es ihm leichter die Kontrolle über seine Daten zu behalten. Das ist eine positive Entwicklung, die in den nächsten Jahren hoffentlich auf weitere Bereiche der digitalen Welt abfärbt. Für mehr Sicherheit, Transparenz und damit Nutzerzufriedenheit wäre dies ungemein förderlich.