Mobile Apps und Informationspflichten
Relevante Informationspflichten für Apps werden hier dargestellt und erläutert. Die Erfüllung dieser Pflichten stellt Verantwortliche vor besondere Herausforderungen.
1. Allgemeines zur App und zur WebApp
Eine App (Englisch für Application) ist ein kleineres Anwendungsprogramm, also in Maschinensprache übersetzte Software, die direkt auf dem Endgerät ausgeführt wird. In der Regel sind es spezialisierte, konkret auf ein Problem zugeschnittene Lösungen. Anders als sonstige Software werden Apps in der Regel in geschlossenen Systemen angeboten. Mobile Apps laufen auf Smart Devices, etwa Smartphones, Tablet-PCs und Personal Digital Agents. Der Bezug von Apps kann direkt über die Website des Anbietenden sein, erfolgt jedoch in der Regel über App-Stores, dem Marktplatz für Apps. Der App-Store für das iOS Betriebssystem (iPhone) ist AppStore von Apple, für Apps mit dem Betriebssystem Android der plattformeigene Google Play App-Store. Apps können auch Services in Clouds nutzen, Google, Apple aber auch Amazon, Microsoft oder Heroku bieten solche Clouds. Zusätzlich gibt es WebApps, die eigentlich Web-Anwendungen, also Webseiten im „look and feel“ einer App sind. Diese ist aber nicht selbstständig lauffähig, sondern benötigt einen Browser. Sie kann unabhängig vom Endgerät entwickelt werden, verfügt aber in der Regel nur über eingeschränkte Funktionalität. [Baumgartner/Ewald, Apps und Recht (2016)2 1ff Rz 3ff; Kalteis, Neue Technologien und netzbasierte Medien als Herausforderungen des Datenschutzrechts (2015) 257ff.]
Beim App Vertrag ist das wichtigste Differenzierungsmerkmal, ob die App kostenlos oder gegen Entgelt angeboten wird. Bei kostenpflichtigen Apps liegt in der Regel ein Kauf vor, unter Umständen handelt es sich um eine „Software as a Service“, wie vor allem bei Cloud Diensten. Aber auch diese lassen sich mit den bestehenden Vertragsrechtstools lösen. Kostenlose Apps werden meist als Schenkung gesehen, wie auch Free- und Open Source Software, was vor allem bedeutet, dass es in der Regel keine Gewährleistung gibt. Komplexere Abgrenzungsfragen stellen sich allerdings bei Mischformen. [Jahnel/Mader/Staudegger, IT-Recht (2012)3; Manhard, Der „Software as a Service“-Vertrag (2012); Blaha et al (Hg) Rechtsfragen des Cloud Computing (2011); Baumgartner/Ewald, Apps und Recht (2016)2 10ff Rz 26ff.]
2. Apps und Informationspflichten
Von hoher praktischer Relevanz sind für Apps u.a. Transparenz- und Informationsvorgaben. Zu beachten sind dabei mehrere Vorgaben, nämlich insbesondere die Informationspflichten nach dem E-Commerce-Gesetz (ECG) [BGBl I 152/2001, zuletzt geändert durch BGBl I 34/2015], jene nach dem Mediengesetz (MedienG) [BGBl 314/1981, zuletzt geändert durch BGBl I 49/2005], gemäß Unternehmensgesetzbuch (UGB) [dRGBl S 219/1897, zuletzt geändert durch BGBl I 107/2017] und, von zunehmender Bedeutung, Informationspflichten nach Datenschutzrecht, d.h. eine Datenschutzerklärung gemäß Datenschutzgrundverordnung (DSGVO) [VO (EU) 2016/679 vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG] bzw. deren nationale Umsetzung, das Datenschutzgesetzt (DSG) [BGBl I 165/1999, zuletzt geändert durch BGBl I 120/2017].
Die Unterscheidung kommerzieller und nicht kommerzieller Apps ist auch für die Informationspflichten von Bedeutung [§ 6 ECG].
Ganz allgemein müssen zur Verfügung gestellte Informationen wie das Impressum leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Bei B2C Apps bzw. Verträgen kommt hinzu, dass spezielle Verbraucherschutzvorschriften wie das Konsumentenschutzgesetz (KSchG) [BGBl 140/1979, zuletzt geändert durch BGBl I 50/2017] zu beachten sind. Hier gibt es in § 5a KSchG umfassende Aufklärungs- und Informationspflichten für den Unternehmer, es sei denn, es sind die Bestimmungen für den Fernabsatz einzuhalten [BGBl I 33/2014 idF BGBl I 83/2015 (VFB), zuletzt geändert durch BGBl I 50/2017], geregelt in den §§ 4ff Fern- und Auswärtsgeschäftegesetz (FAGG). Dort ist auch die für Verbraucher und Verbraucherinnen relevante Widerrufsbelehrung aufgrund der Verbraucherrechterichtlinie aufgenommen worden [EU-Verbraucherrechterichtlinie 2011/83/EU (VRRL); Baumgartner/Ewald, Apps und Recht (2016)2 51ff RN 161ff]. Es empfiehlt sich, bei den Informationspflichten auf die Barrierefreiheit zugunsten älterer oder körperlich behinderter Menschen zu berücksichtigen [siehe etwa Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, „Für eine barrierefreie Informationsgesellschaft“, Brüssel, den 01.12.2008 KOM (2008) 804 endgültig].
Von Bedeutung ist, dass die Informationen zu Beginn des Nutzungsvorgangs zur Verfügung stehen müssen, d.h. auf der Produktseite im Store, beim Herunterladen oder spätestens vor dem erstmaligen Start.
3. Informationspflicht nach E-Commerce-Gesetz, nach dem Mediengesetz und gemäß Unternehmensgesetzbuch
Die Informationspflichten für das Anbieten von Inhalten auf Internetseiten sind im E-Commerce-Gesetz von 2001 (ECG) und zwar im 3. Abschnitt geregelt. § 5 Abs 1 ECG 2001 sieht vor, dass die Informationen gemäß den Ziffern 1-7 ständig verfügbar, leicht und unmittelbar zugänglich zur Verfügung zu stehen haben. Diese Informationen sind Name oder Firma, Adresse, Kontaktdaten einschließlich Mailadresse, Firmenbuchnummer und Firmenbuchgericht, falls relevant die zuständige Aufsichtsbehörde und Kammer, Berufsverband oder Ähnliches, falls vorhanden auch die Umsatzsteuer-Identifikationsnummer.
Preise sind gemäß § 5 Abs 2 ECG so auszuzeichnen, dass sie leicht zu lesen und zuzuordnen sind, es muss etwa eindeutig erkennbar sein, ob es sich um Bruttopreise handelt, ob Versandkosten enthalten sind u.Ä. § 5 Abs 3 ECG sieht vor, dass sonstige Informationspflichten wie vor allem jene nach dem MedienG, UGB und die Datenschutzerklärung davon unberührt bleiben.
Die Pflicht zum Impressum ist in § 24 Abs 4 MedienG geregelt. Demnach sind auf wiederkehrenden elektronischen Medien Name oder Firma, sowie die Anschrift des Medieninhabers und des Herausgebers anzugeben. § 25 MedienG regelt die Offenlegung dazu.
§ 14 Abs 1 UGB (Unternehmensgesetzbuch) bezieht sich auch auf Webseiten und „[…] alle Geschäftsbriefe und Bestellscheine, die auf Papier oder in sonstiger Weise an einen bestimmten Empfänger gerichtet sind […]“ und gilt daher wohl auch für Apps. Bekanntzugeben sind „[…] Firma, die Rechtsform, den Sitz und die Firmenbuchnummer des Unternehmers, gegebenenfalls den Hinweis, dass sich der Unternehmer in Liquidation befindet, sowie das Firmenbuchgericht […].“
4. Informationspflichten nach MedienG, UGB und nach Datenschutzrecht
Beim Datenschutzrecht ist zuerst das System einer App zu betrachten, um die Rollen entsprechend verteilen zu können. Hier gibt es in der Regel eine/n EntwicklerIn, eine/n AnbieterIn (etwa einen App-Store), und letztlich den/die EndnutzerIn. Letztere sind „Betroffene“ im Sinne des Datenschutzes. Verantwortlich ist der/die AnbieterIn, eventuell auch der/die App-Store BetreiberIn. [Kalteis, Neue Technologien und netzbasierte Medien als Herausforderungen des Datenschutzrechts 257ff; Baumgartner/Ewald, Apps und Recht (2016)2 60f Rz 189ff.]
Personenbezogene Daten sind solche, durch die Personen bestimmt oder bestimmbar sind [§ 4 Z 1 DSG] bzw. nach der DSGVO identifizierte oder identifizierbare natürliche Personen [Art 4 Z 1 DSGVO]. Diese Definition ist sehr weit, in der Regel wird es sich bei Daten, gerade bei Apps die auf mobilen Geräten laufen, in der Regel um personenbezogene Daten handeln. Der Unique Device Identifier (UDID) der iOS-Geräte ist grundsätzlich ein personenbezogenes Datum, ähnliches gilt für andere eindeutige Kennungen mobiler Geräte. Die IMEI-Nummer (International Mobile Station Equipment Identity), anhand derer jedes GSM- oder UMTS-Endgerät identifiziert werden kann, ist ein personenbezogenes Datum, auch IMSI (International Mobile Subscriber Identity), MSISDN (Mobile Station International Subscriber Directory Number) und Mac (Mobile Access Control) Adressen sind personenbezogene Daten. Standortdaten sind in der Regel personenbezogene Daten. Damit ist das strenge Datenschutzregime immer anwendbar. Auch die weiteren wichtigen Begriffe wie die Erhebung, Nutzung und die Verarbeitung von Daten sind so weit gefasst, dass Apps und deren Anwendungen davon immer umfasst sein werden [Kalteis, Neue Technologien und netzbasierte Medien als Herausforderungen des Datenschutzrechts 257ff; Baumgartner/Ewald, Apps und Recht (2016)2 68f Rn 220ff].
Der Ausgangspunkt des Datenschutzes in Hinblick auf personenbezogene Daten ist das allgemeine Verbot, diese zu verwenden. Daher muss sich ein Erlaubnistatbestand finden, das ist entweder eine gesetzliche Erlaubnisvorschrift, wie im Datenschutzregime selbst oder in anderen Gesetzen, alternativ braucht es die Einwilligung der betroffenen Person [Unger, Grundzüge des Datenschutzrechts (2015); Baumgartner/Konstantin, Apps und Recht (2016)2 69 Rz 225].
An die Einwilligung werden hohe Anforderungen gestellt, sie muss informiert, freiwillig und ausdrücklich sein. Das Kriterium „informiert“ heißt, aufgeklärt über den Zweck, den Umfang und die Art der Datenerhebung. Am besten gelingt diese Information in einer App-spezifischen Datenschutzerklärung. Es bedarf einer Offenlegung der verschiedenen Sensoren, die Daten sammeln, wie Kamera, Mikrophon etc., der Zugriffe auf Daten, die entweder auf der Device gespeichert oder in anderen Apps verarbeitet werden. Auch die jeweilige Nutzung von Tracking- und Analytics-Technologien sowie von Standortdaten sollte erläutert werden [Baumgartner/Ewald, Apps und Recht (2016)2 70ff Rn 227ff]. Pflichtinhalte [Baumgartner/Ewald, Apps und Recht (2016)2 71f Rn232] im Datenschutzrecht sind also die namentliche Nennung der verantwortlichen Stelle mit Adresse und Kontaktdaten; die Beschreibung der Daten, die von der App erhoben werden samt Standortdaten und deren Granularität; die Beschreibung der Gerätefunktionen oder Sensoren, auf die die App zugreift; die Erläuterung, zu wie und zu welchem Zweck die Daten erhoben und genutzt werden; die Bezeichnung der Dritten, an die Nutzerdaten übermittelt werden; der Zweck der Übermittlung an Dritte; die Beschreibung der Steuerungsmöglichkeiten des Endnutzers in Bezug auf die Erhebung, Nutzung und Verarbeitung seiner Daten; die Auswirkungen der Einwilligungsverweigerung für die Nutzung bzw. bestimmte Funktionen; Informationen über eine Datenverarbeitung außerhalb des EWR; ob und wie lange die Daten gespeichert werden.
Das zweite Kriterium der Freiwilligkeit ist erfüllt, wenn die Einwilligung ohne Druck erfolgt. In Deutschland gibt es hier auch ein Koppelungsverbot, die Gewährung von Leistungen darf nicht von der Zustimmung zu einer bestimmten Verarbeitung etwa zu Werbezwecken abhängig gemacht werden [Baumgartner/Ewald, Apps und Recht (2016)2 73f Rn 235ff; Feiler/Forgó, EU-DSGVO (2017) 12f]. In Österreich wird das so interpretiert, dass pauschale Einwilligungen verboten sind etwa für Werbezwecke, anders könnte es sein, wenn den Kunden und Kundinnen Alternativen angeboten werden, d.h. mit Zustimmung zur Werbung ist die Leistung kostenlos, ansonsten entgeltlich.
Das dritte Kriterium der Ausdrücklichkeit bedingt eine aktive Entscheidung, ein sogenanntes Opt-In. Nach derzeitiger Auffassung ist ein bloßes Opt-Out bzw. eine stillschweigende oder konkludente Annahme meist nicht ausreichend, denn es bedarf einer bewussten und eindeutigen, schriftlichen, also etwa angehakten, und protokollierten, sowie vom/von der NutzerIn jederzeit abrufbaren und jederzeit für die Zukunft widerruflichen (ex nunc) Zustimmung. Auch darauf ist ausdrücklich hinzuweisen.
Das neue Datenschutzregime bringt vor allem Informations- und Auskunftsrechte, sowie Berichtigungs- und Löschungsrechte für NutzerInnen. Diese finden sich in den Art 12ff der Datenschutzgrundverordnung bzw. ab der §§ 42ff im novellierten DSG. Auch auf diese neuen Rechte ist in der Datenschutzerklärung in der App zu verweisen. Daher muss ein Hinweis auf Beschwerderechte bei der Aufsichtsbehörde und deren Kontaktdaten, der Hinweis auf das Bestehen eines Rechts auf Auskunft und Berichtigung oder Löschung personenbezogener Daten, die Einschränkung der Verarbeitung der personenbezogenen Daten der betroffenen Person durch Verantwortliche in den bestehenden Erklärungen ergänzt werden. Auch die Rechtsgrundlage der Verarbeitung ist anzuführen.
Für pseudonymisierte Nutzerprofile, bei denen auch später keine Zusammenführung der Profile mit den Klardaten möglich ist, benötigt man keine Einwilligung, hier genügt der Opt-Out Link. Für Werbeeinwilligung können weitere Anforderungen nach UWG erforderlich sein [Baumgartner/Ewald, Apps und Recht (2016)2 73 Rn 236]. Die Werbe-ID IDFA (Identifier for Advertising) darf jedenfalls nur zur Werbung genutzt werden, sowohl bei Apple als auch bei Google. Für die Erhebung und Nutzung solcher Daten muss eine Einwilligung, vorliegen [Baumgartner/Ewald, Apps und Recht (2016)2 84 Rz 285].
App-Anbietern wird empfohlen, die Möglichkeit der Verlinkung auf die Datenschutzerklärung im jeweiligen App-Store zu nutzen [Baumgartner/Ewald, Apps und Recht (2016)2 72f Rn 234]. Für nicht kommerzielle Seiten kann grundsätzlich eine Verlinkung der Datenschutzerklärung auf eine Webseite ausreichend sein, für kommerzielle Seiten genügt das nicht. Die Zustimmung sollte protokolliert erfolgen, denn App-Anbieter müssen die Zustimmung auch nachweisen können.
5. Resümee
Die Informations- und Erklärungspflichten sind umfassend. In Hinblick auf die geforderte Auffindbarkeit und Lesbarkeit stellt dies gerade bei Apps eine gewisse Herausforderung dar. Trotzdem gilt es, umfassend zu informieren und zu erklären, zwecks Übersichtlichkeit empfehlen sich Überschriften mit gut zugänglichen Klapptexten darunter. Die Datenschutzgrundverordnung bzw. die Novelle zum Datenschutzgesetz 2000 bringt neue Rechte für Nutzerinnen und Nutzer, wie Berichtigungs- und Löschungsrechte, vor allem umfassende Informations- und Auskunftsrechte auch über die Rechte selbst.
Literatur:
- Baumgartner, Ulrich / Ewald, Konstantin, Apps und Recht, Beck Verlag, München (2016)2.
- Blaha, Ralf / Marko, Roland / Zellhofer, Andreas / Liebel, Helmut, Rechtsfragen des Cloud Computing Vertragsrecht – Datenschutz – Risiken und Haftungen, Medien und Recht Verlag, Wien (2011).
- Feiler, Lukas / Forgó, Nikolaus, EU-DSGVO, EU-Datenschutz-Grundverordnung, Verlag Österreich, Wien (2017).
- Jahnel, Dietmar / Mader, Peter / Staudegger, Elisabeth (Hg), IT-Recht, Verlag Österreich, Wien (2012)3.
- Kalteis, Michael, Neue Technologien und netzbasierte Medien als Herausforderungen des Datenschutzrechts, Untersuchungen am Beispiel von Cloud Computing, Smart Metering und dem Einsatz mobiler Apps, Verlag Österreich, Wien (2015).
- Manhardt, Sandra, Der „Software as a Service“-Vertrag, LexisNexis, Wien (2012).
- Unger, Kaja, Grundzüge des Datenschutzrechts, Linde Verlag, Wien (2015)2.
Autorin:
- Sabine Proßnegg, FH Joanneum
Für den Inhalt verantwortlich: FH JOANNEUM