Datenschutz und Apps-Was weiß Tinder über mich?

Veröffentlicht am Veröffentlicht in Allgemein, Datenschutz, Telemedienrecht

Judith Duportail arbeitet als freie Journalistin in Berlin und Paris. Seit den Wahlen in den USA, während denen  Wahlwerbung geschalten wurde, die gezielt  auf einzelne Internetnutzer zugeschnitten war (sog. Microtargeting; vgl.: https://www.for-net.info/2017/12/19/microtargeting-auf-facebook-eine-bedrohung-fuer-die-demokratie/ ),   sorgt sie sich um ihre Privatsphäre. Sie fragte deshalb bei „Tinder“ nach den von ihr produzierten Daten. Als Antwort erhielt sie eine achthundertseitige Liste, die auch durchaus intime Informationen enthielt. So hat „Tinder“ z.B. aufgezeichnet, wie viele Männer Duportail über die App kennenlernte. Ihr Beispiel zeigt: Bei der Nutzung von Apps geben wir viel von uns preis. Doch wie werden diese Daten eigentlich geschützt?  Der nachfolgende Artikel soll diese Frage im Rahmen des deutschen Datenschutzrechts erörtern.

Örtlicher Schutzbereich: Wann gilt das deutsche Datenschutzgesetz?

Das Bundesdatenschutzgesetz (BDSG) gilt grundsätzlich bei der Erhebung personenbezogener Daten im Inland. Maßgeblich ist das sog. Territorialprinzip, d. h. es kommt nicht auf die Staatsangehörigkeit des Betroffenen, sondern auf den Sitz des Anbieters an.  Hat der Anbieter seinen Sitz in Deutschland und geht die Datenerhebung von diesem aus, findet das BDSG Anwendung. Für grenzüberschreitende Sachverhalte enthält § 1 Abs. 5 BDSG eine entsprechende Regelung. Diese folgt der EU-Datenschutzrichtlinie (RL 95/45/EG), die im Mai 2018 von der Datenschutzgrundverordnung 679/2016 (DSGVO) ersetzt wird. Nach § 1 Abs. 5 S.1 BDSG findet das BDSG keine Anwendung, wenn die Datenerhebung von einer Niederlassung in einem anderen EU-Mitgliedsstaat ausgeht. Dann gilt vielmehr die nationale Regelung, die sich jedoch auch im Rahmen der noch geltenden EU-Datenschutzrichtlinie bewegen muss. Befindet sich die Niederlassung des Anbieters im EU-Ausland, ist das BDSG dann anwendbar, wenn im Inland Datenerhebungen erfolgen (§ 1 Abs. 5 S.2 BDSG). Da „Tinder“ auch in Deutschland Daten erhebt, ist das BDSG anwendbar, obwohl das Unternehmen seinen Sitz in Los Angeles hat.

Neben dem BDSG ist auch das Telemediengesetz (TMG) gem. § 1 Abs. 1 TMG einschlägig, denn Apps, die auf das Internet zugreifen, sind ein Telemedium im Sinne des Rundfunkstaatsvertrages (siehe Quelle 4, § 2 Abs. 1) und App-Anbieter Dienstanbieter im Sinne des § 2 Nr. 1 HS. 1 TMG.

 

Sachlicher Schutzbereich: Was wird geschützt?

 

Personenbezogene Daten

Zumindest Name, E-Mail-Adresse, Alter und Wohnort des App-Nutzers sind personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG. Auch GPS-Daten werden als personenbezogene Daten angesehen (BGH, NJW 2013, 2530).

Die Erhebung, Verarbeitung und Nutzung solcher personenbezogener Daten ist gem. § 4 Abs. 1 BDSG bzw. § 12 Abs. 1 TMG nur zulässig, wenn dies durch eine Rechtsvorschrift erlaubt ist oder der Betroffene eingewilligt hat.

Erlaubnisgründe

Ein Erlaubnisgrund ist § 28 BDSG, der unter anderem das Erheben von Daten zur „Begründung […] eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen“ erlaubt (§ 28 Abs. 1 Nr.1 BDSG) und so Apps mit Download- und Lieferservice ermöglichen soll. Die meisten Apps speichern Daten jedoch über einen längeren Zeitraum hinweg, bzw. mehr Daten als erforderlich, sodass § 28 BDSG keinen ausreichenden Erlaubnisgrund darstellt. Für App-Anbieter sollen daher vor allem die Erlaubnisgründe des TMG relevant sein. So erlaubt § 14 Abs. 1 TMG die Erhebung von sog. Bestandsdaten, wenn diese für das Vertragsverhältnis erforderlich sind. „Bestandsdaten sind personenbezogene Daten des Nutzers, die in allen Stadien der Durchführung des Vertragsverhältnisses notwendig sind, typischerweise Name, Anschrift, E-Mail-Adresse, Geburtsdatum oder Bankdaten“. (Müller-Broich in Telemediengesetz, 1.Auflage 2012, § 14 Rn. 2).Die Erforderlichkeit der Datenerhebung ist für den jeweiligen Einzelfall zu prüfen.

Völlig unabhängig von einem Vertragsverhältnis zwischen Telemedienanbieter und Nutzer ist hingegen der Erlaubnistatbestand des § 15 TMG. Dieser erlaubt Dienstanbietern die Erhebung von Nutzungsdaten. Nutzungsdaten sind gem. § 15 Abs. 1 TMG Daten, die erforderlich sind, „um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen“(vgl. Spindler/Nink, in:. Spindler/Schuster, Recht der elektronischen Medien, 3.Auflage 2015, § 15 Rn. 2). Als Beispiel hierfür nennt § 15 Abs. 1 Nr. 1 TMG „Merkmale zur Identifikation des Nutzers“, also beispielsweise IP-Adressen, Session-ID, Nutzername und Passwort. Nachdem es dabei zu Überschneidungen mit den Bestandsdaten kommen kann, ist eine Abgrenzung aber schwierig.

Wenn keiner der Erlaubnisgründe einschlägig ist, ist die Datenerhebung nur mit Einwilligung des Betroffenen zulässig.

Einwilligung

Eine Einwilligung entsprechend dem § 183 BGB ist die vorherige Zustimmung. Sie kann gem. § 13 Abs. 2 TMG elektronisch erklärt werden, wenn „der Nutzer [seine] Einwilligung bewusst und eindeutig erteilt hat“ (§ 13 Abs. 2 Nr. 1 TMG), „die Einwilligung protokoliert wird“ (§ 13 Abs. 2 Nr. 2 TMG), „der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann“ (§ 13 Abs. 2 Nr.3 TMG) und die Einwilligung auch widerrufbar ist (§ 13 Abs. 2 Nr. 4 TMG). Dagegen bedürfte eine Einwilligung nach dem § 4a Abs. 1 S.3 BDSG grundsätzlich der Schriftform, soweit nicht aufgrund besonderer Umstände eine andere Form angemessen ist. Nach einer üblichen Klassifikation sollen dabei Bestands- (§ 14 TMG) und Nutzungsdaten (§ 15 TMG) den Regelungen des TMG, die gesetzlich nicht definierten Inhaltsdaten dagegen mit Einschränkungen den Regelungen des BDSG unterfallen. Eine andere Ansicht will Inhaltsdaten analog § 15 TMG als Nutzungsdaten behandeln. Inhaltsdaten sind Daten, die Nutzer und Anbieter online austauschen, um ein Vertragsverhältnis zu begründen, das (wohl je nach Ansicht) gerade keinen Telemediendienst mehr darstellt. Als Beispiel hierfür wird der Online-Kauf genannt, denn die Bezahlung und Lieferung der Ware erfolgen nicht im Internet.

Die wohl gängigste Möglichkeit, den Anforderungen an die erforderliche Einwilligung gerecht zu werden, ist das sog. Opt-In. Der Begriff stammt vom englischen Wort „to opt“ ab, welches so viel bedeutet wie „sich für etwas entscheiden“. Das Opt-In ist also ein ausdrückliches Zustimmungsverfahren. Üblicherweise wird vor der Installation der App (z.B. im Playstore) angezeigt, auf welche Funktionen (Standort, Adressbuch etc.) sie zugreift und ggf. in der App eine Datenschutzerklärung angezeigt. Auf diese Weise geht auch „Tinder“ vor. Hier soll aber bereits keine vorherige Zustimmung vorliegen, weil das Herunterladen und Installieren schon eine App-Nutzung darstelle. Wie oben dargestellt, muss die Zustimmung aber vor der Nutzung erfolgen. Auch lässt sich kritisieren, dass der Einwilligung immer dann, wenn sich sozial oder ökonomisch ungleiche Vertragspartner gegenüberstehen, nur eine fiktive Legitimationswirkung zukommt, da in diesen Fällen oft an ihrer Freiwilligkeit gezweifelt werden dürfte.

 

Fazit

Beim Download von Apps ist es ratsam, sich kritisch mit der enthaltenen Datenschutzerklärung auseinanderzusetzen.

 

Quellen

1: http://www.sueddeutsche.de/digital/datenschutz-bei-tinder-meine-geheimnisse-sind-im-netz-nicht-sicher-1.3687058

2: http://www.socialmediarecht.de/2014/09/12/datenschutz-bei-apps-oder-alles-egal-wenn-es-ums-dating-mit-tinder-co-geht-2/
3: http://www.handelsblatt.com/unternehmen/dienstleister/gruender-der-dating-app-bittet-zum-gespraech-tinder-ist-beliebt-bei-jungen-nutzern/11747652-2.html

4:http://www.ard.de/download/538848/Staatsvertrag_fuer_Rundfunk_und_Telemedien_in_der_Fassung_des_20__Aenderungsstaatsvertrags__vom_8__bis_16__12__2016.pdf

5:https://de.wikipedia.org/wiki/Opt-in

6: Gusy in BeckOK Datenschutzrecht, 22. Edition 2016, BDSG, § 1 Rn. 99 ff.

7:  Gola/Klug/Körffer, in Gola/Schomerus BDSG, 12. Auflage 2015, § 3 Rn. 6

8: Müller-Broich in Telemediengesetz, 1.Auflage 2012, § 1 Rn. 2

9:  Müller-Broich in Telemediengesetz, 1.Auflage 2012, § 14 Rn. 2

10:
Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, 3. Auflage 2015, TMG, §15 Rn.2

11: Franzen in Erfurter Kommentar zum Arbeitsrecht, 18. Auflage 2018, BDSG, § 4a Rn. 1

12:
Conrad/Strittmatter in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, Teil G, § 22 Rn. 171

13: Tinnefeld/Buchner in BeckOK Datenschutzrecht, 22. Edition 2017, BDSG Medien, Rn. 95 f.

14: vgl. Kühling in BeckOK Datenschutzrecht, 22. Edition 2017, § 4a BDSG Rn. 2

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*