Google Play verlangt jetzt Datenschutzerklärung für Apps bis zum 15.03! (was nach dem Gesetz und den bestehenden Entwicklerrichtlinien an sich keine neue Anforderung ist)

Nach einer Meldung vom gestrigen Tage (09.02.) (u.a. bei Heise, GoogleWatchBlog, ZDNet) verlangt Google Play nun, dass in den Store eingestellte Apps eine Datenschutzerklärung enthalten – und droht mit dem Entfernen der Apps aus dem Store, wenn nicht bis zum 15. März (!) Datenschutzrichtlinien vorliegen. Mhm, dachte ich, okay, der 15.03., das ist mal ein knackiger Zeithorizont für die App-Betreiber und wird bei dem einen oder anderen für Schweiß auf der Stirn sorgen. Aber sonst? Eigentlich ist das alles doch nichts Neues?

Nun aber von vorne und der Reihe nach: Wie ist die Rechtslage, was will Google und was müssen Sie als App-Betreiber tun?

Google verlangt schon lange eine Datenschutzerklärung für Apps

Denn zum einen verlangt Google de facto gar nichts Neues. Die Entwicklerrichtlinien von Google Play sieht schon seit gefühlten Ewigkeiten (ich weiß nicht genau seit wann, jedenfalls mindestens so lange, wie ich mich mit dieser Thematik beschäftige) vor, dass eine App eine Datenschutzerklärung vorhalten muss und der Nutzer über die Verwendung der Nutzerdaten aufklären muss und dass Entwickler neben der hauseigenen Richtlinien gegebenenfalls noch weitere Verfahren und national geltendes Recht zu beachten haben. Nach einem Blick in die aktuellen Entwicklerrichtlinien zu personenbezogenen und vertraulichen Daten kann ich nur feststellen, dass nun noch ausdrücklicher formuliert ist, worüber aufzuklären ist und an welcher Stelle die Datenschutzerklärungen zu implementieren sind und das ganz ausdrücklich die „aktive“ Zustimmung zu Datenverwendungen verlangt wird.

Das Gesetz verlangt ohnehin Datenschutzerklärungen

Das ist das eine. Zum anderen verlangt das Gesetz nach § 13 TMG ohnehin eine Datenschutzerklärung und bewehrt mangelhafte Datenschutzerklärungen und/oder unzulässige Datenerhebungen nach § 16 TMG bzw. § 44 BDSG mit Bußgeldern von bis zu 50.000 bzw. 300.000 EUR. Bislang schreckte dies die wenigsten, da die Datenschutzbehörden bislang eher selten und wenn dann in der Regel weitaus geringere Bußgelder verhängten.  Auch das datenschutzrechtliche Verstöße schon seit Jahren von Mitbewerbern wettbewerbsrechtlich abgemahnt werden können ist zwar inzwischen anerkannt – führt aber auch noch nicht dazu, dass Datenschutzerklärungen als ein ernsthafter Baustein der App-Entwicklung betrachtet werden.

Die Datenschutzgrundverordnung betrifft auch App-Entwickler und Betreiber

Doch. Das Gesetz ändert sich. Aus dem BDSG wird die DSGVO und das DSAnpUG-EU. Dem geneigten Blogleser ist all das ein Begriff, gibt es hier doch schon eine inzwischen siebenteilige Serie zur DSGVO und den Änderungen, die auf die Unternehmen zukommen.


Für diejenigen, die noch nichts von der DSGVO und die recht massiven Auswirkungen für Unternehmen gehört haben, hier noch einmal in aller Kürze:

Im Mai 2018 erlangt die Datenschutzgrundverordnung Wirksamkeit. Datenschutzverstöße die in einer mangelnden oder mangelhaften Information und Aufklärung der Betroffenen zu sehen sind (Verstöße gegen Art. 12 bis 14 der DSGVO) sind dann mit Bußgeldern von bis zu 20 Millionen EUR bzw. 4% des weltweiten Jahresumsatzes bedroht. (Nein, Sie haben sich nicht verlesen). Die Intention des Gesetzgebers hinter den hohen Bußgeldandrohungen ist klar: Die Anwender, also die Unternehmen, sollen den Datenschutz endlich genauso ernst wie das HGB, die AO und/oder das Produkthaftungsgesetz nehmen und den Datenschutz nicht mehr nur als „nice to have“ betrachten. Wenn Sie wissen möchten, welchen Informationspflichten Sie nach der DSGVO konkret unterliegen, lesen Sie gern den Artikel:

Die Informationspflichten und Auskunftspflichten der Unternehmen nach der DSGVO (Teil 5 der Reihe zur DSGVO „Worauf müssen sich Unternehmen einstellen?“).


Was bedeutet das nun alles konkret? 

Vermutlich strafft Google hier noch einmal explizit die Entwicklerrichtlinien unter anderem angesichts der am Horizont stehenden DSGVO. Möglicherweise will Google jedoch mit den schärferen Anforderungen den Datenschutzbehörden weiter entgegenkommen, mit denen Google, höflich ausgedrückt, in stetem Austausch steht.

Für Sie als App-Betreiber bedeutet es jedenfalls, dass Sie dringend Datenschutzrichtlinien implementieren müssen. Was diese dem Grunde nach enthalten müssen und wie und wo diese implementiert werden müssen, das haben können Sie im Artikel:

Von der Idee über die Entwicklung bis zur Vermarktung einer App – Wo liegen die rechtlichen Hürden? (Part 2)

ausführlich nachlesen.

Erstellen Sie keine Datenschutzrichtlinie und stellen Sie diese nicht ordnungsgemäß bis zum 15. März nach den Vorgaben von Google zur Verfügung, kann Ihre App aus dem Google Play Store entfernt werden – vermutlich kein all zu schönes Szenario.

Himmel! Und jetzt!? 

Seien wir doch ehrlich: Vermutlich haben Sie irgendwie schon von der gesetzlichen Verpflichtung zum Vorhalten von Datenschutzerklärungen bei Apps gehört. Aber Ihre Haltung sah vielleicht so aus:  „Hey! Ja… aber da kümmert sich doch keiner kaum einer drum, warum sollen wir das machen!?“ Und möglicherweise haben Sie auch von der Datenschutzgrundverordnung gehört – und sie verdrängt. Die Anforderungen von Google können Sie nicht verdrängen. Denn sonst verdrängt Google Sie, bzw. Ihre App. Und das ist dann im Zweifel wirklich teuer. (Der Aufwand, die Zeit, die Verluste).

Nun können Sie ein „Ausweichmanöver“ starten und irgendeine Datenschutzerklärung zusammenschreiben oder abschreiben. Das kann man machen. Aber die Wahrscheinlichkeit, dass Sie dann tatsächlich über die konkreten Datenverwendungen Ihrer App hinreichend aufklären, informieren und die benötigten Einwilligungen einholen, sind… nun ja, erfahrungsgemäß gering (ganz davon abgesehen, dass auch das Kopieren von Vertragstexten aus urheberrechtlicher Sicht eine nicht so kluge Idee sein kann). Und damit nützt Ihnen das Abschreiben nichts.

Vielleicht wäre es deswegen einfach an der Zeit, den Datenschutz und die datenschutzrechtlichen Anforderungen ernst zu nehmen und eine den gesetzlichen Anforderungen entsprechende Datenschutzerklärung zu erstellen. In diesem Fall sind Sie dann auch so gleich, jedenfalls in dieser Hinsicht, für den Mai 2018 gerüstet und vermeiden das Risiko horrender Bußgelder.

Eine kleine Warnung, nein vielmehr noch ein Tipp an dieser Stelle:  Bitte denken Sie gar nicht erst daran, die Datenschutzerklärung einer einfachen Webseite mit der für eine App zu vergleichen. Und bitte, bitte, kopieren Sie nicht einfach die Datenschutzerklärung Ihrer Webseite in die App bzw. den App-Store. Bitte nicht. Das geht nicht gut. Denn die Datenerhebungen und -verwendungen von Apps sind regelmäßig wesentlich komplexer als die von einfachen Unternehmenswebseiten.

Sollten Sie jetzt Ihre Stirn runzeln: Es nützt nichts. Kümmern Sie sich im eigenen Interesse um Ihre Datenschutzerklärungen, um den Anforderungen von Google und der DSGVO nachzukommen.

In diesem Sinne,

the requirement of  Privacy Policies is no fake news (even if the Google Threat of the 15th would be one). Sorry, mate. And btw, no reason for tweeting furiously with all caps now. 😉

PS: Wenn Sie Hilfe bei der Erstellung der Datenschutzerklärung benötigen, können Sie sich natürlich auch sehr gerne einfach an die Anwaltskanzlei Diercks wenden. Melden Sie sich gerne unverbindlich, wir besprechen dann mit Ihnen die gemeinsam zu gehenden Schritte sowie vorab die möglichen Kosten.

Das könnte Sie in diesem Zusammenhang auch noch interessieren:

Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Das Setzen von Links als Urheberrechtsverletzung (LG Hamburg, Az. 310 O 402/16)

Vertragsgestaltung in der Medien- und IT-Branche – Teil 2

Vertragsgestaltung in der Medien- und IT-Branche – Teil 1

Steht die Kennzeichnung „Sponsored“ im Netz vor dem Aus? (LG München, Az. 4 HK O 21172/14)

Agenturvertrag: Wenn die Agentur die Bilder für den Internetauftritt liefert

Von der Idee über die Entwicklung bis zur Vermarktung einer App – Teil 2

Von der Idee über die Entwicklung bis zur Vermarktung einer App – Teil 1

Die Flatrate im Agenturvertrag (LG Köln, Az. 12 O 186/13)

Von den rechtlichen Fallstricken bei der Auswahl der eigenen Domain

Social Media im Unternehmen – Von Aufbewahrungspflichten und Persönlichkeitsrechten