Jusletter IT

Smartphones und Datenschutz

  • Author: Egmar Wolfeil
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection
  • Collection: Tagungsband-IRIS-2013
  • Citation: Egmar Wolfeil, Smartphones und Datenschutz, in: Jusletter IT 20 February 2013
Zu Beginn des Jahres 2012 wurde bekannt, dass die Nutzung von Apps auf der Grundlage der Betriebssysteme IOS, Android und Windows Phone mit erheblichen Datenschutzrisiken verbunden sein kann. Die Anbieter der genannten Betriebssysteme haben zwar inzwischen einige Verbesserungen eingeführt. Aber es bestehen nach wie vor erhebliche Risiken. Die nachfolgende Untersuchung beschreibt zunächst eine Reihe von Tricks der Anbieter von Apps, mit denen diese vom User oft unbemerkt Daten abziehen und sogar ohne dessen Zustimmung zahlungspflichtige Vorgänge auslösen. Anschließend werden Maßnahmen beschrieben, mit denen die Risiken vermindert werden können, z.B. durch geeignete Einstellungen in den Betriebssystemen. Weiters wird erörtert, welche rechtlichen Möglichkeiten bei Verletzung von Bestimmungen des Datenschutzes bestehen, gegen die Täter vorzugehen. Ebenso wird der eingeschränkte Rechtsschutz bei Anbietern mit Sitz außerhalb von Österreich und der EU dargestellt.

Inhaltsverzeichnis

  • 1. Das Problem
  • 2. Selbstschutz
  • 3. Rechtsschutz
  • 3.1. Gegen wen wo klagen?
  • 3.2. Mögliche Klageansprüche Betroffener
  • 4. Strafrechtliche Sanktionen
  • 5. Fazit

1.

Das Problem ^

[1]
Im Laufe des Jahres 2012 wurde durch Untersuchungen von Verbraucherzentralen und Datenschützern erkennbar, dass die kleinen und meist kostenlosen Anwendungen nicht nur Nützliches für die Verbraucher bereitstellen, sondern ohne Zustimmung der Anwender vielfach Daten im Interesse der Anbieter oder der hinter Ihnen stehenden gewerbsmäßigen Datensammlungs- und Auswertungsunternehmen wie «flurry» und «localytics» übertragen. Diese Firmen erzeugen damit Kundenprofile, die sie in der Werbebranche vermarkten. Dabei begnügen sich Anwendungen vielfach nicht nur mit den vom Nutzer eingegebenen Daten, sondern kopieren ohne dessen Zustimmung die Adressdaten aus Kontaktdateien und senden diese zum Teil unverschlüsselt im Klartext durch das Internet.
[2]
Nach einer Untersuchung von 63 Apps hat die Stiftung Warentest1 neun davon als sehr kritisch, 26 als kritisch und nur 28, also weniger als die Hälfte, unter Datenschutzgesichtspunkten als unkritisch bewertet. Bei den neun Spitzenreitern häuften sich folgende Unsitten:
[3]
Diese Apps verschicken Daten, die zum Betrieb nicht erforderlich sind, sie übermitteln Daten heimlich ohne Zustimmung des Nutzers, zum Teil werden die Daten unverschlüsselt gesendet, so dass sie von Dritten mitgelesen werden können. Einige Programme, z.B. «Foodspotting», «Whatsapp», «Gowalla» und «Yelp», übertragen Namen, E-Mail-Adressen und Telefonnummern nicht anonymisiert an eigene oder fremde Server.
[4]
Was ist dagegen zu tun?

2.

Selbstschutz ^

[5]
Zunächst ist ein gewisser Selbstschutz durch geeignete Einstellungen im Smartphone-Betriebssystem angebracht. Im Betriebssystem IOS von Apple gibt es nicht etwa unter dem Punkt «Datenschutz», sondern etwas versteckt im Menu Einstellungen unter «Allgemein/Info/Werbung» einen Schalter «Ad-Tracking beschränken», der von «0» auf «I» gesetzt werden muss. Im System Android von Google sollten die Standortdienste nur dann eingeschaltet werden, wenn sie benötigt werden, bei Android 4.0 unter «Einstellungen»-> «Standortdienste» und bei Android 2.3x unter «Standort&Sicherheit». Bei Android ist im Browser standardmäßig «google» als Starseite eingestellt. Das sollte man unter «Einstellungen» -> «Allgemein» ändern. Um personalisierte Werbung an Nutzer senden zu können, wird bei der Nutzung von Apps regelmäßig die Gerätekennung an Google und auch die Anbieter von Apps übermittelt. Um das zu vermeiden, sollte in den Einstellungen des «Android Market» das Häkchen bei AdMob entfernt werden.2 Generell sollte man beim Herunterladen von Apps prüfen, welche Berechtigungen verlangt werden, ob diese für das Programm von Bedeutung sind und ob einem der Nutzen des Programms ggf. den Datenverlust wert ist. Windows Phone gilt im Vergleich zu IOS und Android als das Betriebssystem mit dem größten Sicherheitsstandard, u.a. weil es grundsätzlich keine Hintergrundprogramme erlaubt und so den Datenabfluss durch Malware verhindert.3

3.

Rechtsschutz ^

[6]
Selbst bei aufmerksamer und verantwortlicher Nutzung von Smartphones wird es sich nicht immer verhindern lassen, dass unberechtigt Daten abgezogen werden. Es kann also der Fall eintreten, dass man sich gegen die Verletzung des Rechts auf Geheimhaltung personenbezogener Daten wehren muss. Wenn der «Täter» in Österreich ansässig ist, bereitet das die geringsten Probleme. Bei ohne Einwilligung des Betroffenen erhobenen Daten kann gemäß § 27 Abs. 1 DSG 2000 Löschung verlangt und im Falle einer Weigerung oder nicht rechtzeitigen Löschung Klage auf dem Zivilrechtsweg auf Löschung und Unterlassung, §§ 1 Abs. 5 und 32 Abs. 1 u. 2 DSG 2000, erhoben werden, es sei denn, es liegen Rechtfertigungsgründe gemäß §§ 7 bis 9 DSG 2000 vor.
[7]
Bei einem ausländischen Anbieter geht es um die Fragen, wo geklagt werden kann und welches Recht anzuwenden ist. Es ist zunächst zwischen Gesellschaften mit Sitz in der EU und solchen außerhalb zu differenzieren.
[8]

Für die EU ist die Verordnung (EG) Nr. 44/2001 des Rates vom 22. Dezember 2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen maßgeblich. Eine App. kann man als Dienstleistung für den Nutzer ansehen, so dass gemäß Art. 5 Abs. 1 b der genannten VO bei einer Verletzung des Anspruches auf Geheimhaltung die Gerichte in Österreich zuständig wären. Außerdem dürfte es sich um ein Verbrauchergeschäft handeln, weil der Nutzer einer App. im Verhältnis zu deren Anbieter regelmäßig als Verbraucher und letzterer als Unternehmer anzusehen ist. Damit sind auch nach Art 15 Abs. 1 c der VO 44/2001 die österreichischen Gerichte zuständig. In einer Entscheidung des EuGH aus dem Jahre 2011 hat dieser bestätigt, dass Verbraucher einen Unternehmer auch vor inländischen Gerichten verklagen können, wenn die berufliche und gewerbliche Tätigkeit des Anbieters auf das Heimatland des Verbrauchers ausgerichtet ist.4 Gesellschaften mit Sitz in einem anderen EU-Mitgliedstaat, die ihre Leistungen via Internet in Österreich anbieten, können also auch dort verklagt werden.

[9]
Die Frage, welches Recht die österreichischen Gerichte anzuwenden haben, bestimmen Art. 4 Abs.1 DSRL und § 3 Abs. 2 und 3 DSG 2000. Daraus ergibt sich die Regel, dass bei einem Auftraggeber mit Sitz in einem EU-Mitgliedstaat das in diesem Mitgliedstaat geltende Datenschutzrecht maßgeblich ist. Hat der Auftraggeber dagegen seinen Sitz außerhalb der EU, ist der Ort der Datenverwendung Anknüpfungspunkt für die Anwendbarkeit der nationalen Rechtsordnung, ggf. also Österreich. Daraus folgt, dass bei einem Auftraggeber (Datenverwender, d.h. derjenige, der die Daten verarbeitet und übermittelt, § 4 Ziffer 8 DSG 2000) mit Sitz in Österreich das DSG 2000 anzuwenden ist, bei einem Auftraggeber mit Sitz in einem anderen EU-Staat das dort geltende Datenschutzrecht, bei einem Auftraggeber mit Sitz außerhalb der EU wieder das österreichische Datenschutzrecht, wenn eine Datenverwendung in Österreich stattfindet.5 Auch in den Fällen, in denen ausländisches materielles Recht anzuwenden ist, gilt österreichisches Verfahrensrecht.6
[10]
Bei den Gesellschaften mit Sitz außerhalb der EU, die ihre Dienstleistungen via Internet in Österreich anbieten, richtet sich die gerichtliche Zuständigkeit nach österreichischem Internationalen Zivilprozessrecht. Dabei ist zunächst zu prüfen, ob bilaterale Abkommen mit dem betreffenden Staat bestehen. Soweit das nicht der Fall ist, richtet sich die Zuständigkeit nach der Jurisdiktionsnorm. Nach § 27a Abs.1 JN besteht eine inländische Gerichtsbarkeit in allen Fällen, in denen die Voraussetzungen für die örtliche Zuständigkeit für eine bürgerliche Rechtsstreitigkeit gegeben sind. Nach § 32 Abs. 4 DSG 2000 ist das Landesgericht für Klagen auf der Grundlage des DSG 2000 zuständig, in dessen Sprengel der Betroffene seinen gewöhnlichen Aufenthaltsort hat. Damit sind die Landesgerichte für Klagen gegen Auftraggeber mit Sitz im außerhalb der EU bei Datenverwendungen im Inland zuständig und die Beurteilung erfolgt auf der Grundlage des österreichischen Rechts. Ein entsprechendes Ergebnis ergibt die Prüfung nach österreichischem IPR. Nach § 1 Abs. 1 IPRG sind Sachverhalte mit Auslandsberührung in privatrechtlicher Hinsicht nach der Rechtsordnung zu beurteilen, zu der die stärkste Beziehung besteht. Unter Berücksichtigung der Tatsache, dass die App-Leistung in Österreich angeboten wird und auch hier ggf. die unzulässige Datenübermittlung stattfindet, kann man annehmen, dass der Schwerpunkt der Rechtsbeziehung in Österreich liegt, also österreichisches Recht anzuwenden ist.

3.1.

Gegen wen wo klagen? ^

[11]
Weiters ist im Einzelfall zu prüfen, gegen wen ggf. eine Klage zu richten ist. Soweit die App-Anbieter einen Sitz in der EU haben, ist auch die Vollstreckung eines Urteils rechtlich unproblematisch. Die Anerkennung und Vollstreckung richten sich ggf. nach Art. 33 ff VO 44/ 2001. Soweit das nicht der Fall ist, wird die Vollstreckung österreichischer Urteile schwierig, wenn keine entsprechenden bilateralen Abkommen bestehen. In der Regel findet dann eine nochmalige sachliche Prüfung nach dem Recht des fremden Staates statt. Damit bringt in diesen Fällen ein Verfahren in Österreich keine Vorteile, so dass man entweder unmittelbar in dem Sitzstaat des App-Anbieters klagen oder auch unter wirtschaftlichen Gesichtspunkten von einer Rechtverfolgung absehen sollte.
[12]

Bei der Verwendung einiger Apps werden Daten nicht nur an den jeweiligen Anbieter übermittelt, sondern auch an die Betreiber der Plattformen. Google hat einen Sitz in Österreich:

Google Austria GmbH,
Graben 19/9
1010 Wien,

[13]

ebenso Microsoft:

Microsoft Österreich GmbH
Am Euro Platz 3
1120 Wien.

[14]

Der Sitz der iTunes S.à.r.l., über welche von Apple Apps bezogen werden können, befindet sich in Luxemburg:

Rue Saint Zithe 31-33
2763 Luxembourg.

[15]
Folgende Maßnahmen sind bei unrechtmäßiger Verwendung von Daten denkbar:
[16]
Bei begründetem Verdacht einer schwerwiegenden Datenschutzverletzung durch einen Auftraggeber des privaten Bereichs ist die Datenschutzkommission gehalten, gegen diese eine Feststellungsklage zu erheben, § 32 Abs. 5 DSG 2000. Dies wäre z.B. in den Fällen denkbar, in denen nicht nur unbemerkt Daten abgezogen, sondern ohne Zustimmung des Smartphone-Besitzers Bestellungen und damit verbundene Zahlungsvorgänge ausgelöst werden.

3.2.

Mögliche Klageansprüche Betroffener ^

[17]
Im Einzelnen sind folgende Ansprüche Betroffener denkbar:
[18]
Es kann auf Löschung, § 32 Abs. 1 DSG 2000, und Unterlassung, § 32 Abs. 2 DSG 2000, geklagt und hinsichtlich der Unterlassung auch eine einstweilige Verfügung beantragt werden, § 32 Abs. 3 DSG 2000. Weiters sind bei schuldhaften Verhalten des Auftraggebers bzw. seiner Mitarbeiter Schadenersatzansprüche möglich, § 33 Abs. DSG 2000.

4.

Strafrechtliche Sanktionen ^

[19]
Wenn die die widerrechtliche Beschaffung von Daten vorsätzlich in der Absicht erfolgt, sich ungerechtfertigte Vermögensvorteile zu verschaffen, kann dies mit Freiheitsstrafe von bis zu einem Jahr bestraft werden, § 51 DSG 2000. Es handelt sich um ein Offizialdelikt.
[20]
Sofern die Voraussetzungen des § 51 DSG 2000 nicht gegeben sind, kommt eine Verwaltungsstraftat in Betracht, z.B. wenn Daten vorsätzlich unter Verletzung des Datengeheimnisses, § 15 DSG 2000, übermittelt und für andere als die vorgesehenen Zwecke verwendet werden, § 52 Abs. 1 Ziffer 2 DSG 2000.

5.

Fazit ^

[21]
Zusammenfassend lässt sich feststellen, dass App-Nutzer rechtswidrigen Datenverwendungen nicht völlig schutzlos ausgeliefert sind. Das Problem liegt nicht so sehr in der Frage des Rechtsschutzes, sondern mehr in dessen mangelnder Inanspruchnahme. Vielen Nutzern sind die mögliche Tragweite der umfangreichen und dauerhaften Speicherung ihrer personenbezogenen Daten und die damit verbundene Offenlegung ihrer Privatsphäre nicht bewusst, so dass sie sich in der Regel nicht spontan dagegen wehren, oft auch aus Bequemlichkeit. Das kann sich in Zukunft ändern, wenn Nutzer des Internet zunehmend mit viele Jahre zurückliegenden Informationen konfrontiert werden, die sie selbst bereits vergessen oder verdrängt hatten und auch gerne in der Vergessenheit belassen hätten.

 


 

Egmar Wolfeil, Dissertant, Universität Wien, Arbeitsgruppe Rechtsinformatik.

 


 

  1. 1 Ausgespäht, Datenschutz bei Apps, test, Heft 6/2012, http://www.test.de/Datenschutz-bei-Apps-Welche-Apps-Ihre-Daten-ausspaehen-4378643-0/ aufgerufen: 17.12.2012.
  2. 2 Näheres unter «Android Datenschutz-Tipps», http://www.mysha.de/blog/4-android-datenschutz-tipps aufgerufen: 18.12.2012.
  3. 3 Smartphone, Vergleich der drei wichtigsten Sicherheitsmerkmale,
  4. 4 EuGH Urteil vom 06.09.2012, RS C-190/11, Mühlleitner gegen Yusufi, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62011CJ0190:DE:HTML aufgerufen: 18.12.2012.
  5. 5 Jahnel, Handbuch des Datenschutzes, Jan Sramek Verlag 2010, Anm. 3/24, S. 93.
  6. 6 Jahnel a.a.O. Anm. 9/70, Seite 543; Dohr/Pollirer/Weiss/Knyrim, DSG-Kommentar, Stand 15. 03.2012, § 34 Anm.4.