Mil­lio­nen­buß­geld gegen App-Anbieter: Daten­schutz bei der Pro­dukt­ent­wick­lung nicht vernachlässigen

Mit Bescheid vom 13. Dezem­ber 2021 hat die nor­we­gi­sche Daten­schutz­auf­sichts­be­hör­de (Data­til­syn­et) gegen den Anbie­ter der App “Grin­dr” wegen Ver­stö­ßen gegen die Datenschutz-Grundverordnung (DSGVO) ein Buß­geld in Höhe von etwa 6,5 Mil­lio­nen Euro ver­hängt. Der Fall ist ein Para­de­bei­spiel für die Fol­gen einer unzu­rei­chen­den Berück­sich­ti­gung daten­schutz­recht­li­cher Anfor­de­run­gen bei der Produktentwicklung.

Daten­schutz­ver­stö­ße bei “Grin­dr”

Die nor­we­gi­sche Daten­schutz­auf­sichts­be­hör­de stützt ihren Buß­geld­be­scheid auf die rechts­wid­ri­ge Wei­ter­ga­be per­so­nen­be­zo­ge­ner Daten zum Zweck der ver­hal­tens­be­zo­ge­nen Wer­bung. Zur Begrün­dung führt die Behör­de aus, dass die Nut­zer von “Grin­dr” nahe­zu aus­schließ­lich aus der LGBTQ+-Community stam­men und daher bereits der Umstand, dass eine Per­son­die App nut­ze, Auf­schluss über die sexu­el­le Ori­en­tie­rung des Nut­zers gibt. Die Behör­de geht daher davon aus, dass Daten, die auf eine Nut­zung von “Grin­dr” hin­deu­ten, unter Art. 9 Abs. 1 der DSGVO fal­len und zu Wer­be­zwe­cken nur mit einer aus­drück­li­chen Ein­wil­li­gung des Betrof­fe­nen ver­ar­bei­tet wer­den dür­fen. Das Akzep­tie­ren von all­ge­mei­nen Daten­schutz­be­stim­mun­gen genügt den Anfor­de­run­gen der Daten­schutz­auf­sichts­be­hör­de inso­weit nicht. Bei der Bemes­sung des Buß­gelds hat die Behör­de neben der Grö­ße und der finan­zi­el­len Situa­ti­on des App-Anbieters auch Ver­bes­se­run­gen des Ein­wil­li­gungs­ma­nage­ments zum Anlass genom­men, das Buß­geld zu redu­zie­ren. Im Rah­men des Buß­geld­ver­fah­rens hat­te die Behör­de ursprüng­lich ein Buß­geld in Höhe von etwa 10 Mil­lio­nen Euro angesetzt.

Datenschutz-Compliance: Die Pro­dukt­ent­wick­lung stellt die Weichen

Der Fall “Grin­dr” zeigt ein­drück­lich, wel­che Kon­se­quen­zen Unter­neh­men dro­hen, die daten­schutz­wid­ri­ge Pro­duk­te oder Dienst­leis­tun­gen anbie­ten. Neben Buß­gel­dern, der Unter­sa­gung von Daten­ver­ar­bei­tungs­tä­tig­kei­ten oder der Ver­pflich­tung zur Löschung von Daten ist dabei ins­be­son­de­re auch an die Gel­tend­ma­chung von Scha­dens­er­satz­an­sprü­chen durch Nut­zer zu den­ken. Nicht zu unter­schät­zen ist auch die Pro­ble­ma­tik, dass ein Pro­dukt oder eine Dienst­leis­tung nicht von Unter­neh­men genutzt wer­den kann, weil dies außer­halb per­sön­li­cher oder fami­liä­rer Zwe­cke nicht daten­schutz­kon­form mög­lich ist. Ein Bei­spiel hier­für sind die Dis­kus­sio­nen um die App “Club­house” im ver­gan­ge­nen Jahr.

Die daten­schutz­recht­li­chen Anfor­de­run­gen an die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­ten von Unter­neh­men zur Ver­mei­dung von Haf­tungs­ri­si­ken und ande­ren Nach­tei­len bereits im Rah­men der Pro­dukt­ent­wick­lung berück­sich­tigt wer­den. Neben einer Rechts­grund­la­ge für die Daten­ver­ar­bei­tung, die ins­be­son­de­re bei daten­in­ten­si­ven Geschäfts­mo­del­len und Dritt­lands­über­mitt­lun­gen zu beach­ten sind, ist dabei ins­be­son­de­re auch der Daten­schutz durch Tech­nik­ge­stal­tung (Art. 25 Abs. 1 DSGVO) zu beach­ten. Wird bei der Rechts­grund­la­ge für die Daten­ver­ar­bei­tung auf eine Ein­wil­li­gung zurück­ge­grif­fen, soll­ten bereits im Sta­di­um der Pro­dukt­ent­wick­lung geeig­ne­te Mecha­nis­men zur wirk­sa­men Ein­ho­lung der Ein­wil­li­gung und deren Doku­men­ta­ti­on vor­ge­se­hen werden.

Was gilt es noch zu beachten?

Ins­be­son­de­re bei der Ent­wick­lung und Bereit­stel­lung von Apps soll­ten Unter­neh­men neben den ori­gi­när daten­schutz­recht­li­chen The­men auch die Anfor­de­run­gen des TTDSG an die Spei­che­rung von Coo­kies und ande­ren Infor­ma­tio­nen auf den End­ge­rä­ten des Nut­zers beach­ten. Sind die­se nicht tech­nisch unbe­dingt erfor­der­lich, ist für die Spei­che­rung – los­ge­löst von der DSGVO – eine Ein­wil­li­gung erfor­der­lich. Ins­be­son­de­re im B2C-Geschäft ist dar­über hin­aus an die Rege­lun­gen der §§ 327 ff BGB zu den­ken, die seit dem 1. Janu­ar 2022 Ver­trä­ge über digi­ta­le Pro­duk­te als neu­en Ver­trags­ty­pus regeln. Dass die­se auch eine Pflicht zur Bereit­stel­lung von Sicher­heits­up­dates nach dem Stand der Tech­nik ent­hal­ten, ver­deut­licht zugleich, dass neben daten­schutz­recht­li­chen Vor­ga­ben auch die recht­li­chen Anfor­de­run­gen an Cyber­si­cher­heit zuneh­mend von Her­stel­lern und Anbie­tern zu berück­sich­ti­gen sind.

Umset­zung in der Praxis

Die Umset­zung recht­li­cher Anfor­de­run­gen an Daten­schutz und Cyber­si­cher­heit in der Pro­dukt­ent­wick­lung gelingt unse­rer Erfah­rung nach sehr gut, wenn sie in einem pro­dukt­be­zo­ge­nen Compliance-Management erfolgt. Hier­bei soll­ten ins­be­son­de­re fol­gen­de Aspek­te berück­sich­tigt werden:

  • Iden­ti­fi­ka­ti­on der ein­schlä­gi­gen Geset­ze und sons­ti­ger recht­li­cher Anfor­de­run­gen, die für das Pro­dukt oder die Dienst­leis­tung am Markt rele­vant sind. Hier­bei kann es unse­rer Erfah­rung nach von Vor­teil sein, eher von einem wei­ten Anwen­dungs­be­reich ein­zel­ner Geset­ze und Vor­schrif­ten auszugehen
  • Ablei­tung kon­kre­ter Anfor­de­run­gen für die tech­ni­sche und orga­ni­sa­to­ri­sche Aus­ge­stal­tung des Pro­dukts oder der Dienstleistung
  • Umset­zung der recht­li­chen Anfor­de­run­gen und Dokumentation
  • Kon­ti­nu­ier­li­ches Moni­to­ring auf Ände­run­gen der Rechts­la­ge sowie geän­der­te recht­li­che Anfor­de­run­gen, die sich aus Anpas­sun­gen und Erwei­te­run­gen des Pro­dukts oder der Dienst­leis­tung ergeben

reusch­law One­pager zum Download

reuschlaw Onepager Cybersecurity

reusch­law One­pager Cybersecurity

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.