Mit Bescheid vom 13. Dezember 2021 hat die norwegische Datenschutzaufsichtsbehörde (Datatilsynet) gegen den Anbieter der App “Grindr” wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) ein Bußgeld in Höhe von etwa 6,5 Millionen Euro verhängt. Der Fall ist ein Paradebeispiel für die Folgen einer unzureichenden Berücksichtigung datenschutzrechtlicher Anforderungen bei der Produktentwicklung.
Datenschutzverstöße bei “Grindr”
Die norwegische Datenschutzaufsichtsbehörde stützt ihren Bußgeldbescheid auf die rechtswidrige Weitergabe personenbezogener Daten zum Zweck der verhaltensbezogenen Werbung. Zur Begründung führt die Behörde aus, dass die Nutzer von “Grindr” nahezu ausschließlich aus der LGBTQ+-Community stammen und daher bereits der Umstand, dass eine Persondie App nutze, Aufschluss über die sexuelle Orientierung des Nutzers gibt. Die Behörde geht daher davon aus, dass Daten, die auf eine Nutzung von “Grindr” hindeuten, unter Art. 9 Abs. 1 der DSGVO fallen und zu Werbezwecken nur mit einer ausdrücklichen Einwilligung des Betroffenen verarbeitet werden dürfen. Das Akzeptieren von allgemeinen Datenschutzbestimmungen genügt den Anforderungen der Datenschutzaufsichtsbehörde insoweit nicht. Bei der Bemessung des Bußgelds hat die Behörde neben der Größe und der finanziellen Situation des App-Anbieters auch Verbesserungen des Einwilligungsmanagements zum Anlass genommen, das Bußgeld zu reduzieren. Im Rahmen des Bußgeldverfahrens hatte die Behörde ursprünglich ein Bußgeld in Höhe von etwa 10 Millionen Euro angesetzt.
Datenschutz-Compliance: Die Produktentwicklung stellt die Weichen
Der Fall “Grindr” zeigt eindrücklich, welche Konsequenzen Unternehmen drohen, die datenschutzwidrige Produkte oder Dienstleistungen anbieten. Neben Bußgeldern, der Untersagung von Datenverarbeitungstätigkeiten oder der Verpflichtung zur Löschung von Daten ist dabei insbesondere auch an die Geltendmachung von Schadensersatzansprüchen durch Nutzer zu denken. Nicht zu unterschätzen ist auch die Problematik, dass ein Produkt oder eine Dienstleistung nicht von Unternehmen genutzt werden kann, weil dies außerhalb persönlicher oder familiärer Zwecke nicht datenschutzkonform möglich ist. Ein Beispiel hierfür sind die Diskussionen um die App “Clubhouse” im vergangenen Jahr.
Die datenschutzrechtlichen Anforderungen an die Verarbeitung personenbezogener Daten sollten von Unternehmen zur Vermeidung von Haftungsrisiken und anderen Nachteilen bereits im Rahmen der Produktentwicklung berücksichtigt werden. Neben einer Rechtsgrundlage für die Datenverarbeitung, die insbesondere bei datenintensiven Geschäftsmodellen und Drittlandsübermittlungen zu beachten sind, ist dabei insbesondere auch der Datenschutz durch Technikgestaltung (Art. 25 Abs. 1 DSGVO) zu beachten. Wird bei der Rechtsgrundlage für die Datenverarbeitung auf eine Einwilligung zurückgegriffen, sollten bereits im Stadium der Produktentwicklung geeignete Mechanismen zur wirksamen Einholung der Einwilligung und deren Dokumentation vorgesehen werden.
Was gilt es noch zu beachten?
Insbesondere bei der Entwicklung und Bereitstellung von Apps sollten Unternehmen neben den originär datenschutzrechtlichen Themen auch die Anforderungen des TTDSG an die Speicherung von Cookies und anderen Informationen auf den Endgeräten des Nutzers beachten. Sind diese nicht technisch unbedingt erforderlich, ist für die Speicherung – losgelöst von der DSGVO – eine Einwilligung erforderlich. Insbesondere im B2C-Geschäft ist darüber hinaus an die Regelungen der §§ 327 ff BGB zu denken, die seit dem 1. Januar 2022 Verträge über digitale Produkte als neuen Vertragstypus regeln. Dass diese auch eine Pflicht zur Bereitstellung von Sicherheitsupdates nach dem Stand der Technik enthalten, verdeutlicht zugleich, dass neben datenschutzrechtlichen Vorgaben auch die rechtlichen Anforderungen an Cybersicherheit zunehmend von Herstellern und Anbietern zu berücksichtigen sind.
Umsetzung in der Praxis
Die Umsetzung rechtlicher Anforderungen an Datenschutz und Cybersicherheit in der Produktentwicklung gelingt unserer Erfahrung nach sehr gut, wenn sie in einem produktbezogenen Compliance-Management erfolgt. Hierbei sollten insbesondere folgende Aspekte berücksichtigt werden:
- Identifikation der einschlägigen Gesetze und sonstiger rechtlicher Anforderungen, die für das Produkt oder die Dienstleistung am Markt relevant sind. Hierbei kann es unserer Erfahrung nach von Vorteil sein, eher von einem weiten Anwendungsbereich einzelner Gesetze und Vorschriften auszugehen
- Ableitung konkreter Anforderungen für die technische und organisatorische Ausgestaltung des Produkts oder der Dienstleistung
- Umsetzung der rechtlichen Anforderungen und Dokumentation
- Kontinuierliches Monitoring auf Änderungen der Rechtslage sowie geänderte rechtliche Anforderungen, die sich aus Anpassungen und Erweiterungen des Produkts oder der Dienstleistung ergeben