Setzt sich „Privacy by Design“ in der App-Entwicklung durch?
Autor: Kirsten Gollatz
Datenschutz im mobilen Internet ist in den letzten Jahren zunehmend aufgefallen. App-Entwickler und Anbieter von App-Stores gerieten in das Blickfeld des Datenschutzes. Diverse der kleinen Programme, von denen weltweit Tausende für App Stores entwickelt und angeboten werden, schaffen einen neuen Grad von Intransparenz beim Sammeln und der unerwünschten Weiternutzung von Nutzerdaten.
So wurde etwa bei verschiedenen Apps entdeckt, dass diese ohne die Erlaubnis und Kenntnis der Nutzer auf die Daten der Adressbücher zugreifen, geo-referenzielle Daten übermitteln oder in der Lage sind, Textnachrichten mitzulesen.
Die Vorfälle der vergangenen Jahren wirken sich bereits auf das Nutzerverhalten aus. Laut einer 2012 erschienenen Studie des amerikanischen Pew Research Center, besteht bei Nutzern von Mobiltelefonen erhöhte Besorgnis darüber, wie Apps personenbezogene Daten weitergeben oder sammeln. Mehr als die Hälfte der Befragten habe bei Kenntnis Anwendungen deinstalliert oder es vermieden, bestimmte Apps erst zu installieren.
Privacy by Design als Selbstregulierung
Kommerzielle Anbieter und Regulierer spüren inzwischen einen Handlungsdruck, diesen Bedenken in einem frühen Entwicklungsstadium des mobilen App-Marktes entgegenzukommen.
Sie favorisieren Privacy by Design weitgehend als geeigneten Lösungsweg, die Privatsphäre im mobilen Internet zu sichern. Neben den direkt beteiligten Entwicklungsunternehmen, Vereinigungen der Programmierer und mobilen Carriern wird der Grundsatz, Datenschutz technisch ins Produkt zu implementieren auch von Seiten der Verbraucherschutzorganisationen befürwortet. Das Prinzip privacy by design gründet auf der Idee, dass ein effektiver Datenschutz aufgrund der schnellen technologischen Weiterentwicklung von Anwendungen und Geräten nicht mehr allein durch Gesetze gewährleistet wird, sondern durch die Organisation und die Programmierer selbst – Selbstregulierung statt staatlicher Eingriffe.
Privacy by Design und bisherige Regulierung
Konkret ist Privacy by Design schon mehrfach umgesetzt worden:
- Im Februar 2012 verkündete die kalifornische Justizministerin Kamala D. Harris, dass sie und die sechs führenden mobilen App-Store-Anbieter – Amazon, Apple, Google, Hewlett-Packard, Microsoft und RIM – über eine Erklärung von Grundsätzen übereingekommen sind. Darin werden unter anderem die Programmierer dazu aufgerufen, die Benutzer über die implementierten Datenschutz-Praktiken zu unterrichten, bevor diese eine App kaufen oder herunterladen.
- Die GSM Association, der weltweite Industrieverband der GSM-Mobilfunkanbieter, reagierte nur wenig später und veröffentlichte unter Zustimmung der größten europäischen Mobilfunkanbieter die „Privacy Design Guidelines for Mobile Application Development“. Über den europäischen Markt hinaus, so hofft man, solle dieser Leitfaden zum globalen Standard werden.
- Die EU-Kommission machte Privacy by Design ebenfalls zum Grundsatz des im Jahr 2011 verabschiedeten RFID-Privatheits- und Datenschutzfolgenabschätzungs-Rahmenwerks (PDF). Es sind die ersten sektoralen Leitlinien für Folgenabschätzung im Hinblick auf Privatheit und Datenschutz von RFID-Apps. Im Kommissions-Entwurf für eine EU-Datenschutzverordnung ist Privacy by Design erneut als Leitprinzip genannt.
Kalifornien macht es noch konkreter
US-Justizministerin Harris veröffentliche im Januar 2013 eine Sammlung von Empfehlungen für einen besseren Datenschutz im mobilen Internet (PDF), mit denen sie sich besonders an App-Entwickler wendet:
App-Entwickler sollen zu Beginn des Entwicklungsprozesses eine Daten-Checkliste anlegen und darin alle genutzten personenbezogenen Daten einer Anwendung auflisten. Sie sollen nicht über die Funktionalität der Anwendung hinaus Daten sammeln lassen. Zudem soll eine klare, verständliche Datenschutzerklärung entwickelt werden, die den Nutzer eine informierte Entscheidung ermöglicht. Basierend auf dem grundsätzlichen Ansatz, alle unterwarteten datenschutzrelevanten Praktiken zu minimieren, empfiehlt der Bericht, etwa durch besondere Hinweise an den Nutzer eine „unangenehme Überraschung“ zu vermeiden.
Von weichen Lösungen zu verbindlichen Regeln?
Werbenetzwerke wenden sich gegen Privacy-by-Design-Vorstöße. Aber Programmierervereinigungen und die GSM-Association haben sich zu Harris’ Empfehlungen bereits zustimmend geäußert. Dabei geht die weiche Lösung in Form von Best-Practice-Empfehlungen bereits über die heute bestehenden gesetzlichen Vorschriften des kalifornischen Datenschutzgesetzes hinaus. Möglicherweise hat die Industrie abgewogen, bevor sie in den sauren Apfel biss: Datenschutz per Selbstverpflichtung – bisher ohne Kontrollmechanismen – kommt den Beteiligten wahrscheinlich eher entgegen als einklagbare Gesetze. Für Regulierer und Industrie beginnt damit eine Testphase: Kann Privacy by Design funktionieren?
Die E-Plus Gruppe unterstützt das Alexander von Humboldt Institut für Internet und Gesellschaft beim Aufbau einer Plattform zu Fragen der Internet-Regulierung. Der vorstehende Artikel erscheint im Rahmen dieser Kooperation auf UdL Digital.