FTC veröffentlicht Forderungen zum Datenschutz bei mobilen Systemen

4. Februar 2013

Unter dem Titel „Mobile Privacy Disclosures – Building Trust Through Transparency“ hat die US-Handelsaufsicht FTC eine Broschüre veröffentlicht, in welcher sie zentrale Forderungen zum Umgang mit Nutzerdaten im mobilen Umfeld formuliert.

An die Betriebssystem Hersteller (z.B. Blackberry mit Blackberry 10, Google mit Android, Apple mit iOS etc.) richten sich folgende Forderungen:

  • Nutzer sollten explizit benachrichtigt und um Zustimmung gefragt werden, bevor auf sensible  Daten wie Standortinformationen zugegriffen wird.
  • Fotos, Kontaktdaten, Kalenderdaten und die Aufzeichnungsfunktionen der Geräte hält die FTC für etwas weniger schützenswert: In diesem Kontext sollten Betriebssystemhersteller nur überlegen, die soeben genannten Benachrichtigungen und Abfragen einzuführen.
  • Es sollte eine einheitliche Übersicht geschaffen werden, die es den Nutzern ermöglicht, schnell zu überblicken, auf welche Inhalte Apps zugreifen können.
  • Die Schaffung eines einheitlichen Symbols, welches auf die Übertragung persönlicher Daten hinzuweist, sei anzudenken.
  • Die Betriebssystem-Hersteller sollten Best-Practise Ansätze fördern und gegenüber den Nutzern öffentlich machen, welche Prüfkriterien die Apps vor der Aufnahme in die jeweiligen Stores durchlaufen.
  • Der Do Not Track Ansatz sollte auf Betriebssystemebene verankert werden [Anmerkung: Bisher bieten ausschließlich vereinzelte Browser wie der Firefox für Android diese Funktion]

Mit einem zweiten Forderungskatalog wendet sich die FTC an Hersteller von Apps:

  • Diese sollten eine einfach abrufbare Datenschutzrichtlinie bereitstellen, welche im besten Fall über die Stores der Betriebssystem-Hersteller abrufbar sein sollte.
  • Solange keine explizite Benachrichtigungs- und Zustimmungsroutinen durch das Betriebssystem bereitstehen, solle dies durch die Hersteller für die jeweiligen Apps gewährleistet werden.
  • Es sei zu überlegen, Selbstregulierungsgremien, Industrieorganisationen etc. beizutreten, die Unterstützung bei der Entwicklung einheitlicher, kurzer Datenschutzerklärungen böten.
  • Die Kommunikation mit Werbenetzwerken sollte verbessert werden, damit die App-Hersteller die Third-Party-Tools, die sie in ihre Apps einbauen, besser verstehen und die Nutzer entsprechend informieren könnten.

Auch an die Werbeindustrie richtet sich die FTC und fordert, spiegelbildlich zum letztgenannten Punkt, die Kommunikation mit den App-Herstellern zu verbessern. Weiterhin sollte auch die Werbebranche dazu beitragen, die effektive Durchsetzung von Do-Not-Track auf mobilen Geräten zu ermöglichen.

Letzten Endes adressiert die FTC auch Zusammenschlüsse von App-Herstellern, die Lehre, Datenschutzexperten und Usability-Experten mit folgenden Anregungen:

  • Es sollten kurze Datenschutzerklärungen entwickelt werden.
  • Es müssten standardisierte Wege vorangetrieben werden, die es Nutzern ermöglichten, über App Grenzen hinweg den Umgang mit Daten zu vergleichen.
  • App-Hersteller müssten für Datenschutzbelange sensibilisiert werden.

Ausgangspunkt sämtlicher vorgenannten Punkte sind drei Grundforderungen:

  1. Privacy by Design: Unternehmen sollten in jedem Entwicklungsstadium den Datenschutzbelange berücksichtigen.
  2. Eine einfache Wahl für Nutzer: Zum relevanten Zeitpunkt und im relevanten Kontext sollten die Nutzer um eine Einwilligung gebeten werden.
  3. Größere Transparenz:  Die Unternehmen sollten Details über die Erhebung und Verwendung von Nutzerdaten offenlegen.

Insgesamt lässt sich festhalten, dass die gesammelten Vorschläge allesamt gut und vernünftig klingen; einzig krankt es daran, dass es sich nur um nichtverbindliche Ausführungen handelt, zu deren Umsetzung keine der angesprochenen Gruppen verpflichtet ist. Nichtsdestotrotz ist zu hoffen, dass einige der Vorschläge in Zukunft umgesetzt werden. Teilweise wird dies bereits heute schon getan: Android informiert vor Installation einer App über die von der App angeforderten Berechtigungen, wohingegen iOS beim Zugriff auf bestimmte Daten (Kontakte, Ortsinformationen etc.) eine explizite Einwilligung verlangt. Beide Systeme bieten heute schon die Möglichkeit, zumindest das herstellereigene Werbetracking zu deaktivieren. [Android: Einstellungen > Konten > Google > Anzeigen – iOS: Einstellungen > Allgemein > Info > Werbung oder oo.apple.com per Browser aufrufen)