Informationen und Tipps zur EU Datenschutz Grundverordnung (DSGVO)

DSGVO, E-Privacy VO und Startups

8. Jan 2018/Conrad Lienhardt /DSGVO, E-Privacy-VO / 16. Sep 2018

Gar nicht so wenige Startups sind so in die Produktentwicklung und Markteinführung vertieft, dass sie gravierende Veränderungen in ihrer Umwelt nicht wirklich mitbekommen. Und plötzlich sehen sie sich mit der Datenschutz–Grundverordnung konfrontiert, getoppt durch die E-Privacy VO und müssen sich nun fragen, ob das Produkt die gesetzliche Vorgaben erfüllen, unzureichend erfüllen oder nicht erfüllen wird. (Update vom 3.9.18)

Das trifft nicht nur auf Startups, sondern auch auf Agenturen zu. Diesen Beitrag werden wir fallweise um Beispiele ergänzen.

MIA - Mitarbeiter Informations App

Eine App aus Salzburg, MIA (Mitarbeiter Informations App) von movea und LOOP, soll Mitarbeiter*innen von Unternehmen vernetzen. Die App erhielt den österreichischen Staatspreis Public Relation 2016 in der Kategorie Interne PR & Employer Branding und dem HR-Award Silber in der Kategorie "Tools & Services". Gegenüber den Salzburger Nachrichten erklärte der Geschäftsführer von movea, Stefan Ornig: Die Erweiterung um praktische Funktionen wie beispielsweise Kalender, Schulungsvideos, die Kommunikation mittels Push-Nachrichten, Community-Funktionen wie Liken, Kommentieren und Merken oder die Einbindung des internen Telefonbuchs schaffen einen echten Mehrwert für die Mitarbeiter. Leonhard Schitter, Vorstandssprecher der Salzburg AG, die MIA einführte, ergänzt: Ein wesentliches Anliegen dabei war es auch, die Arbeit der Kolleginnen und Kollegen sichtbar zu machen.  

So gut das gemeint sein mag; das Vorhaben bewegt sich gewissermaßen auf „vermintem Gelände” und die Nutzer tun gut daran, den Einsatz mit Blick auf DSGVO und E-Privacy VO rechtlich abklären zu lassen. Es mag sein, dass die Anbieter die Nutzer auf die umfangreichen Einwilligungs- und Informationserfordernisse hingewiesen haben, auf das Recht am eigenen Bild etc. pp. Das lässt sich extern nicht beurteilen. Jedenfalls ist festzuhalten, dass die Website zum Produkt datenschutzrechtliche Erwägungen und Auskünfte dazu vermissen lässt und die kommunizierten Inhalte Anlass zu Bedenken geben.

Runtastic

Das Vorzeigemodell eines erfolgreichen österreichischen Startups könnte mit Blick auf Datenschutz heute nicht mehr so wie 2009 auf den Markt gebracht werden. Lange Zeit war die App zudem  in der Kritik, weil die Übertragung der Daten strengen Sicherheitsvorgaben nicht entsprechen konnte.  Vor wenigen Monaten noch berichtete die Verbraucherzentrale NRW, dass Runtastic neben anderen Anbietern vom Marktwächter-Team der Verbraucherzentrale NRW wegen unzureichendem Datenschutz abgemahnt wurde.  In diversen Foren werden negative Erfahrungen zum Datenschutz bei Runtastic ausgetauscht und immer wieder finden sie Wege in die Medien.

Runtastic verarbeitet teils sensible personenbezogene Daten und die Verarbeitung dieser Daten ist wesentlicher Grund des Geschäftsmodells. Daher ist das Unternehmen in besonderer Weise von der DSGVO und der E-Privacy VO betroffen. Weiter wie bisher wäre wohl grob fahrlässig. Das Geschäftsmodell so umzustellen, dass es den rechtlichen EU Datenschutzanforderungen und - im Fall von Öffnungsklauseln - den besonderen länderspezifischen Verschärfungen genügt, dürfte sehr aufwändig und auch kostspielig sein. Andererseits dürften diese Investitionen gering sein im Vergleich zu drohenden Strafen in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes, die nach dem 25.5.2018 möglich sein werden. Nicht zu vergessen ist, dass Klagen, auch Sammelklagen (beides ist in Österreich nicht vorgesehen) über andere EU Mitgliedsstaaten eingereicht werden können und zudem Privatklagen drohen.

Ab 25. Mai muss das Unternehmen mit deutlich mehr als nur einer Abmahnung rechnen. Im Unterschied zu Österreich können in Deutschland auch Verbände wegen Verletzung der DSGVO klagen. Sie Beitrag Fragen & Antworten: Datenschutz (DSG, EU DSGVO) |#3 Verbandsklagen.

 

Update vom 3.9.2018

Patrick Uhl hat im Rahmen einer Seminararbeit die Anpassungen bei Runtastic an die DSGVO analysiert: Umgang des mHealth App-Anbieter Runtastic mit der DSGVO.

Die Ergebnisse können Sie als PDF mit freundlichen Genehmigung des Autors herunterladen:

Uhl, Patrik (2018). Umgang des mHealth App-Anbieter Runtastic mit der DSGVO Auszug aus der Seminararbeit: „Die europäische Datenschutzgrundverordnung: Auswirkungen auf mHealth

 

Alphonso

Gegen Ende 2017 erregte ein Bericht in der New York Times   breiteres Aufsehen. Das Startup Alphonso greift über Apps auf die Mikrofone jener zu, die sie installiert haben - und zwar auch dann, wenn die App nicht gestartet ist und Nutzer sich völlig unbeobachtet fühlen. Die Betreiber wollen so mitverfolgen, welche TV Sendungen die Nutzer gerade hören, oder welche Werbung. Ziel ist es, anhand dieser Daten gezielt Werbung platzieren zu können. Mittlerweile, so die SN im Beitrag: Der Spion der aus der Hosentasche kam vom 11.1.2018, gibt es laut Auskunft des CEO Ashish Chordia rund tausend Apps, die diese Software nutzen und über Google Playstore und  Apples iOS App-Store vertrieben werden. Allein in Österreich werden 100 Apps mit dieser Spionage-App gehandelt.

Zweifelsohne zielt das Geschäftsmodell von Alphonso darauf, sensible Daten zu verarbeiten, um damit Erlöse aus Werbung zu erzielen. Ashish Chordia vertritt die Auffassung, dass dies unproblematisch sei, da die Daten ja nicht gespeichert würden. Konsumentenschützer und Datenschützer sind anderer Auffassung. Teils wird die Meinung vertreten, dass der Vertrieb von Apps mit dieser Software überhaupt sittenwidrig sei. D.h. derzeit entsprechen die versteckten, bzw. nicht vorhandenen Hinweise darauf, dass jederzeit auf die Mikrophone zugegriffen werden kann, nicht nur nicht den Grundsätzen, die für eine rechtswirksame Einwilligung vorausgesetzt werden, sondern es bestehen bedenken, ob überhaupt gültige Einwilligungen zustande kommen können.

Sollten sich Apps mit dieser Software nach dem 25.5.2018 noch im Vertrieb befinden, dann ist davon auszugehen, dass die Betreiber und Hersteller von Alphonso eher früher als später nach DSGVO sehr hohe Strafen zu gewärtigen haben. Denn es spielt nach dem Marktort-Prinzip keine Rolle, dass das Startup Alphonse seinen Sitz außerhalb der EU hat.  Mit Anzeigen nach DSGVO ist insbesondere auch deshalb zu rechnen, weil Kinder, für die ein besonderes Schutzinteresse gilt, die primäre Zielgruppe viele dieser Apps darstellen.

 

 

 
Dr. Conrad Lienhardt (Ausschnitt Portraitfoto)

Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
per E-Mail

 

Der Gesetzestext der DSGVO, EU-Lex

 

DSGVO Assessment

Reduzieren Sie Ihr Risiko. Sorgen Sie vor und nutzen Sie unser Angebot eines

DSGVO Assessments

Für weitere Auskünfte und Informationen erreichen Sie uns telefonisch unter

0699/15 31 67 76   oder  per E-Mail

Hinweis:

Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.

Datenschutz-Grundverordnung (DSGVO / GDPR) - fokus.genba unterstützt Sie - Compliance

Tags: AppsDSGVOStartupsVerbandsklagene-Privacy-VO

Editionsgeschichte:

Eingetragen von Conrad Lienhardt am 8.01.2018 – Last touched: 16.09.2018 – Contents updated: 16.09.2018

Noch kein Feedback


Formular wird geladen...