Nutzer werden oft nur unzureichend, meist gar nicht, über die Verwendung personenbezogener Daten informiert. Selbst bei sorgsamen Umgang ist es Verbrauchern daher häufig nicht möglich nachzuvollziehen welche Daten zu welchem Zweck übermittelt und verwendet werden. Die nahtlose Integration in das Mobiltelefon macht es App-Anbietern dabei besonders leicht auf personenbezogene Daten zuzugreifen. Der Zugriff auf E-Mails und Adressbuch ist nur einen Klick entfernt. Bekanntestes Beispiel dürfte hier die Facebook-App sein, die vor knapp einem Jahr die “Friend-Finder” Funktion integrierte und mit einem Klick sämtliche Kontaktdaten übermittelte und synchronisierte. Immerhin mit einer rudimentären Erklärung.

Eine weitere beliebte App, die sich umfassend im Adressbuch des Smartphone-Nutzers bedient, ist Whatsapp. Whatsapp versteht sich als kostenlose Alternative zum SMS Versand. Bevor Whatsapp genutzt werden kann, wird der Nutzer gefragt, ob er den Zugriff auf das Adressbuch erlaubt. Der Klick auf “Zustimmen” hat für den Nutzer jedoch weitreichende Folgen. Whatsapp wird alle Telefonnummern im Adressbuch an den eigenen Server übermitteln, dort dauerhaft speichern und mit dem bestehenden Datenpool abgleichen. Stimmt die Telefonnummer mit der eines anderen Whatsapp-Nutzer überein, erscheint dieser automatisch in den eigenen Favoriten. Dem Austausch von Kurzmitteilungen steht nichts mehr im Weg.

Jeder, der sein Smartphone nicht nur privat sondern auch geschäftlich nutzt, kann nur geraten werden, sich vor dem schnellen Klick beim Zugriff auf das Adressbuch innezuhalten und sich zu informieren. Doch die Information über den Datenschutz ist mitunter nicht einfach. Um bei dem Beispiel zu bleiben, die Datenschutzerklärung von Whatsapp ist wenig erhellend. Und was sagen fachkundige Newsdienste? Heise etwa geht über das hohe Datenschutzrisiko bei Whatsapp einfach hinweg. Eine Sensibilisierung der Nutzer sieht anders aus.

Verstoßen Anbieter wie Whatsapp gegen das deutsche Datenschutzrecht?

Um es kurz zu machen: Die Datenerhebung und -verarbeitung durch Whatsapp wäre, was den Abgleich und die Vorratshaltung der Daten angeht, nach deutschem Datenschutzrecht wohl problematisch. Doch ist es überhaupt anwendbar, wenn der App-Betreiber im Ausland sitzt? Nach § 1 Abs. 5 BDSG ist auch ein ausländischer Betreiber an deutsches Datenschutzrecht gebunden, wenn er Daten im Inland erhebt, verarbeitet oder nutzt. Jedenfalls für die Erhebung wird man daher deutsches Datenschutzrecht annehmen können. Datenschützer wie Peter Schaar wissen jedoch, dass trotz Anwendbarkeit eine Durchsetzung nahezu unmöglich ist.

Andererseits stellt sich die Frage, ob nicht der Smartphone-Nutzer selbst datenschutzrechtlich zur Verantwortung gezogen werden könnte. Schließlich übermittelt er mit einem Klick die personenbezogenen Daten seiner Kontakte. Verantwortliche Stelle im Sinne des BDSG kann auch eine Privatperson sein. Die Übermittlung von personenbezogenen Daten (hier der fremden Kontaktdaten im Adressbuch) ist daher nur mit Einwilligung des Betroffenen oder einer gesetzlichen Erlaubnis zulässig.

Muss der unbescholtene deutsche Smartphone-Nutzer  seine Kontakte fragen, wenn er die Daten seines Adressbuchs für die Inanspruchnahme einer App überträgt?

Das wird wohl im Einzelfall zu prüfen sein.  Datenschutzrechtlern fallen wohl sofort die Möglichkeiten der Auftragsverarbeitung (§ 11 BDSG) oder der Verarbeitung zur Vertragsabwicklung (§ 28 Abs. 1 BDSG) ein. Doch das Problem lauert bereits an anderer Stelle. Sitzt der App-Betreiber, an den die Daten übermittelt werden im außereuropäischen Ausland, so sind die gesteigerten Erfordernisse von § 4b BDSG zu beachten. Sitzt der App-Betreiber in den USA und ist nicht dem Safe-Harbor beigetreten, so ist die Prüfung schnell beendet: Die Übermittlung der personenbezogenen Daten ist nur mit  schriftlicher Einwilligung der Betroffenen möglich. Ein unrealistisches Unterfangen, der Verstoß jedoch grundsätzlich eine Ordnungswidrigkeit.

Die Konsequenz?

Der Zugriff auf personenbezogene Daten war noch nie so leicht und unübersichtlich, wie bei Smartphones. Gerade Verbraucher können die Auswirkungen kaum abschätzen. Grund dafür ist auch die fehlende Aufklärung durch Medienangebote, die über angesagte Apps berichten ohne auf datenschutzrechtliche Konsequenzen hinzuweisen.

Markus Beckedahl ist dieser Tage für seine Äußerung kritisiert worden, dass jeder der das Internet aktiv nutzt und Medienkompetenz besitzt, Urheberrechtsverletzungen begeht. Die Aussage wäre leider im Hinblick auf den Datenschutz bei der Smartphonenutzung wohl treffender:

Jeder der sein Smartphone aktiv nutzt, verstößt gegen Datenschutzrecht.

1. Das Umgehen eines Kopierschutzes auf einer DVD ist zur Verwendung kleiner Teile in kritischen Werken zulässig
2. Das Umgehen einer Softwarebeschränkung um auf einem Mobiltelefon rechtmäßig erworbene Programme zu installieren – Bekannt als “Jailbreak” fpr das iPhone
3. Der Unlock eines Mobiltelefons um dieses mit einem anderen Mobilfunkanbieter zu verwenden, sofern dieser das zulässt, verstößt nicht gegen das Urheberrecht.

Hintergrund US Copyright Law

Aus Europa mag es zunächst verwundern, warum die Parlamentsbibliothek solch eine Vorschrift erlassen kann. Der Grund liegt im amerikanischen Urheberrechtsgesetz besser gesagt in seinem umstrittenen Änderungsgesetz dem Digital Millenium Copyright Act (DMCA). Dieses verbietet die Umgehung von technischen Maßnahmen zum Schutze des Urheberrechts (ähnlich aber weitergehender als § 95a UrhG). Dieses Verbot wird jedoch durch Section 1201(a)(1)(B) Copyright Act wieder beschränkt, damit die Werke im Rahmen des “fair use” genutzt werden können. Die Beschränkungen werden nach dem Gesetz durch die Library of Congress und das Copyright Register festgelegt. Nach Abschluss des Verfahrens verkündet der Leiter der amerikanischen Nationalbibliothek die neuen Beschränkungen.

Fazit

Mit der heutigen Entscheidung hat die Library of Congress das Urheberrecht und den verfassungsrechtlich verankerten Gedanken des “fair uses” deutlich gestärkt. Mit dem DMCA war gerade fair use stark beschnitten worden. Zwar hat die Library of Congress hinsichtlich der Umgehung von Kopierschutzmechanismen auf DVDs lediglich einige bestimmte Fälle erlaubt, jedoch Apple Inc. hart getroffen. Mit der Legalisierung von Jailbreak und Unlock sind damit die zwei bedeutensten Beschränkungen des iPhones in den USA in “Gefahr”. Hinsichtlich des Jailbreaks steht für Apple ein ganzes Geschäftsmodell auf dem Spiel.

Update: Ein Netlock ist auch weiterhin möglich. Jedoch ist die Umgehung eins Netlocks keine Urheberrechtsverletzung an der Software. Wer ein Netlock umgeht, verstößt daher lediglich gegen die Vertragsbedingungen des ursprünglichen Carriers.

Die Kontroverse über Google StreetView hat diese Tendenz deutlich zu Tage befördert. Da wurden Hausfassaden mir nichts dir nichts zu personenbezogenen Daten mit einer alt bekannten (juristischen) Argumentation: “Wo kommen wir denn da hin?” Eigentlich eine berechtigte Frage in diesen vernetzten Zeiten. Wo kommen wir mit Social Media, standortbezogenen Daten und der zunehmenden Abhängigkeit von diesen Diensten tatsächlich hin? Doch solche gesellschaftspolitischen Fragen werden lieber mit dem Datenschutz eingefangen um die vergangene analoge Welt mit aberwitzigen StreetView-Gesetzen zu schützen.

Pünktlich zum Sommerloch kam daher der nächste datenschutzrechtliche Aufreger: Apple erhebt mit seinem iPhone für seine standortbezogenen Dienste Daten. Schock, schwere Not! Apple ist auf so etwas profanes wie Datensammlungen angewiesen, um einen Standort zu bestimmen? Wo ist da der “Boom! Just awesome!” Effekt? Wie es sich für ein US amerikanisches Unternehmen gehört hat Apple die Hinweise über die Erhebung der erforderlichen Daten tief in den langen und unübersichtlichen AGB und Lizenzbedingungen von iTunes, iPhone OS und MacOS versteckt. Das dies nicht dem deutschen und europäischen Datenschutz gerecht werden kann, ist unbestritten. Hier besteht Nachholbedarf.

Doch aus einer fehlerhaften Datenschutzerklärung wird noch keine Datenkrake. Apple hat nun in einer schriftlichen Stellungnahme gegenüber dem amerikanischen Kongress, der sich erfreulicherweise langsam für Datenschutz interessiert, detailliert dargelegt welche Daten wann, warum und mit welchem Personenbezug gesammelt werden. Der Kollege Stadler sieht daraufhin in seinem ausführlichen bzw. sommergerechten Beitrag gleich ein viel größeres Problem als die Sammlung von Häuserfassaden, WLAN-Standortdaten und WLAN-Kommunikation durch Google.

Really? Gehen wir einen Augenblick davon aus, dass die Aussagen Apples zutreffen (in dubio und so…) Dann lässt sich folgendes festhalten:

1. Apple sammelt im Rahmen der standortbezogenen Dienste Daten über den Mobilfunkempfang (ZellenID, Signalstärke) und WLAN-Daten (vorhandene WLAN, MAC-Adresse des WLAN-Routers, Signalstärke)
2. Der Nutzer hat zahlreiche Möglichkeiten die standortbezogenen Daten zu deaktivieren bzw. unterbinden.
3. Die gesammelten Daten werden anonymisiert an Apple übertragen.

Aus der Tatsache, dass Daten übertragen werden, ergibt sich noch nicht zwangsläufig die Anwendbarkeit des Datenschutzrechts. Entscheidend bleibt, ob anhand der Daten eine Person bestimmt oder bestimmbar ist. Schenkt man den Aussagen Apples Glauben, so werden die Daten nur in ganz konkreten Fällen (Find my iPhone) mit den personenbezogenen Daten wie iTunes-Account und GeräteID verbunden. Hier muss der Datenschutz beachtet werden… aber ohne Personenbezug greift auch europäisches und deutsches Datenschutzrecht nicht.

Der Schutz von personenbezogenen Daten ist wichtig und muss gerade in Zeiten globaler Vernetzung gestärkt werden, doch sollte durch das Bestreben nach einem besseren Datenschutz nicht jede Datenerhebung unter Generalverdacht gestellt werden. Ziel des Datenschutzes ist es Personen zu schützen, nicht die Datenerhebung von Daten generell zu verhindern/verbieten.

Update: Der datenschutzrechtlichen Diskurs, den Telemedicus dankenswerterweise richtig für Social Networking zusammen gefasst hat, sollte daher auch auf solche Dienste ausgeweitet werden.

Aus diesem Grund machten in den letzten Tagen auch schon Gerüchte über einen Rückruf die Runde und das Apple bereits Änderungen am iPhone vorgenommen hat. Den Bericht von Computer Reports, der eine große Resonanz in der amerikanischen Presse gefunden hat, mag daher wohl der Anlass sein, das Apple eiligst eine Pressekonferenz zum iPhone 4 für den morgigen Freitag einberufen hat. Es ist die erste Pressekonferenz in der Geschichte des Unternehmens, die (neben der Bekanntmachung von Quartalszahlen) nicht der Vorstellung neuer Produkte dient. Wird Apple den Kunden die Möglichkeit geben, ihr iPhone 4 zu tauschen?

Aber vielleicht kommt das dicke Ende für Gizmodo noch, denn auch nach kalifornischem Recht scheint eine Beihilfe zum Diebstahl oder jedenfalls Hehlerei in Betracht zu kommen. Vielleicht geht es Apple erstmal darum des gestohlenen Prototypen habhaft zu werden. Erst das Zuckerbrot… dann die Peitsche?

Wer sich dem Datenschutz verpflichtet fühlt, sollte allerdings nicht nur mit medial groß angekündigten (aber letztlich nur leicht veränderten) Privatsphärenverbesserungen für sich werben sondern auch den Schutz der Daten wirklich ernst meinen. Dazu gehört eigentlich auch ein möglichst geringer Datenhunger. Sollte man meinen.

Das eben veröffentlichte Update 3.1 von Facebook für das iPhone spottet diesem Grundsatz allerdings schon in den Release Notes: “Sync friends with your address book” heißt eine der beiden Neuerungen. In den Einstellungen heißt es dann nur lapidar “Füge Facebook Profilbilder und Links zu deinen Kontakten hinzu”. Das klingt harmlos. Doch was kommt denn dann?

Eine Einwilligungserklärung. Ein Novum bei Facebook. Aber wozu eigentlich? Es sollen doch nur Daten von Facebook in das eigene Adressbuch kopiert werden…? Der Hinweistext belehrt einen besseres. Zunächst werden nämlich sämtliche Kontakte aus dem Adressbuch an Facebook gesendet. Was passiert mit den Daten dort? Bestenfalls sollten die Daten dort mit der Freundesliste abgeglichen werden, der App mitgeteilt werden, welche Kontakte bearbeitet werden können und die Daten anschließend gelöscht. Mehr eigentlich nicht. Jedenfalls erfolgt der Download des Profilbildes eines Kontaktes ganze ohne die Zustimmung des jeweiligen Nutzers. Schnell und unkompliziert, sind Bilder und Daten, die man auf Facebook eingestellt (und auch nur dort wähnt) lokal im Adressbuch gespeichert. Da nutzt der Hinweis, dass man doch bitte vorher die Zustimmung der “Freunde” einholen möge, nicht wirklich viel weiter. Eine antizipierte Einwilligung kennt das Datenschutzrecht nicht. Unklar ist, inwiefern man selbst beeinflussen kann, ob etwa das eigene Profilbild von anderen in lokalen Adressbüchern gespeichert werden kann. Eine Einwilligung der synchronisierten Nutzer holt Facebook nicht ein. Es wäre allerdings nur logisch, wenn Facebook sich hier an die Vorgaben der Nutzer in den “Privatsphäre Einstellungen” halten würde. Der Hinweistext suggeriert etwas anderes… leider.

Die nächste Irreführung wartet auch schon, wenn man sich die Möglichkeiten anschaut “Ich stimme nicht zu” und “ich stimme zu”. Die erste rot hinterlegt, die andere Schwarz. Rote Tasten sehen immer irgendwie gefährlich aus, oder? Da drückt man intuitiv erstmal auf die schwarze Taste, da kann nicht viel passieren… denkt man.

Apple wird auch eine reihe von Anfragen bzw. Protesten hinsichtlich dieser App bekommen haben. Dies lässt sich jedenfalls vermuten, wenn man mal etwas durch die Bloglandschaft, Foren und Twitter zu dem Thema querliest. An Apple wandte sich unter anderem auch der Betreiber des Basic Thinking Blogs. Anders als erwartet erhielt er bereits gestern eine Antwort von Apple. Kurz und knapp teilt Apple darin mit, dass das Programm entfernt wird/wurde.

Vielleicht eine unbefriedigende Antwort, aber immerhin eine schnelle Reaktion.

T-Mobile bietet die Freischaltung von Tethering gegen Aufpreis nur bei aktuellen Tarifen (Complete 2. Generation) an, das Nutzen der Datenoption dieser Tarife ist auf die Nutzung am iPhone beschränkt und schließt die Modemnutzung explizit aus. Bei den Verträgen, die ab Start des iPhones vor 2 Jahren angeboten wurden (Complete 1. Generation) gibt es im Vertrag keine solche Beschränkung bei der Nutzung der Datenoption. Was dann folgte, war jedenfalls ein PR-GAU. Erst sagte T-Mobile Tethering würde für die Tarife der 1. Generation natürlich kostenlos zur Verfügung stehen, da es keine Beschränkung der Datennutzung gebe und somit auch keine Extrakosten berechnet werden könnten. Vor einigen Tagen ruderte T-Mobile dann schon zurück und teilte mit, Tethering werde für diese Tarife gar nicht angeboten, der Aufwand wäre zu hoch. Es hagelte Proteste. Die Antwort jetzt: Tethering ist und war bei diesen Verträgen zu keinem Zeitpunkt Vertragsbestandteil.

Mal von diesem hin und her und her abgesehen, lässt es sich letztlich auf zwei Argumentationen zurückführen:

1. Auf der einen Seite wird argumentiert, dass bei den Complete-Verträgen 1. Generation lediglich die Nutzungen VoIP und Instant Messaging  ausgeschlossen wurden. Die Verwendung von MultiSIM in einem anderen Handy war ausdrücklich erlaubt, mit welcher in einem USB-Stick oder einem weiteren Handy eine zweite SIM-Karte genutzt werden (und damit dann auch mobiles Surfen erlaubt).
2. T-Mobile auf der anderen Seite argumentiert, dass 2007/2008 eine Nutzung des iPhones als Modem weder gegeben noch vorhersehbar war. Diese Nutzungsart konnte somit weder Vertragsbestandteil sein (und ist es daher auch heute nicht) noch musste sie ausgeschlossen werden.

Die Rechtsauffassung von T-Mobile ist damit klar und einfach. Doch lässt sich damit das Problem eigentlich auf eine zentrale Frage reduzieren: War die Nutzung eines Handy als Modem in dem Angebotszeitraum dieser Completetarife eine vertragstypische Nutzung eines Mobilfunkvertrages mit Datentarif?

Sollte die Antwort auf diese Frage mit “Ja” zu beantworten sein, dann wäre die Argumentation von T-Mobile hinfällig, denn dann hätte sie Tethering explizit ausschließen müssen. Wenn man sich die T-Mobile Preisliste von 2008 anschaut, dann findet man keinen Mobilfunktarif, der eine solche Nutzung explizit ausschließt. T-Mobile bot zu diesem Zeitpunkt jedenfalls überhaupt keine kombinierten Tarife aus Telefon- und Datennutzung an, viel mehr war bei allen anderen Handytarifen ein Basisdatentarif  ”web’n walk Starter” mit 9ct/Min voreingestellt.

Das komplette Tarifgerüst von T-Mobile lässt jedenfalls insoweit keinen Rückschluss zu, dass “tethern” als vertragstypische Nutzung eines Mobilfunkvertrages angesehen wurde. Die Complete-Tarife für das iPhone stellten mit ihrer Kombination aus Telefon- und Datentarif eine Neuheit dar, somit dürfte es schwer werden, Tethering als vertragstypische (und damit vertraglich vereinbarte) Nutzung durchzudrücken. Es werden die besseren Argumente vor Gericht entscheidend sein. Für den Kunden bleibt es so oder so ein unerfreulicher Vorgang.

Dieser Prozess steht schon lange in der Kritik, doch anstatt den Entwicklern entgegen zu kommen, wird es immer undurchsichtiger. Apple lehnt Programme ab und erklärt dem Entwickler nicht warum. Jüngstes Opfer waren Anwendungen, die mit Googles Voice Service arbeiten. Die offizielle App wurde abgelehnt und Programme, die den Dienst nutzten und von Apple bereits zugelassen waren, wurden ebenfalls wieder gesperrt. Auskunft für die Entwickler? Keine. Lediglich ein äußerst wortkarger Mitarbeiter. Die Aufregung ist groß. Wie soll man als Entwickler da kalkulierbar arbeiten? Entwickler wenden sich wütend ab , entwickeln nur noch für “Jailbroken” iPhones oder boykottieren das iPhone gleich völlig.

Die Geheimniskrämerei mag zwar für das Kerngeschäft von Apple bislang Teil des Erfolges gewesen sein, hier sollte die Firma jedoch schnell umdenken und für mehr Transparenz bei der Zulassung von iPhone Apps sorgen, sonst werden ernsthafte Entwicklungen für das iPhone auf Dauer auf der Strecke bleiben.

Anders als in dem gerade bei gelegten Streit zwischen Apple und den Betreibern des Bluewiki, geht es hier um die Öffnung des geschlossenen Systems iTunes&iPod auf Seiten von iTunes. Palm hatte es geschafft eine Software anzubieten, die es ermöglichte den Palm Pre mit iTunes abzugleichen. Apple reagierte mit dem nächsten Update und der Pre war ausgesperrt. Nun hat Palm nachgezogen und die Verbindung wieder freige”hackt”.

Der “Trick” den Palm dazu benutzt ist einfach: iTunes erlaubt das Synchronisieren nur mit Geräten, die es selbst identifizieren kann. Diese Identifizierung erfolgt über die Spezifikationen von USB durch Abgleich einer Geräte-ID (also etwa der Baureihenbezeichnung eines Geräts) und der Vendor-ID, die einen bestimmten Hersteller identifiziert. Mit diesem Mix erkennt iTunes, dass es sich um einen iPod von Apple handelt und lässt das Gerät für die Arbeit mit dem Programm zu.

Diese Vorgehensweise ist weder neu noch eine Gemeinheit seitens Apple. Es ist vielmehr eine Technik, die von vielen Programm- bzw. Hardwareherstellern verwendet wird. Drucker- oder Scanprogramme nutzen sie genauso wie Fernsehrogramme für DVB-T Sticks. Palm ersetzt nun also die eigene Vendor-ID durch eine von Apple und schon wird der Palm Pre von iTunes erkannt. Palm rechtfertigt diesen Schritt damit, dass es sich dazu gezwungen sehe, da Apple seine ID missbrauchen würde.

Warum aber Rechtfertigung und Missbrauchsvorwurf, wenn es sich nur um eine xbeliebige Code-ID handelt? Die Vendor-ID ist eben etwas mehr als nur ein einfacher Codeschnipsel. Sie wird vom USB-Konsortium gegen eine Lizenzgebühr verliehen um die Identifizierung eines Herstellers für eben gerade solche Zwecke sicherzustellen. Palm selbst hat auch entsprechende IDs für seine Produkte lizensiert. Das pikante daran: In den Vertragsbedingungen hat Palm zugestimmt, keine anderen IDs zu missbrauchen.

Weiterer (Rechts-)Streit um die Palm Pre iTunes Anbindung ist gewiss.