Landtag von Sachsen-Anhalt Drucksache 6/4836 01.03.2016 (Ausgegeben am 01.03.2016) Antwort der Landesregierung auf eine Kleine Anfrage zur schriftlichen Beantwortung Abgeordneter Sebastian Striegel (BÜNDNIS 90/DIE GRÜNEN) Abgeordneter Olaf Meister (BÜNDNIS 90/DIE GRÜNEN) Datenschutz bei Tourismus-Apps des Landes Sachsen-Anhalt Kleine Anfrage - KA 6/9073 Vorbemerkung der Fragesteller: Tourismus-Apps können zentraler Bestandteil der touristischen Vermarktung eines Bundeslandes wie Sachsen-Anhalt sein. Gleichzeitig ist hierbei aber darauf zu achten, dass dem Datenschutz Rechnung getragen wird. Aufgrund von Bürgerhinweisen sind in diesem Zusammenhang Fragen gegeben, die nachfolgend geklärt werden sollen. Antwort der Landesregierung erstellt vom Ministerium für Wissenschaft und Wirtschaft Frage 1: Welche Apps hat das Land (bzw. die IMG oder der Landestourismusverband) für welche Plattformen in dieser Legislaturperiode in Auftrag gegeben? Durch die Investitions- und Marketinggesellschaft Sachsen-Anhalt mbH (IMG) wurde die „Naturfreude-App Sachsen-Anhalt“ (Naturfreude App) für die Software-Plattformen Android und iOS in Auftrag gegeben. Mit Unterstützung des Landes aus dem Programm „Sachsen-Anhalt REGIO“ hat der Tourismusverband Sachsen-Anhalt e. V. (LTV) die Erstellung einer „Straße der Romanik -App“ (Romanik-App) für die Software-Plattformen Android und iOS in Auftrag gegeben. 2 Frage 2: Welche Auftragnehmer sind für die Programmierung der Apps des Landes Sachsen-Anhalt verantwortlich? Bitte Namen und Sitz der Unternehmen nennen . Die Programmierleistungen für die Naturfreude App wurden durch die Firma Outdooractive GmbH & Co. KG, Missener Straße 18 in 87509 Immenstadt erbracht. Die Programmierleistungen für die Romanik-App wurden durch die Firma brain-SCC GmbH, Fritz-Haber-Straße 9 in 06217 Merseburg erbracht. Frage 3: Unter welcher Datenschutzrichtlinie lässt die Landesregierung ihre Tourismus- Apps erstellen? Wurden in diesem Zusammenhang mit den beauftragten Firmen (Programmierer der Apps) konkrete Verträge abgeschlossen, welche die Einhaltung von Datenschutzrichtlinien bestimmen? Wenn nein, warum nicht? Werden im Verlauf von Ausschreibungen Datenschutzrichtlinien abgefragt? Verpflichtet sich der Dienstleister etwaige Änderungen der Datenschutzrichtlinie an den Auftraggeber zu melden? Nach Auskunft der IMG wurden bei der Erstellung der Naturfreude App die allgemeinen Bestimmungen des Bundesdatenschutzgesetzes (BDSG) zugrunde gelegt. Mit dem Auftragnehmer wurde im Zuge der Beauftragung eine Vereinbarung zur Auftragsdatenverarbeitung auf der Basis des BDSG geschlossen. Im Zuge des Vergabeverfahrens wurden Datenschutzrichtlinien nicht explizit abgefragt. Die Verpflichtung des Dienstleisters Outdooractive, Änderungen der Datenschutzrichtlinien an die IMG zu melden, ist in der Vereinbarung zur Auftragsdatenvereinbarung festgelegt. Nach Auskunft des LTV wurden im Vorfeld der Ausschreibung der Programmierleistungen zur Romanik-APP das Landesdatenschutzgesetz und das BDSG zu Rate gezogen sowie Ergebnisse aus dem INTERREG Projekt „eCreate“ verwertet. Im Ergebnis der Bewertung des Datenschutzes wurde auf die Erhebung von personalisierten Nutzerdaten für die Romanik-App verzichtet. In die Beauftragung der Firma brain- SCC GmbH wurde ausdrücklich die Beachtung des BDSG aufgenommen. Zum EVB- IT-Pflegevertrag zur Romanik-App wurde durch den LTV mit der brain-SCC GmbH eine ergänzende Vereinbarung zum Datenschutz im Sinne des BDSG getroffen. Frage 4: Gab es hinsichtlich der Erstellung von Apps Gespräche der Landesregierung mit dem Datenschutzbeauftragten des Landes? Welche Ergebnisse zeigten diese Gespräche ggf.? Hinsichtlich der Projekte Naturfreude App der IMG bzw. Romanik-App des LTV hat die Landesregierung keine Gespräche mit dem Landesdatenschutzbeauftragten geführt . 3 Frage 5: Warum wurden beim Relaunch (am 23. September 2015) der „Naturfreude-App Sachsen-Anhalt“ die Einstellungen geändert, sodass beim Nutzer der Zugriff auf sensible Bereiche, wie Kontakte oder Fotos/Medien/Daten, verlangt wird? Wie ist dies mit den Datenschutzbestimmungen des Landes Sachsen-Anhalt vereinbar? Welchen Zweck erfüllen diese Abfragefunktionen überhaupt und was macht das betreffende Unternehmen bzw. das Land Sachsen-Anhalt mit diesen Daten? Die mit dem Relaunch vorgenommenen Änderungen in den Zugriffseinstellungen sind im Wesentlichen durch den erweiterten Funktionsumfang in der Nutzung und im Informationsangebot der Naturfreude App begründet. Die Datenschutzbestimmungen des Landes Sachsen-Anhalt sind hierbei berücksichtigt. Über Art, Inhalt und Zweck dieser Funktionen gibt die Datenschutzerklärung der Naturfreude App Auskunft. Eine Erfassung und Nutzung anwenderbezogener Daten findet weder durch das Land Sachsen-Anhalt noch durch die Outdooractive GmbH statt. Frage 6: Wurden bei weiteren Apps des Landes Sachsen-Anhalt in der Vergangenheit die Einstellungen so geändert, dass die Nutzer und Nutzerinnen erweiterte Zugriffe auf ihre persönlichen Daten akzeptieren sollen? Wenn ja, warum? Werden Nutzer und Nutzerinnen auf die vorgenommenen Änderungen eindeutig hingewiesen? Nein. Laut Auskunft des LTV ist über die Romanik-App eine Nutzeridentifizierung nicht möglich. Es erfolgt keine Abfrage und Erfassung persönlicher Daten, sondern lediglich eine zahlenmäßige Erfassung der Downloads via iOS bzw. Android. Frage 7: Welche Statistiken der App-Nutzung werden erfasst? Wer bekommt diese Daten und (wie) werden sie ausgewertet? Statistiken gegebenenfalls bitte anhängen . Welche individuellen Nutzerdaten werden erfasst? Wer bekommt diese Daten und (wie) werden sie ausgewertet? Bitte einen kompletten Datensatz exemplarisch anfügen. In den Statistiken der Naturfreude App werden Einzelaufrufe von Inhalten der App anonymisiert gezählt (siehe Anlage). Die Erfassung dient der Messung der Reichweite der Inhalte und wird anonymisiert und serverseitig gemessen und nicht dauerhaft gespeichert. Diese Daten stehen der IMG zur Verfügung. Weitere individuelle Nutzerdaten werden durch die Naturfreude App nicht erfasst. Da im Rahmen der Romanik-App keine Nutzerdaten erfasst werden, beschränkt sich die Statistik auf den Nachweis der Downloads. Die Abfrage der Downloads erfolgt bei der brain-SCC GmbH. Die Daten stehen dem LTV zur Verfügung. 4 Frage 8: Welche vertraglichen Regelungen wurden hinsichtlich der Bereitstellung von Informationsdaten durch Kooperationspartner (z. B. Tourismusmarketingverbände ) gemacht? Gehen die durch die Kooperationspartner übermittelten Daten (v. a. Informationen zu Sehenswürdigkeiten) in den Besitz des Unternehmens (z. B. die Outdooractive GmbH) über, welche die Apps erstellt? Wenn ja, wie bewertet die Landesregierung dieses potentielle „Verschenken“ von qualitativ hochwertigen Daten und was sind die rechtlichen Folgen, wenn die zukünftige Auftragsvergabe an ein anderes Unternehmen erfolgt? Nach Angaben der IMG wurden die im allgemeinen Geschäftsverkehr üblichen Regelungen zu Urheber- und Nutzungsrechten berücksichtigt. Die IMG ist und bleibt Eigner der von ihr erfassten Daten in der Outdooractive CMS Benutzergruppe „Investitions - und Marketing Gesellschaft Sachsen-Anhalt mbH“. Gleiches gilt für Partner der IMG, sollten diese bereits über eine eigene Outdooractive Benutzergruppe verfügen und Content (Tourenbeschreibungen, Ausflugsziele etc.) eingestellt haben. In allen Ausgabekanälen wird allgemein üblich Quelle/Autor zum dargestellten Inhalt ausgewiesen. Die Weitergabe von touristisch relevanten Informationen und Inhalten erfolgt seitens der IMG unter der Maßgabe des Open Data Konzepts und der Förderung des Tourismus des Landes Sachsen-Anhalt. Die Nutzung entsprechender Daten (v. a. Informationen zu Sehenswürdigkeiten) erfolgt somit in unterschiedlichsten Projekten und Plattformen, realisiert mit und durch verschiedene IMG Kooperationspartner . Laut Auskunft des LTV wurde mit der Erstellung der Romanik-App eine hochwertige mobile Gästeinformation über die Baudenkmale der Straße der Romanik geschaffen. Im Rahmen der Erstellung der App gehen keine Bauwerksdaten o. ä. in den Besitz des Unternehmens über, das die App programmiert hat. Die Daten stehen zur kostenfreien öffentlichen Nutzung zur Verfügung. In den Ausgabekanälen wird soweit erforderlich Quelle/Autor zum dargestellten Inhalt ausgewiesen. 5 Anlage zu Frage 7