Datenschutz bei Apps: Was gibt es zu beachten?

Das Wichtigste in Kürze

  • Die Datenschutz-Grundverordnung (DSGVO) gilt für jede Art von Onlinepräsenz und damit auch für Apps.
  • Datenschutzerklärungen müssen für Apps individuell angepasst werden.
  • Verstöße gegen die DSGVO können mit Bußgeldern geahndet werden.
  • Eine lückenlose Dokumentation der App-Entwicklung ist wichtig, um mögliche Probleme aufdecken zu können.
  • Eine gut gemachte Datenschutzerklärung kann zum Unique Selling Point werden.

In diesem Beitrag

Wer personenbezogene Daten verarbeitet, dem gibt die DSGVO Regeln vor. Das ist bei Apps nicht anders als bei Websites. Allerdings gibt es einige Punkte, auf die Entwickler von mobilen Anwendungen ganz besonders achten sollten.

Warum ist die DSGVO für App-Entwickler relevant? 

Die Datenschutz-Grundverordnung (DSGVO) gilt für jede Onlinepräsenz. Daher ist das Thema Datenschutz für Apps genauso relevant wie für Websites oder Webshops. Wer personenbezogene Daten sammelt, benötigt eine Datenschutzerklärung, aus der ersichtlich ist, wie Nutzerdaten verarbeitet werden. Zu diesen Daten können beispielsweise zählen:

  • IP-Adressen von Nutzern
  • E-Mail-Adressen
  • Namen
  • Nutzerdaten
  • Besonders sensible Daten wie Gesundheitsdaten oder biometrische Daten

Jeder App-Entwickler und -Betreiber muss die Vorgaben der DSGVO beachten. Eine Datenschutzerklärung ist daher auch bei einer App nicht optional, sondern zwingend erforderlich. App-Nutzer haben das Recht, zu jedem Zeitpunkt nachvollziehen zu können, welche Daten gesammelt werden und was mit den Daten passiert.

Datenschutz und Apps: Worauf kommt es besonders an?

Verarbeitungsprozesse für Daten in Apps und auf Websites unterscheiden sich. App-Betreiber müssen ihre Datenschutzerklärung für die App daher individuell anpassen. App-spezifische Berechtigungen oder Verarbeitungsprozesse müssen in diese Datenschutzerklärung aufgenommen werden. Das betrifft beispielsweise auch Backups über die Apple iCloud oder Google Drive, da sie einen Einfluss auf die Speicherdauer der Daten haben können.

Beim Hosting sollte von Anfang an darauf geachtet werden, dass die Sicherheitsstandards hoch sind und dem aktuellen Stand der Technik entsprechen. Obligatorisch sind zudem Auftragsverarbeitungsverträge (AVVs) mit Drittanbietern. Diese Maßnahme lässt sich oft recht einfach umsetzen, zum Beispiel Google Analytics bietet den Abschluss eines AVV in elektronischer Form über das Dashboard an.

Was passiert bei Lücken im Datenschutz von Apps?

Datenschutz-Lücken bei Apps werden von Aufsichtsbehörden regelmäßig beanstandet. Je nach Grad des Verstoßes kann die Reaktion der Datenschützer jedoch unterschiedlich ausfallen. Zu den milderen Formen gehört eine behördliche Anfrage. Der App-Betreiber muss diese Anfrage dann innerhalb einer gesetzten Frist bearbeiten und detailliert Auskunft geben.

Tatsächliche Verstöße gegen die DSGVO können mit Bußgeldern geahndet werden. Da die Schonfrist nach der Einführung der DSGVO bereits im Mai 2018 verstrichen ist, kontrollieren die Aufsichtsbehörden vermehrt. Wer als Betreiber selbst von Verstößen oder Datenpannen in der App Kenntnis erlangt, ist gut beraten, diese den Behörden fristgerecht – innerhalb von 72 Stunden – zu melden.

Prüfen und testen: Erfüllt meine App Datenschutzstandards?

Betreiber und Entwickler, die ihre App datenschutzrechtlich auf Herz und Nieren prüfen möchten, finden eine erste Orientierungshilfe in einem Papier, das der Düsseldorfer Kreis, ein Koordinationsgremium deutscher Datenschutzbehörden, 2014 herausgegeben hat. Einen sehr hilfreichen (wenn auch ebenfalls nicht ganz aktuellen) Prüfkatalog hat zudem das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht.

Bereits bei der Entwicklung von Apps ist es wichtig, auf eine datenschutzgerechte Gestaltung und entsprechende Voreinstellungen zu achten, die sich in den Prinzipien „Privacy by Design“ und „Privacy by Default“ ausdrücken. Schließlich kann auch ein externer Dienstleister wie DataGuard eine Prüfung durch Rechts- und IT-Experten anbieten. Voraussetzung dafür: Die App-Entwicklung muss möglichst lückenlos dokumentiert sein.

Warum ist beim Datenschutz für Apps die lückenlose Dokumentation so wichtig?

Eine lückenlose Dokumentation der App-Entwicklung ermöglicht Experten, Datenflüsse besser nachzuvollziehen. Das betrifft alle Bausteine von Apps, zum Beispiel:

  • Plug-ins
  • Extern eingebundene Schriftarten (etwa Google Web Fonts)
  • Software Development Kits (SDKs)

Sind diese Bausteine sauber dokumentiert, lässt sich nachvollziehen, in welche Länder Daten über Drittanbieter übermittelt werden. Die Datenübertragung in Drittländer, also Staaten außerhalb der EU, ist nicht unproblematisch und benötigt in jedem Fall eine geeignete Garantie, wie dies im Falle der USA etwa eine Zertifizierung nach dem EU-US Privacy Shield sein kann.

Wie betrifft das Cookie-Urteil Apps?

Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Verwendung von technisch nicht notwendigen Cookies nur mit aktiver und informierter Einwilligung von Nutzern zulässig ist. Dieses Urteil betrifft auch Apps: Alle Cookies, die in einer App gesetzt werden und keine rein technische Notwendigkeit haben, bedürfen einer aktiven und informierten Einwilligung des Nutzers. Was ist nun technisch notwendig, und was zustimmungspflichtig? Zwei Beispiele:

  • Zustimmungspflichtig: Wer in seine App ein Tracking über Google Analytics eingebaut hat, muss aktiv die Einwilligung der Nutzer einholen. Sie müssen die Möglichkeit haben, diese Einwilligung widerrufen zu können.

  • Nicht zustimmungspflichtig: Eine reine Reichweitenmessung über selbst-gehostete Dienste wie z.B. Matomo, bei der kein Kampagnentracking eingesetzt wird. Oder Dienste, die Meta-Daten wie Absturzberichte und Fehlermeldungen senden und lediglich zu Optimierungs- und Wartungszwecken eingesetzt werden können zum technischen Betrieb der App notwendig sein, vorausgesetzt, es werden dabei keine personenbezogenen, sondern nur anonymisierte Daten verwendet.

Ein plastisches Beispiel dafür, was nicht ohne Einwilligung erlaubt ist, lieferte 2018 die spanische Fußball-Liga. Ihre App lief unerkannt im Hintergrund und übermittelte den GPS-Standort des Gerätes, wenn sie über das Mikrofon in der Umgebung Geräusche der TV-Übertragung von Fußballspielen erkannte – um dadurch Kneipenwirte ausfindig zu machen, die keine Pay-TV-Gebühren zahlen. Diese Art der unfreiwilligen Spionage belegten Spaniens Datenschutzbehörden mit einem Bußgeld in Höhe von 250.000 Euro.

Wie kann Datensicherheit bei Apps zum Unique Selling Point werden?

Datenschutz wird von vielen als Last angesehen. Doch gerade bei Apps kann Datenschutz auch zum Alleinstellungsmerkmal, zum Unique Selling Point werden. Möglichst transparente Prozesse, die dem aktuellen Stand des Datenschutzes entsprechen, sind auch im Interesse der Nutzer und fallen positiv auf.

Manche Nutzer möchten keine langen Datenschutzerklärungen lesen. Eine transparente Darstellung der Datenschutzrichtlinien muss aber notwendigerweise ausführlich sein. Auch wenn nicht jeder Nutzer Interesse an einem so langen Dokument hat, müssen interessierte Nutzer dennoch darauf zugreifen können.

Abhilfe schaffen kann hier ein Inhaltsverzeichnis sowie eine kurze Zusammenfassung der Inhalte am Anfang sowie ein Mehrebenen-Aufbau der Datenschutzerklärung.

Allein die Möglichkeit, wirklich zu erfahren, wie die Daten genutzt werden, wo sie hingehen und was genau mit ihnen passiert, sorgt für mehr Transparenz. Im Endeffekt kann das ausschlaggebend sein, ob Nutzer sich für ein Produkt oder für einen Dienst entscheiden. Transparenz zu jeder Zeit ist ein valider Ansatz, der Vertrauen schafft und von Nutzern gewürdigt wird.

Fazit

Datenschutz ist ein MUSS und kein KANN. App-Entwickler und -Betreiber sind dazu verpflichtet, ihre Apps datenschutzkonform zu gestalten. Es ist wichtig, sich frühzeitig mit den rechtlichen Grundlagen und den daraus resultierenden technischen Anforderungen vertraut zu machen.

Verstöße ziehen rechtliche Probleme und Bußgelder nach sich. Wenn bei der App-Entwicklung Datenschutzstandards konsequent eingehalten werden, können viele Probleme vermieden werden. Im Falle von Verstößen und Pannen lohnt es sich, gegenüber Behörden möglichst kooperativ und transparent zu agieren, denn so können oft schwerwiegende Konsequenzen abgewendet werden.

Da niemand um eine Datenschutzerklärung herumkommt, lohnt es sich, sie so transparent und so nutzerfreundlich wie möglich zu gestalten. Eine gut gemachte Datenschutzerklärung wirkt vertrauensbildend und kann damit sogar das Image der App, des Produkts oder des Dienstes verbessern und Nutzer binden.

Die Details einer ausführlichen Datenschutzerklärung können für App-Entwickler und -Betreiber kompliziert sein. Im Zweifelsfall lohnt es sich, rechtzeitig kompetente Hilfe zu suchen und zu prüfen, ob die App auch wirklich datenschutzkonform ist.

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:Kostenloses Erstgespräch buchen

 

Über den Autor

Janis Junker Janis Junker
Janis Junker

Seine Berufung zum Datenschützer entdeckte Janis Junker, ehemals Principal IT-Consultant bei DataGuard, bei der Mitgründung eines Start-ups im Bereich M-Commerce und Digitalisierung. Hier konnte er praktische Erfahrungen mit datenschutzrechtlichen Themen sammeln: Neben dem Schutz von Mitarbeiterdaten gab es auch bei der Projektentwicklung einiges zu klären, z. B. in puncto Datenschutzerklärungen, Datenvermeidung und -sparsamkeit. Sein Interesse für das Thema war entfacht. Spannend dabei findet er insbesondere die tiefe Verknüpfung von Recht mit IT und Informationssicherheit. „Der Datenschutz ist das lebendigste aller rechtlichen Gebiete. Als Datenschützer muss man mit der immensen Geschwindigkeit der technologischen und gesellschaftlichen Entwicklungen mithalten, um nicht abgehängt zu werden.“ In seiner Freizeit ist Janis vielseitig aktiv: Ob Lesen, Kochen, Games, Wandern oder Skifahren – Hauptsache Abwechslung.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren