Datenschutz bei Apps: Was gibt es zu beachten?

Das Wichtigste in Kürze

  • Die Datenschutz-Grundverordnung (DSGVO) gilt für jede Art von Onlinepräsenz und damit auch für Apps.
  • Datenschutzerklärungen müssen für Apps individuell angepasst werden.
  • Verstöße gegen die DSGVO können mit Bußgeldern geahndet werden.
  • Eine lückenlose Dokumentation der App-Entwicklung ist wichtig, um mögliche Probleme aufdecken zu können.
  • Eine gut gemachte Datenschutzerklärung kann zum Unique Selling Point werden.

In diesem Beitrag

Wer personenbezogene Daten verarbeitet, dem gibt die DSGVO Regeln vor. Das ist bei Apps nicht anders als bei Websites. Allerdings gibt es einige Punkte, auf die Entwickler von mobilen Anwendungen ganz besonders achten sollten.

Warum ist die DSGVO für App-Entwickler relevant? 

Die Datenschutz-Grundverordnung (DSGVO) gilt für jede Onlinepräsenz. Daher ist das Thema Datenschutz für Apps genauso relevant wie für Websites oder Webshops. Wer personenbezogene Daten sammelt, benötigt eine Datenschutzerklärung, aus der ersichtlich ist, wie Nutzerdaten verarbeitet werden. Zu diesen Daten können beispielsweise zählen:

Jeder App-Entwickler und -Betreiber muss die Vorgaben der DSGVO beachten. Eine Datenschutzerklärung ist daher auch bei einer App nicht optional, sondern zwingend erforderlich. App-Nutzer haben das Recht, zu jedem Zeitpunkt nachvollziehen zu können, welche Daten gesammelt werden und was mit den Daten passiert.

Datenschutz und Apps: Worauf kommt es besonders an?

Verarbeitungsprozesse für Daten in Apps und auf Websites unterscheiden sich. App-Betreiber müssen ihre Datenschutzerklärung für die App daher individuell anpassen. App-spezifische Berechtigungen oder Verarbeitungsprozesse müssen in diese Datenschutzerklärung aufgenommen werden. Das betrifft beispielsweise auch Backups über die Apple iCloud oder Google Drive, da sie einen Einfluss auf die Speicherdauer der Daten haben können.

Beim Hosting sollte von Anfang an darauf geachtet werden, dass die Sicherheitsstandards hoch sind und dem aktuellen Stand der Technik entsprechen. Obligatorisch sind zudem Auftragsverarbeitungsverträge (AVVs) mit Drittanbietern. Diese Maßnahme lässt sich oft recht einfach umsetzen, zum Beispiel Google Analytics bietet den Abschluss eines AVV in elektronischer Form über das Dashboard an.

Was passiert bei Lücken im Datenschutz von Apps?

Datenschutz-Lücken bei Apps werden von Aufsichtsbehörden regelmäßig beanstandet. Je nach Grad des Verstoßes kann die Reaktion der Datenschützer jedoch unterschiedlich ausfallen. Zu den milderen Formen gehört eine behördliche Anfrage. Der App-Betreiber muss diese Anfrage dann innerhalb einer gesetzten Frist bearbeiten und detailliert Auskunft geben.

Tatsächliche Verstöße gegen die DSGVO können mit Bußgeldern geahndet werden. Da die Schonfrist nach der Einführung der DSGVO bereits im Mai 2018 verstrichen ist, kontrollieren die Aufsichtsbehörden vermehrt. Wer als Betreiber selbst von Verstößen oder Datenpannen in der App Kenntnis erlangt, ist gut beraten, diese den Behörden fristgerecht – innerhalb von 72 Stunden – zu melden.

Prüfen und testen: Erfüllt meine App Datenschutzstandards?

Betreiber und Entwickler, die ihre App datenschutzrechtlich auf Herz und Nieren prüfen möchten, finden eine erste Orientierungshilfe in einem Papier, das der Düsseldorfer Kreis, ein Koordinationsgremium deutscher Datenschutzbehörden, 2014 herausgegeben hat. Einen sehr hilfreichen (wenn auch ebenfalls nicht ganz aktuellen) Prüfkatalog hat zudem das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht.

Bereits bei der Entwicklung von Apps ist es wichtig, auf eine datenschutzgerechte Gestaltung und entsprechende Voreinstellungen zu achten, die sich in den Prinzipien „Privacy by Design“ und „Privacy by Default“ ausdrücken. Schließlich kann auch ein externer Dienstleister wie DataGuard eine Prüfung durch Rechts- und IT-Experten anbieten. Voraussetzung dafür: Die App-Entwicklung muss möglichst lückenlos dokumentiert sein.

Warum ist beim Datenschutz für Apps die lückenlose Dokumentation so wichtig?

Eine lückenlose Dokumentation der App-Entwicklung ermöglicht Experten, Datenflüsse besser nachzuvollziehen. Das betrifft alle Bausteine von Apps, zum Beispiel:

  • Plug-ins
  • Extern eingebundene Schriftarten (etwa Google Web Fonts)
  • Software Development Kits (SDKs)

Sind diese Bausteine sauber dokumentiert, lässt sich nachvollziehen, in welche Länder Daten über Drittanbieter übermittelt werden. Die Datenübertragung in Drittländer, also Staaten außerhalb der EU, ist nicht unproblematisch und benötigt in jedem Fall eine geeignete Garantie, wie dies im Falle der USA etwa eine Zertifizierung nach dem EU-US Privacy Shield sein kann.

Wie betrifft das Cookie-Urteil Apps?

Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Verwendung von technisch nicht notwendigen Cookies nur mit aktiver und informierter Einwilligung von Nutzern zulässig ist. Dieses Urteil betrifft auch Apps: Alle Cookies, die in einer App gesetzt werden und keine rein technische Notwendigkeit haben, bedürfen einer aktiven und informierten Einwilligung des Nutzers. Was ist nun technisch notwendig, und was zustimmungspflichtig? Zwei Beispiele:

  • Zustimmungspflichtig: Wer in seine App ein Tracking über Google Analytics eingebaut hat, muss aktiv die Einwilligung der Nutzer einholen. Sie müssen die Möglichkeit haben, diese Einwilligung widerrufen zu können.
  • Nicht zustimmungspflichtig: Eine reine Reichweitenmessung über selbst-gehostete Dienste wie z.B. Matomo, bei der kein Kampagnentracking eingesetzt wird. Oder Dienste, die Meta-Daten wie Absturzberichte und Fehlermeldungen senden und lediglich zu Optimierungs- und Wartungszwecken eingesetzt werden können zum technischen Betrieb der App notwendig sein, vorausgesetzt, es werden dabei keine personenbezogenen, sondern nur anonymisierte Daten verwendet.

Ein plastisches Beispiel dafür, was nicht ohne Einwilligung erlaubt ist, lieferte 2018 die spanische Fußball-Liga. Ihre App lief unerkannt im Hintergrund und übermittelte den GPS-Standort des Gerätes, wenn sie über das Mikrofon in der Umgebung Geräusche der TV-Übertragung von Fußballspielen erkannte – um dadurch Kneipenwirte ausfindig zu machen, die keine Pay-TV-Gebühren zahlen. Diese Art der unfreiwilligen Spionage belegten Spaniens Datenschutzbehörden mit einem Bußgeld in Höhe von 250.000 Euro.

Wie kann Datensicherheit bei Apps zum Unique Selling Point werden?

Datenschutz wird von vielen als Last angesehen. Doch gerade bei Apps kann Datenschutz auch zum Alleinstellungsmerkmal, zum Unique Selling Point werden. Möglichst transparente Prozesse, die dem aktuellen Stand des Datenschutzes entsprechen, sind auch im Interesse der Nutzer und fallen positiv auf.

Manche Nutzer möchten keine langen Datenschutzerklärungen lesen. Eine transparente Darstellung der Datenschutzrichtlinien muss aber notwendigerweise ausführlich sein. Auch wenn nicht jeder Nutzer Interesse an einem so langen Dokument hat, müssen interessierte Nutzer dennoch darauf zugreifen können.

Abhilfe schaffen kann hier ein Inhaltsverzeichnis sowie eine kurze Zusammenfassung der Inhalte am Anfang sowie ein Mehrebenen-Aufbau der Datenschutzerklärung.

Allein die Möglichkeit, wirklich zu erfahren, wie die Daten genutzt werden, wo sie hingehen und was genau mit ihnen passiert, sorgt für mehr Transparenz. Im Endeffekt kann das ausschlaggebend sein, ob Nutzer sich für ein Produkt oder für einen Dienst entscheiden. Transparenz zu jeder Zeit ist ein valider Ansatz, der Vertrauen schafft und von Nutzern gewürdigt wird.

Fazit

Datenschutz ist ein MUSS und kein KANN. App-Entwickler und -Betreiber sind dazu verpflichtet, ihre Apps datenschutzkonform zu gestalten. Es ist wichtig, sich frühzeitig mit den rechtlichen Grundlagen und den daraus resultierenden technischen Anforderungen vertraut zu machen.

Verstöße ziehen rechtliche Probleme und Bußgelder nach sich. Wenn bei der App-Entwicklung Datenschutzstandards konsequent eingehalten werden, können viele Probleme vermieden werden. Im Falle von Verstößen und Pannen lohnt es sich, gegenüber Behörden möglichst kooperativ und transparent zu agieren, denn so können oft schwerwiegende Konsequenzen abgewendet werden.

Da niemand um eine Datenschutzerklärung herumkommt, lohnt es sich, sie so transparent und so nutzerfreundlich wie möglich zu gestalten. Eine gut gemachte Datenschutzerklärung wirkt vertrauensbildend und kann damit sogar das Image der App, des Produkts oder des Dienstes verbessern und Nutzer binden.

Die Details einer ausführlichen Datenschutzerklärung können für App-Entwickler und -Betreiber kompliziert sein. Im Zweifelsfall lohnt es sich, rechtzeitig kompetente Hilfe zu suchen und zu prüfen, ob die App auch wirklich datenschutzkonform ist.

Über den Autor

Janis Junker

Seine Berufung zum Datenschützer entdeckte Janis Junker, heute Principal IT-Consultant bei DataGuard, bei der Mitgründung eines Start-ups im Bereich M-Commerce und Digitalisierung. Hier konnte er praktische Erfahrungen mit datenschutzrechtlichen Themen sammeln: Neben dem Schutz von Mitarbeiterdaten gab es auch bei der Projektentwicklung einiges zu klären, z. B. in puncto Datenschutzerklärungen, Datenvermeidung und -sparsamkeit. Sein Interesse für das Thema war entfacht. Spannend dabei findet er insbesondere die tiefe Verknüpfung von Recht mit IT und Informationssicherheit. „Der Datenschutz ist das lebendigste aller rechtlichen Gebiete. Als Datenschützer muss man mit der immensen Geschwindigkeit der technologischen und gesellschaftlichen Entwicklungen mithalten, um nicht abgehängt zu werden.“ In seiner Freizeit ist Janis vielseitig aktiv: Ob Lesen, Kochen, Games, Wandern oder Skifahren – Hauptsache Abwechslung.

Weitere Beiträge von Janis Junker

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
49 (89) 442 55062 - 000 bundesweiter Service