Das Wichtigste in Kürze
- Die Datenschutz-Grundverordnung (DSGVO) gilt für jede Art von Onlinepräsenz und damit auch für Apps.
- Datenschutzerklärungen müssen für Apps individuell angepasst werden.
- Verstöße gegen die DSGVO können mit Bußgeldern geahndet werden.
- Eine lückenlose Dokumentation der App-Entwicklung ist wichtig, um mögliche Probleme aufdecken zu können.
- Eine gut gemachte Datenschutzerklärung kann zum Unique Selling Point werden.
In diesem Beitrag
- Warum ist die DSGVO für App-Entwickler relevant?
- Datenschutz und Apps: Worauf kommt es besonders an?
- Was passiert bei Lücken im Datenschutz von Apps?
- Prüfen und testen: Erfüllt meine App Datenschutzstandards?
- Warum ist beim Datenschutz für Apps die lückenlose Dokumentation so wichtig?
- Wie betrifft das Cookie-Urteil Apps?
- Wie kann Datensicherheit bei Apps zum Unique Selling Point werden?
- Fazit
Wer personenbezogene Daten verarbeitet, dem gibt die DSGVO Regeln vor. Das ist bei Apps nicht anders als bei Websites. Allerdings gibt es einige Punkte, auf die Entwickler von mobilen Anwendungen ganz besonders achten sollten.
Warum ist die DSGVO für App-Entwickler relevant?
Die Datenschutz-Grundverordnung (DSGVO) gilt für jede Onlinepräsenz. Daher ist das Thema Datenschutz für Apps genauso relevant wie für Websites oder Webshops. Wer personenbezogene Daten sammelt, benötigt eine Datenschutzerklärung, aus der ersichtlich ist, wie Nutzerdaten verarbeitet werden. Zu diesen Daten können beispielsweise zählen:
- IP-Adressen von Nutzern
- E-Mail-Adressen
- Namen
- Nutzerdaten
- Besonders sensible Daten wie Gesundheitsdaten oder biometrische Daten
Jeder App-Entwickler und -Betreiber muss die Vorgaben der DSGVO beachten. Eine Datenschutzerklärung ist daher auch bei einer App nicht optional, sondern zwingend erforderlich. App-Nutzer haben das Recht, zu jedem Zeitpunkt nachvollziehen zu können, welche Daten gesammelt werden und was mit den Daten passiert.
Datenschutz und Apps: Worauf kommt es besonders an?
Verarbeitungsprozesse für Daten in Apps und auf Websites unterscheiden sich. App-Betreiber müssen ihre Datenschutzerklärung für die App daher individuell anpassen. App-spezifische Berechtigungen oder Verarbeitungsprozesse müssen in diese Datenschutzerklärung aufgenommen werden. Das betrifft beispielsweise auch Backups über die Apple iCloud oder Google Drive, da sie einen Einfluss auf die Speicherdauer der Daten haben können.
Beim Hosting sollte von Anfang an darauf geachtet werden, dass die Sicherheitsstandards hoch sind und dem aktuellen Stand der Technik entsprechen. Obligatorisch sind zudem Auftragsverarbeitungsverträge (AVVs) mit Drittanbietern. Diese Maßnahme lässt sich oft recht einfach umsetzen, zum Beispiel Google Analytics bietet den Abschluss eines AVV in elektronischer Form über das Dashboard an.
Was passiert bei Lücken im Datenschutz von Apps?
Datenschutz-Lücken bei Apps werden von Aufsichtsbehörden regelmäßig beanstandet. Je nach Grad des Verstoßes kann die Reaktion der Datenschützer jedoch unterschiedlich ausfallen. Zu den milderen Formen gehört eine behördliche Anfrage. Der App-Betreiber muss diese Anfrage dann innerhalb einer gesetzten Frist bearbeiten und detailliert Auskunft geben.
Tatsächliche Verstöße gegen die DSGVO können mit Bußgeldern geahndet werden. Da die Schonfrist nach der Einführung der DSGVO bereits im Mai 2018 verstrichen ist, kontrollieren die Aufsichtsbehörden vermehrt. Wer als Betreiber selbst von Verstößen oder Datenpannen in der App Kenntnis erlangt, ist gut beraten, diese den Behörden fristgerecht – innerhalb von 72 Stunden – zu melden.
Prüfen und testen: Erfüllt meine App Datenschutzstandards?
Betreiber und Entwickler, die ihre App datenschutzrechtlich auf Herz und Nieren prüfen möchten, finden eine erste Orientierungshilfe in einem Papier, das der Düsseldorfer Kreis, ein Koordinationsgremium deutscher Datenschutzbehörden, 2014 herausgegeben hat. Einen sehr hilfreichen (wenn auch ebenfalls nicht ganz aktuellen) Prüfkatalog hat zudem das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht.
Bereits bei der Entwicklung von Apps ist es wichtig, auf eine datenschutzgerechte Gestaltung und entsprechende Voreinstellungen zu achten, die sich in den Prinzipien „Privacy by Design“ und „Privacy by Default“ ausdrücken. Schließlich kann auch ein externer Dienstleister wie DataGuard eine Prüfung durch Rechts- und IT-Experten anbieten. Voraussetzung dafür: Die App-Entwicklung muss möglichst lückenlos dokumentiert sein.
Warum ist beim Datenschutz für Apps die lückenlose Dokumentation so wichtig?
Eine lückenlose Dokumentation der App-Entwicklung ermöglicht Experten, Datenflüsse besser nachzuvollziehen. Das betrifft alle Bausteine von Apps, zum Beispiel:
- Plug-ins
- Extern eingebundene Schriftarten (etwa Google Web Fonts)
- Software Development Kits (SDKs)
Sind diese Bausteine sauber dokumentiert, lässt sich nachvollziehen, in welche Länder Daten über Drittanbieter übermittelt werden. Die Datenübertragung in Drittländer, also Staaten außerhalb der EU, ist nicht unproblematisch und benötigt in jedem Fall eine geeignete Garantie, wie dies im Falle der USA etwa eine Zertifizierung nach dem EU-US Privacy Shield sein kann.
Wie betrifft das Cookie-Urteil Apps?
Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Verwendung von technisch nicht notwendigen Cookies nur mit aktiver und informierter Einwilligung von Nutzern zulässig ist. Dieses Urteil betrifft auch Apps: Alle Cookies, die in einer App gesetzt werden und keine rein technische Notwendigkeit haben, bedürfen einer aktiven und informierten Einwilligung des Nutzers. Was ist nun technisch notwendig, und was zustimmungspflichtig? Zwei Beispiele:
- Zustimmungspflichtig: Wer in seine App ein Tracking über Google Analytics eingebaut hat, muss aktiv die Einwilligung der Nutzer einholen. Sie müssen die Möglichkeit haben, diese Einwilligung widerrufen zu können.
- Nicht zustimmungspflichtig: Eine reine Reichweitenmessung über selbst-gehostete Dienste wie z.B. Matomo, bei der kein Kampagnentracking eingesetzt wird. Oder Dienste, die Meta-Daten wie Absturzberichte und Fehlermeldungen senden und lediglich zu Optimierungs- und Wartungszwecken eingesetzt werden können zum technischen Betrieb der App notwendig sein, vorausgesetzt, es werden dabei keine personenbezogenen, sondern nur anonymisierte Daten verwendet.
Ein plastisches Beispiel dafür, was nicht ohne Einwilligung erlaubt ist, lieferte 2018 die spanische Fußball-Liga. Ihre App lief unerkannt im Hintergrund und übermittelte den GPS-Standort des Gerätes, wenn sie über das Mikrofon in der Umgebung Geräusche der TV-Übertragung von Fußballspielen erkannte – um dadurch Kneipenwirte ausfindig zu machen, die keine Pay-TV-Gebühren zahlen. Diese Art der unfreiwilligen Spionage belegten Spaniens Datenschutzbehörden mit einem Bußgeld in Höhe von 250.000 Euro.
Wie kann Datensicherheit bei Apps zum Unique Selling Point werden?
Datenschutz wird von vielen als Last angesehen. Doch gerade bei Apps kann Datenschutz auch zum Alleinstellungsmerkmal, zum Unique Selling Point werden. Möglichst transparente Prozesse, die dem aktuellen Stand des Datenschutzes entsprechen, sind auch im Interesse der Nutzer und fallen positiv auf.
Manche Nutzer möchten keine langen Datenschutzerklärungen lesen. Eine transparente Darstellung der Datenschutzrichtlinien muss aber notwendigerweise ausführlich sein. Auch wenn nicht jeder Nutzer Interesse an einem so langen Dokument hat, müssen interessierte Nutzer dennoch darauf zugreifen können.
Abhilfe schaffen kann hier ein Inhaltsverzeichnis sowie eine kurze Zusammenfassung der Inhalte am Anfang sowie ein Mehrebenen-Aufbau der Datenschutzerklärung.
Allein die Möglichkeit, wirklich zu erfahren, wie die Daten genutzt werden, wo sie hingehen und was genau mit ihnen passiert, sorgt für mehr Transparenz. Im Endeffekt kann das ausschlaggebend sein, ob Nutzer sich für ein Produkt oder für einen Dienst entscheiden. Transparenz zu jeder Zeit ist ein valider Ansatz, der Vertrauen schafft und von Nutzern gewürdigt wird.
Fazit
Datenschutz ist ein MUSS und kein KANN. App-Entwickler und -Betreiber sind dazu verpflichtet, ihre Apps datenschutzkonform zu gestalten. Es ist wichtig, sich frühzeitig mit den rechtlichen Grundlagen und den daraus resultierenden technischen Anforderungen vertraut zu machen.
Verstöße ziehen rechtliche Probleme und Bußgelder nach sich. Wenn bei der App-Entwicklung Datenschutzstandards konsequent eingehalten werden, können viele Probleme vermieden werden. Im Falle von Verstößen und Pannen lohnt es sich, gegenüber Behörden möglichst kooperativ und transparent zu agieren, denn so können oft schwerwiegende Konsequenzen abgewendet werden.
Da niemand um eine Datenschutzerklärung herumkommt, lohnt es sich, sie so transparent und so nutzerfreundlich wie möglich zu gestalten. Eine gut gemachte Datenschutzerklärung wirkt vertrauensbildend und kann damit sogar das Image der App, des Produkts oder des Dienstes verbessern und Nutzer binden.
Die Details einer ausführlichen Datenschutzerklärung können für App-Entwickler und -Betreiber kompliziert sein. Im Zweifelsfall lohnt es sich, rechtzeitig kompetente Hilfe zu suchen und zu prüfen, ob die App auch wirklich datenschutzkonform ist.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:Kostenloses Erstgespräch buchen