Schützen Sie Ihre Nutzer und sich selbst vor den Folgen von Datenschutzverletzungen. Erfahren Sie alles über die Datenschutzanforderungen für App-Betreiber, inklusive rechtlicher Grundlagen, notwendiger Einwilligungen und praktischer Tipps zur Umsetzung der DSGVO.
In den vergangenen Jahren haben Aufsichtsbehörden verstärkt Apps ins Visier genommen, insbesondere wegen der Zugriffsrechte, die viele Mobil-Apps von den Nutzern einfordern. Diese Berechtigungen sollten Nutzer niemals sorglos vergeben, denn sie haben erhebliche Auswirkungen auf die Erhebung persönlicher Daten und damit auch auf die Privatsphäre der Betroffenen.
Dieser Artikel erläutert, was App-Betreiber über Datenschutzerklärungen wissen sollten und welche datenschutzrechtlichen Aspekte bei der Datenverarbeitung beachtet werden müssen.
Welche Rechtsnormen sind einzuhalten?
App-Betreiber müssen die Vorschriften der DSGVO, des BDSG und des TTDSG strikt einhalten, insbesondere in Bezug auf App-Tracking und Zugriffsrechte. Dies bedeutet, dass sie zahlreiche Informationspflichten gegenüber den Nutzern haben und oft eine explizite Einwilligung für die Verarbeitung personenbezogener Daten einholen müssen.
Verstöße gegen die DSGVO sind Verstöße gegen die informationelle Selbstbestimmung von Menschen und können daher zu empfindlichen Geldbußen führen. Abhängig von der Unternehmensgröße und dem Umsatz können diese sogar in Millionenhöhe ausfallen und auch strafrechtliche Folgen für die beteiligten Verantwortlichen haben.
Datenschutzregeln auch bei Apps
Apps unterliegen denselben Datenschutzbestimmungen wie Unternehmen, Websites und Online-Shops. Das bedeutet, dass die Erhebung, Verarbeitung und Speicherung personenbezogener Daten nur dann erlaubt ist, wenn sie für den Verarbeitungszweck notwendig und legitim sind.
Risikobewertung und Einwilligung
Bei risikoreicher Datenverarbeitung muss abgewogen werden, ob das Interesse des Unternehmens die Risiken für die Nutzer überwiegt, gleiches gilt, wenn eine Verarbeitung auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden soll. In einigen Fällen, wie bei Tracking oder Werbung, ist sogar die ausdrückliche Einwilligung der Nutzer erforderlich; eine bloße Information über die Datenschutzerklärung ist nicht ausreichend.
Wenn eine App personenbezogene Daten zur Erfüllung ihrer technischen Funktion verwendet, kann dies auf Vertragsbasis (Art. 6 Abs. 1 lit. b DSGVO) geschehen, der Zusammenhang muss aber gut und nachvollziehbar begründbar sein. Eine Navigations-App dürfte z.B. GPS-Daten zweckgebunden ohne Einwilligung verarbeiten, da das Gerät sonst technisch nicht funktionieren kann. Eine elektronische Einkaufsliste dürfte das nicht ohne Einwilligung des Nutzers. Datenverarbeitungen können grundsätzlich auch auf berechtigtem Interesse des Anbieters basieren, jedoch sind die Risiken für die Betroffenen oftmals als schwerwiegender zu beurteilen als das vorgetragene berechtigte Interesse.
Im Zweifel sollten Sie Experten zu Rate ziehen.
Unser Team aus erfahrenen Datenschutz- und IT-Sicherheitsexperten ist bereit, Sie umfassend zu beraten. Kontaktieren Sie uns am besten jetzt gleich…
Zugriffsrechte und Datenminimierung
Je nach App-Typ können, wie erwähnt, verschiedene Zugriffsrechte erforderlich sein, etwa Standortdaten bei Navigations-Apps oder Zugriff auf den Fotospeicher bei Messenger-Apps oder Social-Media-Apps. Entscheidend ist, dass die Datennutzung einem legitimen Zweck dient und Daten nur zweckgebunden verwendet werden.
Der Grundsatz der Datenminimierung besagt, dass nur die unbedingt notwendigen Daten erhoben werden dürfen. Hierbei geht es in der Regel um ein technisches Erfordernis; auch muss der Zweck der Verarbeitung unabdingbar sein.
Personenbezogene Daten
Personenbezogene Daten, die Rückschlüsse auf die Identität einer Person zulassen, unterliegen immer dem Datenschutz. Dazu gehören Fotos, Standorte, Tonaufnahmen, IP-Adressen, Namen, Geburtsdaten, Fingerabdrücke und Gerätekennungen.
Welche Daten im Einzelfall verarbeitet werden dürfen, hängt vom Verwendungszweck der App ab. Beispielsweise benötigt eine Bildbearbeitungs-App Zugriff auf die Fotos und Bilder im Dateisystem, eine Banking-App jedoch nicht. Im Zweifelsfall sollten Sie immer den Rat eines Datenschutzxperten einholen.
App-Tracking und Nutzungsanalyse
Viele Apps nutzen App-Tracking und Nutzungsanalysen, die rechtliche Risiken mit sich bringen. Die Notwendigkeit einer Einwilligung hängt davon ab, wie diese Analysen durchgeführt werden:
- Anonyme Nutzungsanalysen: Keine Einwilligung erforderlich.
- Analysen mit Cookies oder Gerätedaten: Einwilligung notwendig (z.B. Google Analytics).
- Individuelles App-Tracking: Hierbei werden Nutzerprofile erstellt, um personalisierte Werbung zu ermöglichen. Dies erfordert immer eine Einwilligung aufgrund der Erfassung umfangreicher personenbezogener Daten.
Zustimmungsbanner
Wenn Datenverarbeitungen oder -übermittlungen eine Zustimmung erfordern, ist es erforderlich, diese einzuholen und zu Nachweiszwecken sicher zu dokumentieren. Die Einwilligung könnte über einen Zustimmungsbanner, Cookie-Banner oder ein Pop-up eingeholt werden.
Datenschutzerklärung für App
Eine umfassende und rechtskonforme Datenschutzerklärung ist notwendig, die die Nutzer über die Datenverarbeitung und ihre Rechte informiert. Besonders wichtig sind die Widerspruchsrechte, da eine Einwilligung jederzeit widerrufen werden kann. Unzureichende transparenz und Information der Nutzer hat in der Vergangenheit immer wieder zu hohen Bußgeldern geführt.
Weitergabe an Dritte
Die Weitergabe personenbezogener Daten an Dritte erfordert grundsätzlich besondere Vorsicht und muss in der Datenschutzerklärung detailliert dokumentiert werden. Nutzer müssen ausdrücklich einwilligen, dass ihre Daten weitergegeben werden dürfen. Auf eine Einwilligung darf nur in bestimmten Ausnahmen verzichtet werden, z.B. bei Vorliegen einer Datenverarbeitung im Auftrag.
Hierbei müssen alle Anforderungen des Art. 28 DSGVO eingehalten werden. Beispiele hierzu sind die Kenntnisnahme personenbezogener Daten durch einen eingesetzten Dienstleister oder Freiberufler im Unternehmen oder die Beauftragung zur Verarbeitung der Daten durch einen Auftragsverarbeiter im Auftrag des Verantwortlichen.
Im Falle einer App, könnte ein Unternehmen den Betrieb seiner Kundenbindungs-App, an einen IT-Dienstleister auslagern, sofern alle rechtlichen Rahmenbedingungen eingehalten werden.
Übermittlung ins Ausland
Die Übermittlung von Daten an EU- oder EWR-Staaten ist dann unproblematisch, wenn alle erforderlichen Verträge zwischen den beteiligten Unternehmen bestehen. Bei einer Datenübermittlung in Drittstaaten muss zusätzlich das Datenschutzniveau des Ziellandes angemessen sein oder angepasst werden. Dies kann durch einen Angemessenheitsbeschluss der EU, zusätzliche Verträge oder andere Garantien, zur Einhaltung datenschutzrechtlicher Vorgaben, sichergestellt werden.
Eine Verarbeitung oder Weitergabe personenbezogener Daten, ohne rechtliche Grundlage, stellt einen Verstoß dar. Ebenso ist die Übermittlung in einen Drittstaat, ohne die erforderlichen Garantien, ein erheblicher Verstoß gegen die DSGVO und die Grundrechte der betroffenen Personen.
Datenschutzerklärung für Apps
Eine rechtskonforme Datenschutzerklärung ist für den Betrieb einer App, in der personenbezogene Daten verarbeitet werden, zwingend erforderlich.
Sie sollte mindestens die folgenden Punkte abdecken:
- Betreiberinformation: Name, Rechtsform, Adress- und Kontaktdaten.
- Datenverarbeitung: Welche Daten, zu welchem Zweck und in welchem Umfang verarbeitet werden.
- Speicherdauer: Wie lange die Daten gespeichert und wann sie gelöscht werden.
- Externe Dienstleister: Umfang, Zweck und Dauer der Datenweitergabe.
- Nutzerrechte: Informationen zu Widerrufsrechten und DSGVO-Auskunftsrechten.
- Tracking und Analyse: Auflistung aller verwendeten Tools und Opt-out-Möglichkeiten.
- Datenübermittlung in Drittländer: Informationen über jede Drittlandsübermittlung.
Weitere Bestimmungen für die Datenschutzerklärung:
- Leichte Auffindbarkeit: Maximal zwei Klicks von jeder Unterseite.
- Verständliche Formulierung: Klar und einfach, auch für juristische Laien.
- Lesbarkeit auf mobilen Geräten: Anpassbare Schriftgröße.
- Verfügbarkeit vor Nutzung: Auffindbar im App Store oder Play Store vor dem Download.
Ich hoffe die genannten Punkte helfen App-Betreibern, den Datenschutz gemäß DSGVO und anderer relevanter Vorschriften sicherzustellen.
Fazit zum Datenschutz bei Apps
Die Nutzung von Apps führt zur Erhebung und Verarbeitung umfangreicher Datenmengen. App-Betreiber nutzen und teilen diese Daten häufig in großem Umfang, was erhebliche rechtliche Risiken birgt. Verstöße gegen die DSGVO können gemäß Art. 83 DSGVO Bußgelder von bis zu 2 % des Jahresumsatzes nach sich ziehen und schnell mehrere Millionen Euro kosten.
Unternehmen, die beispielsweise eine App zur Kundenbindung einsetzen, müssen sicherstellen, dass sie die Datenschutzvorgaben strikt einhalten. Dies umfasst die Prinzipien der Datenminimierung, die Bereitstellung einer vollständigen und rechtskonformen Datenschutzerklärung sowie die Ermöglichung der Ausübung aller Betroffenenrechte. Transparenz und eine sorgfältige, lückenlose Dokumentation der Einwilligungen der Nutzer sind dabei unerlässlich.
Benötigen Sie Unterstützung bei den Themen Datenschutz und Informationssicherheit?
Kontaktieren Sie uns für ein unverbindliches Erstgespräch!
Wir kümmern uns gerne um Ihre Anliegen und sorgen dafür, dass Ihr Unternehmen sicher und rechtskonform aufgestellt ist.
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Datenschutz-Grundverordnung bei dejure.org
https://dejure.org/gesetze/DSGVO
Orientierungshilfen des BayLDA
https://www.lda.bayern.de/de/orientierungshilfen.html
Wie weit sind sie mit der DSGVO? – Unser kostenloses Selbstaudit
https://www.datenschutz-muenchen.com
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX und PCI-DSS.