Mobile Apps sind aus dem Alltag nicht mehr wegzudenken. Ob für Kommunikation, Navigation, Fitness oder Unterhaltung – sie begleiten uns in vielen Bereichen unseres Lebens. Doch die Nutzung dieser Apps geht oft mit der Verarbeitung sensibler personenbezogener Daten einher. Nicht selten kommt es dabei zu Verstößen gegen die Datenschutz-Grundverordnung (DSGVO), was für App-Anbieter rechtliche und finanzielle Risiken mit sich bringt. Aufsichtsbehörden widmen sich zunehmend der Kontrolle der Datenverarbeitung in mobilen Anwendungen, und Verstöße können hohe Bußgelder nach sich ziehen. Es besteht Handlungsbedarf im Datenschutz für App-Anbieter. Damit Sie als App-Anbieter den rechtlichen Anforderungen gerecht werden, haben wir für Sie zehn essentielle Datenschutz-Tipps zusammengestellt.
Inhaltsverzeichnis
- Datenschutz für App Anbieter: Rechtliche Anforderungen & Grundlagen
- Datenschutz für App Anbieter: Welche Daten müssen geschützt werden?
- Welche Regeln gelten für den Datenschutz in Apps?
- Datenschutz in Apps – 10 DSGVO-Praxistipps
- 1. Datenschutzkonforme Anmeldung der App-Nutzer sicherstellen
- 2. Zugriffsrechte bei Apps in Bezug auf die DSGVO restriktiv gestalten
- 3. Datenschutzerklärung für App erstellen und einbinden
- 4. Datenschutzerklärung im App Store und Google Play Store verlinken
- 5. Impressum in App und Store einbinden
- 6. Einwilligung des Nutzers für App-Tracking und Nutzungsanalyse einholen
- 7. Standortdaten pseudonymisieren
- 8. Möglichkeit zur Löschung berücksichtigen
- 9. Sichere Datenübertragung etablieren und datenschutzrechtlichen Anforderungen gerecht werden
- 10. Datenschutz-Dokumentation aktualisieren
- IT-Sicherheit als App-Anbieter umsetzen
- Wann benötigen App-Anbieter einen Datenschutzbeauftragten?
- FAQ Datenschutz für App-Anbieter
Datenschutz für App Anbieter: Rechtliche Anforderungen & Grundlagen
App-Nutzer müssen darauf vertrauen können, dass ihre personenbezogenen Daten und alle relevanten Informationen sicher und vertraulich behandelt werden. Datenschutz ist für App-Entwickler und -Anbieter daher eine grundlegende Verpflichtung. Neben branchenspezifischen Regelungen sind vor allem folgende Gesetze für den Umgang mit personenbezogenen Daten relevant:
- Datenschutz-Grundverordnung (DSGVO): Regelt den Schutz personenbezogener Daten in der EU.
- Bundesdatenschutzgesetz (BDSG): Nationale Ergänzung der DSGVO in Deutschland.
- Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG): Regelt insbesondere den Datenschutz in der Telekommunikation und bei digitalen Diensten.
- Cyber Resilience Act (CRA): Vorschriften zur Cybersicherheit für Produkte mit digitalen Elementen.
Datenschutz für App Anbieter: Welche Daten müssen geschützt werden?
Mobile Apps greifen häufig auf eine Vielzahl personenbezogener Daten zu. Wenn die mobile App eine Internetverbindung aufbaut und auf einen Server des Anbieters zugreift, werden beispielsweise folgende Daten verarbeitet
- Allgemeine Nutzerdaten der betroffenen Person: Name, E-Mail-Adresse, Telefonnummer
- Geräteinformationen: IP-Adresse, Gerätekennungen, MAC-Adressen
- Besonders schützenswerte Daten: Fingerabdrücke, Gesundheitsdaten, biometrische Daten
- Lokationsdaten: GPS-Standorte, Bewegungsprofile
- Kommunikationsdaten: Telefonnummern, Nachrichteninhalte
- Medien: Fotos, Videos, Audiodateien
Diese Datenkategorien sind nicht abschließend und nur beispielhaft aufgeführt.
Welche Regeln gelten für den Datenschutz in Apps?
Die DSGVO schreibt vor, dass die Entwickler von Apps bereits bei der Entwicklung und Voreinstellung datenschutzfreundlich gestaltet sein müssen:
- Privacy by Design: Datenschutz muss von Anfang an in die Architektur und Funktionen der App integriert sein.
- Privacy by Default: Nutzer sollen automatisch die höchste Datenschutzstufe erhalten, ohne manuelle Anpassungen vornehmen zu müssen.
- Minimierung der Datenerhebung: Erheben Sie nur Daten, die für den jeweiligen Zweck unbedingt notwendig sind.
Generell gilt auch: die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten ist nur dann zulässig, wenn es hierfür einen legitimen und erforderlichen Verarbeitungszweck gibt. Ohne Rechtsgrundlage darf eine Datenverarbeitung seitens des App-Anbieters nicht erfolgen. Einige ausgewählte Praxishinweise zur Umsetzung des Datenschutzes in Apps erfahren Sie mit den 10 nachfolgenden Datenschutz-Tipps für App-Anbieter.
Datenschutz in Apps – 10 DSGVO-Praxistipps
1. Datenschutzkonforme Anmeldung der App-Nutzer sicherstellen
Der erste Tipp zum Datenschutz für App-Anbieter besteht darin, bei der Authentifizierung innerhalb der App darauf zu achten, dass ausreichend komplexe Passwörter entweder erzwungen oder durch eine explizite Anzeige der Passwortstärke empfohlen werden. Zudem sollte geprüft werden, ob eine Anmeldung mit Benutzername und Passwort ausreicht oder ob ein höheres Schutzniveau, etwa durch eine Zwei-Faktor-Authentifizierung, erforderlich ist. Passwörter dürfen niemals im Klartext übertragen oder gespeichert werden, sondern sollten nach dem Stand der Technik kryptographisch verschlüsselt sein.
2. Zugriffsrechte bei Apps in Bezug auf die DSGVO restriktiv gestalten
Bei dem zweiten Tipp zum Datenschutz für App-Anbieter geht es um die möglichst strenge Ausgestaltung der Zugriffe auf die Ressourcen des Endgeräts. Je nach Funktionsweise der App können unterschiedliche Datenerhebungen und Zugriffsrechte erforderlich sein, z. B. der Standort bei Navigations-Apps oder das Mikrofon bei Sprachlern-Apps. Die Nutzung personenbezogener Daten sollte immer einem legitimen und erforderlichen Zweck dienen. Beispielsweise ist es fraglich, warum eine reine Navigations-App Zugriff auf die Fotogalerie oder Kamera des Nutzers benötigen sollte. Datenschutzbeauftragte und App-Anbieter sollten daher darauf achten, Zugriffsrechte so restriktiv wie möglich zu gestalten und nur notwendige Daten zu erheben.
3. Datenschutzerklärung für App erstellen und einbinden
Eine App-spezifische Datenschutzerklärung ist erforderlich, um Nutzer transparent über die mit der App verbundenen Datenverarbeitungen zu informieren. Da viele App-Berechtigungen personenbezogene Daten betreffen, ist eine umfassende Unterrichtung über Art, Umfang und Zweck der Datenverarbeitung notwendig. Da mobile Endgeräte über begrenzte Bildschirmgrößen verfügen, sollten Datenschutzhinweise so gestaltet sein, dass Nutzer die Informationen leicht abrufen können, z. B. durch eine kapitelweise Struktur mit aufklappbaren Abschnitten. Fragen Sie Ihren Datenschutzbeauftragten nach einer Datenschutzerklärung für Ihre App.
4. Datenschutzerklärung im App Store und Google Play Store verlinken
Bei dem vierten Tipp zum Datenschutz für App-Anbieter geht es darum, die vom Datenschutzbeauftragten erstellte Datenschutzerklärung in den Stores einzubinden:
- Apple App Store: Die App-spezifische Datenschutzerklärung und die erforderlichen Informationen in dieser müssen im App Store verlinkt sein, damit Nutzer bereits vor dem Download Kenntnis davon nehmen können. Die URL kann über den Developer-Account hinterlegt werden. Weitere Informationen dazu finden sich in den App Store Guidelines unter dem Abschnitt „Legal“.
- Google Play Store: Auch hier muss ein Link zur Datenschutzerklärung eingefügt werden, um Verstöße gegen die Transparenzpflichten der DSGVO zu vermeiden. Entwickler können die URL in der Google Play Console im Bereich „Privacy Policy“ hinterlegen.
5. Impressum in App und Store einbinden
Apps gehören zu den digitalen Diensten und unterliegen der Impressumspflicht gemäß § 5 Digitale-Dienste-Gesetz (DDG, ehemals TMG). Das Impressum für Apps muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Nutzer sollten es auf Ihrem Smartphone genauso leicht finden wie auf einer Website. Das App-Impressum für sonstige Informationen muss für den Nutzer über maximal 2 Klicks erreichbar sein. Zudem muss sichergestellt sein, dass das Impressum sowohl online als auch offline abrufbar ist.
6. Einwilligung des Nutzers für App-Tracking und Nutzungsanalyse einholen
Ein oft übersehener Tipp zum Datenschutz für App-Anbieter ist das Vorliegen einer datenschutzrechtlichen Rechtsgrundlage für die Durchführung des Nutzertrackings bei der Nutzung der Software. Hintergrund: Nutzerverhalten kann in Apps ebenso analysiert werden wie auf Websites, z. B. mit Google Analytics. Dabei gelten die gleichen Anforderungen wie im Web: Wird das Nutzerverhalten nicht nur mittels Logfile-Analysen erfasst, sondern direkt vom Endgerät des Nutzers abgeleitet, ist eine vorherige Einwilligung erforderlich (gemäß § 25 TDDDG). Fragen Sie als App-Entwickler Ihren Datenschutzbeauftragte nach einem wirksamen Einwilligungstext und den dokumentativen Anforderungen der DSGVO.
7. Standortdaten pseudonymisieren
Standortdaten dürfen nur gespeichert werden, wenn sie für die App-Funktionalität erforderlich sind, da unbefugter Zugriff zur Erstellung von Bewegungsprofilen führen kann. Werden Standortdaten an das Backend übertragen, sollten sie nur in der erforderlichen Auflösung gespeichert werden. Eine gezielte „Verwaschung“ der Daten kann z. B. durch Nullung von Dezimalstellen in GPS-Koordinaten erfolgen, sodass statt einer genauen Adresse („München, Bahnhofsplatz 1“) lediglich eine ungefähre Ortsangabe („München Stadtmitte“) gespeichert wird.
8. Möglichkeit zur Löschung berücksichtigen
Tipps zum Datenschutz für App-Anbieter umfassen auch die zeitgerechte Löschung von personenbezogen Daten in der App. Nutzer müssen ihre personenbezogenen Daten umfassend löschen können. Wird die Einwilligung zur Datenverarbeitung widerrufen oder der Verarbeitung widersprochen, müssen Daten gelöscht oder nur noch anonymisiert weiterverarbeitet werden. Entsprechende Maßnahmen können etwa durch automatische Löschfristen oder nach einer gewissen Inaktivitätsdauer mit vorheriger Benachrichtigung des Nutzers umgesetzt werden. App-Entwickler und Datenschutzbeauftragte sollten sich über Aufbewahrungsfristen und Löschregeln abstimmen und ein Löschkonzept umsetzen.
9. Sichere Datenübertragung etablieren und datenschutzrechtlichen Anforderungen gerecht werden
Einer der wichtigsten Tipps zum Datenschutz für App-Anbieter ist, darauf zu achten, dass eine Datenübertragung sicher erfolgt. Da Apps regelmäßig personenbezogene Daten an Server übermitteln, muss während des Transports eine sichere Verbindung gewährleistet sein. App und Backend sollten so konfiguriert sein, dass eine verschlüsselte Übertragung unter Nutzung aktueller Sicherheitsstandards, etwa nach Vorgaben des BSI oder des BSI-Grundschutz-Kompendiums, gewährleistet ist.
10. Datenschutz-Dokumentation aktualisieren
App Anbieter sind zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Darin werden datenschutzrelevante Geschäftsabläufe erfasst (z. B. Datenverarbeitung bei der App-Nutzung, Benutzerverwaltung, Support-Anfragen, Rechnungsstellung). Die Aufstellung und Beschreibung der datenschutzrelevanten Geschäftsprozesse sind auf Verlangen der Aufsichtsbehörde bereitzustellen (Art. 30 Abs. 4 DSGVO). Liegt kein Verarbeitungsverzeichnis vor, drohen Bußgelder. Des Weiteren ist die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung durch den Datenschutzbeauftragten des App-Anbieters zu prüfen. Zudem sollte geprüft werden, ob ein Datenschutzbeauftragter benannt werden muss.
IT-Sicherheit als App-Anbieter umsetzen
App-Anbieter müssen gemäß Art. 32 DSGVO zusätzliche technische und organisatorische Maßnahmen implementieren, die datenschutzrechtlichen Grundsätzen sowie Schutzzielen der Informationssicherheit Rechnung tragen, wie z.B.
- Pseudonymisierung durch Hashing
- Ende-zu-Ende-Verschlüsselung
- Tokenisierung
- Zugriffsbeschränkung durch Multi-Faktor-Authentifizierung (MFA)
- Sandboxing
- Sicherheitsprotokollierung und -überwachung.
- Role-Based Access Control (RBAC)
- Etc.
Für Datenschutzbeauftragte und App-Anbieter kann dabei das Prüfprotokoll des Bayerischen Landesamtes für Datenschutzaufsicht hilfreich sein.
Wann benötigen App-Anbieter einen Datenschutzbeauftragten?
Als App-Anbieter sind Sie regelmäßig zur Benennung eines Datenschutzbeauftragten verpflichtet, da Ihre Kerntätigkeit in der umfangreichen Verarbeitung personenbezogener Daten liegt.
Dabei benennen App-Anbieter entweder einen externen Datenschutzbeauftragten oder einen internen Mitarbeiter für diese Rolle. Es ist jedoch ratsam, dass der zukünftige Datenschutzbeauftragte über die erforderliche Fachkunde, z.B. Informationen zur Datensicherheit, gute Kommunikationsfähigkeiten sowie juristische und technische Grundkenntnisse verfügt.
FAQ Datenschutz für App-Anbieter
Die Datenschutz-Grundverordnung ist für alle App-Anbieter mit Sitz in der Europäischen Union. Auch für App-Anbieter im Drittstaat kann die DSGVO über das Marktortprinzip Anwendung finden, wenn die App für Nutzer auf dem EU-Markt angeboten wird.
Nein, im Normalfall ist der Anbieter der App für die Datenverarbeitung verantwortlich. Der Datenschutzbeauftragte des App Anbieters sollte jedoch jede Konstellation im Einzelfall prüfen.
Ja, das Durchführen von regelmäßigen Datenschutz-Schulungen für Mitarbeiter ist gesetzlich vorgesehen und somit ein wichtiger Bestandteil eines ganzheitlichen Datenschutzkonzepts bei App-Anbietern. Neue Mitarbeiter sollten direkt zu den Datenschutz-Grundlagen geschult werden, um Haftungsrisiken zu vermeiden.
Ja, wenn beauftragte Dienstleister dauerhaft Zugang zu personenbezogenen Daten erhalten, ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Auftragsverarbeiter können beispielsweise externe Dienstleister zur Softwareentwicklung oder Hosting-Anbieter sein. Der Anbieter der App bleibt in dieser Konstellation weiterhin verantwortlich und haftet für datenschutzrechtliche Verstöße.
App-Anbieter sollten auf Datenschutzverstöße vorbereitet sein. Ein falsch konfigurierter Webserver oder eine ungeschützte Datenbank können zur Offenlegung sensibler Nutzerdaten führen. Datenschutzverletzung müssen von App-Anbietern innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Daher sollten App-Anbieter einen Vorfallreaktionsplan etablieren und ihre Mitarbeiter entsprechend schulen.
Ja, wenn eine App Tracking-Technologien oder Analyse-Tools verwendet, muss ein Cookie-Banner eingebunden werden. Dieser muss beim ersten Besuch der App erscheinen und den Nutzern die Möglichkeit geben, ihre Einwilligung gezielt zu erteilen oder abzulehnen.
Die Verordnung gilt für alle digitalen Produkte, die auf den EU-Markt kommen und mit dem Internet verbunden sind. Bestimmte Kategorien wie Medizinprodukte, Luftfahrt oder Kraftfahrzeuge können jedoch unter bestehende spezielle Vorschriften fallen.
Mit dem Cyberresilienzgesetz werden verbindliche Cybersicherheitsanforderungen für App Anbieter und Hersteller von digitalen Produkten eingeführt, die die Planung, das Design, die Entwicklung und die Wartung solcher Produkte regeln. Diese Verpflichtungen müssen auf jeder Stufe der Wertschöpfungskette erfüllt werden. Das Gesetz verlangt auch von den Herstellern, während des Lebenszyklus ihrer Produkte Pflege zu leisten.
Der Cyber Resilience Act konzentriert sich auf die Cybersicherheit von digitalen Produkten, während die NIS-2-Richtlinie auf die Sicherheit von Netzwerken und IT-Systemen in kritischen Infrastrukturen abzielt.
Die Role-Based Access Control (RBAC) ist die Verwendung von rollenbasierten Zugriffskontrollen, um sicherzustellen, dass Mitarbeiter nur auf die personenbezogenen Daten zugreifen können, die für die Erfüllung ihrer Aufgaben erforderlich sind.
Ersetzung sensibler Daten durch zufällig generierte Tokens, die keine Rückschlüsse auf die ursprünglichen Daten zulassen und für Transaktionen genutzt werden können.
Hashing ist ein Instrument zur Pseudonymisierung von personenbezogene Daten und beinhaltet die Anwendung von kryptografischen Hash-Funktionen, um personenbezogene Daten in nicht rückverfolgbare Zeichenketten umzuwandeln, die nur mit einem Schlüssel wiederhergestellt werden können.
Ein externer Datenschutzbeauftragter für App-Anbieter ist zu empfehlen, wenn Sie als Unternehmen der gesetzlichen Benennungspflicht unterliegen oder das interne Know-How fehlt um die Datenschutzvorgaben der DSGVO eigenständig umzusetzen.
