Datenschutz bei Apps

8. Mai 2020

Datenschutz Verstehen – Datenschutz bei Apps

Kurze Einleitung

Das Thema Datenschutz nimmt in der Softwarebranche eine wichtige Rolle ein. Insbesondere im Bereich der Entwicklung von Anwendungen, sog. Apps, für mobile Endgeräte und Betriebssysteme wie Apples iOS oder Googles Android OS, müssen datenschutzrechtliche Vorgaben frühzeitig erkannt und umgesetzt werden. Die Funktionsweise der jeweiligen App entscheidet zudem, ob gewisse zusätzliche Voraussetzungen im Datenschutz umgesetzt werden müssen. In unserem heutigen Blogbeitrag erfahren Sie, welche datenschutzrechtlichen Vorgaben aus der europäischen Datenschutz-Grundverordnung (DSGVO) bei Apps einzuhalten und zu berücksichtigen sind.

Inhalt:

Welche Daten werden von Apps verarbeitet?
Technisch-organisatorische Maßnahmen in Apps
Auftragsverarbeitung, Drittstaaten und gemeinsame Verantwortlichkeit
Datenschutzerklärung für Apps
Datenschutz iOS App
Datenschutz Android App
Was passiert, wenn eine Datenschutzerklärung nicht in der App zur Verfügung gestellt wird?

Welche Daten werden von Apps verarbeitet?

Typischerweise werden durch Apps, unabhängig davon, ob es sich um Apps für iOS oder Android OS handelt, folgende personenbezogene Daten der Nutzer verarbeitet:

IP-Adresse
Gerätekennungen
E-Mail-Adresse
Name
SIM-Kartennummer
Fingerabdrücke
Filme, Fotos, Audioaufnahmen
Gesundheitsdaten
Standortdaten
Mac-Adressen
SIM-Kartennummer

Diese Datenkategorien sind nicht abschließend und nur beispielhaft aufgeführt. Insbesondere dann, wenn besondere Kategorien von personenbezogenen Daten gem. Art 9 Abs. 1 DSGVO verarbeitet werden, ist eine besondere Rechtsgrundlage erforderlich und die Anforderungen an die technische und organisatorische Sicherheit der Verarbeitung besonders hoch.

Technisch-organisatorische Maßnahmen in Apps

Bereits während der Entwicklungsphase sollten datenschutzrechtliche Vorgaben der DSGVO und des neuen Bundesdatenschutzgesetzes (BDSG-neu) identifiziert und eingehalten werden, da nachträgliche Veränderungen hinsichtlich der App, wegen nicht rechtzeitig erkannter datenschutzrechtlichen Risiken, häufig zu höheren Aufwänden und Kosten führen können. Essentiell ist die Implementierung von technisch-organisatorischen Maßnahmen (TOM) gem. Art 32, 25 DSGVO. Besonders bei Apps sind die Stichwörter Privacy by default bzw. Privacy by design zu berücksichtigen: Privacy by default meint in diesem Zusammenhang, dass Datenschutz durch eine gewisse Gestaltung der Technik etabliert werden soll. Privacy by Design knüpft an die individuelle Konfiguration an, denn in diesem Zusammenhang spielen datenschutzfreundliche Voreinstellungen i.S.v. Art. 25 Abs. 2 DSGVO eine entscheidende Rolle. So sind z.B. Voreinstellungen bezüglich bestimmter Funktionen, wie z.B. die Option, sich für einen Newsletter anzumelden, standardmäßig deaktiviert, um eine aktive Handlung des Nutzers für eine Datenverarbeitung einzufordern, die bei einer Einwilligung in jedem Fall aufgrund der höchstrichterlichen Rechtsprechung ohnehin erforderlich ist. Beispiele für Privacy by design sind Technikgestaltungen, wie z.B. die sichere Verschlüsselung und Pseudonymisierung von personenbezogenen Daten. Dies gilt insbesondere für sensible Daten, wie z.B. Passwörter der Nutzer. Weitere technisch-organisatorische Maßnahmen müssen nach Maßgabe der Art. 32, 25 DSGVO ebenfalls implementiert werden. Welche Maßnahmen im Einzelnen erforderlich sind, lässt sich nur nach einer Analyse der jeweiligen Verarbeitungen der App beantworten.

Auftragsverarbeitung, Drittstaaten und gemeinsame Verantwortlichkeit

Wenn bei der jeweiligen App Dienstleister zum Einsatz kommen und diese personenbezogene Daten, z.B. der Nutzer der App, im Auftrag verarbeiten, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Eine Auftragsverarbeitung liegt bereits dann vor, wenn beispielsweise Cloud-Dienstleister zum Einsatz kommen und personenbezogene Daten durch SaaS-Dienste verarbeiten. Bereits das Hosting bei Dienstleistern von personenbezogenen Daten bildet eine Auftragsverarbeitung. Auch die Wartung und der Support für die jeweilige App durch externe Dienstleister wird nach herrschender Meinung (hierzu gehören insbesondere die Aufsichtsbehörden) als Auftragsverarbeitung erfasst, soweit hier ein Zugriff auf personenbezogene Daten im Rahmen des Zugriffs auf die App möglich ist.

Wenn darüber hinaus auch personenbezogene Daten in sog. Drittstaaten übermittelt werden, müssen zusätzlich die Regelungen der Art. 44 ff. DSGVO eingehalten werden. Zusammengefasst geht es hier darum, dass zusätzliche, nachweisbare Garantien für eine sichere Verarbeitung existieren müssen, um die Übermittlung von personenbezogenen Daten an Staaten, die nicht Mitglied der Europäischen Union sind und auch nicht als sog. sicherer Drittstaat im Rahmen eines Angemessenheitsbeschlussses qualifiziert wurden, zu legitimieren. Zum einen gibt es hier die Möglichkeit, einen sog. sektorspezifischen Angemessenheitsbeschluss für das jeweilige Unternehmen, an welches personenbezogenen Daten übermittelt werden, zu erhalten. Diese gibt es derzeit nur für US-amerikanische Unternehmen, wenn diese eine Privacy Shield Zertifizierung besitzen und diese Zertifizierung auch für die jeweiligen Datenkategorien, die übermittelt werden sollen, gilt. Falls kein Angemessenheitsbeschluss i.S.v. Art. 45 DSGVO existiert, muss geprüft werden, ob geeignete Garantien gem. Art 46 DSGVO, hier insbesondere Corporate Binding Rules nach Art. 47 DSGVO, vorliegen und die Datenübermittlung auf die hier genannten Garantien gestützt werden kann. Auch der Abschluss von EU-Standarddatenschutzklauseln ist ein beliebtes Instrument, um eine erforderliche Garantie für die Sicherheit der Datenübermittlung zu erbringen.

In gewissen Fällen, falls eine gemeinsame Verantwortlichkeit zwischen App-Entwickler und weiteren Unternehmen vorliegt, kann auch der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO erforderlich sein.

Datenschutzerklärung für Apps

Wenn die entwickelte App einsatzbereit und zum Download zur Verfügung gestellt wird, ist zu gewährleisten, dass die Nutzer der App zum Zeitpunkt der Erhebung der personenbezogenen Daten über die Datenverarbeitung nach den Vorgaben der Art. 12, 13 DSGVO informiert werden. Auch Regelungen des Telemediengesetzes (TMG) können eine Rolle spielen und müssen bei Einschlägigkeit integriert werden. Dieses Informationsschreiben wird häufig als Datenschutzerklärung bezeichnet und gerade in Zusammenhang mit Apps verwendet. In der Regel ist dies der Zeitpunkt, indem der Nutzer das erste Mal die App startet. Hier ist dann ein entsprechendes Fenster mit den erforderlichen Informationen einzublenden. Über welche Angaben im Einzelnen die jeweiligen Nutzer informiert werden müssen, hängt von dem jeweiligen Umfang der Verarbeitung von personenbezogenen Daten ab. Die Art und Weise, wie zu informieren ist, zählt Art. 12 DSGVO auf. So ist beispielsweise eine klare, einfache und verständliche Sprache zu verwenden und die Informationen müssen transparent übermittelt werden. Die konkreten Angaben, die in dem Informationsschreiben enthalten sein müssen, nennt Art. 13 DSGVO. Hierzu gehören z.B. der Name und die Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten (falls vorhanden), die Zwecke und Rechtsgrundlagen der Verarbeitungen, die Dauer der Verarbeitungen, die Empfänger der Daten, Profiling, die involvierte Logik (falls vorhanden) und das überwiegende berechtigte Interesse, falls diese Rechtsgrundlage in Art. 6 Abs. 1 lit. f) DSGVO für eine Verarbeitung von personenbezogenen Daten beansprucht wird. Alle weiteren erforderlichen Angaben ergeben sich aus dem Katalog des Art. 13 DSGVO und bedürfen einer Einzelfallprüfung.

Datenschutz iOS App

Im App Store von Apple existiert die Möglichkeit, eine Datenschutzerklärung bereits vor der Installation der iOS App auf dem jeweiligen Endgerät (iPhone, iPod, iPad) dem Interessenten bzw. Nutzer der App zur Verfügung zu stellen. Wenn Sie das Formular für die Anmeldung der App im App Store ausfüllen, finden Sie hier eine Zeile (Privacy Policy URL) für einen Link zu Ihrer Datenschutzerklärung. Verlinken Sie allerdings nur auf eine Datenschutzerklärung, die nicht die Verarbeitung von personenbezogenen Daten auf Ihrer Website berücksichtigt, sondern insbesondere über die Datenverarbeitung in der gegenständlichen App informiert. Darüber hinaus werden Entwickler seitdem 03. Oktober 2018 sogar dazu verpflichtet, eine Datenschutzerklärung in die jeweilige App zu integrieren. Mehr zu dieser Verpflichtung erfahren Entwickler in den App Store Guidelines unter dem Abschnitt Legal.

Datenschutz Android App

Auch Google stellt Entwicklern für Android Apps eine Guideline für das Thema Datenschutz zur Verfügung. Insbesondere an die Verarbeitung von sog. sensiblen Daten (sensitive data) stellt Google besondere Anforderungen. Zu diesen sensiblen Daten gehören u.a. Zahlungs- und Finanzdaten, Authentifizierungsdaten, Standort des verwendeten Geräts und Daten über das Nutzungsverhalten. Selbst wenn Google derzeit Entwickler nicht dazu verpflichtet, eine Datenschutzerklärung in die jeweilige App zu integrieren, drohen dennoch weiterhin Konsequenzen aufgrund der gesetzlichen Regelungen in der DSGVO (siehe weiter unten). Darüber hinaus bietet der Google Play Store, ähnlich wie Apples App Store, Entwicklern die Möglichkeit, einen Link für eine Datenschutzerklärung hinzuzufügen, sodass die Datenschutzerklärung bereits im Google Play Store durchgelesen werden kann. Der Link für die Datenschutzerklärung kann im Formular unter dem Punkt Privacy Policy abgelegt werden.

Was passiert, wenn eine Datenschutzerklärung nicht in der App zur Verfügung gestellt wird?

Wenn die App personenbezogene Daten verarbeitet und diese zum Zeitpunkt der ersten Nutzung der App durch den Nutzer erhoben werden, muss zu diesem Zeitpunkt über die Datenverarbeitung informiert werden. Der Inhalt richtet sich nach den Vorgaben des Art. 13 DSGVO, die Art und Weise, wie informiert wird, nach Art. 12 DSGVO. Verstöße gegen diese Vorschriften können zu Bußgeldern von bis zu 20 Mio. Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres führen. Die Aufsichtsbehörden können nicht nur das Fehlen einer Datenschutzerklärung, sondern auch die inhaltliche oder rechtliche falsche Gestaltung der Datenschutzerklärung mit einem Bußgeld ahnden. Aus diesem Grund empfehlen wir die Konsultation Ihres Datenschutzbeauftragten, um eine rechtssichere Datenschutzerklärung zu entwickeln und den Nutzern Ihrer App zur Verfügung zu stellen.

Dipl. Jur. Serkan Taskin

Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Datenschutz bei Apps

Inhalt:

Welche Daten werden von Apps verarbeitet?

Technisch-organisatorische Maßnahmen in Apps

Auftragsverarbeitung, Drittstaaten und gemeinsame Verantwortlichkeit

Datenschutzerklärung für Apps

Datenschutz iOS App

Datenschutz Android App

Was passiert, wenn eine Datenschutzerklärung nicht in der App zur Verfügung gestellt wird?

Blog

Google Analytics Datenschutz

Datenschutz im Verein 2022 Muster

Ein Jahr DSGVO – Das ist bisher passiert

Wir verwenden Cookies

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy