Wer eine App entwickelt oder anbietet, kommt früher oder später mit personenbezogenen Daten in Kontakt. Doch was gilt es rechtlich mit Blick auf den Datenschutz bei der App-Entwicklung zu beachten? Wir klären auf.
Apps sind ständiger Teil unseres vernetzten Lebens. Dabei verarbeiten viele Anwendungen auch (viele) personenbezogene Daten. Man denke etwa an Registrierungsdaten wie E-Mail-Adresse, Vor- und Nachnahme.
Doch das Datenschutzrecht, wie insbesondere die Datenschutzgrund-Verordnung (DSGVO), findet auch dann Beachtung, wenn dem ersten Anschein nach eventuell weniger konkret personenbezogene Daten zum Einsatz kommen.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Manager Digital Marketing / Social Media B2B (m/w/d) BRITA SE in Frankfurt (Main) |
||
Manager Digital Marketing / Social Media B2B (m/w/d) BRITA SE in Taunusstein |
Die europäischen Datenschutzbehörden haben zu dem Thema „Datenschutz und Apps“ bereits 2013 eine hilfreiche Empfehlung veröffentlicht. Nach Ansicht der Aufsichtsbehörden müssen App-Anbieter bereits dann datenschutzrechtliche Vorgaben beachten, wenn sie eindeutige Geräte- und Kundenkennungen wie etwa IMEI, IMSI, UDID und Mobiltelefonnummern verarbeiten.
DSGVO-Datenschutz bei der App-Entwicklung greift auch außerhalb der EU
Das bedeutet für die Praxis: Der Datenschutz bei der App-Entwicklung spielt stets eine wichtige Rolle. Für Anbieter aus dem außereuropäischen Ausland gibt es zudem noch einen weiteren Hinweis.
So ist die DSGVO auch dann anwendbar, wenn es keine Niederlassung in der EU gibt. Es genügt die Verarbeitung von personenbezogenen Daten von EU-Bürger:innen.
Ein Beispiel: Ein Spiele-Anbieter aus Indien bietet seine App auch für Nutzer:innen in der EU an. Das lässt sich darauf zurückführen, dass man In-App-Käufe in Euro tätigen kann. Dann muss auch dieser Anbieter aus Indien die Regeln der DSGVO einhalten.
Wer ist verantwortlich?
In der Praxis besonders relevant ist die Antwort auf die Frage, wer denn überhaupt für die Einhaltung der DSGVO-Vorgaben verantwortlich ist. Der App-Betreiber und/oder der App-Entwickler? Diese sind in der Praxis nicht immer deckungsgleich. Oft werden Apps als White-Label-Lösung vertrieben und auf den jeweiligen Kunden gebrandet.
Ganz allgemein ist davon auszugehen, dass der App-Anbieter der datenschutzrechtlich Verantwortliche ist. Dies gilt nach Ansicht der deutschen Datenschutzbehörden (Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter) auch, wenn er die App nicht selbst entwickelt hat.
Hintergrund dieser Einordnung ist unter anderem, dass der Anbieter am Ende der Kontaktpunkt zu den Nutzern ist. Er schließt mit ihnen gegebenenfalls Nutzungsverträge. Zudem entscheidet er darüber, welche Daten der Nutzer:innen für welche Zwecke zum Einsatz kommen.
Geteilte Verantwortlichkeit
Komplex wird die Verantwortlichkeitszuordnung dann, wenn noch dritte Parteien hinzutreten – etwa Werbenetzwerkbetreiber. In diesem Fall kann es auch zu einer sogenannten gemeinsamen Verantwortlichkeit des App-Anbieters und des Werbenetzwerkbetreibers kommen.
Dann müssten beide Parteien eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Artikel 26 DSGVO abschließen.
Setzt der App-Anbieter zudem Dienstleister ein, die für ihn mit Daten der Nutzer:innen umgehen – zum Beispiel um Analysen zu erstellen oder Kundensupport anzubieten – kann es erforderlich sein, mit diesen Dienstleistern als sogenannten Auftragsverarbeitern nach Artikel 28 DSGVO Verträge zur Auftragsverarbeitung abzuschließen.
Datenschutz bei der App-Entwicklung: Was gilt es zu beachten?
Ist die DSGVO anwendbar, ist sie natürlich auch in Gänze zu beachten. Es gibt keine speziellen „App-Vorschriften“. Dennoch sollen hier einige besonders relevante Vorgaben angesprochen werden.
Vorsicht mit der Einwilligung
Jeder Umfang mit personenbezogenen Daten erfordert eine Rechtsgrundlage. Der App-Anbieter könnte sich eine Einwilligung der Nutzer:innen hierfür einholen. Klingt im ersten Moment sehr transparent und datenschutzfreundlich. In der Praxis ist die Einwilligung jedoch eher nicht die beste Wahl.
Das liegt unter anderem daran, weil die formellen Anforderungen an ihre Erteilung sehr hoch sind. Außerdem muss eine Einwilligung immer widerrufen werden können. Auf Basis dieses Risikos sollte wenn möglich kein App-Angebot konzipiert werden.
Da Nutzer:innen von Apps ohnehin einen Vertrag mit dem Anbieter schließen – das geht übrigens auch ohne viele Klauseln und AGB –, wird als datenschutzrechtliche Rechtsgrundlage eher die Durchführung dieses Vertrages in Betracht kommen.
Die Vorgaben der Eprivacy-Richtlinie
Zu beachten ist, dass beim Angebot von Apps nicht nur die DSGVO einzuhalten ist. Wenn der Anbieter auf den Speicher des Endgeräts zugreift, dort Daten ablegt oder auch Daten aus dem Endgerät erhebt, sind die Vorgaben der sogenannten Eprivacy-Richtlinie zu beachten.
Nach Artikel 5 Absatz 3 der Eprivacy-Richtlinie ist generell eine Einwilligung einzuholen, wenn auf Daten auf Endgeräten zugegriffen wird und dieser Zugriff nicht unbedingt notwendig ist, um die Funktionen der App anbieten zu können.
Datenschutzfreundliche Einstellungen
Eine bei der Entwicklung von Apps in jedem Fall zu beachtende Vorgabe der DSGVO sind die Grundsätze „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (Artikel 25 DSGVO).
Bereits bei der Gestaltung von Software muss der Verantwortliche darauf achten, dass sein Produkt dafür ausgelegt ist, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen.
Praktisch bedeutet das, dass App-Anbieter, die eine App entwickeln lassen, diese Vorgaben als Teil der Leistungsbeschreibung vereinbaren sollten.
Natürlich muss jede App auch darüber informieren, wie personenbezogene Daten verarbeitet werden und für welchen Zweck. Es muss also eine leicht erkennbare und auffindbare Datenschutzerklärung in der App vorhanden sein.
Fazit
Insgesamt sollten App-Anbieter also bereits frühzeitig im Entwicklungsstadium den Datenschutz mitdenken. Eine vorausschauende Planung bei der Umsetzung datenschutzrechtlicher Vorgaben erspart der Erfahrung nach Zeit, Geld und auch Nerven, im Vergleich zu der Situation, dass erst kurz vor einem Launch „noch schnell“ der Datenschutz umgesetzt werden soll.
Auch interessant: