Apps – Recht und sicher – Teil 2: Das Wichtigste zum Datenschutz

Apps sind von Smartphones und Tablets nicht mehr wegzudenken, es gibt jedoch viele rechtliche Voraussetzungen für deren Entwicklung, Vertrieb und Einsatz. Unsere dreiteilige Artikelserie fasst für Sie diese Rahmenbedingungen zusammen. Vor allem Vertragsrecht, Urheberrecht und Datenschutz gemäß der Datenschutzgrundverordnung (DSGVO) sind zu beachten.

Weitere Artikel der Serie:

Datenschutz für personenbezogene Daten

Sobald mit einer App personenbezogene Daten verarbeitet werden, muss der App-Anbieter die gesetzlichen Regelungen zum Datenschutz beachten, vor allem die EU-Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Er ist für deren Einhaltung verantwortlich.
Grundsätzlich sind mit personenbezogenen Daten alle Informationen gemeint, die auf eine Person zurückgeführt werden können. Details dazu, welche Informationen als „personenbezogene Daten“ gelten, haben wir für Sie im Artikel „Fragen und Antworten zur DSGVO“ zusammengestellt.
Bei Apps können es außerdem zum Beispiel sein: IP-Adresse, Standortdaten, Gerätekennungen (etwa UDID, DeviceID, Mac-Adresse), Telefonverzeichnis, Anruferliste, Audiodaten, Foto- und Filmaufnahmen oder Gesundheitsdaten.
Verarbeiten von Daten meint jeden einzelnen Vorgang bei dem mit Daten umgegangen wird, wie deren Erfassen, Speichern, Auslesen, Verändern, Übermitteln oder Abgleichen.

„Privacy by Design“ und „Privacy by Default“

Auch für Apps gelten die Grundsätze „Privacy by Design“ und „Privacy by Default“, die in der DSGVO verankert sind. Das bedeutet: Anbieter und Entwickler müssen darauf achten, dass die App durch ihre technische Gestaltung und Voreinstellungen möglichst sparsam Daten verarbeitet.
Schon bei der Entwicklung muss er dem Entwickler vorgeben, dass
  • nur die für die Nutzung der App erforderliche Daten erhoben werden und
  • technisch-organisatorische Sicherheitsfunktionen in der App integriert werden.
Beispiel: Eine Taschenlampen-App sollte nicht auf Standortdaten oder das Telefonbuch des mobilen Endgeräts zugreifen können.
In ihrer Grundeinstellung sollte die App so konfiguriert sein, dass möglichst wenig Daten verarbeitet werden. Der Nutzer muss die Möglichkeit haben aus der App selbst heraus zu steuern, auf welche personenbezogenen Daten die App Zugriff erhält und an wen die Daten übermittelt werden. So muss der Anwender Einstellungen, bei denen Daten verarbeitet werden, aktiv auswählen können (Opt-in), anstatt solche Voreinstellungen abwählen zu müssen (also kein Opt-out).
Technische Sicherheitsmaßnahmen können beispielsweise sein: Beschränkte Speicherdauer von Daten, Passwortmaskierung bei Passworteingabe, Transportverschlüsselung, Datenlöschung bei App-Deinstallation, Pseudonymisierung von Daten.

Rechtsgrundlage zur Datenverarbeitung

Der Anbieter benötigt eine Rechtsgrundlage, um personenbezogene Daten verarbeiten zu dürfen. So ist es erlaubt zur Vertragsanbahnung und Vertragserfüllung (Artikel 6 Abs. 1 Nr. b DSGVO).
Beispiel: Eine Jogging- App darf GPS-Daten verarbeiten, um die Laufleistung und zurückgelegte Strecke zu ermitteln, da sie ihren vertraglichen Zweck sonst nicht erfüllen kann.
Die Verarbeitung ist auch erlaubt, wenn der Anwender in die Datenverarbeitung einwilligt (Artikel 6 Absatz 1 Nr. a DSGVO). Wenn eine App Gesundheitsdaten verarbeitet, ist dafür immer eine ausdrückliche Einwilligung nötig (Artikel 9 Absatz 2 Nr. a DSGVO).
Aus dem Einwilligungstext muss hervorgehen welche Daten zu welchem Zweck verarbeitet werden. Der Nutzer muss der Datenverarbeitung aktiv zustimmen, indem er selbst die Checkbox ankreuzt, (d. h. keine vorangekreuzte Checkbox). Seine Einwilligung kann er jederzeit für die Zukunft widerrufen. Wird die Einwilligung in der App gegeben, muss sie genau so leicht widerrufbar sein, d.h. der Widerruf muss innerhalb der App möglich sein.
Wenn Anbieter solche sensiblen Daten verarbeiten, müssen sie außerdem eine Datenschutzfolgeabschätzung (DSFA) durchführen. Darin müssen die möglichen Risiken für den Nutzer, deren Eintrittswahrscheinlichkeit und die dagegen getroffenen Schutzmaßnahmen beschrieben werden. Eine Orientierungshilfe zur DSFA findet sich beim Bayrischen Landesbeauftragten für Datenschutz.

Auftragsverarbeitung und Datentransfer in Drittland

 Wenn die Daten aus der App (auch) bei einem externen Dienstleister verarbeitet werden, handelt es sich um eine Auftragsverarbeitung. Das gilt auch, wenn der Entwickler bei Support und Pflege Daten einsehen kann. Bei einer Auftragsverarbeitung bleibt die rechtliche Verantwortung für die Datenverarbeitung beim Auftraggeber. Er muss aber eine Vereinbarung über die Auftragsverarbeitung treffen, deren Inhalt gesetzlich festgelegt ist (vgl. Artikel 28 DSGVO und „Fragen und Antworten zu DSGVO“).
Wenn Apps Daten an Dritte (z.B. ein Rechenzentrum mit Sitz in den USA) außerhalb der Europäischen Union (EU) transferieren, muss der App-Anbieter zusätzlich sicherstellen, dass dieser Dritte über ein der EU angemessenes Datenschutzniveau verfügt. Hierfür bieten sich verschiedene Möglichkeiten an:
  • Bestimmten Staaten attestiert die Europäischen Kommission per Beschluss ein angemessenes Datenschutzniveau (Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay und Japan)
  • Bei Datenübermittlungen in Drittstaaten (z.B. USA, Indien, Russland) empfiehlt sich, auf Standardvertragsklauseln zurückzugreifen die EU zur Verfügung stellt. Diese Vertragsklauseln müssen unverändert übernommen werden
Achtung: Zwischen den USA und der EU bestand das sogenannte „Privacy-Shield-Abkommen“, das ein angemessenes Datenschutzlevel garantierte. Dieses Abkommen hat der Europäische Gerichtshof mit Urteilm vom 16. Juli 2020 für unwirksam erklärt. Datenübermittlungen in die USA können also nicht mehr auf den Privacy Shield gestützt werden. Alternativ können die erwähnten Standardvertragsklauseln mit US-Unternehmen abgeschlossen werden. Diese Vertragsklauseln bieten zwar keine absolute Sicherheit, dass das europäische Datenschutzniveau in den USA gewahrt wird, allerdings sind diese noch in Kraft bis ein Gericht sie für unwirksam erklärt. Ebenfalls bietet es sich an personenbezogene Daten auf EU-Servern zu speichern und bisher eingesetzte US-Anbieter nach EU-Servern zu fragen.
Fallbeispiel: Mietet der App-Anbieter einen Hosting-Anbieter in der EU und dieser setzt wiederum einen Sub-Hosting-Anbieter in einem Drittland ein (ohne von der EU attestiertes angemessenes Datenschutzniveau) dann gilt: Der App-Anbieter muss mit dem Hosting-Anbieter in der EU eine Auftragsverarbeitung und darüber hinaus mit dem Sub-Hosting-Anbieter Standardvertragsklauseln abschließen. Außerdem muss er sichergehen, dass der Hosting-Anbieter in der EU seinerseits mit dem Sub-Hosting-Anbieter einen Auftragsverarbeitungsvertrag abgeschlossen hat.

Datenschutzerklärung

Wie auf Websites muss der Nutzer über den jeweiligen Zweck und Umfang der Datennutzung und die Übermittlung der Daten informiert werden. Die Datenschutzerklärung von einer Website kann dafür nicht unverändert übernommen werden. Eine App hat potenziell mehr Zugriff auf Endgerät-Funktionen wie Kamera, Kontaktdaten/Telefonverzeichnis und Standort, was bei einer Webseite in der Regel nicht der Fall ist. Über den Umgang mit diesen speziellen Daten muss die Datenschutzerklärung der App aufklären.
Die Datenschutzerklärung muss schon vor Download und Installation auf der Produktseite im App Store bzw. auf der Vertriebsplattform/-website bereitgestellt werden. Nach der Installation muss die Datenschutzerkärung auch leicht zugänglich in der App selbst hinterlegt sein und muss auch im Offline-Modus verfügbar sein, wenn im Offline-Betrieb Daten gesammelt werden.
Diese Informationen muss die Datenschutzerklärung enthalten (vgl. Artikel 13 Absatz 1 DSGVO):
  • Kontaktdaten des Anbieters, ggf. Kontaktdaten des Datenschutzbeauftragten
  • Beschreibung der Datenkategorien, die von der App erhoben werden
  • Beschreibung der Zwecke für die die Daten erhoben werden
  • Speicherdauer derDaten
  • Übermittlung der Daten an Dritte oder in ein Drittland (zum Beispiel Auftragsverarbeiter ggf. mit Sitz außerhalb der EU oder an den Betreiber der Vertriebsplattform)
  • Rechte des Nutzers (u.a. Auskunftsrecht, Widerruflichkeit einer Einwilligung)
Die Datenschutzerklärung muss auch auf kleinen Displays von mobilen Endgeräten lesbar sein. Hierfür kann es sinnvoll sein, den Text in mehrere Abschnitte zu unterteilen, die einzeln aufgerufen werden können.