Datenschutz und DSGVO für App-Entwickler | LEXR

Wenn man als App-Entwickler in der Europäischen Union oder in der Schweiz eine App im Apple App Store oder Google Play Store veröffentlicht, muss man bestimmte Datenschutzbestimmungen einhalten. Dieser Blogbeitrag erklärt, was Entwickler beachten müssen, und gibt euch klare Schritte an die Hand, um rechtliche Fallstricke zu vermeiden und einen reibungslosen Start zu gewährleisten.

Grundlegende Anforderungen der DSGVO und des DSG für App-Entwickler verstehen

Zunächst ist es wichtig, die wichtigsten rechtlichen Anforderungen zu verstehen, die App-Entwickler erfüllen müssen. Diese sind in der Datenschutz-Grundverordnung der Europäischen Union (“DSGVO”) und im Schweizer Bundesgesetz über den Datenschutz (“DSG”) enthalten und lassen sich in die folgenden Prioritäten unterteilen: Datenminimierung, Information der betroffenen Personen und angemessene Sicherheitsvorkehrungen.

Der erste Grundsatz besteht darin, nur die personenbezogenen Daten zu erheben, die für die Funktionalität der App erforderlich sind. Das bedeutet, dass ihr Folgendes tun müsst:

Datenaufbewahrungsfristen festlegen;
Daten löschen, wenn sie nicht mehr benötigt werden;
Wenn zusätzliche personenbezogene Daten erhoben werden und die DSGVO anwendbar ist, müssen App-Entwickler die Einwilligung der Nutzer einholen, die nach ausreichender Information, unmissverständlich, für einen konkreten Fall und freiwillig erfolgen muss, bevor die Datenverarbeitung stattfindet.

Diese Einwilligung kann zum Beispiel erforderlich sein, wenn die App auf die Kontakte oder Fotos des Nutzers zugreift oder sensible Daten wie Gesundheitsdaten sammelt, die für das ordnungsgemäße Funktionieren der App nicht erforderlich sind. Als Faustregel gilt: Wenn die App auch ohne diese Daten wie erwartet funktioniert, braucht ihr wahrscheinlich eine gültige Einwilligung des Nutzer.

Zweitens: Transparenz ist das A und O. Ihr müsst die betroffenen Personen in einer Datenschutzerklärung über die von euch erhobenen personenbezogenen Daten, deren Zweck, die Übermittlung in Drittländer und ihre Rechte informieren. Ist die DSGVO anwendbar, muss auch die Rechtsgrundlage für die Verarbeitung angegeben werden.

Schließlich solltet ihr technische Sicherheitsmaßnahmen wie Verschlüsselung implementieren, um die Vertraulichkeit der Daten bei der Übertragung und Speicherung zu gewährleisten. Einige der wichtigsten Maßnahmen sind:

Zugriffskontrollen, um zu beschränken, wer auf die Daten zugreifen kann;
Regelmäßige Aktualisierung der Sicherheitsmaßnahmen;
Risikobewertungen, um Schwachstellen zu ermitteln und zu beheben, wenn eure Aktivitäten Risiken für die Grundrechte der Nutzer mit sich bringen könnten;
Schulung des Personalwesens zur Einhaltung der besten Sicherheitspraktiken.

Datenschutzregeln von Apple und Google für App-Entwickler

Neben diesen grundlegenden Datenschutzanforderungen stellen Apple und Google spezielle Datenschutzregeln für die Veröffentlichung von Apps auf ihren Plattformen auf. Diese zu kennen hilft, den Veröffentlichungsprozess reibungsloser und schneller zu gestalten.

Erstens legen auch Apple und Google großen Wert auf Transparenz. Daher verlangen sie von App-Entwicklern, dass diese:

die Nutzer über die Art der erhobenen personenbezogenen Daten wie Namen, E-Mail-Adressen oder Standortdaten sowie über den Zweck und die Beschreibung der Verarbeitungstätigkeiten, einschließlich der Speicherung und der geltenden Rechtsgrundlage, informieren;
detaillierte Angaben über den Zugriff auf Nutzerdaten durch Dritte, z.B. von Analytics-Anbietern, Werbenetzwerken oder Cloud-Speicherdiensten.

Wenn Daten an Dritte weitergegeben werden, ist es wichtig, die Gründe für die Weitergabe zu nennen, wie z.B. die Verbesserung der App-Performance oder die Schaltung gezielter Werbung. Vergewissert euch, dass Dritte über angemessene Sicherheitsvorkehrungen verfügen und die einschlägigen Datenschutzgesetze einhalten, insbesondere wenn sie ihren Sitz außerhalb der EU/Schweiz haben.

Zweitens konzentrieren sich Apple und Google darauf, den Nutzern die Möglichkeit zu geben, ihre Privatsphäre zu schützen. Aus diesem Grund muss den Nutzern die Möglichkeit gegeben werden, der Verarbeitung von nicht wesentlichen Daten, z.B. durch das Schalten personalisierter Werbung oder die Nutzung von Analytics, zuzustimmen oder diese abzulehnen.

Diese Möglichkeit muss sowohl vor als auch nach der Datenverarbeitung gegeben sein, damit der Nutzer seine Präferenzen auf einfache Art und Weise ändern kann. Gebt klare Anweisungen, wie man sich gegen eine Verarbeitung entscheiden kann, entweder über Einstellungen in der App oder externe Links. Stellt sicher, dass die Nutzer die App weiterhin nutzen können, ohne dafür bestraft zu werden, dass sie sich gegen eine Verarbeitung entschieden haben.

Drittens achten diese Plattformen auch darauf, dass ihr wirksame Sicherheitsvorkehrungen trefft. Sie verlangen von euch, dass ihr die Nutzer über eure Sicherheitsvorkehrungen zum Schutz der Nutzerdaten informiert, wie z.B. Verschlüsselung, Zugriffskontrollen und sichere Datenspeicherung.

Ausserdem: Wenn ihr euch an bestimmte Risikogruppen richtet, müsst ihr euren Ansatz entsprechend anpassen.

Apps, die sich an Kinder oder andere schutzbedürftige Nutzer richten, müssen zusätzliche Regeln einhalten, z.B. die Richtlinie für familienfreundliche Inhalte von Google Play. Vor allem im Fall von Kindern müsst ihr

eine überprüfbare Einwilligung der Eltern einholen, bevor ihr die Daten von Kindern erhebt, und die Datenerhebung auf das notwendige Minimum beschränken;
Maßnahmen ergreifen, um das Alter der Nutzer deiner App zu überprüfen. Dies kann entweder durch die Selbstangabe des Geburtsdatums geschehen – was jedoch leicht zu umgehen ist – oder durch komplexere Methoden zur Altersverifikation, wie z.B. biometrische Verfahren zur Analyse von Gesichtsmerkmalen und Vouching-Systeme, bei denen das Alter durch Dritte bestätigt wird.

App-Entwickler sollten sich darüber im Klaren sein, dass ein Verstoß gegen diese Store-Richtlinien zur Löschung der App, zur Kündigung des Kontos oder zu rechtlichen Schritten führen kann. Die Nichteinhaltung kann auch den Ruf eurer Marke und das Vertrauen der Nutzer schädigen. Deshalb ist es wichtig, die Regeln der Plattform einzuhalten, um den Erfolg eurer App zu gewährleisten.

Eure Datenschutzerklärung mit den geltenden Datenschutzgesetzen und-regeln in Einklang bringen

Angesichts dieser Anforderungen gibt es einige Maßnahmen, die App-Entwickler ergreifen müssen, um sowohl die gesetzlichen Bestimmungen als auch die plattformspezifischen Regeln einzuhalten.

Der wichtigste Schritt ist die Anpassung eurer Datenschutzerklärung an die App. Die Datenschutzerklärung der App muss auf die spezifischen Datenverarbeitungsaktivitäten eingehen und darf nicht einfach die Datenschutzerklärung eurer Website widerspiegeln. Eine App kann auf Gerätefunktionen (z.B. Standort, Kamera, Kontakte) zugreifen und andere Datenverarbeitungsaktivitäten durchführen, die im Kontext der Website nicht verwendet werden.

Deshalb hier die wichtigsten Elemente, auf die ihr bei der Formulierung eurer Datenschutzerklärung achten solltet:

Informationen über die Erhebung, Verwendung und Weitergabe von Daten;
Wenn die DSGVO anwendbar ist, erläutert die Rechtsgrundlage für die Verarbeitung und legt gegebenenfalls besondere Bestimmungen für bestimmte Zielgruppen fest
Stellt sicher, dass, wenn eine Einwilligung erforderlich ist, diese in angemessener Weise vor der Datenverarbeitung eingeholt wird und dass die Nutzer jederzeit die Möglichkeit haben, der Verarbeitung nicht wesentlicher Daten zu widersprechen;
Es ist zu beachten, dass die DSGVO und das DSG weitere Verpflichtungen auferlegen, als die von Apple und Google geforderten. Dazu gehören die Festlegung von Datenaufbewahrungsfristen und die Information der Nutzer über ihre Rechte in Bezug auf ihre Daten. Nehmt diese Anforderungen in eure Datenschutzerklärung auf und stellt sicher, dass eure App sie erfüllt, auch wenn der App-Store diese Informationen bei der Veröffentlichung nicht verlangt.

Stellt sicher, dass die fertiggestellte Datenschutzerklärung leicht zugänglich ist. Die Datenschutzerklärung muss verfügbar sein, bevor die Datenverarbeitung stattfindet. Das heißt, sie sollte dem Nutzer auf der Seite eurer App im Store zur Verfügung gestellt werden. Bietet ihr die App auf eurer eigenen Website an, könnt ihr den Nutzer vor dem Download durch eine Pop-up-Benachrichtigung auf die Datenschutzerklärung hinweisen.

Auch nach dem Download muss sie für den Nutzer innerhalb der App leicht auffindbar sein (z.B. im Menü der App). Stellt sicher, dass die Erklärung jederzeit zugänglich ist und die Nutzer ihre Einstellungen leicht überprüfen und ändern können.

Die Datenschutzerklärung sollte in einfacher, verständlicher Sprache verfasst sein und Fachjargon oder rechtliche Bestimmungen vermeiden. Verwendet klare Überschriften und Aufzählungspunkte, um die Informationen zu strukturieren und es den Nutzern leicht zu machen, die Auswirkungen eurer Datenverarbeitungsaktivitäten zu verstehen. Berücksichtigt die eingeschränkte Lesbarkeit von Dokumenten auf den kleineren Bildschirmen der Geräte, auf denen sie normalerweise angezeigt werden.

Fazit

Um eure App erfolgreich im App Store oder Google Play Store zu veröffentlichen, müsst ihr die Standards der DSGVO und des DSG einhalten, die Datenschutzbestimmungen von Apple und Google befolgen und eine leicht zugängliche und nutzerfreundliche Datenschutzerklärung für eure App erstellen. Wenn ihr diese wichtigen Punkte beachtet, seid ihr auf dem besten Weg zu einem erfolgreichen Start eurer App:

Implementiert solide Datensicherheitsmaßnahmen, einschließlich Verschlüsselung und Zugriffskontrolle.
Stellt bei der Verarbeitung nicht wesentlicher Daten eine ausdrückliche, informierte, freiwillig erteilte und eindeutige Einwilligung sicher und gebt den Nutzern die Möglichkeit, die Verarbeitung nicht wesentlicher Daten abzulehnen.
Erstellt eine App-spezifische Datenschutzerklärung, die alle Datenschutz- und Plattform-Anforderungen berücksichtigt.
Stellt sicher, dass die Nutzer Zugang zu eurer Datenschutzerklärung haben, bevor sie eure App herunterladen, und macht eure Datenschutzerklärung im App-Menü, auf der App-Store-Seite und auf eurer Website leicht zugänglich.
Verwaltet den Zugang von Drittanbietern und die Übermittlung von Daten in Drittländer verantwortungsvoll und stellt sicher, dass diese die Datenschutzgesetze einhalten.
Passt eure App an bestimmte Zielgruppen an (z.B. Kinder) und beachtet zusätzliche Vorschriften.

Datenschutz

Umgang mit Datenschutzbestimmungen für App-Entwickler: App Store Compliance und Datenschutzanforderungen

Grundlegende Anforderungen der DSGVO und des DSG für App-Entwickler verstehen

Datenschutzregeln von Apple und Google für App-Entwickler

Eure Datenschutzerklärung mit den geltenden Datenschutzgesetzen und-regeln in Einklang bringen

Fazit

Verwandt

KYC für FinTech-Unternehmen: Datenschutz Anleitung Teil 3 – Den Daten folgen

Was tun bei Datenschutzverletzungen? – ein Best-Practice-Leitfaden für den Datenschutz

KYC in FinTech-Unternehmen – Anleitung zur datenschutzkonformen Implementierung

Umgang mit KI-Tools und Datenschutz: Ein Leitfaden für gesetzeskonforme Unternehmenspraktiken

KYC für FinTech-Unternehmen: Datenschutz Anleitung Teil 2 – Den Daten folgen

Pseudonymisierung versus Anonymisierung: ein praktischer Datenschutzleitfaden

Auftragsverarbeitungsverträge: Grundlagen für die Einhaltung des Datenschutzes (Teil 1)

Let’s Go!