Datenschutzerklärung für Apps: Das gilt für App-Anbieter
- Apps müssen DSGVO, BDSG und TTDSG einhalten.
- Einwilligungen der Nutzer sind oft erforderlich.
- Verstöße gegen DSGVO können hohe Bußgelder verursachen.
- Datenminimierung und legitimer Zweck sind essenziell.
- Datenschutzerklärung muss leicht zugänglich und verständlich sein.
- Item A
- Item B
- Item C
In den letzten Jahren haben die zuständigen Aufsichtsbehörden nun auch verstärkt Apps unter die Lupe genommen. Gerade die Zugriffsrechte, die viele Apps zur Benutzung verlangen, haben weitreichende Auswirkungen auf persönliche Daten – und so auch auf den Datenschutz. Was App-Betreiber über Datenschutzerklärungen und Datenverarbeitungen wissen müssen und wie Sie den Datenschutz umsetzen können, zeigen wir Ihnen in diesem Artikel.
Sie benötigen rechtliche Unterstützung bei der Umsetzung Ihrer App?
Unser Team besteht aus mehr als 80 Datenschutzexperten, die Sie gern umfassend zum Thema beraten. Nehmen Sie jederzeit Kontakt zu uns auf.
Das Wichtigste zu Datenschutz für Apps in Kürze
- Auch für Apps besteht die Verpflichtung, die Regelungen der DSGVO, des BDSG und des TTDSG umzusetzen und einzuhalten. Das gilt insbesondere im Hinblick auf das App-Tracking oder die Zugriffsrechte.
- Auf App-Betreiber kommen viele Informationspflichten zu. Zudem müssen Sie sich in vielen Fällen eine ausdrückliche Einwilligung der Nutzer in die Verarbeitung personenbezogener Daten erteilen lassen.
- Bei einem Verstoß gegen die DSGVO drohen sensible Bußgelder: Umsatzbezogene Geldstrafen in Millionenhöhe können bei Nichtbeachten der Vorgaben verhängt werden.
Welche Regeln gelten für den Datenschutz in Apps?
Für die Verarbeitung von personenbezogenen Daten in Apps gelten grundsätzlich die gleichen Regelungen, wie für Datenverarbeitungen in Unternehmen, auf Websites oder in Online-Shops. Demnach gilt grundsätzlich: die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten sind immer nur dann zulässig, wenn diese zur Durchführung des Verarbeitungszwecks notwendig sind, also einen legitimen Zweck verfolgen.
Ist die Verarbeitung der Daten besonders riskant, muss geprüft werden, ob das Interesse des Unternehmens an der Datenverarbeitung das Risiko für die Rechte und Freiheiten der Nutzer überwiegt. Außerdem unterliegt die Datenverarbeitung in einigen Fällen der ausdrücklichen Einwilligung des Nutzers, wie Tracking über das Setzen von Cookies oder Werbung. Erbringt eine App ausschließlich ihre geschuldete Leistung und verarbeitet dabei personenbezogene Daten, kann die Verarbeitung auf die Durchführung eines Vertrags aus Art. 6 Abs. 1 lit. b DSGVO gestützt werden. So darf eine Fitness-App, die anzeigen soll, wie schnell man beim Joggen läuft, auch ohne Einwilligung hierfür die GPS-Daten des Nutzers verarbeiten. Einige Daten können ggf. auch auf Grundlage des überwiegenden berechtigten Interesses des Anbieters verarbeitet werden.
Was gilt für Zugriffsrechte bei Apps in Bezug auf den Datenschutz?
Je nachdem, welche App bereitgestellt wird und was diese App ihren Nutzern bietet, können unterschiedliche Datenerhebungen und Zugriffsrechte notwendig sein, etwa der Standort bei einer Navigation oder der Fotospeicher bei Social-Media-Plattformen.
Wichtig ist, dass die Datennutzung einem legitimen Zweck dient. Weshalb eine reine Informations-App beispielsweise Zugriff auf die Standortdaten des Nutzers haben sollte, wäre in den meisten Fällen wohl fraglich. Achten Sie als App-Betreiber daher immer darauf, dass die Daten zweckgebunden verwendet werden.
Zudem gilt der Grundsatz der Datenminimierung: Es darf nur der Umfang an personenbezogenen Daten und Datenkategorien erhoben werden, der zur Nutzung der App tatsächlich notwendig ist.
Welche Daten dürfen in Apps verarbeitet werden?
Der Datenschutz greift immer bei der Erhebung, Nutzung, Verarbeitung und Speicherung von personenbezogenen Daten. Darunter fallen Daten, die Rückschlüsse auf die Identität einer bestimmten Person zulassen. Bei Apps können das beispielsweise Daten wie Fotos, Standorte, Tonaufnahmen, IP-Adressen, Namen, Geburtsdaten, Fingerabdrücke oder Gerätekennungen sein.
Welche Daten im Einzelfall verarbeitet werden dürfen, ist abhängig von dem Verwendungszweck der App. Welche Leistung wird konkret angeboten? Handelt es sich um ein Spiel, eine Nachrichten-App oder ein Grafikprogramm? Eine App zur Bildbearbeitung benötigt beispielsweise Zugriff auf die Foto-Mediathek, eine Kreuzworträtsel-App wohl eher nicht. Im Zweifel ist es ratsam, rechtlichen Rat einzuholen.
Im Folgenden gehen wir kurz auf allgemeine Informationen zu den typischen Datenverarbeitungen in Apps ein. Für individuelle Fragen wenden Sie sich gern jederzeit an uns, um ein unverbindliches Beratungsgespräch zu vereinbaren.
App-Tracking und Nutzungsanalyse
In vielen Apps wird typischerweise eine Nutzungsanalyse oder das sogenannte App-Tracking verwendet. Welches rechtliche Risiko dabei existieren kann, hängt davon ab, wie die Analyse durchgeführt wird.
- Werden Nutzungsanalysen von vornherein anonym durchgeführt, so ist keine Einwilligung notwendig.
- Werden bei Nutzungsanalysen Cookies gesetzt oder Gerätedaten ausgelesen, ist hier eine Einwilligung zwingend erforderlich. So ist z. B. Google Analytics ein Dienst, der für Nutzungsanalysen und nicht für Werbemaßnahmen eingesetzt wird und dennoch einer Einwilligung bedarf.
- Beim App-Tracking wird hingegen jeder Nutzer einzeln erfasst, um so gezielt Werbemaßnahmen auf den persönlichen Nutzer anzupassen und personalisierte Werbung ausspielen zu können. Dabei werden viele verschiedene Daten wie Standorte, Nutzungsverhalten, persönliche Interessen und auch individuelle Merkmale erfasst und verarbeitet. Es handelt sich daher um ein risikoreiches Verfahren, das immer im Verhältnis zur Zweckrelation betrachtet werden muss.
Bei den beiden nicht anonymen Verfahren muss die ausdrückliche Einwilligung des Nutzers eingeholt werden. Erforderlich ist auch eine vollständige und rechtskonforme Datenschutzerklärung, die die Nutzer über die Datenverarbeitung und ihre Rechte und Pflichten informiert.
Besonders relevant sind die Widerspruchsrechte des Nutzers, da eine Einwilligung jederzeit widerrufen werden kann.
Weitergabe an Dritte
Werden personenbezogene Daten an Dritte weitergegeben, ist besondere Vorsicht geboten. In diesen Fällen gelten zum Schutz personenbezogener Daten strengere Regeln. Viele App-Betreiber nutzen externe Plugins, durch die fremde Anbieter auf Daten zugreifen und diese verarbeiten können.
Achten Sie bei der Weitergabe darauf, dieses in der Datenschutzerklärung sorgfältig zu dokumentieren und eine ausdrückliche Einwilligung der Nutzer einzuholen. Die Einwilligung sollte sich in diesem Fall ausdrücklich auf die Weitergabe der Daten an Dritte erstrecken, eine bloße Information über die Datenverarbeitung durch die App ist nicht ausreichend.
Wichtig ist, dass auch Drittanbieter sich an die geltenden datenschutzrechtlichen Vorgaben halten müssen. Für App-Betreiber ist es daher verpflichtend, mit externen Dienstleistern einen sogenannten Auftragsverarbeitungsvertrag (AVV) zu schließen. Dieser Vertrag verpflichtet die externen Dienstleister dazu, sich an die Regelungen der DSGVO zu halten.
Erfahren Sie mehr über Ihre Pflichten bei der Kontrolle von Auftragsverarbeitern.
Checkliste: Datenschutzerklärung für Apps
Die Erfassung und Verarbeitung personenbezogener Daten durch Apps ist für viele Betreiber eine Herausforderung, denn die Datenschutz-Vorgaben sind häufig undurchsichtig, komplex und schwer zugänglich. In der Datenschutzerklärung müssen verschiedene Informationen verankert sein, die für eine rechtskonforme Umsetzung der DSGVO erforderlich sind.
Erfahren Sie in unserer Checkliste für App-Betreiber, worauf es bei der Erstellung einer Datenschutzerklärung ankommt.
Inhalt der Datenschutzerklärung für Apps
Wer ist Betreiber der App? Informieren Sie über Ihr Unternehmen (inkl. Rechtsform) und geben Sie die Kontaktdaten an, damit Nutzer ihre Rechte effektiv ausüben können.
Welche Daten werden in welchem Umfang und zu welchem Zweck verarbeitet? Welche Nutzungsrechte verlangt die App? Klären Sie über alle möglichen Fragen zur Datenverarbeitung auf.
- Wie lange werden Daten gespeichert? Wann werden Daten gelöscht? Wie können Nutzer dies aktiv beeinflussen?
- Gibt es externe Dienstleister, an die eine Weitergabe von Daten stattfindet? Wenn ja, in welchem Umfang? Nennen Sie den Zweck und die Dauer der Weitergabe.
- Welche Rechte haben die Nutzer? Verweisen Sie auf die Widerrufsrechte und die daraus folgenden Pflichten für den App-Betreiber. Lesen Sie mehr über die DSGVO-Auskunftsrechte.
- Werden App-Analysen oder App-Tracking genutzt? Gibt es einen Opt-Out-Button? Zählen Sie möglichst alle Tools auf, die bei der Datenverarbeitung zum Einsatz kommen und weisen Sie auf Widerspruchsmöglichkeiten hin.
- Werden bei der App-Nutzung oder bei der Weitergabe der Daten an externe Dienstleister Daten in Drittländer übermittelt? Es muss über jede Drittlandsübermittlung informiert werden.
Besonderheiten bei der Datenschutzerklärung für Apps
- Die Datenschutzerklärung muss leicht zu finden sein (als Faustregel gelten 2 Klicks von jeder Unterseite). Dies gilt auch für Apps.
- Sie muss verständlich formuliert sein, sodass auch juristische Laien ihre Rechte und Pflichten zur Kenntnis nehmen können. Gleichzeitig muss die Datenschutzerklärung alle gesetzlichen Vorgaben erfüllen.
- Die Schriftgröße muss so angepasst werden oder anpassbar sein, dass sie auch auf Geräten mit kleinem Display gut lesbar ist. Dies ist insbesondere deshalb wichtig, weil Apps überwiegend mobil, etwa auf Smartphones, genutzt werden.
- Auch vor Download und Nutzung der jeweiligen App muss die Datenschutzerklärung zu finden sein, etwa im App Store oder Play Store. Interessierten muss es möglich sein, sich ggf. vor einem Vertragsschluss über die Datenschutzbestimmungen zu informieren.
Fazit zum Datenschutz bei Apps
Durch die Verwendung von Apps entstehen meist eine Vielzahl von Daten, die von App-Betreibern meist in großem Umfang genutzt und ggf. weitergegeben werden. Je nach dem Zweck der App und der angebotenen Dienste werden dabei riesige Datenmengen erhoben, verarbeitet und gespeichert. Dies birgt ein großes rechtliches Risiko im Hinblick auf den Datenschutz. Bei Verstößen gegen die DSGVO drohen hohe Bußgelder von bis zu 2 % des Jahresumsatzes.
App-Anbieter sollten sich daher stets bewusst sein, dass die Vorgaben des Datenschutzes auch für sie gelten. Darunter fallen zum Beispiel der Grundsatz der Datenminimierung, eine rechtskonforme und vollständige Datenschutzerklärung und die Möglichkeit, effektiv Nutzerrechte ausüben zu können. Zudem ist stets eine Einwilligung durch den Nutzer erforderlich.
Sie brauchen Hilfe bei der Umsetzung des Datenschutzes in Ihrer App?
Als Experten im Bereich Datenschutz beraten wir Sie gerne umfassend zu Ihrem individuellen Anliegen als App-Betreiber. Kommen Sie jederzeit für eine unverbindliche Beratung auf uns zu.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.