Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

DSGVO-Gazette #45: Was müssen Sie zu Datenschutz bei Apps beachten

Liebe Leserinnen und Leser,

viele Unternehmen bieten mittlerweile eigene Apps an. Ob als Apotheke, als Fussballverein, als Stromanbieter, als Bank, als Fitnessstudio oder als Friseursalon. Die Angebote von App-Anbietern, in kürzester Zeit und mit geringem Aufwand eine eigene App zu erzeugen, ist verlockend und wird häufig angenommen. Doch was die wenigsten wissen, die eine App für Ihr Unternehmen Ihr Eigen nennen ist, dass sie sich damit auch eine Menge datenschutzrechtlichen Ärger einhandeln können. Denn wer kennt schon die Datenschutz-Anforderungen an eine App und wer kann dies dann auch noch selbstständig überprüfen? Deswegen dient dieser Beitrag dazu, für Sie bei dem Thema Lichts ins Dunkel zu bringen.

Zuerst einmal gilt: Eine App verarbeitet zwangsweise personenbezogene Daten, so wie Internetseite zum Beispiel. Dies bedingt, dass eine App eine Datenschutzerklärung benötigt. Und auch nicht die der Internetseite, sondern am besten eine eigene. Denn die Verarbeitungen zwischen App und Internetseite unterscheiden sich erheblich. Und wenn sie sich unterscheiden, dann fordert Art. 12 DSGVO aus Gründen der Transparenz, dass ausreichend klar über die jeweilige Datenverarbeitung informiert wird. Dies klappt mit einer zusammengewürfelten Datenschutzerklärung nicht so gut wie mit jeweils einer separaten Datenschutzerklärung.

Die Datenschutzerklärung der App muss auch Punkte ansprechen, welche die Datenverarbeitung der App genau erklären. Beispielsweise nutzen Apps häufig Dienste zum Umgang mit App-Crashs (z. B. Crashalytics) oder Apps werden von App-Stores heruntergeladen, welche auch die Daten der Betroffenen verarbeitet. Viele Apps haben auch Funktionen, die nur dort vorkommen, wie Dateiupload oder Chatbots. Auch diese müssen in den separaten Datenschutzhinweisen erklärt werden.

Manche "Out-of-the-box"-Apps bieten vorkonfektionierte Datenschutzhinweise an, welche der Unternehmenskunde nur selsbt prüfen und dann nutzen muss. Leider kommt es jedoch auch vor, dass diese Apps Funktionalitäten beinhalten, die für den Unternehmenskunden nicht erkennbar sind und auch nicht erkennbar sein sollen. So werden versteckt Analyse-Funktionalitäten eingebaut (analog zu Google Analytics), welche nur mit Spezialsoftware erkennbar sind. Es ist tatsächlich so, dass der Unternehmenskunde dann selbst einen Webproxy einrichten muss, an dem er den Datenstrom der App vorbeiführen muss, um selbst herauszukriegen, was in seiner App verbaut ist. Dies kann zu rechtlichen Risikenbei dem Unternehmenskunden führen, denn Analysefunktionalitäten bedingen immer eine Einwilligung als Rechtsgrundlage der Verarbeitung.

Leider ist bei mir bisher noch keine App ohne datenschutzrechtlichen Mangel aus einer Prüfung gekommen. Dies liegt sicherlich daran, dass die Anbieter von Apps häufig sicher sind, dass solche Prüfungen kaum stattfinden. App-Prüfungen sind nicht kompliziert durchzuführen, jedoch aber auch nicht so einfach wie eine Prüfung einer Internetseite. Deswegen vertrauen Sie nicht Ihrer Unternehmens-App blind, sondern lassen Sie diese datenschutzrechtlich prüfen.

Falls Sie Fragen haben, melden Sie sich einfach.

Viele Grüße aus Aachen
Ingo Goblirsch


Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter

Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von Scott Graham auf Unsplash. Vielen Dank!