Datenschutz

1. Grundlagen

Wenn du eine App baust, sammelst du höchstwahrscheinlich auch sogenannte personenbezogene Daten von natürlichen Personen (z. B. Nutzer). Das können Metadaten, IP-Adressen oder Nutzernamen sein – kurz: alles, woraus sich ein Personenbezug herstellen lässt. Dabei ist es unerheblich, ob du den Personenbezug direkt herstellen kannst oder ob du z. B. erst bei der Registrierungsstelle anfragen müsstest, um den Inhaber einer IP-Adresse zu ermitteln. Sobald irgendjemand den Personenbezug herstellen kann, finden die Datenschutzgesetze (v. a. DSGVO/GDPR) Anwendung.

Besondere Vorsicht ist bei sogenannten besonderen Kategorien personenbezogener Daten geboten. Eine Auflistung findest du in Art. 9 DSGVO (z. B. Gesundheitsdaten). Hier sind besondere technische und organisatorische Maßnahmen zum Schutz erforderlich und du brauchst besondere Rechtsgrundlagen (z. B. Einwilligung gem. Art. 9 Abs. 2 a) DSGVO).

Und übrigens: Wenn du im Folgenden von „Daten" liest, sind immer „personenbezogene Daten" gemeint.

2. Bin ich überhaupt verantwortlich?

Im Datenschutz gibt es den Begriff des „Verantwortlichen". Das ist derjenige, der für die Einhaltung der gesetzlichen Vorgaben sorgen muss und bei Nichteinhaltung auch das Bußgeld bezahlen muss. Das trifft in der Praxis meist auf App-Anbieter zu, die z. B. Server-Log-Files, Cookies oder Fehlerprotokolle verwenden.

Daneben gibt es den Begriff des Auftragsverarbeiters. Der verarbeitet die Daten auf Weisung des Verantwortlichen und ist deswegen nicht verantwortlich im datenschutzrechtlichen Sinne. Wenn du B2B-Kunden hast, musst du einen sogenannten Vertrag zur Auftragsverarbeitung anbieten, der deine Pflichten regelt. Im englischen Raum heißt das Dokument „Data Processing Agreement" (DPA).

Die Rolle des Auftragsverarbeiters trifft häufig auf Hosting-Anbieter zu. Sie kann aber auch für App-Anbieter relevant sein, wenn du in deiner App Inhaltsdaten deiner Kunden/Nutzer speicherst. Diese Daten darfst du nicht für eigene Zwecke verwenden (im Datenschutz sagt man „verarbeiten"), sondern eben nur auf Weisung.

Schließlich gibt es auch den Begriff der gemeinsamen Verantwortlichkeit, wo zwei Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Das kommt in der Praxis häufig bei Anbietern von sozialen Netzwerken vor, kann aber auch die Datenverarbeitungen durch den App-Store-Anbieter betreffen.

Kläre genau, für welche Datenverarbeitungen du welche Rolle hast, damit du weißt, wofür du verantwortlich bist. Achtung: Du kannst auch mehrere Rollen gleichzeitig haben.

3. Brauche ich Datenschutzhinweise?

Auf Webseiten oder in den App-Stores sind dir bestimmt schon Datenschutzhinweise begegnet. Solche Datenschutzhinweise musst du bereitstellen, wenn du personenbezogene Daten verarbeitest.

Dort beschreibst du, was du mit den Daten machst, damit der Nutzer vor dem Herunterladen der App entscheiden kann, ob er das möchte. Die Datenschutzhinweise müssen daher bereits im App-Store bereitstehen und zusätzlich in der App selbst.

Du erklärst u. a., auf welcher Rechtsgrundlage und zu welchen Zwecken du die Daten verarbeitest, welche Kategorien von Empfängern Zugriff auf die Daten haben (z. B. Hosting-Anbieter), ob dabei Daten in Länder außerhalb der EU übermittelt werden und welche Garantien dafür bestehen und wann du die Daten wieder löschst. Eine vollständige Auflistung der erforderlichen Inhalte findest du in übersichtlicher Form in den Artikeln 13 und 14 DSGVO.

Artikel 13 DSGVO ist relevant, wenn du die Daten direkt von der betroffenen Person erhalten hast. Artikel 14 DSGVO ist relevant, wenn du die Daten nicht direkt von der betroffenen Person erhoben hast.

Wenn du B2B-Kunden hast, werden diese dich möglicherweise auch nach Datenschutzhinweisen für sich selbst fragen. Denn deine Kunden müssen als Verantwortliche auch Datenschutzhinweise bereitstellen. Wenn du hierzu einen Vorschlag als Service anbieten willst, kommt das sicherlich gut an. 😉

4. Was muss ich sonst noch dokumentieren?

Im Datenschutz gilt: Wer schreibt, der bleibt. Als Verantwortlicher unterliegst du einer Rechenschaftspflicht. Du musst also gegenüber einer Datenschutzaufsichtsbehörde nachweisen können, dass du alle gesetzlichen Vorgaben einhältst. Dieser Fall kann z. B. eintreten, wenn sich jemand bei der Datenschutzaufsicht über dich beschwert und die Behörde Untersuchungen einleitet.

Hier die wichtigsten Dokumente, die du erstellen solltest.

5. Was muss ich beim Einsatz von Drittanbietern beachten?

Wenn du Drittanbieter einsetzt (z. B. Hostinganbieter), solltest du dafür sorgen, dass diese datenschutzkonform arbeiten, denn in den meisten Verträgen zur Auftragsverarbeitung ist geregelt, dass du die Verantwortung für deine Subunternehmer trägst.

Dabei ist vor allem wichtig, dass du einen datenschutzkonformen Vertrag zur Auftragsverarbeitung abschließt, in dem du die Pflichten aus deinem Vertrag mit deinem Kunden weitergibst (z. B. die vereinbarten technischen und organisatorischen Maßnahmen) und der die gesetzlichen Anforderungen erfüllt (Art. 28 DSGVO).

Falls der Drittanbieter seinen Firmensitz nicht in der EU hat (der Serverstandort ist hier unerheblich), musst du prüfen, welche datenschutzrechtlichen Garantien die Sicherheit der personenbezogenen Daten sicherstellen. Am einfachsten ist es, wenn der Anbieter nach dem sogenannten EU-U.S. Data Privacy Framework zertifiziert ist. Eine Liste der zertifizierten Unternehmen findest du hier: dataprivacyframework.gov/list.

Falls das nicht der Fall ist, müsstest du schauen, ob der Anbieter sogenannte Standardvertragsklauseln/Standard Contractual Clauses (SCC) anbietet. Dann wird es allerdings etwas komplizierter, denn hier musst du noch eine Risikoabschätzung, ein sogenanntes Transfer Impact Assessment (TIA), erstellen, was ziemlich aufwändig ist.

6. In welchen Fällen muss ich Einwilligungen einholen?

Für jede Datenverarbeitung brauchst du eine Rechtsgrundlage. Diese findest du in Art. 6 DSGVO, z. B. die Vertragserfüllung, berechtigte Interessen oder die Einwilligung der betroffenen Person.

Vereinfacht gesagt brauchst du eine Einwilligung für alle Datenverarbeitungen, die nicht zwingend technisch erforderlich für den Betrieb deiner App sind oder der Nutzer den betreffenden Dienst ausdrücklich wünscht.

Session Cookies sind in der Regel technisch erforderlich und können aufgrund von berechtigten Interessen verwendet werden. Hier musst du lediglich eine Interessensabwägung dokumentieren. Gleiches gilt in der Regel, wenn du Zusatzfunktionen anbietest, die z. B. einen Zugriff auf die Kamera erfordern und du dies ausdrücklich abfragst.

Darüber hinausgehende Dienste, die der Nutzer nicht gewünscht hat und die nicht erforderlich für die Bereitstellung der App sind, sind in der Regel einwilligungspflichtig. Auch bei eingebundenen Drittdiensten (z. B. Google Fonts) brauchst du i. d. R. eine Einwilligung, wenn du die Schriften nicht auf deinem eigenen Server bereitstellst.

Die Einwilligung muss dabei bestimmte Pflichtelemente enthalten. So musst du z. B. über die Möglichkeit des Widerrufs und die Zwecke der Datenverarbeitung informieren. Weiterhin muss eine Einwilligung genauso leicht widerrufen werden können, wie sie erteilt wurde. Schaffe also entsprechende Möglichkeiten in deiner App dafür, z. B. einen Bereich, der jederzeit leicht zugänglich ist.

7. Welche Betroffenenrechte müssen über die App umsetzbar sein?

Die Personen, deren Daten verarbeitet werden, haben Rechte. Diese müssen durch den Verantwortlichen sichergestellt werden. Du solltest deine App daher so gestalten, dass diese Betroffenenrechte erfüllt werden können. Mal abgesehen von dem Informationsrecht (Datenschutzhinweise) sind das vor allem die folgenden Rechte. Details findest du immer in den genannten Artikeln der DSGVO:

8. Was mache ich, wenn etwas schiefläuft (Datenpannen)?

Wenn etwas Ungeplantes passiert und Daten z. B. von einem Hacker abgegriffen werden, ist das eine Datenpanne. Wie du damit umgehst, hängt von deiner Rolle ab.

Wenn du Verantwortlicher bist, musst du prüfen, ob du die Datenpanne an die Datenschutzaufsicht melden musst. Dies ist nicht notwendig, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Betroffenen führt. Ansonsten muss die Meldung innerhalb von 72 Stunden ab Kenntnisnahme erfolgen. Welche Angaben hier enthalten sein müssen, findest du in Art. 33 DSGVO.

Bei voraussichtlich hohen Risiken für die Betroffenen musst du sogar die Betroffenen selbst benachrichtigen. Genaue Angaben zum Inhalt der Benachrichtigung findest du in Art. 34 DSGVO.

Auch wenn keine Meldepflicht besteht, solltest du den Vorfall dokumentieren und festhalten, wie du zu dieser Einschätzung gekommen bist.

Wenn du Auftragsverarbeiter bist, musst du den Vorfall unverzüglich an deinen Kunden melden. Der ist dann für die Meldung an die Datenschutzaufsicht verantwortlich. Welche Angaben die Meldung mindestens enthalten muss, ist üblicherweise im Vertrag zur Auftragsverarbeitung geregelt.

9. Welche Grundsätze muss ich bei der Gestaltung meiner App einhalten (Stichwort Datenminimierung)?

In Art. 5 DSGVO sind die Verarbeitungsgrundsätze geregelt. Auch diese muss der Verantwortliche einhalten. Dazu gehört insbesondere die Datenminimierung. Der Verantwortliche darf nur die Daten verarbeiten, die für die Zweckerreichung erforderlich sind (nicht solche, die nice to have sind). Wenn du von vorneherein jede Menge Freitextfelder in deiner App hinterlegst, hat es der Verantwortliche schwer, diesen Grundsatz umzusetzen.

Auch bei der Abfrage von Daten zur Nutzerregistrierung solltest du dich zurückhalten und nur erheben, was auch erforderlich ist.

10. Was bedeutet „Privacy by design" bzw. „Privacy by default"?

Beides sind Anforderungen gem. Art. 25 DSGVO, die vom Verantwortlichen umzusetzen sind.

„Privacy by design" bzw. „Datenschutz durch Technikgestaltung" meint, dass deine App so gestaltet ist, dass der Verantwortliche die datenschutzrechtlichen Anforderungen erfüllen kann.

„Privacy by default" bzw. „Datenschutzfreundliche Voreinstellungen" meint, dass du die App mit den datenschutzfreundlichsten Einstellungen als Standard auslieferst und z. B. Nutzertracking oder andere optionale Funktionen deaktivierst.

11. Brauche ich einen Datenschutzbeauftragten?

Manche Unternehmen sind verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen. Das ist der Fall, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Aber auch als Solo-Selbstständiger kannst du zur Benennung eines DSB verpflichtet sein. Das ist der Fall, wenn du im großen Umfang personenbezogene Daten verarbeitest und/oder dabei hohe Risiken für die Betroffenen entstehen, so dass eine sogenannte Datenschutzfolgenabschätzung (DSFA) erforderlich ist.

Welche Konstellationen diese Bedingung auf jeden Fall erfüllen, findest du in dieser Liste. Diese Liste ist jedoch nicht abschließend. Wenn du KI mit LLM einsetzt, spricht ebenfalls vieles für eine Pflicht zur DSFA. Hierbei ist aber zu berücksichtigen, dass die DSFA immer vom Verantwortlichen durchgeführt werden muss. Prüfe also genau deine datenschutzrechtliche Rolle oder bereite einen Vorschlag als Service für deine Kunden vor.