Was bedeutet die DSGVO für die App-Entwicklung?

Ein Gespenst geht um in Europa – das Gespenst der Datenschutz-Grundverordnung! Die DSGVO (englisch: General Data Protection Regulation) tritt zwar erst am Freitag in Kraft ist jedoch bereits seit Jahren ein heiß diskutiertes Thema der gesamten Digitalbranche. Bei Google findet man in 0,25 Sekunden über 4 Millionen Treffer zum Thema (Stand: 22. Mai 2018), auf jeder Digitalkonferenz wird das Thema besprochen und die ersten Anbieter senden seit Tagen Mails an ihre Kunden, um sie über die Änderungen zu informieren. Doch was bedeutet die DSGVO in der App-Entwicklung – welche Änderungen kommen auf uns zu?

– – – Disclaimer: Bei diesem Beitrag handelt es sich nicht um eine Rechtsberatung, sondern lediglich um einen Impuls – – –

Was bedeutet die neue DSGVO für Apps?

Auf allen Digitalisierungskonferenzen in Deutschland spricht man seit Jahren über die neue DSGVO. Von allen gekannt, von allen respektiert, von allen gefürchtet – aber was bedeutet sie konkret für die mobile Welt und die App-Entwicklung.

Bei der DSGVO geht es um personenbezogene Daten – eindeutige Daten wie Name, Telefonnummer, Adresse, aber auch indirekte Daten wie IP-Adressen, Device-IDs, Cookies- und sonstige Online-Erkennungen, bspw. gesundheitliche Daten, sexuelle Orientierung usw. Keine Anwendung findet die DSGVO, wenn diese Daten anonymisiert erhoben werden, d.h. einzelne Personen hinter den Daten nicht identifiziert werden können. Diese Regelung verändert das Marketing, Re-Targeting, das Tracking und auch die App-Entwicklung – nicht grundlegend, aber dennoch erheblich.

Alle App-Publisher und Website-Betreiber jammern über die DSGVO, aber letztlich stärkt sie die Rechte der User und macht bewusst, wie stark Daten mittlerweile das neue Kapital darstellen. Und diesem Kapital muss die nötige Aufmerksamkeit zuteil werden. Bisher basiert der europäische Datenschutz nämlich weitestgehend auf einer Richtlinie aus dem Jahr 1995, als Siemens das erste SMS-fähige Mobiltelefon vorstellte und über 10 Jahre vor der alles verändernden Vorstellung des ersten iPhones im Jahr 2007.

Status Quo im mobilen Markt

Laut einem Marktforschungsbericht des Softwareunternehmens Safedk verstoßen derzeit ca. 55% aller Apps die im Google Play Store angeboten werden gegen die DSGVO. Eine Zahl, die sich nach dem 25. Mai hoffentlich drastisch reduzieren wird, denn falls man seiner Datenschutz-Pflicht als App-Entwickler oder App-Anbieter nicht nachkommt, muss man bis zu maximal zwei bis vier Prozent des weltweiten Unternehmensumsatzes bzw. maximal 10 bis 20 Millionen Euro an Strafe zahlen, je nachdem, was höher ist. Neben der grundsätzlichen Anerkennung von Datenschutz als wichtigem Parameter in jedem Software-Projekt, ist dies ein weiterer Grund, sich intensiv mit den Folgen und Anforderungen der DSGVO auseinanderzusetzen. Nun gut, was bedeutet die DSGVO also für die App-Entwicklung?

Die wichtigsten Punkte der DSGVO für die App-Entwicklung:

Privacy by Design und Default
Der Datenschutz muss von Beginn der Gestaltung und Entwicklung einer App einbezogen werden (Datenschutz by Design). Am Anfang der Nutzung einer App müssen die Datenschutzeinstellungen immer die höchste Sicherheit bieten (Datenschutz bei Default). Opt-in-Lösungen für personenbezogene Daten sind hier die einzige Möglichkeit, dem Nutzer eine wirkliche Wahl zu lassen und ihn zur gegebenen Zeit richtig aufzuklären.

Rechtmäßigkeit
Jede Verarbeitung personenbezogener Daten ist erstmal verboten – außer der User hat ausdrücklich eingewilligt, dass das okay ist. Die Einwilligung eines Users bedarf dem deutlich erkennbaren Mehrwert der Datenverarbeitung.

Einwilligung
Die Einwilligung muss freiwillig, ausdrücklich und nachweisbar erklärt werden. Sprich, ein Opt-out oder Pop-up kann keine wirksame Einwilligung darstellen, es sei denn, ich habe ein berechtigtes Interesse daran, diese Daten zu erfassen – dann ist kein Opt-In erforderlich. Neu ist auch, dass der User diese Einwilligung jederzeit widerrufen kann und bei der Einwilligung direkt auf sein Widerrufsrecht hingewiesen werden muss.

Bei Minderjährigen ist die Einbeziehung der Eltern, bzw. der Erziehungsberechtigten, unabdingbar. Dies kann z.B. mit einem Double-Opt-in-Verfahren per Mailadresse an die Eltern, postalischen Dokumenten, Rückgriff auf Kreditkarte, Telefon- oder Videogespräch erfolgen.

Datenminimierung
Nur jene Daten dürfen erhoben werden, die auch wirklich in der App gebraucht werden. Das heißt das Recht auf Zugriff des Adressbuchs, Mikrofons, der Kamera, des Standorts etc. kann nur dann abgefragt werden, wenn er auch wirklich für die Funktionalität in der App Relevanz hat.

Kopplungsverbot
Bisher waren Leistungen häufig an die Zustimmung zur Datenverarbeitung geknüpft. Viele Apps bauen ihr Geschäftsmodell darauf, dass die Anbieter Werbetreibenden im Gegenzug weitreichende Rechte eingeräumt haben. Die DSGVO verbietet solche Kopplungen nun. User müssen nur noch dann der Datenverarbeitung zustimmen, wenn die Freigabe zwingend zur Erbringung der Leistung erforderlich ist.

Transparenz
App-Entwickler und App-Anbieter müssen User künftig umfassend über die Datenverarbeitung und ihre Rechte aufklären. Jeder User hat das Recht, seine gespeicherten Daten einzusehen. Wird eine solche Einsicht beantragt, sollten eine Antwort innerhalb eines Monates erfolgen. Jeder Datenschutzvorfall muss zudem innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden.

Recht auf Vergessenwerden (Löschung)

User können die komplette Löschung ihrer personenbezogenen Daten beantragen. Die Löschung beinhaltet auch die Daten, die an Dritte weitergegeben wurden. Unternhemen müssen sicherstellen, dass Sie jederzeit die Kontrolle über die Daten ihrer User behalten und im Zweifelsfall eine restlose Löschung durchführen können.

Datenübertragbarkeit und Datenportabilität
Dem User steht das Recht zu, dass er Daten in einem strukturierten, gängigen und maschinenlesbaren Format bekommt und diese einem Dritten übermitteln kann.

Datenschutzbeauftragter

Ab 10 Mitarbeitern in einem Unternehmen ist ein Datenschutzbeauftragter Pflicht. Dieser sollte nicht nur ausreichend Zeit für die Ausübung seiner Pflichten haben, sondern auch regelmäßig Weiterbildungen besuchen, um alle neuen Entwicklung im Datenschutz mitzubekommen.

Anonymisierung

Mit Pseudonymisierungen können bisher einige Regeln des Datenschutzes umgangen werden. Mit der DSGVO wird diese Art der Anonymisierung nicht mehr ausreichen. Das sogenannte IP-Masking, und damit die unwiderrufliche Kürzung der IP-Adresse um den letzten Teil, bleibt allerdings erlaubt. Personalisierte Werbung wird mit der Regelung rechtlich zumindest erschwert.

To Dos – nochmal zusammengefasst:

  • Frühstmögliche Anonymisierung in der App-Entwicklung
  • Voreinstellung der Daten, sodass nur personenbezogene Daten verarbeitet werden, die für die konkrete Zwecke der Verarbeitung erforderlich sind.
  • Bereitstellung einer Datenschutzerklärung, die gut verlinkt ist.
  • Den User in der Datenschutzerklärung über Folgendes umfassend aufklären:
    • Kontaktdaten des Anbieters
    • Beschreibung der Datenarten, die von der App erhoben werden (Zugriffsrechte)
    • Zweckerklärung, warum die Daten bzw. Zugriffe erhoben und gebraucht werden
    • Speicherdauer
    • Information über Übermittlung an Dritte und deren Zweck
    • Datum der Erstellung

Fazit: Was bringt uns das Gespenst der DSGVO?

Die Datenschutz-Grundverordnung wird die Digitalbranche sicherlich noch einige Zeit aus Trab halten. Längst sind noch nicht alle Fragen zur Umsetzung und Implementierung geklärt und wie bei jeder neuen Regelung werden sich viele Fragen erst mit der Zeit klären. Dennoch ist es für Unternehmen nicht nur ratsam, sondern unbedingt notwendig, sich an die oben beschriebenen Regeln zu halten und den Datenschutz endlich aktiv zu betreiben.

Wir bei der fluid haben uns intensiv mit dem Thema beschäftigt und einen Datenschutz-Profi mit ins Boot geholt, um unsere Prozesse zu checken. Unsere Kunden beraten wir hinsichtlich der Herausforderungen für die App-Entwicklung, empfehlen aber unbedingt, einen Datenschutz-Beauftragten hinzuzuziehen, um das Thema Datenschutz mit dem spezifischen Fachwissen zu betrachten.

 

Bildquelle auf dem Screen oben: shutterstock.com/Jarm (gesehen bei Internetworld)

Hinterlasse einen Kommentar

Geben Sie Ihr Suchbegriff ein und drücken Sie Enter