Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

29. Juni 2023

Apps: Welche Anforderungen müssen DSB prüfen?

Eine zentrale Rolle bei der Datenschutz-Prüfung spielt, welche Daten die App für welche Zwecke verarbeitet
Bild: iStock.com / scyther5
4,60 (5)
Inhalte in diesem Beitrag
Praxistipps
Unternehmen und Behörden setzen immer häufiger auf Apps für Smartphones und Tablets, um dienstliche Abläufe zu optimieren. Welche datenschutzrechtlichen Aspekte müssen Verantwortliche und Datenschutzbeauftragte bei der Einführung einer solchen App beachten?

Typische Apps, die sich schon im Einsatz befinden, sind derzeit beispielsweise Collaboration Apps, Zeiterfassungs-Apps oder Apps für Spesenabrechnungen. Auch „Book-a-Desk“-Apps u.Ä. sind im Kommen.

1. Erlaubnisgrundlage und Datenminimierung

Zunächst bedarf es für den Einsatz der App einer Erlaubnisgrundlage. Die häufigsten Rechtsgrundlagen sind:

  • Einwilligung
  • § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) und die entsprechenden landesgesetzlichen Normen für Beamte und Beschäftigte im öffentlichen Dienst
  • Art. 6 Abs. 1 Satz 1 Buchst. f Datenschutz-Grundverordnung (DSGVO)
  • Betriebs- bzw. Dienstvereinbarungen

Welche Erlaubnisgrundlage greifen kann, müssen Datenschutzbeauftragte (DSB) im Einzelfall ermitteln. Zum einen müssen die Zwecke der App von einer Erlaubnisgrundlage gedeckt sein. Zum anderen folgt aus dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO), dass die App nur die Daten verarbeiten sollte, die für den Zweck erforderlich sind.

Erkundigen Sie sich daher insbesondere nach folgenden Datenverarbeitungen:

  • Welche Bestandsdaten fragt die App ab (z.B. Name, Adresse)?
  • Welche Nutzungsdaten verarbeitet sie (z.B. GPS-Daten)?
  • Welche Daten verarbeitet sie ggf. im Rahmen einer Registrierung als Pflicht- bzw. freiwillige Angaben?
  • Welche geräte- oder betriebsbezogenen Daten verarbeitet die App (z.B. IMEI, IMSI, Werbeidentifikatoren)?
  • Verarbeitet sie besondere Arten von personenbezogenen Daten (z.B. Gesundheitsdaten)?
  • Loggt sie personenbezogene Daten? Wenn ja, welche?

Ermitteln Sie bei möglichst allen Daten, warum sie jeweils verarbeitet werden.

2. Berechtigungen

Berechtigungen sind auf zwei Ebenen relevant. Fragen Sie zum einen nach den Berechtigungen, die die App benötigt (z.B. Zugriff auf das Adressbuch). Prüfen Sie zum anderen, wie die Berechtigungen innerhalb der Organisation vergeben werden sollen. Folgende Punkte sind also zu klären:

Welche Berechtigungen erhält die App auf dem Gerät?

Fordert sie nur Berechtigungen ein, die für die Funktionalität der App gemäß dem geplanten Einsatzzweck zwingend nötig sind?

Ist gewährleistet, dass die App keine personenbezogenen Daten von unbeteiligten Dritten verarbeitet?

Fragt sie die Erlaubnis des Nutzers ab, wo notwendig (z.B. bei GPS-Daten)?

Die App muss in der Lage sein, das für ihre Nutzung vorgesehene Berechtigungskonzept umzusetzen. Das bedeutet, dass nur diejenigen Personen Lese- und Zugriffsrechte auf verarbeitete Daten erhalten, die diese Rechte zu ihrer Aufgabenerfüllung benötigen (Need-to-know-Prinzip).

Sollen Nutzer jeweils nach ihrer Rolle unterschiedliche Berechtigungen bekommen, so muss die App unterschiedliche Rollen und dementsprechend abgestufte Rechte umsetzen können.

3. Datenübermittlung

Kein DSB möchte eine App absegnen, die sich als Datenschleuder entpuppt. Eine App sammelt nicht nur Daten, sondern kann sie auch Dritten wie Vertriebspartnern offenlegen. Um Herr der Daten zu bleiben, prüfen Sie Folgendes:

  • An wen und zu welchem Zweck übermittelt die App personenbezogene Daten vom Gerät?
  • Welche personenbezogenen Daten übermittelt sie jeweils an den Dritten?
  • Auf welche Rechtsgrundlage wird die Übermittlung gestützt?
  • Erfolgt die Übermittlung innerhalb oder außerhalb des Europäischen Wirtschaftsraums (EWR)?
  • Wenn außerhalb: Sind hinreichende Datenschutzgarantien im Sinne von Art. 44 ff. DSGVO für einen Transfer in ein Drittland vorhanden?

Der Verantwortliche sollte den Einsatz der App erst freigeben, wenn Sie als DSB die Offenlegung der Daten aufgeklärt haben.

4. Integrität und Vertraulichkeit

Geeignete technische und organisatorische Maßnahmen (TOM) müssen die Daten, die die App erhebt, schützen (Art. 5 Abs. 1 Buchst. f DSGVO). Prüfen Sie die ergriffenen TOM auf ihre Angemessenheit für die beabsichtigten Datenverarbeitungen.

Eine gute Orientierung speziell für Apps bieten der OWASP Mobile Application Verification Standard (MASVS) und der OWASP Mobile Security Testing Guide. Daneben sind insbesondere folgende Aspekte relevant:

  • Nutzt die App nur verschlüsselte Verbindungen, z.B. TLS 1.2 oder neuer?
  • Werden die Daten mit kryptografischen Verfahren verschlüsselt?
  • Sind ausdifferenzierte Backup-Mechanismen vorgesehen?
  • Liegen Zertifizierungen vor, die einen Anhaltspunkt für ausreichende Sicherheitsmaßnahmen bieten wie ISO 27001?
  • Ist die Stabilität des Systems gewährleistet (z.B. durch Penetrationstests)?

5. Tracking

Es gibt Technologien, die es App-Anbietern ermöglichen, Nutzerverhalten minutiös nachzuverfolgen. Ein berechtigtes Interesse daran, die App-Nutzer auf Schritt und Tritt zu verfolgen, gibt es selten. Außerdem können Unternehmen und Behörden darüber unwissentlich Dienst- bzw. Geschäftsgeheimnisse offenbaren.

Klären Sie daher folgende Punkte:

  • Setzt die App Tracking-Technologien ein und wer nutzt sie?
  • Welche Daten erhebt das Tracking?
  • Informieren die Datenschutzbestimmungen ausreichend über das Tracking?
  • Auf welche Rechtsgrundlage wird die Datenverarbeitung gestützt?
  • Müssen die Nutzer einwilligen?
  • Können die Nutzer ihre Einwilligung jederzeit einfach widerrufen?
  • Erfolgt eine Anonymisierung der personenbezogenen Tracking-Daten?

6. Speicher- und Löschfristen

Die über die App verarbeiteten personenbezogenen Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Im Anschluss sind die Daten zu löschen, sofern keine gesetzlichen Aufbewahrungsfristen – etwa aus dem Steuer- oder Handelsrecht – entgegenstehen.

Überprüfen Sie folgende Aspekte:

  • Welche Daten werden a) auf dem Gerät lokal, b) auf Servern oder c) auf zusätzlichen Speichermedien wie SD-Karten gespeichert?
  • Werden die Daten in einer Cloud gespeichert, die an das Gerät oder die App angebundenen ist?
  • Lassen sich die Daten nach eigenen Regeln löschen – auch von zusätzlichen Speichermedien?
Praxis-Tipp
Die App sollte in der Lage sein, die Löschregeln, die Sie als DSB empfehlen, automatisch umzusetzen. Ferner ist die Kenntnis der jeweiligen Speicherorte von essenzieller Bedeutung, damit sich die personenbezogenen Daten rückstandslos löschen lassen. Eine manuelle Löschung ist fehleranfällig und (je nach Datenmenge) sehr zeitintensiv, sodass davon abzuraten ist.
Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

7. Rechtsbeziehung zum App-Anbieter

Prüfen Sie immer auch, in welcher datenschutzrechtlichen Beziehung Ihre Organisation zum App-Anbieter steht. Folgende Konstellationen sind denkbar:

  • Der App-Anbieter ist ein Auftragsverarbeiter im Sinne von Art. 28 DSGVO.
  • Der App-Anbieter und das Unternehmen/die Behörde sind gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO.
  • Der App-Anbieter und das Unternehmen/die Behörde sind jeweils getrennt Verantwortliche.

Die Art der datenschutzrechtlichen Beziehung hat unmittelbare Auswirkungen darauf, welche datenschutzrechtliche Vereinbarung der Verantwortliche mit dem App-Anbieter treffen muss. Außerdem kann es auch Auswirkungen darauf haben, ob sich der Einsatz der App mit einer gesetzlichen Erlaubnisgrundlage legitimieren lässt. Letzteres dürfte bei einer Auftragsverarbeitung leichter gelingen.

8. Vergessen Sie die Basics nicht

Und zu guter Letzt: Es gibt datenschutzrechtliche Basics, die sich nicht speziell auf Apps beziehen, aber natürlich gleichwohl zu beachten sind:

  • Werden die App-Nutzer gemäß Art. 12 ff. DSGVO informiert?
  • Bedarf es einer Datenschutz-Folgenabschätzung?
  • Inwieweit muss das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ergänzt werden?
  • Sind durch ein App-Update neue Features hinzugekommen, die eine Neubewertung der App erfordern?

Dr. André Schmidt, Angelika Maria Szalek

Dr. André Schmidt Angelika Maria Szalek
Verfasst von
Dr. André Schmidt
Dr. André Schmidt
Dr. André Schmidt ist Rechtsanwalt der Wirtschaftskanzlei LUTZ | ABEL. Seine Schwerpunkte sind das IT- und Datenschutz-Recht sowie Compliance, Digitalisierung & Innovation und IP-Recht. Kontakt: schmidt@lutzabel.com
Angelika Maria Szalek
Angelika Maria Szalek
Angelika Maria Szalek ist Rechtsanwältin der Wirtschaftskanzlei LUTZ | ABEL. Kontakt:
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.