Datenschutz beim Aufbau einer App

Entscheidet sich ein Verantwortlicher gegen die Möglichkeit, eine App eines externen Anbieters zu nutzen, besteht durchaus die Möglichkeit, eine eigene App zu entwickeln. Dass der Datenschutz beim Aufbau einer App umzusetzen ist, steht außer Frage. Auf die Einzelheiten zum Wie und auch Warum aus Sicht des Datenschutzes gehen wir in diesem Beitrag ein.

Vorteile des Aufbaus einer eigenen App

Aus Sicht des Datenschutzes ergeben sich mehrere Vorteile, weshalb sich ein Verantwortlicher für die eigenständige Programmierung einer solchen entscheiden könnte. Ein Vorteil besteht darin, dass der Verantwortliche genau weiß, wie die App aufgebaut ist und welche personenbezogenen Daten bei Nutzung dieser verarbeitet werden. Falls er sie selbst bzw. Beschäftigte diese entwickeln, hat er weiterführend die Kontrolle über die unternommenen Verarbeitungstätigkeiten. Je nachdem, welche Daten generell in der App verarbeitet werden, kann der Verantwortliche auch die IT-Sicherheit dieser Daten im Blick behalten.

Bau der App mit oder ohne Dienstleister

Eine erste Frage betrifft womöglich die Antwort dazu, wer die App entwickelt. Hier kann sich ein Verantwortlicher dafür entscheiden, die App selbst zu entwickeln. Gleichwohl ist es aber auch möglich, hiermit ein externes Unternehmen zu beauftragen.

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Je nach Gestaltung des Dienstleistungsvertrages ist auch zu beachten, ob ggf. ein Auftragsverarbeitungsvertrag gem. Art. 28 Abs. 3 DSGVO oder einer zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO abzuschließen ist.

Keine Auftragsverarbeitung

Ist es vereinbart, dass der Dienstleister ausschließlich dafür zuständig ist, die App zu programmieren, ist nicht von einer Auftragsverarbeitung gem. Art. 28 Abs. 3 DSGVO auszugehen. Dies ergibt sich daraus, dass man hier nicht davon ausgeht, dass keine personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden.

Auftragsverarbeitung

Wenn der Vertrag mit dem externen Dienstleister beispielsweise auch die weiterführende Wartung oder sonstige Datenverarbeitungstätigkeiten beinhaltet, werden im Zuge dessen wahrscheinlich auch personenbezogene Daten verarbeitet. Wenn dies der Fall ist und der Dienstleister diese nicht für darüberhinausgehende Zwecke verarbeitet, liegt eine Auftragsverarbeitung vor. Konkret heißt dies, dass er im Zuge von Wartungsarbeiten ggf. Protokolle, die personenbezogene Daten enthalten, für den Verantwortlichen erstellt.

Gemeinsame Verantwortlichkeit

Eine gemeinsame Verantwortlichkeit kann u. a. in dem Fall vorliegen, wenn der Verantwortliche und der Dienstleister vereinbaren, über die Programmierung der App hinaus zusammenzuarbeiten und die im Zuge der App-Nutzung erfassten personenbezogenen Daten zu nutzen.

Privacy by Design gem. Art. 25 Abs. 1 DSGVO

Die Umsetzung des Art. 25 Abs. 1 DSGVO bedeutet, dass der Verantwortliche die App so gestaltet, dass bei Nutzung der App nur die für den eigentlichen Betrieb notwendigen personenbezogenen Daten erhoben werden.

Privacy by Default gem. Art. 25 Abs. 2 DSGVO

Weiterführend heißt dies natürlich auch, dass die App so zu bauen ist, dass datenschutzfreundliche Voreinstellungen vorgenommen werden. Als Beispiel dient hier die Möglichkeit, dass die Einstellungen der App so vorgenommen werden, dass anfangs nur das Minimum an personenbezogenen Daten erhoben wird. Sofern darüber hinaus personenbezogene Daten verarbeitet werden, kann dies natürlich mit der entsprechenden Rechtsgrundlage umgesetzt werden.

Technische und organisatorische Maßnahmen

Beim Bau einer App ist natürlich auch zu prüfen, welche Daten notwendig sind, um die Sicherheit der bei Nutzung der App verarbeiteten Daten zu gewährleisten. So kann es durchaus vertretbar sein, gewisse Protokolldaten zu sammeln und für einen gewissen Zeitraum aufzubewahren. Weitere Maßnahmen bestehen darin, Zugangsmöglichkeiten mithilfe von Nutzerprofile zu begrenzen. Das heißt, ein jeder Nutzer muss sich einloggen, um Daten einsehen zu können. – Wir möchten jedoch darauf hinweisen, dass es nicht bei jeder Art von App notwendig ist, die Erstellung von Nutzerkonten zu verlangen. Ist dies nicht notwendig, kann dies schnell in einer unrechtmäßigen Verarbeitung personenbezogener Daten münden, wenn ein Nutzerkonto nicht von einem jeweiligen Nutzer gewünscht ist. –

Zusammengefasst ist ein Verantwortlicher verpflichtet, zu prüfen, welche Arten personenbezogener Daten verarbeitet er und welche technischen und organisatorischen Maßnahmen sind zum Schutz dieser und folglich für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen notwendig und angemessen.

Datenschutz-Folgenabschätzung

Entwickelt ein Verantwortlicher eine App, weiß er auch, welche personenbezogenen Daten er im Zuge der Nutzung dieser verarbeitet. Dabei kann es sich ergeben, dass die Verarbeitung solcher ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen kann. Folglich ist eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchzuführen. Möglicherweise ergibt dies auch ein Blick auf die Muss-Liste zur Durchführung einer solchen, die die Datenschutzaufsichtsbehörden bereitstellen.

Verzeichnis von Verarbeitungstätigkeiten

Da der Verantwortliche bei Nutzung der App personenbezogene Daten verarbeiten wird, sind die damit zusammenhängenden Verarbeitungstätigkeiten natürlich in einem Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO festzuhalten. Hier ist es möglicherweise auch hilfreich, ein für die App separates Verzeichnis von Verarbeitungstätigkeiten zu führen.

Datenschutzinformationen

Wie bei anderen Verarbeitungstätigkeiten auch, ist es unumgänglich, betroffene Personen zur Verarbeitung ihrer personenbezogenen Daten zu informieren. Dies setzt ein Verantwortlicher mit der Bereitstellung einer Datenschutzinformation gem. Art. 13 DSGVO in der App um.

Fazit

Wie auch im Zuge anderer Prozesse in einem Unternehmen kommt es für gewöhnlich auch zu einer Verarbeitung personenbezogener Daten bei Betrieb einer – wenn auch eigenen – App. Dies zieht nach sich, dass die datenschutzrechtlichen Vorgaben umzusetzen sind. Gern unterstützen wir Sie dabei – kontaktieren Sie uns gern für ein erstes kostenfreies Gespräch, um Ihren Bedarf zu Aspekten des Datenschutzes besprechen.