Anbieter und Entwickler von Apps für Smartphones oder Tablets müssen einer großen Bandbreite von Datenschutzanforderungen gerecht werden. Die Einhaltung der Vorgaben wird durch die deutschen Aufsichtsbehörden regelmäßig kontrolliert, u. a. indem sie App-Anbieter mittels ausführlicher Prüfkataloge befragen. Am Beispiel des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) zeigt dieser Artikel, worauf App-Anbieter gute Antworten parat haben sollten und welche Kriterien sie bei der App-Entwicklung unbedingt erfüllen müssen.
Wann ist der Datenschutz bei Apps zu beachten?
Datenschutzgesetze sind immer dann anwendbar, wenn sich durch die Verarbeitung von Daten Rückschlüsse auf die Identität der betroffenen Person ziehen lassen. Nahezu jede Smartphone- oder Tablet-App erhebt, speichert oder verarbeitet in irgendeiner Form solche personenbezogenen Daten. Denn im Kontext von Apps gelten als personenbezogene Daten unter anderem:
- IP-Adressen;
- Geräte- und SIM-Kartenkennungen, vor allem: IMEI (International Mobile Equipment Identity, also die Gerätenummer), UDID (Unique Device ID, die Gerätenummer eines iOS-Gerätes), IMSI (International Mobile Subscriber Identity, die Kartennummer), MAC-Adresse (MediaAccessControl-Adresse, also die Hardware-Adresse eines Netzwerkadapters), MSISDN (Mobile Subscriber ISDN-Number, die Mobilfunknummer);
- Name des Telefons, sofern er den Namen des Nutzers enthält;
- Standortdaten, vor allem in Kombination mit IP-Adressen;
- Audiodaten, die einen Stimmvergleich ermöglichen;
- Aufgenommene Fotos und Filme;
- Daten für biometrische Erkennungsverfahren wie zum Beispiel der Fingerabdruck sowie
- Informationen zur App-Nutzung (vor allem im Bereich der Gesundheits-Apps).
Darüber hinaus ist der Zugriff einer App auf Kontaktdaten im Adressbuch, Kalendereinträge, Registrierungsdaten, Anruflisten oder Nachrichten (z. B. SMS oder E-Mails) regelmäßig eine Nutzung personenbezogener Daten.
Wer haftet für Datenschutzkonformität bei Apps?
Der Verantwortliche für die Erhebung und Verarbeitung von personenbezogenen Daten in einer App ist in aller Regel der App-Anbieter. Grundsätzlich haftet also der App-Anbieter bei Datenschutz-Verstößen und ist Adressat aufsichtsrechtlicher Maßnahmen oder Bußgelder.
Das bedeutet jedoch nicht, dass nicht auch der Nutzer einen Datenschutzverstoß begehen kann. Wird etwa die beliebte Messaging App WhatsApp auf einem dienstlichen Telefon verwendet, ohne die Weitergabe von Kontakten zu beschränken, so kann darin auch ein Datenschutzverstoß des Nutzers liegen.
Wurde die App nicht durch den Anbieter entwickelt, so muss dieser trotzdem dafür Sorge tragen, über alle Datenverarbeitungen in der App informiert zu sein und den datenschutzrechtlichen Anforderungen gerecht zu werden. Der Verweis auf Fehler des App-Entwicklers oder mangelnde eigene Kenntnisse hilft bei der Überprüfung durch die Aufsichtsbehörden nicht.
Auch wenn personenbezogene Daten in der App nicht durch den Anbieter selbst erhoben bzw. verarbeitet werden, sondern durch Dritte, bleibt der App-Anbieter im Rahmen einer Auftragsverarbeitung der Verantwortliche. Sollten dabei Cloud-Dienstleister außerhalb der EU bzw. des EWR eingesetzt werden, sind sogar zusätzliche Prüfungen seitens des App-Anbieters vorgeschrieben. Diese Anforderungen der Datenschutz-Grundverordnung (DSGVO) greifen übrigens auch dann, wenn der App-Anbieter selbst ausschließlich außerhalb des EWR Unternehmenssitze hat, die Daten aber hierzulande über Endgeräte erfasst werden.
Bei der Entwicklung von Apps sollten grundsätzlich die Prinzipien einer datenschutzgerechten Gestaltung (Privacy by Design) sowie datenschutzfreundlicher Voreinstellungen (Privacy by Default) beachtet werden. App-Entwickler sind aber vor allem dann von datenschutzrechtlichen Konsequenzen betroffen, wenn sie während der Anwendungsphase weiterhin personenbezogene Daten von App-Nutzern erhalten, weil sie zum Beispiel Fehlermeldungen zugestellt bekommen.
Datenschutz-Prüfkatalog für Apps
Mit dem Prüfkatalog für den technischen Datenschutz bei Apps mit normalem Schutzbedarf legte das BayLDA Entwicklern und Anbietern von Apps rund 45 Fragen vor, zu denen detailliert Stellung bezogen werden musste. Die Überprüfungen der Aufsichtsbehörde basieren dabei auf der Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter des Düsseldorfer Kreises vom 16. Juni 2014. Deshalb ist davon auszugehen, dass App-Anbieter außerhalb Bayerns mit ähnlichen Fragen durch die Landesaufsichtsbehörden zu rechnen haben.
“Arten personenbezogener Daten”
- Welche Nutzungsdaten werden von der App automatisch verarbeitet?
- Welche Bestandsdaten werden von der App automatisch verarbeitet?
- Welche Inhaltsdaten werden von der App automatisch verarbeitet?
- Werden besondere Arten von personenbezogenen Daten eingesetzt? (Gesundheitsdaten, Kreditkartendaten, Andere)
“Datenschutzbestimmungen”
- Sind die Datenschutzbestimmungen bereits im App-Store einsehbar (z. B. über die von Google bereitgestellte Funktion „Datenschutzerklärung für Entwickler“), also nicht erst nach Download und Installation der App?
- Sind die Datenschutzbestimmungen bei erstmaliger App-Nutzung sofort einsehbar (z. B. Pop-Up oder Info-Frame)?
- Sind die Datenschutzbestimmungen innerhalb der App leicht auffindbar und einsehbar?
- Handelt es sich um Datenschutzbestimmungen speziell für die App und nicht solche der Webseite des Anbieters?
- Wird in den Datenschutzbestimmungen die Erhebung, Verarbeitung und Nutzen personenbezogener Daten ausreichend beschrieben?
- Werden in den Datenschutzbestimmungen die Berechtigungen der App inklusive deren Verwendung ausreichend beschrieben?
- Liegt ein leicht erkennbares, unmittelbar erreichbares und ständig verfügbares Impressum vor?
“Berechtigungen”
- Welche Berechtigungen erhält die App auf dem Gerät? (jeweils mit oder ohne Zugriff auf personenbezogene Daten)
- Werden nur Berechtigungen eingefordert, die für die Funktion der App zwingend benötigt werden?
- Wird eine (ausreichende) Einwilligung des Nutzers zuvor abgefragt?
“Zugangsdaten”
- Besteht die Möglichkeit einer Registrierung und Anmeldung in der App mit eigenen Zugangsdaten (Benutzername und Passwort)? Falls ja, welche Daten werden für die Registrierung und Anmeldung genutzt:
- Falls „Ja“, weitere Fragestellungen:
- Werden ausreichend komplexe Passwörter (mind. 8-stellig mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen) erzwungen/durch Darstellung empfohlen?
- Werden keine anderen gerätebezogenen Daten (z.B. IMEI-Nummer) als Identifizierungswert im Rahmen der Authentifizierung verwendet?
- Werden die Zugangsdaten des Nutzers lokal gespeichert?
- Werden die Zugangsdaten im geschützten App-Bereich gespeichert?
- Werden die Zugangsdaten mit einem für die Passwortspeicherung geeignetem kryptographisches Verfahren (z. B. KeyChain bei iOS, PBKDF2 bei Eigenimplementierung) transformiert, bevor diese lokal gespeichert werden?
- Werden die Zugangsdaten des Nutzers auf einem Server gespeichert?
- Werden die Zugangsdaten kryptographisch verarbeitet (d. h. nicht im Klartext) lokal gespeichert?
- Wird ein für die Passwortspeicherung geeignetes kryptographisches Verfahren (z. B. PBKDF2 bei Eigenimplementierung) eingesetzt, um die Zugangsdaten zu speichern?
- Werden in der App lokale Session-Timeouts in Abhängigkeit des jeweiligen Schutzbedarfs eingesetzt, die ein erneutes Einloggen nach einer gewissen inaktiven Zeit erzwingen?
- Werden Passwörter bei der Eingabe in der App maskiert (evtl. auswählbar) um ein „Shoulder-Surfing“ zu verhindern?
- Werden Passwörter bei einer „Passwort vergessen“-Funktion über einen zeitlich begrenzten Weblink zurückgesetzt?
- Falls „Ja“, weitere Fragestellungen:
“Datenübertragungen”
- An welche Server werden Daten abgehend vom Gerät übertragen? (anzugeben sind: IP-Adresse/Domainname, Unternehmen/Behörde, innerhalb des EWR, Rechtsgrundlage)
- Welche Daten werden dabei an welchen Empfänger zu welchem Zweck übertragen? (anzugeben sind: Daten, verantwortliche Stelle, personenbezogen, Zweck)
- Erfolgt eine verschlüsselte Datenübertragung (mit HTTPS)?
- Wird Perfect Forward Secrecy bei HTTPS eingesetzt?
- Wird TLS1.2 bei HTTPS eingesetzt?
- Ist SSLv2 und SSLv3 bei HTTPS deaktiviert?
- Ist die Schlüssellänge bei asymmetrischen Verfahren ausreichend lang (4096-Bit bei RSA, 256-Bit bei EC)?
- Wird verhindert, dass personenbezogene Daten über HTTP-GET-Parameter übertragen werden?
- Werden vertrauenswürdige SSL-Zertifikate verwendet und diese auch zur Verhinderung von Man-In-The-Middle Angriffen überprüft?
- Wird SSL-Pinning (feste „Verdrahtung“ des SSL-Zertifikats in der App) eingesetzt?
- Werden Token-Werte statt Account-Daten (z. B. Kundennummer) für einen Session-Bezug zum Backend verwendet?
“Speicherung von App-Daten”
- Welche Daten werden lokal auf dem Gerät gespeichert? + personenbezogen?
- Werden personenbezogenen Daten nur gespeichert, soweit und solange sie für den Betrieb der App notwendig sind?
- Werden Daten auf der externen SD-Karte des Geräts gespeichert (falls anwendbar)?
- Werden die (auf der SD-Karte) gespeicherten Daten nach Deinstallation der App gelöscht (falls anwendbar)?
- Werden Inhalts- oder Nutzungsdaten der App durch einen Cloud-Backup-Mechanismus des Endgeräts gespeichert, sofern dieser grundsätzlich vom Nutzer aktiviert ist?
- Ist das Backend gegen Angriffe auf Basis von OWASP-Top 10 (2013) ausreichend geschützt?
- Kann der Backend-Webserver statt über HTTPS auch über HTTP aufgerufen werden (z. B. SSL-Stripping-Angriff)?
“Logging”
- Welche Logging-Varianten in der App werden in der Produktivversion eingesetzt?
- Werden personenbezogene Daten geloggt?
- Zulässiges Tracking (z.B. Reichweitenmessung)?
- Werden Trackingverfahren in der App eingesetzt? (Wenn ja, welche?)
- Falls „Ja“, weitere Fragestellungen:
- Wird die IP-Adresse vor der systematischen Verarbeitung (z.B. Geolokalisierung) ausreichend anonymisiert?
- Wird in den Datenschutzbestimmungen ausreichend darüber informiert?
- Existiert für den Nutzer eine jederzeit leicht auffindbare Widerspruchsmöglichkeit (z.B. durch eine Opt-Out-Möglichkeit) innerhalb der App?
- Existiert ggf. ein Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister (falls Reichweitenmessung nicht selbst betrieben)?
- Werden eindeutige (Geräte-) IDs vergeben/verwendet? (IMEI, IMSI, MAC-Adresse, Unique-IDs, Andere)
- Welche Tracking-Cookies werden eingesetzt?
- Falls „Ja“, weitere Fragestellungen:
“In-App-Browser-Engine (z.B. Webkit)”
- Wird ein In-App Browser eingesetzt?
- Falls „Ja“, weitere Fragestellungen:
- Ist ein (JSON-)SSLStrip-Angriff möglich?
- Wird der HTTP „no-store“ Header vom Backend zur Verhinderung der Speicherung von Cachedaten gesendet?
- Ist ein Whitelist-Schema für URLs implementiert?
- Ist ein Caching von Webformulardaten deaktiviert?
- Ist Javascript disabled (deaktiviert), falls es nicht benötigt wird?
- Sind Plugins disabled (deaktiviert), falls sie nicht notwendig sind?
- Falls „Ja“, weitere Fragestellungen:
“Geolokalisierung”
- Wird in der App auf Standortdaten des Geräts zugegriffen?
- Falls „Ja“, weitere Fragestellungen:
- Werden Standortdaten nur in der unbedingt nötigen Auflösung („Verwaschung“) erfasst?
- Werden genaue Standortdaten nur lokal verarbeitet („Rasterbereich“)?
- Werden Standortdaten lokal gespeichert?
- Werden Standortdaten an das Backend übertragen?
- Sind die Abtastintervalle der Standortdaten so groß wie möglich?
- Besteht die Möglichkeit, die Lokalisierung auszuschalten?
- Falls „Ja“, weitere Fragestellungen:
“Inhaltsdaten”
- Werden in Bezug auf die Verarbeitung von personenbezogenen Inhaltsdaten die jeweiligen (ggf. besonderen) datenschutzrechtlichen Anforderungen nach dem jeweils einschlägigen Fachrecht beachtet?
Dieser aktualisierte Beitrag wurde zuerst am 30. Juni 2016 veröffentlicht.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.