GDPR für mobile Apps: 5 Schritte für das neue Datenschutzgesetz

Im Mai 2018 trat die neue Datenschutzverordnung General Data Protection Regulation, kurz GDPR, für die EU in Kraft. Auch mobile Anwendungen sind von dem neuen Gesetz betroffen. Daher fragen sich nicht nur die User aber auch Anbieter von Apps was wirklich hinter den neuen Regularien steckt und inwiefern die Änderungen im Sinne des Datenschutzes auf Sie zutreffend sind. In diesem Artikel erklären wir, was GDPR für mobile Apps bedeutet und wie deine App die neuen Anforderungen erfüllt. Lasst uns mit der Definition von GDPR beginnen!

Was ist GDPR? 

Die General Data Protection Regulation (GDPR) ist die aktuelle Europäische Verordnung für persönlichen Datenschutz. Durch das unaufhörliche Wachstum des Internets und der Nutzung von Apps sind wir an einem Punkt angelangt, an dem wir nicht einmal mehr wissen, wer Zugang zu unseren persönlichen Daten hat. Namen, Email-Adressen, Telefonnummern, IP Adressen und vieles mehr befinden sich da draußen im Daten-Dschungel. Die User stellen sie zur Verfügung aber die Nutzung dieser Daten ist selten transparent.

Der Cambridge Analytica Skandal beispielsweise zeigte, wie persönliche Informationen erschlossen werden, um gezielte Werbeanzeigen zu erstellen. Personenbezogene Daten aus einer Persönlichkeits-Quiz-App von 2014 wurden genutzt, um Wähler in den USA zu profilieren.

Die GDPR gibt den Nutzern mehr Kontrolle über ihre Daten.  Die wichtigsten Änderungen sind ein neuer Transparenz-Rahmen, neue Einhaltungsbedingungen und ein Strafen-System. Die GDPR zu erfüllen ist daher die Norm. Was bedeutet also die GDPR für bereits existierende und neue mobile Anwendungen?

GDPR für mobile apps: wie erfülle ich sie?

Du weißt nun, dass es bei der GDPR um Datenschutz geht. Die neuen Regeln müssen bei jedem Schritt der Entwicklung deiner App mit einbezogen werden. Egal ob du gerade das Geschäftsmodell auswählst oder die UX deines Projektes definierst, du solltest immer im Kopf haben, wie du mit Daten umgehst und deine Nutzer davon informierst.

1. Datenmapping 

Der erste Schritt ist es, den Transfer der Daten abzubilden. Du solltest wissen, an welcher Stelle in deiner App du Daten deiner Nutzer empfängst. Wo genau bekommst du sie her? Und wo landen die Daten am Ende? Sei dir bewusst, dass du deinen Nutzern erklären musst, warum du deren Daten beziehst.

2. Sicherheit

Die Sicherheit deiner App ist eine Grundvoraussetzung für GDPR. Die Daten, die durch deine App gesammelt werden müssen absolut sicher sein. Abhängig von der Art der Daten, die du erhebst könnte es sogar sein, dass du ein sogenanntes Data Protection Impact Assessment (DPIA) durchführen musst. Jedoch sollte dies nicht viele mobile Anwendungen betreffen, da die DPIA nur verpflichtend im Falle eines hohen Risikos für die Nutzerrechte ist.

Es ist wichtig sicherzustellen, dass die App die GDPR Anforderungen erfüllt und jegliche Schwachstellen zu identifizieren, die erweiterten Schutz bedingen.

3. Privacy by design – eingebauter Datenschutz 

Wie auch schon in den Zeiten vor der GDPR, werden die Nutzer deiner App den Allgemeinen Geschäftsbedingungen zustimmen müssen. Obwohl sie das gesamte Dokument lesen sollten, wissen wir zu gut, dass nur wenige das jemals tun. In diesem Schritt solltest du überprüfen, ob deine AGB der aktuellen GDPR Gesetzgebung entsprechen. Logischerweise trifft dies genauso auf die Datenschutzrichtlinien zu, aber nun musst du erklären:

• Welche Informationen du erhebst;
• Warum du sie sammelst;
• Wie diese verwaltet, gelöscht, aktualisiert und vom User exportiert werden können.

In deiner App wirst du jedes Mal, wenn du die Daten deiner User nutzt, deren Zustimmung erfragen müssen. Wie oben bereits erwähnt, sollten sie dazu in der Lage sein, jeder Zeit Zugang zu den Daten zu haben und diese kontrollieren zu können.

Das Konzept der Privacy by Design hat zum Ziel, die Sammlung von Daten zu minimieren und erfordert die Erlaubnis der Nutzer zur Datenverarbeitung.

4. Recht auf Löschung 

Wie im vorherigen Abschnitt erklärt, sollten die Nutzer die Möglichkeit haben, ihre Daten verwalten zu können. Dank des sogenannten Rechts auf Löschung oder Rechts auf Vergessenwerden können Nutzer die gesammelten Daten einsehen, verändern und löschen. Die gelöschten Daten können nicht noch einmal zugänglich gemacht und auch kein Backup erstellt werden – ausnahmslos. Jedoch ist dieses Recht nicht allgemeingültig und findet nur unter bestimmten Bedingungen Anwendung.

5. Extraterritorialität 

Die GDPR für mobile Apps trifft auch auf Unternehmen außerhalb der Europäischen Union zu. Im Fall, dass ein Unternehmen ein Produkt oder eine Dienstleistung in der EU anbietet oder Daten von EU Bürgern kontrolliert, muss die Verordnung eingehalten werden, egal von wo aus du arbeitest. Online-Marktplätze, cloud-basierte Apps und andere Apps für den internationalen Markt werden davon mit großer Wahrscheinlichkeit betroffen sein.

Fazit

Hast du bereits eine App entwickelt, ist es wichtig so schnell wie möglich alle notwendigen Änderungen vorzunehmen. Die Geldstrafen für einen Verstoß gegen die GDPR können 4% deines Jahresumsatzes ausmachen und dich bis zu 20 Millionen € kosten. Willst du eine App erstellen und bist gerade dabei, dein mobile App Projekt zu definieren, werden die neuen Verordnungen einer der fundamentalen Aspekte deines Projektes sein. Unterschätze die Bedeutung der GDPR für mobile Apps nicht, da eine Nichtbeachtung wohl eher den Untergang deiner App – und deines Business – als den Aufstieg bedeutet.