/ APP-DATENSCHUTZ

 

DATENSCHUTZ BEI APPS...

Die stetig zunehmende Allgegenwärtigkeit von IT im sozialen wie beruflichen Alltag wird wesentlich durch zwei Faktoren getrieben: Die weiter fortschreitende Migration zu mobilen Endgeräten und die gleichzeitige Virtualisierung von Datenverarbeitungsumgebungen in der Cloud. Aufgrund des stetig voranschreitenden Ausbaus der Cloud-Infrastruktur wird für das Jahr 2015 bereits ein weiterer Wachstumsschub vorausgesagt.

… there’s no App for that.

 

Durch Apps auf smartphones und tablets und deren Anschluss an die Cloud vereinen sich Mobilität, Funktionalität und ständige Datenverfügbarkeit. Apps sind inzwischen zu einem ständigen Begleiter jedes Besitzers mobiler Endgeräte geworden und damit eines Großteils der Deutschen unterschiedlichsten Alters. Dass damit große datenschutzrechtliche Herausforderungen einhergehen, ist schon fast selbsterklärend. Ein beliebtes Beispiel ist die Möglichkeit der Erstellung umfassender Bewegungsprofile mittels der Ortungsmöglichkeiten des smartphones. Nur gilt bei der datenschutzkonformen Entwicklung von Apps das Gegenteil dessen, was sich schon fast zum geflügelten Wort einer ganzen Generation gemausert hat: There’s no App for that.  

 

fachabteilungen: Der schlüssel zum erfolg – pre alpha-Datenschutz

 

MAGELLAN verfolgt in der Beratungspraxis bei Apps erfolgreich ein Konzept, dass wir pre-alpha-Datenschutz nennen. Die datenschutzrechtliche Begleitung durch sämtliche Entwicklungszyklen der Software, bei der im Stadium der beta-Version die wesentlichen datenschutzrechtlichen Anforderungen implementiert sind. Dabei orientieren wir uns konsequent an den Bedürfnissen des späteren Nutzers als auch an dem mit der App verfolgten Geschäftsmodell. Ziel ist stets die erfolgreiche Synergie zwischen usability, return on investment und ausreichender Berücksichtigung datenschutzrechtlicher Anforderungen.

Oftmals wird verkannt, dass Datenschutz zwar teils „ungelenk“, seine Anforderungen komplex und deren Implementierung herausfordernd sein kann, dies alles aber keineswegs ein Entwicklungshindernis für innovative Softwareprodukte sein muss. Aus Erfahrung wissen wir, dass vielmehr das Verständnis für die Feinheiten des Datenschutzes mit technischem Sachverstand gepaart und die dynamische Komponente innovativer Softwareentwicklung mit einem ebenso dynamischen und kreativen Beratungsansatz einhergehen muss. Selbstverständlich kann eine App auch erst dann datenschutzrechtlich geprüft werden, wenn die Entwicklung bereits im Wesentlichen abgeschlossen ist. Andererseits: Es würde auch niemand auf die Idee kommen ein Auto zu entwickeln und dessen Verkehrssicherheit erst zu prüfen, nachdem die Produktion bereits begonnen hat.

 

Legal: Der Düsseldorfer Kreis gibt die Richtung vor.

 

Vor kurzem hat der Düsseldorfer Kreis eine Orientierungshilfe zu den Datenschutzanforderungen bei der Entwicklung und dem Angebot von Apps veröffentlicht. Dabei handelt es sich um einen guten Überblick zu einigen wesentlichen datenschutzrechtlichen Herausforderungen. Zugleich muss aber natürlich berücksichtigt werden, dass die Funktionalitäten und Gestaltung jeder App zugleich auch sehr spezifische datenschutzrechtliche Anforderungen auslösen. Auch der Düsseldorfer Kreis rät daher zu einer datenschutzgerechten Gestaltung in der Entstehungs- und Entwicklungsphase der App. An einigen Beispielen lassen sich die Herausforderungen des Datenschutzes nachzeichnen.

Stichwort Verantwortlichkeiten. Oftmals lagern die Anbieter von Apps deren Entwicklung als auch deren Betrieb an externe Dienstleister aus. Bei einer externen Entwicklung der App ist dennoch der Anbieter die datenschutzrechtlich verantwortliche Stelle. Zugleich können selbstverständlich gegenüber dem Entwickler Haftungs- bzw. Gewährleistungsansprüche entstehen, soweit er sich nicht an die datenschutzrechtlichen Vorgaben des Anbieters hält. Im Übrigen handelt es sich bei vielen externen Dienstleistungen für App-Anbieter um Fälle der Auftragsdatenverarbeitung bei denen ebenfalls weiterhin der Anbieter verantwortliche Stelle bleibt. Dies gilt beispielsweise beim Betrieb der App über externe Server oder bei der Bereitstellung von Speicherplatz und Rechenspeicher für den App-Betrieb durch Cloud-Anbieter.

Stichwort personenbezogene Daten. Bei jeder App ist in einem frühen Entwicklungsstadium zu entscheiden, im Rahmen welcher Funktionalitäten welche Arten personenbezogener Daten verarbeitet werden. Geräte- und Kartenkennungen (z.B. IMEI, IMSI) ebenso wie Standort- oder Nutzungsdaten sind nur einige Beispiele für Daten mit Personenbezug. Der Umfang der Datenverarbeitung entscheidet maßgeblich über Art und Umfang der der datenschutzrechtlichen Pflichten und Anforderungen an die Entwicklung. Eine unzureichende Bestandsaufnahme kann aufwändige und vor allem vermeidbare change requests zur Folge haben und zu zeitlichen und kostenträchtigen Einbußen bei der Entwicklung führen.  

Stichwort technischer Datenschutz beim Server-Backend. In der App-Entwicklung müssen in verschiedenen Zusammenhängen technisch-organisatorische Maßnahmen zum Datenschutz berücksichtigt werden. Dies gilt client- wie serverseitig. Die am Betrieb der App beteiligten Server (und gegebenenfalls Cloud-Dienste) müssen beispielsweise ausreichend gegen Bedrohungen abgesichert sein, wobei der Schutzumfang vergleichbar mit dem bei Web-Applikationen ausgestaltet sein muss. Dies beinhaltet unter anderem den Ausschluss unbefugten Datenzugriffs über Objektreferenzen oder mittels Injection-Angriffen.   

Jede App ist ein Unikat, dementsprechend sind auch die Anforderungen an den Datenschutz bei der Entwicklung jeder App unterschiedlich. Pre-Alpha Datenschutz ist der beste Garant für eine datenschutzkonforme Entwicklung innovativer mobiler Applikationen.

 

Innovation und Datenschutz sind keine Gegensätze. Schalten Sie uns ein!

 

Auf dem Weg in das Internet der Dinge ist es höchste Zeit, dass das vielbeschworene Mantra des „privacy by design“ gelebt anstatt nur gepredigt wird. Es gibt Wege und Lösungen, durch die sich innovative Produkte und Nutzerdatenschutz gewinnbringend verbinden lassen. Ihre App könnte es sein: „The next big thing“. Mit Datenschutz der sich sehen lassen kann.