Zum Inhalt springen Zur Navigation springen
Datenschutzerklärung in Apps – Inhalt, Form und Muster

Datenschutzerklärung in Apps – Inhalt, Form und Muster

Artikel von Dr. Datenschutz·17. Juli 2014

App-Anbieter müssen dem Nutzer einen Datenschutzhinweis zur Verfügung stellen. Viele App-Anbieter machen es sich leicht und nutzen den Text der Datenschutzerklärung ihrer Webseite oder verlinken lediglich auf die Datenschutzhinweise. So einfach ist es allerdings nicht, denn die Besonderheiten einer App werden hierbei nicht ausreichend berücksichtigt.

Was muss in einer App-Datenschutzerklärung stehen?

Bei der Installation einer App werden vom Nutzer Berechtigungen eingeholt. Über diese ist ein Zugriff über Schnittstellen auf Funktionen und Inhalte des Gerätes möglich. Beim Besuch einer Webseite ist ein Zugriff auf das Gerät gerade nicht möglich, daher besteht die Notwendigkeit einer eigenen Datenschutzerklärung für die App.

Der Nutzer in der Datenschutzerklärung über folgendes umfassend aufgeklärt werden:

  • Kontaktdaten des Anbieters
  • Beschreibung der Datenarten, die von der App erhoben werden (Zugriffsrechte)
  • Erklärung des Zwecks für die diese Daten erhoben werden
  • Speicherdauer
  • Information über Übermittlung an Dritte und deren Zweck
  • Datum der Erstellung

android-rechtevergabeBei der Installation einer Android App wird der Nutzer zwar über die benötigten Zugriffe informiert. Dies reicht jedoch nicht zur Erfüllung des Grundsatzes der Transparenz aus. Beim Lesen der Datenschutzerklärung muss dem Nutzer deutlich werden, für welchen Zweck welcher Zugriff benötigt wird.

Muster Formulierung

Der alleinige Hinweis auf den Zugriff auf den Standort des Gerätes ist z. B. nicht ausreichend. Der Datenschutzerklärung müsste darüber hinaus zu entnehmen sein, wofür die Standortdaten genutzt und ob und wie lange diese gespeichert werden. Falls  zudem Übermittlungen an Dritte erfolgt, müssen diese genannt werden und der Zweck der Übermittlung erläutert werden.

Eine Muster-Formulierung zum Zugriff auf den Standort des Gerätes könnte z. B. so aussehen:

Standortdaten

Wir benötigen den Zugriff auf den Standort Ihres Gerätes. Bei einer Anfrage erheben wir Ihren aktuellen Standort über GPS, um Ihnen schnell Informationen zu Ihrer unmittelbaren Umgebung geben zu können. Daten zu Ihrem Standort werden nur für die Bearbeitung Ihrer Anfrage genutzt. Die Übertragung Ihrer Standortdaten erfolgt über eine verschlüsselte Verbindung. Ihre Standortdaten werden nach Beendigung Ihrer Anfrage anonymisiert und zur Verbesserung unseres Services statistisch ausgewertet.

Entsprechend Hinweise müssen für alle Zugriffe auf personenbezogene Daten in der Datenschutzerklärung formuliert werden.

Keine unnützen Berechtigungen

Bei der Einholung von Berechtigung ist zudem darauf zu achten, dass nur die erforderlichen Zugriffe angefordert werden. Teilweise ist die Berechtigungsvergabe nur in Gruppen möglich. Dies kann zur Anforderung einer Berechtigung führen, die für den App-Anbieter nutzlos ist. Werden zusätzliche (nutzlose) Berechtigungen eingeholt, muss der Anbieter aber über diesen Umstand aufklären und sich verpflichten, diese Berechtigung nicht zu nutzen.

Form der Datenschutzerklärung

Durch die zum Teil geringe Displaygröße der Geräte wird das Lesen von langen Texten erheblich erschwert. Trotzdem muss es für den Nutzer möglich sein, die Datenschutzerklärung ohne großen Aufwand lesen zu können. Zur leichteren Lesbarkeit ist es zu empfehlen mit Überschriften zu arbeiten und bei Klick sollte sich der Text auf- bzw. zuklappen.

Hinweis zu Nutzungsbeginn und jederzeitiger Abruf

Der Nutzer muss schon vor Beginn der Datenverwendung die Möglichkeit haben, die Datenschutzerklärung einzusehen. Um diese Pflicht zu erfüllen gibt es drei Möglichkeiten:

  • Bereitstellung der Datenschutzerklärung im App-Store,
  • Unterrichtung nach dem Herunterladen oder
  • unmittelbar vor dem ersten Start der App.

Danach muss die Datenschutzerklärung innerhalb der App jederzeit leicht abrufbar sein. Es reicht grundsätzlich ein Link zu der App-Datenschutzerklärung aus. Dieser sollte jedoch leicht auffindbar platziert werden, z. B. unter dem Stichpunkt: Info, Rechtliches oder eben direkt als Datenschutzhinweis. Werden jedoch auch offline Daten gesammelt und bei der nächsten Verbindung mit dem Internet automatisch an den Anbieter übermittelt, muss die Datenschutzerklärung in der App selbst hinterlegt und auch offline lesbar sein.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Welcher Text muss in der Datenschutzerklärung einer App angegeben werden, wenn überhaupt keine Daten erhoben werden?

  • Zunächst einmal vielen Dank, dass Sie hier die Möglichkeit bieten, Antworten auf Fragen zum weit reichenden Thema Datenschutz zu bekommen.
    Problembeschreibung: Eine Datenschutzerklärung nennt die Nutzung von Bestandsdaten nach § 14 Telemediengesetz, die zugrundeliegende App/Webseite nutzt aber in Wirklichkeit gar keine. Frage 1: Spricht aus rechtlicher Sicht etwas dagegen, die Datenschutzerklärung aus Sicherheitsgründen umfassender zu gestalten als nötig? Frage 2: In wie weit wäre eine falsche/ungenügende Formulierung z. B. über die Verarbeitung von Bestandsdaten abmahnfähig, wenn in Wirklichkeit gar keine Verarbeitung/Speicherung von Bestandsdaten stattfindet? Vielen Dank!

    • Nach Art. 12 DSGVO müssen die in der Datenschutzerklärung enthaltenen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Bei Informationen über eine Verarbeitung, die nicht stattfindet, dürfte man an der erforderlichen Transparenz zweifeln, da die Darstellung damit nicht richtig und irreführend ist. Die Datenschutzerklärung sollte sich daher nur auf die wirklich erfolgenden Datenverarbeitungen beschränken.

      Ob Verstöße gegen Pflichten der DSGVO überhaupt abmahnfähig sind, ist derzeit umstritten und noch nicht gerichtlich entschieden. Dazu gilt noch immer die Einschätzung aus dem Beitrag „DSGVO: Wenn jetzt wirklich Abmahnungen kommen“.

  • Hallo Zusammen, was ist, wenn die App zwar die Kamera nutzt und vielleicht auch Standort, aber überhaupt keine Daten an die Entwicklerin übermittelt? Lediglich der Google Play Store erhält Daten, eben im Moment des Herunterladens. Ansonsten werden die Daten nur von der App automatisch genutzt damit sie funktioniert (geht um Augmented Reality).

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.