App-solut datenschutzkonform
Worauf es in Sachen Technik ankommt

In Sachen App-Nutzung stellt Deutschland jedes Jahr neue Rekorde auf. Auch zahlreiche Unternehmen nutzen sie zur Kundenbindung, als Kommunikationstool oder um Informationen zu bündeln. Datenschutz spielt dabei eine zentrale Rolle.
Egal ob Spiele, Lernprogramme oder Büroanwendung: Apps boomen. Vor allem in der Corona- Krise haben viele Menschen zusätzliche Zeit an ihren Smartphones und Tablets verbracht und Neues ausprobiert. Das zeigt auch eine aktuelle Studie des Branchenverbandes Bitkom1: 2021 wurden allein in Deutschland 3,3 Milliarden Apps heruntergeladen, was dazu führt, dass sich die App-Umsätze seit 2019 fast verdoppelt haben. Kein Wunder, dass zahlreiche Firmen, Interessengruppen und sogar die öffentliche Hand mit eigenen Tools und Anwendungen auf diese Welle aufspringen. Schließlich lässt sich so potenziell nicht nur der Umsatz steigern, sondern auch bestehende Kunden, Mitarbeiter und Geschäftspartner können aktiviert werden. Und mehr noch: Dank Homeoffice, New-Work-Konzepten und digitaler Transformation beeinflussen native, mobile Anwendungssoftwares auch Abläufe in der Geschäftswelt. Von der Erleichterung des Workflows bis hin zur Erschließung neuer Vertriebs- und Kommunikationswege ist prinzipiell alles möglich, vorausgesetzt die App beachtet geltende Datenschutzregeln und wirksame Einwilligungen.
Big Data und Big Regulation
Im Bereich Datensicherheit hat sich in den letzten Jahren so einiges getan. Zum Schutz personenbezogener Informationen in der digitalen Welt müssen neben DSGVO und ePrivacy-Richtlinie seit 1. Dezember 2021 auch die neuen TTDSG-Regelungen berücksichtigt werden. Betroffen sind davon nicht nur global agierende Konzerne wie Meta Platforms Inc. oder Alphabet Inc., sondern „jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt“ (§ 2 Abs. 2 Nr. 1 TTDSG). Da der Begriff Telemedien sehr weit gefasst wurde, schließt das beispielsweise auch sämtliche Unternehmen und öffentliche Stellen ein, die eine eigene Website oder eine App anbieten. In der Praxis bedeutet das: Um Nutzer zu schützen und den neuen Informationspflichten Rechnung zu tragen, sollten bereits in der Entwicklungsphase kritische Schwachstellen in der technischen Gestaltung und in den Voreinstellungen vermieden werden.

©Designed by Freepik_www.freepik.com
Auf die Technik, fertig, los!
Um den Datenschutzvorschriften Genüge zu leisten, muss sowohl dem sogenannten Privacy-by-Design-Prinzip (technische Datensparsamkeit) als auch dem Privacy-by-Default-Grundsatz (datenschutzfreundliche Voreinstellungen) Rechnung getragen werden. Dazu gilt es, passende Mittel wie etwa Pseudonymisierung, Verschlüsselung und Anonymisierung der IP-Adresse für die Verarbeitung personenbezogener Daten zu ergreifen. Hinzu kommt die technische Umsetzung des Widerspruchrechts. Insbesondere, wenn eine Vielzahl von Zustimmungen einzuholen ist, benötigt die App passende Privatsphäre-Einstellungen, die es Usern erlauben, ihre Einwilligung einzusehen und gegebenenfalls zurückzuziehen. Hier sollte ein System implementiert sein, das die Wahrung der Nutzerrechte auf Auskunft, Löschung, Berichtigung und Datenübertragbarkeit gewährleistet. Datensparsamkeit kann als Grundsatz in den Hintergrund treten, wenn die Datenhoheit für den Kunden sichergestellt werden kann – etwa dann, wenn User, bevor sie bestimmte Features nutzen wollen, eine kurze Erklärung bekommen und um ihr O.K. gebeten werden.
Darüber hinaus ist sicherzustellen, dass in einer Datenschutzerklärung alle erhobenen Informationen gelistet sind. In der Praxis wird dazu häufig auf eine Website verlinkt. Eine solche Verknüpfung kann allerdings dafür sorgen, dass so mancher Hinweis über die relevanten Prozesse unvollständig abgebildet wird. Daher ist es ratsam, eine eigens auf die mobile Software abgestimmte Datenschutzerklärung zu erstellen. Im Idealfall ist diese in der App nicht nur leicht auffindbar, sondern bereits vor der Installation im Store einsehbar. Hierbei werden häufig externe Services sowie im Rahmen der Programmierung oder des Betriebs eingesetzte Tools vergessen. Dies kann weitreichende Folgen nach sich ziehen, wenn beispielsweise ein Service nicht den EU-Richtlinien und den DSGVO-Anforderungen genügt.

©Designed by Freepik_www.freepik.com
Mittel als Zweck behandeln?
Vor allem, wenn es darum geht, durch die eigene App Kunden(-vertrauen) zu gewinnen und enge Beziehungen aufzubauen, ist ein gewissenhafter, professioneller Umgang mit Nutzerinformationen unerlässlich. Aufdringliche Anbieter oder indirekter Zwang zur Einwilligung, etwa durch verweigerte Funktionen, bewirken eher das Gegenteil. Neben empfindlichen Geldbußen riskieren Unternehmen auch die Abwanderung ihrer Kunden zur Konkurrenz. Manche zeigen sich vielleicht sogar in einschlägigen, öffentlichen Onlineportalen enttäuscht und hinterlassen negative Bewertungen. Unternehmen, die mit Datensicherheit leichtfertig umgehen, können so den eigenen Ruf nachhaltig beschädigen. Entsprechend sollte jede datenschutzkonforme App auch so voreingestellt sein, dass sie nur solche Informationen erhebt und verarbeitet, die für eine einwandfreie Nutzung tatsächlich notwendig sind. Es gilt der Zweckbindungsgrundsatz. Daher gilt es in diesem Zusammenhang die Verwendung personenbezogener Daten auf ein Mindestmaß zu reduzieren. Für eine Bestellung über einen virtuellen Marktplatz mögen beispielsweise Adresse, E-Mail und Telefonnummer relevant sein, nicht aber der Zugriff auf den Fotospeicher des Smartphones oder das Mikrofon. Alles, was darüber hinausgeht, braucht eine separate Einverständniserklärung mit passender Opt-out-Möglichkeit. Das trifft nicht zuletzt auf das Tracking des Nutzerverhaltens zu – vor allem, wenn die gewonnenen Daten an Drittanbieter weitergeleitet werden.
Hinter Schloss und Riegel
In der Ära der Dezentralität nehmen Apps auch in der Unternehmenskommunikation eine immer größere Bedeutung ein. Bei einem digitalen Workplace fungieren sie etwa als Plattform, die Bereiche wie Sales, Service und Produktion miteinander verbindet. Daneben profitieren auch Lagerverwaltung, Logistik und HR vom App-Einsatz. Selbst im Bereich Mitarbeiterkommunikation tragen mobile Applikationen zu einer positiven, zeitgemäßen Unternehmenskultur und damit zur Zufriedenheit der Angestellten bei. Schließlich erleichtern sie nicht nur das Onboarding, sondern auch Fortbildungen, Feedback und regelmäßigen Austausch. Selbst Prozesse wie Urlaubsanträge oder Krankmeldungen können über entsprechende Apps angestoßen werden.
Trotz aller Fokussierung, Simplifizierung und Optimierung darf dabei das Thema Sicherheit nicht zu kurz kommen. Um sensible Informationen wie Kontaktdaten, Aufenthaltsorte oder sogar Krankmeldungen zu schützen, gilt es auf eine Ende-zu-Ende-Verschlüsselung zu setzen. Sie garantiert, dass sich übermittelte Daten nur codiert auf den Weg zum Empfänger machen. Insbesondere bei dieser Art von Apps sollte daneben darauf geachtet werden, dass kein User-Tracking und Profiling des Smartphones erstellt wird. Damit keine persönlichen Daten von Mitarbeitern benötigt werden, bietet sich zudem eine Authentifizierung via Active Directory an. Eine abgesicherte Kamera-Funktion sorgt darüber hinaus dafür, dass die innerhalb der App aufgenommenen Bilder nicht in der Galerie des Smartphones abgespeichert werden. Steht der Server für diese Softwarelösungen zudem noch in der Europäischen Union, sind die Daten auch vor Zugriffen und Abfragen etwa aus den USA gesichert.

Autor
Andreas Köninger
Vorstand der SinkaCom AG
Als Vorstand der SinkaCom AG, einem spezialisierten Digitalisierungsmacher für mittelständische Unternehmen, beschäftigt er sich mit den Businesszielen seiner Kunden. Auf Basis moderner Softwareangebote und seiner langjährigen Erfahrung in Strategie, Konzeption, Geschäftsprozessen und Zahlungsverkehr/ Banking entwickelt er mit agilen Werkzeugen und Methoden pragmatisch individuelle Lösungen für interne und externe Anforderungen.
www.sinkacom.de
kontakt(at)sinkacom.de
https://twitter.com/sinkacom_ag
https://de.linkedin.com/in/andreaskoeninger