Auf die Technik, fertig, los!

Um den Datenschutzvorschriften Genüge zu leisten, muss sowohl dem sogenannten Privacy-by-Design-Prinzip (technische Datensparsamkeit) als auch dem Privacy-by-Default-Grundsatz (datenschutzfreundliche Voreinstellungen) Rechnung getragen werden. Dazu gilt es, passende Mittel wie etwa Pseudonymisierung, Verschlüsselung und Anonymisierung der IP-Adresse für die Verarbeitung personenbezogener Daten zu ergreifen. Hinzu kommt die technische Umsetzung des Widerspruchrechts. Insbesondere, wenn eine Vielzahl von Zustimmungen einzuholen ist, benötigt die App passende Privatsphäre-Einstellungen, die es Usern erlauben, ihre Einwilligung einzusehen und gegebenenfalls zurückzuziehen. Hier sollte ein System implementiert sein, das die Wahrung der Nutzerrechte auf Auskunft, Löschung, Berichtigung und Datenübertragbarkeit gewährleistet. Datensparsamkeit kann als Grundsatz in den Hintergrund treten, wenn die Datenhoheit für den Kunden sichergestellt werden kann – etwa dann, wenn User, bevor sie bestimmte Features nutzen wollen, eine kurze Erklärung bekommen und um ihr O.K. gebeten werden.

Darüber hinaus ist sicherzustellen, dass in einer Datenschutzerklärung alle erhobenen Informationen gelistet sind. In der Praxis wird dazu häufig auf eine Website verlinkt. Eine solche Verknüpfung kann allerdings dafür sorgen, dass so mancher Hinweis über die relevanten Prozesse unvollständig abgebildet wird. Daher ist es ratsam, eine eigens auf die mobile Software abgestimmte Datenschutzerklärung zu erstellen. Im Idealfall ist diese in der App nicht nur leicht auffindbar, sondern bereits vor der Installation im Store einsehbar. Hierbei werden häufig externe Services sowie im Rahmen der Programmierung oder des Betriebs eingesetzte Tools vergessen. Dies kann weitreichende Folgen nach sich ziehen, wenn beispielsweise ein Service nicht den EU-Richtlinien und den DSGVO-Anforderungen genügt.

Mittel als Zweck behandeln?

Vor allem, wenn es darum geht, durch die eigene App Kunden(-vertrauen) zu gewinnen und enge Beziehungen aufzubauen, ist ein gewissenhafter, professioneller Umgang mit Nutzerinformationen unerlässlich. Aufdringliche Anbieter oder indirekter Zwang zur Einwilligung, etwa durch verweigerte Funktionen, bewirken eher das Gegenteil. Neben empfindlichen Geldbußen riskieren Unternehmen auch die Abwanderung ihrer Kunden zur Konkurrenz. Manche zeigen sich vielleicht sogar in einschlägigen, öffentlichen Onlineportalen enttäuscht und hinterlassen negative Bewertungen. Unternehmen, die mit Datensicherheit leichtfertig umgehen, können so den eigenen Ruf nachhaltig beschädigen. Entsprechend sollte jede datenschutzkonforme App auch so voreingestellt sein, dass sie nur solche Informationen erhebt und verarbeitet, die für eine einwandfreie Nutzung tatsächlich notwendig sind. Es gilt der Zweckbindungsgrundsatz. Daher gilt es in diesem Zusammenhang die Verwendung personenbezogener Daten auf ein Mindestmaß zu reduzieren. Für eine Bestellung über einen virtuellen Marktplatz mögen beispielsweise Adresse, E-Mail und Telefonnummer relevant sein, nicht aber der Zugriff auf den Fotospeicher des Smartphones oder das Mikrofon. Alles, was darüber hinausgeht, braucht eine separate Einverständniserklärung mit passender Opt-out-Möglichkeit. Das trifft nicht zuletzt auf das Tracking des Nutzerverhaltens zu – vor allem, wenn die gewonnenen Daten an Drittanbieter weitergeleitet werden.
 

Zur Ausgabe