28.06.2021 | IT-Recht und Datenschutz
„Drum prüfe, wer sich ewig bindet“
Möchte man eine App langfristig gewinnbringend in der eigenen Organisation einsetzen, ohne im Nachhinein unliebsame Überraschungen zu erleben, so muss die einzusetzende App im Vorfeld geprüft werden. Insbesondere datenschutzrechtliche Aspekte sind dabei zu beachten.
Am besten kann diese Prüfung durch eine frühzeitige Zusammenarbeit mit dem Datenschutzbeauftragten erfolgen. Gibt es keinen Datenschutzbeauftragten, so sollte externe Expertise eingeholt werden.
Rechtsgrundlage
Um die Datenverarbeitung über die App zu rechtfertigen, bedarf es zunächst einer Rechtsgrundlage. Für den Einzelfall ist zu prüfen, welche Erlaubnisgrundlage einschlägig sein kann. Bei der Prüfung muss berücksichtigt werden, welche Daten die einzusetzende App zu welchem Zweck verarbeitet. Der beabsichtigte Einsatzzweck der App muss von der Rechtsgrundlage gedeckt sein. Gleiches gilt für die jeweiligen durch die App vorgenommenen Datenverarbeitungen.
Rechtsgrundlagen, welche häufig als Rechtfertigung in Frage kommen, sind:
- Einwilligung der Nutzer
- Betriebs- oder Dienstvereinbarungen
- § 26 Abs. 1 BDSG oder vergleichbare landesgesetzliche Normen für Beamte und Beschäftigte im öffentlichen Dienst
- Interessenabwägung, Art. 6 Abs. 1 S. 1 lit. f) DSGVO
Datenminimierung
Ebenfalls von zentraler Bedeutung ist der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO. Aus diesem Grundsatz folgt, dass die App nur solche personenbezogenen Daten verarbeiten darf, welche für den von der Rechtsgrundlage gedeckten Zweck erforderlich sind.
Bei einer App ist zu prüfen, ob und in welchem Umfang folgende Datenverarbeitungen erfolgen:
- Bestandsdaten (z.B. Name, Adresse)
- Nutzungsdaten (z.B. GPS-Daten)
- Verarbeitete Daten bei der Registrierung
- Geräte- oder betriebsbezogene Daten (z.B. IMEI, IMSI)
- Besondere Arten von personenbezogenen Daten (z.B. Gesundheitsdaten)
- Verarbeitete Daten beim Logging, sofern ein Logging erfolgt
Dabei muss ermittelt werden, welche Daten jeweils verarbeitet werden und zu welchem Zweck dies erfolgt.
Berechtigungen
Bei dem Einsatz einer App spielen Berechtigungen unter zwei verschiedenen Gesichtspunkten eine Rolle. Einerseits, wie innerhalb der Organisation die Berechtigungen vergeben werden. Andererseits im Hinblick auf die Berechtigungen, welche die App selbst abfragt.
a) Berechtigungen innerhalb der Organisation
Die App muss einerseits in der Lage sein, das innerhalb der Organisation vorgesehene Rollen- und Berechtigungskonzept zu realisieren. Sieht das Konzept z.B. vor, dass Nutzer jeweils unterschiedliche Berechtigungen erhalten sollen, so muss die App die verschiedenen Rollen und entsprechend differenzierte Berechtigungen abbilden können.
Gemäß dem sog. „Need-to-know-Prinzip“ dürfen nur diejenigen Personen Lese- und Zugriffsrechte auf die verarbeiteten Daten erhalten, welche diese zur Erfüllung ihrer übertragenen Aufgaben benötigen.
b) Berechtigungen der App
Im Hinblick auf die Berechtigungen der App, sind folgende Punkte zu klären:
- Welche Berechtigungen auf dem Gerät erhält die App?
- Fordert die App nur Berechtigungen ein, welche entsprechend dem Einsatzzweck zwingend notwendig sind?
- Ist sichergestellt, dass personenbezogene Daten von Unbeteiligten nicht verarbeitet werden?
- Werden Nutzer nach ihrer Erlaubnis gefragt, wo dies erforderlich ist (z.B. GPS-Daten)?
Tracking
Heutzutage gibt es Möglichkeiten, die es Anbietern von Apps ermöglichen, das Verhalten der Nutzer auf Schritt und Tritt zu verfolgen. In den seltensten Fällen wird ein berechtigtes Interesse begründbar sein, die Nutzer der App derart zu überwachen.
Daneben besteht die Gefahr, dass Organisationen ohne ihr Wissen im Rahmen des Trackings Dienst-/Geschäftsgeheimnisse offenbaren. Folgende Aspekte sollten geklärt werden:
- Erfolgt ein Tracking?
- Wer nutzt die Tracking-Technologie?
- Sind ausreichende Informationen in den Datenschutzbestimmungen über das Tracking vorhanden?
- Welche Rechtsgrundlage dient für das Tracking?
- Werden die Nutzer nach ihrer Einwilligung gefragt?
- Ist es für Nutzer möglich, erteilte Einwilligungen jederzeit einfach zu widerrufen?
- Werden personenbezogene Tracking-Daten anonymisiert?
Übermittlung der Daten an Dritte
Eine App kann sich schneller als gedacht als eine Datenschleuder entpuppen. Denn eine App kann die gesammelten Daten ebenfalls gegenüber Dritten offenlegen. Damit die Organisation weiterhin die Herrschaftsmacht über ihre Daten behält, sind folgende Punkte zu untersuchen:
- Werden personenbezogene Daten vom Gerät an Dritte übermittelt?
- An wen und zu welchen Zwecken werden die personenbezogenen Daten übermittelt?
- Welche Rechtsgrundlage wird für die Übermittlung herangezogen?
- Werden die Daten außerhalb des Europäischen Wirtschaftsraums übermittelt?
- Wenn ja: Liegen hinreichende Datenschutzgarantien für eine Übermittlung in ein Drittland vor (z.B. Angemessenheitsbeschluss)?
Eine Freigabe der App für den Einsatz kommt erst in Frage, wenn sämtliche Datenübermittlungen überprüft wurden.
Integrität und Vertraulichkeit
Gemäß dem Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f) DSGVO, müssen die über die App verarbeiteten Daten durch geeignete technische und organisatorische Maßnahmen („TOM“) geschützt werden. Die Angemessenheit dieser Maßnahmen muss überprüft werden. Bei der Prüfung kann man sich gut an dem OWASP Mobile Application Verification Standard (MASVS) und dem OWASP Mobile Security Testing Guide orientieren, welche speziell auf Apps zugeschnittene Anforderungen auflisten.
Speicherdauer und Löschung der Daten
Über die App verarbeitete personenbezogene Daten dürfen nicht länger gespeichert werden, als dies für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Ist nach diesem Kriterium eine Speicherung nicht mehr erforderlich, so sind die Daten zu löschen, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
Die App muss automatisch festgelegte Löschregeln abbilden und ggf. geltende Aufbewahrungsfristen berücksichtigen. Von einer manuellen Löschung ist abzuraten, da diese, je nach Datenmenge, sehr zeitintensiv und zudem anfällig für Fehler sein kann.
Zudem müssen die Daten rückstandslos gelöscht werden können. Hierfür ist die Kenntnis der Speicherorte notwendig. Deshalb sollten folgende Aspekte überprüft werden:
- Wo werden die Daten jeweils gespeichert (z.B. lokal auf dem Gerät, Servern, zusätzlichen Speichermedien)?
- Welche Daten werden jeweils in den identifizierten Speicherorten gespeichert?
- Ist eine Cloud an das Gerät/die App angebunden, in der die Daten gespeichert werden?
- Ist es möglich, die Daten gemäß eigener Löschregeln zu löschen?
Datenschutzrechtliche Beziehung zum App-Anbieter
Zudem muss überprüft werden, in welcher datenschutzrechtlichen Beziehung die eigene Organisation zu dem App-Anbieter steht. Denkbar sind folgende Fälle:
- Der Anbieter ist Auftragsverarbeiter, Art. 28 DSGVO.
- Die Organisation und der Anbieter sind gemeinsame Verantwortliche, Art.26 DSGVO.
- Die Organisation und der Anbieter sind jeweils getrennt Verantwortliche.
Das Ergebnis der Prüfung bestimmt darüber, ob und ggf. welche datenschutzrechtlichen Vereinbarungen mit dem Anbieter geschlossen werden muss.