Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an den Datenschutz und die Datensicherheit von Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Eine entscheidende Maßnahme, die im Rahmen der DSGVO eingeführt wurde, ist die Datenschutzfolgeabschätzung (DSFA), die eine systematische Untersuchung und Bewertung der Risiken für die Persönlichkeitsrechte und die informationelle Selbstbestimmung von betroffenen Personen vorsieht. Die DSFA ist insbesondere bei der Entwicklung und Nutzung von Apps von Bedeutung, da diese häufig Zugriff auf sensible Informationen wie Standortdaten oder Kommunikationsverläufe haben.

In diesem Blog-Beitrag zeigen wir Ihnen, welche Situationen die Durchführung einer Datenschutzfolgeabschätzung für Apps erfordern, wie der Umfang und die Vorgehensweise bei der Durchführung einer DSFA gestaltet werden sollten und welche rechtlichen Anforderungen zu beachten sind.

Inhaltsverzeichnis

Einleitung: Datenschutzfolgeabschätzung für Apps

Die fortschrittliche Entwicklung von Smartphone-, Tablet- und Web-Apps bringt einen erheblichen Mehrwert für das tägliche Leben von Millionen von Menschen. Diese Apps ermöglichen nicht nur den Zugriff auf Informationen, sondern bieten auch Möglichkeiten zur Kommunikation, Organisation und Unterhaltung. Doch neben diesen Vorteilen bestehen auch erhebliche Risiken für die Privatsphäre der Nutzer. Die fortwährende Sammlung, Verarbeitung und Analyse von personenbezogenen Daten, die durch die Nutzung von Apps entstehen, führt dazu, dass den Unternehmen, die diese Apps entwickeln, ein hohes Maß an Verantwortung übertragen wird.

Die DSGVO fordert Unternehmen auf, angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass personenbezogene Daten der EU-Bürger geschützt werden. Eine zentrale Anforderung, die hierbei von besonderer Bedeutung ist, ist die Durchführung einer Datenschutzfolgeabschätzung (DSFA). In diesem Artikel gehen wir darauf ein, welche Situationen die Durchführung einer DSFA erfordern, wie der Umfang und die Vorgehensweise der DSFA gestaltet werden sollten und welche rechtlichen Anforderungen zu beachten sind.

Erforderlichkeit einer DSFA

Die DSFA ist aufgrund von Artikel 35 DSGVO erforderlich, wenn bei der Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten ist. Dies ist insbesondere der Fall, wenn neue Technologien verwendet werden und umfangreiche oder systematische Überwachung von Personen erforderlich ist. Darunter fallen auch Anwendungen von Smartphone-, Tablet- und Web-Apps, die Zugriff auf personenbezogene Daten wie Standortdaten, Kommunikationsverläufe oder persönliche Kontakte haben.

Beispiele für Apps, bei denen eine DSFA erforderlich ist:

  • Apps zur Verfolgung von Fahrzeugen oder Personen in Echtzeit
  • Apps zur Standortermittlung bzw. Geolokalisierung
  • Apps zur Überwachung von Internetnutzung oder Kommunikation (z. B. Messenger-Dienste)
  • Apps, die gesundheitsbezogene Daten erfassen und verarbeiten (z. B. Fitness-Tracker)

Doch nicht nur bei großen App-Entwicklern oder internationalen Konzernen ist die DSFA relevant. Auch kleinere Unternehmen müssen sich der Anforderungen der DSGVO bewusst sein und entsprechend handeln.

Umfang der Datenschutzfolgeabschätzung für Apps

Bei der Durchführung einer DSFA sind verschiedene Aspekte zu berücksichtigen:

  • Beschreibung der geplanten Datenverarbeitung (Zweck, Umfang, betroffene Personenkreise, beteiligte Akteure)
  • Einschätzung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung (z. B. durch Prüfung alternativer Technologien oder Verfahren)
  • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (Datensicherheit, informationelle Selbstbestimmung, Persönlichkeitsrechte)
  • Maßnahmen zur Risikominderung (z. B. technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit, Informationspflichten, Notfallkonzepte)
  • Konsultation der Aufsichtsbehörde (sofern erforderlich) und Dokumentation der DSFA

Zur Untersuchung, Bewertung und Minderung von Risiken können verschiedene Vorgehensmodelle und Methoden eingesetzt werden, wie z. B. Risikoanalysen, Datenschutz-Folgeabschätzungen nach Standard-Datenschutzmodell oder Datenschutz-Management-Systeme (kurz DPMS). Im nächsten Abschnitt wollen wir die wesentlichen Schritte einer DSFA näher vorstellen.

Vorgehensweise bei der Durchführung einer Datenschutzfolgeabschätzung für Apps

Die Durchführung einer DSFA sollte in mehreren Phasen erfolgen, die jeweils auf die Anforderungen der DSGVO abgestimmt sind:

  1. Planung & Vorbereitung: In dieser Phase sollten die grundlegenden Fragen zum Umfang, den rechtlichen Grundlagen sowie den beteiligten Personen und Dienstleistern geklärt werden. Dies beinhaltet die Erstellung eines Projektplanes, die Absprache mit externen Datenschutzbeauftragten sowie die Sicherstellung der Ressourcen für die Durchführung der DSFA.
  2. Datenerhebung & -analyse: Ziel dieser Phase ist die systematische Erfassung und Analyse der personenbezogenen Daten, die im Rahmen der App-Nutzung verarbeitet werden sollen. Hierbei sollten die beteiligten Personenkreise identifiziert, der Zweck und die rechtliche Grundlage der Datenverarbeitung geklärt sowie vorhandene organisatorische und technische Datenschutzmaßnahmen erfasst werden.
  3. Risikobewertung: Im Rahmen der Risikobewertung werden die im Rahmen der Datenerhebung und -analyse ermittelten Informationen zur Identifikation von potenziellen Risiken und deren Bewertung genutzt. Hierbei sind die von der DSGVO geforderten Kriterien der Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten zu berücksichtigen. Außerdem sollten mögliche bestehende Schutzmaßnahmen in die Risikobewertung einbezogen werden.
  4. Risikominderung & Maßnahmenplanung: Basierend auf der Risikobewertung sollten geeignete Maßnahmen zur Risikominderung entwickelt und in einem Maßnahmenplan zusammengefasst werden. Dazu gehören beispielsweise technische und organisatorische Maßnahmen, Informationspflichten gegenüber den betroffenen Personen oder auch Notfallpläne für den Fall von Datenschutzverletzungen.
  5. Konsultation der Aufsichtsbehörde & Dokumentation: Sofern die DSFA eine Konsultation der Aufsichtsbehörde erfordert, sollte diese frühzeitig in die DSFA eingebunden werden. Die Ergebnisse der DSFA sowie die getroffenen Maßnahmen sollten umfassend dokumentiert werden, um im Zuge einer Prüfung durch die zuständige Aufsichtsbehörde nachweisen zu können, dass die DSFA ordnungsgemäß durchgeführt wurde.

Zu beachten ist, dass die DSFA nicht nur einmalig durchgeführt werden sollte, sondern kontinuierlich überprüft und aktualisiert werden muss, um Änderungen im laufenden Betrieb oder in der Datenverarbeitung zu berücksichtigen.

Zu beachtende rechtliche Normen

Bei der Durchführung einer DSFA sind insbesondere folgende rechtliche Vorschriften und Normen zu beachten:

  • Artikel 35 DSGVO: Datenschutz-Folgeabschätzung (DSFA)
  • Artikel 25 DSGVO: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Datenschutz by Design & by Default)
  • Artikel 32 DSGVO: Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten)
  • Erwägungsgrund 75 DSGVO: Kriterien für die Risikoabschätzung
  • Artikel 33 und Artikel 34 DSGVO: Meldepflichten bei Datenschutzverletzungen
  • Nationale Datenschutzgesetze: Zusätzliche Anforderungen und Regelungen auf nationaler Ebene, z. B. im Bundesdatenschutzgesetz (BDSG) oder im Telemediengesetz (TMG)

Des Weiteren gibt es zahlreiche Leitlinien und Empfehlungen von Datenschutz-Aufsichtsbehörden zur Durchführung der DSFA, die als Orientierung und Hilfestellung genutzt werden können.

FAQs zur Datenschutzfolgeabschätzung für Apps

Wir haben die Antworten auf die oft gestellten Fragen hier für Sie zusammengestellt.

Wann ist eine DSFA erforderlich?

Eine DSFA ist gemäß Artikel 35 DSGVO erforderlich, wenn bei der Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten ist. Insbesondere bei Einsatz neuer Technologien und bei umfangreicher oder systematischer Überwachung von Personen ist eine DSFA notwendig.

Wie wird der Umfang einer DSFA bestimmt?

Der Umfang der DSFA richtet sich nach den Anforderungen der DSGVO und berücksichtigt die Beschreibung der geplanten Datenverarbeitung, die Bewertung der Risiken sowie die Maßnahmen zur Risikominderung.

Welche Schritte sind bei der Durchführung einer DSFA zu beachten?

Eine DSFA sollte in mehreren Phasen erfolgen, die jeweils auf die Anforderungen der DSGVO abgestimmt sind: Planung & Vorbereitung, Datenerhebung & -analyse, Risikobewertung, Risikominderung & Maßnahmenplanung sowie Konsultation der Aufsichtsbehörde & Dokumentation.

Welche rechtlichen Normen sind bei der Durchführung einer DSFA zu beachten?

Es sind insbesondere Artikel 35, 25 und 32 DSGVO sowie Erwägungsgrund 75 DSGVO und die nationalen Datenschutzgesetze zu beachten. Darüber hinaus gibt es Leitlinien und Empfehlungen von Datenschutz-Aufsichtsbehörden zur Durchführung der DSFA.

Wieso ist eine DSFA auch für kleinere Unternehmen relevant?

Auch kleinere Unternehmen sind verpflichtet, die Anforderungen der DSGVO einzuhalten, wenn sie personenbezogene Daten von EU-Bürgern verarbeiten. Daher ist auch für sie die Durchführung einer DSFA relevant, um den Schutz dieser Daten zu gewährleisten.

Wie oft sollte eine DSFA überprüft und aktualisiert werden?

Eine DSFA sollte kontinuierlich überprüft und aktualisiert werden, um Änderungen im laufenden Betrieb oder in der Datenverarbeitung zu berücksichtigen. Eine einmalige Durchführung der DSFA ist somit nicht ausreichend.

Abschließende Worte zur Datenschutzfolgeabschätzung für Apps

Insgesamt stellt die Durchführung einer Datenschutzfolgeabschätzung eine essenzielle Verpflichtung für Unternehmen dar, die personenbezogene Daten (insbesondere im Rahmen der App-Nutzung) verarbeiten. Eine sorgfältige Beachtung der DSGVO-Anforderungen und die Berücksichtigung von Risiken und Schutzmaßnahmen können dazu beitragen, dass das Unternehmen die Rechte und Freiheiten der betroffenen Personen gewährleistet und mögliche Sanktionen oder Schadensersatzansprüche vermieden werden können.

Wir empfehlen Betreibern von mobilen Apps, die personenbezogene Daten verarbeiten, die Beratung durch spezialisierte Rechtsanwälte oder Datenschutzbeauftragte in Anspruch zu nehmen, um die Einhaltung der DSGVO zu gewährleisten und die erfolgreiche Durchführung einer Datenschutzfolgeabschätzung zu erreichen. Unsere Anwaltskanzlei steht Ihnen hierbei jederzeit gerne als kompetenter Partner zur Verfügung.

Unsere Rechtsanwälte stehen Ihnen bundesweit und im deutschsprachigen Ausland zur Verfügung.

Philipp Franz Rechtsanwalt

Philipp Franz | Rechtsanwalt | Associate

Anwalt Wolfgang Herfurtner Hamburg - Wirtschaftsrecht

Wolfgang Herfurtner | Rechtsanwalt | Geschäftsführer | Gesellschafter

Rechtsanwalt Arthur Wilms - Kanzlei Herfurtner

Arthur Wilms | Rechtsanwalt | Associate

Kundenbewertungen & Erfahrungen zu Herfurtner Rechtsanwälte. Mehr Infos anzeigen.

Aktuelle Beiträge aus dem Rechtsgebiet IT-Recht