Privacy by Design: 6 Gründe, warum auch Apps auf Datenschutz setzen sollten

„Privacy by Design ist das Zauberwort“, so eröffnete Sonia Carreno, Präsidentin des IAB Canada, das Gespräch bei Usercentrics regelmäßiger Diskussionsrunde Tech That Talks. In dieser Folge hatten wir unsere Gäste eingeladen, um über die Bedeutung von Datenschutzes im App-Ökosystem zu diskutieren.

Keine Frage, das Aufkommen offener mobiler Plattformen und die Überschneidung von Mobile und Web hat ein dynamisches Ökosystem geschaffen. Nutzer können persönliche Online-Profile erstellen, sich mit Communities vernetzen und auf innovative Anwendungen und Services zuzugreifen. Ein Fortschritt, den viele Menschen zu schätzen wissen, weil er ihnen das Leben leichter macht.

Weltweit gibt es 3,2 Milliarden iOS-Nutzer sowie über 2,5 Milliarden aktive Android-Nutzer. Ungefähr 88 % der Zeit auf Mobiltelefonen wird mit – ja, richtig – mobilen Apps verbracht.

Aber so großartig diese Entwicklung auf den ersten Blick scheint, offenbart sich der Preis für Komfort und Fortschritt erst auf den zweiten Blick. Denn: Viele der erwähnten Interaktionen fußen auf Echtzeitzugriff und der Nutzung persönlicher Daten. Und diese Daten werden von Anwendungen und Geräten oft noch an Unternehmen weltweit übertragen.

Eine nachhaltige Datenschutzstrategie ist besonders für Unternehmen wichtig, deren Geschäftsmodell zum größten Teil auf der Interaktion der Nutzer mit Apps aufbaut. Wenn App-Entwickler ein Tool wie z. B. ein In-App SDK einbetten, ist es ratsam Datenschutz schon zu Beginn der Entwicklung zu einer Priorität zu machen. Auf diese Weise können Einwilligungspräferenzen gesammelt, gespeichert und ggfs. datenschutzkonform an die entsprechenden Partner und Dienste weitergegeben werden.

Diese neue Art der Datenerhebung und -nutzung wirkt sich auf alle Bereiche eines Unternehmens aus. Alle Teams, von der Rechtsabteilung über die Produktentwicklung bis hin zur Marketing- und Analyse-Abteilung, ziehen bei der Umsetzung der Datenschutzstrategie im Idealfall an einem Strang.

Die Zeiten, in denen Datenschutz als lästiges Beiwerk betrachtet wurde, sind vorbei. Sie sind vielmehr Grundlage und Zukunft mobiler Anwendungen und deren Werbeformen. App-Betreiber, die nicht nur Wert auf eine gute Benutzererfahrung legen, sondern auch an Reichweite zulegen wollen, verschaffen sich so zukünftig einen Wettbewerbsvorteil.

Pannen, Fehler oder eine unübersichtliche Benutzeroberfläche – es gibt viele Gründe, warum Nutzer eine App löschen. Das Fehlen einer geeigneten Datenschutzstrategie sollte keiner davon sein.

Premium-Werbetreibende investieren nicht in Publisher, die keine Consent-Strings gemäß der neuesten Datenschutzgrundsätze sammeln. Programmatische Werbung ist hier naturgemäß die lukrativste Form, Echtzeitdaten zu nutzen – vorausgesetzt die Nutzereinwilligung liegt vor.

Datenschutz wird immer relevanter und es lassen sich drei Tendenzen erkennen:

1. Aufsichtsbehörden drängen auf eine strengere Gesetzgebung für die App-Branche.
2. Premium-Werbetreibende sind nur an einer Zusammenarbeit interessiert, wenn der App-Betreiber seine Nutzer Einwilligungen gesetzeskonform einholt.
3. App-Entwickler und Betreiber erkennen zunehmend: Wenn bei der App-Entwicklung nicht von Anfang an eine Datenschutzstrategie ausgearbeitet wurde, dann funktioniert ihr aktuelles Geschäftsmodell nicht.

Die Einwilligung der Nutzer als (=Consent) gewinnt also zunehmend an Wert.

Hier steht das Konzept Privacy by Design im Mittelpunkt. Datenerfassung kann nur auf Basis eines bestimmten Zwecks durchgeführt werden und dies muss den Nutzern der mobilen App auch klar kommuniziert werden.
Die DSGVO schreibt vor, dass Datenverantwortliche (bzw. gemeinsame Verantwortliche), geeignete technische und organisatorische Maßnahmen ergreifen müssen, um sicherzustellen und nachweisen zu können, dass die erfasste Verarbeitung im Einklang mit der Verordnung erfolgt.

Art. 5 DSGVO, Grundsätze für die Verarbeitung personenbezogener Daten:

(i) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
(ii) Zweckbindung
(iii) Datenminimierung
(iv) Richtigkeit
(v) Speicherbegrenzung
(v) Integrität und Vertraulichkeit
(vi) Rechenschaftspflicht

Dies gilt nicht nur im Geltungsbereich der DSGVO, sondern auch für weitere internationale Gesetzgebungen wie zum Beispiel das kalifornische Datenschutzgesetz CCPA oder Brasiliens LGPD.

Datenschutz ist mittlerweile zu einem Grundrecht geworden und 87 Prozent der US-Amerikaner sehen darin gar ein Menschenrecht. Hier kann also viel Vertrauen verspielt werden. „Auch wenn Apps aus legitimen Gründen auf personenbezogene Daten zugreifen, könnte dies die Erwartungen der Nutzer hinsichtlich des Datenschutzes nicht erfüllen. Dies würde das Vertrauen in Unternehmen und das breitere mobile Ökosystem untergraben“, so das IAB.

Was passiert also, wenn App-Nutzer nicht darauf vertrauen, dass eine App ihre Daten richtig verwendet? Laut der neuesten Studie von Google und Deloitte ist das Urteil eindeutig: 41 Prozent der Befragten gaben an, dass sie eine App aus Datenschutzgründen löschen würden. Nutzer fordern mehr Transparenz. Mehr Nutzervertrauen bedeutet also eine höhere Lifetime-Value.

Bei Datenschutzverstößen haftet in der Regel das Unternehmen – aber auch App-Entwickler können unter Umständen haftbar gemacht werden. Denn laut DSGVO sind diejenigen, die an der Ausarbeitung der „Zwecke und Mittel“ der Datenverarbeitung mitgewirkt haben, gemeinsame Verantwortliche (Datenverantwortliche) für die durch Dritte verarbeiteten Daten. App-Betreiber können also zur Rechenschaft gezogen werden, wenn ihre App beispielsweise über Monetarisierungs- und Analysefunktionen oder über ein Reporting-SDK verfügt, und Sie hierfür vorher nicht die Einwilligung eingeholt haben. Als App-Entwickler ein klares Bewusstsein für die eigene Rechenschaftspflicht zu haben, schützt vor bösen Überraschungen.

Bis 2023 werden die personenbezogenen Daten von 65 Prozent der Weltbevölkerung durch moderne Datenschutzbestimmungen geschützt sein (2020 waren es 10 Prozent), prognostiziert eine Studie von Gartner, Inc.

Das sollte aber kein Hinderungsgrund für App-Betreiber sein, ihr Geschäft auszuweiten – solange Sie sicherstellen, dass sie die globalen Datenschutzbestimmungen einhalten, z. B. bei der Verarbeitung von Finanztransaktionen, der Erfassung von E-Mail-Adressen bei der Kontoanmeldung und der Übermittlung von Daten an andere Anwendungen (globale Datenschutzgrundsätze).

Die DSGVO gilt für mobile Apps, die personenbezogene Daten von EU-Bürgern erheben und verarbeiten. Dabei spielt es keine Rolle, ob die App außerhalb der EU betrieben wird oder wo ein Unternehmen seinen Hauptsitz hat – die DSGVO gilt trotzdem.

Wer beispielsweise Nutzer außerhalb der USA ansprechen will, muss neben den relevanten US-Datenschutzgesetzen auch die Datenschutzgesetze außerhalb des Geltungsbereichs der USA einhalten.

Ihre App setzt keine Cookies und deshalb brauchen Sie auch keine Datenschutzstrategie? Das ist zu kurz gedacht. Laut einer aktuellen Studie der ACM Digital Library übermitteln die meisten Apps Daten direkt an Dritte wie Google, Facebook und Ad Exchanges über Tracker, die in den App-Code eingebettet sind. Die enormen Datenmengen die hier weitergegeben werden stellen zum einen eine lukrative Einnahmequelle für Apps und die digitale Werbebranche dar. Zum anderen werden die von Drittanbieter-SDKs gesammelten Daten nach und nach nutzlos, wenn vorab nicht die korrekte Einwilligung für ihre Nutzung eingeholt wurde. Das gilt besonders dann, wenn globale Datenschutzgesetze strenger werden.

Apps müssen daher im Hinblick auf den Verwendungszweck von Nutzerdaten transparenter sein. Nutzer müssen wiederum die Möglichkeit haben, ihre Einwilligung zu erteilen oder zu verweigern.

Eine transparente Datenschutzstrategie hat direkte Auswirkungen auf den Lifetime-Value (LTV) von App-Nutzern. Je weniger Vertrauen Nutzer in einen App haben, desto stärker reduziert sich langfristig der LTV und somit die Rentabilität der App.

Eine klare, nachhaltige Datenschutzstrategie sorgt langfristig für einen Wettbewerbsvorteil. Denn diese vertrauensbildende Maßnahme zahlt sich letztlich in höheren Werbeeinnahmen aus. Im Idealfall kann so eine dauerhafte Beziehung zwischen App-Betreiber und Nutzern aufgebaut werden.

DISCLAIMER:

Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden. Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.