Letzte Woche hat das BayLDA einen umfangreichen Prüfkatalog für die Untersuchung von Apps hinsichtlich technischen Datenschutzanforderungen veröffentlicht. Ziel des Prüfkataloges ist, durch hilfreiche Fragestellungen gerade App-Entwicklern bei der Gestaltung neuer mobiler Anwendungen zu unterstützen, um frühzeitig Apps nach den gesetzlichen Anforderungen zu entwerfen und so auch neue Konzepte wie Privacy by Design und Privacy by Default umsetzen zu können.
ENTSTEHUNG DES PRÜFKATALOGES
Der App-Prüfkatalog des BayLDA entstand in den letzten Jahren hauptsächlich durch praktische Prüferfahrungen des BayLDA und Best-Practice-Ansätzen aus der freien Wirtschaft. Das Dokument wurde dabei in Anlehnung an die Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter geschrieben. Im letzten Jahr hatte das BayLDA bereits eine Orientierungshilfe zu Datenschutzanforderungen an App-Entwickler herausgebracht.
PERSONENBEZOGENE DATEN
Diese stehen wie sooft bei Datenschutzprüfungen im Mittelpunkt. Das BayLDA will hier wissen, welche Nutzungsdaten, welche Bestandsdaten und welche Inhaltsdaten von der App automatisch verarbeitet werden. Relevant ist natürlich auch ob besonders sensible personenbezogene Daten, wie Gesundheitsdaten, Angaben zur Religion, ethnischer Herkunft etc. eingesetzt werden.
DATENSCHUTZERKLÄRUNG
Auch Vorhandensein und Umfang der Datenschutzbestimmungen werden geprüft: Sind diese schon im App-Store einsehbar. Bei erstmaliger Nutzung? Sind diese innerhalb der App leicht auffind- und einsehbar? Sind diese speziell auf die App zugeschnitten? Werden darin die Verfahren zur Erhebung, Verarbeitung und Weiterleitung von Daten hinreichend beschrieben, usw.? Gerade diese Fragen zur Datenschutzerklärung sollten sich App-Anbieter nochmal besonders zu Gemüte führen, da unserer Erfahrung nach hier oft die größten Mängel bestehen.
BERECHTIGUNGEN
Natürlich auch ein prüfungsrelevantes Thema: Die von der App eingeforderten Berechtigungen. Hier ist es wichtig, dass die App keine Berechtigungen erhält, die nicht für deren Ausführung notwendig ist. Auch die Einwilligung des Nutzers ist hier von großer Bedeutung einer Prüfung.
ZUGANGSDATEN, DATENÜBRETRAGUNG, SPEICHERUNG UND CO.
Drei weitere Prüfbereiche die das BayLDA bei Apps besonders abfragt. Bei Zugangsbeschränkungen ist z. B. die Komplexität des Passwortes ein Thema. Bei der Datenübertragung will das BayLDA unter anderem wissen, an welche Server die Daten übertragen und welche Daten an welche Empfänger weitergegeben werden. Wird bei der Übertragung verschlüsselt? Wie wird verschlüsselt und sich gegen Attacken abgesichert? Im Bereich „Speicherung“ wiederum beschäftigen sich klassische Prüffragen mit den Daten die lokal gespeichert werden, Speicherdauer und Speicherorten. Auch Logging und Tracking werden einer Prüfung unterzogen: So muss man beispielsweise begründen können warum getrackt wird und ob es eine Opt-Out Möglichkeit dafür gibt.
GEOLOKALISIERUNG
Neben möglichen In-App-Browsern ist schließlich das Thema „Geolokalisierung“ der letzte wichtige Bereich einer App-Prüfung. Falls die App Standortdaten erfasst, müssen dafür bestimmte Regeln eingehalten werden. werden diese z. B. nur in der unbedingt nötigen Auflösung erfasst, wo werden diese gespeichert und kann man die Lokalisierung ausschalten?
Den vollständigen „Prüfkatalog für den technischen Datenschutz bei Apps mit normalem Schutzbedarf“ können Sie HIER kostenlos herunterladen.