Eine Datenschutzerklärung für Mobile Apps ist ein rechtsverbindliches Dokument, das Nutzer darüber informiert, welche personenbezogenen Daten eine App erhebt, zu welchem Zweck und auf welcher Rechtsgrundlage. Wer eine App im deutschen Markt betreibt, braucht dieses Dokument zwingend — ohne es verstößt der Betreiber gegen DSGVO Art. 13 und Art. 14, sobald die App auch nur eine E-Mail-Adresse oder eine Gerätekennzeichnung speichert.
Was eine App-Datenschutzerklärung ist
Eine App-Datenschutzerklärung ist keine Formalie, die man einmalig abhakt. Sie ist die gesetzlich vorgeschriebene Informationsgrundlage für jeden Nutzer, der die App installiert. Rechtsgrundlage bildet die Datenschutz-Grundverordnung: Art. 13 DSGVO gilt, wenn Daten direkt beim Nutzer erhoben werden — also beim Anlegen eines Kontos, beim Nutzen der Suchfunktion oder beim Aktivieren von Push-Benachrichtigungen. Art. 14 DSGVO greift, sobald Daten nicht vom Nutzer selbst, sondern von einer dritten Stelle übermittelt werden, etwa wenn ein Analyse-Dienstleister demografische Merkmale ergänzt oder ein Partner Nutzerprofile einspielt.
Der Unterschied ist praktisch bedeutsam: Bei Art. 13 muss die Information zum Zeitpunkt der Erhebung vorliegen, bei Art. 14 spätestens dann, wenn der Betroffene zum ersten Mal kontaktiert wird oder wenn eine Weitergabe an Dritte geplant ist. Wer beide Szenarien kennt, kann die Erklärung von Anfang an vollständig aufsetzen, anstatt später unter Zeitdruck nachbessern zu müssen.
Daneben verlangt § 25 TDDDG für den Zugriff auf das Endgerät des Nutzers — etwa das Lesen des Gerätespeichers, das Setzen von Cookies oder das Auslesen der Geräte-ID — eine separate Einwilligung oder eine der gesetzlichen Ausnahmen. Dieser Zugriff muss in der Datenschutzerklärung transparent gemacht werden; er lässt sich nicht allein durch die allgemeine DSGVO-Grundlage abdecken.
Wann die Pflicht entsteht
Die Pflicht tritt mit dem ersten Nutzeraufruf ein, nicht erst beim Launch der App im Store. Maßgeblich ist, ob die App verarbeitet — nicht, ob der Betreiber bewusst Daten sammeln will. Schon ein Google-Fonts-Aufruf, ein eingebettetes Analytics-Skript oder eine automatisch generierte Absturzmeldung löst Art. 13 DSGVO aus, weil dabei IP-Adressen oder Geräteinformationen an Dritte übertragen werden.
Für Betreiber, die eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage nutzen — zum Beispiel für Werbe-Cookies oder personalisiertes Marketing —, entsteht eine zusätzliche Pflicht: Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich erklärt werden. Das setzt voraus, dass die Datenschutzerklärung bereits lesbar ist, bevor der Nutzer seine Zustimmung gibt. Eine Erklärung, die erst nach dem Consent-Button erscheint, erfüllt diese Anforderung nicht.
Auch Betreiber, die einen betrieblichen Datenschutzbeauftragten (DSB) benannt haben oder nach § 38 BDSG dazu verpflichtet sind, müssen dessen Kontaktdaten in der Erklärung angeben. Ob eine Benennung verpflichtend ist, hängt von der Anzahl der ständig mit der Verarbeitung befassten Personen sowie von der Art der verarbeiteten Daten ab; eine pauschale Zahl lässt sich ohne Kenntnis des Einzelfalls nicht nennen.
Was die Erklärung inhaltlich enthalten muss
Art. 13 und Art. 14 DSGVO listen die Mindestinhalte abschließend auf. Eine vollständige App-Datenschutzerklärung muss folgende Angaben enthalten:
Verantwortlicher: Name, Anschrift und Kontaktdaten des App-Betreibers. Für den Nutzer muss klar sein, an wen er sich wenden kann.
Datenschutzbeauftragter: Sofern vorhanden oder nach § 38 BDSG bestellt, sind Name und Kontaktadresse anzugeben — üblicherweise eine dedizierte E-Mail-Adresse.
Zwecke und Rechtsgrundlagen: Für jede Datenverarbeitung ist der konkrete Zweck zu nennen und die Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO zu benennen. Wer auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) setzt, muss auch auf das Recht hinweisen, die Einwilligung jederzeit zu widerrufen.
Empfänger oder Kategorien von Empfängern: Gibt die App Daten an Drittanbieter weiter — etwa Analyse-Tools, Werbenetzwerke oder Cloud-Anbieter in Drittstaaten —, sind diese zu benennen. Bei Datenübertragungen in Länder außerhalb des Europäischen Wirtschaftsraums sind die entsprechenden Garantien darzulegen.
Speicherdauer: Wie lange werden die Daten vorgehalten? Existiert keine konkrete Frist, genügt die Angabe der Kriterien, nach denen die Frist bestimmt wird.
Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und — sofern Einwilligung Rechtsgrundlage ist — Widerruf. Außerdem das Beschwerderecht bei der zuständigen Aufsichtsbehörde.
Endgeräte-Zugriff nach § 25 TDDDG: Wenn die App auf den Gerätespeicher zugreift, Cookies setzt oder Tracking-Technologien verwendet, ist das separat zu erläutern. Hier sollte erklärt werden, welche Technologie zu welchem Zweck eingesetzt wird und ob eine Einwilligung eingeholt oder eine gesetzliche Ausnahme in Anspruch genommen wird.
Hinweis bei Art. 14 DSGVO: Werden Daten aus einer Drittquelle bezogen, ist zusätzlich anzugeben, aus welcher Quelle die Daten stammen und ob sie aus öffentlich zugänglichen Quellen kommen.
Wie man die Erklärung korrekt aufsetzt
Der erste Schritt ist eine vollständige Datenverarbeitungsübersicht: Welche Bibliotheken sind im App-Code eingebunden? Welche SDKs senden Daten? Welche Server-Anfragen werden protokolliert? Erst wer alle Datenflüsse kennt, kann eine inhaltlich richtige Erklärung schreiben — nicht umgekehrt.
Danach ist zu entscheiden, ob für bestimmte Verarbeitungen eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO benötigt wird oder ob ein berechtigtes Interesse ausreicht. Werbenetzwerke und Profiling-Technologien erfordern in der Regel eine Einwilligung; reine Sicherheitslogs können auf andere Rechtsgrundlagen gestützt werden.
Die Erklärung selbst sollte in klarer, verständlicher Sprache verfasst sein. Juristisches Fachdeutsch, das den Durchschnittsnutzer überfordert, genügt der Anforderung „in präziser, transparenter, verständlicher und leicht zugänglicher Form" aus Art. 13 Abs. 1 DSGVO nicht. Gut bewährt hat sich eine zweistufige Darstellung: eine kurze Zusammenfassung oben, gefolgt von den vollständigen Details — die Erklärung ist als Einheit zu betrachten, nicht als separates Rechtsdokument, das Nutzer nie lesen.
Technisch muss die Erklärung vor dem ersten Datenabgriff abrufbar sein — also vor dem Login-Screen oder vor dem Consent-Banner, nicht erst nach dem Onboarding. Betreiber sollten außerdem sicherstellen, dass die Erklärung auch im App-Store verlinkt ist, da viele Stores das als Voraussetzung für die Veröffentlichung verlangen.
Wer die Erklärung nicht von Grund auf neu verfassen möchte, findet unter Datenschutzerklärung Mobile App Deutschland (DSGVO Art. 13, 14) eine strukturierte Vorlage, die alle Pflichtangaben abdeckt und an die eigene App-Architektur angepasst werden kann.
Häufige Fehler beim Aufsetzen
Veraltete oder unvollständige Empfängerliste: Viele Betreiber fügen bei der Erstveröffentlichung die damals genutzten Dienste ein und vergessen, die Erklärung zu aktualisieren, wenn neue SDKs oder Analyse-Tools integriert werden. Jede neue Drittanbieter-Integration erfordert eine Überarbeitung.
Fehlende Trennung zwischen Art. 13 und Art. 14: Wer Daten aus Drittquellen bezieht, muss das separat ausweisen. Betreiber, die sich auf einen generischen Art.-13-Text beschränken, übersehen Art. 14 DSGVO — mit der Folge, dass Betroffene nicht wissen, dass ihre Daten zugekauft wurden.
Einwilligung als Rechtsgrundlage ohne funktionierenden Widerrufsmechanismus: Wenn Art. 6 Abs. 1 lit. a DSGVO als Grundlage angegeben wird, muss der Widerruf genauso einfach sein wie die Einwilligung. Eine Widerrufs-E-Mail an eine Support-Adresse, die tagelang nicht beantwortet wird, genügt dem Standard nicht.
§ 25 TDDDG nicht berücksichtigt: Der Endgeräte-Zugriff — etwa durch einen Fingerprinting-Dienst oder ein Analyse-SDK — erfordert eine eigene Rechtsgrundlage und eine eigene Passage in der Erklärung. Betreiber, die § 25 TDDDG nicht kennen, riskieren, dass ihr Consent-Konzept an der Basis fehlerhaft ist, unabhängig davon, wie sorgfältig die DSGVO-Abschnitte formuliert sind.
Keine Angabe des DSB trotz Bestellungspflicht: Wer nach § 38 BDSG einen Datenschutzbeauftragten benennen muss, aber dessen Kontaktdaten nicht in der Erklärung angibt, verstößt gegen Art. 13 Abs. 1 lit. b DSGVO. Das ist kein Formfehler, den man nachträglich still beheben kann, ohne das Datum der Erklärung zu aktualisieren.
Zu kurze oder zu vage Speicherdauer: Die Angabe „so lange wie gesetzlich erforderlich" ohne jede Konkretisierung genügt nicht. Für jede Verarbeitungskategorie sollte entweder eine konkrete Frist oder zumindest ein klares Kriterium stehen — zum Beispiel „bis zur Löschung des Nutzerkontos" oder „bis zum Abschluss der Supportanfrage".
Eine App-Datenschutzerklärung, die diese Punkte konsequent adressiert, ist kein Bürokratieaufwand, sondern das Fundament für ein belastbares Vertrauensverhältnis mit den Nutzern — und die wirksamste Prävention gegen Beschwerden bei Aufsichtsbehörden.
Need the document itself? Download the free template →
This article is general information, not legal advice — see our accuracy & editorial policy. Confirm the cited law is current before relying on it.