Datenschutzerklärung Mobile App Deutschland (DSGVO Art. 13, 14)

Die Datenschutzerklärung Mobile App in Deutschland ist in DSGVO Art. 13 (Informationspflichten Erhebung) geregelt. Die Datenschutzerklärung Mobile App Deutschland muss auf zwei Plattformen die jeweiligen Anforderungen erfüllen — bei iOS-Apps die Anforderungen des Apple App Store mit den App Privacy Labels und dem App Tracking Transparency Framework (ATT) seit iOS 14.5, bei Android-Apps die Anforderungen des Google Play Store mit der Data Safety Section seit Juli 2022. Beide Plattformen verlangen vor der Veröffentlichung eine Datenschutz-URL, die auf eine zugängliche Datenschutzerklärung verweist. Die Datenschutzerklärung muss in deutscher Sprache verfügbar sein, wenn die App auf den deutschen Markt ausgerichtet ist.

Nach Art. 13 Abs. 1 DSGVO muss die Datenschutzerklärung umfangreiche Informationen enthalten — Identität und Kontaktdaten des Verantwortlichen i.S.v. Art. 4 Nr. 7 DSGVO, Kontaktdaten des Datenschutzbeauftragten (falls bestellt nach § 38 BDSG oder Art. 37 DSGVO), Zwecke der Verarbeitung, Rechtsgrundlage (Art. 6 Abs. 1 lit. a-f DSGVO), berechtigte Interessen bei Art. 6 Abs. 1 lit. f DSGVO, Empfänger oder Kategorien von Empfängern, Drittlandtransfer und entsprechende Garantien (Art. 44 ff. DSGVO), Speicherdauer der Daten, Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), Widerrufsrecht der Einwilligung, Beschwerderecht bei der Aufsichtsbehörde, ob die Datenbereitstellung gesetzlich oder vertraglich vorgeschrieben ist, Bestehen einer automatisierten Entscheidungsfindung (Art. 22 DSGVO).

Mobile Apps haben mehrere besondere datenschutzrechtliche Aspekte. Erstens — die App-Berechtigungen (Permissions) müssen zur Laufzeit explizit beim Nutzer erfragt werden (Apple iOS App Tracking Transparency Framework, Android Runtime Permissions seit Android 6.0). Die Anforderung von Berechtigungen muss begründbar sein — die App darf nur die für ihre Funktion tatsächlich erforderlichen Berechtigungen anfordern (Privacy by Design nach Art. 25 DSGVO).

Zweitens — die meisten Apps integrieren Tracking-SDKs (Software Development Kits) wie Firebase Analytics (Google), Crashlytics, AppsFlyer, Adjust, Mixpanel, Sentry. Diese SDKs verarbeiten personenbezogene Daten und übermitteln sie typischerweise in die USA. Die Einbindung erfordert eine Einwilligung des Nutzers nach § 25 Abs. 1 TKDSG und Art. 6 Abs. 1 lit. a DSGVO sowie zusätzliche Drittlandtransfer-Garantien nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH C-311/18) vom 16. Juli 2020.

Drittens — die Standortdaten unterliegen besonderen Anforderungen. GPS-Daten gelten nach Erwägungsgrund 51 DSGVO und nach der Rechtsprechung des Europäischen Datenschutzausschusses (EDSA) als sensible Daten. Die Verarbeitung präziser Standortdaten erfordert eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die jederzeit in den Geräteeinstellungen (iOS Settings → Privacy → Location Services; Android Settings → Apps → Permissions → Location) widerrufen werden kann.

Viertens — bei In-App-Käufen gelten zusätzliche Informationspflichten. Die App muss vor dem Kauf den Endpreis (inkl. Mehrwertsteuer), die Vertragsbedingungen und das Widerrufsrecht nach §§ 312g, 355 BGB transparent machen. Bei Apple App Store werden Käufe direkt über den iTunes-Account abgerechnet; bei Google Play über das Google-Konto. Beide Plattformen sind eigenständige Auftragsverarbeiter nach Art. 28 DSGVO.

Verstöße gegen die Informationspflichten der Art. 13 und 14 DSGVO können nach Art. 83 Abs. 5 lit. b DSGVO mit Bußgeldern bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Apple und Google können zusätzlich App-Listings entfernen oder aussetzen, wenn die Datenschutzerklärung mangelhaft ist. Forms-legal.com bietet eine Datenschutzerklärung Mobile App-Vorlage, die alle genannten Anforderungen rechtssicher abdeckt — sowohl für iOS als auch für Android-Apps.

Die Datenschutzerklärung Mobile App wird in Deutschland in zahlreichen Konstellationen benötigt — überall dort, wo eine mobile Anwendung für iOS oder Android personenbezogene Daten verarbeitet. Da praktisch jede App heute mindestens Tracking-SDKs für Analyse oder Crash-Reporting einsetzt, ist die Datenschutzerklärung für jede App auf dem deutschen Markt erforderlich.

Erste Konstellation — App mit Nutzerregistrierung und Account-Funktionen: Apps mit Nutzerregistrierung — Social Networks, Online-Banking, Streaming-Dienste, E-Commerce-Apps, Messenger — verarbeiten Bestandsdaten (Name, E-Mail, Passwort), Profildaten und gegebenenfalls weitere Identifikationsmerkmale. Die Rechtsgrundlage ist üblicherweise Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bestandsdaten. Eine vollständige Datenschutzerklärung mit Information zu Speicherdauer, Auftragsverarbeitern und Betroffenenrechten ist Pflicht.

Zweite Situation — Health- und Fitness-Apps: Gesundheits-Apps verarbeiten besonders sensible Daten nach Art. 9 Abs. 1 DSGVO (Gesundheitsdaten) — Schrittzähler-Daten, Herzfrequenz, Schlafdaten, Trainings-Aktivitäten, Gewichtsverläufe, Menstruationszyklus-Daten. Die Verarbeitung erfordert eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die strengeren Anforderungen unterliegt als die normale Einwilligung. Die Datenschutzerklärung muss diese Sensibilität explizit thematisieren.

Dritte Konstellation — Standort- und Navigations-Apps: Apps wie Google Maps, Apple Karten, Waze, Komoot oder Outdooractive verarbeiten präzise GPS-Daten kontinuierlich. Die Verarbeitung erfordert eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 TKDSG. In der Datenschutzerklärung sind die Speicherdauer, die Pseudonymisierung oder Anonymisierung der Standortdaten und die Möglichkeiten zum Widerruf detailliert zu beschreiben.

Vierte Situation — Banking- und Finanz-Apps: Mobile-Banking-Apps wie die der Sparkassen-Finanzgruppe, Volksbanken Raiffeisenbanken, Deutsche Bank oder Commerzbank verarbeiten Finanztransaktionsdaten — Kontostände, Überweisungsdaten, Wertpapierhandel. Hier gelten zusätzlich die Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der Zahlungsdiensterichtlinie 2 (PSD2). Die Datenschutzerklärung muss Bezüge zu spezialgesetzlichen Anforderungen herstellen.

Fünfte Konstellation — E-Commerce- und Bestell-Apps: Apps von Onlineshops wie Zalando, Amazon Shopping, IKEA, Lieferando, Uber Eats verarbeiten Bestelldaten, Zahlungsdaten und Liefer-Adressen. Bei In-App-Käufen sind zusätzlich die Verbraucherinformationspflichten nach § 312i BGB und Art. 246a EGBGB sowie die Button-Lösung nach § 312j Abs. 3 BGB zu beachten. Die Datenschutzerklärung muss diese Verarbeitungstätigkeiten transparent machen.

Sechste Situation — Spiele-Apps mit In-App-Käufen: Mobile Games — Casual Games, Strategie-Spiele, RPGs — verarbeiten typischerweise Spielfortschrittsdaten, Multiplayer-Daten, In-App-Kauf-Daten und Werbe-Tracking-Daten. Bei Werbeanzeigen über Drittanbieter wie Google AdMob, Unity Ads oder ironSource gelten zusätzliche Drittlandtransfer-Anforderungen. Bei Spielen mit jüngeren Zielgruppen sind die Anforderungen des Kinder- und Jugendschutzes nach §§ 8a-8c JuSchG zu beachten.

Siebte Konstellation — Business- und Productivity-Apps: B2B-Apps wie Microsoft Teams Mobile, Slack, Zoom Mobile, Asana, Trello verarbeiten geschäftliche Kommunikation. Hier ist die Auftragsverarbeitung nach Art. 28 DSGVO zentral — der App-Anbieter ist Auftragsverarbeiter des Unternehmens, das die App seinen Mitarbeitern bereitstellt. Die Datenschutzerklärung muss die Rolle des App-Anbieters klar definieren. Forms-legal.com bietet branchenspezifische Datenschutzerklärungs-Vorlagen für die häufigsten App-Typen.

Die wirksame Datenschutzerklärung Mobile App in Deutschland muss mehrere Pflichtbestandteile enthalten, damit sie den Anforderungen der DSGVO, des TKDSG und der App-Store-Richtlinien von Apple und Google genügt. Fehlt ein zentraler Bestandteil, droht ein App-Store-Listing-Entzug oder ein Bußgeld der Aufsichtsbehörde.

Identifikation des Verantwortlichen: Die Datenschutzerklärung muss den Verantwortlichen i.S.v. Art. 4 Nr. 7 DSGVO eindeutig identifizieren — vollständiger Firmenname mit Rechtsformzusatz, Geschäftsanschrift mit Straße, Hausnummer, PLZ und Ort, Telefonnummer und E-Mail-Adresse für Datenschutzanfragen. Bei mehr als 20 Beschäftigten ist nach § 38 Abs. 1 BDSG ein Datenschutzbeauftragter zu bestellen, der ebenfalls in der Datenschutzerklärung mit Namen und Kontaktdaten zu nennen ist.

App-spezifische Beschreibung der Verarbeitungstätigkeiten: Anders als bei Webseiten muss die Datenschutzerklärung Mobile App die spezifischen Verarbeitungsvorgänge der App präzise beschreiben — Plattform (iOS, Android), Hauptzweck der App, ob eine Registrierung erforderlich ist, welche Bestandsdaten erhoben werden, welche Geräteberechtigungen angefordert werden, welche Tracking-SDKs eingesetzt werden, welche externen Dienste und APIs eingebunden sind.

Geräteberechtigungen (App-Permissions): Apple und Google verlangen, dass jede angeforderte Geräteberechtigung dokumentiert und begründet wird. Typische Berechtigungen — Standortdaten (Genauigkeit unterscheiden zwischen grob und präzise), Kamera, Mikrofon, Kontakte, Kalender, Push-Notifications, Bluetooth, Bewegungssensoren, Fotomediathek. Pro Berechtigung ist anzugeben — Zweck der Erhebung, Häufigkeit der Nutzung (einmalig, kontinuierlich, bei jeder App-Nutzung), Möglichkeit der Verweigerung mit Auswirkung auf die App-Funktionalität.

Tracking-SDKs und Analytics-Tools: Auflistung aller eingesetzten SDKs mit Anbieter, Zweck, verarbeiteten Datenkategorien und Speicherdauer. Typische SDKs — Firebase Analytics (Google LLC, Mountain View, USA), Crashlytics (Google), AppsFlyer (Israel mit US-Servern), Adjust (Adjust GmbH, Berlin/USA), Mixpanel (USA), Sentry (Sentry Inc., USA), Branch.io. Bei jedem US-amerikanischen SDK ist der Drittlandtransfer nach Art. 44 ff. DSGVO mit Standardvertragsklauseln (SCC) und Transfer Impact Assessment (TIA) zu erläutern.

In-App-Käufe und Zahlungsdienstleister: Bei Apps mit In-App-Käufen sind die Zahlungsdienstleister zu nennen — Apple App Store (für iOS-Käufe), Google Play Billing (für Android-Käufe), Stripe Payments Europe Ltd. (Irland), Adyen, PayPal. Apple und Google sind Auftragsverarbeiter nach Art. 28 DSGVO mit eigenen Datenschutzerklärungen, auf die zu verlinken ist.

Drittlandtransfer und Schrems-II-Garantien: Bei Übermittlung personenbezogener Daten in Drittländer (USA, Israel, etc.) sind die Schutzgarantien nach Art. 44 ff. DSGVO zu erläutern. Hinweise auf Standardvertragsklauseln (SCC) der EU-Kommission gemäß Durchführungsbeschluss 2021/914, das EU-US Data Privacy Framework (seit 10. Juli 2023) und auf das durchgeführte Transfer Impact Assessment (TIA). Bei Datenübermittlung in Länder ohne Angemessenheitsbeschluss zusätzlicher Hinweis auf besondere Risiken.

Speicherdauer und Löschung: Konkrete Speicherdauer pro Datenkategorie — Bestandsdaten (Profil, E-Mail) bis zur Löschung des Accounts; Logdaten 30 Tage; Crashreports 90 Tage; Analytics-Daten 14 Monate; In-App-Kauf-Daten gemäß § 147 AO und § 257 HGB 10 Jahre für steuerliche Zwecke. Pflicht zur regelmäßigen Überprüfung der Speicherzwecke nach Art. 5 Abs. 1 lit. e DSGVO.

Betroffenenrechte und Beschwerderecht: Detaillierte Information über die Rechte der betroffenen Personen — Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung / Recht auf Vergessenwerden (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf der Einwilligung (Art. 7 Abs. 3). Beschwerderecht bei der zuständigen Aufsichtsbehörde — etwa Berliner Beauftragte für Datenschutz und Informationsfreiheit, Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI).

Letzte Aktualisierung und Versionierung: Datum der letzten Aktualisierung der Datenschutzerklärung, Hinweis auf Änderungen durch Push-Notification an die Nutzer bei wesentlichen Änderungen, Archivierung früherer Versionen. Die Datenschutzerklärung sollte mindestens jährlich überprüft und bei Änderungen der Verarbeitungstätigkeiten oder Drittanbieter aktualisiert werden. Forms-legal.com bietet eine Datenschutzerklärung Mobile App-Vorlage, die alle vorgenannten Pflichtbestandteile abdeckt und mit den Anforderungen von Apple und Google kompatibel ist.

Datenschutzerklärung Mobile App Deutschland korrekt auszufüllen erfordert eine systematische Inventur aller Datenverarbeitungstätigkeiten der App. Fehler beim Ausfüllen führen zu Bußgeldern der Aufsichtsbehörden und potentieller App-Store-Sperrung durch Apple oder Google.

Schritt 1 — App-Funktionen und Datenverarbeitung kartieren: Bevor die Datenschutzerklärung erstellt wird, muss eine vollständige Inventur aller Datenverarbeitungstätigkeiten der App durchgeführt werden — welche Daten werden erhoben (Bestandsdaten, Profildaten, Standort, Geräteberechtigungen, Logdaten), zu welchen Zwecken (Vertragserfüllung, Analyse, Marketing, Personalisierung), an wen werden Daten übermittelt (Auftragsverarbeiter, Drittländer), welche Speicherdauer ist vorgesehen.

Schritt 2 — Verantwortlichen und Datenschutzbeauftragten ergänzen: Vollständige Identifikation des Verantwortlichen — Firmenname mit Rechtsformzusatz, Geschäftsanschrift, Telefon und E-Mail. Bei mehr als 20 Beschäftigten oder bei besonderen Verarbeitungstätigkeiten ist der Datenschutzbeauftragte zu bestellen und in der Datenschutzerklärung zu nennen. Bei Konzernstrukturen ist auch die Konzernmutter und ggf. die Joint-Controller-Vereinbarung nach Art. 26 DSGVO zu erläutern.

Schritt 3 — Plattform und App-Kategorie spezifizieren: Die Datenschutzerklärung muss die Plattform der App (iOS, Android oder beide) klar benennen, da unterschiedliche App-Store-Anforderungen gelten. Apple verlangt App Privacy Labels mit standardisierten Datenkategorien; Google verlangt die Data Safety Section. Die Hauptfunktion der App und die Zielgruppe (allgemein, B2B, Kinder, Senioren) sind zu benennen.

Schritt 4 — Geräteberechtigungen mit Begründung dokumentieren: Pro angeforderter Geräteberechtigung ist zu dokumentieren — Berechtigungsname (z.B. „Zugriff auf Standortdaten"), Zweck der Erhebung (z.B. „Routenberechnung"), Häufigkeit der Nutzung (kontinuierlich während der App-Nutzung), technische Implementierung (z.B. „über CoreLocation Framework auf iOS"), Möglichkeiten zum Widerruf (Geräteeinstellungen), Auswirkung der Verweigerung auf die App-Funktionalität. Privacy by Design (Art. 25 DSGVO) — nur die für die App-Funktion tatsächlich erforderlichen Berechtigungen anfordern.

Schritt 5 — Tracking-SDKs auflisten und Drittlandtransfer dokumentieren: Vollständige Auflistung aller eingesetzten SDKs — Firebase Analytics (Google), Crashlytics, AppsFlyer, Adjust, Mixpanel, Sentry, Branch.io, Amplitude. Pro SDK zu dokumentieren — Anbieter mit Sitz, Zweck der Datenverarbeitung, verarbeitete Datenkategorien, Speicherdauer, Datentransfer in Drittländer (insbesondere USA), Schutzmaßnahmen (Standardvertragsklauseln, EU-US Data Privacy Framework, TIA).

Schritt 6 — In-App-Käufe und Zahlungsdienstleister beschreiben: Bei In-App-Käufen sind die Zahlungsdienstleister zu nennen — Apple App Store (Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Ireland), Google Play Billing (Google Commerce Limited, Gordon House, Barrow Street, Dublin, Ireland), Stripe Payments Europe Ltd. (Dublin, Ireland). Apple und Google sind Auftragsverarbeiter nach Art. 28 DSGVO und haben eigene Datenschutzerklärungen.

Schritt 7 — Speicherdauer pro Datenkategorie konkret benennen: Pauschale Formulierungen wie „so lange wie nötig" sind unzulässig. Korrekte Speicherdauer — Bestandsdaten bis zur Löschung des Accounts; Logdaten 30 Tage; Crashreports 90 Tage; Analytics-Daten 14 Monate; Push-Notification-Tokens bis Widerruf der Einwilligung; In-App-Kauf-Daten 10 Jahre nach § 147 AO und § 257 HGB für steuerliche Zwecke; Beschwerden 3 Jahre nach Lösung des Falls (§ 195 BGB).

Schritt 8 — Datenschutzerklärung mit App und App Store synchronisieren: Die Datenschutzerklärung muss in der App selbst (z.B. unter Einstellungen → Datenschutz oder Über → Rechtliche Hinweise) zugänglich sein, im Apple App Store als „Privacy Policy URL" hinterlegt sein und im Google Play Store als „Privacy Policy URL" eingetragen sein. Bei wesentlichen Änderungen der Datenschutzerklärung ist eine Push-Notification an die App-Nutzer zu senden und eine erneute Einwilligung einzuholen, soweit die ursprüngliche Einwilligung nicht mehr trägt.

Die Datenschutzerklärung Mobile App in Deutschland unterliegt einem mehrschichtigen Regelungsnetz aus DSGVO, TKDSG, BDSG und den Plattform-Anforderungen von Apple und Google. Die Beachtung aller Anforderungen entscheidet über die Rechtssicherheit der App und das Bußgeldrisiko.

Informationspflichten Art. 13 DSGVO bei Direkterhebung: Bei der Erhebung personenbezogener Daten direkt vom Nutzer (z.B. bei der Registrierung) muss der Verantwortliche umfangreiche Informationen bereitstellen — Identität und Kontaktdaten des Verantwortlichen, Datenschutzbeauftragten, Zwecke der Verarbeitung, Rechtsgrundlage, berechtigtes Interesse, Empfänger, Drittlandtransfer mit Garantien, Speicherdauer, Betroffenenrechte, Widerrufsrecht, Beschwerderecht, ob die Bereitstellung gesetzlich oder vertraglich vorgeschrieben ist, automatisierte Entscheidungsfindung.

Informationspflichten Art. 14 DSGVO bei Drittquelle: Werden personenbezogene Daten nicht direkt vom Betroffenen erhoben — z.B. bei Kontakt-Synchronisierung von Adressbuchkontakten oder bei Datenkauf von Drittanbietern —, gelten zusätzliche Informationspflichten nach Art. 14 DSGVO. Der Betroffene muss innerhalb angemessener Frist (spätestens nach einem Monat) über die Verarbeitung informiert werden.

Einwilligungspflicht § 25 Abs. 1 TKDSG: Die Speicherung oder das Auslesen von Informationen auf dem Endgerät des Nutzers (App-Daten, Cookies, Local Storage, IDFA, Android Advertising ID) ist nur mit Einwilligung des Nutzers zulässig. Ausnahmen nach § 25 Abs. 2 TKDSG — Datenzugriffe, die zur Übertragung einer Nachricht im elektronischen Kommunikationsnetz erforderlich sind, oder die für den vom Nutzer ausdrücklich gewünschten Telemediendienst unbedingt erforderlich sind.

Verarbeitung besonderer Datenkategorien Art. 9 DSGVO: Bei Health-Apps, Fitness-Apps oder Apps mit Verarbeitung biometrischer Daten gilt Art. 9 DSGVO. Die Verarbeitung ist grundsätzlich verboten und nur mit ausdrücklicher Einwilligung des Betroffenen oder aus anderen engen Ausnahmegründen zulässig (Art. 9 Abs. 2 DSGVO). Die Datenschutzerklärung muss die Sensibilität der Daten und die spezielle Rechtsgrundlage explizit benennen.

Apple App Store Anforderungen: Apple verlangt seit iOS 14.5 das App Tracking Transparency Framework (ATT) — Apps müssen vor dem Tracking eine ausdrückliche Einwilligung des Nutzers einholen (AppTrackingTransparency.requestTrackingAuthorization). Seit Dezember 2020 müssen alle iOS-Apps App Privacy Labels mit standardisierten Datenkategorien bereitstellen — „Daten, die zur Identifizierung verwendet werden", „Daten, die nicht zur Identifizierung verwendet werden", „Daten, die nicht erfasst werden".

Google Play Store Anforderungen: Google verlangt seit Juli 2022 die Data Safety Section in der Google Play Console — vollständige Auflistung aller verarbeiteten Datenkategorien (Personal Info, Financial Info, Health and Fitness, Messages, Photos and Videos, Audio Files, Files and Docs, Calendar, Contacts, App Activity, App Info and Performance, Device or Other IDs), Verarbeitungszwecke, Datenfreigabe an Dritte, Datenverschlüsselung in Übertragung und Speicherung, Möglichkeit zur Datenanforderung und Datenlöschung.

Drittlandtransfer Art. 44 ff. DSGVO und Schrems-II: Bei Übermittlung personenbezogener Daten in Drittländer (USA, Israel, Kanada, Indien) müssen zusätzliche Garantien wie Standardvertragsklauseln (SCC) der EU-Kommission gemäß Durchführungsbeschluss 2021/914 vereinbart werden. Seit dem EuGH-Urteil C-311/18 (Schrems-II) ist zusätzlich ein Transfer Impact Assessment (TIA) durchzuführen. Seit dem 10. Juli 2023 gilt das EU-US Data Privacy Framework, das eine adäquate Datenschutz-Anerkennung für US-Unternehmen ermöglicht.

Datenschutzbeauftragter § 38 BDSG und Art. 37 DSGVO: Bei mehr als 20 Beschäftigten, die mit personenbezogenen Daten umgehen, oder bei besonderen Verarbeitungstätigkeiten (Profiling, Verarbeitung besonderer Datenkategorien, Verarbeitung im großen Maßstab) ist nach § 38 Abs. 1 BDSG und Art. 37 Abs. 1 DSGVO ein Datenschutzbeauftragter zu bestellen. Der Datenschutzbeauftragte muss in der Datenschutzerklärung mit Namen und Kontaktdaten genannt werden.

Bußgelder nach Art. 83 DSGVO: Verstöße gegen die Informationspflichten nach Art. 13 und 14 DSGVO können nach Art. 83 Abs. 5 lit. b DSGVO mit Bußgeldern bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Bekannte Fälle in Deutschland — Deutsche Wohnen SE (14,5 Mio. Euro, Berliner Beauftragte), 1&1 Telecom GmbH (9,55 Mio. Euro, BfDI), Deutsche Bahn (1,1 Mio. Euro, Berliner Beauftragte). Daneben können Apple und Google App-Listings entfernen oder aussetzen, was praktisch einem Vertriebsverbot gleichkommt.

Häufige Fehler bei der Datenschutzerklärung Mobile App in Deutschland führen zu Bußgeldern der Aufsichtsbehörden und App-Store-Sperrungen durch Apple oder Google. Die deutschen Aufsichtsbehörden haben in den letzten Jahren das Augenmerk auf mobile App-Compliance verstärkt.

Fehler 1 — Generische Webseite-Datenschutzerklärung für die App verwendet: Viele App-Anbieter verwenden ihre Webseiten-Datenschutzerklärung unverändert auch für die App. Mobile Apps verarbeiten jedoch andere Daten (Geräteberechtigungen, GPS, Push-Tokens, Tracking-IDs) als Webseiten und benötigen daher eine eigene, an die App-Funktionalität angepasste Datenschutzerklärung. Korrekt — eine separate Datenschutzerklärung Mobile App, die die spezifischen Verarbeitungstätigkeiten beschreibt.

Fehler 2 — Fehlende Angabe der Geräteberechtigungen: Apple und Google verlangen die exakte Dokumentation aller angeforderten Geräteberechtigungen mit Zweck und Begründung. Pauschale Formulierungen wie „Wir benötigen Zugriff auf Ihr Gerät" genügen nicht. Korrekt — pro Berechtigung Name, Zweck, Häufigkeit, Möglichkeit zum Widerruf, Auswirkung der Verweigerung dokumentieren.

Fehler 3 — Tracking-SDKs nicht vollständig aufgelistet: Apps integrieren oft mehrere Tracking-SDKs ohne deren vollständige Dokumentation in der Datenschutzerklärung — Firebase Analytics, Crashlytics, AppsFlyer, Adjust, Mixpanel, Sentry, Branch.io werden häufig vergessen. Korrekt — vollständige Auflistung aller SDKs mit Anbieter, Zweck, Speicherdauer, Drittlandtransfer.

Fehler 4 — Fehlende Drittlandtransfer-Hinweise nach Schrems-II: Viele Datenschutzerklärungen ignorieren die Anforderungen des Schrems-II-Urteils des Europäischen Gerichtshofs (EuGH C-311/18) bei der Datenübermittlung in die USA. Korrekt — explizite Hinweise auf Standardvertragsklauseln (SCC) der EU-Kommission, das EU-US Data Privacy Framework und das durchgeführte Transfer Impact Assessment (TIA).

Fehler 5 — Fehlerhafte Apple Privacy Labels und Google Data Safety Section: Apple App Privacy Labels und Google Play Data Safety Section müssen mit der tatsächlichen Datenverarbeitung der App übereinstimmen. Diskrepanzen zwischen Datenschutzerklärung und App-Store-Angaben werden von Apple und Google überprüft und können zur App-Sperrung führen. Korrekt — Datenschutzerklärung, App Privacy Labels und Data Safety Section synchronisieren.

Fehler 6 — Fehlende Speicherdauer-Angaben: Pauschale Formulierungen wie „so lange wie nötig" oder „bis zur Löschung" genügen nicht den Anforderungen des Art. 13 Abs. 2 lit. a DSGVO. Korrekt — konkrete Speicherdauer pro Datenkategorie (Bestandsdaten bis Account-Löschung, Logdaten 30 Tage, Analytics 14 Monate, Steuerdaten 10 Jahre nach AO/HGB). Forms-legal.com bietet eine Datenschutzerklärung Mobile App-Vorlage, die alle genannten Fehler vermeidet.