Neue Empfehlungen der CNIL für mobile Apps: Verpflichtungen und Risiken ab 2025

Wichtige Empfehlungen der CNIL

1. Privacy by Design und Privacy by Default

Die CNIL betont die Bedeutung der Datenschutzprinzipien Privacy by Design und Privacy by Default. Diese Prinzipien verlangen, dass Datenschutz von Anfang an in die Entwicklung jeder App integriert wird. Unternehmen müssen sicherstellen, dass jede Funktion der App so gestaltet ist, dass das Risiko für die Privatsphäre der Nutzer minimiert wird.

2. Mapping von Datenverarbeitungen

Unternehmen, die als Verantwortliche für die Verarbeitung personenbezogener Daten fungieren, müssen ein detailliertes Mapping aller Datenverarbeitungen durchführen. Das bedeutet, dass jede einzelne Verarbeitung von personenbezogenen Daten genau beschrieben werden muss: welche Daten gesammelt werden, für welche Zwecke und welche Dritte daran beteiligt sind (wie Anbieter von Software Development Kits – SDKs). Jede Datenverarbeitung muss gemäß Art. 6 Abs. 1 DSGVO auf eine der in der DSGVO genannten Rechtsgrundlagen gestützt werden, wie zum Beispiel:
• Die Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a),
• Die Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b), wenn die Verarbeitung zur Vertragserfüllung erforderlich ist,
• Oder das berechtigte Interesse (Art. 6 Abs. 1 lit. f), vorausgesetzt, es liegt keine unverhältnismäßige Beeinträchtigung der Rechte und Freiheiten der betroffenen Person vor.

Insbesondere bei der Nutzung von Anbietern von Software Development Kits (SDKs) muss der Herausgeber sicherstellen, dass die durchgeführten Datenverarbeitungen ausschließlich zur Erfüllung des Vertrags notwendig sind. Andernfalls ist die ausdrückliche Einwilligung des Nutzers erforderlich.

3. Einholung und Verwaltung von Einwilligungen

Insbesondere bei sensiblen Daten wie Standortdaten oder Kontakten betont die CNIL die Bedeutung einer klaren Einwilligung der Nutzer. Unternehmen müssen Tools implementieren, die den Nutzern eine einfache und transparente Möglichkeit bieten, ihre Einwilligung zu geben und diese jederzeit zu widerrufen.

Prüfungspunkte der CNIL ab 2025

Ab dem Jahr 2025 plant die CNIL, verstärkte Kontrollen von mobilen Apps durchzuführen. Dabei werden folgende Punkte im Fokus stehen:
• Einhaltung der Datenschutzbestimmungen, insbesondere hinsichtlich der Einwilligung der Nutzer;
• Sicherheitsmaßnahmen zum Schutz sensibler Daten, wie Standort- oder Finanzdaten;
• Verwaltung von SDKs und die Weitergabe von Daten an Dritte;
• Transparenz gegenüber den Nutzern, etwa durch klar zugängliche Datenschutzrichtlinien.

Risiken bei Nichteinhaltung

Unternehmen, die die Empfehlungen der CNIL nicht befolgen, laufen Gefahr, schwerwiegende Sanktionen zu erhalten:
• Bußgelder: Gemäß Art. 83 Abs. 5 DSGVO können Unternehmen mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bestraft werden.
• Reputationsschäden: Nach Art. 58 Abs. 2 Buchstabe b DSGVO kann die CNIL eine öffentliche Sanktion gegen ein Unternehmen verhängen, was das Vertrauen der Nutzer erheblich beeinträchtigen kann.
• Betriebsverbot: Nach Art. 58 Abs. 2 Buchstabe f DSGVO kann die CNIL die Verarbeitung personenbezogener Daten einschränken oder untersagen, was dazu führen kann, dass eine App nicht mehr betrieben werden darf.

Fazit

Die neuen Empfehlungen der CNIL sind ein Wendepunkt für Unternehmen, die mobile Anwendungen entwickeln oder betreiben. Sie fordern von den Entwicklern, ihre Praktiken im Bereich der Datenverarbeitung zu überdenken und sicherzustellen, dass sie den neuen Anforderungen entsprechen. Unternehmen in Deutschland können diese Empfehlungen als hilfreiche Orientierungshilfe verwenden, um ihre Produkte datenschutzkonform zu gestalten.

Diese Empfehlungen sind auf Französisch online verfügbar:
CNIL-Empfehlungen für mobile Anwendungen. Eine Zusammenfassung auf Englisch finden sie hier.