Unternehmen, die Daten in mobilen Applikationen verarbeiten, müssen sich auf eine Kontrolle seitens der Datenschutzbehörde gefasst machen

Marta Wiśniewska

4. Februar 2022​

Auch dieses Jahr hat der Präsident der Datenschutzbehörde im Januar einen Plan der sektorspezifischen Kontrollen für 2022 veröffentlicht.

Aus dem genehmigten Plan der Kontrollen ergibt sich, dass dieses Jahr Unternehmen aus folgenden Gruppen mit einer Kontrolle seitens der Datenschutzbehörde rechnen können:

1. Behörden, die personenbezogene Daten im Schengener Informationssystem und im Visa-Informationssystem verarbeiten;
2. Banken (in Bezug auf das Profiling der personenbezogenen Daten von Kunden und potenziellen Kunden sowie in Bezug auf die Art und Weise, wie Personen, die einen Kredit beantragt haben, über die vorgenommene Bonitätsprüfung benachrichtigt werden);
3. Unternehmen, die personenbezogene Daten unter Verwendung von mobilen Applikationen verarbeiten (in Bezug auf die Art und Weise, wie die personenbezogenen Daten, die im Zusammenhang mit der Nutzung dieser Applikationen verarbeitet werden, gesichert und bereitgestellt werden).

Nach Auskunft der Datenschutzbehörde ergeben sich die geplanten sektorspezifischen Kontrollen aus einer Vielzahl an Signalen (darunter Beschwerden, Anfragen und Meldungen von Verletzungen des Schutzes personenbezogener Daten), die auf die Gefahr der Verletzung der Vorschriften über den Schutz personenbezogener Daten sowie auf ein großes gesellschaftliches Interesse an solchen Problemen hinweisen.

Kontrolle seitens der Datenschutzbehörde und Datenverarbeitung in einer mobilen Applikation

Besonderes Augenmerk ist auf die im Privatsektor geplanten Kontrollen zu richten, d.h. Kontrollen von Unternehmen, die personenbezogene Daten unter Verwendung mobiler Applikationen verarbeiten. Dieser Kreis von Unternehmen wurde von der Datenschutzbehörde sehr breit definiert, da gegenwärtig praktisch jedes Unternehmen Daten unter Verwendung mobiler Applikationen verarbeitet.

Solche mobilen Applikationen können direkt an Kunden / natürliche Personen gerichtet sein (z.B. Sportanwendungen, Benefits, Applikationen von Online-Shops, die es ermöglichen, ein eigenes Konto zu verwalten etc.) oder sie können internen Charakter haben (z.B. CRM-Systeme, Systeme zur Verwaltung der Arbeit von Handelsvertretern etc.). Die Einführung und Nutzung einer mobilen Applikation muss gut geplant und regelmäßig überwacht werden.

In erster Linie sind die Daten durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen zu schützen. Dies bedeutet, dass noch vor der Einführung der betreffenden mobilen Applikation u.a. Folgendes analysiert werden muss:

• ob und welche personenbezogenen Daten in der betreffenden mobilen Applikation verarbeitet werden?
• ob die verarbeiteten Daten notwendig sind, um das gegebene Ziel zu erreichen (d.h. werden nicht überflüssige Daten verarbeitet)?
• wie werden die Informationspflichten erfüllt?

Neben der Überprüfung und der ordnungsgemäßen Einführung einer mobilen Applikation ist es formalrechtlich gesehen von Bedeutung, die Applikation in technischer Hinsicht, darunter auch die Art und Weise der Sicherung der Datenverarbeitung zu überprüfen. Darüber hinaus ist es notwendig, externe Unternehmen zu überprüfen, die die Bedienung solcher mobilen Applikationen unterstützen werden, sowie entsprechende Auftragsverarbeitungsverträge abzuschließen. Die Überprüfung der vorgenannten Elemente muss in Form einer Risikoanalyse sowie in Form einer Datenschutz-Folgenabschätzung (sofern es notwendig ist, sie durchzuführen) dokumentiert werden. Nach der Einführung einer mobilen Applikation ist es erforderlich, sie regelmäßig zu überwachen, darunter auch systematische Tests im Bereich der Cybersicherheit durchzuführen.

 Zusammenfassung

Folgendes muss überprüft werden:

• Verarbeitet das Unternehmen personenbezogene Daten unter Verwendung von mobilen Applikationen?
• Wurden diese Applikationen ordnungsgemäß eingeführt und technisch gesichert?

​​Bitte beachten Sie, dass auch wenn der Plan der sektorspezifischen Kontrolle seitens der Datenschutzbehörde Ihr Unternehmen umfasst, die Kontrolle nicht unangekündigt durchgeführt werden kann.

Der Präsident der Datenschutzbehörde ist verpflichtet, die Absicht zur Einleitung der Kontrolle mitzuteilen. Die Kontrolle beginnt frühestens nach Ablauf von 7 Tagen und spätestens vor Ablauf von 30 Tagen nach dem Tag der Zustellung der Mitteilung über die Absicht zur Einleitung der Kontrolle. Außer der formellen Mitteilung wird auch die telefonische Benachrichtigung über die Kontrolle praktiziert.

In der Mitteilung müssen der Gegenstand der Kontrolle sowie ihr Termin genannt werden. Nach Eingang der Mitteilung sind entsprechende Maßnahmen zu ergreifen, um sich auf die Kontrolle ordnungsgemäß vorzubereiten. Zu beachten ist auch, dass die kontrollierten Unternehmen gemäß den Vorschriften eine Reihe von Pflichten zu erfüllen haben. Werden die o.g. Pflichten nicht erfüllt, so kann dies die Auferlegung einer Geldbuße oder sogar die strafrechtliche Verantwortlichkeit nach sich ziehen.

Sollten Sie Fragen zum Schutz personenbezogener Daten haben, so nehmen Sie bitte Kontakt mit den Experten von Rödl & Partner auf.