Ab dem 3. Oktober 2018 müssen alle Apps im App Store von Apple auf ihre Datenschutzerklärung (Privacy Policy) verlinken. Dafür muss das entsprechende Metadaten-Feld in App Store Connect verwendet werden.
Bislang mussten nur Apps mit Abonnements auf ihre Datenschutzerklärung verlinken. In Zukunft gilt das Erfordernis für alle aktualisierten und neuen Apps.
Das neue Erfordernis geht auf die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) zurück, lässt sich aber auch aus dem Datenschutzgesetz (DSG) in der Schweiz ableiten.
In rechtlicher Hinsicht benötigten schon bislang fast alle Apps eine Datenschutzerklärung, denn nur so können die Nutzer über die Bearbeitung ihrer Personendaten informiert werden.
Datenschutz: Anforderungen für Entwickler im Apple App Store
Entwickler, die Apps im App Store von Apple veröffentlichen wollen, müssen nun insbesondere folgende Anforderungen im Zusammenhang mit dem Datenschutz erfüllen:
- Die Datenschutzerklärung muss im App Store verlinkt werden und auch in der App ohne weiteres zugänglich sein sowie folgende Punkte enthalten:
- Information, ob Personendaten bearbeitet werden, und falls ja, wie und für welchen Zweck oder für welche Zwecke, wobei Apple betont, dass die Information vollständig erfolgen muss;
- Bestätigung, dass Dritte, mit denen Personendaten geteilt werden – dazu zählen ausdrücklich Anbieter von Analytics-Tools und Software Development Kit (SDK) sowie Werbenetzwerke – sowie sämtlichen weiteren Beteiligten einen gleichen oder vergleichbaren Datenschutz gewährleisten;
- Erklärung, in welchem Rahmen Personendaten aufbewahrt und vernichtet werden sowie wie betroffene Personen erteilte Einwilligungen widerrufen und die Löschung ihrer Personendaten fordern können.
- Für das Sammeln von Personendaten von Nutzern – auch über die App-Nutzung – muss die Einwilligung der betroffenen Personen eingeholt werden. Für Nutzer, die keine Einwilligung erteilen, sollen alternative Möglichkeiten angeboten werden, zum Beispiel die Eingabe einer Adresse von Hand, wenn ein Nutzer seinen Standort für eine App nicht freigeben möchte.
- Kostenpflichtige Funktionen dürfen nicht davon abhängig gemacht werden, dass ein Nutzer den Zugriff auf seine Personendaten gewährt (Koppelungsverbot).
- Die Bearbeitung von Personendaten muss sich auf das erforderliche Mass im Rahmen der Kernfunktionalität der betreffenden App beschränken (Datensparsamkeit).
- Apps müssen die Nutzereinstellungen zum Datenschutz beachten und dürfen insbesondere nicht versuchen, von Nutzer die Einwilligung für unnötigen Zugriff auf Personendaten zu erhalten. Apple erwähnt ausdrücklich, dass Social Media-Apps für das Veröffentlichen von Fotos keinen Zugriff auf das Mikrofon verlangen dürfen.
- Apps sollen auf die Registrierung von Nutzern verzichten, sofern Nutzerkonten für die Funktionalität nicht erforderlich sind.
- Daten von Nutzern dürfen nur aus zwei Gründen mit Dritten geteilt werden: Einerseits für Verbesserungen der betreffenden App, andererseits für die Anzeige von Werbung.
- Standortdaten von Nutzern dürfen nur angefordert, wenn sie direkt relevant für die betreffende App und die entsprechenden Funktionen sind.
Zusätzliche Anforderungen für Gesundheit, Kinder und Social Media
Für die Bearbeitung von Personendaten von Kindern und von Daten über die Gesundheit sowie für Social Media-Apps gelten zusätzliche Anforderungen. Apps, die den Datenschutz verletzen, können aus dem App Store entfernt werden. Fehlbare Entwickler riskieren den Ausschluss aus dem Apple Developer Program.
Die vollständigen Anforderungen finden sich unter Ziffer 5.1 (Privacy) der App Store Review Guidelines. Im Übrigen verweist Apple auf die Privacy Best Practices und das Apple Developer Program License Agreement.
(Via 9to5Mac.)
Bild: Pixabay / LoboStudioHamburg, Public Domain.