Die DSK-OH Datenschutzanforderungen an Apps (2014) gibt grundlegende Anforderungen, deren Prinzipien unter der DSGVO weiterhin gelten.
Privacy by Design und Privacy by Default (Art. 25 DSGVO): Datenschutz muss bereits in der Entwicklungsphase berücksichtigt werden. Die DSK-OH verlangt: Datenminimierung in der Architektur, sichere Datenübertragung (TLS/HTTPS), lokale Speicherung statt Cloud wenn möglich, keine unnötige Berechtigungsanfrage (Kamera, Mikrofon, Standort nur wenn funktional benötigt), datenschutzfreundliche Voreinstellungen.
Paragraph 25 TDDDG: Jeder Zugriff auf Informationen in der Endeinrichtung (Smartphone) erfordert eine Einwilligung, es sei denn, er ist unbedingt erforderlich. Dies betrifft Zugriff auf Kontakte, Kamera, Mikrofon, Standortdaten, Gerätekennungen. Die Endeinrichtung umfasst ausdrücklich Smartphones und andere vernetzte Geräte (Paragraph 2 Abs. 2 Nr. 6 TDDDG).
Informationspflichten (Art. 13 DSGVO): Eine app-spezifische Datenschutzerklärung ist erforderlich. Diese muss auf mobilen Geräten lesbar sein und alle Pflichtangaben des Art. 13 DSGVO enthalten. Die Erklärung muss vor dem Download oder spätestens vor der ersten Nutzung zugänglich sein.
Verantwortlichkeiten: App-Entwickler, App-Anbieter und Plattformbetreiber (Apple App Store, Google Play Store) können jeweils eigene datenschutzrechtliche Verantwortlichkeiten haben. Die Rollen müßen klar abgegrenzt werden.
Besonderer Schutzbedarf: Bei Gesundheits-Apps (Art. 9 DSGVO) und Apps für Kinder (Art. 8 DSGVO) gelten erhöhte Anforderungen.
Sicherheit (Art. 32 DSGVO): Sichere Authentifizierung, Verschlüßelung gespeicherter Daten, regelmäßige Sicherheitsupdates, keine Hardcodierung von Schlüßeln oder Passwörtern.