Sophie Laurent, YuSMP Group
Sophie Laurent Legal & Compliance Lead, YuSMP Group · DSGVO, CCPA, Mobile Privacy Engineering

Warum Mobile-App-Sicherheit und DSGVO jetzt dringlicher sind

Zwei Dinge haben sich 2025–2026 verändert, die Mobile-App-Compliance dringlicher machen als je zuvor. Erstens: Enforcement. Die DSGVO ist seit 2018 in Kraft, aber Durchsetzungsmaßnahmen haben sich beschleunigt, mit bedeutenden Bußgeldern gegen Consumer-Apps wegen inkorrekter Einwilligung, SDK-Tracking und Datenweitergabe. Das ist kein theoretisches Risiko mehr — es ist ein Betriebsrisiko. Zweitens: Technische Komplexität. Das SDK-Ökosystem für Mobile-Apps ist in den letzten fünf Jahren explodiert; die durchschnittliche Consumer-App enthält 30–50 SDKs. Jedes davon ist ein potenzielles Compliance-Risiko, wenn es Daten sammelt oder weitergibt, ohne ordnungsgemäße Einwilligung.

Privacy by Design: technische Anforderungen

Privacy by Design ist kein Marketing-Konzept — es ist ein Artikel-25-DSGVO-Rechtserfordernis („Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“). Technisch bedeutet das, sieben Prinzipien in Ihrer Architektur zu implementieren:

  1. Proaktiv, nicht reaktiv. Datenschutzmaßnahmen beim Build einbauen, nicht als Reaktion auf Incidents. Das bedeutet Bedrohungsmodellierung vor dem Code-Schreiben.
  2. Datenschutz als Standard. Die datenschutzfreundlichste Einstellung muss die Standardeinstellung sein. Kein Opt-Out-by-Default für nicht-essentielle Daten.
  3. Datenschutz eingebettet in Design. Privacy-Anforderungen sind in Ihren User-Stories und Akzeptanzkriterien, nicht in einem separaten Compliance-Dokument.
  4. Volle Funktionalität. Datenschutz-Features sollten nicht auf Kosten anderer legitimer Interessen gehen — ein falsch positives Trade-off-Framing.
  5. Ende-zu-Ende-Sicherheit. Daten geschützt vom Punkt der Erhebung bis zur Löschung. Keine unverschlüsselten Zwischenspeicherungen.
  6. Sichtbarkeit und Transparenz. Nutzer können sehen und kontrollieren, welche Daten verarbeitet werden. Das erfordert Datenzugangs- und -exportflows in der App.
  7. Respekt für Nutzer-Privatsphäre. Daten nur für erklärte Zwecke, nicht für neue Zwecke ohne neue Einwilligung.

DSGVO-Einwilligung hat spezifische technische Anforderungen, die viele Mobile-Apps nicht erfüllen:

  • Granular, nicht pauschal. Nutzer müssen für verschiedene Verarbeitungszwecke separat zustimmen können: essentielle App-Funktionalität (keine Einwilligung erforderlich), Analytics und Performance, Personalisierung, Marketing und Werbung.
  • Kein Pre-Ticking oder Dark Patterns. Einwilligungs-Checkboxen dürfen nicht vorausgewählt sein. Das ist explizit in DSGVO-Leitlinien verboten.
  • Widerruf so einfach wie Einwilligung. Wenn das Einwilligen drei Taps dauert, muss das Widerrufen auch drei Taps dauern. Nicht weniger prominent, nicht in einem vergrabenen Menü.
  • Keine SDK-Initialisierung vor Einwilligung. Das ist die häufigste technische Compliance-Lücke. Analytics-SDKs, Werbe-SDKs und alle SDKs, die Nutzerdaten senden, dürfen erst nach Erhalt der entsprechenden Einwilligung initialisiert werden.
  • Einwilligungsaudit-Trail. Sie müssen beweisen können, dass jeder Nutzer zugestimmt hat, wann, zu was genau und mit welcher Formulierung zum Zeitpunkt der Einwilligung.
Mobile-App-Einwilligungsdialog mit granularen Datenschutz-Schaltern für Analytics und Personalisierung
Granulare, freiwillig erteilte Einwilligung: Jeder Verarbeitungszweck verfügt über einen eigenen Schalter. Vorausgewählte Kästchen und Einwilligungs-Wände sind nach DSGVO und EDSA-Leitlinien unwirksam.

SDK-Compliance-Audits

Der SDK-Audit ist die technische Arbeit, die die meisten Teams überspringen und die am häufigsten Compliance-Risiken schafft. Für jeden SDK in Ihrer App müssen Sie wissen:

  • Welche Daten sendet dieses SDK, wann startet es und an welche Server?
  • Gibt es eine DSGVO-konforme Konfigurationsoption (z.B. Analytics-ID-Anonymisierung)?
  • Haben Sie einen Auftragsverarbeitungsvertrag (DPA) mit dem SDK-Anbieter?
  • Ist der SDK-Anbieter außerhalb der EU? Wenn ja, welche Übertragungsmechanismus nutzen Sie (Standardvertragsklauseln, Angemessenheitsbeschluss)?
RegulierungGeltungsbereichTechnische HauptanforderungMobile-Besonderheit
DSGVOEU-Nutzer, überallRechtmäßige Grundlage, granulare Einwilligung, Nutzerrechte-FlowsSDK-Initialisierungs-Gating, DPAs für alle Drittanbieter
ATT (Apple)iOS-Apps, alle MärkteIDFA-Berechtigungs-Prompt, kein FingerprintingNSUserTrackingUsageDescription in Info.plist
CCPACA-Einwohner, Unternehmen >$25M oder 100k NutzerOpt-out aus Datenweitergabe, Löschrecht„Meine persönlichen Daten nicht verkaufen/teilen"-Flow
HIPAAUS-Gesundheits-AppsPHI-Verschlüsselung, BAAs mit Anbietern, Audit-LogsJailbreak-Erkennung, sichere Datenspeicherung, keine Cloud-Backup ohne Einwilligung

Datenverschlüsselung: Ruhezustand und Übertragung

Verschlüsselung ist sowohl ein DSGVO-Artikel-32-Erfordernis (technische Sicherheitsmaßnahmen) als auch eine grundlegende Sicherheitspraktik. Für Mobile-Apps:

Übertragungsverschlüsselung

  • TLS 1.3 für alle API-Kommunikation (TLS 1.2 mit modernen Cipher-Suites als Minimum)
  • Certificate Pinning für hochsensible Apps (FinTech, HealthTech) — verhindert Man-in-the-Middle-Angriffe auch wenn Root-CA kompromittiert ist
  • iOS App Transport Security (ATS) konfiguriert für TLS-Erzwingung, keine Ausnahmen für Produktions-Endpunkte

Ruhezustandsverschlüsselung

  • Sensitive Daten (Auth-Tokens, personenbezogene Daten, Zahlungsinformationen) im iOS Keychain oder Android Keystore gespeichert, nicht in SharedPreferences oder UserDefaults
  • Datenbank-Verschlüsselung für lokale SQLite-Datenbanken (SQLCipher oder nativer plattformverschlüsselter Storage)
  • Kein Cachen sensibler Daten im Klartext, einschließlich HTTP-Cache und Betriebssystem-Screenshot-Cache
Datenverschlüsselungs-Schema für Mobile-App-Architektur mit iOS Keychain und Android Keystore
Verschlüsselungs-Architektur für Mobile-Apps: Transit-Verschlüsselung (TLS 1.3 + Certificate Pinning für hochsensible Apps) und Ruhezustandsverschlüsselung (iOS Keychain / Android Keystore für sensitive Credentials). Kein Kompromiss bei beiden.

Apples App Tracking Transparency (ATT)

ATT ist Apples Enforcement des Einwilligungs-Prinzips für Cross-App-Tracking auf iOS. Technisch erfordert es:

  • Hinzufügen von NSUserTrackingUsageDescription in Ihrer Info.plist mit einer klaren Erklärung, warum Ihre App trackt
  • Aufrufen von ATTrackingManager.requestTrackingAuthorization vor dem Zugriff auf die IDFA
  • Die App muss IDFA-lose funktionieren, wenn Nutzer ablehnen — Funktionalitäts-Degradation als Strafe für Ablehnung ist eine Store-Verletzung
  • Kein Fingerprinting als ATT-Umgehung: IP + User-Agent + Bildschirmauflösung kombinieren für Tracking ist explizit gegen Apples Richtlinien

In der Praxis bedeutet das, dass Ihre Analytics und Attribution ohne IDFA funktionieren müssen. Die Branche hat sich auf SKAdNetwork (Apples Privacy-Preserving-Attribution-Framework) und aggregationsbasierte Analytics umgestellt. Das erfordert Engineering-Arbeit, aber keine DSGVO-Compliance-Kompromisse.

CCPA für Mobile-Apps

Der California Consumer Privacy Act gilt für Apps, die Daten von Einwohnern Kaliforniens verarbeiten und bestimmte Schwellenwerte überschreiten (jährlicher Bruttoumsatz >$25M oder Verarbeitung von Daten von >100.000 Nutzern). Technische Anforderungen:

  • Ein auffälliger „Meine persönlichen Daten nicht verkaufen oder teilen“-Link/Flow innerhalb der App
  • Optout-Mechanismus, der tatsächlich das Stoppen der Datenweitergabe an Werbenetzwerke auslöst, nicht nur eine Präferenz-Flag setzt
  • Löschanfragen-Flow (ähnlich DSGVO-Artikel-17) implementiert und innerhalb von 45 Tagen erfüllt
  • Global Privacy Control (GPC)-Signal-Erkennung für Web-Views innerhalb der App

Datenschutzverletzungs-Reaktionsplan

Die DSGVO erfordert eine Benachrichtigung der Aufsichtsbehörde innerhalb von 72 Stunden nach Entdeckung einer Verletzung, die ein Risiko für Rechte und Freiheiten natürlicher Personen darstellt. Technisch bedeutet das:

  • Monitoring-Stack für Anomalie-Erkennung (ungewöhnliche Datenzugriffsvolumen, unerwartete API-Aufrufmuster)
  • Incident-Response-Runbook mit technischen Schritten für Eindämmung, forensische Konservierung und Impact-Assessment
  • Klare Eskalationspfade: wer wird wann benachrichtigt, und wer ist für die Aufsichtsbehörden-Einreichung verantwortlich
  • Vorlage für Nutzerbenachrichtigung bereit (wenn die Verletzung ein hohes Risiko für Nutzer darstellt, müssen betroffene Personen direkt benachrichtigt werden)

Technische Compliance-Checkliste

Eine Zusammenfassung der technischen Punkte, die für DSGVO-Compliance in einer Mobile-App erforderlich sind:

Architektur und Datenstrom

  • Daten-Flow-Diagramm, das zeigt, was gesammelt, wo gespeichert und an wen gesendet wird
  • Datenminimierungs-Review: alles, was gesammelt wird, hat einen dokumentierten Zweck
  • Aufbewahrungsrichtlinien implementiert (Daten werden nach definiertem Zeitraum gelöscht)

Einwilligung und Nutzerrechte

  • Granulares Consent-Management implementiert (separate Zwecke, kein Pre-Ticking)
  • Keine SDK-Initialisierung vor Einwilligung für nicht-essentielle SDKs
  • Einwilligungs-Audit-Trail (Zeitstempel, Formulierung, Nutzer-ID)
  • Datenzugangs-, -export- und -löschungsflows implementiert
  • Widerruf-Flow genauso einfach wie Einwilligungs-Flow

Sicherheitstechnik

  • TLS 1.3 für alle API-Kommunikation
  • Certificate Pinning für hochsensible Apps
  • Sensitive Daten in iOS Keychain / Android Keystore
  • Kein Klartext-Caching sensibler Daten
  • Jailbreak/Root-Erkennung für HealthTech und FinTech (HIPAA/PCI-Anforderung)

SDK und Drittanbieter

  • Vollständiger SDK-Audit: was sendet jeder SDK, wann?
  • DPAs mit allen Datenverarbeitenden Drittanbietern
  • Drittanbieter-Datenübertragungsmechanismus für Nicht-EU-Anbieter (SCC oder Angemessenheit)
  • ATT-Implementierung (iOS): NSUserTrackingUsageDescription und Berechtigungs-Flow

FAQ

Gilt die DSGVO für Mobile-Apps?

Ja, wenn die App Daten von Personen in der EU verarbeitet, unabhängig davon, wo das Unternehmen ansässig ist. Wenn Ihre App im EU-App-Store verfügbar ist und EU-Nutzer sie herunterladen können, sind Sie DSGVO-pflichtig für die Datenverarbeitung dieser Nutzer. Das umfasst Erhebung personenbezogener Daten, Tracking für Analytics oder Werbung, Weitergabe von Nutzerdaten an Drittanbieter-SDKs und Profiling. Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes oder €20 Millionen betragen.

Was ist Privacy by Design und was erfordert es technisch?

Privacy by Design bedeutet, Datenschutzmaßnahmen in die Architektur der App einzubauen, nicht nachträglich hinzuzufügen. Technisch erfordert es: Datenminimierung, Zweckbindung, Speicherbegrenzung, Verschlüsselung, einwilligungsbasierter Datenfluss und Nutzerrechte-Flows für Datenzugang, -löschung und -export auf Anfrage.

Was ist Apples App Tracking Transparency (ATT) und wen betrifft es?

ATT ist Apples Framework, das erfordert, dass Apps explizit um Erlaubnis bitten müssen, bevor sie die IDFA für geräteübergreifendes Tracking verwenden. Es betrifft jede iOS-App, die die IDFA verwendet, Fingerprinting durchführt oder Nutzeraktivität über verschiedene Apps oder Websites verknüpft. Die technische Implementierung erfordert das ATT-Berechtigungs-Prompt mit NSUserTrackingUsageDescription.

Welche SDKs stellen das größte DSGVO-Compliance-Risiko dar?

Die höchsten Risiken kommen von Analytics-SDKs, Werbenetzwerken, Social-Login-SDKs und Crash-Reporting-SDKs, die personenbezogene Daten in Stack-Traces enthalten können. Die technische Lösung ist SDK-Daten-Audit, Einwilligungs-Gating für nicht-essentielle SDKs und Auftragsverarbeitungsverträge (DPAs) mit jedem Drittanbieter.

Zuletzt aktualisiert am 19. Juni 2026.