Zum Inhalt springen Zur Navigation springen
Datenschutzerklärung in Apps – Inhalt, Form und der richtige Weg

Datenschutzerklärung in Apps – Inhalt, Form und der richtige Weg

Artikel von Anqi Chen·24. September 2025

Apps ermöglichen zahlreiche Funktionen – und greifen dafür oft tief in die Daten des Smartphones ein. Für Anbieter ist eine eigene Datenschutzerklärung daher unverzichtbar. Doch reicht es aus, einfach den Text der Webseiten-Erklärung zu übernehmen? Dieser Artikel zeigt, welche Besonderheiten Apps mitbringen – und wie diese in der Datenschutzerklärung berücksichtigt werden müssen.

Warum eine Datenschutzerklärung für Apps unerlässlich ist

Ein Smartphone ist ein sehr persönlicher Gegenstand: Es enthält Kontakte, Fotos, Kalender und begleitet uns auf Schritt und Tritt. Apps können auf all diese Informationen zugreifen – Nutzer reagieren deshalb zunehmend sensibel, wenn es um den Schutz ihrer Daten geht.

Ein wesentlicher Unterschied zwischen Apps und klassischen Webseiten besteht im Systemzugriff.

„Im Gegensatz zu dem Aufruf einer Webseite werden bei der Installation von Apps Berechtigungen bei dem Nutzer eingeholt, mittels derer der App-Anbieter über die Schnittstellen auf die Funktionen des Gerätes und somit auch auf Daten, welche auf dem Gerät gespeichert sind, eingegeben oder generiert werden, zugreifen kann. Während eine App somit auf Funktionen des Geräts potentiell zugreifen kann, wie z. B. Kamera, Mikrofon, Kontaktbuch, Standort, Telefon, SMS etc., ist es durch das bloße Aufrufen einer Webseite für den Webseitenanbieter im Allgemeinen nicht ohne Nutzerbetätigung möglich, über den Internetbrowser auf das Gerät des Nutzers in dieser weitgehenden Form zuzugreifen.“
(Düsseldorfer Kreis Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter v. 16. 6. 2014 S. 12).

Hinzu kommt, dass Apps im Hintergrund regelmäßig technische Daten erfassen – etwa Gerätekennungen, Nutzungsstatistiken oder Absturzberichte. Diese Informationen werden oft nicht nur an den Anbieter selbst, sondern auch an den App-Store oder eingebundene Dritte (z. B. SDK-Anbieter) übermittelt.

All diese Datenströme, ob für den Nutzer sichtbar oder nicht, müssen nach Art. 13 und 14 DSGVO transparent in der Datenschutzerklärung dargestellt werden.

Was muss in einer App-Datenschutzerklärung stehen?

Das Grundgerüst jeder Datenschutzerklärung bilden die Informationspflichten aus Art. 13 DSGVO. Anbieter müssen ihre Nutzer präzise, transparent und leicht zugänglich über alle Aspekte der Datenverarbeitung informieren – von den Zwecken und der Speicherdauer über die Empfänger bis hin zu den Rechten der Betroffenen und der Möglichkeit einer Beschwerde bei einer Aufsichtsbehörde. Werden Daten nicht direkt beim Nutzer erhoben, greifen dann die Pflichten aus Art. 14 DSGVO.

Für mobile Apps gelten dabei die gleichen Grundsätze wie für Websites, jedoch bestehen einige Besonderheiten bei der Verarbeitung und der Formulierung. Folgende Fragen müssen klar und verständlich beantwortet werden:

  • Wer ist der Verantwortliche?
    In der Regel ist dies der App-Anbieter, der über Zwecke und Mittel der Verarbeitung entscheidet. Der reine App-Entwickler ist häufig lediglich als Auftragsverarbeiter tätig und sollte in diesem Fall nicht als Verantwortlicher auftreten.
  • Welche Daten werden genau erfasst?
    Die Kategorien personenbezogener Daten sind konkret zu benennen. Dabei ist zu beachten, dass auch individuelle Gerätekennziffern sowie statische Identifier (z. B. MAC-Adresse, IMEI-Nummer oder SIM-Kartennummer) einen Personenbezug aufweisen und daher datenschutzrechtlich relevant sind.
  • Zu welchem Zweck erfolgt die Verarbeitung?
    Auch die Zwecke müssen klar offengelegt. Es muss genau beschrieben werden, welche Daten für welche Funktion der App erforderlich sind (z. B. Standortdaten für Navigationsfunktionen, Kamera für QR-Code-Scan).
  • Werden Daten an Dritte weitergegeben?
    Alle Empfänger sind transparent zu benennen – insbesondere beim Einsatz von Werbe- oder Analysediensten, SDKs oder externen Cloud-Diensten. Pauschale Hinweise auf „Dritte“ reichen nicht aus.

Darüber hinaus ist § 25 TDDDG zu beachten: Jeder Zugriff auf Informationen im Endgerät des Nutzers (z. B. Sensoren, Speicher, Kamera) erfordert eine informierte Einwilligung, sofern dieser Zugriff nicht unbedingt erforderlich für die Bereitstellung der App ist. Nutzer müssen also vorab nachvollziehen können, welcher Zugriff wofür benötigt wird.

Inhalt der App-Datenschutzerklärung: Mehr als nur eine Kopie der Webseite

Eine App-Datenschutzerklärung muss so individuell sein wie die App selbst. Die für Apps typischen Datenverarbeitungen in Verbindung mit den jeweiligen Funktionen müssen präzise beschrieben werden – eine bloße Kopie der Webseiten-Erklärung ist unzureichend.

Datenerhebung durch den App-Store

Bereits beim Herunterladen einer App werden Daten wie Nutzername, E-Mail-Adresse und Gerätekennziffer an den Betreiber des App-Stores (z. B. Apple, Google) übermittelt. Anbieter hätten zwar hierauf in der Regel keinen Einfluss, sollten jedoch in ihrer Datenschutzerklärung darauf hinweisen, dass diese Verarbeitung stattfindet bzw. der App-Store-Betreiber datenschutzrechtlich verantwortlich ist.

Auch bei der Abwicklung von Zahlungs- und Kaufdaten liegt in der Regel die Verantwortung beim jeweiligen Plattformbetreiber. Zudem können App-Stores Statistiken bereitstellen (z. B. Anzahl der Downloads, Herkunftsregionen). Diese Datenverarbeitungen sollten ebenso kurz erwähnt werden – selbst wenn der Anbieter keinen Einfluss darauf hat.

Die Artikel-29-Datenschutzgruppe hat bereits auf die Möglichkeit einer gemeinsamen Verantwortlichkeit von Entwicklern und App-Stores hingewiesen (WP 202, S. 30). App-Anbieter sollten daher im Einzelfall prüfen, ob eine solche Konstellation vorliegt.

Zu beachten ist außerdem, dass sich die technischen Gegebenheiten der Betriebssysteme (Android vs. iOS) unterscheiden. In der Datenschutzerklärung kann daher ein Hinweis aufgenommen werden, dass je nach Plattform unterschiedliche Datenerhebungen stattfinden können. Wird die App nicht über einen Store, sondern über die Website des Anbieters vertrieben, ist eine ergänzende Formulierung für den Webshop mit aufzunehmen.

Automatisch erhobene technische Daten

Sobald die App mit dem Internet verbunden ist, werden technische Daten an die Server des Anbieters übermittelt. Dazu zählen u. a. IP-Adresse, Geräte-Typ, Betriebssystemversion oder Log-Daten. Diese Angaben sind notwendig, um die Funktionsfähigkeit und Sicherheit der App sicherzustellen.

Erstellung eines Nutzeraccounts (Registrierung)

Erfordert die App eine Registrierung, muss die Datenschutzerklärung genau aufschlüsseln, welche Daten dafür erhoben werden (z. B. E-Mail-Adresse, Nutzername, Passwort). Hier gilt der Grundsatz der Datenminimierung: Pflichtfelder dürfen sich nur auf das beschränken, was für die Vertragserfüllung zwingend erforderlich ist. Der Zweck der Datenerhebung (z. B. Account-Verwaltung, Passwort-Wiederherstellung) ist klar zu benennen.

Aktive Zugriffsberechtigungen im Rahmen der Nutzung der App

Gemäß § 25 TDDDG bedarf jeder Zugriff auf Informationen im Endgerät des Nutzers (und das Setzen von Informationen) grundsätzlich einer informierten Einwilligung.

Dabei ist zu unterscheiden zwischen:

  • Systemebene (Betriebssystem): Das Smartphone fragt den Nutzer, ob ein technischer Zugriff grundsätzlich erlaubt wird (z. B. „Darf App XY auf die Kamera zugreifen?“). Hier geht es gewissermaßen nur darum, ob der Transportkanal geöffnet werden darf.
  • App-Ebene (Datenschutzerklärung): Hier muss vorab transparent erklärt werden, warum der Zugriff erforderlich ist und wie die App welche Daten nutzt  – also, ob und in welchem Umfang ein Datentransfer tatsächlich erlaubt ist.

Für jede Berechtigung muss in der Datenschutzerklärung daher der konkrete Zweck erläutert werden. Typische Beispiele:

  • Kamera / Mikrofon
    Nutzung für QR-Code-Scanner, Sprachnachrichten oder Videotelefonie.
  • Kontakte / Adressbuch
    Einladung von Freunden oder automatische Ausfüllhilfe (z. B. in Fahrten-Apps).
  • Kalender / Fotos / Medien
    Erstellung von Terminen oder Hochladen eines Profilbildes.
  • Standortdaten (GPS)
    Angabe, wofür die Daten genutzt werden (z. B. Kartenfunktionen) und ob die Erfassung nur im Vordergrund oder auch im Hintergrund erfolgt.
  • Sensoren (Bewegung/Beschleunigung)
    Begründung z. B. für Fitnessfunktionen (Schrittzähler).
  • Push-Benachrichtigungen
    Erklärung des Zwecks (z. B. Systemhinweise, Erinnerungen, Werbung).

Technische und nutzerbezogene Kennungen

Apps arbeiten mit einer Vielzahl von Kennungen, die eine Wiedererkennung von Geräten oder Nutzern ermöglichen. Auch wenn diese Daten oft pseudonymisiert erscheinen, gelten sie als personenbezogen, da eine Identifizierung mittelbar möglich ist. In der Datenschutzerklärung ist daher genau zu erläutern, welche Kennungen verarbeitet werden und zu welchem Zweck.

  • Gerätekennungen (z. B. UDID, DeviceID, IMEI):
    Diese weltweit eindeutigen Nummern können zur Identifizierung eines Geräts genutzt werden.
  • Werbe-IDs (Advertising Identifier – IDFA bei iOS, AAID bei Android):
    Diese dienen insbesondere für Tracking- und Werbezwecke. Nutzer müssen darüber informiert werden, dass sie diese ID in den Systemeinstellungen zurücksetzen oder deaktivieren können.
  • Push-Tokens:
    Werden Push-Benachrichtigungen eingesetzt, wird hierfür ein anonymer „Token“ generiert und auf den Servern gespeichert. Dieser Token ermöglicht es, Nachrichten an das jeweilige Gerät zuzustellen, ohne den Nutzer direkt identifizieren zu müssen.
  • Statische Identifier (z. B. MAC-Adresse, SIM-Kartennummer, Seriennummern):
    Solche Kennungen sind dauerhaft und ermöglichen eine eindeutige Wiedererkennung des Geräts über längere Zeiträume hinweg.

Weitergabe von Daten (Analyse-Dienste & SDKs)

Alle eingesetzten Drittanbieter-Dienste müssen transparent benannt werden. App-Anbieter sind verpflichtet, im Blick zu behalten, welche Daten über Software Development Kits (SDKs) erhoben werden.

  • Analyse-Dienste (z. B. Google Firebase, Adjust, AppsFlyer) – zur Nutzungsanalyse.
  • Absturzanalyse (z. B. Crashlytics) – zur Verbesserung der Stabilität.
  • Weitere SDKs – etwa für Werbung, Social-Media-Plugins oder Payment.

Die Einbindung von Drittanbietern ist ein zentraler Punkt, da hier häufig Daten in Drittländer übertragen werden. Auch auf entsprechende Transfermechanismen z.B. EU-SCC sollte hingewiesen werden.

Die Form: Wie und wo müssen die Informationen bereitgestellt werden?

Neben dem richtigen Inhalt ist auch die korrekte Form und Platzierung der Datenschutzerklärung entscheidend für die Rechtskonformität. Die Informationen müssen den Nutzer nicht nur erreichen, sondern dies auch zum richtigen Zeitpunkt und in verständlicher Weise.

Vor der Installation: Im App-Store

Der Nutzer muss sich bereits vor dem Download informieren können. Die vollständige Datenschutzerklärung ist daher zwingend auf der Produktseite der App im jeweiligen App-Store zu verlinken. Auch ergänzende Angaben der Plattformbetreiber (z. B. Apples App Privacy-Label oder Googles Data Safety-Abschnitt) müssen mit den Angaben in der Erklärung übereinstimmen.

Fehlt der Link zur Datenschutzerklärung, drohen nicht nur datenschutzrechtliche Risiken, sondern auch eine Ablehnung durch den App-Store.

„Bei Apps sollten die erforderlichen Informationen auch vor dem Herunterladen aus einem Online-Store zur Verfügung gestellt werden.“
(Artikel-29-Datenschutzgruppe WP 260 rev.01 S. 9).

Innerhalb der App: Jederzeit und leicht erreichbar

Es reicht nicht aus, die Erklärung nur beim ersten Start der App (Onboarding) anzuzeigen. Nutzer müssen die Datenschutzerklärung jederzeit abrufen können, um ihre Rechte wahrzunehmen oder Informationen zur Verarbeitung nachzulesen.

Während bei Webseiten teilweise eine Erreichbarkeit mit einem Klick gefordert wird, hat sich für Apps die sogenannte „Zwei-Klick-Regel“ etabliert. Eine bloße Anzeige beim ersten Start der App genügt nicht.

Bewährte Platzierungen sind z.B. ein eigener Menüpunkt „Datenschutz“ im Hauptmenü, ein Eintrag in den Einstellungen („Datenschutzerklärung“ oder „Rechtliches“) oder ein Link im „Über uns“-Bereich.

„Nach der Installation der App müssen die Informationen innerhalb dieser auch weiterhin leicht zugänglich sein. Indem sichergestellt wird, dass nie mehr als zwei Klicks erforderlich sind, um die Informationen aufzurufen (z. B. durch Einbindung der Auswahl „Datenschutz“ in die Menüfunktionen der App), kann dieser Anforderung nachgekommen werden. Zudem sollten sich die besagten Datenschutzinformationen konkret auf die jeweilige App beziehen und nicht bloß die allgemeinen Datenschutzbestimmungen des Unternehmens wiedergeben, welcher die App gehört oder welches sie der Öffentlichkeit zugänglich macht.“
(Artikel-29-Datenschutzgruppe WP 260 rev.01 S. 9).

Die Sprache: Präzise, transparent und verständlich

Die Datenschutzerklärung sollte klar gegliedert, mit Zwischenüberschriften und kurzen Sätzen strukturiert sein. Wo technische Begriffe unvermeidlich sind (z. B. „Werbe-ID“), sollten sie kurz erklärt werden – insbesondere mit Blick auf den Zweck der Verarbeitung.

Ein „Layer-Ansatz“ (gestufte Informationen) hat sich in der Praxis bewährt: Nutzer können sich zunächst einen Überblick verschaffen und bei Bedarf über aufklappbare Bereiche oder weiterführende Links Details nachlesen. Dies verbessert die Verständlichkeit und kommt zugleich den Transparenzpflichten nach.

Der Weg zur richtigen App-Datenschutzerklärung

Angesichts der Komplexität ist der Wunsch nach einer einfachen Mustervorlage zwar nachvollziehbar – doch genau hier lauert die größte Gefahr: Es gibt keine Vorlage, die für jede App passt. Der Funktionsumfang, die eingebundenen SDKs und die angeforderten Gerätezugriffe sind so individuell, dass eine Standard-Vorlage fast zwangsläufig zu Fehlern und rechtlichen Lücken führt.

Der richtige Weg zu einer rechtskonformen App-Datenschutzerklärung besteht aus vier Schritten:

  1. Analyse
    Gemeinsam mit den Entwicklern muss genau geprüft werden, welche Daten die App tatsächlich verarbeitet. Welche SDKs sind integriert? Welche Gerätezugriffe werden angefordert und wofür? Welche Daten werden an welche Server übermittelt?
  2. Strukturierung
    Die Ergebnisse der Analyse sind den rechtlichen Anforderungen aus Art. 13 DSGVO zuzuordnen und in einer klaren Gliederung aufzubereiten. Ein Muster für Datenschutzerklärungen kann dabei als Grundlage dienen – etwa um die Grundstruktur sowie allgemeine Klauseln zu den Betroffenenrechten, zum Verantwortlichen oder zu Beschwerdemöglichkeiten bei Aufsichtsbehörden vorzubereiten. Die app-spezifischen Datenverarbeitungen müssen jedoch stets individuell ergänzt und präzise beschrieben werden.
  3. Formulierung
    Jeder Verarbeitungsvorgang sollte so präzise wie möglich in einer verständlichen Sprache beschrieben werden. Vage Floskeln („zur Verbesserung des Nutzererlebnisses“) sind zu vermeiden.
  4. Prüfung
    Gerade bei Apps mit komplexen Funktionen oder Werbemodellen ist eine abschließende Prüfung durch den DSB zu empfehlen. Nur so lassen sich Haftungsrisiken und Ablehnungen durch App-Stores zuverlässig vermeiden.

Kein Copy-Paste, sondern individuelle Arbeit

Apps greifen auf verschiedene Funktionen des Smartphones zu. In der App-Datenschutzerklärung muss deshalb konkret erläutert werden, welche Zugriffsrechte bestehen und zu welchem Zweck diese genutzt werden. Muster können zwar als Grundlage für die Grundstruktur dienen – doch die app-spezifischen Funktionen, eingesetzten SDKs und Gerätezugriffe müssen immer individuell beschrieben werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.