Software Development Kits als App-Risiko

Fachbeitrag

Nicht nur große und erfolgreiche Unternehmen bieten ihre Produkte und Dienstleistungen über Apps an, sondern gerade auch junge Unternehmen, die verstärkt auf digitale Inhalte setzen. Und da kommen oft Programmbibliotheken ins Spiel.

Was soll die App können?

Typischerweise beschäftigen sich Unternehmen zunächst mit solchen Fragen wie, was die App im Einzelnen können soll. Soll diese im Grunde die Funktionalitäten der Webseite nachbilden (Web-App) oder möglichweise auch über exklusive Leistungsmerkmale verfügen (Native App)? Verstärkt gibt es auch Unternehmen, deren Leistungen ausschließlich mittels einer App in Anspruch genommen werden können. In jedem Fall ist die UI/Usability von großer Bedeutung. Spätestens nach Abschluss der App-Planung steht aber die Realisierung der App an.

Wie entsteht die App?

Eine App kann auf unterschiedliche Weise entstehen. Ist ausreichend know-how im Unternehmen vorhanden, kann diese selbst programmiert werden. In der Regel wird aber auf vorgefertigte Lösungen im Netz zurückgegriffen oder eine Agentur beauftragt, welche u.U. dies ebenso macht. Dies ist per se auch nicht schlecht. Kann aber auch (ungewollte) Risiken begründen.

Entwicklungshilfe durch Software Development Kits

Ausgangspunkt ist die naheliegende Idee, nicht jeden Tag das Rad neu erfinden zu müssen. Viele Punkte sind bei einer App, vergleichbar wie bei einer Webseite, übertragbar. Daher gibt es auf dem Markt eine Vielzahl von Software Development Kits (SDK), welche als Programmbibliothek die Grundlage für die konkrete App darstellen, generell also eine Sammlung von Hilfsmitteln darstellt.
Die Kosten für diese SDKs sind unterschiedlich, manchmal sind auch bestimmte Zusatzfunktionen kostenpflichtig. Auch Facebook, welches nahezu seine gesamten Umsätze durch Werbung erzielt, stellt ein solches SDK zur Verfügung.

Und während vorgefertigte Lösungen eine Vielzahl von Vorteilen bietet, begründen eben diese auch Risiken.

Risiko „Black Box“

Ehrlicherweise muss man sagen, dass praktisch kein Unternehmen, dass auf SDKs zurückgreift, den Code vor Verwendung prüft. Nicht selten enthalten diese SDKs aber Tracking-Funktionen, nicht ausschließbar sind auch Defizite auf der Programmiererebene. Das Problem daran ist, dass dies den Nutzern des SDKs nicht immer klar kommuniziert wird, in solchen Fällen damit aber in der Regel eine rechtswidrige Übermittlung von Nutzerdaten einhergeht.

Das ist Ihnen egal?

Immer wieder werden solche Vorfälle auch in den Medien diskutiert, betroffen sind zum Teil auch besonders sensible Daten. Das ist Ihnen egal, sie haben ohnehin nichts zu verbergen? Entscheiden Sie selbst:

Aber auch sonst sieht es recht düster aus

Man könnte nun denken, dass App-Anbieter leichtes Spiel haben, angesichts der geringen Wahrscheinlichkeit medial benannt zu werden – und damit Imageschäden und Bußgeldrisiken zu begründen.

Nicht ganz. Der Trend ist eindeutig, immer mehr Nutzer interessieren sich auch im digitalen Raum für Ihre Privatsphäre. Und diese haben bspw. mit Plattformen wie Exodus Privacy Möglichkeiten, Apps einfach selbst zu prüfen. Probieren Sie es doch einfach einmal aus, mit Apps, die Sie oft und gerne verwenden (z.B. Banking, Bildbearbeitung, Musik oder Gesundheitsapps).

Was sollten App-Anbieter beachten?

Verantwortlich für die Einhaltung der gesetzlichen Vorgaben einer App ist der App-Anbieter. Die Anforderungen sind im Wesentlichen gleich mit deren für Webseiten. Stets erforderlich ist eine Datenschutzerklärung (abrufbar innerhalb der App und im jeweiligen App-Store). In dieser ist u.a. transparent zu erläutern, welche personenbezogene Daten zu welchen Zwecken verarbeitet werden, insbesondere, für Tracking, Analyse oder Werbung und inwieweit Drittanbieterkomponenten eingesetzt werden. In vielen Fällen bedarf dafür einer Einwilligung durch den Nutzer. Nicht selten erfolgen Zugriffe auf die Werbe-ID des jeweiligen Geräts/OS oder ermöglichen eine „komfortablen“ Log-In per Facebook-Account. All dies führt oft dazu, dass Dritte neben der IP-Adresse eine Vielzahl von Nutzerdaten erhalten.

Bei den Datenschutzerklärungen sind also nicht nur Verarbeitungen zu beachten, welche unmittelbar durch den Anbieter selbst implementiert und daher gewünscht wurden, sondern eben auch solche, welche über ein SDK erfolgen. Unwissenheit schützt nicht.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.