Auch unter Software- und Diensteanbietern dürfte sich inzwischen herumgesprochen haben, dass die europäische Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018 anwendbar wird. Die Verarbeitung personenbezogener Daten wird im Rahmen des Anwendungsbereichs dann an den Maßstäben der DSGVO (sowie dem BDSG-neu) zu messen sein und das aktuell noch geltende Bundesdatenschutzgesetz (BDSG) sowie die entsprechenden Regelungen des Telemediengesetzes (TMG) ohne weitere Übergangszeit ersetzen. Vielen Anbietern scheint jedoch nicht klar zu sein, dass insbesondere auch Apps von den zum Teil deutlich strengeren Anforderungen der DSGVO betroffen sind und welche Folgen ihnen bei Nichtbeachtung drohen. Eine vollständige Darstellung der neuen Regelungen würde den Rahmen sprengen.
Der Beitrag soll App-Anbieter vielmehr auf die für sie besonders risikoträchtigen „Minenfelder“ aufmerksam machen und insbesondere folgende Fragen beantworten:
Wann gilt die DSGVO überhaupt? Insbesondere:
- in Bezug auf welche Informationen ist die DSGVO anwendbar?
- bin ich als App-Anbieter überhaupt betroffen?
Welche Anforderungen muss die App erfüllen (Datenschutzprinzipien)? Insbesondere:
- unter welchen Voraussetzungen darf eine App personenbezogene Daten erheben (Rechtmäßigkeit)?
- welche Daten darf der App-Anbieter erheben (Datenminimierung)?
- welche Maßnahmen muss der App-Anbieter ergreifen (Privacy by Design, Privacy by Default)?
Welche Rechte haben Betroffene gegen App-Anbieter (Betroffenenrechte)? Insbesondere:
Welche Rechenschaftspflichten muss der App-Anbieter erfüllen?
Was droht dem App-Anbieter bei einem Verstoß gegen die DSGVO (Bußgelder)?
Für umfassendere Informationen empfehle ich einen Blick in den Praxisleitfaden „Die Datenschutz-Grundverordnung – Das neue Datenschutzrecht in der betrieblichen Praxis“. Wer sich zudem darüber informieren will, wie sich die Datenschutzaufsichtsbehörden bislang zu verschiedenen Fragen zur DSGVO geäußert haben, findet hier eine aktuelle Übersicht.
A. WANN GILT DIE DSGVO ÜBERHAUPT?
Die DSGVO findet Anwendung sobald „personenbezogene Daten“ verarbeitet werden. Art. 4 Nr. 1 S. 1 DSGVO definiert personenbezogene Daten als
„…alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen…“
Eine natürliche Person ist der Verordnung nach bereits dann als identifizierbar anzusehen, wenn sie „direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung […] identifiziert werden kann“. Während dies unter dem BDSG zum Teil noch umstritten war, gilt die DSGVO damit eindeutig auch für die Verarbeitung von IP-Adressen, Cookie- und sonstige Kennungen. Mit anderen Worten: Sobald eine Anwendung Informationen erhebt, speichert, übermittelt oder auf sonstige Weise verarbeitet, die – wenn auch nur indirekt bzw. über Umwege – einer natürlichen Person zugeordnet werden können, ist die DSGVO anwendbar. Dies ist z.B. der Fall, wenn Apps den Namen und die Adresse der Nutzer abfragen, aber auch schon dann, wenn „nur“ die Device-ID gespeichert wird.
Keine Anwendung findet die DSGVO lediglich dann, wenn diese Daten anonymisiert worden sind. Dafür ist erforderlich, dass die Daten derart verändert wurden, dass die hinter Angaben stehende betroffene Person gar nicht bzw. nicht mehr identifiziert werden kann. Wird zum Beispiel eine IP-Adresse erhoben, kann es genügen, diese bei Erhebung unwiderruflich um das letzte Oktett zu kürzen (sog. IP-Masking). Eine Pseudonymisierung genügt hingegen nicht, um sich dem Anwendungsbereich der DSGVO zu entziehen.
Die Frage „Für wen gilt die DSGVO überhaupt?“ ist verfehlt, vielmehr muss man fragen „Für wen gilt die DSGVO eigentlich nicht?“. Denn fast alle App-Anbieter, die mit ihren Apps in einem Zusammenhang mit der EU stehen, werden unter den Anwendungsbereich der Verordnung fallen. Insbesondere sind die Datenschutzvorschriften nunmehr in räumlicher Hinsicht nicht mehr auf Datenverarbeitungen beschränkt, die im Hoheitsbereich der Mitgliedstaaten stattfinden. Die DSGVO gilt vielmehr insbesondere für die Datenverarbeitung:
- durch Anbieter mit Niederlassung in der EU
Die DSGVO gilt für jeden Verantwortlichen sowie jeden Auftragsverarbeiter, der im Rahmen der Tätigkeiten einer Niederlassung in der EU personenbezogene Daten verarbeitet.
- durch Anbieter, deren Niederlassung außerhalb der EU belegen sind, wenn:
1. sich die von der Datenverarbeitung betroffene Person in der EU befindet.
Auf die Staatsangehörigkeit, den Status als Unionsbürger oder die Dauer des Aufenthalts des Betroffenen kommt es dabei nicht an.
2. ein Angebot von Waren und Dienstleistungen in der EU erfolgt.
Dies dürfte einer der Hauptanwendungsfälle für App-Anbieter sein. Jede App, die beispielsweise im deutschen App-Store zum Kauf bzw. Download angeboten wird, unterfällt bereits dem räumlichen Anwendungsbereich der DSGVO, unabhängig davon, wo der Anbieter der App seinen Sitz hat.
3. eine Beobachtung der betroffenen Person erfolgt (z.B. durch Tracking oder Profiling), soweit das beobachtete Verhalten in der EU erfolgt.
Sobald der Anbieter bzw. die Datenverarbeitung durch seine App einer der genannten Fallgruppen unterfällt, ist die DSGVO zu beachten. Dabei kann sich der Anbieter nicht (mehr) dahinter verstecken, nicht Verantwortlicher für die Datenverarbeiter zu sein. Auch der „nur“ im Auftrag des Verantwortlichen die Daten Verarbeitende (sog. Auftragsverarbeiter) fällt ausdrücklich in den Anwendungsbereich der Verordnung.
Dieser räumliche Anwendungsbereich gilt im Übrigen per Gesetz und kann insbesondere nicht durch eine Rechtswahlklausel (z.B. in den Allgemeinen Geschäfts- oder Nutzungsbedingungen) abbedungen werden.
B. WAS MUSS DER APP-ANBIETER BEACHTEN?
Die DSGVO enthält eine Fülle an konkretisierten Anforderungen, die der App-Anbieter beachten muss. Dem liegen die in Artikel 5 der DSGVO festgelegten datenschutzrechtlichen Prinzipien zugrunde, die stets und bei jeder Datenverarbeitung zu berücksichtigen sind: „Rechtmäßigkeit“, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“, „Speicherbegrenzung“ sowie „Integrität und Vertraulichkeit“. Im Folgenden seien die für das Angebot von Apps wohl wichtigsten Grundsätze der „Rechtmäßigkeit“ sowie der „Datenminimierung“, dort insbesondere „Privacy by Design“ und “Privacy by Default“ skizziert:
Das sollte für keinen Anbieter, der personenbezogene Daten verarbeitet neu sein: Wie bereits nach aktueller Rechtslage ist auch nach der DSGVO jede Verarbeitung personenbezogener Daten verboten, wenn sie nicht durch eine Einwilligung der betroffenen Person oder einen gesetzlichen Erlaubnistatbestand (vgl. Art. 6 DSGVO) ausnahmsweise erlaubt ist.
1. Einwilligung
Möchte der App-Anbieter eine Einwilligung der betroffenen Person einholen, werden an deren Wirksamkeit hohe Anforderungen gestellt. Insbesondere muss eine Einwilligung freiwillig und durch eine ausdrückliche Erklärung oder sonstige eindeutig bestätigende Handlung erfolgen. Ein Schweigen, die Untätigkeit oder das reine Dulden genügt hingegen nicht.
Das bedeutet in der Praxis insbesondere, dass die Möglichkeit des Opt-out keine Einwilligung darstellen kann. Sofern die DSGVO explizit die Auswahl technischer Einstellungen bei Diensten der Informationsgesellschaft nennt, setzt auch dies eine aktive Auswahl voraus und nicht das bloßes Bestehenlassen der vom Anbieter gesetzten Voreinstellungen. Die DSGVO sieht zudem vor, dass die Aufforderung bei Einholung einer Einwilligung auf elektronischem Weg in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes erfolgen muss, für den die Einwilligung gegeben wird. Pop-ups dürften somit ausscheiden.
Neu und zwingend erforderlich ist nunmehr auch, dass die betroffene Person bereits bei Abgabe der Einwilligung auf das Widerrufsrecht hingewiesen wird.
Überdies ist das Kopplungsverbot zu beachten, nach dem die Freiwilligkeit verneint werden kann, wenn unter anderem die Erfüllung eines Vertrags von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig gemacht wird, die für die Erfüllung des Vertrags nicht erforderlich sind. Siehe hierzu auch „Kopplungsverbot – der Einwilligungskiller nach der DSGVO“.
Darüber hinaus richten sich viele Apps an Minderjährige. An deren Einwilligung werden weitere strenge Anforderungen gestellt, die sich aus Art. 8 DSGVO ergeben. So ist bis zur Vollendung des 16. Lebensjahres die Einwilligung der Erziehungsberechtigten erforderlich. Um sich zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde, hat der Verantwortliche unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen zu unternehmen. Eine Ausnahme hiervon gilt lediglich im Zusammenhang mit Präventions- oder Beratungsdiensten.
Welche Maßnahmen angemessen sind, muss dabei jeweils im Einzelfall bewertet werden. Dabei ist neben der verfügbaren Technik insbesondere zu berücksichtigen, welche Art von Daten des Minderjährigen betroffen ist. Je sensibler die Daten, desto aufwändiger muss das Prüfverfahren durch den Verantwortlichen auszugestalten sein. Nicht ausreichend ist regelmäßig die einfache Bestätigung Setzen eines Hakens oder durch Anklicken eines Bestätigungsfeldes, dass die elterliche Einwilligung vorliegt.
Eine Möglichkeit der Überprüfung kann zum Beispiel das Einsetzen eines Double-Opt-In-Verfahrens unter Berücksichtigung der elterlichen E-Mail-Adresse sein, aber auch das Übersenden eines von den Eltern unterschriebenen Dokuments per Post, Fax oder E-Mail, der Rückgriff auf Kreditkarten der Eltern zur Legitimation von Transaktionen bis hin zu einem (kostenfreien) Telefongespräch oder einer Videokonferenz mit den Eltern. Bei besonders sensiblen Daten sind in der Regel noch strengere Anforderungen zu erfüllen.
Erfüllt die Einwilligung die gesetzlichen Vorgaben nicht, ist die Einwilligung unwirksam und die Datenverarbeitung verboten. Widerruft die betroffene Person eine einmal abgegebene wirksame Einwilligung, ist die weitere Datenverarbeitung ab diesem Zeitpunkt ebenfalls nicht mehr erlaubt.
2. Gesetzliche Ausnahmetatbestand
Angesichts der Fallstricke auf dem Weg zur Wirksamkeit einer datenschutzrechtlichen Einwilligung, wird es für App-Anbieter regelmäßig besser sein, wenn sich die Datenverarbeitung auf eine gesetzliche Rechtfertigung stützen lässt. Neben den weiteren in Artikel 6 DSGVO genannten Ausnahmetatbeständen dürften die „Verarbeitung zu Vertragszwecken“ sowie das Bestehen „berechtigter Interessen“ die Hauptanwendungsfälle für App-Anbieter darstellen.
a. Verarbeitung zu Vertragszwecken
Auch weiterhin dürfen personenbezogene Daten verarbeitet werden, sofern die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Das können je nach angebotenem Dienst neben Bestandsdaten wie Name, Lieferadresse, Rechnungsadresse, Zahlungsdaten etc. auch Nutzungsdaten sein, wie z.B. Zugangsdaten, Daten über eine Inanspruchnahme von Leistungen oder Ähnliches.
b. Berechtigte Interessen
Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dabei ist zu berücksichtigen, dass entgegenstehende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person die berechtigten Interessen des Anbieters nicht überwiegen dürfen. Um zu bestimmen, ob die Datenverarbeitung hiernach zulässig ist, ist daher zu prüfen:
– Liegt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vor?
Das Interesse ist unter Berücksichtigung des konkreten Verarbeitungszweckes zu bestimmen. Ausreichend ist jedes rechtliche, wirtschaftliche oder auch ideelle Interesse, soweit es nicht gegen die Rechtsordnung der EU, des jeweiligen Mitgliedstaates oder gegen die in Art. 5 DSGVO normierten, datenschutzrechtlichen Grundsätze verstößt.
Beispielsweise können solche Interesse in der Gewinnerzielung, der Direktwerbung, der Verfolgung eigener Rechte, Verteidigung des eigenen Vermögens (z.B. gegen Betrug oder Hackerangriffe), der Vermeidung von Kosten der Datenhaltung oder der arbeitsteilige Datenverarbeitung innerhalb von Unternehmensgruppen zu sehen sein.
– Ist die Verarbeitung zur Wahrung des Interesses erforderlich?
Das kann bejaht werden, sofern die Verarbeitung zur Verwirklichung des zulässigen Interesses geeignet ist und insbesondere kein weniger eingriffsintensives Mittel (z.B. durch Anonymisierung der Daten) zur Verfügung steht.
– Überwiegen die Interessen der betroffenen Person?
Im Rahmen der Interessenabwägung nach Treu und Glauben sind die vernünftigen Erwartungen des Betroffenen an die Datenverarbeitung zugrunde zu legen. Nur wenn die Interessen der betroffenen Person gegenüber den Interessen des Verantwortlichen (oder eines Dritten) überwiegen, kann die Datenverarbeitung nicht auf ein berechtigtes Interesse gestützt werden.
3. Verarbeitung sensibler Daten
Ungeachtet der oben dargestellten Grundsätze ist die Erhebung und Verarbeitung sog. sensibler Daten nur unter den engen Voraussetzungen aus Art. 9 DSGVO erlaubt. Unter sensiblen Daten werden alle Informationen verstanden, aus denen „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“ sowie „genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. Entsprechende Daten werden regelmäßig von Dating-Apps (z.B. zu sexuellen Vorlieben) oder Sport- und Gesundheits-Apps (z.B. körperliche Leistungsdaten) verarbeitet.
Erlaubt ist die Verarbeitung sensibler Daten gem. Art. 9 Abs. 2 DSGVO jedoch nur bei entsprechender ausdrücklicher, explizit auf die Verarbeitung der konkret zu benennenden Daten bezogenen Einwilligung oder in den sonstigen sehr restriktiv auszulegenden Fällen (z.B. im Zusammenhang mit dem Arbeitsrecht, dem Recht der sozialen Sicherheit bzw. dem Sozialschutz, dem Schutz lebenswichtiger Interessen, Gesundheitsvorsorge usw.).
APP-Anbieter sehen sich dem (leider häufig zutreffenden) Vorurteil ausgesetzt, wahllos und ohne Zweckbindung Daten zu erheben und zu verarbeiten. Das bereits nach dem aktuellen BDSG geltende Verbot des „Daten-sammelns“, wird mit der DSGVO verschärft und konkretisiert.
Demnach muss jede Datenverarbeitung hinsichtlich des konkreten Zwecks angemessen und erheblich und auf das notwendige Maß beschränkt sein. Mit anderen Worten: Daten dürfen nur erhoben werden, wenn sie zur Erreichung des bei Erhebung der Daten die Datenverarbeitung legitimierenden Zwecks erforderlich sind. Dieser Grundsatz der Datenminimierung ist vom Anbieter nunmehr bereits durch die Gestaltung der technischen Systeme berücksichtigt werden (sog. „technischer Datenschutz“). Insbesondere aber haben App-Anbieter den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellung („Privacy by design“ und „Privacy by default“) zu gewährleisten.
Bereits bei der Entwicklung und Gestaltung von Apps, mit deren Hilfe Daten verarbeitet werden, sind zwingend die datenschutzrechtlichen Prinzipien zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen Den App-Anbieter trifft damit eine gesetzliche Verpflichtung bereits im Vorfeld „interne Strategien“ festzulegen die beispielsweise Maßnahmen zur frühestmöglichen Anonymisierung oder Pseudonymisierung, zur Herstellung von Transparenz für die betroffenen Personen und zur Gewährleistung von Kontrollmöglichkeiten durch die betroffenen Personen und den Verantwortlichen beinhalten. Weitere konkrete Beispiele werden z.B. von der European Union Agency for Network and Information Security genannt.
2. Privacy by default
App-Anbieter haben insbesondere durch die bei Auslieferung der App eingestellten Voreinstellungen sicherzustellen, dass standardmäßig nur solche personenbezogenen Daten verarbeitet werden, die für die konkreten Zwecke der Verarbeitung erforderlich sind. Bereits durch die Voreinstellung ist sicherzustellen, dass personenbezogene Daten nur in dem Umfang und für die Dauer erhoben oder gespeichert werden, wie dies für diese Zwecke erforderlich ist. Nur wenn die betroffene Person diese Voreinstellungen ändert, soll es möglich sein, über die App darüber hinausgehende Daten zu erheben.
C. BETROFFENENRECHTE – RECHT AUF DATENPORTABILITÄT
Die DSGVO führt überdies zu einer deutlichen Stärkung der Betroffenenrechte. Zwar stehen der betroffenen Person gegenüber dem App-Anbieter bereits jetzt Auskunfts- und Zugriffsrechte, das Recht auf Berichtigung, auf Löschung sowie auf Einschränkung der Verarbeitung (Sperrung) zu, diese erfahren im Detail aber zum Teil deutliche Ausweitungen. So ist der App-Anbieter nunmehr z.B. zur unverzüglichen Beantwortung von Auskunftsansprüchen verpflichtet. Auch wenn stets die konkreten Umstände des Einzelfalls zu beachten sind, wird man im Regelfall davon ausgehen dürfen, dass entsprechende Anträge spätestens innerhalb eines Monats ab deren Eingang zu beantworten sind.
Darüber hinaus stehen der betroffenen Person nunmehr als neue Rechte Widerspruchs- und Widerrufsrechte sowie das Recht auf Vergessen werden (Löschung) sowie auf Datenübertragbarkeit (Datenportabilität) zu. Letzteres soll im Folgenden etwas näher betrachtet werden:
Jede natürliche Person soll stets Herr seiner eigenen Daten sein, was grundsätzlich auch beinhaltet, dass er diese z.B. zu einem anderen Dienst „mitnehmen“ kann.
Sofern eine Datenverarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt, räumt die DSGVO der betroffenen Person daher das Recht ein, „die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln“.
Der Betroffene muss daher grundsätzlich die Möglichkeit erhalten, die von ihm eingegeben, hochgeladen oder von Dritten erhaltenen Daten zu portieren, um diese bei sich zu speichern und über diese verfügen zu können.
Welche Daten tatsächlich „von ihm bereitgestellt“ werden, kann im Einzelfall schwer zu bestimmen sein (z.B.: Film-/ Musikgeschmack). Davon umfasst sind wohl auch solche personenbezogene Informationen, die sich auf die Aktivität der betroffenen Person beziehen oder das Ergebnis einer Beobachtung seines Verhaltens darstellen(z.B. die gesehenen Filme), nicht hingegen die nachfolgende Analyse dieses Verhalten (z.B. Filmempfehlungen).
Für App-Anbieter von wesentlicher Bedeutung ist an dieser Stelle zudem, in welchem Format die Daten bereitgestellt werden müssen. Ein bestimmtes Format schreibt das Gesetz nicht vor. Es muss jedoch interoperabel sein, d.h. kontextabhängig und sektorspezifisch in Form einer übersichtlichen Anordnung der Informationen erfolgen und so bereitgestellt werden, dass eine automatisierte Auslesbarkeit und Verarbeitbarkeit durch Software möglich ist. Dabei trifft den App-Anbieter keine Pflicht, bestimmte technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Soweit technisch machbar kann die betroffene Person aber eine direkte Übermittlung von einem Verantwortlichen zum anderen verlangen.
Das Recht auf Datenübertragbarkeit darf die Rechte Dritter grundsätzlich nicht beeinträchtigen. Insbesondere bei Apps finden sich jedoch häufig Daten mit Doppelbezug. In diesem Fall ist durch den Anbieter eine Abwägung erforderlich und es kann davon ausgegangen werden, dass zumindest dann keine Beeinträchtigung von Rechten Dritter besteht, wenn die Daten beim neuen Anbieter für dieselben Zwecke verarbeitet werden wie bisher.
Als App-Anbieter sind daher geeignete Maßnahmen, wie z.B. das Bereitstellen von Download-Tools und APIs, die bei entsprechenden Anfragen zur Übermittlung von personenbezogenen Daten gem. unterstützend zum Einsatz kommen können.
Wie auch die sonstigen Betroffenenrechte muss insbesondere auch dieser Anspruch grundsätzlich unentgeltlich geltend gemacht werden können.
In seiner „Orientierungshilfe zur Auslegung und Umsetzung des Rechts auf Datenübertragbarkeit“ hat die Artikel-29-Gruppe konkrete Beispiele und Kriterien veröffentlicht, an denen sich auch App-Anbieter orientieren können.
Den App-Anbieter treffen, wie jeden Verantwortlichen, nach der DSGVO umfangreiche Informations-, Mitteilungs-, Dokumentations-, Nachweis- und Meldepflichten. Über die Einhaltung der Datenschutzvorschriften müssen sie gegenüber den Aufsichtsbehörden jederzeit Rechenschaft ablegen.
Rechenschaft ist insbesondere abzulegen über:
– die Einhaltung der Datenschutzgrundsätze (Art. 5 DSGVO)
– die Umsetzung der Wahrnehmung der Betroffenenrechte (Art. 12 – 22 DSGVO)
– das Führen eines Verfahrensverzeichnisses (Art. 30 DSGVO)
– die Sicherheit der Verarbeitung, insb. der technisch-organisatorischen Maßnahmen (Art. 32 DSGVO)
– die Vornahme einer Datenschutzfolgenabschätzung (Art. 35 DSGVO)
– die Maßnahmen zur unverzüglichen Meldung von Datenschutzverstößen an die zuständige Aufsichtsbehörden (Art. 33 DSGVO)
Die Umsetzung der Anforderungen der DSGVO kostet ohne Frage Geld und Ressourcen. Insbesondere kleinere App-Anbieter scheuen diesen Aufwand, zumal sie davon ausgehen, die Aufsichtsbehörden würden sich für sie als „kleine Fische“ nicht so sehr interessieren. Diese Einschätzung könnte jedoch teuer werden. Bei Verstößen gegen die Vorschriften der DSGVO können die Aufsichtsbehörden – unabhängig von der Unternehmensgröße und je nach den Umständen des Einzelfalls – Geldbußen i.H.v. 10.000 EUR bzw. 20.000 EUR oder im Fall eines Unternehmens von bis zu 2 % bzw. 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist. Es ist zu erwarten, dass die Aufsichtsbehörden nicht nur aufgrund eigener Ermittlungen bei großen Unternehmen oder aufgrund konkreter Hinweise (häufig durch ehemalige Mitarbeiter) tätig werden. Einige Aufsichtsbehörden werden auch – zum Teil branchenspezifisch oder nach dem Zufallsprinzip – Fragebögen verschicken, um die Einhaltung z.B. der Rechenschaftspflichten zu überprüfen. App-Anbieter sollten die bereits veröffentlichten Umsetzungshilfen und Fragebögen nutzen, um sich entsprechend vorzubereiten und Bußgelder zu vermeiden.