Datenschutz beim App Tracking: Das zählt

Viele Unternehmen ergänzen ihren Online‑Shop inzwischen durch eine eigene App und bieten ihren Kund*innen damit ein bequemes Einkaufserlebnis direkt auf dem Smartphone. Push‑Benachrichtigungen, personalisierte Angebote und eine einfache Navigation sollen die Kundenbindung stärken und den Umsatz steigern. Auch hier spielt Marketing eine wichtige Rolle, etwa durch die Analyse des Nutzerverhaltens.

In diesem Beitrag erklären wir, worauf es beim datenschutzkonformen App Tracking ankommt und warum technische Einstellungen wie Apple ATT allein dafür nicht ausreichen.

Warum ist App Tracking datenschutzrechtlich relevant?

Apps verarbeiten regelmäßig Daten, mit denen Nutzerinnen und Nutzer wiedererkennbar gemacht werden können, auch dann, wenn kein Name oder Nutzerkonto hinterlegt ist. Dazu zählen unter anderem IP‑Adressen, das Nutzungsverhalten innerhalb der App sowie Geräte‑ und Werbe‑IDs. Solche Informationen gelten datenschutzrechtlich als personenbezogen, sobald sie einem bestimmten Gerät oder Nutzer zugeordnet werden können.

Für Online‑Shops bedeutet das: Wer in einer App Tracking‑ oder Marketing‑Tools einsetzt, bewegt sich im Anwendungsbereich der DSGVO.

Wichtige Begrifflichkeiten rund um das App Tracking

Rund um das App Tracking werden viele technische Begriffe verwendet. Im Folgenden schlüsseln wir die wichtigsten auf, um die datenschutzrechtlichen Anforderungen besser einordnen zu können.

• App Tracking Transparency (ATT)
  ATT ist ein von Apple 2021 eingeführtes Framework, das Nutzern die Kontrolle darüber gibt, ob ihr Verhalten App‑übergreifend zu Werbezwecken verfolgt werden darf. Ohne aktive Einwilligung ist IDFA‑basiertes Cross‑App‑Tracking nicht erlaubt.
• Identifier for Advertisers (IDFA)
  Die IDFA ist eine zufällige Geräte‑Werbe‑ID auf Apple‑Geräten, die es ermöglicht, Nutzer*innen über mehrere Apps hinweg wiederzuerkennen. Sie kann vom User gelöscht oder zurückgesetzt werden.
• Google Advertising ID (GAID)
  Die GAID ist die entsprechende Werbe‑ID auf Android‑Geräten und funktional mit der IDFA vergleichbar.
• Software Development Kits (SDKs)
  SDKs sind Software‑Bausteine, die Apps z. B. für Analyse‑, Marketing‑ oder Werbezwecke nutzen. Da sie häufig eigenständig Daten erfassen und an Drittanbieter übermitteln, dürfen sie nur nach einer App‑bezogenen Einwilligung aktiviert werden.

ATT‑Zustimmung und ihre Folgen für das Tracking

Wenn Nutzerinnen und Nutzer eine App auf einem iPhone erstmals öffnen, erscheint in der Regel ein von Apple vorgegebenes Hinweisfenster zur App Tracking Transparency (ATT). Darin wird gefragt, ob die App den Nutzer über andere Apps und Websites hinweg zu Werbezwecken verfolgen darf.

Erlaubt der Nutzer ATT, darf die App technisch auf die Werbe‑ID des Geräts (IDFA) zugreifen und diese für personalisierte Werbung nutzen. Lehnt der Nutzer ATT ab, blockiert Apple den Zugriff auf die IDFA. Damit ist insbesondere das Cross‑App‑Tracking untersagt.

Die App bleibt auch ohne ATT-Zustimmung nutzbar und kann interne, pseudonyme Statistiken erfassen, solange kein IDFA-Zugriff, keine Profilbildung und kein App-übergreifendes Tracking erfolgt.

Getrennte Einwilligungen für Website und App

Website und App sind technisch und rechtlich getrennte Systeme. Eine Einwilligung, die für Cookies auf der Website eingeholt wird, gilt nicht automatisch für die Datenverarbeitung in einer App.

In der Praxis bedeutet das:

• Web‑Tracking benötigt einen eigenen Web‑Consent
• App‑Tracking benötigt einen separaten App‑Consent

Besonderheit Webview

Eine Webview ist ein in eine App integrierter Browserbereich, über den Inhalte von Websites direkt innerhalb der App angezeigt werden. Auch wenn der User die App nicht verlässt, handelt es sich um einen Website‑Aufruf. Hier müssen die Datenschutzvorgaben der DSGVO und die Regelungen des TDDDG, sowie die Einbindung eines Cookie‑Banners beachtet werden.

Eine Cookie‑Zustimmung darf jedoch nicht genutzt werden, um App‑Tracking oder SDKs zu aktivieren. Umgekehrt gilt ebenso: Eine Zustimmung zu ATT erlaubt kein Tracking auf der Website. Beides muss getrennt betrachtet werden.

Wie wird der Consent in der App richtig eingeholt?

Damit App Tracking DSGVO‑konform erfolgt, braucht es eine transparente Einwilligung direkt in der App. Üblich sind Consent‑Screens beim ersten Start oder In‑App‑Banner, die erklären, welche Daten verarbeitet werden, zu welchen Zwecken und welche Drittanbieter eingebunden sind.

ATT regelt dabei nur die technische Freigabe für IDFA‑basiertes Cross‑App‑Tracking. Die rechtliche Grundlage für das Tracking innerhalb der App bildet stets der App‑Consent nach der DSGVO.

Zu beachten ist ebenfalls eine App‑spezifische Datenschutzerklärung bereitzustellen. Nutzerinnen und Nutzer müssen klar nachvollziehen können, was genau in der App geschieht. Allgemeine Hinweise aus der Website‑Datenschutzerklärung reichen hierfür nicht aus. Vielmehr sollte die Datenschutzerklärung ausdrücklich die innerhalb der App stattfindenden Verarbeitungen, eingesetzten Tracking‑Technologien und Empfänger der Daten beschreiben.

Unser Tipp

Apple ATT hat die Kontrolle der Nutzerinnen und Nutzer im App Tracking gestärkt. Für Unternehmen bleibt jedoch die Verantwortung, Tracking DSGVO‑konform umzusetzen. Entscheidend ist vor allem, App‑ und Web‑Tracking sauber voneinander zu trennen und Einwilligungen dort einzuholen, wo die Daten tatsächlich verarbeitet werden.