DSGVO-konforme App-Entwicklung in Deutschland: Checklist vor der Beauftragung einer Agentur

ABSCHNITT 1 – Warum DSGVO-first App-Entwicklung in Deutschland keine Option, sondern Pflicht ist

Stellen Sie sich vor: Sie bringen eine neue App für den deutschen Markt heraus. Nutzer sind zufrieden, Marketing läuft, Features werden ausgerollt. Einige Monate später erhalten Sie Post von einer Aufsichtsbehörde:

• Tracking-SDKs feuern schon beim ersten App-Start – bevor eine wirksame Einwilligung vorliegt.
• Die Datenschutzerklärung in der App beschreibt die Datenverarbeitung nur halb oder falsch.
• Im Vertrag mit der Agentur sind Rolle und Pflichten als Verantwortlicher (Controller) und Auftragsverarbeiter (Processor) nie sauber geregelt.

Ab diesem Moment geht es nicht mehr um Wachstum, sondern um Schadensbegrenzung: Features müssen deaktiviert werden, Flows und Texte werden in Hektik umgebaut, Partner und Investoren stellen unangenehme Fragen.

Rechtlich ist das kein Randthema: Fast jede moderne App verarbeitet personenbezogene Daten – etwa E-Mail-Adresse, Login-Daten, Werbe-IDs, IP-Adressen, Standort oder Nutzungsverhalten – und fällt damit voll unter die DSGVO.

Mit der neuen Einwilligungsverwaltungsverordnung (EinwV) hat der Gesetzgeber 2025 zusätzlich einen Rahmen geschaffen, um nutzerfreundliche Einwilligungsverwaltung zentral über sogenannte anerkannte Einwilligungsdienste zu ermöglichen – ein klares Signal, wie ernst das Thema Consent inzwischen genommen wird.

Kurz gesagt: Wenn Sie „nur eine App" einkaufen, kaufen Sie in Wahrheit auch Rechts-, Technik- und Reputationsrisiken mit ein. Wenn Sie DSGVO-konforme App Entwicklung in Deutschland einkaufen, kaufen Sie ein Produkt UND eine Rechtsposition.

Die folgende Checklist dockt genau dort an – mit Fokus auf DSGVO, TTDSG und Consent.

ABSCHNITT 2 – Hire/Trust: Ist Ihre Agentur wirklich „DSGVO-konform" oder nur im Pitchdeck?

Viele Angebote sehen auf den ersten Blick ähnlich aus: Tech-Stack, Screens, Stundensätze. Der Unterschied zeigt sich in den Fragen, die Sie stellen – und in den Antworten, die kommen.

2.1 Konkrete Erfahrung mit deutschen / europäischen Datenschutzanforderungen

Fragen Sie sehr direkt:

• Wie viele Projekte haben Sie für deutsche oder EU-Kunden umgesetzt, bei denen DSGVO und TTDSG aktiv berücksichtigt werden mussten?
• Können Sie live Apps zeigen, in denen Sie Consent Management und Privacy by Design umgesetzt haben?
• Haben Sie Erfahrung mit sensiblen Branchen (Gesundheit, Finanzen, HR, B2B-SaaS)?

Eine seriöse DSGVO-konforme App Entwicklungsagentur wird Ihnen konkrete Beispiele mit technischen Details nennen – nicht nur „Ja, wir machen DSGVO" sagen und das Thema wechseln.

2.2 Privacy by Design / Default als fester Teil des Prozesses

Artikel 25 DSGVO verlangt Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. In der Praxis heißt das:

• Bereits im Discovery-Workshop wird geklärt, welche Daten in welcher Tiefe wirklich benötigt werden.
• Datenminimierung: Es werden nur die Daten erhoben, die für die definierten Zwecke zwingend nötig sind.
• Es gibt ein klares Datenfluss- und Architekturdiagramm: Wo liegen welche Daten, wie lange, wer hat Zugriff?

Wenn eine Agentur in der frühen Phase nur über Features, Design und Roadmap spricht, aber nie über Datenkategorien, Rechtsgrundlagen oder Datenflüsse, dann ist „Privacy by Design" dort nur ein Buzzword.

2.3 Hosting, Infrastruktur und Drittstaatentransfers

Fragen Sie klar:

• In welchen Ländern stehen Produktions- und Backupsysteme?
• Welche Cloud-Provider kommen zum Einsatz?
• Werden Daten außerhalb der EU/EWR verarbeitet und wenn ja, auf welcher Rechtsgrundlage (z. B. EU-US-Datenabkommen, Standardvertragsklauseln)?

Für viele deutsche Unternehmen ist EU-Hosting (ggf. mit deutschen Rechenzentren) Standard. Eine Agentur, die Ihnen dazu keine eindeutige Antwort geben kann, ist für DSGVO-konforme App Entwicklung in Deutschland nicht bereit.

2.4 Datenschutz-Know-how und Partner

Ihre Agentur muss keine Kanzlei sein. Aber sie muss:

• mit Ihrem Datenschutzbeauftragten oder externen GDPR-Berater zusammenarbeiten,
• aktuelle Muster für Auftragsverarbeitungsverträge (AVV) und technische/organisatorische Maßnahmen (TOMs) pflegen,
• Datenflüsse, SDK-Liste und Consent-Logik dokumentieren, damit Sie später Nachweise führen können.

Wenn auf diese Fragen nur Schulterzucken kommt, werden Sie gerade zum Testpilot.

ABSCHNITT 3 – Legal/Contract: AV-Vertrag und DSGVO-Klauseln, die Sie einfordern müssen

3.1 Rollenverteilung: Verantwortlicher und Auftragsverarbeiter

In typischen App-Projekten gilt:

• Sie sind Verantwortlicher (Controller),
• die Agentur ist Auftragsverarbeiter (Processor) im Sinne von Art. 28 DSGVO.

Diese Rollenverteilung muss im Vertrag klar benannt werden, sonst ist unklar, wer in welchem Umfang haftet – insbesondere bei Datenpannen oder Beschwerden von Betroffenen.

3.2 Auftragsverarbeitungsvertrag (AVV) nach Art. 28 Abs. 3 DSGVO

Art. 28 DSGVO schreibt konkrete Mindestinhalte vor, die ein AV-Vertrag erfüllen muss. Ein sauberer AVV regelt u. a.:

• Gegenstand, Dauer, Art und Zweck der Verarbeitung,
• Art der personenbezogenen Daten und Kategorien betroffener Personen,
• TOMs (Sicherheit),
• Einsatz von Unterauftragsverarbeitern (Sub-Prozessoren) und Informationspflichten bei Änderungen,
• Kontroll- und Auditrechte des Verantwortlichen,
• Meldepflichten und Vorgehen bei Datenschutzvorfällen.

Eine Agentur, die keinen vernünftigen AV-Vertrag vorlegen kann oder diesen erst „nachträglich irgendwann" schicken will, nimmt das Thema nicht ernst.

3.3 DSGVO-relevante Klauseln im Hauptvertrag

Neben dem AVV sollten auch im Hauptvertrag klare Regelungen stehen, z. B.:

• Verpflichtung der Agentur, Privacy by Design und Default umzusetzen (Art. 25 DSGVO).
• Verbot, Daten für eigene Zwecke der Agentur zu nutzen – z. B. für eigene Analysen oder Training – ohne Ihre vorherige ausdrückliche Einwilligung.
• Pflicht zur Löschung oder Anonymisierung von Daten in Test- und Staging-Umgebungen nach Projektende.
• Offenlegung aller Tools, die während der Entwicklung Zugriff auf personenbezogene Daten haben (Logging, Monitoring, Bug-Tracking etc.).

ABSCHNITT 4 – Produkt/Tech: Was DSGVO-Konformität direkt in der App bedeutet

Rechtstexte helfen wenig, wenn die App im Hintergrund etwas anderes macht. In diesem Abschnitt geht es darum, was technisch und UX-seitig wirklich implementiert sein muss.

4.1 Consent Management in Apps – mehr als ein hübsches Popup

Wenn Ihre App Analytics, Werbung oder andere nicht technisch notwendige Technologien nutzt, benötigen Sie eine informierte, freiwillige und nachweisbare Einwilligung, bevor entsprechende Daten gespeichert oder ausgelesen werden. Das folgt aus DSGVO und TTDSG/TDDDG.

Ihre Agentur sollte:

• einen klaren Consent-Flow vorsehen, bevor nicht notwendige SDKs aktiv werden,
• transparente Information liefern: welcher Anbieter, welche Daten, zu welchem Zweck, wie lange, Widerruf jederzeit möglich,
• ggf. Kategorien (notwendig / Statistik / Marketing etc.) anbieten,
• Einwilligungen protokollieren, damit Sie diese nachweisen können,
• Widerrufsmöglichkeiten in den App-Einstellungen bereitstellen.

Mit der neuen EinwV werden künftig „anerkannte Einwilligungsverwaltungsdienste" hinzukommen, die Einwilligungen zentral verwalten. Unternehmen, die diese nutzen wollen, müssen die technischen und organisatorischen Anforderungen der Verordnung erfüllen – auch in ihren Apps.

4.2 SDK-Tracking-Compliance: vollständiges Inventar statt Bauchgefühl

Statt nur von „Analytics" oder „Crash Reporting" zu sprechen, sollten Sie eine Liste sehen mit:

• allen geplanten SDKs (Analytics, Ads, Push, A/B-Testing, Maps, Payment, Social Login, Crashlytics etc.),
• den jeweils verarbeiteten Daten (z. B. Werbe-ID, Device-ID, IP, Location),
• Ort der Verarbeitung und beteiligten Sub-Prozessoren,
• Zuordnung zu Consent-Kategorien bzw. Rechtsgrundlagen.

Fordern Sie einen Test mit Network-Monitoring auf einem frischen Install: Wenn bei „alle optionalen Kategorien abgelehnt" trotzdem Tracking-Requests rausgehen, ist etwas grundlegend falsch.

4.3 Datenschutzerklärung für Apps: zur App passend und aktuell

Eine DSGVO-konforme App Entwicklung in Deutschland braucht eine Datenschutzerklärung, die spezifisch für die App ist:

• leicht auffindbar innerhalb der App (Onboarding, Einstellungen),
• Beschreibung aller Verarbeitungsvorgänge inkl. mobilspezifischer Themen (SDKs, Push, Gerätekennungen),
• Nennung des Verantwortlichen, Rechtsgrundlagen, Speicherfristen und Betroffenenrechte,
• Konsistenz mit dem tatsächlichen Verhalten der App und dem Consent-Dialog – Aufsichtsbehörden vergleichen genau diese Punkte.

Ihre Agentur muss die technischen Fakten liefern und sicherstellen, dass das in der App umgesetzte Verhalten mit der Datenschutzerklärung zusammenpasst.

4.4 Sicherheit und Zugriffskontrolle

DSGVO-Konformität ist ohne Sicherheit unmöglich. Dazu gehören u. a.:

• Ende-zu-Ende-Transportverschlüsselung (TLS) und ggf. zusätzliche Maßnahmen wie Certificate Pinning bei sensiblen Daten,
• rollenbasierte Zugriffe auf Produktivdaten – nicht jeder Entwickler braucht Vollzugriff,
• starke Authentifizierung für Admin-Bereiche,
• minimaler Einsatz von Echtdaten in Tests; wenn unvermeidbar, dann streng zeitlich begrenzt und technisch abgesichert.

ABSCHNITT 5 – Risiko: Privacy-Audit-Checklist vor dem Launch

Bevor Sie im App Store oder Play Store auf „Veröffentlichen" klicken, sollten Sie eine strukturierte Datenschutz- und Tracking-Prüfung durchführen – idealerweise gemeinsam mit der Agentur und Ihrem DSB.

Zentrale Fragen:

• Feuert irgendein nicht notwendiger SDK vor einer gültigen Einwilligung?
• Werden Einwilligungen protokolliert und können Sie diese exportieren / nachweisen?
• Ist die Datenschutzerklärung nach den letzten Feature-Änderungen noch korrekt?
• Sind Zugriffe auf Kamera, Mikrofon, Kontakte, Standort etc. technisch und rechtlich begründet und für Nutzer klar kommuniziert?
• Sammeln Logs oder Error-Tracker unnötig viele oder sensible Daten?

Eine professionelle Agentur bietet dieses Privacy-Audit als fixen Bestandteil des Launch-Prozesses an. Bei Olymaris kombinieren wir es mit einem allgemeinen Risiko-Review, wie im Artikel beschrieben: „10 Common App Project Risks That Burn Time and Budget"

ABSCHNITT 6 – Wie Olymaris DSGVO-konforme App-Entwicklung in Deutschland versteht

Wenn Sie gerade eine App planen oder ein Angebot auf dem Tisch haben, stehen Sie typischerweise vor Fragen wie:

• „Reicht das, was die Agentur zu DSGVO schreibt, wirklich aus?"
• „Wie groß ist unser Risiko durch Tracking-Tools und Cloud-Dienste?"
• „Wer trägt welche Verantwortung im Ernstfall?"

Olymaris positioniert sich bewusst als Partner für DSGVO-konforme App Entwicklung in Deutschland und Europa. Konkret:

• Datenschutz- und Datenmodell sind ein eigenständiges Thema im Discovery-Workshop, nicht eine Randnotiz.
• Jedes SDK und jeder Backend-Dienst werden gegen Datenkategorien, Speicherort und Rechtsgrundlage gemappt.
• Wir liefern AVV-fähige Beschreibungen unserer Rolle als Auftragsverarbeiter und stimmen uns mit Ihrem DSB oder Anwalt ab.
• Vor Launch führen wir ein strukturiertes Privacy- und Tracking-Audit parallel zum funktionalen QA durch.

Das Resultat: Ihre App ist nicht nur technisch und UX-seitig marktreif, sondern auch aus Sicht von DSGVO, TTDSG/TDDDG und Einwilligungsanforderungen deutlich robuster aufgestellt.

Wenn Sie möchten, können wir mit einem kurzen „GDPR/DSGVO Readiness Call" starten, in dem wir eine komprimierte Version dieser Checklist auf Ihr konkretes Projekt anwenden – egal ob vor Vertragsabschluss oder mit einer bereits laufenden Entwicklung.

ABSCHNITT 7 – FAQ: DSGVO-konforme App-Entwicklung in Deutschland