AppCare & Wartung · Compliance · Aktualisiert: 30. April 2026 · ~3 Min Lesezeit

DSGVO-Wartungspflichten für Apps

Was DSGVO 2026 in Sachen Software-Wartung von dir verlangt — und was im Standard-AppCare drin ist.

Die DSGVO ist seit 2018 in Kraft, aber die Pflichten rund um Software-Wartung werden erst in den letzten zwei Jahren konsequent durchgesetzt. Wer 2026 eine App betreibt, die personenbezogene Daten verarbeitet, hat eine laufende — nicht einmalige — Verantwortung. Dieser Guide ordnet ein, was das konkret heißt, ohne Anwaltsthemen zu ersetzen.

Was die DSGVO fordert (relevant für Wartung)

Drei Artikel sind im Wartungs-Kontext zentral:

  • Art. 32 — Sicherheit der Verarbeitung. Du musst “geeignete technische und organisatorische Maßnahmen” treffen, dem Stand der Technik entsprechend. Stand der Technik ändert sich. Eine App, deren Sicherheitslibraries seit 18 Monaten nicht aktualisiert wurden, ist nicht “stand der Technik” — egal, was 2024 noch genügt hat.
  • Art. 28 — Auftragsverarbeitung. Wer für dich Daten verarbeitet (Hosting, Crash-Reporting, Analytics, Backend-as-a-Service), braucht einen Auftragsverarbeitungsvertrag. Wenn dein Anbieter einen Sub-Dienstleister wechselt, ist das relevant — und du musst es wissen.
  • Art. 30 — Verarbeitungsverzeichnis. Du musst dokumentieren, was deine App mit welchen Daten macht. Sobald sich an deinen Libraries etwas ändert, muss das Verzeichnis nachgepflegt werden.

Das alles sind kontinuierliche Pflichten. Wartung ist die operative Seite davon.

Wartung als Compliance-Pflicht

Konkret heißt das: ohne Wartung verletzt du nicht “vielleicht irgendwann” die DSGVO — du bist sehr wahrscheinlich schon nach wenigen Monaten in Drift. Drei typische Fälle:

  1. Library-CVE bleibt ungepatcht. Sobald die CVE bekannt ist und deine App noch betroffen ist, fehlt die “geeignete Maßnahme” im Sinne von Art. 32. Im Schadensfall ist das eine eindeutige Pflichtverletzung.
  2. Auftragsverarbeiter wechselt Sub-Dienstleister, du weißt es nicht. Dann verarbeitet plötzlich jemand Daten, mit dem du keine vertragliche Beziehung hast. Bei Aufsichts-Anfragen kannst du das nicht belegen.
  3. Bibliotheks-Update ändert Datenflüsse. Manche SDKs erweitern still ihre Telemetrie. Wenn du das nicht prüfst, exportiert deine App auf einmal Daten, die in deiner Datenschutzerklärung nicht stehen.

In allen drei Fällen entsteht das Problem nicht aus aktivem Fehlverhalten — sondern aus passivem Nicht-Handeln. Genau da setzt Wartung an.

Was im Sovion-AppCare drin ist (DSGVO-Sicht)

Wir behandeln DSGVO nicht als Add-on, sondern als Standard. In allen drei Tarifen enthalten:

  • CVE-Monitoring für die Stack-Komponenten und automatisierte Patch-Pipeline.
  • Auftragsverarbeiter-Kette pflegen: wenn ein Sub-Dienstleister wechselt, dokumentieren wir das im monatlichen Report und passen die Datenschutzerklärung an, soweit sie aus unserem Bauteil kommt.
  • Datenschutzerklärung-Drift erkennen: bei Library-Updates prüfen wir, ob sich Telemetrie-Verhalten geändert hat.
  • Backup-Konformität: tägliche, geprüfte Backups mit definiertem Restore-Pfad — Art. 32 verlangt nicht ein Backup, sondern den nachweisbaren Recovery-Pfad.
  • Privacy-Manifest-Pflege (iOS) und Data-Safety-Form-Pflege (Android) — beides Store-Pflichten mit DSGVO-Bezug.

Was nicht im AppCare ist: rechtliche Beratung. Wir liefern die technische Faktenlage und die Dokumentation; die rechtliche Einordnung gehört einem Anwalt oder einer Datenschutzbeauftragten in die Hand.

Was nicht in unserer Verantwortung liegt (Anwaltsthema)

Klare Trennung, damit niemand sich auf falsche Erwartungen verlässt:

  • Datenschutzkonzept und Folgenabschätzung (DPIA): gehört in deine Hand bzw. zu eurer DSB.
  • Verträge mit deinen Endkunden: Einwilligungstexte, Vertragsgrundlagen, AGB-DSGVO-Anpassungen.
  • Aufsichtskommunikation im Beanstandungsfall.
  • Rechtsgutachten zu Drittland-Übermittlungen, Schrems-II-Folgen, etc.

Wenn ihr keine Datenschutzbeauftragte habt und in einer Branche arbeitet, in der das relevant ist, organisiert das vor allem anderen.

Checkliste: ist meine App DSGVO-Wartungs-konform?

Geh die Punkte für deine App durch:

  • Sicherheitsupdates der letzten 90 Tage sind eingespielt.
  • Auftragsverarbeitungs-Verträge mit allen Sub-Dienstleistern liegen vor und sind aktuell.
  • Verarbeitungsverzeichnis spiegelt den aktuellen Stand der App wider.
  • Datenschutzerklärung wurde in den letzten 12 Monaten überprüft.
  • Tägliche Backups laufen, der Restore-Pfad wurde in den letzten 6 Monaten getestet.
  • Crash-Reporting und Logs werden so konfiguriert, dass sie keine personenbezogenen Daten unbeabsichtigt protokollieren.
  • Bei iOS: Privacy-Manifest ist auf dem aktuellen Stand. Bei Android: Data-Safety-Form ist konsistent zur tatsächlichen Datennutzung.

Mehr als die Hälfte ist offen? Dann ist DSGVO-Drift bereits der Status quo. Schreib uns, wir gehen den Stand mit dir durch und sagen ehrlich, ob AppCare reicht oder ob ein einmaliger Compliance-Check vorgeschaltet werden muss. Antwort innerhalb von 24 Stunden, ohne Sales-Pipeline.

Tiefergehende Kontext-Guides: Was kostet App-Wartung? und Was passiert ohne App-Wartung?.

Weitere Guides aus diesem Thema

Mehr aus „AppCare & Wartung".

AppCare: Was App-Wartung wirklich bedeutet

Guide zu App-Wartung 2026: was Wartung umfasst, was sie kostet, woran du erkennst, dass deine App sie braucht — mit Verweis auf Tarife und Sub-Guides.

Guide lesen →
Pillar

Was kostet App-Wartung?

Wartungsbudgets von 59 € bis vierstellig — die drei Treiber dahinter, eine belastbare Faustregel und wann ein Custom-SLA wirklich nötig ist.

Guide lesen →
Kosten

Was passiert ohne App-Wartung?

Die typische Verfallskette einer ungewarteten App in vier Phasen — von leisem Drift in den ersten 90 Tagen bis zum Store-Removal nach 12+ Monaten.

Guide lesen →
Grundlagen

AppCare vs. Stundenbasis vs. interner Entwickler

Drei Wege, eine App nach Launch zu betreiben — Festpreis, Stunden-On-Demand oder Inhouse. Was sie kosten, wann welcher passt und wo sie reißen.

Guide lesen →
Vergleich
Projekt starten
Kapazität anfragen
Alle Guides