Introducing Data Protection Assessment

Update für 13.08.2021:Wir haben einen zusätzlichen Leitfaden für die Datenschutzrechtliche Beurteilung hinzugefügt.

Heute, am 22. Juli 2021, stellen wir unsere neueste Initiative vor, um eine ordnungsgemäße Verwaltung und die Sicherheit der Daten der Nutzer unserer Plattformen zu gewährleisten: die datenschutzrechtliche Beurteilung. Damit setzen wir eine Reihe von Initiativen fort, die wir im letzten Jahr gestartet haben, um sicherzustellen, dass wir kontinuierlich Fortschritte bei unserem Engagement für den Schutz der Privatsphäre und die Datensicherheit der Nutzer machen. Diese Verantwortung teilen wir mit allen Entwicklern in unserem Ökosystem.

Bei der neuen datenschutzrechtlichen Beurteilung handelt es sich um einen Fragebogen (siehe Abbildung 2) für Apps, die auf erweiterte Berechtigungen zugreifen. Der Schwerpunkt liegt dabei auf der Frage, wie Entwickler (sowohl Direktintegratoren als auch Technologieanbieter) Plattformdaten gemäß den Nutzungsbedingungen der Facebook-Plattform nutzen, teilen und schützen. Wir fragen auch nach Datenschutzrichtlinien und Implementierungen von Praktiken zur Datensicherheit. Für Apps, die auf besonders vertrauliche Nutzerdaten zugreifen, müssen Entwickler ihre Antworten in der Bewertung anhand von Nachweisen belegen. Dazu zählen etwa Beispiele für Vertragsklauseln mit Dienstanbietern in Bezug auf Plattformdaten, Datensicherheitszertifizierungen von Dritten wie SOC2, ein Link, über den Nutzer Schwachstellen in deiner App melden können, und Beschreibungen, wie Nutzer die Löschung ihrer Daten beantragen können. Alle Entwickler, die diesen neuen Fragebogen zur Datenschutzbewertung erhalten, müssen ihn innerhalb von 60 Tagen ausfüllen. Andernfalls riskieren sie, dass ihnen der Zugriff auf die Plattform entzogen wird. Diese Bewertung wird ab Ende Juli schrittweise eingeführt.

Die Beurteilung ist nicht mit der Überprüfung der Datennutzung (DUC) identisch. Diese legt den Schwerpunkt darauf, auf welche konkreten Berechtigungen die App Zugriff hat, und wird jährlich durchgeführt. Dabei müssen Entwickler bestätigen, dass ihre fortwährende Nutzung von Facebook-Daten im Einklang mit unserer Plattformrichtlinie steht. Die Beurteilung unterscheidet sich auch vom App Review. Dabei handelt es sich um einen auf die Zukunft ausgerichteten Prozess, der den Zugriff auf bestimmte Berechtigungen für die Facebook-Plattform beschränkt und von den Entwicklern eine Begründung für den Plattformzugriff verlangt. Durch die Kombination aus App Review, Überprüfung der Datennutzung und datenschutzrechtlicher Beurteilung können wir uns ein umfassenderes Bild davon machen, wie Apps auf Plattformdaten zugreifen und mit welchen Methoden diese Daten geschützt werden.

Wir sind dankbar dafür, wie Entwickler uns bei unseren Bemühungen um den Schutz der Privatsphäre der Nutzer auf unserer Plattform unterstützen und zusätzlich neue Best Practices entwickeln.

Vorbereiten auf die datenschutzrechtliche Beurteilung

Als Vorbereitung auf die Beurteilung solltest du Folgendes tun:

• Deine Kontaktinformationen in den Benachrichtigungseinstellungen aktualisieren.
• Unter App-Dashboard > Rollen sicherstellen, dass deine Liste der App-Administratoren aktuell ist.
• Apps entfernen, die du nicht mehr benötigst. Überlege dir sorgfältig, ob du die App noch brauchst, weil diese Aktion möglicherweise nur schwer rückgängig gemacht werden kann. Navigiere zu „App-Dashboard > Einstellungen > Erweitert“, um eine App zu entfernen.
• Lies dir unsere Plattform-Nutzungsbedingungen genau durch und sorge dafür, dass du Fragen dazu beantworten kannst, wie deine App diese Bedingungen erfüllt.
• Sammle relevante Informationen wie deine Datenschutzrichtlinie, Sicherheitszertifikate, Workflows zur Datenlöschung und Beispiele für Vertragsklauseln mit Dienstanbietern zu Datenpraktiken.
• Lies dir unsere Best Practices zur Datensicherheit durch.
• Lies dir spezifische Fragebogendetails und die Dokumentation durch.

Das kannst du von der datenschutzrechtlichen Beurteilung erwarten

Wenn deine App aufgrund der Daten, auf die die App Zugriff hat, für diese regelmäßige Beurteilung infrage kommt und du der App-Administrator bist, benachrichtigen wir dich per E-Mail sowie im App-Postfach für Warnungen, sobald du die Beurteilung durchführen musst. Wenn du die Entwicklerwarnungen übersiehst, werden dir auch in deinem App-Dashboard Benachrichtigungen zur datenschutzrechtlichen Beurteilung angezeigt (siehe Abbildung 1). Wir führen die Beurteilung schrittweise in den nächsten Wochen ein. Sieh also öfter nach.

Bei der Bewertung werden Fragen dazu gestellt, wie du Plattformdaten nutzt, weitergibst, schützt und löschst. Wenn deine App auf besonders vertrauliche Daten zugreift, musst du Nachweise erbringen, und es kann einige Zeit dauern, diese Informationen zu sammeln. Beginne daher frühzeitig mit der Beurteilung, damit du genügend Zeit hast, sie abzuschließen. Du musst die Beurteilung nicht in einem Durchgang durchführen. Du kannst deinen Fortschritt speichern und später zur Beurteilung zurückkehren. Weitere Informationen findest du hier.

Wenn deine App für diese Beurteilung vorgesehen ist, hast du 60 Tage Zeit, sie auszufüllen und zu senden. Bei Nichteinreichen der Beurteilung oder Verstößen gegen unsere Nutzungsbedingungen können Maßnahmen gegen deine App ergriffen werden.

Wir wissen, dass der Schutz der Privatsphäre der Nutzer für dich genau so wichtig ist wie für uns. Vielen Dank, dass du uns beim Aufbau einer sichereren und nachhaltigeren Plattform unterstützt.