Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
R Shiny ist ein Open Source Framework von Posit (vormals RStudio) zum Bau interaktiver Web Anwendungen direkt aus R Code. Es wird häufig in Data Science, Forschung und Analyse für Dashboards, Visualisierungen und Datenexploration eingesetzt. DSGVO Konformität hängt von der Anwendung und vom Hosting ab. Selbst gehostete Shiny Apps auf EU Infrastruktur sind unproblematisch, shinyapps.io läuft auf US Infrastruktur und benötigt SCCs.
R Shiny ist ein Open Source Web Framework von Posit (ehemals RStudio) zum Bau interaktiver Anwendungen direkt aus R Code. Forscher, Statistiker und Analyseteams nutzen Shiny für Dashboards, Daten Explorationen, Modell Demos und Reproducible Research. Eine Shiny App besteht aus einer R Sitzung auf dem Server und einer dünnen Browser Schnittstelle, die Eingaben des Nutzers an den R Prozess übermittelt.
Shiny selbst setzt typischerweise ein Sitzungs Cookie und nutzt eine WebSocket Verbindung zur R Sitzung. Welche personenbezogenen Daten verarbeitet werden, hängt vom App Code ab: Datei Uploads, Eingabeformulare, Datenbank Abfragen. Shiny Server Pro und Posit Connect bieten zusätzlich Authentifizierung und können Logs mit IP, Nutzer ID und Aktionsverlauf führen.
Verantwortlich für die Verarbeitung ist die Organisation, die die Shiny App betreibt: Universität, Forschungseinrichtung, Unternehmen. Posit ist Auftragsverarbeiter, sobald shinyapps.io oder Posit Connect Cloud verwendet wird. Sitzungs Cookies sind technisch erforderlich und nach § 25 Abs. 2 TDDDG einwilligungsfrei. Sobald die App jedoch Tracking Pixel oder Analytics Bibliotheken einbindet, ist eine vorherige Einwilligung erforderlich.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Self Hosting auf eigener EU Infrastruktur (Shiny Server Open Source, Docker, Kubernetes) vermeidet Drittlandübermittlung vollständig. shinyapps.io wird auf AWS in den USA betrieben und benötigt Standardvertragsklauseln plus TIA. Posit Connect kann selbst gehostet oder als Posit Connect Cloud genutzt werden, wo das Standort Datacenter ausgewählt werden kann. Für sensible Daten (Gesundheit, Forschung, Verwaltung) ist Self Hosting in der EU klar zu empfehlen.
Aktivieren Sie HTTPS, beschränken Sie Datei Uploads, validieren Sie Eingaben (gegen Code Injection in eval Aufrufen). Nutzen Sie shinyauth oder Posit Connect für Zugangskontrolle, definieren Sie Logs und Aufbewahrungsfristen, dokumentieren Sie Datenflüsse im Verarbeitungsverzeichnis und führen Sie eine DSFA durch, sobald sensible Daten oder Forschungsergebnisse verarbeitet werden. Schließen Sie AVVs mit Posit ab, falls shinyapps.io oder Posit Cloud verwendet wird.
Websites using R Shiny must obtain user consent under GDPR regulations.
DPIA considerations
A DPIA may be required for Shiny applications processing special category data (health, genetic data) or large-scale personal data, particularly in research or clinical contexts. The DPIA should focus on the application design and data flows, not Shiny itself.
Sample consent text
Diese Anwendung wurde mit R Shiny gebaut und auf unserer eigenen EU Infrastruktur betrieben. Shiny setzt nur technisch erforderliche Sitzungs Cookies, um Ihre Verbindung zur Shiny Sitzung zu halten. Es findet keine Profilbildung und keine Drittlandübermittlung statt.
Third-party domains contacted
shiny.posit.coshinyapps.ioCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| shinysession | session | Session | Strictly necessary session cookie maintaining the R Shiny WebSocket session — does not require consent |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Das Framework selbst nicht, aber jede Shiny App, die Eingaben verarbeitet, Datenbank Abfragen ausführt oder Datei Uploads erlaubt. Sitzungs Cookies, IP Adressen und User Agent werden in Server Logs gespeichert.
Ja. shinyapps.io wird auf AWS in den USA betrieben. Werden personenbezogene Daten europäischer Nutzer verarbeitet, sind Standardvertragsklauseln zwischen Ihnen und Posit erforderlich, ergänzt durch ein Transfer Impact Assessment und ggf. Pseudonymisierung.
Self Hosting in der EU mit Shiny Server Open Source oder Posit Connect lokal: keine Drittlandübermittlung, vollständige Kontrolle über Logs und Backups. Für sensible oder Forschungsdaten ist das die empfohlene Lösung.
Ja, ein technisch erforderliches Sitzungs Cookie zur Aufrechterhaltung der R Sitzung. Es ist nach § 25 Abs. 2 TDDDG einwilligungsfrei. Tracking oder Analyse Cookies werden nur gesetzt, wenn Ihre App diese explizit einbindet.
Ja, sobald Sie sensible Kategorien (Gesundheit, Genetik, ethnische Herkunft) oder umfangreiche Profilbildung verarbeiten (Art. 35 DSGVO). Bei einfachen Dashboards ohne personenbezogene Daten ist eine DSFA in der Regel nicht erforderlich.
Verwenden Sie Posit Connect oder Shiny Server Pro mit LDAP, SAML oder OAuth. Für Open Source Setups eignen sich Pakete wie shinymanager oder polished. Speichern Sie Passwörter ausschließlich gehasht (bcrypt, argon2).
Beschränken Sie Größe und Dateitypen, validieren Sie Inhalte, speichern Sie Uploads in einem dedizierten, verschlüsselten Verzeichnis innerhalb der EU. Definieren Sie Aufbewahrungsfristen, automatische Löschung und dokumentieren Sie den Upload Zweck im Verzeichnis nach Art. 30 DSGVO.
Erwähnen Sie die Anwendung als Verarbeitungstätigkeit, das Hosting (Self Hosting in der EU oder shinyapps.io USA), die verarbeiteten Datenkategorien, Aufbewahrungsfristen und gegebenenfalls Posit als Auftragsverarbeiter.