Datenschutz Verstehen – Den Wettbewerbsvorteil im Datenschutz als Software-Unternehmen richtig für sich nutzen.
Kurze Einleitung
Die Umsetzung der Datenschutzgrundverordnung (DSGVO) ist für alle Unternehmen der Europäischen Union, so auch für Softwareunternehmen. Die Umsetzungspflicht sorgte in der Vergangenheit durchaus für Verunsicherung in Unternehmen. Allerdings sollte die DSGVO nicht nur als lästig angesehen werden, sondern vielmehr als Chance sich von Mitbewerbern abzusetzen und hierdurch Vorteile zu erlangen. Das Bedürfnis der Datensicherheit wächst stetig in der Bevölkerung und somit auch das Interesse an Unternehmen, die dies problemlos gewährleisten können. Softwareunternehmen sollten die DSGVO daher zu ihrem Vorteil nutzen und einen Vorsprung zu ihrer Konkurrenz aufbauen. Wie Sie dies umsetzen können, erfahren Sie im folgenden Beitrag.
Die DSGVO richtig für sich nutzen
Der Schlüssel zum Erfolg: sich nicht gegen die verpflichtenden Vorgaben der DSGVO zu wehren, sondern sie geschickt und zum eigenen Vorteil umzusetzen. Besonders Softwareunternehmen können durch ein solches Vorgehen interessanter für potenzielle Kunden werden. Durch eine geschickte datenschutzkonforme Ausgestaltung der eigenen Softwareprodukte, können Softwareunternehmen ihren Kunden mehr Sicherheit für ihre Daten gewährleisten. Denn auch die Kunden von Softwareprodukten müssen sich an den Datenschutz halten und diesen umsetzten. Es besteht somit die Möglichkeit mehrere Bedürfnisse mit einem Produkt gleichzeitig zu erfüllen und hierdurch einen Mehrwert zu schaffen. Einen Mehrwert, durch den der Hersteller des Produktes einen Wettbewerbsvorteil erlangen kann. Dies funktioniert allerdings nur dann, wenn die “Spielregeln” der DSGVO genau bekannt sind und bestmöglich umgesetzt werden.
Organisation ist der Schüssel
Gut strukturierte und organisierte Unternehmensabläufe bieten Sicherheit, Schnelligkeit und Effizienz. Daher gilt es Produktionsabläufe gut zu organisieren und hierbei auch den Datenschutz nicht zu vernachlässigen, sondern in den Vordergrund zu stellen. Insbesondere Softwareunternehmen können durch eine gute Organisation im Vorhinein, Bußgelder, Verzögerungen und Vertrauensverlust im Nachhinein minimieren oder verhindern. Hierbei spielt auch der sogenannte Auftragsverarbeitungsvertrag (AVV) und dessen Gestaltung eine wichtige Rolle. Bei einem AVV im Sinne des Art. 28 DSGVO handelt es sich um einen Vertrag über die weisungsgebundene Verarbeitung personenbezogener Daten durch einen Auftragnehmer im Auftrag des verantwortlichen Unternehmens. Beispiele für die Auftragsverarbeitung sind das Outsourcing der IT-Infrastruktur wie Cloudlösungen oder webbasierte Anwendungen, wie Systeme für Personal- und Kundenverwaltung, externe Datenspeicherung oder das zur Verfügung stellen von Rechenzentren, sowie Marketingdienstleistungen mit Bezug zu personenbezogenen Daten. Demzufolge tritt das Softwareunternehmen zumeist als Auftragsverarbeiter (Auftragnehmer) auf. Der AVV unterliegt den gesetzlichen Vorgaben der DSGVO und ist somit auch für seine Gültigkeit datenschutzkonform zu gestalten. Um hier sicher und effektiv agieren zu können, sollte der AVV bereits vom Softwareunternehmen vollständig und den Vorgaben entsprechend erarbeitet worden sein. Ansonsten kann es bei Vertragsverhandlungen zu Verzögerungen kommen oder der Kunde durch lückenhafte Verträge abgeschreckt werden.
Kundenbedürfnisse erkennen
Wer trotz starker Konkurrenz wettbewerbsfähig bleiben möchte, muss in erster Linie die Kundenbedürfnisse genaustens kennen und diese zu erfüllen wissen. Zunächst sollte also festgestellt werden welche Kundenbedürfnisse überhaupt relevant sind. Im Hinblick auf den Datenschutz haben Kunden das Bedürfnis einen vertrauenswürdigen und seriösen Dienstleister zu haben, der Ihre Daten sicher innerhalb der Europäischen Union verarbeitet.
Sollten dennoch Daten in Drittländer übermittelt werden, besteht das Kundenbedürfnis in einer sicheren Übermittlung auf Grundlage von Angemessenheitsbeschlüssen oder anderen geeigneten Garantien. Darüber hinaus werden nicht nur durch die Verordnung, sondern auch durch die Kunden technische und organisatorische Maßnahmen gefordert, um die Sicherheit der personenbezogenen Daten gewährleisten zu können. Im Vordergrund steht also die sichere Umsetzung der DSGVO, um Datenpannen und Bußgelder zu vermeiden. Sollte dies also vom Softwareunternehmen sprichwörtlich im Schlaf beherrscht werden, kann und sollte dies als Verkaufsargument genutzt werden. Der Wettbewerbsvorteil wird dann ersichtlich, sobald der Vertrieb dem Kunden datenschutzrechtliche Fragen sicher und unproblematisch erläutern kann.
Auftragsverarbeitungsvertrag für Softwareunternehmen
Wie bereits erläutert handelt es sich bei Softwareunternehmen zumeist auch um Auftragsverarbeiter, die personenbezogene Daten ihrer Kunden nach deren Weisung verarbeiten. Nach den Vorgaben der DSGVO muss daher ein Auftragsverarbeitungsvertrag (AVV) zwischen den Parteien geschlossen werden. Der Kunde eines Softwareunternehmens stellt grundsätzliche den Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO dar. Der Verantwortliche hat sicherzustellen, dass die personenbezogenen Daten stets sicher verarbeitet und die Rechte und Freiheiten von betroffenen Personen gewahrt werden. Folglich hat der Kunde eines Softwareunternehmens auch ein Interesse an einem AVV, der die Daten ausreichend schützt. Softwareunternehmen können durch einen ausgewogenen und geeigneten AVV einen schnellen und unkomplizierten Service zur Verfügung stellen und unnötige Verzögerungen vermeiden. Ein datenschutzkonformer AVV ist zudem unabdingbar, damit Bußgelder vermieden werden können.
Technische und organisatorische Maßnahmen
Neben dem AVV müssen Softwareunternehmen insbesondere sogenannte technische und organisatorische Maßnahmen (TOM) erfüllen. Diese Pflicht ergibt sich aus mehreren Normen der DSGVO wie Art. 32 und 25 Abs. 2 DSGVO. TOMs sind Maßnahmen, die vom Verantwortlichen aber auch vom Auftragsverarbeiter umgesetzt werden müssen, um die Umsetzung der DSGVO nachzuweisen und sicherzustellen. Hierdurch soll eine sichere Datenverarbeitung gewährleistet werden. Auch hier kann ein Softwareunternehmen durch ein hohes Schutzniveau Vertrauen beim Kunden schaffen und als Gewinner im Wettbewerb hervorgehen.
Um das Schutzniveau der Softwareprodukte möglichst hoch zu gestalten, können folgende TOMs eingesetzt und das Produkt dementsprechend gestaltet werden.
- Pseudonymisierung und Verschlüsselung personenbezogener Daten.
- Sicherstellen der Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
- Möglichkeit der Fernwartung
- Löschkonzepte
- Verschlüsselung
- Zugangskontrollen wie starke Passwörter und Firewalls
- Mandantenfähigkeit
Für die Entwicklung neuer Softwareprodukte können Hersteller sich die Privacy by Design und Privacy by Default zunutze machen. Die Konzepte zielen gemäß Art. 25 DSGVO auf die Technikgestaltung und den Datenschutz durch datenschutzfreundliche Voreinstellungen ab. Bei der Herstellung der Software sollte also darauf geachtet werden, dass das Produkt für nicht technikaffine Personen einfach genutzt werden kann und datenschutzrelevante Einstellungen bereits günstig für den Nutzer der Software eingestellt sind oder die gewünschten Einstellungen unproblematisch vorgenommen werden können.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Was Softwarehersteller bei der Entwicklung einer Software außerdem beachten sollten
Um den Interessen des Kunden von Anfang an nachzukommen, müssen Softwarehersteller bereits bei der Entwicklung der Software den Datenschutz ausreichend umsetzten. Dies gebietet zum einen die DSGVO selbst, aber auch der Wettbewerb übt immer mehr Druck auf Softwareunternehmen auf. Eine datenschutzkonforme Software ist daher nicht nur ein Qualitätsmerkmal, sondern dient auch der Entscheidungsgrundlage. Softwarehersteller sollten daher folgendes beachten:
Für die Verwendung der Software müssen Archivierungs- und Löschkonzepte integriert werden, um dem Recht auf Datenlöschung gem. Art. 17 DSGVO nachzukommen. Hinzukommt hierfür der Grundsatz der Datenminimierung. Demnach sollte die Software nicht zwingend benötigten Daten nicht abfragen. Des Weiteren müssen verschiedene Berechtigungen verteilt werden können. Außerdem sollte eine Software eine Zugriffskontrolle unterliegen und beispielsweise eine Zwei-Faktor-Authentifizierung besetzten. Für eine ausreichende Transparenz der Software muss zudem über mögliche Datenübermittlungen in Drittländer informiert werden. Die Software sollte darüber hinaus Funktionen beinhalten, die eine Umsetzung der geforderten Betroffenenrechten erleichtert. Für die Datenübertragbarkeit könnte in der Software eine Exportfunktion eingefügt werden, wodurch Daten problemlos an die betroffene Person übermittelt werden können. Hierzu wäre eine Funktion für die automatische Erstellung von Protokollen bei Nutzung der Software von Vorteil. Weitere Anforderungen an eine Software sind beispielsweise eine datenschutzfreundliche Voreinstellung, Wiederherstellbarkeit von Daten, welche unabsichtlich gelöscht wurden und weitere technische und organisatorische Maßnahmen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
