Datenschutz Verstehen – Software DSGVO
Kurze Einleitung
Seit der Einführung der Datenschutz-Grundverordnung müssen Software-Hersteller bei der Entwicklung und Unternehmen bei der Auswahl von Software-Lösungen bestimmte Anforderungen einhalten. Es ist oftmals nicht sehr übersichtlich für Unternehmen, wie eine Software nach der DSGVO entwickelt werden muss und wie die vertraglichen Anforderungen gelöst werden können. In diesem Beitrag erfahren Sie worauf zu achten ist bei Software-Lösungen im Einklang mit der Datenschutz-Grundverordnung.
Inhalt:
- Software unter der DSGVO
- DSGVO Softwareentwicklung
- DSGVO Softwareanforderungen
- DSGVO Checkliste für Software
- DSGVO Software Test
- Auftragsverarbeitung bei Software
- Datenschutzmanagement – Software für Unternehmen
- Was muss eine gute Datenschutzmanagement-Software können? (Checkliste)
- Was passiert bei Gesetzesänderungen?
Software unter der DSGVO
Mit der Datenschutz-Grundverordnung (DSGVO) vom 25.05.2018 haben sich viele Veränderungen ergeben. Die DSGVO gilt einheitlich in der europäischen Union. Art. 5 Abs. 1 DSGVO sieht eine Vielzahl von allgemeinen Grundsätzen vor. Diese Grundsätze stellen dabei etwas wie “Grundregeln” für die Verarbeitung und Speicherung von personenbezogenen Daten dar und helfen insbesondere bei der Auslegung von Regelungen der DSGVO. Zu den Grundsätzen gehören unter anderem das Transparenzgebot nach Art. 5 Abs. 1 lit. a) DSGVO, die Zweckbindung nach Art. 5 lit. b) DSGVO und das Prinzip der Datenminimierung nach Art. 5 lit. c) DSGVO.
Systeme für Lohnbuchhaltung, E-Mail-Programme, Kundenanfragen oder komplexe ERP- oder CRM-Systeme gehören zu allen großen bis mittelständische Unternehmen dazu. Diese nutzen diese Systeme für deren Tagesgeschäfte. Verarbeiten Unternehmen auch personenbezogene Daten, treffen den Anwender verschiedene datenschutzrechtliche Pflichten.
Während die Aufsichtsbehörden in anderen Ländern bereits empfindliche Bußgelder erlassen haben, hielten sich deutsche Aufsichtsbehörden bislang noch zurück. Doch dies wird zukünftig nicht mehr so sein. Die Abschreckungsfunktion gemäß des Erwägungsgrundes 152 der DSGVO wird bald auch in Deutschland Wirkung zeigen. Umso lohnenswerter ist es, sich jetzt mit dem Datenschutz auseinanderzusetzen und eine praxisorientierte Lösung zu finden.
DSGVO Softwareentwicklung
Auch die Softwareentwicklung ist vom Datenschutz betroffen, weshalb es wichtig ist, einige Grundsätze zu beachten. Gerade in Zeiten von Cloud-Lösungen, sozialen Netzwerken und “Datengiganten” wie Google und Facebook, ist eine datenschutzkonforme Softwareentwicklung wichtig. Welche Anforderungen konkret zu berücksichtigen sind werden im Folgenden näher beschrieben. Die wesentlichen Normen sind dabei der Art. 25 und der Erwägungsgrund 78 der DSGVO.
Demnach ist der für die Datenverarbeitung Verantwortliche für die wirksame Umsetzung der Datenschutzgrundsätze und den Schutz der Rechte und Freiheiten der betroffenen Personen verpflichtet. Um einen wirksamen Datenschutz zu gewährleisten, muss der Datenschutz schon beim Systemdesign berücksichtigt werden. Dabei sollten datenschutzfreundliche Voreinstellung verwendet werden. Das verlangen die Grundsätze “Data Protection by Design” und “Data Protection by Default”. In der neuen Leitlinie der “European Data Protection Board” (EDPB) fordert der Ausschuss die frühzeitige Berücksichtigung von “Data Protection by Design und by Default” bei der Planung einer neuen Verarbeitung.
DSGVO Softwareanforderungen
In der europäischen Union kann eine Software über verschiedene Wege in Verkehr gebracht werden. Durch Vielseitige Beschaffungs-Möglichkeiten von Software-Lösungen, sind trotz der geltenden DSGVO auch Softwareanbieter mit nicht datenschutzkonformen Produkten auf dem EU-Markt präsent ausgestattet. In der Praxis bedeutet das, dass Unternehmen und Behörden bei der Auswahl ihrer Software besonders achtsam sein müssen. Hierbei ist speziell der Art. 32 DSGVO zu berücksichtigen. Diese Norm trifft Regelungen hinsichtlich der technischen und organisatorischen Maßnahmen (TOM´s). Bei der Auswahl der TOM´s schreibt der Gesetzgeber vor, dass Unternehmen den Stand der Technik und anfallende Implementierungskosten berücksichtigen müssen. Um die TOM´s auf dem neuesten Stand der Technik zu bringen, müssen die veralteten technologischen Sicherheitsmaßnahmen durch Neue ersetzt und regelmäßig überprüft werden.
Gerade für Software-Lösung sind folgende TOM´s zu berücksichtigen.
- Regelmäßige Datensicherung durch Updates, Backups oder Virenscanner
- Durchsetzung einer Weitergabekontrolle, um zu verhindern, dass unbefugte Einsicht oder Veränderung beziehungsweise Übertragung von personenbezogenen Daten durchsetzen können. Diese Verhinderung kann mittels Verschlüsselung durchgesetzt werden.
- Um Festzustellen, ob und von wem personenbezogene Daten in Verarbeitungssysteme eingegeben, verändert oder entfernt wird, sollte eine Eingabekontrolle durchgesetzt werden.
- Regelmäßige Änderung der Passwörter.
- Protokollierung derer, die Einsicht hatte.
- Wenn personenbezogene Daten aus unterschiedlichen Gründen erhoben werden, müssen diese nach der Trennungskontrolle auch getrennt verarbeitet werden.
DSGVO Checkliste für Software
Um datenschutzkonforme Softwareprogramme zu nutzen sollte folgenden Punkte aus der Checkliste berücksichtigt werden.
- Löschkonzepte müssen integriert werden.
- Ein Berechtigungskonzept sollte aufgestellt werden.
- Ein AV-Vertrag im Sinne des Art. 28 DSGVO muss abgeschlossen werden (Prüfung ob Notwendigkeit besteht).
- Informationen zur Datenübermittlung in Drittländer.
- Eine stetige Aktualisierung der Daten muss gewährleistet werden.
- Automatisierte Erstellung von Protokollen bei Nutzung des Softwareprogramms.
- Wiederherstellbarkeit versehentlich gelöschter Daten.
Sie können eine vollständige Liste kostenfrei hier als Muster anfragen.
DSGVO Software Test
Der Grundgedanke der Datenschutzgrundverordnung liegt darin, personenbezogene Daten zu schützen. Die Mehrheit der deutschen Unternehmen setzen bei ihrem Tagesgeschäft auf Software-Lösungen, die den Arbeitsaufwand sowohl effizienter als auch wirtschaftlicher gestalten sollen. Da es beim Einsatz von Software-Lösungen, des Öfteren Probleme geben kann, sieht die DSGVO im Art. 32 Abs. 1 lit. b) DSGVO vor, dass angemessene Schutzmaßnahmen, die die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, getroffen werden müssen, um die Sicherheit personenbezogener Daten zu gewährleisten. Sollten die genutzten Software-Lösungen einige Fehler aufweisen, die zu einer Datenpanne führen, kann dies mit schweren Bußgeldern geahndet werden. Daher sollten die eingesetzten Software-Lösungen regelmäßig getestet werden, um drohenden Verstößen entgegenzuwirken. Um ein transparentes Ergebnis gewährleisten zu können, sollte die Software von externen Auditoren wie der Keyed GmbH mit Sitz in Münster (Westfalen) durchgeführt werden.
Zur Gewährleistung der Vertraulichkeit werden z.B. Fragen im Hinblick der Zutritts-, und Zugriffskontrolle gestellt. Zur Wahrung der Integrität werden unter anderem Fragen zur Weitergabe- und Eingabekontrolle gestellt. Im Rahmen der Gewährleistung der Verfügbarkeit, wird eine Verfügbarkeitskontrolle durchgeführt. Auch Maßnahmen zur Belastbarkeit werden durch Fragen zur Ausfallsicherheit und Widerstandsfähigkeit abgesichert. Letztlich werden Maßnahmen zur Überprüfung, Evaluierung und Bewertungen durch Kontrollverfahren gewährleistet.
Auftragsverarbeitung bei Software
Sowohl bei der Wartung als auch der Pflege eines IT-Systems, ist das Thema Datenschutz ebenfalls zu berücksichtigen. Grund dafür ist, dass derartige Tätigkeiten auch als Auftragsverarbeitung im Sinne des Art. 28 DSGVO verstanden werden können. Dann müsste ein Auftragsverarbeitungsvertrag zwischen dem Auftraggeber und dem Auftragnehmer abgeschlossen werden.
Fraglich bleibt jedoch, ab wann eine Auftragsverarbeitung im Konkreten vorliegt. Nach dem Bundesverband für Informationswirtschaft, Telekommunikation und neue Medien liegt in der IT-Branche stets keine Auftragsverarbeitung vor, wenn der Dienstleister keine aktive Verarbeitung der Daten übernimmt, wie z.B. einfache Support Tätigkeiten. Bei der Beurteilung, ob eine Auftragsverarbeitung vorliegt, hat das Bayerische Landesamt Datenschutzaufsicht festgelegt, dass eine Auftragsverarbeitung immer dann gegeben ist, wenn die Datenverarbeitung im Vordergrund steht. Diese Regelung wird als sogenannte “Schwerpunkttheorie” bezeichnet. Eine typische Auftragsverarbeitung ist z.B. bei Software-Lösungen wie CRM-Systeme, HR-Software, Web-Tracking etc. einschlägig.
Wichtig ist, dass bei Vorliegen einer Auftragsverarbeitung zwingend ein Vertrag nach den Vorgaben des Art. 28 DSGVO notwendig ist. Liegt ein solcher Vertrag nicht oder nicht richtig vor, besteht die Gefahr, dass ein Bußgeld ausgesprochen wird. Im Jahr 2019 hatte das Unternehmen Kolibri Image aus Hamburg Kundendaten an einen externen Dienstleister nach Spanien übermittelt, ohne Vorliegen eines Auftragsverarbeitungvertrags. Die Aufsichtsbehörde in Hamburg reagierte auf diesen Verstoß mit einem Bußgeld i.H.v. 5.000 Euro.
Datenschutz-Management – Software für Unternehmen
Eine gut strukturierte Datenschutzmanagement-Software bietet Unternehmen die Möglichkeit, Datenschutz vollumfänglich umzusetzen. Solche Software-Lösungen stellen eine Oberfläche für eine systematische Herangehensweise an den Datenschutz sowie einen übersichtlichen Blick auf die erledigten Aufgaben und die noch zu erledigenden Aufgaben. Eine Datenschutzmanagement-Software beinhaltet Funktionen wie z.B. Übersicht über den Datenschutzstatus des Unternehmens, Managements des Verzeichnis für Verarbeitungstätigkeiten und Speichermöglichkeiten von wichtigen datenschutzrechtlichen Unterlagen wie Auftragsverarbeitungsverträge und dessen Hauptverträge. Außerdem gibt es Aufgabensysteme und Checklisten für das Unternehmen und deren Datenschutzbeauftragte, die eine vollständige Umsetzung und notwendige Dokumentationspflicht gewährleistet.
Was muss eine gute Datenschutzmanagement-Software können? – (Checkliste)
- Webbasiert
Die Datenschutzmanagement-Software sollte webbasiert sein, um so ein schnelles Agieren von mehreren Anwendern zu ermöglichen. Somit kann sichergestellt werden, dass Mitarbeiter des Unternehmens sowie der Datenschutzbeauftragte auf die Software zugreifen können und dies zudem auf einer sicheren Basis geschieht. - Übersichtliches Dashboard
Eine grafische Benutzeroberfläche, die alle Aufgaben und den aktuellen Stand der Umsetzung des Datenschutzes wiedergibt und der Visualisierung von wichtigen Punkten dient. - Verzeichnis von Verarbeitungstätigkeiten
Eine Funktion zur einfachen und datenschutzkonformen Erstellung eines Verzeichnisses für Verarbeitungstätigkeiten gem. Art. 30 DSGVO. Die Software zeigt, welche Angaben gemacht werden müssen und welche noch für eine ausreichende Dokumentation fehlen. - Aufgabensystem
Erstellung von Aufgabenlisten, welche erfüllt werden müssen, um Datenschutzverstöße vermeiden zu können. Ein einfaches Handling ermöglicht eine stets aktuelle Aufgaben- und Checkliste. - Interne Dokumente
In der DSGVO sind verschiedene Pflichten einzuhalten, unter andrem die Rechtfertigungspflicht, Nachweispflicht und Dokumentationspflicht. Diese sollten auch in der Software erfüllt werden können. Die Dokumentenablage erfüllt hierbei auch diesen Zweck und hilft dabei einen Überblick von wichtigen Dokumenten zu behalten. - Datenschutzerklärungsgenerator
Besonders hilfreich ist die automatische Erstellung einer Datenschutzerklärung für die Webseite eines Unternehmens. - Technische und organisatorische Maßnahmen (TOM)
Aus einem von Datenschutzexperten erstellten Fragenkatalog von technischen und organisatorischen Maßnahmen kann der Verantwortliche, die für ihn passenden und entsprechenden Maßnahmen wählen. - Auftragsverarbeiter
Art. 28 DSGVO muss ein Vertrag abgeschlossen werden, wenn eine Verarbeitung im Auftrag des Verantwortlichen erfolgt. Um dies so strukturiert und einfach wie möglich zu machen, sollte diese Funktion keinesfalls in einer Datenschutzmanagement-Software fehlen. - Löschkonzept
In der DSGVO gilt der Grundsatz der Speicherbegrenzung iSd. Art. 5 Abs. 1 lit. e) DSGVO. Um diesem Grundsatz gerecht werden zu können, empfiehlt es sich ein Löschkonzept. Die Software bietet einen großen Gesamtüberblick über alle rechtlichen Löschfristen und eventuellen Aufbewahrungsfristen, die vom Verantwortlichen einzuhalten sind. - Datenschutz-Folgenabschätzung: Die meisten Unternehmen sind nach Art. 35 DSGVO dazu verpflichtet eine Datenschutz-Folgenabschätzung durchzuführen. Die Software hilft bei der Risikobewertung, indem sie rechtlich erforderliche Schritte vorgibt.
Was passiert bei Gesetzesänderungen?
Eine Datenschutzmanagement-Software ist ein effizienter Weg, den Datenschutz einfacher zu gestalten und die datenschutzrechtlichen Vorgaben einzuhalten. Hierzu zählt auch eine verlässliche Arbeit des Herstellers der Software. Gesetzesänderungen, neue Urteile und ausschlaggebende Bußgelder von Aufsichtsbehörden sollten daher unverzüglich in der Software angepasst werden. Um dem Kunden die Umsetzung von Datenschutz im Unternehmen weitestgehend zu erleichtern, sollte dieser auch stets über alle aktuellen Entscheidungen unterrichtet werden. Eine Anpassung an das aktuelle Recht bedarf jedoch einer gewissen Vorlaufzeit, in der die Neuheiten integriert werden sollten.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.