Software DSGVO

Datenschutz Verstehen – Software DSGVO

Kurze Einleitung

Seit der Einführung der Datenschutz-Grundverordnung müssen Software-Hersteller bei der Entwicklung und Unternehmen bei der Auswahl von Software-Lösungen bestimmte Anforderungen einhalten. Es ist oftmals nicht sehr übersichtlich für Unternehmen, wie eine Software nach der DSGVO entwickelt werden muss und wie die vertraglichen Anforderungen gelöst werden können. In diesem Beitrag erfahren Sie worauf zu achten ist bei Software-Lösungen im Einklang mit der Datenschutz-Grundverordnung.

 

Software unter der DSGVO

Mit der Datenschutz-Grundverordnung (DSGVO) vom 25.05.2018 haben sich viele Veränderungen ergeben. Die DSGVO gilt einheitlich in der europäischen Union. Art. 5 Abs. 1 DSGVO sieht eine Vielzahl von allgemeinen Grundsätzen vor. Diese Grundsätze stellen dabei etwas wie “Grundregeln” für die Verarbeitung und Speicherung von personenbezogenen Daten dar und helfen insbesondere bei der Auslegung von Regelungen der DSGVO. Zu den Grundsätzen gehören unter anderem das Transparenzgebot nach Art. 5 Abs. 1 lit. a) DSGVO, die Zweckbindung nach Art. 5 lit. b) DSGVO und das Prinzip der Datenminimierung nach Art. 5 lit. c) DSGVO.

Systeme für Lohnbuchhaltung, E-Mail-Programme, Kundenanfragen oder komplexe ERP- oder CRM-Systeme gehören zu allen großen bis mittelständische Unternehmen dazu. Diese nutzen diese Systeme für deren Tagesgeschäfte. Verarbeiten Unternehmen auch personenbezogene Daten, treffen den Anwender verschiedene datenschutzrechtliche Pflichten.

 

DSGVO Softwareentwicklung

Auch die Softwareentwicklung ist vom Datenschutz betroffen, weshalb es wichtig ist, einige Grundsätze zu beachten. Gerade in Zeiten von Clouds-Lösung, sozialen Netzwerken und “Datengiganten” wie Google und Facebook, ist eine datenschutzkonforme Softwareentwicklung wichtig. Welche Anforderungen konkret zu berücksichtigen sind werden im Folgenden näher beschrieben. Die wesentlichen Normen sind dabei der Art. 25 und der Erwägungsgrund 78 der DSGVO. 

Demnach ist der für die Datenverarbeitung Verantwortliche für die wirksame Umsetzung der Datenschutzgrundsätze und den Schutz der Rechte und Freiheiten der betroffenen Personen verpflichtet. Um einen wirksamen Datenschutz zu gewährleisten, muss der Datenschutz schon beim Systemdesign berücksichtigt werden. Dabei sollten datenschutzfreundliche Voreinstellung verwendet werden. Das verlangen die Grundsätze “Data Protection by Design” und “Data Protection by Default”. In der neuen Leitlinie der “European Data Protection Board” (EDPB) fordert der Ausschuss die frühzeitige Berücksichtigung von “Data Protection by Design und by Default” bei der Planung einer neuen Verarbeitung. 

 

DSGVO Softwareanforderungen

In der europäischen Union kann eine Software über verschiedene Wege in Verkehr gebracht werden. Durch Vielseitige Beschaffungs-Möglichkeiten von Software-Lösungen, sind trotz der geltenden DSGVO auch Softwareanbieter mit nicht datenschutzkonformen Produkten auf dem EU-Markt präsent ausgestattet. In der Praxis bedeutet das, dass Unternehmen und Behörden bei der Auswahl ihrer Software besonders achtsam sein müssen. Hierbei ist speziell der Art. 32 DSGVO zu berücksichtigen. Diese Norm trifft Regelungen hinsichtlich der technischen und organisatorischen Maßnahmen (TOM´s). Bei der Auswahl der TOM´s schreibt der Gesetzgeber vor, dass Unternehmen den Stand der Technik und anfallende Implementierungskosten berücksichtigen müssen. Um die TOM´s auf dem neuesten Stand der Technik zu bringen, müssen die veralteten technologischen Sicherheitsmaßnahmen durch Neue ersetzt und regelmäßig überprüft werden.

Gerade für Software-Lösung sind folgende TOM´s zu berücksichtigen.  

  1. Regelmäßige Datensicherung durch Updates, Backups oder Virenscanner
  2. Durchsetzung einer Weitergabekontrolle, um zu verhindern, dass unbefugte Einsicht oder Veränderung beziehungsweise Übertragung von personenbezogenen Daten durchsetzen können. Diese Verhinderung kann mittels Verschlüsselung durchgesetzt werden.
  3. Um Festzustellen, ob und von wem personenbezogene Daten in Verarbeitungssysteme eingegeben, verändert oder entfernt wird, sollte eine Eingabekontrolle durchgesetzt werden.
  4. Regelmäßige Änderung der Passwörter.
  5. Protokollierung derer, die Einsicht hatte.
  6. Wenn personenbezogene Daten aus unterschiedlichen Gründen erhoben werden, müssen diese nach der Trennungskontrolle auch getrennt verarbeitet werden.
Software DSGVO
 

DSGVO Checkliste für Software

Um datenschutzkonforme Softwareprogramme zu nutzen sollte folgenden Punkte aus der Checkliste berücksichtigt werden.

  1. Löschkonzepte müssen integriert werden. 
  2. Ein Berechtigungskonzept sollte aufgestellt werden.
  3. Ein AV-Vertrag im Sinne des Art. 28 DSGVO muss abgeschlossen werden (Prüfung ob Notwendigkeit besteht).
  4. Informationen zur Datenübermittlung in Drittländer.
  5. Eine stetige Aktualisierung der Daten muss gewährleistet werden.
  6. Automatisierte Erstellung von Protokollen bei Nutzung des Softwareprogramms.
  7. Wiederherstellbarkeit versehentlich gelöschter Daten.

Sie können eine vollständige Liste kostenfrei hier als Muster anfragen.

 

DSGVO Software Test

Der Grundgedanke der Datenschutzgrundverordnung liegt darin, personenbezogene Daten zu schützen. Die Mehrheit der deutschen Unternehmen setzen bei ihrem Tagesgeschäft auf Software-Lösungen, die den Arbeitsaufwand sowohl effizienter als auch wirtschaftlicher gestalten sollen. Da es beim Einsatz von Software-Lösungen, des Öfteren Probleme geben kann, sieht die DSGVO im Art. 32 Abs. 1 lit. b) DSGVO vor, dass angemessene Schutzmaßnahmen, die die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, getroffen werden müssen, um die Sicherheit personenbezogener Daten zu gewährleisten. Sollten die genutzten Software-Lösungen einige Fehler aufweisen, die zu einer Datenpanne führen, kann dies mit schweren Bußgeldern geahndet werden. Daher sollten die eingesetzten Software-Lösungen regelmäßig getestet werden, um drohenden Verstößen entgegenzuwirken. Um ein transparentes Ergebnis gewährleisten zu können, sollte die Software von externen Auditoren wie der Keyed GmbH mit Sitz in Münster (Westfalen) durchgeführt werden.

Zur Gewährleistung der Vertraulichkeit werden z.B. Fragen im Hinblick der Zutritts-, und Zugriffskontrolle gestellt. Zur Wahrung der Integrität werden unter anderem Fragen zur Weitergabe- und Eingabekontrolle gestellt. Im Rahmen der Gewährleistung der Verfügbarkeit, wird eine Verfügbarkeitskontrolle durchgeführt. Auch Maßnahmen zur Belastbarkeit werden durch Fragen zur Ausfallsicherheit und Widerstandsfähigkeit abgesichert. Letztlich werden Maßnahmen zur Überprüfung, Evaluierung und Bewertungen durch Kontrollverfahren gewährleistet. 

 

Auftragsverarbeitung bei Software 

Sowohl bei der Wartung als auch der Pflege eines IT-Systems, ist das Thema Datenschutz ebenfalls zu berücksichtigen. Grund dafür ist, dass derartige Tätigkeiten auch als Auftragsverarbeitung im Sinne des Art. 28 DSGVO verstanden werden können. Dann müsste ein Auftragsverarbeitungsvertrag zwischen dem Auftraggeber und dem Auftragnehmer abgeschlossen werden. 

Fraglich bleibt jedoch, ab wann eine Auftragsverarbeitung im Konkreten vorliegt. Nach dem Bundesverband für Informationswirtschaft, Telekommunikation und neue Medien liegt in der IT-Branche stets keine Auftragsverarbeitung vor, wenn der Dienstleister keine aktive Verarbeitung der Daten übernimmt, wie z.B. einfache Support Tätigkeiten. Bei der Beurteilung, ob eine Auftragsverarbeitung vorliegt, hat das Bayerische Landesamt Datenschutzaufsicht festgelegt, dass eine Auftragsverarbeitung immer dann gegeben ist, wenn die Datenverarbeitung im Vordergrund steht. Diese Regelung wird als sogenannte “Schwerpunkttheorie” bezeichnet. Eine typische Auftragsverarbeitung ist z.B. bei Software-Lösungen wie CRM-Systeme, HR-Software, Web-Tracking etc. einschlägig.

Autor

Herr Sebastian Feldmann ist als Datenschutzbeauftragter (DSB) und Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB und Consultant für Datenschutz unterstützt er bundesweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Startups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.

„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN