DSGVO und Softwareentwicklung – Anforderungen an Individual- und Standardsoftware

Sobald in einer Software personenbezogene Daten verarbeitet werden, stellt die DSGVO (Datenschutzgrundverordnung) neben Anforderungen an die Dokumentation und die vertragliche Abbildung der Verarbeitung auch konkrete Anforderungen an die Software und die durch die Software unterstützten Prozesse. In diesem Artikel stelle ich diese im Überblick dar.

Wer softwaregestützt personenbezogene Daten verarbeitet, kommt seit dem 25.05.2018 nicht mehr daran vorbei, die Anforderungen der DSGVO zu berücksichtigen. Dabei ist es unerheblich, ob eine Individualsoftware entwickelt oder aber eine Standardsoftware eingeführt wird. In jedem Fall muss frühzeitig sichergestellt werden, dass die Softwarelösung und die durch die Software unterstützen Prozesse die Anforderungen der DSGVO erfüllen.

Im Auswahlprozess für die Standardsoftware oder aber im Zuge der Definition der Anforderungen an die Individualsoftware müssen die Vorgaben der DSGVO frühzeitig berücksichtigt werden. Falls das Datenschutzwissen im Projekt nicht ausreicht, sollte projektbegleitend ein Datenschutzexperte hinzugezogen werden.

Betrachten des Projektkontextes

Zunächst einmal betrachtet das Projektteam zusammen mit dem Datenschutzexperten das allgemeine Projektumfeld, um sich einen Überblick zu verschaffen:

• Wie sieht der Projekt-/Zeitplan für die Systemeinführung aus?
• Wie ist die Projektorganisation?
• Welche Prozesse werden unterstützt?
• Welche Organisationseinheiten sind dabei betroffen?
• Welche Schnittstellen gibt es, über die personenbezogene Daten fließen?
• Welche (personenbezogenen) Daten werden verarbeitet?
• Wie sieht der Softwareentwicklungsprozess aus und sind Datenschutzthemen in Bezug auf die Testdaten oder die Datenmigration zu berücksichtigen?

Mit den gewonnenen Informationen im Hinterkopf wird genauer untersucht, wie die DSGVO-Anforderungen im konkreten Projekt berücksichtigt werden können. Dabei kann es im Extremfall auch vorkommen, dass die Datenschutzanforderungen sich nicht erfüllen lassen und das Projekt aus diesem Grund abgebrochen oder unter komplett neuen Bedingungen einen Neustart benötigt. Dies mag dann eine harte Entscheidung sein, aber immerhin ist diese dann vor dem Projektstart und somit vor der mit viel Aufwand verbundenen Implementierung oder Einführung der Software getroffen worden.

Abbildung 1: Die Anforderungen im Überblick

Grundlegende Anforderungen

Welche Anforderungen sind nun konkret zu berücksichtigen? Beginnen wir mit einigen grundlegenden Anforderungen.

Zunächst einmal darf die Datenverarbeitung personenbezogener Daten nur erfolgen, wenn eine Zweckbestimmung und eine Rechtsgrundlage für die Verarbeitung vorliegt (Art. 5 (1) und Art. 6 (1)). Lassen sich keine Zweckbestimmung und keine Rechtsgrundlage finden, ist die Datenverarbeitung per se untersagt.

Als Leitlinie gilt zudem der Grundsatz der Datensparsamkeit. Es sollen nur die Daten erhoben und verarbeitet werden, die für den Verarbeitungszweck unbedingt benötigt werden (Art. 5 (1) c) und §71 BDSG). Beispielsweise wird für einen Newsletterversand auf jeden Fall die E-Mailadresse des Adressaten benötigt, eine postalische Adresse oder die Telefonnummer aber nicht.

Sind diese grundlegenden Fragestellung geklärt, können wir weiter ins Detail gehen.

In der Regel, wenn keine andere Rechtsgrundlage vorliegt, bedarf die Datenverarbeitung eines Einverständnisses des Betroffenen (Art. 6 (1) a). Es ist zu klären, wie dieses Einverständnis mithilfe der Software eingeholt und auch dokumentiert werden kann. (Stichwort Double-Opt-In).

Darüber hinaus sollte frühzeitig geklärt werden, welche Aufbewahrungszeiten und Speicherfristen (Art. 5 (1) e)) für die personenbezogenen Daten festgelegt werden. Spätestens nachdem der Zweck der Datenverarbeitung erfüllt wurde, müssen die Daten wieder gelöscht werden, falls keine rechtlichen Aufbewahrungs- und Nachweisfristen dagegen sprechen.

Anforderungen aufgrund der “Rechte der betroffenen Personen”

Einen ganzen Strauß an Anforderungen hält das Kapitel 3 der DSGVO (“Rechte der betroffenen Personen”) bereit. Es müssen Prozesse existieren, die die Rechte der Betroffenen gewährleisten. Die Software muss diese Prozesse ihrerseits unterstützen.

Die Verarbeitung der Daten muss transparent dargestellt werden (Art. 12). Die betroffenen Personen sind über die Datenerhebung und -verarbeitung zu informieren. Wir müssen den Informationspflichten bei Erhebung personenbezogener Daten nachkommen (Art. 13 oder 14). Dies erfolgt in der Regel anhand einer auf die jeweilige Software abgestimmten Datenschutzerklärung, in der im Detail über Themen wie z. B. Speicherfristen und alle betroffenen Rechte aufgeklärt wird.  

Betroffene Personen können eine Reihe von Anfragen an die verantwortliche Stelle stellen. Aus diesem Grund ist Folgendes sicherzustellen:

• Können sich die Betroffenen Informationen über die über sie gespeicherten und durch die verantwortliche Stelle verarbeiteten Daten besorgen (Art. 15)?
• Gibt es für die Betroffenen die Möglichkeit zur Datenkorrektur (Art. 16)?
• Können Betroffene die Sperrung oder Löschung ihrer Daten veranlassen? Erfolgt dies dann auch, wenn notwendig, in weiteren Systemen, in die die Daten exportiert wurden (Art. 17 und 18)?
• Kann auf Anfrage eines Betroffenen ein Datenexport erfolgen (Art. 20)?
• Wird dem Betroffenen ein Widerrufsrecht eingeräumt und ist dies auch organisatorisch/technisch berücksichtigt (Art. 21)?

Die DSGVO schreibt nicht vor, dass diese Anfragen automatisiert durch die Software zu erfüllen sind. Vielmehr ist nur sicherzustellen, dass die Anfragen erfüllbar sind. Gibt es eine Vielzahl von Benutzern und somit betroffenen Personen, so ist unter Umständen auch mit vielen Anfragen zu rechnen. Die Bereitstellung von Selfservice-Möglichkeiten und einer automatisierten Bearbeitung der Anfragen kann dann schnell wirtschaftlich sinnvoll werden.

Weitere Anforderungen an die Software und die Prozesse

Neben den sich aus den betroffenen Rechten ergebenden Anforderungen gibt es weitere Pflichten, die die DSGVO uns bzw. der Software und den begleitenden Prozessen auferlegt.

Zunächst einmal fordert die DSGVO ganz allgemein ausreichende und adäquate Sicherheitsmaßnahmen (Stichwort technische und organisatorische Maßnahmen – TOMs) (Art. 5 (1) f)). “Privacy by Design” und “Privacy by Default” (Art. 25 und Erwägungsgrund 78) verlangen danach, Datenschutz schon beim Systemdesign zu berücksichtigen und möglichst datenschutzfreundliche Voreinstellungen zu verwenden. Unter anderem sollten die folgenden Maßnahmen getroffen werden:

• Die Daten sind vor unauthorisiertem Zugriff zu schützen.
• Daten sollten verschlüsselt gespeichert (auch die Backups!) und verschlüsselt übertragen werden. Dies gilt insbesondere dann, wenn große Mengen an personenbezogenen Daten oder aber Daten spezieller Kategorien verarbeitet werden.
• Datenänderungen sollten nachvollziehbar sein und deshalb sollten sie auditiert werden.
• Um sich in Bezug auf Lösch- und Auskunftsfristen keine zusätzlichen Probleme einzuhandeln, bietet es sich an sicherzustellen, dass keine personenbezogenen Daten in Logfiles geschrieben werden.
• Daten sollten, wenn möglich bzw. notwendig, pseudonymisiert oder anonymisiert werden. Dies gilt insbesondere für die Übertragung von Daten in andere Systeme und die Auswertung von Daten in Berichten.

Anforderungen an die Dokumentation und die vertragliche Abbildung

Sind diese Anforderungen berücksichtigt, bleibt noch sich mit den Anforderungen an die Dokumentation und vertraglichen Pflichten auseinanderzusetzen. Im Wesentlichen geht es dabei um die folgenden zwei Punkte:

Das Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten – VVT) muss aktualisiert werden. Hier wird entweder ein neues Verfahren ergänzt oder aber ein bereits vorhandenes angepasst (Art. 30). Dies wird sowohl von Auftragsverarbeitern als auch von den Verantwortlichen gefordert.

Es muss ein Auftragsverarbeitungsvertrag (AVVs) abgeschlossen werden, falls die Software durch einen Dienstleister betrieben wird (Art. 28). Hierbei ist insbesondere zu prüfen, was in Bezug auf die Verarbeitung personenbezogener Daten in Drittländern und die Einbeziehung von Unterauftragsverarbeitern zu klären und definieren ist.

Fazit

DSGVO-konforme Software und Prozesse sind möglich. Allerdings nur, wenn die Anforderungen und Vorgaben der DSGVO frühzeitig berücksichtigt werden. In analoger Weise sind auch Altsysteme auf DSGVO-Konformität zu prüfen und ggf. anzupassen oder abzulösen.

Zum Abschluss noch der nicht ganz unwichtige Hinweis/Disclaimer: Dieser Artikel stellt keine Rechtsberatung dar.