Software-Customizing datenschutzkonform umsetzen

daten 26
Fachbeitrag

Bei der Einführung einer neuen Software im Unternehmen, kommt es oft vor, dass eine Standardsoftware noch auf die spezifischen Bedürfnisse des Unternehmens angepasst werden muss. Wichtig ist sowohl bei der Einführung als auch beim Customizing den Datenschutzbeauftragten rechtzeitig ins Boot zu holen, um das Vorhaben von Anfang an datenschutzrechtlich abzusichern. Dieser Artikel erklärt zunächst das Customizing und gibt anschließend eine Orientierungshilfe, was datenschutzrechtlich zu beachten ist.

Customizing

Unter dem neudeutschen Begriff „Customizing“ (to customize = anpassen) verbirgt sich nichts anderes als die Anpassung einer Standardsoftware an die Bedürfnisse des jeweiligen Unternehmens. Im Gegensatz zu einer Individualsoftware, die exakt nach den Wünschen des jeweiligen Unternehmens konzipiert ist, wird Standardsoftware für den Massenmarkt bereitgestellt.

Damit möglichst viele Unternehmen mit unterschiedlichen Anforderungen die Standardsoftware nutzen können, werden die meisten Standardapplikationen so konzipiert, dass ein weites Spektrum an Anforderungen abgedeckt wird und sich jedes Unternehmen selbst die für ihn wichtigen Funktionalitäten zusammenstellen kann.

Das Customizing kann neben der Ergänzungsprogrammierung auf zwei  Arten erfolgen: als Konfiguration oder als Parametrisierung. Dabei wird der Quellcode der Standardsoftware meist nicht verändert, es wird also nichts programmiert.

Konfiguration

Bei einer Konfiguration stellt sich das Unternehmen die benötigten Funktionen selbst aus den einzelnen Bausteinen (Softwarekomponenten, Modulen) zusammen. Oft stellt nicht nur der originäre Hersteller einzelne Module bereit. Zusätzlich werden spezifische Module für die unterschiedlichsten Branchen durch andere Hersteller angeboten, die durch Schnittstellen miteinander verbunden werden. Ein typisches Beispiel stellen die einzelnen SAP-Module dar.

Parametrisierung

Bei der Parametrisierung werden hingegen Funktionalitäten durch Aktivierung oder Deaktivierung von vorhandenen Parametern ausgewählt. Das Unternehmen erhält also die komplette Standardsoftware mit dem gesamten Funktionsumfang, aus dem es sich die benötigten Funktionen selbst aussucht und diese entsprechend einstellt. Bei einer Änderungen von Daten in einer Kundendatenbank kann z.B.  ausgewählt werden, dass der Vorgang zusätzlich protokolliert werden soll.

In der Praxis kommen meist Mischformen der beiden Formen vor.

Datenschutzrechtliche Anforderungen

Der Datenschutzbeauftragte muss rechtzeitig das Vorhaben prüfen, ob das Projekt den Anforderungen des BDSG genügt und ob entsprechende Maßnahmen umgesetzt sind. Als Hilfestellung für den Verantwortlichen haben wir eine Checkliste zur Orientierung zusammengestellt, die je nach der gegebenen Situation angepasst werden muss. Insbesondere folgende Aufgaben sollte der Datenschutzbeauftragte im Auge behalten:

  1. Prüfung, welche personenbezogene Daten verarbeitet werden
  2. Prüfung des Zweckes und der Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten
  3. Prüfung, ob automatisierte Einzelfallentscheidungen vorgenommen werden
  4. Prüfung von Schnittstellen und Exportfunktionen
  5. Prüfung einzelner Funktionalitäten / Module (Deaktivierung, falls diese nicht benötigt werden)
  6. Prüfung der Protokollierung/Logfiles/Reports und ihre Verwendung
  7. Erstellen eines Protokollierungskonzeptes
  8. Schulung der Projektbeteiligten auf die Anforderungen des BDSG und der Mitarbeiter bei Anwendung der Software
  9. Prüfung und Absicherung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG
  10. Erstellung einer Vorabkontrolle bei Verfahren automatisierter Verarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen, insbesondere bei Verarbeitung besonderer Daten und / oder Daten zur Leistungs- und Verhaltenskontrolle
  11. Erstellung eines Rollen- und Berechtigungskonzeptes
  12. Erstellung eines Löschkonzeptes
  13. Schließung eines Vertrages zur Auftragsdatenverarbeitung mit Drittdienstleister inkl. Prüfung und Absicherung des angemessenen Datenschutzniveaus
  14. Prüfung des Mitbestimmungsrechtes des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG
  15. Prüfung der Sperr- und Löschfunktionalitäten
  16. Datenschutzrechtliche Absicherung bei Migration von personenbezogenen Daten bzw. bei Testläufen mit Echtdaten

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.