Software-Customizing datenschutzkonform umsetzen

Artikel von Agnieszka Czernik·22. Januar 2016

Bei der Einführung einer neuen Software im Unternehmen, kommt es oft vor, dass eine Standardsoftware noch auf die spezifischen Bedürfnisse des Unternehmens angepasst werden muss. Wichtig ist sowohl bei der Einführung als auch beim Customizing den Datenschutzbeauftragten rechtzeitig ins Boot zu holen, um das Vorhaben von Anfang an datenschutzrechtlich abzusichern. Dieser Artikel erklärt zunächst das Customizing und gibt anschließend eine Orientierungshilfe, was datenschutzrechtlich zu beachten ist.

Der Inhalt im Überblick

Customizing
Konfiguration
Parametrisierung
Datenschutzrechtliche Anforderungen

Customizing

Unter dem neudeutschen Begriff „Customizing“ (to customize = anpassen) verbirgt sich nichts anderes als die Anpassung einer Standardsoftware an die Bedürfnisse des jeweiligen Unternehmens. Im Gegensatz zu einer Individualsoftware, die exakt nach den Wünschen des jeweiligen Unternehmens konzipiert ist, wird Standardsoftware für den Massenmarkt bereitgestellt.

Damit möglichst viele Unternehmen mit unterschiedlichen Anforderungen die Standardsoftware nutzen können, werden die meisten Standardapplikationen so konzipiert, dass ein weites Spektrum an Anforderungen abgedeckt wird und sich jedes Unternehmen selbst die für ihn wichtigen Funktionalitäten zusammenstellen kann.

Das Customizing kann neben der Ergänzungsprogrammierung auf zwei Arten erfolgen: als Konfiguration oder als Parametrisierung. Dabei wird der Quellcode der Standardsoftware meist nicht verändert, es wird also nichts programmiert.

Konfiguration

Bei einer Konfiguration stellt sich das Unternehmen die benötigten Funktionen selbst aus den einzelnen Bausteinen (Softwarekomponenten, Modulen) zusammen. Oft stellt nicht nur der originäre Hersteller einzelne Module bereit. Zusätzlich werden spezifische Module für die unterschiedlichsten Branchen durch andere Hersteller angeboten, die durch Schnittstellen miteinander verbunden werden. Ein typisches Beispiel stellen die einzelnen SAP-Module dar.

Parametrisierung

Bei der Parametrisierung werden hingegen Funktionalitäten durch Aktivierung oder Deaktivierung von vorhandenen Parametern ausgewählt. Das Unternehmen erhält also die komplette Standardsoftware mit dem gesamten Funktionsumfang, aus dem es sich die benötigten Funktionen selbst aussucht und diese entsprechend einstellt. Bei einer Änderungen von Daten in einer Kundendatenbank kann z.B. ausgewählt werden, dass der Vorgang zusätzlich protokolliert werden soll.

In der Praxis kommen meist Mischformen der beiden Formen vor.

Datenschutzrechtliche Anforderungen

Der Datenschutzbeauftragte muss rechtzeitig das Vorhaben prüfen, ob das Projekt den Anforderungen des BDSG genügt und ob entsprechende Maßnahmen umgesetzt sind. Als Hilfestellung für den Verantwortlichen haben wir eine Checkliste zur Orientierung zusammengestellt, die je nach der gegebenen Situation angepasst werden muss. Insbesondere folgende Aufgaben sollte der Datenschutzbeauftragte im Auge behalten:

Prüfung, welche personenbezogene Daten verarbeitet werden
Prüfung des Zweckes und der Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten
Prüfung, ob automatisierte Einzelfallentscheidungen vorgenommen werden
Prüfung von Schnittstellen und Exportfunktionen
Prüfung einzelner Funktionalitäten / Module (Deaktivierung, falls diese nicht benötigt werden)
Prüfung der Protokollierung/Logfiles/Reports und ihre Verwendung
Erstellen eines Protokollierungskonzeptes
Schulung der Projektbeteiligten auf die Anforderungen des BDSG und der Mitarbeiter bei Anwendung der Software
Prüfung und Absicherung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG
Erstellung einer Vorabkontrolle bei Verfahren automatisierter Verarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen, insbesondere bei Verarbeitung besonderer Daten und / oder Daten zur Leistungs- und Verhaltenskontrolle
Erstellung eines Rollen- und Berechtigungskonzeptes
Erstellung eines Löschkonzeptes
Schließung eines Vertrages zur Auftragsdatenverarbeitung mit Drittdienstleister inkl. Prüfung und Absicherung des angemessenen Datenschutzniveaus
Prüfung des Mitbestimmungsrechtes des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG
Prüfung der Sperr- und Löschfunktionalitäten
Datenschutzrechtliche Absicherung bei Migration von personenbezogenen Daten bzw. bei Testläufen mit Echtdaten

- § 9 BDSG
  E-Mails: Ist die Weiterleitung von geschäftlich zu privat erlaubt?Fachbeitrag·13. Februar 2018
- VG Berlin zu besonderen Arten personenbezogener DatenUrteil·4. April 2017
- Anforderungen an Data Loss Prevention Software (DLP)Fachbeitrag·2. Februar 2016
Mehr zum Thema
- Datenschutzbeauftragter
  Folgen von Datenschutzverstößen im AngestelltenverhältnisFachbeitrag·29. Februar 2024
- Verantwortliche sind für die Umsetzung der DSGVO zuständigFachbeitrag·3. November 2023
- Betriebsrat: Unterrichtung und Einsichtnahme vs. DatenschutzFachbeitrag·26. September 2023
Mehr zum Thema
- IT-Sicherheit
  DORA: Der Digital Operational Resilience Act kurz erklärtFachbeitrag·15. März 2024
- Wie funktionieren eigentlich Passwörter?Fachbeitrag·8. März 2024
- Krisenkommunikation durchführen mit Datenschutz und ITFachbeitrag·15. Februar 2024
Mehr zum Thema
- Software
  Datenschutz bei IT-Tools & Software in SchulenFachbeitrag·12. März 2024
- IT-Forensik: Programmausführungen als digitale BeweismittelFachbeitrag·14. Juli 2023
- BAG: Vorlage zur Kollektivvereinbarung & zum SchadensersatzUrteil·30. März 2023
Mehr zum Thema
- TOM
  EuGH: TOMs und Schadensersatz bei CyberangriffenUrteil·13. März 2024
- Datenschutz bei IT-Tools & Software in SchulenFachbeitrag·12. März 2024
- Amazon Web Services (AWS) datenschutzkonform nutzenFachbeitrag·5. März 2024
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.