Was muss Software zur Einhaltung der DSGVO können?

Fachbeitrag

Von Systemen für die Lohnbuchhaltung, über E-Mail-Programme oder Ticketsystemen für Kundenanfragen bis hin zu komplexen ERP- oder CRM- Systemen finden sich in nahezu allen größeren Unternehmen verschiedenste Softwareanwendungen. Verarbeiten solche Softwareanwendung auch personenbezogene Daten, treffen den Anwender verschiedene datenschutzrechtliche Pflichten. Einzuhalten sind diese natürlich nur, wenn die Software auch entsprechende Funktionen bietet.

Was ist bereits nach aktueller Gesetzeslage zu beachten?

Schon heute muss Software einiges können, um sie im Unternehmen datenschutzkonform einsetzen zu können. Zu den wichtigsten Punkten gehören folgende:

  • Zugriffskontrolle
  • mit Zwei Faktor Authentifizierung
  • Vergabe von verschiedenen Berechtigungen
  • Protokollierung
  • Archivierungs- und Löschfunktionen
  • Verschlüsselungsverfahren
  • Datensicherung
  • Pseudonymisierungsfunktionen
  • Anonymisierungsfunktionen

Was unter diesen Begriffen und Funktionen zu verstehen ist, können Sie in unserem Artikel „Anforderungen an Software: Besser vorher an Datenschutz und IT-Sicherheit denken!“ nachlesen.

Was ändert sich mit der DSGVO?

Die gute Nachricht vorab… gar nicht so viel. Mit Einführung der Datenschutz-Grundverordnung (DSGVO) werden die schon länger bekannten Begriffe „privacy by design“ und „privacy by default“ in den gesetzlichen Vorgaben verankert. Neben den notwendigen Funktionen, die sich aus diesen Begriffen ergeben, kommen hauptsächlich Funktionen zur Erfüllung erweiterter Betroffenenrechte hinzu.

Die folgende Übersicht soll Klarheit darüber geben, auf welche Funktionen bei Auswahl und Softwareerstellung geachtet werden sollte.

Datenminimierung

Die Software sollte dem Anwender die Möglichkeit geben, bei jeder Funktion nur die für den Zweck der Verarbeitung notwendigen Informationen anzugeben. Eingabefelder mit zusätzlichen, nicht notwendigen Informationen sollten vermieden werden oder zumindest als nicht zwingend auszufüllen ausgestaltet sein.

Datenschutzfreundliche Voreinstellung

Besteht in der Software für den Anwender die Möglichkeit zwischen verschiedenen Einstellungen zu wählen, muss standardmäßig die datenschutzfreundlichere Einstellung vorausgewählt sein.

Unterstützung bei Wahrung von Betroffenenrechten

Die Software sollte Funktionen enthalten, die den Anwender bei Erfüllung der Betroffenenrechte unterstützen. Insbesondere sind dies Funktionen zur Berichtigung, zur Löschung und/oder Sperrung und zur Einschränkung der weitergehenden Verarbeitung der personenbezogenen Daten. Möglich wird das natürlich erst, wenn der Anwender die Daten gesammelt abrufen und auswerten kann.

Datenübertragbarkeit

Zur Einhaltung des Rechts auf Datenübertragbarkeit sollte die Software eine Funktion enthalten, die es dem Anwender ermöglicht, die Daten in einem allgemein maschinenlesbaren Format zu exportieren.

Aufbewahrungsfristen

Zur besseren Steuerung automatischer Löschungen von Daten sollte die Software Funktionen enthalten, die es dem Anwender ermöglichen für bestimmte Datensätze Aufbewahrungszeiträume zu definieren. Idealerweise ist diese Funktion mit einer automatisierten Löschung nach Ablauf dieses Zeitraums gekoppelt.

Software oft nicht datenschutzkonform

Trotz diverser Hinweise und Artikel findet sich aktuell eine ganze Menge Software auf dem Markt, die auch schon nach dem aktuellen BDSG nicht ohne weiteres datenschutzkonform eingesetzt werden kann. Wer denkt, dass es sich bei den Angeboten nur um solche kleiner IT-Firmen aus Hinterhofgaragen handelt, der irrt sich. Teilweise machen auch große Softwarehäuser ein regelrechtes Geschäft mit dem Verkauf zusätzlicher Module, die einen datenschutzkonformen Einsatz im Unternehmen erst ermöglichen.

Wer trägt die Kosten für Softwareanpassung oder Updates?

Hat man festgestellt, dass mit der Software gar nicht alle gesetzlichen Anforderungen erfüllt werden können, stellt sich die Frage, wer für die Kosten der Anpassung aufkommen muss.

Ausgangspunkt ist dabei immer der sog. Mangelbegriff aus dem Bürgerlichen Gesetzbuch (BGB). Ein Mangel liegt regelmäßig dann vor, wenn sich die Software nicht zur gewöhnlichen Verwendung eignet.

Sind die gesetzlichen Bestimmungen zum Zeitpunkt der Softwareüberlassung bereits wirksam und lassen sich diese mit der Software nicht einhalten, kann von einem Mangel ausgegangen werden. Das führt wiederum dazu, dass der Käufer der Software vom Verkäufer ein kostenloses Update zur Behebung einfordern kann. Gleiches gilt auch, wenn Gesetzesänderungen bereits bekannt sind, aber erst zu einem späteren Zeitpunkt wirksam werden. Beispielweise also bei den Anforderungen der Datenschutz-Grundverordnung.

Augen auf beim Softwarekauf

Kauft man heute Software, die die Anforderungen der Datenschutz-Grundverordnung nicht erfüllt, muss der Verkäufer für die Kosten einer entsprechenden Anpassung aufkommen. Allerdings sollte einem immer bewusst sein, dass Recht haben und Recht bekommen zwei unterschiedliche Dinge sind. Weigert sich der Verkäufer die Software an die Anforderungen nach Datenschutz-Grundverordnung anzupassen, können langwierige und teilweise kostenintensive Rechtsstreitigkeiten auf einen zukommen. Besser ist es also, die Software schon vor dem Kauf genau zu begutachten, um festzustellen, ob die gesetzlichen Anforderungen beim Einsatz erfüllt werden können.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.