Datenschutz in der Softwareentwicklung im Lichte der DSGVO

Das Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 stellt auch Softwareentwickler und -anbieter vor neue Herausforderungen. Durch die Verordnung wird das gesamte europäische Datenschutzrecht länderübergreifend neu aufgesetzt und vereinheitlicht. Die Regelungen bestimmen künftig sehr genau, wie personenbezogene Daten verarbeitet, gespeichert und gelöscht werden müssen. Unternehmen haben also nur noch wenig Zeit ihren Betriebsablauf der neuen Gesetzeslage anzupassen, um den ebenfalls neu geregelten, hohen Bußgeldern vorzubeugen.

Ganz besonders betroffen sind Entwickler und Anbieter von Anwendungssoftware, da in ihrem Arbeitsalltag der Schutz personenbezogener Daten eine prominente Rolle spielt. Die DSGVO beschreibt bestimmte Prinzipen und Konzepte, die im Folgenden dargelegt werden sollen:

Das Prinzip Datenübertragung legt fest, dass personenbezogene Daten sehr einfach und komfortabel von einem Anbieter auf einen anderen übertragen werden können. Voraussetzung hierfür ist, dass stets ersichtlich sein muss, an welchen Stellen die Applikationen Daten speichern und wie man diese mit einfachen Methoden zusammenfassen und darstellen kann. Softwarehersteller müssen sich deshalb stets fragen und erklären können an welchen Orten Daten gespeichert werden, wie sie sich transferieren lassen und wie mehrere Datensätze eines Anwenders zu einem einzigen Datensatz zusammengefasst werden können.

Die Datenlöschung wiederum besagt, dass Benutzer der Software jederzeit das Löschen ihrer Daten verlangen können, sobald die Rechtsgrundlage für das Speichern ihrer Daten nicht mehr gegeben ist. Auf Verlangen müssen in einem solchen Fall sämtliche Daten des Nutzers innerhalb der Anwendung gelöscht werden. Dies betrifft im Zweifelsfall alle, also sowohl zentral, als auch dezentral gespeicherte Daten. Entscheidend für die Entwickler einer betroffenen Software ist es deshalb stets über den Speicherort der Daten im Bilde zu sein. Denn diese müssen auf Wunsch rückstandsfrei gelöscht werden können. Idealerweise kann dafür eine Art Löschroutine oder Eingabemaske implementiert werden, um den Prozess zu erleichtern.

Erweiterte Pflichten und modifizierter Datenschutzbegriff

Die Vorgabe der Meldepflicht hat weitreichende Folgen für sämtliche Unternehmen, die in den Geltungsbereich der DSGVO fallen. Im Falle einer Verletzung des Schutzes personenbezogener Daten, beispielsweise eines Cyberangriffs hat der Verantwortliche unverzüglich, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Die Meldepflicht entfällt, wenn „die Verletzung (…) voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Um einer derartigen Verpflichtung gerecht zu werden, muss zunächst einmal festgestellt werden, ob Daten abhandengekommen sind. Dazu sollte im Rahmen der Prophylaxe geklärt werden welche Daten sind besonders schützenswert und wie anfällig ist die Applikationen gegenüber möglichen Hackerangriffen sind. Auf Grundlage dieser Risikoeinschätzung können etwaige Sicherheitsstandards gestaltet werden.

Angepasster Datenschutz besagt, dass der Schutz personenbezogener Daten nicht mehr grundsätzlich betrachtet werden kann, sondern gegenüber den denkbaren Risiken angepasst werden muss. Dies soll gewährleisten, dass Unternehmen beispielsweise eine Risikobewertung ihrer gesamten IT-Infrastruktur vornehmen, um die Gefahren, denen sie sich konkret ausgesetzt sehen bewusst festgestellt werden. Im Anschluss gilt es Konzepte und Mechanismen zu implementieren, um diesen Risiken entgegenzutreten und sie zu minimieren. Dabei spielt die Sicherheit der Daten innerhalb der Anwendung eine entscheidende Rolle. Dadurch kann erfasst werden wie hoch und an welchen Schnittstellen das Risiko eines Datenstörfalls am größten ist.

Dazu kommt ein technik-bezogener Datenschutz, der sich unmittelbar an Anbieter und Hersteller von Applikationen richtet. So sollen Anwendungsprogramme künftig personenbezogene Daten bestmöglich schützen und diese überhaupt nur dann verarbeiten bzw. speichern, wenn dies unbedingt geboten ist. Diese Konzepte sind unter den Schlagwörtern „Privacy by Design“ und „Privacy by Default“ bekannt. Der Entwickler muss sich dabei fragen, wie sich sicherstellen lässt, dass Software von Anfang den hohen Datenschutzanforderungen der DSGVO entspricht und welche Standard- bzw. Werkseinstellungen für einen bestmöglichen Datenschutz sorgen.

Datenschutzstandard als wesentliches Qualitätsmerkmal

Da heutzutage nahezu jede Anwendung personenbezogene oder sensible Daten in automatisierter Form erhebt, verarbeitet oder nutzt, gilt es aus ökonomischen und haftungsrechtlichen Gründen die Einhaltung und Umsetzung von datenschutzrechtlichen Bestimmungen bereits bei der Entwicklung der Software oder App zu berücksichtigen. Datenschutz und Datensicherheit werden von Kunden beim Kauf oder Download einer Software bzw. App zunehmend zu erwarten. Ein auf die Einhaltung des Datenschutzes ausgelegtes Produkt stellt für Ihr Portfolio ein wesentliches Qualitätsmerkmal dar.

Unsere Beratung richtet sich an Startups und Unternehmen, die die Qualität Ihrer Software-Produkte über die Einhaltung eines hohen Datenschutzstandards definieren und dieses Merkmal als wesentliches Unterscheidungskriterium nutzen wollen.

Wie stellen Ihnen die wesentlichen gesetzlichen Grundanforderungen an Ihr Produkt vor – unabhängig davon, ob sich Ihre Anwendung in der Konzeptionsphase, Entwicklungsphase oder bereits im Betrieb befindet. Wir zeigen Ihnen, welche Datenschutz-Parameter möglich und sinnvoll sind, um Ihre Software oder App datenschutzkonform zu gestalten. Sicherheit schafft Vertrauen – und das kommt beim Kunden gut an.

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.