In der digitalen Welt ist Datenschutz ein wichtiges Thema für jedes Unternehmen. Wir möchten in diesem Blogbeitrag die Branche der Softwareentwicklung näher beleuchten. Auch wenn Sie nicht selbst in dieser Branche tätig sind, so interessiert Sie vielleicht dennoch, welche datenschutzrechtlichen Voraussetzungen in der Softwareentwicklung auf jeden Fall gewahrt werden müssen. Denn als Auftraggeber für oder Nutzer einer entsprechenden Software ist man gleichermaßen betroffen.
Datenschutz ist das täglich Brot der Softwareentwickler
Der Schutz personenbezogener Daten ist täglich Brot aber auch ein sehr kritischer Bereich für Softwareentwickler. Während der Entwicklung einer Software ist der Schutz personenbezogener Daten von Anfang ein nicht zu unterschätzendes und enorm relevantes Thema. Denn während der Entwicklung können bereits die maßgeblichen Weichen gestellt werden, wie die Software später personenbezogene Daten verarbeitet. Eine solche Verarbeitung findet jedoch nicht nur im Livebetrieb statt, sondern auch bereits in der Entwicklung in Bezug auf Daten von Testpersonen oder Trainingsdaten zur Verbesserung der Software. Daher gelten die Grundsätze des Datenschutzes auch für Softwareentwickler.
Während der Entwicklung und im Livebetrieb der Software sollten stets die Grundsätze des Datenschutzes gewahrt werden. Dies sind unter anderem, aber nicht abschließend:
- Datensparsamkeit, d. h. sammle stets nur die Daten, die du benötigst.
- Zweckbindung, d. h. verwende Daten nur für den Zweck, aus dem sie gesammelt wurden.
- Transparenz, d. h. informiere Benutzer über die Daten, die du sammelst, wie du sie verarbeitest und mit wem du sie teilst.
- Integrität und Vertraulichkeit, d. h. schütze die Daten vor unbefugtem Zugriff, Verlust oder Diebstahl.
- Rechte der Benutzer, d. h. stelle sicher, dass Benutzer auf ihre Daten zugreifen, korrigieren oder löschen können.
Datenschutzrechtliche Minenfelder innenhalb des Unternehmens
Besondere Vorsicht gilt es im Rahmen der Softwareentwicklung in bestimmten Bereichen walten zu lassen. Dies betrifft insbesondere die Datensammlung und -verarbeitung. Softwareentwickler sollten nur die Daten sammeln, die sie für die Entwicklung und Verbesserung ihrer Software tatsächlich benötigen. Die Menge sollte sich dabei auf ein Minimum beschränken. Darüber hinaus muss man stets dokumentieren, für welche Zwecke und auf welche Weise die Daten erhoben werden. Außerdem benötigt man eine Rechtsgrundlage für die Datenverarbeitung und muss die betroffenen Personen über die Verarbeitung belehren.
Um einen umfassenden Schutz der personenbezogenen Daten während der Softwareentwicklung zu gewährleisten, darf man die Mitarbeiter nicht außer Acht lassen. Diese müssen entsprechend sensibilisiert, regelmäßig geschult und verpflichtet werden. Sofern Datenverarbeitungen, wie oft in der IT-Branche, im Home-/Mobile-Office erfolgen, sind hier entsprechende datenschutzrechtliche Maßnahmen zu ergreifen. Welche dies sind, können Sie gerne hier noch einmal nachlesen.
Daneben sollten Softwareentwickler durch ausreichende technische und organisatorische Maßnahmen für eine sichere Datenverarbeitung sorgen. Insbesondere sollten sie sicherstellen, dass sie personenbezogene Daten nur auf ausreichend gesicherten Systemen speichern, die ebenfalls Mandantenfähigkeit und eine Trennung von Produktiv- und Testumgebung ermöglichen. Hier ist natürlich auch die Auswahl des jeweiligen Serverhosters und entsprechenden -standorts maßgeblich. Immer zu empfehlen sind europäische Anbieter und Standorte.
Nicht zu unterschätzen sind auch Maßnahmen, die Privacy by Design umsetzen. Hierzu zählen Funktionen in der Software wie Datensparsamkeit, Zugriffskontrollen und Verschlüsselung. Man sollte diese bereits in der Entwicklungsphase implementieren. Im Rahmen von Berechtigungskonzepten können Verantwortliche sicherstellen, dass nur autorisierte Personen auf personenbezogene Daten zugreifen können. Auch entsprechende Verschlüsselungstechniken während der Übertragung und im Ruhezustand in der Software bieten Schutz vor Zugriffen Unbefugter. Wenn möglich, sollte man personenbezogene Daten ebenfalls pseudonymisieren. Maßgeblich beitragen können ebenfalls Maßnahmen, mit denen die fristgemäße Löschung personenbezogener Daten sichergestellt wird, z. B. Löschkonzepte.
Datenschutzrechtliche Minenfelder im Außenverhältnis
Soweit Softwareentwickler personenbezogene Daten an Dritte weitergeben, da sie z. B. weitere Auftragsverarbeiter zur Verarbeitung personenbezogenen Daten einsetzen (bspw. Serverhoster), sollten sie sicherstellen, dass diese Dritten die gleichen Datenschutzprinzipien einhalten wie sie selbst. Dies ist mit Hilfe eines entsprechenden Auftragsverarbeitungsvertrags bzw. Standardvertragsklauseln mit entsprechenden zusätzlichen Maßnahmen und Garantien umzusetzen. Sofern es sich um eine echte Datenweitergabe handelt, muss es eine Rechtsgrundlage für diese geben und die Betroffenen sind hierüber ausreichend zu belehren.
Diese Belehrungspflichten umfassen insbesondere auch die Bereitstellung entsprechender Datenschutzerklärungen. Mit Hilfe dieser sollten die Softwareentwickler die Nutzer Ihrer Software umfassend und verständlich darüber informieren, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden und wie lang diese Daten aufbewahrt werden. Man sollte die Datenschutzerklärung in einer leicht zugänglichen und verständlichen Form im Rahmen der Software bereitstellen.
Handelt es sich bei der entwickelten Software um eine SaaS Lösung, ist ggf. auch noch an den Abschluss eines Auftragsverarbeitungsvertrages mit den Kunden zu denken. Hintergrundinformationen zu einem solchen Vertrag finden Sie in diesem Blogbeitrag.
Fazit
Sie sehen also, Datenschutz ist ein wichtiges Thema für Softwareentwickler, das einige Fallstricke mit sich bringt. Wenn Sie jedoch die oben genannten Voraussetzungen umsetzen und beherzigen, sollte einer datenschutzkonformen Softwareentwicklung nichts im Wege stehen.
Benötigen Sie Unterstützung bei der Umsetzung des Datenschutzes in Ihrem Unternehmen? Wir beraten Sie gerne! Kontaktieren Sie uns unter: info@sidit.de