Keine automatisierte Datenverarbeitung ohne Software. Daher
ist es wichtig, bereits während der Software-Entwicklung das Thema Datenschutz
mitzudenken.
Datenerfassung und Datenaustausch sind in vielen
Geschäftsprozessen unerlässlich. Gut gepflegte Datenbestände sind eine
wertvolle Unternehmensressource, das „Erdöl des 21. Jahrhunderts“. Das mit dem
Datenschutzprinzip der Datensparsamkeit in Übereinstimmung zu bringen, ist eine
große Herausforderung für Software-Entwickler.
Das muss bei der Software-Entwicklung beachtet werden
Zunächst gelten auch bei der Softwareentwicklung mehrere
Grundprinzipien der Datenerhebung, die in Artikel 5 der DSGVO aufgelistet sind.
Neben der „Rechtmäßigkeit der Verarbeitung“ und der „Zweckbindung“ ist für
Software-Entwickler vor allem das Prinzip der Datensparsamkeit beziehungsweise
Datenminimierung wichtig. Denn was nicht erhoben wird, kann auch keine
Schwierigkeiten verursachen.
Personenbezogene Daten sind zunächst alle Daten, die eine
Person erkennbar machen: Neben offensichtlichen Daten wie Name, Alter, Wohnort
sind das auch Daten zur Ethnie, zu biometrischen Merkmalen,
Standortinformationen, ja sogar IP-Adressen, Benutzernamen und natürlich
Cookies.
Seit der DSGVO gilt für Software-Entwickler das Prinzip des
„Privacy by Design“. Entwickler sollten an jeder Stelle der Entwicklung
hinterfragen, ob eine Datenerhebung oder -übermittlung wirklich notwendig ist.
So sind zum Beispiel Funktionen, die automatisch Daten sammeln, indem sie etwa
IP-Adressen oder Standortdaten an den Server des Betreibers übermitteln, im
Sinne des Datenschutzes natürlich nur sinnvoll, wenn diese für den Betrieb oder
Funktion der Software notwendig sind.
Was ist noch erlaubt?
Wo die Datensparsamkeit aufhört und die Erfordernis der
Datenerfassung beginnt, ist aber nicht fest umrissen. Mit dem Argument der
Notwendigkeit lassen sich einige Brücken zur Verarbeitung schlagen.
Darf eine Foto-Anwendung die in den Bildern mittels Geotagging zu lokalisieren und dazu die gespeicherten Ortsinformationen an die Kartendienste von Google, Apple oder Microsoft weitergeben? Schließlich werden dabei persönliche Daten übermittelt und das sogar an einen Drittanbieter.
Kann eine Anwendungssoftware wie eine Adressdatenbank auch
Daten automatisch in Form von Backups in die Cloud eines Anbieters übermitteln.
Und ist eine Adressdatenbank überhaupt noch erlaubt?
All diese Funktionen dürfen Software-Entwickler natürlich
nach wie vor in Ihre Lösungen einbauen. Allerdings ist Umsicht geboten:
Zwingende Datensammlungen, wie etwa verpflichtende Social-Media-Logins, um eine
Software zu nutzen, sind nicht mehr möglich.
Informationspflichten beachten
Von daher ist es notwendig, schon während der Planung eines
Software-Projekts die Datenschutz-Aspekte im Hinterkopf zu behalten. Wichtig
ist dabei vor allem, dass die Datenerhebung zweckmäßig ist – und dass der
Anwender sich jederzeit darüber informieren kann, welche Daten wo und wie
gespeichert werden. Dazu muss ein Verzeichnis der Verarbeitungstätigkeiten samt
entsprechender Dokumente, etwa einer Datenschutzerklärung, angelegt werden.
Sinnvoll sind auch Verarbeitungsverträge mit Drittanbietern sowie
Verschlüsselung, wo immer es sinnvoll ist.
Neu in der Datenschutz-Grundverordnung ist zudem das Recht
auf Vergessen. Anwender sollen die Möglichkeit haben, bereits erhobene Daten
einzusehen und auch wieder umstandslos zu löschen. Dazu sind natürlich
entsprechende Mechanismen in der Software zu etablieren. Dabei helfen
Dokumentationsprozesse, die das Ganze transparent halten.
Der Nutzer muss jederzeit wissen, welche Informationen
erhoben werden – und welchem Zweck diese Erhebung dient. Eine
Datenschutzerklärung kann darüber aufklären, optimal ist natürlich zusätzlich
eine Funktion zur automatisierten Erstellung eines Datenauszugs samt Lösch-Option.
Datenschutz als Selbstverständlichkeit
Datenschutz sollte auch bei der Software-Entwicklung nicht
als Bürde, sondern als Selbstverständlichkeit gesehen werden. Viele der in der
EU-DSGVO geregelten Dinge waren zuvor schon im Bundesdatenschutzgesetzt
festgelegt. Zudem bietet die DSGVO einige „Gummiparagraphen“, die es dann eben
doch möglich machen, Daten wie gehabt zu erheben und zu speichern. Das
Stichwort hier ist, wieder einmal, die Zweckbindung.
Software-Entwickler sollten aber grundsätzlich versuchen, möglichst wenige Daten zu erheben. Eine Software sammelt und übermittelt im Idealfall wirklich nur die Daten, die tatsächlich für den Betrieb notwendig sind.
Unser kostenloser Guide für SaaS-Unternehmen – Datenschutz für mehr Transparenz, Vertrauen und schnellere Vertriebsprozesse.
Mit unseren Handlungsempfehlungen wird Ihr Datenschutz vom Störfaktor zum Verkaufsargument. Laden Sie unseren Guide „Datenschutz als Wettbewerbsvorteil“ herunter:
