Datenschutz in der Software-Entwicklung

Keine automatisierte Datenverarbeitung ohne Software. Daher ist es wichtig, bereits während der Software-Entwicklung das Thema Datenschutz mitzudenken.

Keine automatisierte Datenverarbeitung ohne Software. Daher ist es wichtig, bereits während der Software-Entwicklung das Thema Datenschutz mitzudenken.

Datenerfassung und Datenaustausch sind in vielen Geschäftsprozessen unerlässlich. Gut gepflegte Datenbestände sind eine wertvolle Unternehmensressource, das „Erdöl des 21. Jahrhunderts“. Das mit dem Datenschutzprinzip der Datensparsamkeit in Übereinstimmung zu bringen, ist eine große Herausforderung für Software-Entwickler.

Das muss bei der Software-Entwicklung beachtet werden

Zunächst gelten auch bei der Softwareentwicklung mehrere Grundprinzipien der Datenerhebung, die in Artikel 5 der DSGVO aufgelistet sind. Neben der „Rechtmäßigkeit der Verarbeitung“ und der „Zweckbindung“ ist für Software-Entwickler vor allem das Prinzip der Datensparsamkeit beziehungsweise Datenminimierung wichtig. Denn was nicht erhoben wird, kann auch keine Schwierigkeiten verursachen.

Personenbezogene Daten sind zunächst alle Daten, die eine Person erkennbar machen: Neben offensichtlichen Daten wie Name, Alter, Wohnort sind das auch Daten zur Ethnie, zu biometrischen Merkmalen, Standortinformationen, ja sogar IP-Adressen, Benutzernamen und natürlich Cookies.

Seit der DSGVO gilt für Software-Entwickler das Prinzip des „Privacy by Design“. Entwickler sollten an jeder Stelle der Entwicklung hinterfragen, ob eine Datenerhebung oder -übermittlung wirklich notwendig ist. So sind zum Beispiel Funktionen, die automatisch Daten sammeln, indem sie etwa IP-Adressen oder Standortdaten an den Server des Betreibers übermitteln, im Sinne des Datenschutzes natürlich nur sinnvoll, wenn diese für den Betrieb oder Funktion der Software notwendig sind.

Was ist noch erlaubt?

Wo die Datensparsamkeit aufhört und die Erfordernis der Datenerfassung beginnt, ist aber nicht fest umrissen. Mit dem Argument der Notwendigkeit lassen sich einige Brücken zur Verarbeitung schlagen.

Darf eine Foto-Anwendung die in den Bildern mittels Geotagging zu lokalisieren und dazu die gespeicherten Ortsinformationen an die Kartendienste von Google, Apple oder Microsoft weitergeben? Schließlich werden dabei persönliche Daten übermittelt und das sogar an einen Drittanbieter.

Kann eine Anwendungssoftware wie eine Adressdatenbank auch Daten automatisch in Form von Backups in die Cloud eines Anbieters übermitteln. Und ist eine Adressdatenbank überhaupt noch erlaubt?

All diese Funktionen dürfen Software-Entwickler natürlich nach wie vor in Ihre Lösungen einbauen. Allerdings ist Umsicht geboten: Zwingende Datensammlungen, wie etwa verpflichtende Social-Media-Logins, um eine Software zu nutzen, sind nicht mehr möglich.

Informationspflichten beachten

Von daher ist es notwendig, schon während der Planung eines Software-Projekts die Datenschutz-Aspekte im Hinterkopf zu behalten. Wichtig ist dabei vor allem, dass die Datenerhebung zweckmäßig ist – und dass der Anwender sich jederzeit darüber informieren kann, welche Daten wo und wie gespeichert werden. Dazu muss ein Verzeichnis der Verarbeitungstätigkeiten samt entsprechender Dokumente, etwa einer Datenschutzerklärung, angelegt werden. Sinnvoll sind auch Verarbeitungsverträge mit Drittanbietern sowie Verschlüsselung, wo immer es sinnvoll ist.

Neu in der Datenschutz-Grundverordnung ist zudem das Recht auf Vergessen. Anwender sollen die Möglichkeit haben, bereits erhobene Daten einzusehen und auch wieder umstandslos zu löschen. Dazu sind natürlich entsprechende Mechanismen in der Software zu etablieren. Dabei helfen Dokumentationsprozesse, die das Ganze transparent halten.

Der Nutzer muss jederzeit wissen, welche Informationen erhoben werden – und welchem Zweck diese Erhebung dient. Eine Datenschutzerklärung kann darüber aufklären, optimal ist natürlich zusätzlich eine Funktion zur automatisierten Erstellung eines Datenauszugs samt Lösch-Option.

Datenschutz als Selbstverständlichkeit

Datenschutz sollte auch bei der Software-Entwicklung nicht als Bürde, sondern als Selbstverständlichkeit gesehen werden. Viele der in der EU-DSGVO geregelten Dinge waren zuvor schon im Bundesdatenschutzgesetzt festgelegt. Zudem bietet die DSGVO einige „Gummiparagraphen“, die es dann eben doch möglich machen, Daten wie gehabt zu erheben und zu speichern. Das Stichwort hier ist, wieder einmal, die Zweckbindung.

Software-Entwickler sollten aber grundsätzlich versuchen, möglichst wenige Daten zu erheben. Eine Software sammelt und übermittelt im Idealfall wirklich nur die Daten, die tatsächlich für den Betrieb notwendig sind.

Tags
  • DSGVO
  • Datenschutz
  • Software
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649