- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

So prüfen Sie Software auf DSGVO-Konformität

Ohne IT-Unterstützung geht heute nichts mehr. Sobald personenbezogene Daten ins Spiel kommen, greift die DSGVO – und zwar sowohl für neue als auch für bestehende Software-Lösungen. Was müssen Sie sich anschauen, um zu beurteilen, ob eine Software DSGVO-konform ist?

Setzen Unternehmen und Verwaltungen neue IT-Lösungen ein, ist es im Ergebnis nachrangig, ob es sich um eigens erstellte Individualsoftware oder durch Customizing, Konfiguration und Parametrisierung angepasste Standard- und Branchenlösungen handelt. Der Ausgangspunkt einer Software-Prüfung bleibt derselbe.

Das gilt auch für bereits vorhandene Lösungen im produktiven Einsatz. Ebenso nachrangig ist die Frage, welche Aufgaben und Funktionen die Software unterstützt. Das kann eine PC-Einzelplatzlösung sein genauso wie die große ERP-Lösung aus der Mitte Deutschlands.

Logischerweise muss es im Datenschutzkontext aber um die Verarbeitung personenbezogener Daten gehen.

Bei allen Software-Formen müssen Verantwortliche dafür sorgen, dass sie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) inklusive der genutzten Öffnungsklauseln des neuen nationalen Rechts beachten.

Entwickler und Produktmanager von Standardsoftware sollten so weit wie möglich darauf achten, dass neue Releases und Versionen diesen Anforderungen genügen oder deren Umsetzung erleichtern – das kann sicherlich auch einen Wettbewerbsvorteil schaffen.

Stärker und intensiver als bislang muss sich nun der zuständige Datenschutzbeauftragte aufmachen, die Lösungen auf Herz und Nieren zu prüfen, Anforderungen zu definieren sowie Anpassungen und Ergänzungen, aber auch Einschränkungen oder Nutzungsvarianten zu empfehlen.

Was ist wie zu prüfen – die Pflicht

Rechtsgrundlage

Im Vorfeld sollte eine grundsätzliche Prüfung schon ergeben haben, dass eine Ermächtigung oder in neuer Begrifflichkeit eine Verpflichtung zur Verarbeitung der personenbezogenen Daten besteht. Klären Sie also Verarbeitungszweck und Rechtsgrundlage (vgl. Art. 5-11 DSGVO).

Wichtig an dieser Stelle ist, um welche personenbezogenen Daten es geht. Prüfen Sie, ob beispielsweise besondere Kategorien personenbezogener Daten darunter sind (vgl. Art. 9-10 DSGVO).

Mitbestimmung

Nicht in die reguläre Zuständigkeit des Datenschutzbeauftragten fallend, aber dennoch wichtig ist die Frage, ob eine betriebsverfassungsrechtliche oder personalvertretungsrechtliche Mitbestimmung gegeben ist.

Das ist regelmäßig der Fall, wenn Software in der Lage ist, Verhaltens- oder Leistungsmerkmale der Beschäftigten zu erfassen und auszuwerten.

Auftragsverarbeitung

Eine weitere generelle Prüfung gilt der Frage, ob ein Dritter erforderlich ist, um die Software oder bestimmte Funktionen zu nutzen. In diesem Fall ist es eventuell nötig, eine Vereinbarung zur Auftragsverarbeitung abzuschließen (vgl. Art. 28 DSGVO).

Es könnte sich aber auch um die neu geschaffene Möglichkeit der „gemeinsam Verantwortlichen“ handeln (vgl. Art. 26 DSGVO). Die unter dem alten Recht mögliche Funktionsübertragung sieht die Datenschutzkonferenz nicht mehr.

Übermittlung in Drittland

Werden Daten in ein Drittland übermittelt, prüfen Sie, ob dies zulässig ist und eine ausreichende Grundlage dafür besteht (vgl. Art. 44-50 DSGVO).

Dabei muss es sich nicht unbedingt um eine aktive Übermittlung des Betreibers handeln. Auch der herstellerseitige Zugriff mit einer Speicherung in der Cloud wäre schon zu beleuchten.

Stellen Sie also die Frage, welche Schnittstellen und welche unmittelbaren und mittelbaren Exportfunktionen die zu prüfende Anwendung hat.

Sind alle Komponenten nötig?

Haben Sie nun einige grundsätzliche Strukturen der Software offengelegt, klären Sie, ob die Behörde oder das Unternehmen alle vorhandenen Funktionalitäten, Module, Schnittstellen, Auswertungen usw., die das zu analysierende Verfahren mitbringt, tatsächlich benötigt (vgl. Art. 24 DSGVO).

Wenn nicht, empfehlen Sie, die nicht benötigten Komponenten durch Customizing und Konfiguration dauerhaft und nachweislich zu deaktivieren. Hier schließt sich dann schnell die Frage an, welche Daten der eigentlichen technischen Verarbeitung zu sichern sind.

Ein Protokollierungskonzept kann schnell zusammenfassen,

Verzeichnis der Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzung

Zu den weiteren wesentlichen Bausteinen eines grundsätzlichen Software-Checks gehört es, zu prüfen, ob die Software Eingang in das Verzeichnis der Verarbeitungstätigkeiten gefunden hat und ob die Datenschutz-Folgenabschätzung stattgefunden hat, sofern besondere Kategorien personenbezogener Daten betroffen oder andere Voraussetzungen der DSGVO erfüllt sind.

Leicht(er) geht das, wenn ein Datenmodell vorliegt, das

Die Datenschutz-Folgenabschätzung (vgl. Art. 35 DSGVO) hat ihre festen Regularien nach der Datenschutz-Grundverordnung. Sie stellt eine unbedingte Produktionsvoraussetzung dar.

Datenschutz durch Technik

Zu den Basis-Checks gehört zudem die Frage, ob die Software den neu verankerten Grundsätzen Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellung genügt.

Erhebt und verarbeitet das Produkt nur die tatsächlich erforderlichen Daten? Minimieren die gewählten technischen Prozesse die Verarbeitungsrisiken (vgl. Art. 25 DSGVO)?

Technisch-organisatorische Maßnahmen

Unter sicherheitstechnischen Aspekten prüfen Sie weiterhin, ob rund um die Software ausreichend hohe technisch-organisatorische Maßnahmen vorhanden sind, um die sichere Verarbeitung der personenbezogenen Daten zu gewährleisten (vgl. Art. 32 DSGVO).

Ist der Stand der Technik berücksichtigt (z.B. BSI-Richtlinien)? Gibt es ein schlüssiges Rollen- und Berechtigungskonzept, um zu gewährleisten, dass nur tatsächlich erforderliche Rechte vergeben werden?

Schauen Sie sich auch Aspekte des Testgeschehens an: Reicht es aus, mit synthetischen, pseudonymen oder anonymen Daten zu testen, oder sind gar Echtdaten erforderlich?

Schulung

Abschließend sei noch das Thema „Schulung und Unterweisung“ angesprochen.

Damit sich diejenigen, die die Software anwenden, richtig im Programm bewegen können, bedarf es ausreichender Schulung und Anleitung. Auch das trägt dazu bei, personenbezogene Daten möglichst sicher und risikoarm zu verarbeiten.

Berücksichtigen Sie bei allen Prüfungsschritten immer auch den Verfahrenszweck und den Umfang der jeweiligen Verarbeitung.

So können einzelne Prüfungen unter Umständen entfallen, weniger umfänglich ausfallen, oder es können sogar weitere dazukommen. Auch die Risiken der Verarbeitung spielen dabei eine Rolle.

Was ist wie zu prüfen – die Kür

Was bislang auf Ihrer Prüfliste steht, ist Pflicht. Es handelt sich um die Basics, die – im Wesentlichen bereits im bisherigen Recht verwurzelt – heute im Kapitel II der DSGVO, den Grundsätzen, zu finden sind.

Bekanntlich stärkt die Grundverordnung die Rechtsposition der Betroffenen mit einigen neuen oder ausführlicher gestalteten Rechten. Auch diese Rechte müssen Sie einer Überprüfung unterziehen, um sozusagen die fortgeschrittene Rechtskonformität zu attestieren.

Informationspflichten und Auskunftsrechte

Betreiber einer Software müssen dafür sorgen, dass ihre Lösung die Informationspflichten der Verantwortlichen einerseits und die Auskunftsrechte der betroffenen Personen andererseits berücksichtigt.

Testen Sie also, ob Sie sozusagen aus der Position des Betroffenen heraus die erforderlichen Angaben einfach finden und ob sie klar und verständlich sind. Nur so kann Ihre Behörde oder Ihr Unternehmen als Verantwortlicher den neuen Vorgaben nachkommen.

Denn wer selber keine Informationen hat, kann im „Ernstfall“ der betroffenen Personen auch keine Auskunft geben (vgl. die Auskunftsrechte nach Art. 13-15 DSGVO).

Recht auf Berichtigung und Löschung

Besonders wichtig sind die Ansprüche auf Berichtigung und Löschung von Daten. Prüfen Sie, ob sich einfache Fehler korrigieren lassen, die durch Übertragungs- und Erfassungsfehler entstanden sind.

Schauen Sie zudem, wie es um die Möglichkeit bestellt ist, Daten eines Betroffenen ganzheitlich und flächendeckend zu löschen (vgl. Art. 16-18 DSGVO).

Dieses in der Praxis äußerst komplexe und aufwändige Recht umzusetzen, erfordert ein eigenes Konzept. Es muss alle infrage kommenden Daten auflisten, Quellen und Empfänger berücksichtigen, die tatsächliche Verwendung usw. – und idealerweise eine Löschbestätigung erzeugen, dabei aber vorgehende Aufbewahrungsfristen aus fachlichem Bereichsrecht berücksichtigen.

Hier lässt sich sehr gut wieder das Datenmodell nutzen, das schon dazu gedient hat, das Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Damit relativiert sich auch schon der Aufwand, den es kostet, solche Datenmodelle zu erstellen, falls sie noch nicht vorhanden sind.

In diesem Zusammenhang überprüfen Sie, ob sich die Datenverarbeitung beschränken lässt. Dieses Betroffenenrecht greift z.B., wenn unterschiedliche Meinungen zu Daten oder deren Verarbeitung bestehen, bevor die betroffene Person das Recht auf Vergessen ausübt.

Datenübertragbarkeit und automatisierte Entscheidungen

Abschließend sind zwei weitere Prüfungen erforderlich, da sie unmittelbare Rechte aus der DSGVO betreffen. Zum einen geht es um das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Gewährleistet die Lösung, dass sich die Daten eines Betroffenen in einem strukturierten, maschinenlesbaren Format zusammengefasst ausgeben lassen? Das ist eine Anforderung an das Bestandsmanagement.

Zum anderen betrifft die „Kür“ die automatisierten Einzelentscheidungen, wie sie im Profiling zum Einsatz kommen, aber etwa auch in der klassischen Dunkelverarbeitung, wenn es darum geht, standardisierbare Leistungen festzulegen (vgl. Art. 22 DSGVO).

Das betrifft z.B. das Gesundheitswesen. Hier sind – auch unter Berücksichtigung ausgeschöpfter Öffnungsklauseln – gewisse Spielregeln zu beachten, um Software rechtskonform einsetzen zu können (vgl. § 37 BDSG).

Viel Aufwand für ein „Go“ …

Eine Menge Prüfungen, Überlegungen sowie einiges an Fachwissen und Erfahrung sind erforderlich, um diese Arbeiten gewissenhaft durchzuführen und am Ende zu einer (internen) Konformitätserklärung zu gelangen.

Das ist extrem viel Aufwand, wenn es sich dabei um eine kleine Insellösung oder um ein Einplatzsystem handelt. Hier ist es um den Schutz der Rechte des Betroffenen von der Natur der Sache her häufig schlechter bestellt als bei den großen Systemen und Verfahren. Bei letzteren ist ein solcher Aufwand im Vergleich zu den übrigen Customizing- und Konfigurationsaufwänden eher angemessen.

Noch schwieriger wird es, wenn es um ganz große Verbundlösungen geht, die aus fachlichen und allgemeinen bzw. übergreifenden Komponenten bestehen.

Hier müssen die Prüfungen parallel über alle Bestandteile einer solchen Lösung stattfinden, damit man letztendlich zu einer umfassenden Gesamt-Konformität gelangt.

Eigene Checklisten entwickeln

Der Beitrag soll dazu anregen, eine eigene Checkliste oder einen eigenen Prüfkatalog zu erstellen, um diese Arbeiten standardisiert abwickeln zu können.

Eine Mustercheckliste, die sich an den Punkten orientiert, die der Beitrag vorgestellt hat, finden Sie auf hier [1].

Hersteller sind gefragt

Die Lieferanten von Standardsoftware sind gefragt, zu überprüfen, inwieweit sie ihre Produkte „DSGVO-konform“ anbieten können und wollen.

Sie könnten Datenmodelle mitliefern, Schnittstellen, die z.B. die Datenübertragbarkeit bedienen, oder auch Empfehlungen zu technisch-organisatorischen Maßnahmen, um unterschiedliche Sicherheitsstandards zu bedienen.

Das ersetzt nicht die Arbeit des Datenschutzbeauftragten der verantwortlichen Stelle, kann ihn aber deutlich unterstützen.

Dirk Erdmann
Dirk Erdmann arbeitet seit 2001 als interner und externer behördlicher Datenschutzbeauftragter.