Einführung
In letzter Zeit erreichen uns wieder zahlreiche Anfragen unserer Mandantinnen zur Einführung neuer oder zum Austausch besehender Software. Das mag damit zusammenhängen, dass Datenübermittlungen in die USA wieder einfacher möglich sind – Sie erinnern sich, EU-US Data Privacy Framework, ausführlicher behandelt in unserem letzten Post (hier abrufbar). Und nun soll die ein oder andere „datenschutzfreundliche Notlösung“ gegen ein amerikanisches Konkurrenzmodell ausgetauscht werden, sei es aus Preisgründen oder aufgrund des Funktionsumfangs. Und selbstverständlich sind auch die üblichen Prüfanfragen für neue Anwendungen dabei, die im Unternehmen eingeführt werden sollen.
Erstmal sind diese Anfragen ein gutes Zeichen, zeigen sie doch, dass in den Unternehmen inzwischen eine Awareness dafür herrscht, den Datenschutz frühzeitig mitzudenken. Aber was bedeutet das im Zusammenhang mit der Einführung von Software? Und was schauen wir uns als Datenschutzbeauftragte und -berater an, wenn uns entsprechende Anfragen erreichen?
Gesetzliche Anforderung – Privacy by Design und Privacy by Default
Den Datenschutz bei der Einführung von Software zu berücksichtigen ist nicht etwa eine freiwillige Maßnahme oder Best Practice. Vielmehr besteht hierzu eine klare rechtliche Verpflichtung nach der Datenschutz-Grundverordnung (DSGVO). Insbesondere schreibt diese in Art. 25 DSGVO vor, dass „zum Zeitpunkt der Festlegung der Mittel“ – hier also bei der Auswahl einer Software – „als auch zum Zeitpunkt der eigentlichen Verarbeitung“ – also bei der Nutzung der Software – geeignete technische und organisatorische Maßnahmen zur Umsetzung der Datenschutzgrundsätze vorgesehen werden müssen. Als Beispiel für diese Grundsätze wird die Datenminimierung genannt. Es dürfen also nur die Daten verarbeitet werden, die für die Erreichung des jeweiligen Zwecks auch erforderlich sind. Daneben gilt es aber selbstverständlich auch die übrigen Grundsätze nach Art. 5 DSGVO zu beachten, insbesondere Transparenz, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Die gesetzliche Anforderung ist dabei zweigeteilt in Datenschutz durch Technikgestaltung (auch „Privacy by Design“) und Datenschutz durch datenschutzfreundliche Voreinstellungen (auch „Privacy by Default“). An der Technikgestaltung werden Sie bei Einführung einer Drittanbietersoftware – im Gegensatz zur Eigenentwicklung – üblicherweise wenig drehen können. Es sei denn, Sie lassen die Software gezielt entwickeln. Hier gibt es also – nach erfolgter Prüfung – nur zwei Möglichkeiten: einführen oder nicht einführen. Besser sieht es meist bei der Implementierung datenschutzfreundlicher Voreinstellungen aus. Hier bieten gerade umfangreiche Softwarelösungen (z.B. Microsoft Office 365) umfangreiche Konfigurationsmöglichkeiten, über die sich Art und Umfang der Datenverarbeitung zu einem gewissen Grad beeinflussen lassen. Diese Konfiguration erfordert in aller Regel umfangreichere technische Kenntnisse und sollte durch IT-Abteilung bzw. Administratoren erfolgen. Der Datenschutz sollte dabei beratend zur Seite stehen und kritisch hinterfragen.
Privacy by Design und Privacy by Default sind also bereits bei der Software-Auswahl zu berücksichtigen und als Auswahlkriterien ernst zu nehmen. Denn eine Software, die schon aufgrund ihrer technischen Gestaltung nicht datenschutzfreundlich ist, sollte ebenso wenig angeschafft werden wie eine Software, die keine datenschutzfreundlichen Voreinstellungen zulässt.
Auf weitere Anforderungen, die sich aus der DSGVO ergeben, werden wir in unserem Folgeartikel in der kommenden Woche eingehen.