So prüfen Sie Ihre Software auf DSGVO-Konformität (inkl. Checkliste)

Setzen Unternehmen und Verwaltungen neue IT-Lösungen ein, ist es im Ergebnis nachrangig, ob es sich um eine individuelle Entwicklung oder durch Customizing, Konfiguration und Parametrisierung angepasste Standard- und Branchensoftware handelt. Der Ausgangspunkt einer Software-Prüfung bleibt derselbe.

Das gilt auch für bereits vorhandene Lösungen im produktiven Einsatz. Ebenso nachrangig ist die Frage, welche Aufgaben und Funktionen die Software unterstützt. Das kann eine PC-Einzelplatzlösung oder eine Team-Software sein, genauso wie die große ERP-Lösung aus der Mitte Deutschlands.

Bei allen Software-Formen müssen Verantwortliche dafür sorgen, dass sie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) inklusive der genutzten Öffnungsklauseln des neuen nationalen Rechts beachten.

Entwickler und Produktmanager von Standardsoftware sollten so weit wie möglich darauf achten, dass neue Releases und Versionen diesen Anforderungen genügen oder deren Umsetzung erleichtern. Das besagt der Grundsatz von Prvacy by Default (Datenschutz durch Voreinstellungen) und Privacy by Design (Datenschutz durch Technikgestaltung). Daraus kann sicherlich auch einen Wettbewerbsvorteil entstehen.

Stärker und intensiver als bislang muss sich nun der zuständige Datenschutzbeauftragte aufmachen, die Lösungen auf Herz und Nieren zu prüfen, Anforderungen zu definieren sowie Anpassungen und Ergänzungen, aber auch Einschränkungen oder Nutzungsvarianten für Anwender zu empfehlen.

Was ist wie zu prüfen – die Pflicht

Ist eine Rechtsgrundlage vorhanden?

Im Vorfeld sollte eine grundsätzliche Prüfung schon ergeben haben, dass eine Ermächtigung oder in neuer Begrifflichkeit eine Verpflichtung zur Verarbeitung der personenbezogenen Daten besteht. Klären Sie also Verarbeitungszweck und Rechtsgrundlage (vgl. Art. 5-11 DSGVO).

Wichtig an dieser Stelle ist, um welche personenbezogenen Daten es geht. Prüfen Sie, ob beispielsweise besondere Kategorien personenbezogener Daten darunter sind (vgl. Art. 9-10 DSGVO).

Wird das Verhalten der Mitarbeiter analysiert?

Nicht in die reguläre Zuständigkeit des Datenschutzbeauftragten fallend, aber dennoch wichtig ist die Frage, ob eine betriebsverfassungsrechtliche oder personalvertretungsrechtliche Mitbestimmung gegeben ist.

Das ist regelmäßig der Fall, wenn die Software in der Lage ist, Verhaltens- oder Leistungsmerkmale der Beschäftigten zu erfassen und auszuwerten.

Vereinbarung zur Auftragsverarbeitung erforderlich?

Eine weitere generelle Prüfung gilt der Frage, ob ein Dritter erforderlich ist, um die Software oder bestimmte Funktionen zu nutzen. In diesem Fall ist es eventuell nötig, eine Vereinbarung zur Auftragsverarbeitung abzuschließen (vgl. Art. 28 DSGVO).

Es könnte sich aber auch um die neu geschaffene Möglichkeit der „gemeinsam Verantwortlichen“ handeln (vgl. Art. 26 DSGVO). Die unter dem alten Recht mögliche Funktionsübertragung sieht die Datenschutzkonferenz nicht mehr.

Werden Daten in ein Drittland übermittelt?

Prüfen Sie, ob Daten in ein Drittland übermittelt werden, ob dies zulässig ist und eine ausreichende Grundlage dafür besteht (vgl. Art. 44-50 DSGVO).

Dabei muss es sich nicht unbedingt um eine aktive Übermittlung des Betreibers handeln. Auch der herstellerseitige Zugriff mit einer Speicherung in der Cloud wäre schon zu beleuchten.

Stellen Sie also die Frage, welche Schnittstellen und welche unmittelbaren und mittelbaren Exportfunktionen die zu prüfende Anwendung hat.

Sind alle Komponenten nötig?

Haben Sie nun einige grundsätzliche Strukturen der Software offengelegt, klären Sie, ob die Behörde oder das Unternehmen alle vorhandenen Funktionalitäten, Module, Schnittstellen, Auswertungen usw., die das zu analysierende Verfahren mitbringt, tatsächlich benötigt (vgl. Art. 24 DSGVO).

Wenn nicht, empfehlen Sie, die nicht benötigten Komponenten durch Customizing und Konfiguration dauerhaft und nachweislich zu deaktivieren. Hier schließt sich dann schnell die Frage an, welche Daten der eigentlichen technischen Verarbeitung zu sichern sind.

Ein Protokollierungskonzept kann schnell zusammenfassen,

• welche Logfiles erforderlich sind,
• wer darauf zugreifen darf,
• wie sie ausgewertet und
• wie lange sie gespeichert werden.

Verzeichnis der Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzung

Zu den weiteren wesentlichen Bausteinen eines grundsätzlichen Software-Checks gehört es, zu prüfen, ob die Software Eingang in das Verzeichnis der Verarbeitungstätigkeiten gefunden hat und ob die Datenschutz-Folgenabschätzung stattgefunden hat.Dies ist erforderlich sofern besondere Kategorien personenbezogener Daten betroffen oder andere Voraussetzungen der DSGVO erfüllt sind.

Leicht(er) geht das, wenn ein Datenmodell vorliegt, das

• alle möglichen Einzeldaten aufzeigt,
• ihre Verflechtungen und Beziehungen
• sowie Quellen und Herkunft,
• mögliche Empfänger und
• die unterschiedlichen Aufbewahrungsfristen (vgl. Art. 30 DSGVO).

Die Datenschutz-Folgenabschätzung (vgl. Art. 35 DSGVO) hat ihre festen Regularien nach der Datenschutz-Grundverordnung. Sie stellt eine unbedingte Produktionsvoraussetzung dar.

Datenschutz durch Technik

Zu den Basis-Checks gehört zudem die Frage, ob die Software den neu verankerten Grundsätzen Privacy by Design und Privay by Default (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellung) genügt.

Erhebt und verarbeitet die Software-Entwicklung nur die tatsächlich erforderlichen Daten? Minimieren die gewählten technischen Prozesse die Verarbeitungsrisiken (vgl. Art. 25 DSGVO)?

Technisch-organisatorische Maßnahmen

Unter sicherheitstechnischen Aspekten prüfen Sie weiterhin, ob rund um die Software ausreichend hohe technisch-organisatorische Maßnahmen vorhanden sind, um die sichere Verarbeitung der personenbezogenen Daten zu gewährleisten (vgl. Art. 32 DSGVO).

Ist der Stand der Technik berücksichtigt (z.B. BSI-Richtlinien)? Gibt es ein schlüssiges Rollen- und Berechtigungskonzept, um zu gewährleisten, dass nur tatsächlich erforderliche Rechte an die Anwender vergeben werden?

Schauen Sie sich auch Aspekte des Testgeschehens an: Reicht es aus, mit synthetischen, pseudonymen oder anonymen Daten zu testen, oder sind gar Echtdaten erforderlich?

Schulung und Unterweisung

Abschließend sei noch das Thema „Schulung und Unterweisung“ angesprochen.

Damit sich die Software-Anwender richtig im Programm bewegen können, bedarf es ausreichender Schulung und Anleitung. Auch das trägt dazu bei, personenbezogene Daten möglichst sicher und risikoarm zu verarbeiten.

Was ist wie zu prüfen – die Kür

Was bislang auf Ihrer Prüfliste steht, ist Pflicht. Es handelt sich um die Basics, die im Kapitel II der DSGVO, den Grundsätzen, zu finden sind.

Bekanntlich stärkt die Grundverordnung die Rechtsposition der Betroffenen mit einigen neuen oder ausführlicher gestalteten Rechten. Auch diese Rechte müssen Sie einer Überprüfung unterziehen, um sozusagen die fortgeschrittene Rechtskonformität zu attestieren.

Informationspflichten und Auskunftsrechte

Betreiber einer Software müssen dafür sorgen, dass ihre Lösung die Informationspflichten der Verantwortlichen einerseits und die Auskunftsrechte der betroffenen Personen andererseits berücksichtigt.

Testen Sie also, ob Sie sozusagen aus der Position des Betroffenen heraus die erforderlichen Angaben einfach finden und ob sie klar und verständlich sind. Nur so kann Ihre Behörde oder Ihr Unternehmen als Verantwortlicher den neuen Vorgaben nachkommen.

Denn wer selber keine Informationen hat, kann im „Ernstfall“ der betroffenen Personen auch keine Auskunft geben (vgl. die Auskunftsrechte nach Art. 13-15 DSGVO).

Recht auf Berichtigung und Löschung

Besonders wichtig sind die Ansprüche auf Berichtigung und Löschung von Daten. Prüfen Sie, ob sich einfache Fehler korrigieren lassen, die durch Übertragungs- und Erfassungsfehler entstanden sind.

Schauen Sie zudem, wie es um die Möglichkeit bestellt ist, Daten eines Betroffenen ganzheitlich und flächendeckend zu löschen (vgl. Art. 16-18 DSGVO).

Dieses in der Praxis äußerst komplexe und aufwändige Recht umzusetzen, erfordert ein eigenes Konzept. Es muss alle infrage kommenden Daten auflisten, Quellen und Empfänger berücksichtigen, die tatsächliche Verwendung usw. – und idealerweise eine Löschbestätigung erzeugen, dabei aber vorgehende Aufbewahrungsfristen aus fachlichem Bereichsrecht berücksichtigen.

Hier lässt sich sehr gut wieder das Datenmodell nutzen, das schon dazu gedient hat, das Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Damit relativiert sich auch schon der Aufwand, den es kostet, solche Datenmodelle zu erstellen, falls sie noch nicht vorhanden sind.

In diesem Zusammenhang überprüfen Sie, ob sich die Datenverarbeitung beschränken lässt. Dieses Betroffenenrecht greift z.B., wenn unterschiedliche Meinungen zu Daten oder deren Verarbeitung bestehen, bevor die betroffene Person das Recht auf Vergessen ausübt.

Datenübertragbarkeit und automatisierte Entscheidungen

Abschließend sind zwei weitere Prüfungen erforderlich, da sie unmittelbare Rechte aus der DSGVO betreffen. Zum einen geht es um das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Gewährleistet die Lösung, dass sich die Daten eines Betroffenen in einem strukturierten, maschinenlesbaren Format zusammengefasst ausgeben lassen? Das ist eine Anforderung an das Bestandsmanagement.

Zum anderen betrifft die „Kür“ die automatisierten Einzelentscheidungen, wie sie im Profiling zum Einsatz kommen. Aber etwa auch in der klassischen Dunkelverarbeitung, wenn es darum geht, standardisierbare Leistungen festzulegen (vgl. Art. 22 DSGVO).

Das betrifft z.B. das Gesundheitswesen. Hier sind – auch unter Berücksichtigung ausgeschöpfter Öffnungsklauseln – gewisse Spielregeln zu beachten, um Software-Entwicklungen rechtskonform einsetzen zu können (vgl. § 37 BDSG).

Viel Aufwand für ein „Go“ …

Eine Menge Prüfungen, Überlegungen sowie einiges an Fachwissen und Erfahrung sind erforderlich, um diese Arbeiten gewissenhaft durchzuführen und am Ende zu einer (internen) Konformitätserklärung zu gelangen.

Das ist extrem viel Aufwand, wenn es sich dabei um eine kleine Insellösung oder um ein Einplatzsystem handelt. Hier ist es um den Schutz der Rechte des Betroffenen von der Natur der Sache her häufig schlechter bestellt als bei den großen Systemen und Verfahren. Bei letzteren ist ein solcher Aufwand im Vergleich zu den übrigen Customizing- und Konfigurationsaufwänden eher angemessen.

Noch schwieriger wird es, wenn es um ganz große Verbundlösungen geht, die aus fachlichen und allgemeinen bzw. übergreifenden Komponenten bestehen.

Hier müssen die Prüfungen parallel über alle Bestandteile einer solchen Lösung stattfinden, damit man letztendlich zu einer umfassenden Gesamt-Konformität gelangt.

Eigene Checklisten entwickeln

Der Beitrag soll dazu anregen, eine eigene Checkliste oder einen eigenen Prüfkatalog zu erstellen, um diese Arbeiten standardisiert abwickeln zu können.

Hier können Sie sich eine Muster-Checkliste downloaden, die sich an den Punkten orientiert, die der Beitrag vorgestellt hat:

Hersteller sind gefragt

Die Lieferanten von Standardsoftware sind gefragt, zu überprüfen, inwieweit sie ihre Produkte „DSGVO-konform“ anbieten können und wollen.

Sie könnten Datenmodelle mitliefern, Schnittstellen, die z.B. die Datenübertragbarkeit bedienen, oder auch Empfehlungen zu technisch-organisatorischen Maßnahmen, um unterschiedliche Sicherheitsstandards zu bedienen.

Das ersetzt nicht die Arbeit des Datenschutzbeauftragten der verantwortlichen Stelle, kann ihn aber deutlich unterstützen.