© sdecoret/Shutterstock.com
Datenschutz in der Softwareentwicklung

Wegweiser durch den DSGVO-Dschungel


Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen, Behörden und sonstige Organisationen zur Einhaltung der Vorgaben verpflichtet, sobald sie personenbezogene Daten verarbeiten. Welche Auswirkungen hat das auf Softwareentwickler und welche Strafen drohen bei Missachtung?

Die datenschutzrechtlichen Vorgaben der DSGVO sind vielfältig und beginnen schon vor der Datenverarbeitung, nämlich bei der Auswahl und der Herstellung der Mittel, die zur Datenverarbeitung eingesetzt werden sollen. Grundsätzlich kommt bei der automatisierten Datenverarbeitung entsprechende Software zum Einsatz. Sie erleichtert Geschäftsprozesse, kann jedoch auch vielfältige Risiken mit sich bringen – insbesondere, wenn es um den Datenschutz geht. Denn die DSGVO stellt an die Verarbeitung personenbezogener Daten hohe Schutzanforderungen. Wer also Software zur geschäftlichen Verarbeitung personenbezogener Daten einsetzen will, kommt nicht umhin, sich mit den Prinzipien der DSGVO auseinanderzusetzen. Deshalb rücken die Entwickler immer mehr in den Vordergrund, sobald es um die Datenschutzqualität von Software geht. Immerhin stellen sie mit ihren Softwareprodukten die Motoren für die automatisierte Datenverarbeitung ihrer Kunden her. Funktionieren diese nicht ordnungsgemäß, geraten auch die in ihnen befindlichen personenbezogene Daten, das Erdöl des 21. Jahrhunderts, in Mitleidenschaft. Eine unsichere Software führt zwangsläufig zu ungenügend geschützten personenbezogenen Daten, was zu einem hohen wirtschaftlichen und rechtlichen Risiko sowohl für Anwender als auch für Hersteller führen kann. Welche datenschutzrechtlichen Aspekte Entwickler bei der Herstellung von Software zur Verarbeitung personenbezogener Daten beachten sollten und welche rechtlichen Konsequenzen ihnen drohen, falls die Software keine datenschutzkonformen Funktionalitäten aufweist, das ist Thema dieses Beitrags.

Einleitung

Art. 25 DSGVO verlangt von einem Datenverarbeiter, auch „Verantwortlicher“ genannt, den Datenschutz bei der Verarbeitung von Daten durch „Technikgestaltung“ und „datenschutzfreundliche Voreinstellungen“ dauerhaft sicherzustellen. Allerdings kennt sich der Verarbeiter in der Regel nicht mit „Technikgestaltung“ aus. Nicht jeder ist Techniker oder Entwickler einer Datenverarbeitungssoftware. Also erwirbt der Verarbeiter die Mittel zur Datenverarbeitung von externen Anbietern. Auf die datenschutzkonforme „Technikgestaltung“ der Software hat er aber kaum Einfluss, denn – wie ausgeführt – der Verarbeiter ist kein Programmierer. Genügt nun die vom Hersteller ausgelieferte und vom Verarbeiter eingesetzte Software nicht den Anforderungen an einen sicheren und dauerhaften Datenschutz, steht der Verarbeiter vor einem Dilemma. Die Verwendung der Software verstößt nämlich gegen die DSGVO, weil der Schutz der personenbezogenen Daten und damit des Persönlichkeitsrechts des betreffenden Datensubjekts dadurch unmittelbar gefährdet werden. In diesem Fall drohen horrende Bußgelder und weitere finanzielle Schäden, sollte nicht sofort die Nutzung dieser DSGVO-widrigen Software unterlassen werden. In solch einer Situation wird sich manch ein Entwickler von einem betroffenen Verarbeiter möglicherweise fragen lassen müssen, warum ihm ein solch mangelhaftes Produkt bereitgestellt wurde. Spinnen wir den Fall nun so weiter, dass eine Datenschutzaufsichtsbehörde vom Einsatz DSGVO-widriger Software des Verarbeiters Kenntnis erhält und daraufhin ein Bußgeld gegen ihn verhängt, steht er vor einem Fiasko. Spätestens zu diesem Zeitpunkt wird der Hersteller dieser Software nicht nur einer Vielzahl ungemütlicher Fragen, sondern auch rechtlichen Forderungen des Verarbeiters gegenüberstehen und sich Gedanken darüber machen, ob er nun für das Bußgeld einstehen muss, weil er eine nicht DSGVO-konforme Software veräußert oder vermietet hat. Das Hauptargument des Verarbeiters wird sein, dass er eine Software erhalten habe, die die dauerhafte Einhaltung der Vorgaben aus der DSGVO nicht ermöglicht und die deshalb mangelhaft sei.

Die Frage der datenschutzrechtlichen Haftung der Hersteller für datenschutzschwache Produkte beschäftigt aber nicht nur Verarbeiter, sondern auch die Datenschutzbehörden. Diese betrachten die Hersteller nämlich als ernstzunehmende Gefahrenquellen für Datenschutzverletzungen.

Privacy by Default – Privacy by Design

Spätestens seit 2019 stehen Entwickler im Visier der Datenschutzbehörden. So kritisiert die Datenschutzkonferenz (DSK), ein Gremium der Datenschutzbehörden der Länder und des Bundes, in ihrem „Erfahrungsbericht zur Anwendung der DSGVO“, dass sich bestimmte Grundsätze der DSGVO in der Sache an Hersteller richten würden. Insoweit sei es unverständlich, dass die DSGVO nicht die Hersteller, sondern nur die Verantwortlichen im Sinne der DSGVO in die Pflicht nehme. [1]

Die DSK bezieht sich bei ihrer Kritik insbesondere auf die in Art. 25 DSGVO verankerten Grundsätze des Datenschutzes durch Technikgestaltung (Data Protection by Design) und der datenschutzfreundlichen Voreinstellungen (Data Protection by Default). Das Prinzip Data Protection by Design ist in Art. 25 Abs. 1 DSGVO verankert und lautet:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“

Data Protection by Design besagt, dass Datenverarbeiter verpflichtet sind, datenschutzfördernde Systeme einzusetzen. Die zur Datenverarbeitung eingesetzte Software muss demnach bereits implementierte Mechanismen beinhalten, die den Verarbeiter bei der Erfüllung seiner Pflichten nach der DSGVO unterstützen. Verstöße gegen die DSGVO sollen so von vornherein erschwert und vermieden werden. [2] Deshalb entfaltet die DSGVO ihre Wirkung schon im Rahmen des Herstellungsprozesses einer Software, die erkennbar zur Verarbeitung personenbezogener Daten eingesetzt werden soll. Auch im Hinblick auf den in Art. 25 Abs. 2 DSGVO geregelten Grundsatz der datenschutzfreundlichen Voreinstellungen (Data Protection by Default) vertreten die Datenschutzbehörden die Meinung, dass die Vorschrift an sich die Hersteller anspreche, auch wenn sie darin nicht explizit genannt werden. Art. 25 Abs. 2 DSGVO lautet:

„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“

Der Privacy-by-Default-Ansatz zielt darauf ab, dem Datensubjekt Kontrollmöglichkeiten hinsichtlich seiner Daten zu geben. Der von der Datenverarbeitung Betroffene ist vor einer unzulässigen oder ihn beeinträchtigenden Datenverarbeitung zu schützen, indem ihm durch entsprechende technische Voreinstellungen die Gelegenheit zu ermöglichen ist, die Offenbarung oder Verarbeitung seiner Daten eigenständig zu verhindern. [3] Daher besteht in diesem Fall ein Zwang des Verarbeiters, Opt-in-Lösungen bereitzuhalten. Der Betroffene soll in die Lage versetzt werden, die Verwendung seiner Daten aktiv veranlassen können. Art. 25 DSGVO verfolgt im Kern den Zweck, den Verarbeiter zur Einhaltung der allgemeinen Datenschutzprinzipien als Herzstück der DSGVO zu bewegen. Folgende Prinzipien muss ein Verantwortlicher nach Art. 5 DSGVO bei der Verarbeitung personenbezogener Daten einhalten und deren Einhaltung gegenüber den Datenschutzbehörden zu jeder Zeit auch nachweisen können (Rechenschaftspflicht):

  • die Zweckbindung der Verarbeitung personenbezoge...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang