amagno-ecm-logo-header_60.png

30. Januar 2018

EU-DSGVO (Datenschutz-Grundverordnung) für Softwarehersteller

EU-DSGVO (Datenschutz-Grundverordnung) für Softwarehersteller

Gastbeitrag von Markus Olbring, comdatis it-Consulting.

Am 25. Mai 2018 endet die Übergangsfrist und die Datenschutz-Grundverordnung (DSGVO) sowie das neue Bundesdatenschutzgesetz (BDSG) sind für Unternehmen anzuwenden.

Schlagworte wie „Privacy by design“ und „Privacy by default“ führen dazu, dass auch die Softwarehersteller aktiv werden müssen und datenschutzfreundliche Funktionen bereitstellen müssen.

Was können die Anwender erwarten und was müssen Softwareanbieter leisten?

Die nachfolgende Tabelle gibt einen kleinen Überblick darüber, welche Anforderungen Softwarehersteller bis zum 25. Mai 2018 erfüllen sollten.

Anforderung Umsetzung
Datenminimierung
  • Die Software sollte durch den Anwender derart administriert werden können, dass für konkrete Verwendungszwecke ausschließlich erforderliche Datenfelder verwendet werden.
Technikbezogener Datenschutz (privacy by design / privacy by default)
  • Der Entwicklungsprozess sollte bei der Releaseplanung für neue / veränderte Funktionen und Fehlerbereinigungen die Anforderungen des Datenschutzes berücksichtigen.
  • Die Einhaltung der Datenschutzanforderungen müssen auch für Softwarekomponenten von Drittanbietern gewährleistet werden.
  • Der Umfang der Protokollierung und die Aufbewahrung von Protokollen (bezogen auf personenbezogene Daten) sollte nachvollziehbar dokumentiert sein und angemessen sein.
  • Datenschutzfreundliche Voreinstellungen müssen softwareseitig bereits aktiviert sein.
Datenübertragbarkeit
  • Der Softwarehersteller sollte Funktionen bereitstellen, die einen Export personenbezogener Daten in einem maschinenlesbaren Format ermöglichen.
  • Die Beschreibung der Software sollte eine Übersicht enthalten, wo welche personenbezogenen Daten gespeichert sind.
Löschfunktion
  • Löschfunktionen sollten softwareseitig vorhanden und dokumentiert sein.
  • Funktionen zur Anonymisierung / Pseudonymisierung von personenbezogenen Daten sollten vorhanden sein.
  • DMS-Lösungen sollten administrierbare Aufbewahrungsfristen enthalten.
Datensicherheit
  • Die Dokumente und deren Eigenschaften in einer DMS-Lösung müssen hinreichend sicher gespeichert werden.
  • Eingesetzte Verschlüsselungsverfahren (z.B. Datenverbindungen, Zugriff von extern, Ablage von Dokumenten) müssen nachvollziehbar dokumentiert sein.
  • Kritische Datenfelder (z.B. Kennwörter) müssen verschlüsselt gespeichert werden.
  • Die Dokumentation vom Softwarehersteller muss Informationen zur Datensicherung erhalten.
  • Die Software muss Funktionen enthalten, die ein angemessenes Berechtigungskonzept im Unternehmenseinsatz ermöglichen.
Betroffenenrechte
  • Die Software sollte Funktionen enthalten, die den Anwender bei der Auswertung personenbezogener Daten unterstützen.
  • Falls notwendig, sollte es eine Möglichkeit geben, Datenfelder und/oder Dokumente selektiv zu sperren oder zu löschen
Vertragliche Regelungen
  • Der Softwarenanbieter sollte, sofern eine Auftragsverarbeitung vorliegt, über eine vertragliche Regelung gem. Art. 28 DSGVO verfügen.
  • Subunternehmer müssen durch den Anbieter transparent aufgeführt sein.
  • Der Anbieter hat ein Verzeichnis für Verarbeitungstätigkeiten für Auftragsverarbeitungen erstellt.
  • Der Anbieter hat, sofern vorgeschrieben, einen internen oder externen Datenschutzbeauftragten bestellt.
  • Über Zertifizierungen (z.B. IDW PS 880, ISO 27001) kann der Anbieter die Ordnungsmäßigkeit und Konformität der Lösung nachweisen. Auch wenn eine Zertifizierung gem. IDW PS 880 durch eine Wirtschaftsprüfungsgesellschaft nicht unmittelbar einen Bezug zum Datenschutz hat, können Testate wichtige Hinweise liefern. Neben dem Softwareentwicklungsprozess werden auch aus Datenschutzssicht wichtige Softwarefunktionen (z.B. Berechtigungskonzept) bewertet.

Um Dokumentenquellen im Unternehmen zu sichten, können DMS-Lösungen sehr gut für die Umsetzung der DSGVO verwendet werden. Diese sammeln die Dokumente und Informationen an einer zentralen Stelle und können von dort aus für die Umsetzung der DSGVO verwendet werden.

Auch für die aus der DSGVO resultierende Verpflichtung zur Erstellung von Dokumenten ist eine DMS-Lösung ein geeignetes Werkzeug, um Änderungen an den Dokumenten über die Versionierung nachweisbar zu machen.

Interessiert Sie, wie AMAGNO die Anforderungen umsetzt? Dann lesen Sie gerne den kommentierten Gastbeitrag.

Markus Olbring
Markus Olbring ist Inhaber der comdatis it-consulting in Ahaus. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer (CISA) für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

Leave a Reply

Amagno