Wie wird Software DSGVO-konform?
Um Software wie Webanwendungen & Apps datenschutzkonform zu entwickeln und zu betreiben, gibt es einige wichtige Punkte zu beachten. In diesem Beitrag zeigen wir dir, wie du eine Software rechtssicher gestalten und den Datenschutzanforderungen dauerhaft entsprechen können.
Das Wichtigste zusammengefasst
- Die Datenschutz-Grundverordnung dient zum Schutz personenbezogener Daten natürlicher Personen.
- Die DSGVO gilt innerhalb der EU für jede Software, die personenbezogene Daten wie Namen, Kennnummern, Standortdaten oder besondere Merkmale verarbeitet.
- Software muss gewissen Grundsätzen wie Zweckbindung, Datenminimierung sowie Integrität und Vertraulichkeit folgen.
- Dein Unternehmen muss den Nutzern einige Rechte gewähren, wie beispielsweise, dass diese personenbezogene Daten löschen und berichtigen, aber auch einen Export aller personenbezogener Daten bereitstellen müssen.
- Für die richtige Umsetzung, muss eine Software mit datenschutzfreundlichen Voreinstellungen entwickeln, aber auch organisatorische Tätigkeiten wie AV-Verträge abschließen oder Datenschutz-Folgenabschätzungen durchführen.
- Die DSGVO birgt hohe Strafen durch die Aufsichtsbehörde und sollte daher ernst genommen werden.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt, ist ein Gesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, welches nach einer Übergangsfrist zum 25. Mai 2018 EU-weit verbindlich in Kraft trat. Das Gesetz ist jedoch schon seit dem 25. Mai 2016 veröffentlicht.
Das Europäische Parlament hat die DSGVO in folgendem Rechtstext verabschiedet. Dieser besteht aus 11 Kapiteln, 99 Artikeln und 173 Erwägungsgründen, um die Absichten und Ziele besser einordnen zu können.
Damit wurde die vorherige Richtlinie 95/46/EG vom 24. Oktober 1995 abgelöst. Dies war auch dringend nötig, da der schnelle technologische Fortschritt sowie die voranschreitende Globalisierung den Datenschutz vor neue Herausforderungen gestellt hat.
Speziell in Deutschland gilt auch das neue Bundesdatenschutzgesetz (BDSG), welches die DSGVO ergänzt. Das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) enthalten jedoch seit dem 01.01.2021 keine Vorschriften mehr zum Datenschutz.
Für wen gilt die DSGVO?
Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind alle Informationen, welche sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt mittels Zuordnung identifiziert werden kann. Eine Zuordnung ist insbesondere durch folgende Attribute gegeben:
- Vor- und Nachname
- Kennnummern wie E-Mail-Adressen, Kundennummern, Sozialversicherungsnummern, Kreditkartennummern, Telefonnummern
- Standortdaten
- Besondere Merkmale als Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität
Wichtig ist auch zu verstehen, dass das Verb verarbeiten ein sehr umfassender Begriff ist. Verarbeitet werden Daten nach der DSGVO dadurch, dass sie erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, übermittelt, bereitgestellt, abgeglichen oder gelöscht werden.
Aus den Definitionen ergeben sich beispielhaft die folgenden häufig verwendeten Funktionalitäten von Software, insbesondere in Web- & mobilen Apps, die relevant für die Einhaltung der DSGVO sind:
- Registrierung und Verwaltung von Benutzern in Portalen
- Bezahlungs- und Abonnementdienste wie in Online-Shops oder in Software-as-a-Service (SaaS)
- Standortrelevante Dienste wie Lieferdienste, Navigationssysteme oder Dating-Portale
- Kontaktformulare, Online-Terminvergaben, Bewerbungsverfahren und Newsletter auf Unternehmenswebseiten
- Web-Analyse und Tracking-Tools in allen Web- & mobilen Apps
Räumlich ist die Datenschutz-Grundverordnung auf die Europäische Union eingeschränkt, das heißt, sie gilt immer dann, wenn ein Unternehmen eine Niederlassung in der EU hat oder Daten von Personen verarbeitet, die sich in der EU befinden. Die Verordnung gilt nicht bei persönlichen oder familiären Tätigkeiten und auch nicht bei der Verhütung und Ermittlung von Straftaten.
Was darf Software nach der DSGVO?
Das zweite Kapitel der DSGVO definiert Grundsätze für die Verarbeitung personenbezogener Daten, welche sehr wichtig für die Entwicklung und Bereitstellung von Software sind. Generell bist du als Unternehmen bei diesen Grundsätzen in der Nachweispflicht, was auch Rechenschaftspflicht genannt wird. Die folgende Liste gibt einen Überblick über die Grundsätze:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten müssen transparent und rechtmäßig verarbeitet werden.
- Zweckbindung: Daten dürfen nur für den Zweck verarbeitet werden, dem die betroffene Person zugestimmt hat.
- Datenminimierung: Daten dürfen nur im notwendigen Maße und angemessen für den jeweiligen Zweck erhoben werden.
- Richtigkeit: Daten müssen richtig gespeichert oder alternativ verändert / gelöscht werden.
- Speicherbegrenzung: Daten dürfen nur so lange wie nötig gespeichert werden.
- Integrität und Vertraulichkeit: Daten müssen angemessen sicher, mit Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und mit Schutz vor Verlust abgespeichert werden.
Außerdem ist wichtig zu verstehen, dass die Verarbeitung der Daten erst rechtmäßig ist, wenn die betroffene Person ihre Einwilligung für einen oder mehrere Zwecke gegeben hat. Auch diese Einwilligung muss nachgewiesen werden können. Die betroffene Person hat weiterhin das Recht, die Einwilligung jederzeit widerrufen zu können. Das Gesetz sieht vor, dass das genauso einfach funktionieren muss wie die Erteilung selbst.
Um all diese Anforderungen wie den Einwilligungen, dem Widerruf und der Dokumentation sowie weiteren Feinheiten nachzukommen, benötigt deine Anwendung einen rechtssicheren Cookie-Banner. Wir empfehlen unseren Kunden dabei stets Cookiebot™ by Usercentrics und vertrauen auch selbst auf diese Lösung. Die Cookiebot Consent Management Plattform ist eine Software-as-a-Service-Lösung für kleinere Unternehmen und Organisationen. Als Reseller beraten wir dich gerne über das Tool, dessen Nutzung und der Einbindung in eine Webanwendung.
Besondere Bedeutung gibt die Datenschutz-Grundverordnung Daten über die rassische und ethnische Herkunft, politischen Meinungen, religiösen oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, sowie genetischen und biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Diese Verarbeitung besonderer Daten ist nun in bestimmten Fällen erlaubt, und zwar dann, wenn der Nutzer ausdrücklich eingewilligt hat oder selbst die Daten offensichtlich öffentlich gemacht hat sowie in weiteren besonderen Fällen.
Rechte der Nutzer deiner Software
Auch musst du den Nutzern deiner Software einige Rechte gewähren. Alle dazu relevanten Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglichen Form übermittelt werden. Ferner wird erwähnt, dass dein Unternehmen beispielsweise den Datenschutzbeauftragten, die Zwecke, die Rechtsgrundlage und weitere Informationen sowohl für betroffene als auch nicht betroffene Personen darstellen muss. Dies gibt dir den Hinweis darauf, dass deine Webanwendung oder App eine rechtssichere Datenschutzerklärung benötigt.
Weitere Rechte, die du deinen Kunden gewähren musst, fasst die folgende Liste zusammen:
- Berichtigung: Die betroffene Person hat das Recht, unverzüglich die Berichtigung sie betreffender falscher personenbezogener Daten korrigieren zu lassen.
- Löschung: Die betroffene Person hat ein Recht auf die Löschung der Daten. Jedoch gibt es Fälle, in denen du personenbezogene Daten erst nach einer gewissen Zeit löschen kannst.
- Einschränkung der Verarbeitung: Auch darf die betroffene Person in bestimmten Fällen die Verarbeitung einschränken.
- Mitteilungspflicht bei Berichtigung oder Löschung: Sofern es verhältnismäßig ist, muss dein Unternehmen den Nutzern mitteilen, dass ihr Daten berichtigt oder gelöscht habt.
- Datenübertragbarkeit: Bezogen auf deine Software, hat die betroffene Person das Recht, einen Export ihrer personenbezogenen Daten in einem strukturierten und maschinenlesbaren Format anzufordern.
- Widerspruch: Die betroffene Person darf der Verarbeitung jederzeit widersprechen, jedoch ist dies nur in bestimmten Fällen möglich.
Wie die DSGVO richtig umsetzen?
Dein Unternehmen als Verantwortlicher muss sicherstellen, dass Datenschutz durch die Art der Technikgestaltung und durch datenschutzfreundliche Voreinstellungen entsteht. Dies erfolgt durch geeignete technische und organisatorische Maßnahmen, welche die Datenschutzgrundsätze wie die Datenminimierung oder die Speicherbegrenzung berücksichtigen.
Dabei solltest du den Stand der Technik, die Implementierungskosten, aber auch Eintrittswahrscheinlichkeiten und dessen Schwere mit berücksichtigen. Insbesondere solltest du Punkte wie die Pseudonymisierung und Verschlüsselung personenbezogener Daten angehen. Des Weiteren sind auch eine rasche Wiederherstellbarkeit und die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Software in Bezug auf personenbezogene Daten zu gewährleisten.
Arbeitet dein Unternehmen mit Auftragsverarbeitern zusammen, also beispielsweise einer Software-Agentur, welche für euch eine Software entwickelt und betreibt, dann muss sichergestellt werden, dass diese Garantien dafür bieten, ebenfalls geeignete technische und organisatorische Maßnahmen zu treffen. Auch muss eine Auftragsverarbeitungsvertrag (AV-Vertrag) abgeschlossen werden.
Wenn dein Unternehmen mindestens 250 Mitarbeiter beschäftigt oder die Verarbeitung ein Risiko für Rechte und Freiheiten der betroffenen Personen birgt, muss ein Verzeichnis von Verarbeitungstätigkeiten geführt werden. Dieses beinhaltet unter anderem den Namen des Verarbeiters, die Zwecke, eine Beschreibung der Kategorien, Fristen, sowie die Information, ob die Daten in ein Drittland übermittelt werden.
Hat eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, dann muss eine Datenschutz-Folgenabschätzung durchgeführt werden.
Des Weiteren erfordert das Recht in bestimmten Fällen einen Datenschutzbeauftragten, welcher das Thema Datenschutz überwacht, unterrichtet, berät und mit der Aufsichtsbehörde zusammenarbeitet. Der Datenschutzbeauftragte bzw. du als Verantwortlicher sind auch verpflichtet, Verletzungen des Schutzes personenbezogener Daten möglichst innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Gibt es dabei ein hohes Risiko für die betroffenen Personen, müssen diese ebenfalls benachrichtigt werden.
Strafen bei Verstößen gegen die DSGVO
Was viele Unternehmen bereits wissen: Die DSGVO schreckt mit saftigen Geldbußen ab und deshalb sollte auch jedes Unternehmen das Thema ernst nehmen. Es sind Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes möglich.
Dennoch muss auch berücksichtigt werden, dass die Strafe von vielen Faktoren wie der Art, Schwere und Dauer des Verstoßes abhängt. Auch ist relevant, ob das Unternehmen vorsätzlich oder fahrlässig gehandelt hat. Maßnahmen, die den Schaden der betroffenen Personen minimieren, werden strafmildernd angesehen. Des Weiteren wird auch geprüft, ob es schon frühere Verstöße gab.
Berechne dein Projekt jetzt kostenfrei & unverbindlich für Webanwendungen & Apps.