Beispielhafte personenbezogene Daten in Form einer Kreditkartennummer
Wissen

Wie wird Software DSGVO-konform?

Um Software wie Webanwendungen und mobile Apps datenschutzkonform zu entwickeln und zu betreiben, gibt es einige wichtige Punkte zu beachten. In diesem Beitrag zeigen wir Ihnen, wie Sie Ihre Software rechtssicher gestalten und den Datenschutzanforderungen dauerhaft entsprechen können.

Lesezeit
6 Minuten

Das Wichtigste zusammengefasst

Seit Mai 2018 ist die Datenschutz-Grundverordnung verbindlich in Kraft getreten. Einerseits sorgt sie für mehr Datenschutz, andererseits müssen Sie als Unternehmen einer weiteren Verordnung entsprechen, was sehr zeitspielig ist.

  • Die Datenschutz-Grundverordnung dient zum Schutz personenbezogener Daten natürlicher Personen.
  • Die DSGVO gilt innerhalb der EU für jede Software, die personenbezogene Daten wie Namen, Kennnummern, Standortdaten oder besondere Merkmale verarbeitet.
  • Software muss gewissen Grundsätzen wie Zweckbindung, Datenminimierung sowie Integrität und Vertraulichkeit folgen.
  • Sie müssen Ihren Nutzern einige Rechte gewähren, wie beispielsweise, dass Sie personenbezogene Daten löschen und berichtigen, aber auch einen Export aller personenbezogener Daten bereitstellen müssen.
  • Für die richtige Umsetzung, müssen Sie Software mit datenschutzfreundlichen Voreinstellungen entwickeln, aber auch organisatorische Tätigkeiten wie AV-Verträge abschließen oder Datenschutz-Folgenabschätzungen durchführen.
  • Die DSGVO birgt hohe Strafen durch die Aufsichtsbehörde und sollte daher ernst genommen werden.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt, ist ein Gesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, welches nach einer Übergangsfrist zum 25. Mai 2018 EU-weit verbindlich in Kraft trat. Das Gesetz ist jedoch schon seit dem 25. Mai 2016 veröffentlicht.

Das Europäische Parlament hat die DSGVO in folgendem Rechtstext verabschiedet. Dieser besteht aus 11 Kapiteln, 99 Artikeln und 173 Erwägungsgründen, um die Absichten und Ziele besser einordnen zu können.

Damit wurde die vorherige Richtlinie 95/46/EG vom 24. Oktober 1995 abgelöst. Dies war auch dringend nötig, da der schnelle technologische Fortschritt sowie die voranschreitende Globalisierung den Datenschutz vor neue Herausforderungen gestellt hat.

Speziell in Deutschland gilt auch das neue Bundesdatenschutzgesetz (BDSG), welches die DSGVO ergänzt. Das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) enthalten jedoch seit dem 01.01.2021 keine Vorschriften mehr zum Datenschutz.

Für wen gilt die DSGVO?

Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind alle Informationen, welche sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt mittels Zuordnung identifiziert werden kann. Eine Zuordnung ist insbesondere durch folgende Attribute gegeben:

  • Vor- und Nachname
  • Kennnummern wie E-Mail-Adressen, Kundennummern, Sozialversicherungsnummern, Kreditkartennummern, Telefonnummern
  • Standortdaten
  • Besondere Merkmale als Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität

Wichtig ist auch zu verstehen, dass das Verb verarbeiten ein sehr umfassender Begriff ist. Verarbeitet werden Daten nach der DSGVO dadurch, dass sie erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, übermittelt, bereitgestellt, abgeglichen oder gelöscht werden.

Aus den Definitionen ergeben sich beispielhaft die folgenden häufig verwendeten Funktionalitäten von Software, insbesondere in Webanwendungen und mobilen Apps, die relevant für die Einhaltung der DSGVO sind:

  • Registrierung und Verwaltung von Benutzern in Portalen
  • Bezahlungs- und Abonnementdienste wie in Online-Shops oder in Software-as-a-Service (SaaS)
  • Standortrelevante Dienste wie Lieferdienste, Navigationssysteme oder Dating-Portale
  • Kontaktformulare, Online-Terminvergaben, Bewerbungsverfahren und Newsletter auf Unternehmenswebseiten
  • Web-Analyse und Tracking-Tools in allen Webanwendungen und mobilen Apps

Räumlich ist die Datenschutz-Grundverordnung auf die Europäische Union eingeschränkt, das heißt, sie gilt immer dann, wenn ein Unternehmen eine Niederlassung in der EU hat oder Daten von Personen verarbeitet, die sich in der EU befinden. Die Verordnung gilt nicht bei persönlichen oder familiären Tätigkeiten und auch nicht bei der Verhütung und Ermittlung von Straftaten.

Was darf Software nach der DSGVO?

Das zweite Kapitel der DSGVO definiert Grundsätze für die Verarbeitung personenbezogener Daten, welche sehr wichtig für die Entwicklung und Bereitstellung von Software sind. Generell sind Sie als Unternehmen bei diesen Grundsätzen in der Nachweispflicht, was auch Rechenschaftspflicht genannt wird. Die folgende Liste gibt einen Überblick über die Grundsätze:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten müssen transparent und rechtmäßig verarbeitet werden.
  • Zweckbindung: Daten dürfen nur für den Zweck verarbeitet werden, dem die betroffene Person zugestimmt hat.
  • Datenminimierung: Daten dürfen nur im notwendigen Maße und angemessen für den jeweiligen Zweck erhoben werden.
  • Richtigkeit: Daten müssen richtig gespeichert oder alternativ verändert / gelöscht werden.
  • Speicherbegrenzung: Daten dürfen nur so lange wie nötig gespeichert werden.
  • Integrität und Vertraulichkeit: Daten müssen angemessen sicher, mit Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und mit Schutz vor Verlust abgespeichert werden.

Außerdem ist wichtig zu verstehen, dass die Verarbeitung der Daten erst rechtmäßig ist, wenn die betroffene Person Ihre Einwilligung für einen oder mehrere Zwecke gegeben hat. Auch diese Einwilligung müssen Sie nachweisen können. Die betroffene Person hat weiterhin das Recht, die Einwilligung jederzeit widerrufen zu können. Das Gesetz sieht vor, dass das genauso einfach funktionieren muss wie die Erteilung selbst.

Um all diese Anforderungen wie den Einwilligungen, dem Widerruf und der Dokumentation sowie weiteren Feinheiten nachzukommen, benötigen Sie einen rechtssicheren Cookie-Banner. Wir empfehlen unseren Kunden dabei stets Cookiebot™ by Usercentrics und vertrauen auch selbst auf diese Lösung. Die Cookiebot Consent Management Plattform (Werbung) ist eine Software-as-a-Service-Lösung für kleinere Unternehmen und Organisationen. Als Reseller beraten wir Sie gerne über das Tool, dessen Nutzung und der Einbindung in Ihre Webanwendung.

Besondere Bedeutung gibt die Datenschutz-Grundverordnung Daten über die rassische und ethnische Herkunft, politischen Meinungen, religiösen oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, sowie genetischen und biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Diese Verarbeitung besonderer Daten ist nun in bestimmten Fällen erlaubt, und zwar dann, wenn der Nutzer ausdrücklich eingewilligt hat oder selbst die Daten offensichtlich öffentlich gemacht hat sowie in weiteren besonderen Fällen.

Rechte der Nutzer Ihrer Software

Auch müssen Sie den Nutzern Ihrer Software einige Rechte gewähren. Alle dazu relevanten Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglichen Form übermittelt werden. Ferner wird erwähnt, dass Sie beispielsweise den Datenschutzbeauftragten, die Zwecke, die Rechtsgrundlage und weitere Informationen sowohl für betroffene als auch nicht betroffene Personen darstellen müssen. Dies gibt Ihnen den Hinweis darauf, dass Ihre Webanwendung oder mobile App eine rechtssichere Datenschutzerklärung benötigt.

Weitere Rechte, die Sie Ihren Kunden gewähren müssen, fasst die folgende Liste zusammen:

  • Berichtigung: Die betroffene Person hat das Recht, unverzüglich die Berichtigung sie betreffender falscher personenbezogener Daten korrigieren zu lassen.
  • Löschung: Die betroffene Person hat ein Recht auf die Löschung der Daten. Jedoch gibt es Fälle, in denen Sie personenbezogene Daten erst nach einer gewissen Zeit löschen können.
  • Einschränkung der Verarbeitung: Auch darf die betroffene Person in bestimmten Fällen die Verarbeitung einschränken.
  • Mitteilungspflicht bei Berichtigung oder Löschung: Sofern es verhältnismäßig ist, müssen Sie den Nutzern mitteilen, dass Sie Daten berichtigt oder gelöscht haben.
  • Datenübertragbarkeit: Bezogen auf Ihre Software, hat die betroffene Person das Recht, einen Export Ihrer personenbezogenen Daten in einem strukturierten und maschinenlesbaren Format anzufordern.
  • Widerspruch: Die betroffene Person darf der Verarbeitung jederzeit widersprechen, jedoch ist dies nur in bestimmten Fällen möglich.

Wie die DSGVO richtig umsetzen?

Sie als Verantwortlicher müssen sicherstellen, dass Datenschutz durch die Art der Technikgestaltung und durch datenschutzfreundliche Voreinstellungen entsteht. Dies erfolgt durch geeignete technische und organisatorische Maßnahmen, welche die Datenschutzgrundsätze wie die Datenminimierung oder die Speicherbegrenzung berücksichtigen.

Dabei sollten Sie den Stand der Technik, die Implementierungskosten, aber auch Eintrittswahrscheinlichkeiten und dessen Schwere mit berücksichtigen. Insbesondere sollten Sie Punkte wie die Pseudonymisierung und Verschlüsselung personenbezogener Daten angehen. Des Weiteren sind auch eine rasche Wiederherstellbarkeit und die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit Ihrer Software in Bezug auf personenbezogene Daten zu gewährleisten.

Arbeiten Sie mit Auftragsverarbeitern zusammen, also beispielsweise einer Software-Agentur, welche für Sie eine Software entwickelt und betreibt, dann müssen Sie sicherstellen, dass diese Garantien dafür bieten, ebenfalls geeignete technische und organisatorische Maßnahmen zu treffen. Auch müssen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen.

Wenn Sie mindestens 250 Mitarbeiter beschäftigen oder Ihre Verarbeitung ein Risiko für Rechte und Freiheiten der betroffenen Personen birgt, müssen Sie ein Verzeichnis von Verarbeitungstätigkeiten führen. Dieses beinhaltet unter anderem den Namen des Verarbeiters, die Zwecke, eine Beschreibung der Kategorien, Fristen, sowie die Information, ob die Daten in ein Drittland übermittelt werden.

Hat eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, dann müssen Sie eine Datenschutz-Folgenabschätzung durchführen.

Des Weiteren brauchen Sie in bestimmten Fällen einen Datenschutzbeauftragten, welcher das Thema Datenschutz überwacht, unterrichtet, berät und mit der Aufsichtsbehörde zusammenarbeitet. Der Datenschutzbeauftragte bzw. Sie als Verantwortlicher sind auch verpflichtet, Verletzungen des Schutzes personenbezogener Daten möglichst innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Gibt es dabei ein hohes Risiko für die betroffenen Personen, müssen diese ebenfalls benachrichtigt werden.

Strafen bei Verstößen gegen die DSGVO

Was viele Unternehmen bereits wissen: Die DSGVO schreckt mit saftigen Geldbußen ab und deshalb sollte auch jedes Unternehmen das Thema ernst nehmen. Es sind Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes möglich.

Dennoch muss auch berücksichtigt werden, dass die Strafe von vielen Faktoren wie der Art, Schwere und Dauer des Verstoßes abhängt. Auch ist relevant, ob das Unternehmen vorsätzlich oder fahrlässig gehandelt hat. Maßnahmen, die den Schaden der betroffenen Personen minimieren, werden strafmildernd angesehen. Des Weiteren wird auch geprüft, ob es schon frühere Verstöße gab.

Fragen? Fragen!

Haben Sie noch Fragen zum Beitrag? Oder fehlen Ihnen wichtige Informationen? Melden Sie sich gerne bei uns! Wir freuen uns immer auf Feedback und möchten unseren Beitrag so informativ wie möglich gestalten.

Wir sind Dakitec: eine junge, agile Software-Agentur, die maßgeschneiderte Webanwendungen und Apps entwickelt. Als Ihr technologischer Sparringspartner übersetzen wir Geschäftsprozesse in exzellente IT-Lösungen. Unser Versprechen: heute die Software für Ihre Geschäftsziele von morgen entwickeln.