Privacy by design in der Softwarebranche – Was ist zu beachten?

Art 25 DSGVO regelt zusammengefasst, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen muss, um die datenschutzrechtlichen Rechte der betroffenen Person angemessen zu schützen. Dieser Grundsatz des „Privacy by Designs“ spielt auch im Bereich der Softwareentwicklung eine wichtige Rolle. Doch was bedeutet es konkret, eine Software im Sinne von Privacy by Design zu entwickeln. Mehr dazu in diesem Artikel:

Privacy by Design in der Softwarebranche

Gerade bei der Beauftragung einer Individualsoftware taucht häufig folgende Forderung auf: “Die Software muss im Sinne des Grundsatzes “Privacy by Design” entwickelt und programmiert werden. Doch was bedeutet dies konkret?

Wer zu dieser Frage eine klare Antwort in Gesetzestexten sucht, wird enttäuscht. Eine Definition von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen enthalten weder der normative Teil noch die Erwägungsgründe der DSGVO. Verantwortliche sind bei dieser Beurteilung daher weitgehend auf sich allein gestellt. Da die Norm sehr abstrakt gefasst ist, eröffnet sie der Rechtsprechung „zahlreiche Auslegungsspielräume“. Die konkret zu treffenden Maßnahmen ergeben sich aus einer einzelfallbezogenen Interessensabwägung.

Um aus dem generellen Prinzip von Privacy by Design konkrete Handlungsschritte ableiten zu können, bedarf es eines Verständnisses über den Bedeutungsgehalt der Grundsätze des „Datenschutzes durch Technikgestaltung“ und des „Datenschutzes durch datenschutzfreundliche Voreinstellungen“. Demnach sollen die mit Nutzung von personenbezogenen Daten verbundenen Anforderungen frühestmöglich, namentlich bereits im Stadium der Konzeption und Entwicklung technologischer Systeme, geprüft und berücksichtigt werden. Je früher Datenschutz und der Schutz der Privatsphäre berücksichtigt wird, desto besser.

Privacy by Design: Konkrete Aspekte im Bereich der Softwareentwicklung

Folgende Aspekte können dazu beitragen, dem Grundsatz von Privacy by Design Rechnung zu tragen:

• Anonymisierung der Daten, insbesondere durch Datenaggregation und Datensynthese,
• Markierung der Daten bei ihrer Erhebung mit einem „tag“, um sie dauerhaft einem Verarbeitungszweck zuzuweisen,
• Datenminimierung bei der Nutzerauthentifizierung durch Single-Sign-on-Services,
• Umsetzung des Widerspruchsrechts nach Art 21 DSGVO mittels automatisierter Verfahren,
• Elektronische Wahrnehmung von Mitteilungs- und Benachrichtigungspflichten,
• Möglichkeit der Pseudonymisierung von personenbezogenen Daten,
• Implementierung eines Berechtigungskonzeptes nach dem „Need-to-Know-Prinzip“,
• Umsetzung der Möglichkeit einer „flächendeckenden“, automatisierten Löschung von personenbezogenen Daten,
• Integrationsfähigkeit der Software in das bestehende Datenschutzmanagementsystem,
• Möglichkeit der verschlüsselten Speicherung von personenbezogenen Daten,
• Implementierung eines Konzeptes zur Datenminimierung und Speicherbegrenzung,
• Möglichkeit, Daten automatisiert und mit geringem Aufwand zu aktualisieren,
• Möglichkeit des Anwenders, jederzeit frei zu wählen, wann er welche Datenverarbeitung zulässt,
• Dokumentation der eingesetzten technischen und organisatorischen Maßnahmen.

Praktische Handlungsempfehlungen lassen sich aus dem Report „Privacy and Data Protection by Design – from policy to engineering“ der Europäischen Agentur für Netz- und Informationssicherheit entnehmen.

Die in diesem Report vorgestellten Strategien können wie folgt zusammengefasst werden:

• Minimise: Die Menge der verarbeiteten Daten sollte so gering wie möglich sein.
• Hide: Alle personenbezogenen Daten und ihre Zusammenhänge sollten möglichst verborgen bleiben.
• Seperate: Personenbezogene Daten sollten möglichst verteilt verarbeitet und getrennt gespeichert werden.
• Aggregate: Personenbezogene Daten sollten im höchsten Aggregationsniveau und mit dem niedrigsten Detailgrad verarbeitet werden, in dem sie (noch) ihren Zweck erfüllen.
• Inform: Betroffene sollten angemessen informiert werden, wann immer ihre personenbezogenen Daten verarbeitet werden.
• Control: Betroffene sollten Kontrolle über die Verarbeitung ihrer personenbezogenen Daten erhalten.
• Enforce: Mit den rechtlichen Anforderungen in Einklang stehende Datenschutzregeln sollten vorhanden sein und durchgesetzt werden.
• Demonstrate: Der Verantwortliche sollte in der Lage sein, die Einhaltung der Datenschutzregeln und aller gesetzlichen Bestimmungen nachzuweisen.
  

Privacy by design in der Softwarebranche: Verhandlungs-Tipp

Unternehmen die in Software investieren oder auch bloß nutzen, müssen darauf achten, ihr Geld nicht in die „Katze im Sack“ anzulegen. Datenschutzrechtlich „exponierter“ ist nämlich der Anwender, da nur dieser die Eigenschaft als Verantwortlicher inne hat. Demnach haftet der Anwender dafür, wenn er eine Software einsetzt, die nicht dem Grundsatz von Privacy by Design stand hält. Daher ist dem Anwender anzuraten, dass er im Zuge einer Software Due Diligence Prüfung unter anderem evaluiert, ob die Software dem Prinzip von Privacy by Design Genüge tut. Weiters sollte er sich entsprechend vertraglich absichern.

Privacy by design in der Softwareentwicklung: Fazit

Aus all dem Geschilderten lässt sich folgende zentrale Erkenntnis für die Softwareentwicklung gewinnen: Datenschutz und Datensicherheit muss durch ein entsprechendes Qualitätsmanagement während des gesamten Lebenszyklus der Software nachweisbar respektiert werden. Bei einer Standardsoftware muss der Grundsatz von Privacy by Design in der Phase der Beschaffung beachtet werden. Bei einer Individualsoftware in der Phase der Planung, Konzeptionierung und Entwicklung. Konkret bedeutet das, dass bereits in der Entwicklungsphase bei Erreichung der einzelnen Quality Gates Datenschutz und Datensicherheit geprüft wird. Weiters sollte Datenschutz- und Datensicherheit bereits in Lasten- und Pflichtenhefte (bzw “Product Backlogs”) Einzug finden.

‍