Datenschutzrechtliche Vorgaben für Softwarehersteller (DSGVO)
DSGVO bei Softwareherstellern beachten
Software verarbeitet häufig personenbezogene Daten. Dabei sind die Vorgaben der DSGVO zu berücksichtigen. Um den Schutz dieser Daten möglichst effektiv zu gewährleisten, stellt die DSGVO bereits für die Herstellung einer solchen Software spezifische Anforderungen auf. Werden diese Anforderungen jedoch nicht berücksichtigt, ergeben sich unterschiedliche Konsequenzen für Hersteller und Verwender, die von beiden beachtet werden sollten.
Anforderungen für Softwarehersteller ergeben sich aus der DSGVO
Bei der Herstellung von Software ist vor allem Art. 25 DSGVO als maßgebliche Vorschrift zu berücksichtigen. Absatz 1 betrifft die Anforderungen an eine datenschutzfreundliche Technikgestaltung (Privacy by Design). Absatz 2 regelt dasselbe für datenschutzfreundliche Voreinstellungen einer Software (Privacy by Default). Welche Maßnahmen bei der Softwareprogrammierung ergriffen werden müssen, hängt immer vom Einzelfall ab. Denn Art. 25 DSGVO ist bewusst sehr abstrakt gehalten worden, um technologieneutral zu bleiben und sich den technischen Entwicklungen anpassen zu können. Bei jeder Softwareherstellung muss individuell entschieden werden, welche geeigneten Maßnahmen ergriffen werden können.
Dabei muss in einer Einzelfallabwägung anhand von verschiedenen Faktoren eine möglichst datenschützende Lösung gefunden werden. Mögliche Faktoren sind dabei
- der Kostenaufwand,
- der Zweck der Verarbeitung und
- eine Folgenabschätzung.
Diese sollte dokumentiert werden, um der Rechenschaftspflicht gegenüber den Aufsichtsbehörden zu genügen (Art. 5 Abs. 2 DSGVO).
Unsere Referenzen im Datenschutzrecht (Auszug)
VOK DAMS Events GmbH
PRO ASYL e.V.
Mein Grundeinkommen e.V.
Bitwala GmbH
Technische Hochschule Lübeck
Deutsche Herzstiftung e.V.
Was bedeutet Privacy by Design?
Zur Umsetzung der Privacy-by-Design-Anforderung muss eine Software datenschutzfreundlich gestaltet werden. Bei der Softwareentwicklung müssen auf den Einzelfall bezogene, risikobasierte, effektive und angemessene technische sowie organisatorische Maßnahmen ergriffen werden. Ziel ist es, die Rechte von Personen, deren Daten später mit und durch die Software verarbeitet werden, weitestgehend zu schützen und das Risiko einer Datenpanne auszuschließen bzw. zu minimieren.
Dabei müssen vor allem die datenschutzrechtlichen Grundsätze berücksichtigt und ihre Umsetzung garantiert werden. Wesentliche Grundsätze sind:
- Zweckbindung
- Rechtmäßigkeit
- Datenminimierung
- Transparenz
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Treu und Glauben
- Richtigkeit
Was bedeutet Privacy by Default?
Hinter dem Begriff Privacy by Default verbergen sich bestimmte Anforderungen an die Voreinstellungen einer Software. Diese müssen so gestaltet sein, dass nur Daten verwendet werden, die für den jeweiligen Verarbeitungszweck auch erforderlich sind.
Diese Anforderung soll dem Gedanken der Datenminimierung Rechnung tragen. Dadurch soll die Software die Daten ihrer Nutzer auch ohne Einstellungsanpassungen der Nutzer weitestgehend schützen und die Datenverarbeitung und -speicherung auf das Notwendigste reduzieren.
Privacy-by-Default-Vorgaben müssen von Anfang an berücksichtigt werden
Die soeben genannten Anforderungen und Grundsätze müssen bereits sehr früh im Herstellungsprozess berücksichtigt werden. Schon bei der Planung der Verarbeitungsvorgänge müssen demnach geeignete Maßnahmen ergriffen werden, die später eine rechtmäßige Datenverarbeitung sicherstellen. Dadurch wird der Verantwortliche zu einem denkbar frühen Zeitpunkt in die Pflicht genommen und aus dieser nicht mehr entlassen.
Denn auch bei der eigentlichen Datenverarbeitung bleibt er zur Berücksichtigung verpflichtet. Auch bei der Herstellung von Softwareupdates müssen die genannten Grundsätze berücksichtigt werden.
Wer ist für die DSGVO-Umsetzung zuständig?
Die Festlegung der DSGVO auf einen möglichst frühen Zeitpunkt im Herstellungs- und Verwendungsprozess einer Software wirft Fragen der Zuständigkeit für die Einhaltung der Grundsätze auf. In der Praxis wird Software häufig nicht von den Personen eingesetzt, die sie hergestellt haben. Daher wäre es nachvollziehbar, schon den Hersteller oder Programmierer der Software zur Umsetzung der DSGVO zu verpflichten und in die Verantwortung zu nehmen.
Art. 25 DSGVO nimmt jedoch nur den sogenannten „Verantwortlichen“ in die Pflicht. Dabei handelt es sich um einen feststehenden Rechtsbegriff, der in Art. 4 Nr. 7 DSGVO geregelt ist. Danach ist nur derjenige Verantwortlicher, der allein oder mit anderen die Zwecke und Mittel der Datenverarbeitung vorgibt.
Keine DSGVO-Verantwortlichkeit des Softwareherstellers
Der Softwarehersteller programmiert die Software meist nur für einen späteren Verwender und legt daher weder Zweck noch Mittel der Verarbeitung letztverantwortlich fest. Somit ist er kein Adressat der DSGVO und nicht für die Umsetzung von Privacy by Design oder Default gegenüber dem Nutzer oder der Aufsichtsbehörde verantwortlich.
Daraus ergeben sich eine Reihe von Konsequenzen für den Softwareentwickler. Aufgrund der Verantwortlichkeit des Verwenders der Software entsteht ein Ungleichgewicht. Während der Hersteller das Wissen und die Kenntnis hat, um die Vorgaben der DSGVO umzusetzen, fehlt es dem Abnehmer häufig schon am Know-how, die DSGVO-Konformität der Software zu überprüfen. Trotzdem muss sich der Abnehmer für Mängel der Software nach der DSGVO verantworten und im Zweifel für Schäden haften.
Sie benötigen Unterstützung?
Sie haben Fragen zu unseren Leistungen oder möchten einen persönlichen Beratungstermin vereinbaren? Wir freuen uns auf Ihre Kontaktaufnahme! Häufig gestellte Fragen beantworten wir in unseren FAQs.
Oder rufen Sie uns an: +49 (0)69 76 75 77 80
Softwarehersteller sind durch DSGVO Haftungsrisiken ausgesetzt
Um dieses Ungleichgewicht wieder auszugleichen, könnten Abnehmer auf entsprechende vertragliche Vereinbarungen zurückgreifen, die den Hersteller dazu verpflichten, die Anforderungen des Art. 25 DSGVO bei der Herstellung zur berücksichtigen. Dann könnte der Abnehmer bei Verstößen Mangelgewährleistungsansprüche geltend machen und sich so den entstandenen Schaden beim Hersteller zurückholen. Aber auch ohne eine ausdrückliche Vereinbarung könnten Mangelgewährleistungsansprüche entstehen. Da die DSGVO bei allen Programmen, die innerhalb der Europäischen Union verwendet werden sollen, berücksichtigt werden muss, ist die DSGVO-Konformität eine gewöhnliche und erwartbare Eigenschaft einer Software.
Insoweit könnte sie auch schon ohne konkrete vertragliche Vereinbarungen einen Mangelgewährleistungsanspruch auslösen. Um sicher zu gehen, sollten Abnehmer allerdings konkrete Vorgaben in den Vertrag aufnehmen. Besteht darüber hinaus auch ein Wartungsvertrag zwischen Hersteller und Abnehmer, ist der Hersteller auch verpflichtet, das Programm datenschutzkonform zu bewahren und bei Änderungen der Gesetzeslage oder des Stands der Technik entsprechend anzupassen.
Was sollten Softwarehersteller implementieren?
Die fehlende Verantwortlichkeit nach der DSGVO bewahrt den Hersteller bei Mängeln in der Datenschutzkonformität seiner Software zwar vor Bußgeldern oder Schadensersatzverpflichtungen nach der DSGVO, jedoch nicht vor Mangelgewährleistungsansprüchen des tatsächlich Verantwortlichen. Ihre Software sollte daher stets elementare Technikeinstellungen berücksichtigen. Dazu zählen:
- Einwilligungs- und Widerrufsoptionen,
- deren Dokumentation,
- ein Rollen- und Zugriffskonzept
und einiges mehr.
Letztlich sollten Hersteller, Einkäufer und IT-Verantwortliche darauf achten, dass alle Mindestanforderungen erfüllt und auch dokumentiert werden. Besonders Softwarehersteller sollten sich dabei bewusst sein, dass sie zwar keine Verantwortung nach der DSGVO tragen. Sie können jedoch gegenüber ihren Vertragspartnern haften und darüber hinaus auch ihre Reputation und somit die Wettbewerbsfähigkeit verlieren.
Ihr Anwalt für Datenschutz in der Softwareherstellung
Unsere Ansprechpartnerinnen für Fragen rund um das Thema Datenschutz im Bereich Softwareentwicklung helfen Ihnen gerne!
Zögern Sie nicht, auf uns zuzukommen! Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80).