checkliste einführung neue software datenschutz

Checkliste Einführung Neue Software Datenschutz

/ Allgemein, Datenschutz

Die Einführung neuer Software beginnt mit einer gründlichen Vorbereitungsphase, in der Datenschutz bereits integraler Bestandteil sein muss. Identifizieren Sie zunächst präzise, welche personenbezogenen Daten verarbeitet werden und definieren Sie klare Zwecke für diese Verarbeitung. Binden Sie frühzeitig Ihren Datenschutzbeauftragten ein, um rechtliche Risiken zu erkennen und zu minimieren. Prüfen Sie, ob eine Datenschutz-Folgenabschätzung erforderlich ist – insbesondere bei Software, die umfangreiche Personaldaten verarbeitet oder automatisierte Entscheidungen trifft. Diese vorausschauende Herangehensweise entspricht dem „Privacy by Design“-Prinzip und spart später erhebliche Ressourcen, da nachträgliche Anpassungen deutlich aufwändiger und kostspieliger sind. Als Datenschutzbeauftragter berate ich Sie gerne im Detail.

Bei der Implementierung neuer Software ist die datenschutzkonforme Konfiguration entscheidend. Aktivieren Sie Verschlüsselungsfunktionen, implementieren Sie ein differenziertes Berechtigungskonzept nach dem Need-to-know-Prinzip und nutzen Sie pseudonymisierte Testdaten in der Testphase. Schulen Sie alle Mitarbeiter umfassend zu den datenschutzrechtlichen Aspekten der neuen Software. Nach dem Go-live beginnt die Phase der kontinuierlichen Überwachung: Führen Sie regelmäßige Datenschutz-Audits durch, reagieren Sie zeitnah auf Software-Updates und prüfen Sie diese auf datenschutzrechtliche Auswirkungen. Dokumentieren Sie alle Maßnahmen sorgfältig, um Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen und bei Kontrollen auskunftsfähig zu sein.

Kontakt aufnehmen
Inhaltsübersicht
  1. Das Wichtigste im Überblick
  2. Warum Datenschutz bei der Einführung neuer Software entscheidend ist
  3. Rechtliche Grundlagen der datenschutzkonformen Softwareeinführung
  4. Vorbereitung und Planung
  5. Auswahl des Softwareanbieters: Datenschutzkriterien als Entscheidungsfaktor
  6. Datenschutz-Folgenabschätzung: Wann ist sie nötig und wie wird sie durchgeführt?
  7. Praktische Tipps für die datenschutzkonforme Softwareeinführung
  8. Der Mehrwert einer datenschutzkonformen Softwareeinführung
  9. Häufig gestellte Fragen 
  10. Linkliste

Das Wichtigste im Überblick

  • Die Einführung neuer Software erfordert eine sorgfältige datenschutzrechtliche Prüfung bereits in der Planungsphase, um spätere Bußgelder zu vermeiden und den Grundsatz des „Privacy by Design“ einzuhalten.
  • Eine umfassende Datenschutz-Folgenabschätzung (DSFA) ist bei Softwareeinführungen mit hohem Risiko für die Rechte und Freiheiten betroffener Personen gemäß Art. 35 DSGVO zwingend erforderlich.
  • Die kontinuierliche Dokumentation aller datenschutzrelevanten Entscheidungen und Maßnahmen stellt sicher, dass die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfüllt wird und ist bei behördlichen Kontrollen von entscheidender Bedeutung.

Warum Datenschutz bei der Einführung neuer Software entscheidend ist

Die Digitalisierung von Geschäftsprozessen und die Einführung neuer Software gehören heute zum Alltag von Unternehmen. Doch was viele Verantwortliche unterschätzen: Mit jeder neuen Software entstehen potenzielle Datenschutzrisiken, die bei Nichtbeachtung zu erheblichen rechtlichen Konsequenzen führen können. Stellen Sie sich vor, Sie implementieren ein neues CRM-System und übersehen dabei wesentliche datenschutzrechtliche Anforderungen – die Folge können hohe Bußgelder sein.

Die Relevanz einer datenschutzkonformen Softwareeinführung hat mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) deutlich zugenommen. Nicht nur die möglichen Sanktionen, sondern auch die gestiegene Sensibilität von Kunden, Mitarbeitern und Geschäftspartnern für den Schutz ihrer personenbezogenen Daten machen eine sorgfältige Prüfung unerlässlich. Eine neue Software ohne angemessene Datenschutzvorkehrungen einzuführen, ist vergleichbar mit dem Bau eines Hauses ohne Brandschutzmaßnahmen – es mag zunächst funktionieren, doch das Risiko bleibt.

Rechtliche Grundlagen der datenschutzkonformen Softwareeinführung

Die DSGVO als zentraler Rechtsrahmen

Art. 5 DSGVO: Grundsätze der Verarbeitung definieren die fundamentalen Prinzipien wie Rechtmäßigkeit, Zweckbindung, Datenminimierung und Integrität, die bei jeder Datenverarbeitung – auch durch neue Software – eingehalten werden müssen. Besonders hervorzuheben ist der in Art. 5 Abs. 2 DSGVO verankerte „Grundsatz der Rechenschaftspflicht“, der Verantwortliche verpflichtet, die Einhaltung aller Grundsätze nachweisen zu können.

Art. 25 DSGVO: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („Privacy by Design“ und „Privacy by Default“) verlangt, dass Datenschutzanforderungen bereits bei der Konzeption und Auswahl einer Software berücksichtigt werden. Standardmäßig dürfen nur die für den jeweiligen Verarbeitungszweck erforderlichen Daten erhoben werden.

Art. 28 DSGVO: Auftragsverarbeitung ist entscheidend, wenn die einzuführende Software von einem externen Dienstleister betrieben wird oder wenn Cloud-Dienste genutzt werden. In diesen Fällen muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden, der die datenschutzkonforme Verarbeitung sicherstellt.

Art. 32 DSGVO: Sicherheit der Verarbeitung fordert angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, die bei der Softwareauswahl und -implementierung berücksichtigt werden müssen.

Art. 35 DSGVO: Datenschutz-Folgenabschätzung (DSFA) schreibt vor, dass bei Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine DSFA durchgeführt werden muss – dies betrifft häufig die Einführung neuer Softwaresysteme, besonders wenn sensible Daten verarbeitet werden.

Bundesdatenschutzgesetz (BDSG)

Neben der DSGVO enthält auch das Bundesdatenschutzgesetz relevante Bestimmungen, die ergänzend zu beachten sind. Das BDSG konkretisiert die DSGVO in bestimmten Bereichen und enthält spezifische Regelungen für öffentliche Stellen.

Branchenspezifische Regelungen

Je nach Branche können zusätzliche gesetzliche Vorgaben gelten:

  • Im Gesundheitswesen sind beispielsweise besondere Anforderungen an die Verarbeitung von Patientendaten zu beachten
  • Im Finanzsektor gelten zusätzliche Regelungen zur Datensicherheit
  • Für bestimmte Berufsgruppen (Rechtsanwälte, Ärzte, etc.) sind berufsrechtliche Verschwiegenheitspflichten zu berücksichtigen

Betriebsvereinbarungen und interne Richtlinien

In vielen Unternehmen existieren zudem Betriebsvereinbarungen und interne Datenschutzrichtlinien, die bei der Einführung neuer Software zu beachten sind. Diese können über die gesetzlichen Mindestanforderungen hinausgehen und müssen in den Implementierungsprozess integriert werden.

Vorbereitung und Planung

Bedarfsanalyse und Datenschutz-Vorüberlegungen

Bevor eine neue Software eingeführt wird, sollte eine gründliche Bedarfsanalyse durchgeführt werden. Diese dient nicht nur der Ermittlung der funktionalen Anforderungen, sondern auch der frühzeitigen Berücksichtigung datenschutzrechtlicher Aspekte:

  1. Zweckbestimmung: Definieren Sie präzise, welche Zwecke mit der Software verfolgt werden sollen. Diese Zweckfestlegung ist gemäß Art. 5 Abs. 1 lit. b DSGVO erforderlich und beeinflusst alle weiteren Entscheidungen.
  2. Datenminimierung: Identifizieren Sie, welche personenbezogenen Daten für diese Zwecke tatsächlich erforderlich sind. Gemäß dem Grundsatz der Datenminimierung sollten nur Daten verarbeitet werden, die für den festgelegten Zweck notwendig sind.
  3. Betroffenenkreis: Bestimmen Sie, welche Personengruppen von der Datenverarbeitung betroffen sein werden (z.B. Mitarbeiter, Kunden, Lieferanten).
  4. Verarbeitungstätigkeiten: Identifizieren Sie alle Verarbeitungsvorgänge, die mit der neuen Software durchgeführt werden sollen (z.B. Erhebung, Speicherung, Übermittlung).
  5. Risiko-Voreinschätzung: Nehmen Sie eine erste Einschätzung vor, ob die geplante Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt und somit eine Datenschutz-Folgenabschätzung erforderlich sein könnte.

Einbindung des Datenschutzbeauftragten

Der Datenschutzbeauftragte (DSB) sollte frühzeitig in die Planung einbezogen werden. Seine Aufgabe ist es, bei der datenschutzkonformen Gestaltung der Softwareeinführung zu beraten und sicherzustellen, dass alle rechtlichen Anforderungen erfüllt werden. Besonders wichtig ist seine Einbindung bei:

  • Der Risikobewertung und Notwendigkeitsprüfung einer DSFA
  • Der Auswahl geeigneter technischer und organisatorischer Maßnahmen
  • Der Prüfung von Auftragsverarbeitungsverträgen
  • Der Erstellung von Dokumentationen und Nachweisen

Kleine und mittlere Unternehmen, die keinen internen Datenschutzbeauftragten bestellen müssen, sollten erwägen, einen externen DSB hinzuzuziehen, um rechtliche Risiken zu minimieren.

Budget- und Ressourcenplanung für Datenschutzmaßnahmen

Die Implementierung von Datenschutzmaßnahmen verursacht Kosten und bindet Ressourcen, die in der Projektplanung berücksichtigt werden sollten:

  • Personalkosten: Zeit für Schulungen, Anpassungen, Dokumentation und Tests
  • Technische Maßnahmen: Investitionen in zusätzliche Sicherheitsmaßnahmen wie Verschlüsselung, Zugriffskontrollen oder Pseudonymisierungsfunktionen
  • Externe Beratung: Kosten für datenschutzrechtliche Beratung oder externe DSB
  • Dokumentation: Ressourcen für die Erstellung und Pflege der erforderlichen Dokumentation

Auswahl des Softwareanbieters: Datenschutzkriterien als Entscheidungsfaktor

Datenschutz-Zertifizierungen und Nachweise

Vertrauenswürdige Softwareanbieter können ihre Datenschutzkompetenz durch verschiedene Zertifizierungen belegen:

  • ISO/IEC 27001: Diese Zertifizierung bestätigt ein funktionierendes Informationssicherheits-Managementsystem.
  • ISO/IEC 27701: Diese Erweiterung der ISO 27001 bezieht sich speziell auf den Datenschutz und das Management von personenbezogenen Daten.
  • Datenschutz-Siegel: Es existieren verschiedene Datenschutz-Siegel (z.B. das europäische Datenschutz-Gütesiegel EuroPriSe), die die Einhaltung der DSGVO-Anforderungen bestätigen.
  • SOC 2: Ein Prüfungsstandard, der die Sicherheit, Verfügbarkeit und Vertraulichkeit von Kundendaten in Cloud-Diensten beurteilt.

Darüber hinaus sollten Anbieter in der Lage sein, entsprechende Dokumente vorzulegen, die ihre Datenschutzkonformität belegen, wie z.B. technische und organisatorische Maßnahmen (TOM) oder Verfahrensverzeichnisse.

Technische und organisatorische Maßnahmen 

Die vom Anbieter implementierten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind entscheidend:

  • Verschlüsselung: Sowohl bei der Datenübertragung (Transport-Verschlüsselung) als auch bei der Speicherung (Speicher-Verschlüsselung)
  • Zugriffskontrollen: Differenzierte Benutzerrechte und Multi-Faktor-Authentifizierung
  • Protokollierung: Lückenlose Protokollierung von Zugriffen und Änderungen
  • Backup-Konzepte: Regelmäßige Datensicherungen und getestete Wiederherstellungsverfahren
  • Pseudonymisierung: Möglichkeiten zur Pseudonymisierung von Daten
  • Physische Sicherheit: Maßnahmen zum Schutz der Rechenzentren und Serverräume

Bereitschaft zur Unterzeichnung eines Auftragsverarbeitungsvertrags

Wenn der Softwareanbieter als Auftragsverarbeiter tätig wird (was bei den meisten externen Softwarelösungen der Fall ist), muss er bereit sein, einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abzuschließen. Dieser Vertrag regelt u.a.:

  • Den Umfang und Zweck der Datenverarbeitung
  • Die Pflichten und Rechte des Verantwortlichen und des Auftragsverarbeiters
  • Die technischen und organisatorischen Maßnahmen
  • Die Unterstützungspflichten des Auftragsverarbeiters
  • Den Umgang mit Unterauftragsverarbeitern

Datenschutz-Folgenabschätzung: Wann ist sie nötig und wie wird sie durchgeführt?

Wann ist eine DSFA erforderlich?

Die Datenschutz-Folgenabschätzung (DSFA) ist ein zentrales Instrument zur Bewertung und Minimierung von Datenschutzrisiken. Gemäß Art. 35 DSGVO ist sie in folgenden Fällen verpflichtend durchzuführen:

  1. Bei systematischer und umfassender Bewertung persönlicher Aspekte, die auf automatisierter Verarbeitung basiert und als Grundlage für Entscheidungen dient, die rechtliche Wirkung entfalten oder erhebliche Beeinträchtigungen verursachen können (z.B. automatisierte Kreditwürdigkeitsprüfungen, algorithmische Personalauswahl).
  2. Bei umfangreicher Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO (z.B. Gesundheitsdaten, biometrische Daten) oder von Daten über strafrechtliche Verurteilungen und Straftaten.
  3. Bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche (z.B. weitreichende Videoüberwachung).
  4. Bei Verarbeitungsvorgängen, die auf einer Liste der Aufsichtsbehörde stehen. Die deutschen Aufsichtsbehörden haben Listen mit Verarbeitungstätigkeiten veröffentlicht, für die eine DSFA zwingend erforderlich ist.

Konkret auf die Softwareeinführung bezogen, ist eine DSFA typischerweise erforderlich bei:

  • Personalmanagementsystemen mit umfassender Mitarbeiterbewertung
  • Patientenmanagementsystemen in Gesundheitseinrichtungen
  • Umfangreichen Customer-Relationship-Management-Systemen mit Profiling-Funktionen
  • Software, die biometrische Identifikation oder Authentifizierung nutzt
  • Systemen zur Verhaltens- oder Leistungsüberwachung von Mitarbeitern

Praktische Tipps für die datenschutzkonforme Softwareeinführung

Dokumentation als Schlüssel zur Rechenschaftspflicht

Die Dokumentation ist nicht nur eine lästige Pflicht, sondern ein zentrales Element zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Folgende Dokumente sollten erstellt und aktuell gehalten werden:

  1. Projektdokumentation:
    • Protokolle der Entscheidungsfindung
    • Abwägungen und Begründungen für getroffene Datenschutzentscheidungen
    • Durchgeführte Datenschutz-Folgenabschätzung
  2. Vertragliche Dokumentation:
    • Auftragsverarbeitungsverträge mit dem Softwareanbieter und etwaigen Unterauftragsverarbeitern
    • Bei Drittlandübermittlungen: Standardvertragsklauseln und ergänzende Maßnahmen
    • Verträge mit externen Beratern und Dienstleistern
  3. Technische Dokumentation:
    • Implementierte technische und organisatorische Maßnahmen
    • Konfigurationseinstellungen mit Datenschutzrelevanz
    • Sicherheitskonzepte und -richtlinien
  4. Verarbeitungsverzeichnis:
    • Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
    • Detaillierte Beschreibung der neuen Verarbeitungen durch die Software
  5. Kommunikation mit Betroffenen:
    • Anpassungen der Datenschutzerklärung
    • Informationsschreiben an betroffene Personen
    • Einwilligungserklärungen, falls erforderlich

Eine gute Dokumentation erleichtert nicht nur die Zusammenarbeit mit Aufsichtsbehörden im Falle einer Prüfung, sondern hilft auch bei internen Audits und der kontinuierlichen Verbesserung des Datenschutzes.

Kommunikation mit Betroffenen und Stakeholdern

Die frühzeitige und transparente Kommunikation mit allen Beteiligten ist ein oft unterschätzter Erfolgsfaktor:

  1. Information der Mitarbeiter:
    • Frühzeitige Information über die geplante Softwareeinführung
    • Klare Kommunikation des Nutzens und der Datenschutzmaßnahmen
    • Regelmäßige Updates zum Projektfortschritt
  2. Einbindung der Arbeitnehmervertretung:
    • Frühzeitige Konsultation des Betriebsrats/Personalrats
    • Transparente Darstellung der geplanten Datenverarbeitung
    • Gemeinsame Entwicklung von Betriebsvereinbarungen
  3. Information externer Betroffener:
    • Aktualisierung der Datenschutzerklärung vor dem Go-live
    • Bei erheblichen Änderungen: Proaktive Information der Betroffenen
    • Bei Einwilligungserfordernis: Rechtzeitiges Einholen neuer Einwilligungen
  4. Kommunikation mit Geschäftspartnern:
    • Information über Änderungen in Datenflüssen oder -zugriffen
    • Anpassung bestehender Verträge, falls erforderlich

Eine offene Kommunikation fördert die Akzeptanz der neuen Software und reduziert das Risiko von Beschwerden oder Widerständen.

Regelmäßige Überprüfung und Anpassung

Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess:

  1. Regelmäßige Überprüfung:
    • Planung regelmäßiger Datenschutz-Audits für die Software
    • Überprüfung der Wirksamkeit implementierter Schutzmaßnahmen
    • Monitoring von Änderungen an der Software durch Updates
  2. Anpassung an rechtliche Entwicklungen:
    • Beobachtung relevanter rechtlicher Änderungen
    • Berücksichtigung neuer Entscheidungen der Aufsichtsbehörden und Gerichte
    • Zeitnahe Anpassung der Implementierung an neue Anforderungen
  3. Indikatoren für Überprüfungsbedarf:
    • Software-Updates mit neuen Funktionen
    • Änderungen in der Unternehmensstruktur oder den Geschäftsprozessen
    • Sicherheitsvorfälle oder Datenschutzbeschwerden
    • Erkenntnisse aus Datenschutz-Audits

Ein proaktiver Ansatz zur regelmäßigen Überprüfung vermeidet, dass sich im Laufe der Zeit Datenschutzlücken entwickeln, und stellt die dauerhafte Compliance sicher.

Der Mehrwert einer datenschutzkonformen Softwareeinführung

Die Einführung neuer Software unter Berücksichtigung datenschutzrechtlicher Anforderungen mag zunächst als zusätzlicher Aufwand erscheinen. Doch betrachtet man die langfristigen Auswirkungen, wird deutlich, dass dieser Ansatz nicht nur rechtliche Risiken minimiert, sondern auch zahlreiche weitere Vorteile bietet.

Rechtssicherheit und Risikominimierung

Eine datenschutzkonforme Implementierung schützt Ihr Unternehmen vor kostspieligen Bußgeldern, Schadensersatzforderungen und behördlichen Maßnahmen. Die strukturierte Herangehensweise, die in diesem Artikel dargestellt wurde, schafft Rechtssicherheit und dokumentiert Ihre Sorgfalt – ein entscheidender Vorteil im Falle von Datenschutzprüfungen oder bei der Reaktion auf Datenschutzvorfälle.

Vertrauensgewinn bei Kunden und Mitarbeitern

In einer Zeit zunehmender Datenschutzsensibilität wird der verantwortungsvolle Umgang mit personenbezogenen Daten zu einem wichtigen Differenzierungsmerkmal. Kunden, Geschäftspartner und Mitarbeiter schätzen Unternehmen, die Datenschutz ernst nehmen und proaktiv umsetzen. Dies kann zu erhöhter Kundenloyalität, stärkerer Mitarbeiterbindung und einem verbesserten Unternehmensimage führen.

Effizienzsteigerung durch strukturierte Prozesse

Die systematische Analyse von Datenflüssen und Verarbeitungsprozessen im Rahmen der datenschutzkonformen Softwareeinführung führt oft zu einer Optimierung von Abläufen. Unnötige Datenerhebungen werden eliminiert, Prozesse gestrafft und Verantwortlichkeiten klar definiert. Dies steigert nicht nur die Datenschutzkonformität, sondern trägt auch zur allgemeinen Effizienz des Unternehmens bei.

Langfristige Kostenersparnis

Obwohl die initiale Investition in datenschutzkonforme Prozesse und Maßnahmen höher sein kann, führt dieser Ansatz langfristig zu Kosteneinsparungen:

  • Vermeidung nachträglicher Anpassungen, die oft deutlich teurer sind als eine von Anfang an datenschutzkonforme Implementierung
  • Reduzierung des Risikos von Bußgeldern und Schadensersatzforderungen
  • Geringerer Aufwand bei späteren Software-Updates oder -Wechseln durch klare Dokumentation und Struktur

Zukunftssicherheit durch adaptierbare Grundlagen

Die Einführung einer soliden Datenschutzstruktur für neue Software schafft eine flexible Grundlage, die an künftige rechtliche und technische Entwicklungen angepasst werden kann. Unternehmen, die heute in Datenschutz investieren, sind besser auf kommende regulatorische Anforderungen vorbereitet und können schneller auf neue Trends reagieren.

Häufig gestellte Fragen 

Welche personenbezogenen Daten fallen typischerweise bei der Nutzung von Software an? 

Neben den offensichtlichen Daten wie Benutzerkonten mit Namen und Kontaktinformationen werden oft auch Nutzungsdaten wie Login-Zeiten, ausgeführte Aktionen und Systemprotokolle erfasst. Auch indirekt personenbezogene Daten wie IP-Adressen, Gerätekennungen oder Standortdaten können relevant sein. Es ist wichtig, alle diese Datenarten zu identifizieren und in der Datenschutzdokumentation zu berücksichtigen.

Müssen wir bei jeder Softwareeinführung eine Datenschutz-Folgenabschätzung durchführen? 

Nein, eine DSFA ist nur erforderlich, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Dies ist insbesondere bei systematischer Bewertung persönlicher Aspekte, umfangreicher Verarbeitung besonderer Datenkategorien oder systematischer Überwachung öffentlicher Bereiche der Fall. Es empfiehlt sich jedoch, für jede neue Software zumindest eine kurze Risikobewertung zu dokumentieren.

Wie gehen wir mit Cloudanbietern um, die Unterauftragsverarbeiter einsetzen? 

Nach Art. 28 Abs. 2 DSGVO benötigt der Auftragsverarbeiter die vorherige Genehmigung des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern. In der Praxis wird dies oft durch eine allgemeine schriftliche Genehmigung gelöst, verbunden mit einer Informationspflicht des Anbieters bei Änderungen. Wichtig ist, dass auch für Unterauftragsverarbeiter angemessene Garantien und Verträge bestehen und dass diese im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.

Wie informieren wir Mitarbeiter über die Einführung einer neuen Software? 

Die Information sollte transparent, verständlich und umfassend sein. Erstellen Sie ein Informationsschreiben, das folgende Punkte umfasst:

  • Zweck und Umfang der Datenverarbeitung
  • Rechtsgrundlage der Verarbeitung
  • Speicherdauer der Daten
  • Empfänger der Daten (z.B. Softwareanbieter)
  • Implementierte Schutzmaßnahmen
  • Rechte der Betroffenen und Kontaktmöglichkeiten

Bei erheblichen datenschutzrechtlichen Auswirkungen kann auch eine Betriebsvereinbarung erforderlich sein.

Wie gehen wir mit bestehenden Altsystemen und deren Daten um? 

Bei der Migration von Daten aus Altsystemen sollten Sie:

  • Die Rechtmäßigkeit der weiteren Verarbeitung im neuen System prüfen
  • Die Gelegenheit nutzen, nicht mehr benötigte Daten zu löschen (Datenhygiene)
  • Eine sichere Übertragungsmethode wählen
  • Den Migrationsprozess dokumentieren
  • Nach erfolgreicher Migration das Altsystem sicher stilllegen und die Daten darin nach Ablauf der Aufbewahrungsfristen löschen
Was müssen wir bei der Nutzung von Softwareanalytik-Funktionen beachten?

Viele Softwareprodukte enthalten Analytik-Funktionen, die das Nutzerverhalten auswerten. Hierbei ist Folgendes zu beachten:

Prüfen Sie, ob die Analysefunktionen deaktiviert oder eingeschränkt werden können. Stellen Sie sicher, dass die Daten anonymisiert oder zumindest pseudonymisiert werden. Informieren Sie die Betroffenen transparent über Art und Umfang der Analysen. Definieren Sie einen begrenzten Kreis von Personen, die Zugriff auf die Analyseergebnisse haben. Legen Sie fest, wie lange Analysedaten gespeichert werden. Dokumentieren Sie den Zweck der Analysen und stellen Sie sicher, dass dieser mit dem ursprünglichen Verarbeitungszweck vereinbar ist

Wie gehen wir mit regelmäßigen Software-Updates um? 

Software-Updates können neue Funktionen oder geänderte Datenverarbeitungen mit sich bringen:

  • Implementieren Sie einen Prozess zur Bewertung von Updates vor deren Installation
  • Prüfen Sie die Release Notes auf datenschutzrelevante Änderungen
  • Aktualisieren Sie bei Bedarf die Dokumentation, insbesondere das Verarbeitungsverzeichnis
  • Informieren Sie bei wesentlichen Änderungen die betroffenen Personen
  • Führen Sie bei größeren Updates eine erneute Risikobewertung durch
  • Testen Sie sicherheitsrelevante Updates zeitnah in einer Testumgebung
Wie gehen wir mit Bring-Your-Own-Device-Szenarien bei der Nutzung der neuen Software um?

BYOD (Bring Your Own Device) stellt besondere Herausforderungen für den Datenschutz dar, wenn Mitarbeiter die neue Software auf privaten Geräten nutzen. Eine klare BYOD-Richtlinie ist unerlässlich, die mindestens Verschlüsselungsvorgaben, Zugriffsschutz und Trennungsmechanismen zwischen privaten und geschäftlichen Daten definiert. Implementieren Sie technische Maßnahmen wie Container-Lösungen oder virtuelle Desktops, um Unternehmensdaten von privaten Daten zu isolieren. Regeln Sie vertraglich, wie im Falle eines Geräteverlusts oder bei Ausscheiden des Mitarbeiters mit den Unternehmensdaten verfahren wird. 

Welche Überlegungen sind bei Software mit KI- oder Machine-Learning-Komponenten aus Datenschutzsicht relevant? 

Software mit KI- oder Machine-Learning-Komponenten erfordert besondere datenschutzrechtliche Aufmerksamkeit. Zentral ist die Transparenz über die Funktionsweise der Algorithmen und welche Daten für das Training verwendet werden. Prüfen Sie, ob die KI-Komponenten mit pseudonymisierten oder anonymisierten Daten trainiert werden können. Bei KI-basierten Entscheidungssystemen müssen Sie sicherstellen, dass keine vollautomatisierten Entscheidungen mit erheblichen Auswirkungen für Betroffene getroffen werden, es sei denn, eine der Ausnahmen nach Art. 22 DSGVO greift. Beachten Sie potenzielle Diskriminierungsrisiken durch verzerrte Trainingsdaten und implementieren Sie regelmäßige Überprüfungen der KI-Ergebnisse. Die Betroffenen müssen verständlich über den Einsatz von KI informiert werden, und es sollten Mechanismen bestehen, um KI-Entscheidungen für Menschen nachvollziehbar zu machen.

Wie sollten wir vorgehen, wenn ein Softwareanbieter während der Implementierungsphase übernommen wird oder vom Markt verschwindet?

Änderungen auf Anbieterseite können erhebliche datenschutzrechtliche Konsequenzen haben. Nehmen Sie daher bereits in der Vertragsgestaltung Regelungen für solche Szenarien auf, insbesondere bezüglich der Datenrückgabe, Löschung und unterbrechungsfreien Weiterführung des Services. Entwickeln Sie einen Notfallplan für den Fall einer plötzlichen Diensteinstellung, der auch die sichere Migration zu einem alternativen Anbieter umfasst. Prüfen Sie bei Übernahmen des Anbieters, ob sich Bedingungen der Auftragsverarbeitung ändern und ob neue Unterauftragsverarbeiter hinzukommen. Besonders kritisch ist es, wenn der neue Eigentümer in einem Drittland ohne angemessenes Datenschutzniveau sitzt. Dokumentieren Sie alle Änderungen in Ihrem Verarbeitungsverzeichnis und informieren Sie bei wesentlichen Änderungen die betroffenen Personen.

Kontakt aufnehmen

Linkliste

Nach oben scrollen