Grafik zur Einführung neuer Software zur Verarbeitung personenbezogener Daten

Einführung neuer Software zur Verarbeitung personenbezogener Daten + Checkliste

Mit der DSGVO sind höhere Anforderungen an die Datenschutzbewertung von Datenverarbeitungen entstanden, indem der risikobasierte Ansatz betont wird. Die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte von Personen stehen nun im Fokus. Ziel der Beurteilung des Risikos ist, die möglichen Konsequenzen einer Datenverarbeitung detailliert zu analysieren, geeignete Schutzmaßnahmen abzuleiten, Schwachstellen zu identifizieren und zu beseitigen, bevor ein Schaden entstehen kann. Die Folge für Ihr Unternehmen ist, eine strukturierte Vorgehensweise zu etablieren, um bei allen Verarbeitungsverfahren die Risiken bewerten zu können. Das Ergebnis dieser Bewertung führt dann entweder dazu, Maßnahmen nach Art. 32 DSGVO zu ergreifen bzw. anzupassen oder eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen. Doch was ist bei der Einführung neuer Software zur Verarbeitung von personenbezogenen Daten zu beachten? Ich liefere Ihnen die Antwort inklusive umfassender Checkliste für eine optimale Softwareeinführung.
Inhaltsverzeichnis

Worauf bei der Einführung neuer Software zur Verarbeitung personenbezogener Daten achten?

Führen Sie in Ihrem Unternehmen eine neue Software ein, mit der personenbezogene Daten verarbeitet werden, nehmen Sie eine datenschutzrechtliche Prüfung vor. Im Rahmen gilt es auf folgende Punkte zu beachten:

Rechtmäßigkeit der Verarbeitung, Treu und Glauben

Personenbezogene Daten müssen gemäß den Grundsätzen aus Art. 5 Abs. 1 DSGVO auf rechtmäßige Weise, nach Treu und Glauben verarbeitet werden. Um die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu gewährleisten, sind die Anforderungen aus Art. 6 Abs. 1 DSGVO zu erfüllen. Das Stichwort hier: Rechtsgrundlage!

Rechte der betroffenen Personen

Die Rechte der betroffenen Personen auf Information, Auskunft, Berichtigung, Löschung, Einschränkung sowie Datenübertragbarkeit, Widerspruchs- und Beschwerderecht sind nicht verhandelbar und können weder durch Vertrag oder Einwilligung noch durch Betriebsvereinbarung ausgeschlossen werden.

Datenminimierung

Der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 Buchst. c DSGVO muss bei allen Aspekten der Verarbeitung personenbezogener Daten berücksichtigt werden, sprich: von der Erhebung über die Verarbeitung bis zur Nutzung personenbezogener Daten.

Sicherheit der Verarbeitung gemäß Art. 32 DSGVO

Gemessen an dem Schutzbedarf der verarbeiteten personenbezogenen Daten sind geeignete technische und organisatorische Maßnahmen zu ergreifen, die die Anforderung an die Vertraulichkeit, Integrität und Verfügbarkeit erfüllen. Bedeutsam ist auch, ob die Maßnahmen an den Stand der Technik angepasst werden können, wie etwa bei Verschlüsselungsverfahren. Wie bei jeder Datenverarbeitung sollte man auch hier für den Fall gerüstet sein, dass ein System oder ein Datenspeicher (z. B. Server, Festplatte) ausfällt. Lassen Sie sich erläutern, wie das Sichern und das Rücksichern (Backup) der Daten erfolgt.

Berechtigungs- und Rollenkonzept

Jedes Unternehmen funktioniert anders. Wichtig ist es daher, dass auch Berechtigungen an die speziellen Bedürfnisse des Unternehmens und die geltenden Rahmenbedingungen (z. B. Betriebsvereinbarungen) angepasst werden können. Hier spielt das Erforderlichkeitsprinzip eine wichtige Rolle.

Export-, Auswertungs- und Druckfunktionen

Für eine datenschutzkonforme Gestaltung ist maßgeblich zu regeln, wer welche Informationen und Auswertungen für welche Zwecke erhalten darf. Lässt sich eine entsprechende Regelung im System technisch nicht umsetzen, ist von einem Einsatz dieses Systems abzuraten.

Wartungsarbeiten

Jedes System benötigt Wartung und regelmäßige Updates. Nicht selten werden die notwendigen Arbeiten von externen Dienstleistern durchgeführt. Können Sie die Kenntnisnahme personenbezogener Daten durch den beauftragten Dienstleister nicht ausschließen, müssen Sie eine Vereinbarung gemäß § 28 DSGVO abschließen. Ist die Kenntnisnahme durch Unbefugte ausgeschlossen, ist keine Vereinbarung erforderlich.

Archivierung und Löschung

Es gelten gesetzliche Vorgaben zur Berichtigung, Löschung und Sperrung personenbezogener Daten. Ist etwa der Zweck der Verarbeitung personenbezogener Daten erreicht und bestehen keine Aufbewahrungspflichten, müssen entsprechende Daten datenschutzkonform gelöscht werden. Bestehen Aufbewahrungspflichten, müssen die Daten für diesen Zeitraum aufbewahrt (archiviert) und deren Nutzung eingeschränkt werden können.

Checkliste zur Einführung neuer Software für die Verarbeitung personenbezogener Daten

Diese kostenlose Checkliste soll Ihnen dabei helfen, sicherzustellen, dass die Softwareeinführung zur Verarbeitung personenbezogener Daten den datenschutzrechtlichen Anforderungen entspricht und die Privatsphäre der betroffenen Personen gewahrt wird.

Alle Checkpunkte Checkliste Zu stellende Fragen
1 Rechtmäßigkeit der Verarbeitung Verarbeiten wir personenbezogene Daten gemäß den geltenden Datenschutzgesetzen?

Welche Rechtsgrundlagen liegen der Datenverarbeitung zugrunde?
2 Rechte der betroffenen Personen Können die Rechte der betroffenen Personen, wie das Recht auf Information, Auskunft, Berichtigung, Löschung, usw., gewährleistet werden?
3 Datenminimierung Ist die Software so gestaltet, dass sie dem Grundsatz der Datenminimierung entspricht?
4 Sicherheit der Verarbeitung Sind im System erforderliche technische und organisatorische Schutzmaßnahmen umgesetzt worden?

Können eben diese Schutzmaßnahmen auch nachträglich dem Stand der Technik angepasst werden?
5 Berechtigungs- und Rollenkonzept Kann das Berechtigungs- und Rollenkonzept den betrieblichen und datenschutzrechtlichen Anforderungen angepasst werden?
6 Export-, Auswertungs- und Druckfunktionen Lassen sich Export-, Auswertungs- und Druckfunktionen datenschutzkonform anpassen?
7 Wartungsarbeiten Wie müssen wir bei notwendigen Wartungsarbeiten oder System- und Softwareaktualisierungen vorgehen, um die Vertraulichkeit der Daten zu gewährleisten?
8 Archivierung und Löschung Wie können alte Datensätze gemäß den gesetzlichen Aufbewahrungspflichten archiviert und datenschutzkonform gelöscht werden?
Checkliste: Einführung neuer Software für die Verarbeitung personenbezogener Daten

6 Tipps für Datenschutzbeauftragte bei der Einführung neuer Verarbeitungs-Software

Folgende Tipps geben Ihnen eine Orientierung, wie Sie als Datenschutzbeauftragter bei der Einführung neuer Verarbeitungsverfahren – wie z. B. einer neuen Software – vorgehen können.

Tipp 1: Frühzeitige Einbindung als Datenschutzbeauftragter

Oftmals werden Datenschutzbeauftragte erst spät in neue Projekte einbezogen, was zu Schwierigkeiten bei der Umsetzung einer Softwareeinführung führen kann. Um dies zu vermeiden, sollten Sie sich frühzeitig in Veränderungsprozesse einbringen. Ein gutes Netzwerk im Unternehmen und hohe Bekanntheit können dabei hilfreich sein, um von geplanten Neuerungen frühzeitig zu erfahren und rechtzeitig beratend tätig zu werden. Eine frühe Einbindung ermöglicht es Ihnen, bereits beim Kick-off-Termin die Zwecke der Datenverarbeitung zu verstehen, was die Grundlage Ihrer Bewertung und Beratung bildet.

Tipp 2: Nehmen Sie Einsicht in die Dokumentation

Um sich im zweiten Schritt einen umfassenderen Überblick über die geplante Verarbeitung zu verschaffen, nehmen Sie Einsicht in die Projekt- oder Produktdokumentation. Sichten Sie hier insbesondere:

  • das Pflichtenheft oder ein anderes einer Softwareentwicklung bzw. -einführung dienendes Dokument
  • das Datenmodell, aus dem Ihnen Art und Umfang der zu verarbeitenden personenbezogenen Daten ersichtlich werden
  • das Datenflussmodell, aus dem Sie die Datenströme erkennen können.

Tipp 3: Überwachen Sie die Einhaltung von Datenschutzrichtlinien

Überwachen Sie die Einhaltung der Datenschutzvorschriften bei der neuen Software. Führen Sie regelmäßige Prüfungen durch und erstellen Sie bei Bedarf ein Datenschutz-Impact-Assessment (DSFA), um potenzielle Risiken zu bewerten. Bei Feststellung von Unregelmäßigkeiten ergreifen Sie geeignete Maßnahmen zur Behebung.

Tipp 4: Sensibilisieren Sie Mitarbeiter und schulen Sie diese

Mitarbeiter, die die neue Software nutzen, müssen für Datenschutz sensibilisiert werden. Regelmäßige Schulungen zur richtigen Handhabung von personenbezogenen Daten und Software sind entscheidend, um Datenschutzverletzungen zu minimieren.

Tipp 5: Aktualisieren Sie Ihre Datenschutzdokumentation

Bei neuer Software ändern sich oft Datenverarbeitungsprozesse. Aktualisieren Sie Ihre Datenschutzdokumentation, z.B. das Verzeichnis von Verarbeitungstätigkeiten, um die neuen Anforderungen zu erfüllen. Dies sichert Transparenz, Datenschutzkonformität und erleichtert die Zusammenarbeit mit Aufsichtsbehörden.

Tipp 6: Behalten Sie Änderungen und Updates im Blick

Behalten Sie als Datenschutzbeauftragter bei Softwareänderungen den Datenschutz im Blick. Sichern Sie die fortlaufende Datenschutzkonformität bei Software-Updates. Verfolgen Sie die Update-Pläne des Anbieters und führen Sie bei größeren Änderungen erneut eine Datenschutzfolgenabschätzung durch, um aktuelle Datenschutzstandards zu gewährleisten.