Software entwickeln, evaluieren und beschaffen im Zeitalter der DSGVO?

Software entwickeln, evaluieren und beschaffen im Zeitalter der DSGVO?

03/2019

Auf das müssen Sie beim Kauf und bei der Entwicklung von IT und Software achten

 

Was heisst Privacy by Design und Privacy by Default?
Mehr und mehr verbreiten sich im Datenschutzrecht die Konzepte des Privacy by Design (auf Deutsch: Datenschutz durch Technik) und Privacy by Default (auf Deutsch: datenschutzkonforme Voreinstellungen). Die Europäische Datenschutz-Grundverordnung (DSGVO/GDPR) erwähnt sie, und auch im Entwurf zum neuen Schweizer Datenschutzgesetz (E-DSG) fehlen sie nicht.

Privacy by Design betrifft insbesondere die Architektur und Funktionalität von IT und Software. Auf den Punkt gebracht verpflichtet Privacy by Design datenbearbeitende Unternehmen bereits bei der Beschaffung von IT-Produkten zu proaktiven Massnahmen, um den Datenschutz zu gewährleisten.

Privacy by Default bezieht sich auf die Grundeinstellungen in IT-Produkten und IT-Dienstleistungen. IT-Produkte sind demnach standardmässig datenschutzfreundlich einzustellen. So sind zum Beispiel entsprechende Zugriffsregelungen zu treffen, oder es ist sicherzustellen, dass über das IT-Produkt nicht mehr Daten erhoben werden als notwendig. Dabei sollen insbesondere die Nutzer der Produkte, die ihre Voreinstellungen nicht ändern, nicht benachteiligt werden. Sie gelten in den Augen des Gesetzgebers als wenig geneigt, die datenschutzrechtlichen Einstellungen jeweils ihren Wünschen entsprechend anzupassen.

 

Beschaffung und Entwicklung von IT-Produkten
Diese Forderungen sind an und für sich nicht neu. Es ist allerdings zu erwarten, dass Privacy by Design und Privacy by Default aufgrund der strengeren neuen Vorgaben zum Datenschutz auch auf der Stufe Produktentwicklung vermehrte Beachtung finden werden. Mindestens bei gleichem Preis-/Leistungsverhältnis dürften Nutzer und Unternehmen ihre Produktwahl in Zukunft häufiger davon abhängig machen, ob die bearbeiteten Personendaten nutzerfreundlich und gleichzeitig datenschutzkonform gehandhabt werden können.

So wird sich zum Beispiel ein Unternehmen, das ein Web-Analyse-Tool einsetzt, um IP-Masking bemühen müssen (Verschleierung eines Teilbereichs oder der gesamten IP-Adresse mittels «Maske»).

Für Personalgewinnung könnte sich aufgrund von Privacy by Design eine Plattform aufdrängen, die Zugriffe auf Bewerberdossiers über einen Link einräumt, anstatt die Dossiers bloss mit automatisiertem E-Mail-Versand weiterzuleiten. Dezentral abgelegte E-Mails bergen erfahrungsgemäss ein viel höheres Risiko, dass die Kontrolle darüber verloren geht (Gefahr der Schattendossiers).

Privacy by Default verlangt zur Nutzung von Personendaten für Werbezwecke unter Umständen, dass die Einwilligung der betroffenen Person eingeholt wird: Das entsprechende Feld muss in der Voreinstellung dann leer bleiben und darf nicht schon vorangekreuzt sein.

 

Denken Sie auch an Ihr ERP und CRM
Privacy by Design und Privacy by Default sind auch bei Entwicklung und Einsatz von CRM- oder ERP-Lösungen zu berücksichtigen. Noch immer auf dem Markt erhältlich sind CRM- oder ERP-Lösungen, die eine Löschung von Personendaten nicht erlauben, ohne dass die dahinterliegende finanzielle Transaktion automatisch rückabgewickelt wird. Belege müssen zwar revisionssicher aufbewahrt werden. Dies rechtfertigt aber nach Datenschutzrecht nicht in jedem Fall, dass zusätzlich zu den auf dem Beleg erwähnten Personendaten beispielsweise Gewohnheiten und Kauf-History ebenso lang gespeichert bleiben.

Ganz besondere Beachtung finden die Prinzipien Privacy by Design und Privacy by Default schliesslich auch beim Umgang mit sensiblen Daten (z.B. Gesundheitsdaten). Wegen dem Risikopotential der beabsichtigten Datenbearbeitung für die Nutzer werden Käufer von IT-Produkten regelmässig zur Durchführung einer sog. Datenschutz-Folgenabschätzung verpflichtet sein und daher um eine Risikoanalyse zum Design des Produktes nicht herumkommen.

Privacy by Design und Privacy by Default haben deshalb Auswirkungen auf das gesamte datenbearbeitende System.

 

Entwickler sind gefordert
Für Anbieter von IT-Produkten (IT-Infrastruktur, Netzwerke, Cloud, Software, Apps) lohnt sich eine möglichst frühzeitige und gründliche Prüfung der datenschutzrechtlichen Anforderungen bereits deshalb, weil der Lock-in-Effekt bei IT-Lösungen für den Kunden beachtlich sein kann und aus dessen Sicht deshalb gewisse Weichenstellungen nicht verpasst werden sollten, die vermehrt zum allgemeinen Bewusstsein gehören und zukünftig aktiver eingefordert werden.

 

Wir empfehlen Ihnen als IT-Entwickler deshalb: prüfen Sie die aktuellen und künftigen möglichen datenschutzrechtlichen Anforderungen an Ihr Produkt und schaffen Sie so Vertrauen bei Ihrer Käuferschaft. Wenn Sie selber neue IT-Produkte auf dem Radar haben, empfehlen wir Ihnen, nur solche IT-Produkte in die engere Auswahl zu nehmen, bei denen Sie sich davon überzeugt haben, dass sie Ihren datenschutzrechtlichen Bedürfnissen genügen.

 

Haben Sie Fragen zu IT, Software oder Apps? Wenn Sie Produkte entwickeln oder gerade eine IT-Lösung evaluieren, können wir Ihnen weiterhelfen. Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

 

Swiss Infosec AG; 28.02.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung