Die Kunden, die Softwareprogramme kaufen, sind in der Regel für die personenbezogenen Daten, die darin verarbeitet werden, datenschutzrechtlich verantwortlich. Deswegen müssen sie bei der Auswahl dafür sorgen, dass sie die datenschutzrechtlichen Vorgaben einhalten können.
Dazu gehören insbesondere die folgenden Themen:
Umsetzung der Betroffenenrechte
Zu den wichtigsten Betroffenenrechten gehören in dem Zusammenhang:
- Alle Personen, deren Daten in der Software verarbeitet werden, können u.a. vom Verantwortlichen Auskunft darüber verlangen, welche Daten verarbeitet werden, wer Zugriff darauf hat und woher die Daten stammen (wenn sie nicht direkt vom Betroffenen stammen).
Praxistipp: Entsprechende Abfragen datenbankübergreifend automatisieren - Der Software-Kunde muss die gesetzlichen Löschfristen einhalten.
Praxistipp: Schaffung von Möglichkeiten für den Admin, eigene Löschregeln anhand vorgegebener Kriterien zu hinterlegen (z. B. Dateityp, Erstelldatum, Datum der letzten Änderung). Wenn eine Löschung nicht möglich ist, kommt auch eine Anonymisierung infra - Die personenbezogenen Daten in der Software müssen u.U. an einen anderen Anbieter weitergegeben werden können.
Praxistipp: Exportfunktionen einrichten - Die betroffenen Personen können Datenverarbeitungen widersprechen. Dies sollte sich in der Software abbilden lassen.
Praxistipp: Kennzeichnung der entsprechenden Datensätze ermöglichen - Die betroffenen Personen können Einwilligungen erteilen und widerrufen. Dies sollte technisch möglich sein und entsprechend dokumentiert werden.
Praxistipp: Eine Einwilligung muss bestimmte datenschutzrechtliche Voraussetzungen erfüllen. So muss z. B. schon beim Erteilen auf die Widerrufsmöglichkeit hingewiesen werden und die geplanten Datenverarbeitungen müssen genau beschrieben werden. Am besten eignen sich dafür separate Einwilligungsmasken oder Checkboxen mit entsprechenden Textfeldern und einem Link zur Datenschutzerklärung.
Datenschutzfreundliche Voreinstellungen
Der Verantwortliche darf nur diejenigen personenbezogenen Daten verarbeiten, die er wirklich benötigt (Grundsatz der Datenminimierung). Wenn von vorneherein schon viele Freitextfelder als Pflichtfelder in der Software angelegt sind, bekommt der Kunde das Problem, seinen Mitarbeitern erklären zu müssen, dass sie diese nicht nutzen dürfen (oder nur eingeschränkt).
Praxistipp: Freitextfelder sollten standardmäßig nicht enthalten sein und nur auf ausdrücklichen Wunsch des Admins hinzugefügt werden können. Ansonsten sollten standardmäß nur die unbedingt erforderlichen Felder eingeblendet werden - mit der Möglichkeit, Felder als Pflichtfelder oder als optionale Felder zu kennzeichnen. Optionale Datenverarbeitungen (z. B. Nutzertracking) sollten standardmäßig deaktiviert sein.
Angemessene Schutzmaßnahmen
Die personenbezogenen Daten müssen je nach Sensibilität angemessen geschützt werden - durch technische und organisatorische Maßnahmen.
Praxistipp: Die Schutzmaßnahmen am Stand der Technik ausrichten und dem Kunden eine Übersicht zur Verfügung stellen. Hierzu gehört u.a., dass der Serverraum vor unbefugtem Zutritt geschützt wird, die Software selbst soll durch entsprechende Authentifizierung vor unbefugtem Zugriff geschützt werden. Auch die Weitergabekontrolle beim "Transport" von Daten zählt hierzu (z. B. Transportverschlüsselung). Backup- und Recovery-Konzepte sollen eine schnelle Wiederherstellbarkeit sicherstellen.
Auch organisatorische Maßnahmen gehören hierzu wie z. B. die Verpflichtung der Beschäftigten auf die Vertraulichkeit oder der datenschutzrelevante Richtlinien samt Schulungen der Beschäftigten.