Was drauf steht, muss auch drinstecken? Wenn es darum geht, Software datenschutzkonform einzusetzen, muss das nicht stimmen. Eine der größten Schwierigkeiten in Unternehmen ist der Kauf von Software, die in der Anwendung den datenschutzrechtlichen Bestimmungen genügen soll. Wiemer und Arndt führt regelmäßig Prüfungen von Software-Produkte auf ihre Datenschutzqualität durch. Erfahren Sie hier, weshalb eine Software über datenschutzkonforme Eigenschaften verfügen und trotzdem im Gebrauch gegen die DSGVO verstoßen kann.
Was ist eine Software?
Oft ist das Bild davon, was eine Software ist und was sie kann, nur unklar. Deshalb sollten Nutzer sich klar machen, welche Technologien unter den Begriff „Software“ fallen.
Bei einer Software handelt es sich nach unserem Verständnis um jedes Produkt, das mit einem binären Code, beispielsweise auf einem Smartphone oder auf einem Rechner, dargestellt werden kann.
Die folgenden häufig genutzten Produkte sind Software:
- Content-Management-Systeme wie WordPress
- Google Analytics
- Personalmanagementsoftware
Sobald mit der Software personenbezogene Daten verarbeitet werden, kommt der Datenschutz ins Spiel. Aber was bedeutet es, personenbezogene Daten zu verarbeiten?
Vier Aspekte der Datenverarbeitung
Daten werden …
- … erhoben,
- … bearbeitet,
- … gespeichert und
- gelöscht.
Sobald einer oder mehrere dieser Aspekte zutreffen, braucht es eine Datenschutzverwaltung bzw. einen sensiblen datenschutzrechtlichen Einsatz. Dabei spielt es keine Rolle, ob die Daten auf einem lokalen Rechner oder über eine Browsersoftware direkt im Internet verarbeitet werden.
Sind Software-Produkte immer datenschutzkonform gestaltet?
Die Datenschutzgrundverordnung ist seit Mai 2018 ein europaweit geltendes Recht. Deshalb könnten Käufer von Software davon ausgehen, dass Software datenschutzkonform gestaltet ist. Tatsächlich findet sich bei Software-Angeboten häufig der Hinweis, dass ein datenschutzkonformer Einsatz des Produktes möglich ist. Aber bedeutet das, dass er auch gewährleistet wird? Nein.
Praxisbeispiel Content-Management-System
Als Beispiel können wir das Content-Management-System WordPress nehmen. Es ist möglich, WordPress datenschutzkonform zu nutzen, jedoch müssen dabei einige Aspekte betrachtet werden.
-
Benutzerberechtigung im Backend
Wer hat bei der Bearbeitung und Pflege einer WordPress-Seite welche Zugriffsrechte? Welcher Mitarbeiter kann welche Daten einsehen? Allein die Benutzerverwaltung in CMS wie WordPress hält einige Fallstricke in Bezug auf die Datenschutzkonformität bereit.
-
AV-Vertrag mit Hoster
Eine Webseite kann noch so datenschutzkonform angelegt sein: Wenn mit einem Hoster wie etwa Strato oder 1&1 kein AV-Vertrag vereinbart wurde, ist die Nutzung der Domain nicht datenschutzkonform. Dabei gilt es übrigens auch zu beachten, wo der Hoster die Daten speichert, denn im nicht-europäischen Ausland gilt die DSGVO nicht.
-
DSGVO und Plugins
Ein besonderes Augenmerk muss bei der Nutzung von WordPress auf den Einsatz von Plugins gerichtet werden. Es gibt eine große Anzahl an Plugins, mit der sich WordPress-Themes individuell gestalten lassen. So gibt es beispielsweise auch Plugins für Kontaktformulare.
Hierbei werden persönliche Daten wie Name, Adresse, eMail oder ähnliches eingegeben. Liegt keine Einverständniserklärung des Nutzers vor bzw. wird diese nicht abgefragt, ist die Nutzung des Plugins nicht datenschutzkonform. Es muss also jedes einzelne Plugin auf seine Datenschutzkonformität überprüft werden.
Auch wenn der Nutzer keine Information zu seinem Widerspruchsrecht und seinem Recht auf Löschung der Daten, die durch ein Plugin erhoben werden, erhält, ist die Anwendung der Software nicht datenschutzkonform.
-
Tracking mit Google Analytics
Ein sensibler Umgang ist auch bei der Implementierung von Tracking Tools wie Google Analytics wichtig. Es ist grundsätzlich möglich, solche Tools datenschutzkonform zu nutzen, dazu braucht es aber qualifizierte Datenschutz-Manager, die solche Software-Produkte überprüfen und einstellen können. Und auch hier muss ein Widerspruch des Nutzers ermöglicht werden.
Wer ist der Vertragspartner?
Wenn eine Software gekauft wird, gehen die meisten Nutzer davon aus, dass sie bei Installation automatisch datenschutzkonform ist. Das ist nicht der Fall, sie ist nur dazu fähig. Wird eine neue Software im Unternehmen eingeführt, kommt so schnell die Frage auf, wer denn nun für die Datenschutzkonformität verantwortlich ist. Nun könnte man davon ausgehen, dass es der Hersteller ist, denn er hat schließlich die Aussage getroffen, dass die Software datenschutzkonform eingesetzt werden kann.
Wer eine solche Software kaufen möchte, wird in den meisten Fällen sehr bald feststellen, dass der eigentliche Verkauf über ein Systemhaus geht. Dabei handelt es sich um den Dienstleister vor Ort, einen Großhändler, der die Produkte vertreibt und nicht selten auch einrichtet. Der Dienstleister setzt also die Software selbst wie ein Produkt ein und bietet es dem Kunden beispielsweise als betriebsfertige IT-Komplettlösung an.
Datenschutz in allen Arbeitsschritten beachten
Stellen wir uns nun den folgenden Fall vor: Ein Kunde möchte eine Software kaufen und lässt es von einem Datenschutz-Manager wie Widmer und Arndt auf Datenschutzkonformität prüfen. Er geht davon aus, dass es keine Probleme geben wird, denn die Software soll laut Hersteller eine datenschutzkonforme Nutzung ermöglichen.
Bei dieser Software werden personenbezogene Daten verarbeitet. Deshalb muss ein AV-Vertrag aufgesetzt werden – aber nicht mit dem Software-Hersteller, sondern dem Systemhaus als Dienstleister. Dieser ist nun Ansprecher in allen Fragen, auch denen zum Datenschutz.
Zu einem datenschutzkonformen Umgang mit Software gehört ein zertifizierter Server, auf dem die Software läuft. In diesem Fall handelte es sich nach Prüfung aber um einen nicht-zertifizierten Server.
Hier zeigt sich: Auch wenn eine gekaufte Software theoretisch datenschutzkonform eingesetzt werden kann, können doch Fehler in der Einrichtung und Installation geschehen. Es kommt immer auf die konkrete Anwendung und die Konfiguration der einzelnen Module an, die darüber entscheiden, ob eine Software datenschutzkonform arbeitet.
Sie haben Fragen zum datenschutzkonformen Einsatz von Software in Ihrem Unternehmen? Dann kontaktieren Sie uns gern.