Privacy by Design durch Hersteller von Software

Fachbeitrag

Dieser Beitrag beleuchtet die rechtlichen Konsequenzen und vertraglichen Auswirkungen einer fehlenden oder fehlerhaften Umsetzung von Privacy by Design bei der Herstellung der Software. Zudem wird auch auf die Zuständigkeiten für die datenschutzkonforme Technikgestaltung bei Softwareprodukten eingegangen.

Was versteht man unter Privacy by Default und Privacy by Design?

Die datenschutzfreundliche Technikgestaltung und datenschutzfreundliche Voreinstellungen, welche in diesem Zusammenhang oft mit Privacy by Design und Privacy by Default umschrieben wird, sind in Art. 25 DSGVO geregelt. Darin wird gemäß dem in der DSGVO verankerten risikobasierten Ansatz gefordert, angemessene und verhältnismäßige, aber dennoch robuste Maßnahmen bezogen auf den vorliegenden Sachverhalt umzusetzen. Bei der Abwägung über die Maßnahmen im Einzelfall wird eine Folgenabschätzung notwendig, die gegenüber den Aufsichtsbehörden gem. Art. 5 Abs. 2 DSGVO auch dokumentiert sein muss.

Privacy by Default

In Art. 25 Abs. 2 DSGVO ist die Pflicht zu Privacy by Default geregelt, der besagt, dass übertragen auf ein Softwareprodukt, dieses nur eingesetzt werden darf, wenn die Software so ausgelegt ist, dass ohne weitere Aktivität des Nutzers die datenschutzfreundlichsten Einstellungen eingerichtet sind. Damit soll erreicht werden, dass nur die für den jeweiligen Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden und dem Datenminimierungsgrundsatz Rechnung getragen wird.

Privacy by Design

Die datenschutzfreundliche Technikgestaltung (Privacy by Design) wiederum ist in Art. 25 Abs. 1 DSGVO geregelt. Damit soll erreicht werden, dass auf den Einzelfall bezogen, risikobasiert, effektive und angemessene technische sowie organisatorische Maßnahmen ergriffen werden. Zum einen sollen die Maßnahmen die Einhaltung der wesentlichen datenschutzrechtlichen Grundsätze aus Art. 5 Abs. 1 DSGVO sicherstellen, wie:

  • Zweckbindung
  • Rechtmäßigkeit
  • Zweckbindung
  • Datenminimierung
  • Transparenz
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Treu und Glauben
  • Richtigkeit

Zum anderen sollen die Maßnahmen aber auch hinreichende Garantien für die Rechte der Betroffenen und die Einhaltung der Pflichten aus der DSGVO enthalten. Die getroffenen Maßnahmen müssen die Einhaltung der Grundsätze aus Art. 5, 24 DSGVO garantieren. Es reicht, wenn die Technikgestaltung effektiv ist und im Wege einer schriftlichen Dokumentation gem. Art. 5 Abs. 2 DSGVO nachgewiesen werden kann, getreu dem alten Grundsatz: „wer schreibt, der bleibt“. Dies wird umso wichtiger, als bereits mit der Bußgeldfestsetzung gegen den VfB Stuttgart offenkundig wird, dass Art. 5 Abs. 2 DSGVO aktuell durchaus von den Aufsichtsbehörden für ein Bußgeld herangezogen wird.

Wann sollte die datenschutzfreundliche Technikgestaltung berücksichtigt werden?

Sinnvollerweise wird die Datenschutzfreundlichkeit bereits zu einem sehr frühen Zeitpunkt bei der Herstellung von Software berücksichtigt. Art. 25 DSGVO schreibt hierzu, dass die Schutzmaßnahmen bei der Festlegung der Mittel, also bereits bei der Entwicklung und der Konzeption der Software sowie zum Zeitpunkt der Verarbeitung, will heißen, über den gesamten Lebenszyklus des Produkts hinweg, bedacht und implementiert werden sollte. Gerade bei der Softwareentwicklung sollten diese vorgenannten Grundsätze bei jedem Update gleichfalls berücksichtigt werden.

Wer ist für die DSGVO-konforme Technikgestaltung zuständig?

Nachdem bereits bei der Konzeption und Planung der Software datenschutzfreundliche Technikgestaltung mit einbezogen werden soll, könnte man abstellend auf EG 78 S. 5 für deren Umsetzung auch die Hersteller/Programmierer in der Verantwortung sehen. Allerdings spricht der Wortlaut in dem Erwägungsgrund in Satz 5 nur von

„sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden.“

Der Art. 25 DSGVO hingegen stellt, sowohl in Abs. 1, als auch in Abs. 2 ausdrücklich auf den Verantwortlichen ab. Der Softwareentwickler, also der Hersteller, ist auch dann nicht Adressat der DSGVO und unterliegt damit auch dann nicht den Verpflichtungen aus Art. 25 DSGVO, wenn eine nicht datenschutzkonforme Software als Mangel angesehen würde und dem Entwickler vertraglich direkt entgegengehalten werden könnte.

Der Hersteller würde nur dann zum Verantwortlichen im Sinne der DSGVO werden, wenn er die erstellte Software im Sinne einer Outsourcing-Lösung oder eines SaaS-Angebotes anbietet und es in diesem Zusammenhang zu einer gemeinsamen Verantwortlichkeit mit dem Vertragspartner, dem Softwareanwender, im Sinne von Art. 26 DSGVO käme.

Daneben könnte mittelbar über Querverweise zu Art. 32 DSGVO auch noch der Auftragsverarbeiter datenschutzrechtlich zuständig für die Umsetzung der datenschutzfreundlichen Technikgestaltung sein. Letztendlich bleibt aber auch im Auftragsverarbeitungsverhältnis der Verantwortliche maßgeblich für die Umsetzung der Privacy by Design zuständig.

Datenschutzrechtlich verantwortlich und zuständig für die DSGVO-konforme Technikgestaltung bleibt somit oftmals der Softwareanwender.

Welche rechtlichen Konsequenzen treffen den Softwareentwickler?

Wenn der Softwareanwender verantwortlich ist, kann der Softwarehersteller dann im rechtsfreien Raum agieren, quasi tun und lassen, was er will? Nein, ganz so ist es nicht, denn es gibt

  • unter Umständen exakte vertragliche Vereinbarungen zwischen Anwender und Softwarehersteller, d.h. vereinbarte Standards oder eine vertraglich vorausgesetzte Verwendung;
  • vorvertragliche Aufklärungspflichten;
  • Bewerbung der Software mit DSGVO-Konformität.

Eine Software, mit der üblicherweise personenbezogene Daten verarbeitet werden, muss daher durchaus den Datenschutz berücksichtigen, weil diese ansonsten nicht für den vertraglich vorausgesetzten Zweck verwendbar, ergo mangelhaft, ist. Mit anderen Worten aus einer nicht datenschutzkonformen Software können gegen den Hersteller durchaus Schadensersatzforderungen oder Gewährleistungsansprüche entstehen, je nachdem, ob es sich um einen Softwarekauf, Werkvertrag oder Miete handelt.

Es reicht jedoch auch nicht aus, dass die Software ursprünglich den Anforderungen genügte. Ergibt sich im Laufe des Wartungsvertrages eine gesetzliche Änderung, ist diese bei den Updates durch den Softwarehersteller jeweils mit zu berücksichtigen und umzusetzen.

Mangelhaft sind auch Cloudlösungen die Sozialdaten in Drittstaaten verarbeiten, denn Sozialdaten dürfen nach § 80 Abs. 2 SGB X nur

  • innerhalb der EU
  • in einem nach § 35 Abs. 7 SGB I gleichgestellten Staat
  • in einem Staat, für den ein Angemessenheitsbeschluss vorliegt

verarbeitet werden. Eine Software, die derartige Datenverarbeitungen anbietet, ist für den Verantwortlichen nicht nutzbar, weil er seiner datenschutzrechtlichen Verpflichtung nicht nachkommen kann. Um die Softwareanwender bei ihren Verhandlungen mit den monopolartigen großen, oftmals US-Anbietern, Unterstützung zukommen zu lassen, wurde in dem Evaluierungsbericht des LfDI BW vom 17.12.2019 angeregt auch die Softwarehersteller in die Verantwortung bezogen auf die DSGVO einzubeziehen. Es bleibt abzuwarten, ob es dazu kommt, gerade aber im Hinblick auf die technische Weiterentwicklung zur KI wäre es wünschenswert, wenn nicht nur der Softwareanwender, sondern auch der Softwarehersteller als Adressat des Art. 25 DSGVO angesehen würde. Schließlich kann oftmals der Anwender die Möglichkeiten der Software gar nicht überblicken.

Welche Vorkehrungen sollte der Softwarehersteller treffen und was kann man erwarten?

Es muss allen Beteiligten klar sein, dass eine Software, die einem bestimmten Verwendungszweck dienen soll und mit der personenbezogene Daten verarbeitet werden, folgende elementare Technikeinstellungen aufweisen muss:

  • Die Möglichkeit Einwilligungen inkl. deren Widerruf entsprechend der Vorgaben aus der DSGVO zu erfassen und die Daten zu löschen.
  • Das Erfassen von Widersprüchen.
  • Die Gewährung von Datenkopien und Datenübertragbarkeit.
  • Die Zurverfügungstellung von Betroffeneninformationen für die Software, damit diese von dem Softwareanwender für die Datenschutzerklärung oder andere eigene Betroffeneninformationen verwendet werden können.
  • Eine Dokumentation, an welchen Stellen die personenbezogenen Daten gespeichert und archiviert werden.
  • Eine Löschfunktion für die verarbeiteten personenbezogenen Daten über alle Bereiche hinweg (inkl. Archive) zusammen mit der Möglichkeit dies zu automatisieren inkl. Freigabefunktionalitäten.
  • Ein Rollen- und Berechtigungskonzept.
  • Die Möglichkeit Daten zu pseudonymisieren und zu anonymisieren.

Einkäufer, IT-Verantwortliche und Softwareentwickler sollten gleichermaßen darauf achten, dass die Software den oben angeführten Mindestanforderungen entspricht und Dokumentationen nach Art. 5 Abs. 2 DSGVO vorgenommen werden können, um der Rechenschaftspflicht nachkommen und einem Bußgeld entgehen zu können. Unternehmen sollten diese Anforderungen immer auch in den Vertrag miteinbeziehen und darin ggf. noch weitere spezifische datenschutzrechtliche Anforderungen definieren, um vertraglich besser abgesichert zu sein. Softwarehersteller sollten im Zuge Ihrer Wettbewerbsfähigkeit darauf achten, DSGVO-konforme Produkte zu entwickeln und zu vertreiben.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.