Bei der Einführung einer neuen Software im Unternehmen, kommt es oft vor, dass eine Standardsoftware noch auf die spezifischen Bedürfnisse des Unternehmens angepasst werden muss. Wichtig ist sowohl bei der Einführung als auch beim Customizing den Datenschutzbeauftragten rechtzeitig ins Boot zu holen, um das Vorhaben von Anfang an datenschutzrechtlich abzusichern. Dieser Artikel erklärt zunächst das Customizing und gibt anschließend eine Orientierungshilfe, was datenschutzrechtlich zu beachten ist.
Der Inhalt im Überblick
Customizing
Unter dem neudeutschen Begriff „Customizing“ (to customize = anpassen) verbirgt sich nichts anderes als die Anpassung einer Standardsoftware an die Bedürfnisse des jeweiligen Unternehmens. Im Gegensatz zu einer Individualsoftware, die exakt nach den Wünschen des jeweiligen Unternehmens konzipiert ist, wird Standardsoftware für den Massenmarkt bereitgestellt.
Damit möglichst viele Unternehmen mit unterschiedlichen Anforderungen die Standardsoftware nutzen können, werden die meisten Standardapplikationen so konzipiert, dass ein weites Spektrum an Anforderungen abgedeckt wird und sich jedes Unternehmen selbst die für ihn wichtigen Funktionalitäten zusammenstellen kann.
Das Customizing kann neben der Ergänzungsprogrammierung auf zwei Arten erfolgen: als Konfiguration oder als Parametrisierung. Dabei wird der Quellcode der Standardsoftware meist nicht verändert, es wird also nichts programmiert.
Konfiguration
Bei einer Konfiguration stellt sich das Unternehmen die benötigten Funktionen selbst aus den einzelnen Bausteinen (Softwarekomponenten, Modulen) zusammen. Oft stellt nicht nur der originäre Hersteller einzelne Module bereit. Zusätzlich werden spezifische Module für die unterschiedlichsten Branchen durch andere Hersteller angeboten, die durch Schnittstellen miteinander verbunden werden. Ein typisches Beispiel stellen die einzelnen SAP-Module dar.
Parametrisierung
Bei der Parametrisierung werden hingegen Funktionalitäten durch Aktivierung oder Deaktivierung von vorhandenen Parametern ausgewählt. Das Unternehmen erhält also die komplette Standardsoftware mit dem gesamten Funktionsumfang, aus dem es sich die benötigten Funktionen selbst aussucht und diese entsprechend einstellt. Bei einer Änderungen von Daten in einer Kundendatenbank kann z.B. ausgewählt werden, dass der Vorgang zusätzlich protokolliert werden soll.
In der Praxis kommen meist Mischformen der beiden Formen vor.
Datenschutzrechtliche Anforderungen
Der Datenschutzbeauftragte muss rechtzeitig das Vorhaben prüfen, ob das Projekt den Anforderungen des BDSG genügt und ob entsprechende Maßnahmen umgesetzt sind. Als Hilfestellung für den Verantwortlichen haben wir eine Checkliste zur Orientierung zusammengestellt, die je nach der gegebenen Situation angepasst werden muss. Insbesondere folgende Aufgaben sollte der Datenschutzbeauftragte im Auge behalten:
- Prüfung, welche personenbezogene Daten verarbeitet werden
- Prüfung des Zweckes und der Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten
- Prüfung, ob automatisierte Einzelfallentscheidungen vorgenommen werden
- Prüfung von Schnittstellen und Exportfunktionen
- Prüfung einzelner Funktionalitäten / Module (Deaktivierung, falls diese nicht benötigt werden)
- Prüfung der Protokollierung/Logfiles/Reports und ihre Verwendung
- Erstellen eines Protokollierungskonzeptes
- Schulung der Projektbeteiligten auf die Anforderungen des BDSG und der Mitarbeiter bei Anwendung der Software
- Prüfung und Absicherung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG
- Erstellung einer Vorabkontrolle bei Verfahren automatisierter Verarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen, insbesondere bei Verarbeitung besonderer Daten und / oder Daten zur Leistungs- und Verhaltenskontrolle
- Erstellung eines Rollen- und Berechtigungskonzeptes
- Erstellung eines Löschkonzeptes
- Schließung eines Vertrages zur Auftragsdatenverarbeitung mit Drittdienstleister inkl. Prüfung und Absicherung des angemessenen Datenschutzniveaus
- Prüfung des Mitbestimmungsrechtes des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG
- Prüfung der Sperr- und Löschfunktionalitäten
- Datenschutzrechtliche Absicherung bei Migration von personenbezogenen Daten bzw. bei Testläufen mit Echtdaten