Software-Entwicklung mit Data Protection by Design und by Default

Dr. Carlo Piltz

Sobald in bzw. durch eine Software personenbezogene Daten verarbeitet werden sollen, muss frühzeitig sichergestellt werden, dass die Softwarelösung und die durch die Software unterstützten Prozesse die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen.

Personenbezogene Daten sind für Software-Unternehmen und deren Kunden, die die Software beziehen, unverzichtbare Basis der Produktentwicklung und sowohl im B2B- als auch im B2C-Bereich essenzieller Inhalt von verwendeter Software. Doch nach dem Grundsatz der Datenminimierung sollten so wenige Daten wie möglich verarbeitet werden.

Wie kann also die Software-Entwicklung beeinflusst werden, damit die Vorgaben der DSGVO im Nachhinein nicht als ein Compliance-Problem auftauchen?

Die Softwareentwicklung sollte einer Methodik mit Schlüsselaktivitäten folgen, die neben „Security by Design“ auch den Datenschutz mitumfasst und mitdenkt. Nach Art. 25 DSGVO ist der für die Datenverarbeitung Verantwortliche für die wirksame Umsetzung der Datenschutzgrundsätze und den Schutz der Rechte und Freiheiten der betroffenen Personen verantwortlich. Dies setzt voraus, dass er geeignete technische und organisatorische Maßnahmen und die erforderlichen Schutzmaßnahmen trifft.

Um einen wirksamen Datenschutz zum Zeitpunkt der Verarbeitung in einer Software zu gewährleisten, muss der Datenschutz denklogisch schon beim Systemdesign berücksichtigt werden, wobei möglichst datenschutzfreundliche Voreinstellungen verwendet werden müssen. Das verlangen die Grundsätze „Data Protection by Design“ und „Data Protection by Default“, die in Art. 25 und ErwG 78 DSGVO geregelt sind.

In seiner neuen Leitlinie 4/2019 zu Art. 25 DSGVO (PDF) „Data Protection by Design und by Default (DPbDD) “ fordert der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) die frühzeitige Berücksichtigung von DPbDD bei der Planung einer neuen Verarbeitung. Die Leitlinien, die wesentliche Aspekte umfassen, die der Verantwortliche bei der Gestaltung der Verarbeitung berücksichtigen muss, verweisen wiederum auf die Leitlinien der norwegischen Aufsichtsbehörde "Software development with Data Protection by Design and by Default".

Diese Leitlinien, die unter anderem in Zusammenarbeit mit Sicherheitsexperten und Softwareentwicklern im öffentlichen und privaten Sektor erarbeitet wurden, stellen eine methodische Hilfestellung mit Schlüsselaktivitäten dar, die dem Entwickler, Softwarearchitekten, Projektmanager, Tester, Datenschutzbeauftragten und Sicherheitsberater aufzeigt, wie Datenschutzprinzipien, Betroffenenrechte und die Anforderungen der DSGVO in jeden Schritt des Entwicklungsprozesses einbezogen werden sollen.

Die norwegische Aufsichtsbehörde hat in ihrer Leitlinie jede Aktivität im Softwareentwicklungsprozess zusammen mit ihren Empfehlungen zur Durchführung und den Maßnahmen erfasst, die es den Softwareentwicklern ermöglichen, die Anforderungen an den Datenschutz einzubauen.

[Januar 2020]