In unserem Artikel zur Einführung von Software (Teil 1) sind wir zunächst auf die gesetzlichen Anforderungen bei der Einführung und Nutzung neuer Anwendungen im Unternehmen eingegangen – darüber hinaus hat eine solche Softwareeinführung jedoch weitere Konsequenzen, was die Erfüllung der datenschutzrechtlichen Anforderungen betrifft.
Verarbeitungstätigkeiten, Auftragsverarbeitung – welche Software
Die in unserem Artikel genannten gesetzlichen Anforderungen gelten selbstverständlich nur, sofern personenbezogene Daten mit der Software verarbeitet werden sollen. Zwar gibt es Software, die gänzlich ohne solche Daten auskommt, diese stellt aber eher die Ausnahme als die Regel dar. Denn auch nur indirekt identifizierende Informationen wie IDs und IP-Adressen sind in der überwiegenden Zahl der Fälle personenbezogene Daten.
Bei der Auswahl einer Software mit Verarbeitung personenbezogener Daten sollte zunächst absolut klar sein, wofür diese angeschafft wird (Zweck). Denn der Verarbeitungszweck setzt den Maßstab dafür, welche Verarbeitungsvorgänge zulässig sind, welche Daten dabei verarbeitet werden dürfen, wie lange diese aufzubewahren sind usw. Eine der ersten Fragen an unsere Mandantinnen ist deshalb üblicherweise „was wollt ihr denn damit machen“.
welcher Softwareanbieter
Weiter kommt der Rolle des Softwareanbieters bei der Prüfung eine maßgebliche Bedeutung zu. Hier bestehen insbesondere Unterschiede danach, ob eine Software „On Premise“ oder in einer „Cloud“ betrieben wird und insbesondere, ob der Anbieter dabei – und sei es nur anlassbezogen für Wartung oder Support – personenbezogene Daten verarbeitet. Verarbeitet der Anbieter personenbezogene Daten im Auftrag unserer Mandantinnen, beginnt eine vertiefte datenschutzrechtliche Prüfung. Dabei schauen wir uns insbesondere den nach Art. 28 Abs. 3 DSGVO abzuschließenden Auftragsverarbeitungsvertrag des Anbieters an und prüfen ihn auf Vollständigkeit. Zudem klären wir den Ort der Datenverarbeitung – wird etwa 24-Stunden-Support nach dem „Follow-the-Sun-Modell“ angeboten? Dann ist das zwar eine feine Sache, was die Verfügbarkeit des Supports angeht, bedeutet aus Datenschutzsicht aber fast zwangsläufig eine Übermittlung personenbezogener Daten in (ggf. auch „unsichere“) Drittstaaten. In solchen Fällen muss geprüft werden, ob die sog. Drittlandübermittlung rechtlich zulässig ist.
Natürlich schauen wir uns auch an, wie ein Softwareanbieter technisch aufgestellt ist. Verfügt er beispielsweise über relevante Zertifizierungen (ISO/IEC 27001, SOC I, SOC II etc.) und kann er ausreichende technische und organisatorische Maßnahmen nach Art. 32 DSGVO vorweisen?
welches Vorgehen
All diese Prüfungsschritte – auch abhängig von Umfang und Wichtigkeit der Software für das Unternehmen – können auch unterschiedlich ausführlich ausfallen. In jedem Fall werden dafür aber Zeit und Ressourcen benötigt. Denn nach unserer Erfahrung liegen so gut wie nie alle erforderlichen Informationen sofort vor. Wir stellen Rückfragen an unsere Mandantinnen welche diese häufig zumindest teilweise an den Softwareanbieter weitergeben müssen. Auch deshalb sollte der Datenschutz bereits bei der Auswahl von Software hinzugezogen werden – und nicht erst kurz vor Vertragsschluss oder Implementierung.
Eine Empfehlung, die wir hier gerne aussprechen, ist: integrieren Sie die oben beschriebenen Schritte in Ihren regulären Einkaufsprozess. Ein solches Vorgehen existiert in den meisten Unternehmen bereits als gelebter Prozess. Einen Schritt „Hinzuziehung des Datenschutzbeauftragten“ möglichst zu Beginn des Prozesses einzufügen, stellt keinen großen Aufwand dar, hat aber einen großen Effekt was die Datenschutzkonformität des Unternehmens betrifft.