4 wichtige Punkte zum Datenschutz beim Softwareeinkauf
Von Alexander Schneider
Beim Einkauf von Software gibt es immer viele Dinge zu beachten. Gerne wird daher der Datenschutz außen vor gelassen – gerade weil es erstmal ein undurchsichtiges und kompliziertes Thema zu sein scheint.
Doch das kann zu einigen Problemen führen. Wenn erst nach der Einführung einer Software festgestellt wird, dass diese nicht den Ansprüchen an geltende Datenschutzvorschriften genügt, dann wird es teuer. Mindestens der noch laufende Vertrag über die Software ist dann in den Sand gesetztes Geld.
Damit das nicht passiert, haben wir vier Punkte vorbereitet, die beachtet werden können, um das Thema besser greifbar zu machen und damit der Datenschutz nicht zu kurz kommt, wenn das nächste Mal Software angeschafft wird.
1. Verständnis der Datenschutz-Grundverordnung (DSGVO) und anderer relevanter Gesetze
Die DSGVO ist die in Deutschland geltende Verordnung, welche die meisten Datenschutzbelange regelt. Für Laien ist es oft nicht einfach diese zu durchblicken, und vor einer finalen Kaufentscheidung sollte auch ein Experte mal einen Blick auf die anzuschaffende Software werfen. Allerdings gibt es ein paar Grundregeln, mit denen eine Vorauswahl getroffen werden kann.
Personenbezogene Daten
Eine Sache, die an der DSGVO oft missverstanden wird: In der Regel wird nur die Verarbeitung und Speicherung personenbezogener Daten reguliert. Wenn es sich um anonymisierte Daten handelt, wie zum Beispiel aggregierte Klickzahlen, oder teile einer IP-Adresse dürfen diese ohne besondere Maßnahmen verarbeitet werden, solange keine Rückschlüsse auf einzelne Personen getroffen werden können.
Berechtigtes Interesse
Die DSGVO sieht vor, dass man auch persönliche Daten ohne gesonderte Erlaubnis verarbeiten kann, wenn man als Unternehmen ein berechtigtes Interesse daran hat. Das berechtigte Interesse klingt natürlich etwas schwammig, aber wenn man die Daten in einem speziellen Fall unbedingt braucht, um die Funktionalität des Produktes sicherzustellen, dann darf man diese Daten auch verarbeiten. Ein Beispiel ist zum Beispiel die IP-Adresse. Ohne diese kann keine Server-Verbindung aufgebaut werden.
Amerikanische Unternehmen und Serverstandorte
Technisch gesehen ist es für viele amerikanische Unternehmen oder Unternehmen mit Servern in den USA nicht möglich, die Einhaltung der DSGVO zu gewährleisten. Durch den Patriot Act und dessen Nachfolgegesetze dürfen bestimmte amerikanische Behörden auf die Daten von amerikanischen Unternehmen zugreifen, ohne die Inhaber dieser Daten informieren zu müssen.
Amerikanische Unternehmen und Serverstandorte sind nicht wirklich einfach mit der DSGVO vereinbar
Auftragsverarbeitungsvertrag (AV-Vertrag)
Unter einem AV-Vertrag versteht man einen Vertrag mit einem Dienstleister, der regelt, wie mit den Kundendaten von dritten umgegangen wird. Als Beispiel: Der AV-Vertrag den Kunden mit schnaq schließen können regelt wie die Kundendaten der schnaq Kunden gespeichert, verarbeitet und gelöscht werden. Damit können sich die schnaq Kunden absichern und sicherstellen, dass die Daten von deren Kunden nicht missbräuchlich behandelt werden.
Jeder seriöse Anbieter von Software sollte, falls nötig, das Abschließen von einem AV-Vertrag anbieten.
Andere Regularien
Es gibt natürlich auch Regularien außerhalb der DSGVO, diese sind in der Regel aber weniger strikt und sollten dann entsprechend von Experten geprüft werden.
2. Auswahl von Anbietern mit starkem Datenschutzfokus
Es gibt in jedem Softwaresegment inzwischen etliche Anbieter, die in der Regel auch sehr ähnliche Funktionalitäten anbieten. Deshalb bietet es sich an, dass bei der Auswahl von Anbietern ein besonderer Fokus auf diejenigen mit starkem Datenschutz gelegt wird.
Was sind Hinweise auf einen starken Datenschutzfokus?
In der Regel bewerben Anbieter, die einen starken Datenschutzfokus haben, das auch. Zudem finden sich auch schnell auf der Webseite Informationen zu der Umsetzung der DSGVO, anderer Datenschutzrichtlinie und die Möglichkeit eines AV-Vertrages. Mit kurzer Suche in der Datenschutzrichtlinie kann man auch viele Anbieter direkt aus der engeren Auswahl nehmen, wenn man sieht, dass Daten für kommerzielle Zwecke mit Dritten geteilt werden. Nutzer:innen sollten zudem bei Nutzung der Software auch darauf hingewiesen werden, wo sie mehr Informationen zu der Datennutzung finden können.
Wo finde ich Software mit Datenschutzfokus?
Zum einen mit einer simplen Suche nach der Softwarekategorie und dem Stichwort Datenschutz. Zum anderen kann man sich bei Anbietern wie G2 oder Capterra oder GetApp umschauen. In der Regel kann man bei diesen auch nach Herstellerland, Serverstandort oder eben anderen relevanten Kriterien schonmal vorfiltern. Oft gibt es auch kuratierte Listen. Wir haben zum Beispiel mal eine Liste von Open Source Alternativen für öffentliche Einrichtungen veröffentlicht.
3. Compliance und Sicherheitsfeatures
Zwei Punkte sollten ebenfalls bei jeder datenschutzkonformen Software sichergestellt sein: Sicherheitsfeatures, um Datenmissbrauch zu verhindern und Compliance.
Sicherheitsfeatures
Sicherheitsfeatures stellen in der Regel sicher, dass persönliche Daten von einer Person nicht einfach von anderen Nutzer:innen oder sogar Dritten eingesehen oder manipuliert werden können. In der Regel sollte die Software nur autorisierten Administratoren und Verwaltern auf das nötigste eingeschränkte Rechte geben, um ihrem Job nachzugehen.
Zudem sollte die Software auch darauf achten, dass zum Beispiel nicht Standardmäßig Dinge mit anderen Nutzer:innen geteilt werden, sondern nur, wenn es optional von den Nutzer:innen gewünscht ist.
Es ist wichtig, dass die Software auch entsprechende Features bereitstellt, um die Datensicherheit zu gewährleisten
Compliance
Das Unternehmen, welches die Software herstellt und die Server wartet, sollte Compliance-Regelung haben, um zu verhindern, dass unautorisierte Personen Zugriff auf Kundendaten bekommen. Wenn ein Unternehmen solche Prozesse hat, sollte es in der Regel kein Problem sein, eine kurze Auflistung dieser anzufragen.
4. Sensibilisierung der Mitarbeiter:innen
Alle technischen Maßnahmen können am Ende des Tages nicht verhindern, dass falsch mit Daten umgegangen wird, wenn die Mitarbeiter:innen, welche die Software einsetzen, kein Verständnis für die Materie haben. Es empfiehlt sich also nach Einkauf der Software Schulungen mit den Nutzer:innen durchzuführen, um sie dafür zu sensibilisieren, worauf sie achten sollten.
Manchmal bieten die Hersteller der Software solche Schulungen auch direkt mit an, oder sogar kostenfrei als Paket mit bestimmten Abonnements. Nur mit klaren Strategien zur Nutzung von datenschutzkonformer Software schafft man einen klaren Kulturwandel im Unternehmen.
Zusammenfassung
Zusammenfassend sollte man also folgendes beachten:
- Beim Einkauf auf DSGVO achten und sich dabei insbesondere Gedanken um die Verarbeitung personenbezogener Daten und Serverstandorte machen.
- Anbieter auswählen, die offen einen starken Datenschutzfokus haben
- Darauf achten, dass Sicherheitsfeatures in der Software verbaut sind und Compliance Prozesse existieren
- Mitarbeiter:innen im datenschutzkonformen Umgang mit der Software schulen