Datenschutz & DSGVO bei individueller Softwareentwicklung: Was Auftraggeber wissen müssen
Organisationen, die individuelle Softwarelösungen in Auftrag geben, tragen die vollständige datenschutzrechtliche Verantwortung – nicht das beauftragte Entwicklungsunternehmen. Diese Verantwortungszuschreibung wird von einer erheblichen Anzahl der Auftraggeber in ihrer Tragweite unterschätzt. Dabei können Compliance-Defizite Sanktionen in Millionenhöhe nach sich ziehen. Der vorliegende Beitrag analysiert, welche Anforderungen der DSGVO bei der Entwicklung maßgeschneiderter Softwarelösungen zur Anwendung gelangen und wie Unternehmen deren systematische Implementierung sicherstellen können.
Die vielfach unterschätzte Verantwortung des Auftraggebers
Beauftragen Unternehmen einen externen Dienstleister mit der Softwareentwicklung, herrscht vielfach die irrige Annahme vor, die datenschutzrechtliche Verantwortung liege beim beauftragten Entwicklungspartner. Diese Fehleinschätzung kann jedoch erhebliche finanzielle Konsequenzen nach sich ziehen. Die DSGVO lässt diesbezüglich keinen Interpretationsspielraum: Der Auftraggeber fungiert als sogenannter „Verantwortlicher" im Sinne von Art. 4 Nr. 7 DSGVO und ist somit diejenige Instanz, die über Zweck und Mittel der Datenverarbeitung entscheidet – und folglich die Pflicht trägt, die Einhaltung sämtlicher datenschutzrechtlicher Vorgaben sicherzustellen.
In der praktischen Konsequenz bedeutet dies: Wer individuelle Softwareentwicklung in Auftrag gibt, muss bereits in der Konzeptionsphase präzise bestimmen, welche personenbezogenen Daten die Software verarbeiten wird, auf welcher Rechtsgrundlage diese Verarbeitung erfolgt und welche technischen Schutzmaßnahmen zu implementieren sind.
In der praktischen Konsequenz bedeutet dies: Wer individuelle Softwareentwicklung in Auftrag gibt, muss bereits in der Konzeptionsphase präzise bestimmen, welche personenbezogenen Daten die Software verarbeiten wird, auf welcher Rechtsgrundlage diese Verarbeitung erfolgt und welche technischen Schutzmaßnahmen zu implementieren sind.
Privacy by Design: Datenschutz als integraler Bestandteil des Entwicklungsprozesses
Art. 25 DSGVO normiert den Grundsatz des „Datenschutzes durch Technikgestaltung" – fachterminologisch als Privacy by Design bezeichnet. Diese regulatorische Anforderung impliziert, dass datenschutzrelevante Aspekte nicht nachträglich in eine bereits fertiggestellte Software integriert werden dürfen, sondern von Beginn an als konstitutives Element in die Systemarchitektur einzubetten sind.
Für maßgeschneiderte Softwarelösungen resultieren hieraus drei fundamentale Gestaltungsprinzipien:
Datenminimierung auf Architekturebene
Die Software darf ausschließlich diejenigen personenbezogenen Daten erfassen und persistieren, die für den definierten Verarbeitungszweck tatsächlich erforderlich sind. Ein Kundenverwaltungssystem, das standardmäßig Geburtsdatum, Familienstand und Religionszugehörigkeit erhebt, obwohl lediglich Name und Kontaktdaten benötigt werden, steht in direktem Widerspruch zu diesem Prinzip.
Datenschutzfreundliche Voreinstellungen (Privacy by Default)
Sämtliche Standardkonfigurationen der Software müssen die datenschutzkonformste Option abbilden. Nutzerinnen und Nutzer müssen aktiv einwilligen, bevor zusätzliche Daten erhoben oder an Dritte weitergegeben werden – nicht umgekehrt.
Technische Löschmechanismen
Die Software muss über die Fähigkeit verfügen, personenbezogene Daten systematisch und vollständig zu eliminieren, sobald die gesetzliche Aufbewahrungsfrist abgelaufen ist oder eine betroffene Person ihr Recht auf Löschung gemäß Art. 17 DSGVO geltend macht. Der Fall der Deutschen Wohnen illustriert die Tragweite dieses Erfordernisses: Das Unternehmen wurde 2019 mit einem Bußgeld in Höhe von 14,5 Millionen Euro sanktioniert, da das eingesetzte System keinerlei Löschfunktionalität vorsah.
Von entscheidender Bedeutung ist dabei: Die rechtliche Pflicht zur Umsetzung von Privacy by Design obliegt dem Verantwortlichen – mithin dem Auftraggeber – und nicht dem Softwareentwickler. Wer diese Anforderungen nicht bereits im Pflichtenheft spezifiziert, kann sich zu einem späteren Zeitpunkt nicht auf Unkenntnis berufen.
Für maßgeschneiderte Softwarelösungen resultieren hieraus drei fundamentale Gestaltungsprinzipien:
Datenminimierung auf Architekturebene
Die Software darf ausschließlich diejenigen personenbezogenen Daten erfassen und persistieren, die für den definierten Verarbeitungszweck tatsächlich erforderlich sind. Ein Kundenverwaltungssystem, das standardmäßig Geburtsdatum, Familienstand und Religionszugehörigkeit erhebt, obwohl lediglich Name und Kontaktdaten benötigt werden, steht in direktem Widerspruch zu diesem Prinzip.
Datenschutzfreundliche Voreinstellungen (Privacy by Default)
Sämtliche Standardkonfigurationen der Software müssen die datenschutzkonformste Option abbilden. Nutzerinnen und Nutzer müssen aktiv einwilligen, bevor zusätzliche Daten erhoben oder an Dritte weitergegeben werden – nicht umgekehrt.
Technische Löschmechanismen
Die Software muss über die Fähigkeit verfügen, personenbezogene Daten systematisch und vollständig zu eliminieren, sobald die gesetzliche Aufbewahrungsfrist abgelaufen ist oder eine betroffene Person ihr Recht auf Löschung gemäß Art. 17 DSGVO geltend macht. Der Fall der Deutschen Wohnen illustriert die Tragweite dieses Erfordernisses: Das Unternehmen wurde 2019 mit einem Bußgeld in Höhe von 14,5 Millionen Euro sanktioniert, da das eingesetzte System keinerlei Löschfunktionalität vorsah.
Von entscheidender Bedeutung ist dabei: Die rechtliche Pflicht zur Umsetzung von Privacy by Design obliegt dem Verantwortlichen – mithin dem Auftraggeber – und nicht dem Softwareentwickler. Wer diese Anforderungen nicht bereits im Pflichtenheft spezifiziert, kann sich zu einem späteren Zeitpunkt nicht auf Unkenntnis berufen.
Der Auftragsverarbeitungsvertrag: eine regulatorische Notwendigkeit
Sobald ein externer Dienstleister im Rahmen der individuellen Softwareentwicklung Zugang zu personenbezogenen Daten erhält – sei es durch die Verwendung von Testdaten, den Zugriff auf Produktivsysteme oder den Betrieb einer Entwicklungsumgebung – liegt in der Regel eine Auftragsverarbeitung gemäß Art. 28 DSGVO vor.
Der Abschluss eines Auftragsverarbeitungsvertrags (AVV) ist in dieser Konstellation gesetzlich zwingend vorgeschrieben. Dieser muss mindestens die folgenden Regelungsgegenstände umfassen:
• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Datenverarbeitung
• Kategorien der betroffenen Personen sowie der verarbeiteten Daten
• Technische und organisatorische Maßnahmen des Dienstleisters
• Pflichten und Rechte des Auftraggebers
• Regelungen zur Unterauftragsvergabe
Ein in der Praxis wiederkehrendes Defizit verdient besondere Beachtung: Zahlreiche Unternehmen schließen zwar formal einen AVV ab, versäumen es jedoch, die tatsächliche Implementierung angemessener technischer Schutzmaßnahmen durch den Entwicklungspartner zu verifizieren. Art. 28 Abs. 1 DSGVO verpflichtet den Auftraggeber indes ausdrücklich, sich davon zu überzeugen, dass der Auftragsverarbeiter „hinreichende Garantien" für die Einhaltung der datenschutzrechtlichen Anforderungen bietet.
Der Abschluss eines Auftragsverarbeitungsvertrags (AVV) ist in dieser Konstellation gesetzlich zwingend vorgeschrieben. Dieser muss mindestens die folgenden Regelungsgegenstände umfassen:
• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Datenverarbeitung
• Kategorien der betroffenen Personen sowie der verarbeiteten Daten
• Technische und organisatorische Maßnahmen des Dienstleisters
• Pflichten und Rechte des Auftraggebers
• Regelungen zur Unterauftragsvergabe
Ein in der Praxis wiederkehrendes Defizit verdient besondere Beachtung: Zahlreiche Unternehmen schließen zwar formal einen AVV ab, versäumen es jedoch, die tatsächliche Implementierung angemessener technischer Schutzmaßnahmen durch den Entwicklungspartner zu verifizieren. Art. 28 Abs. 1 DSGVO verpflichtet den Auftraggeber indes ausdrücklich, sich davon zu überzeugen, dass der Auftragsverarbeiter „hinreichende Garantien" für die Einhaltung der datenschutzrechtlichen Anforderungen bietet.
Testdaten: ein vielfach übersehenes Risikopotenzial
Im Kontext der individuellen Softwareentwicklung ist die Verwendung realer Kundendaten als Testdaten eine weit verbreitete Praxis – ein Vorgehen, das aus datenschutzrechtlicher Perspektive als hochgradig problematisch einzustufen ist. Produktivdaten in Test- und Entwicklungsumgebungen unterliegen denselben regulatorischen Anforderungen der DSGVO wie im operativen Livebetrieb.
Auftraggeber sollten daher vertraglich verbindlich festlegen, dass ausschließlich anonymisierte oder synthetische Testdaten zum Einsatz gelangen. Sofern die Verwendung realer Daten unvermeidbar ist, müssen Pseudonymisierung, restriktive Zugriffskontrollen sowie eine strikte Zweckbindung sichergestellt werden.
Auftraggeber sollten daher vertraglich verbindlich festlegen, dass ausschließlich anonymisierte oder synthetische Testdaten zum Einsatz gelangen. Sofern die Verwendung realer Daten unvermeidbar ist, müssen Pseudonymisierung, restriktive Zugriffskontrollen sowie eine strikte Zweckbindung sichergestellt werden.
Datenschutz-Folgenabschätzung bei der Verarbeitung sensibler Datenkategorien
Sofern die geplante Software besondere Kategorien personenbezogener Daten verarbeitet – etwa Gesundheitsdaten, biometrische Merkmale oder Informationen zur ethnischen Herkunft – ist der Auftraggeber gemäß Art. 35 DSGVO zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) verpflichtet. Diese muss bereits vor Aufnahme der Entwicklungstätigkeit abgeschlossen und lückenlos dokumentiert sein.
Die DSFA umfasst eine systematische Evaluierung der geplanten Verarbeitungsvorgänge, eine fundierte Analyse der Risiken für die Rechte und Freiheiten betroffener Personen sowie die Definition konkreter Abhilfemaßnahmen. Für individuelle Softwarelösungen im Gesundheitswesen, in der Personalverwaltung oder im Finanzsektor ist ihre Durchführung nahezu ausnahmslos obligatorisch.
Die DSFA umfasst eine systematische Evaluierung der geplanten Verarbeitungsvorgänge, eine fundierte Analyse der Risiken für die Rechte und Freiheiten betroffener Personen sowie die Definition konkreter Abhilfemaßnahmen. Für individuelle Softwarelösungen im Gesundheitswesen, in der Personalverwaltung oder im Finanzsektor ist ihre Durchführung nahezu ausnahmslos obligatorisch.
Bußgeldrisiken: die Tragweite potenzieller Sanktionen
Die finanziellen Konsequenzen von DSGVO-Verstößen sind von erheblicher Dimension. Verstöße gegen die Grundsätze von Privacy by Design und Privacy by Default können gemäß Art. 83 Abs. 4 DSGVO mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes sanktioniert werden. Verstöße gegen die fundamentalen Grundsätze der Datenverarbeitung können sogar Sanktionen von bis zu 20 Millionen Euro oder 4 Prozent des globalen Jahresumsatzes nach sich ziehen.
Die Bußgeldpraxis europäischer Datenschutzaufsichtsbehörden verdeutlicht, dass diese Sanktionsspielräume in zunehmendem Maße ausgeschöpft werden. So wurde Meta mit einer Sanktion in Höhe von 1,2 Milliarden Euro belegt, LinkedIn mit 310 Millionen Euro. Auch mittelständische Unternehmen sind von dieser Entwicklung keineswegs ausgenommen – die Aufsichtsbehörden differenzieren ihre Sanktionierung nach Unternehmensgröße, nicht nach Branchenzugehörigkeit.
Die Bußgeldpraxis europäischer Datenschutzaufsichtsbehörden verdeutlicht, dass diese Sanktionsspielräume in zunehmendem Maße ausgeschöpft werden. So wurde Meta mit einer Sanktion in Höhe von 1,2 Milliarden Euro belegt, LinkedIn mit 310 Millionen Euro. Auch mittelständische Unternehmen sind von dieser Entwicklung keineswegs ausgenommen – die Aufsichtsbehörden differenzieren ihre Sanktionierung nach Unternehmensgröße, nicht nach Branchenzugehörigkeit.
Fünf Handlungsempfehlungen für Auftraggeber
Unternehmen, die individuelle Softwarelösungen in Auftrag geben, sollten die folgenden Maßnahmen systematisch implementieren:
Datenschutzanforderungen in das Pflichtenheft integrieren
Bereits die Anforderungsdokumentation muss präzise spezifizieren, welche personenbezogenen Daten verarbeitet werden, welche Rechtsgrundlagen Anwendung finden und welche technischen Schutzmaßnahmen die Software abbilden muss. Datenschutz ist nicht als nachgelagerte Compliance-Aufgabe zu betrachten, sondern als funktionales Designkriterium von Beginn an zu verankern.
Den Auftragsverarbeitungsvertrag vor Projektinitiierung abschließen
Der AVV muss vor dem erstmaligen Datenzugriff des Entwicklungspartners rechtswirksam vereinbart sein. Standardisierte Vertragsvorlagen erweisen sich häufig als unzureichend – der Vertrag sollte auf die spezifischen Gegebenheiten der maßgeschneiderten Softwarelösung zugeschnitten werden.
Ein Testdatenkonzept verbindlich definieren
Es ist vertraglich festzulegen, dass keine Echtdaten in Entwicklungs- und Testumgebungen Verwendung finden. Sofern dies nicht realisierbar ist, müssen Pseudonymisierungsmaßnahmen und Zugriffsbeschränkungen dokumentiert und einer regelmäßigen Überprüfung unterzogen werden.
Betroffenenrechte technisch abbilden
Die Software muss die Rechte auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch technisch vollumfänglich unterstützen. Diese Anforderungen sind als verbindliche Abnahmekriterien zu definieren.
Den Entwicklungspartner einer sorgfältigen Evaluation unterziehen
Vor Vertragsschluss ist zu prüfen, ob der Entwicklungspartner über nachweisliche Erfahrung in DSGVO-konformer Softwareentwicklung verfügt, dokumentierte Sicherheitsmaßnahmen vorweisen kann und die vertragliche Verpflichtung auf die Einhaltung konkreter Standards akzeptiert.
Datenschutzanforderungen in das Pflichtenheft integrieren
Bereits die Anforderungsdokumentation muss präzise spezifizieren, welche personenbezogenen Daten verarbeitet werden, welche Rechtsgrundlagen Anwendung finden und welche technischen Schutzmaßnahmen die Software abbilden muss. Datenschutz ist nicht als nachgelagerte Compliance-Aufgabe zu betrachten, sondern als funktionales Designkriterium von Beginn an zu verankern.
Den Auftragsverarbeitungsvertrag vor Projektinitiierung abschließen
Der AVV muss vor dem erstmaligen Datenzugriff des Entwicklungspartners rechtswirksam vereinbart sein. Standardisierte Vertragsvorlagen erweisen sich häufig als unzureichend – der Vertrag sollte auf die spezifischen Gegebenheiten der maßgeschneiderten Softwarelösung zugeschnitten werden.
Ein Testdatenkonzept verbindlich definieren
Es ist vertraglich festzulegen, dass keine Echtdaten in Entwicklungs- und Testumgebungen Verwendung finden. Sofern dies nicht realisierbar ist, müssen Pseudonymisierungsmaßnahmen und Zugriffsbeschränkungen dokumentiert und einer regelmäßigen Überprüfung unterzogen werden.
Betroffenenrechte technisch abbilden
Die Software muss die Rechte auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch technisch vollumfänglich unterstützen. Diese Anforderungen sind als verbindliche Abnahmekriterien zu definieren.
Den Entwicklungspartner einer sorgfältigen Evaluation unterziehen
Vor Vertragsschluss ist zu prüfen, ob der Entwicklungspartner über nachweisliche Erfahrung in DSGVO-konformer Softwareentwicklung verfügt, dokumentierte Sicherheitsmaßnahmen vorweisen kann und die vertragliche Verpflichtung auf die Einhaltung konkreter Standards akzeptiert.
Quellen zum Artikel
https://www.odclegal.de/blog/dsgvo-bussgelder
https://www.isico.de/blog/privacy-by-design-die-10-wichtigsten-massnahmen
https://www.datenschutz-guru.de/datenschutzfreundliche-voreinstellungen-co-was-mussen-softwareanbieter-beachten-vor-allem-nicht-beachten/
https://www.objectbay.com/blog/softwareentwicklungspartner-dsgvo
https://www.datenschutz-praxis.de/datenschutzbeauftragte/privacy-by-design-umsetzungstipps-fuer-die-praxis/
https://www.dr-datenschutz.de/was-bedeutet-privacy-by-design-privacy-by-default-wirklich/
https://www.sentiguard.eu/wissen/artikel-25-dsgvo-datenschutz-durch-technikgestaltung/
https://externer-datenschutzbeauftragter-dresden.de/datenschutz/datenschutz-und-softwareentwicklung/
https://www.isico.de/blog/privacy-by-design-die-10-wichtigsten-massnahmen
https://www.datenschutz-guru.de/datenschutzfreundliche-voreinstellungen-co-was-mussen-softwareanbieter-beachten-vor-allem-nicht-beachten/
https://www.objectbay.com/blog/softwareentwicklungspartner-dsgvo
https://www.datenschutz-praxis.de/datenschutzbeauftragte/privacy-by-design-umsetzungstipps-fuer-die-praxis/
https://www.dr-datenschutz.de/was-bedeutet-privacy-by-design-privacy-by-default-wirklich/
https://www.sentiguard.eu/wissen/artikel-25-dsgvo-datenschutz-durch-technikgestaltung/
https://externer-datenschutzbeauftragter-dresden.de/datenschutz/datenschutz-und-softwareentwicklung/
