Bestehende Software-Lösungen eines Unternehmens verarbeiten täglich unzählige personenbezogene Daten. Hierbei müssen die Regelungen der Datenschutzgrundverordnung (DSGVO) zwingend beachtet und eingehalten werden. Dies gilt sowohl für bestehende – als auch für neue Software in einem Unternehmen. Wird eine neue Software-Lösung eingeführt, ist es unerheblich, ob es eine Eigenentwicklung oder ein erworbenes Produkt ist. Sobald mit dieser Software personenbezogene Daten verarbeitet werden können, ist eine frühzeitige Einbindung des Datenschutzbeauftragten sinnvoll. Als von der Verarbeitung personenbezogene Daten Betroffene kommen nicht nur Kunden oder andere Dritte in Betracht, sondern auch und insbesondere die eigenen Mitarbeiter des Unternehmens. Die Verantwortlichen müssen bereits vorab prüfen, ob die neue IT den Anforderungen der DSGVO entspricht.
Was muss geprüft werden?
Vor und bei der Einführung neuer Software ist es Aufgabe des Datenschutzbeauftragten, die IT intensiv zu prüfen. Zunächst ist zu prüfen, ob und welche personenbezogenen Daten durch die neue Software verarbeitet werden. Für jede Verarbeitung muss eine Rechtsgrundlage vorliegen. Weiterhin muss geprüft werden, ob die Daten möglicherweise in ein Drittland übermittelt werden oder ob Dritte einen Zugriff auf die Software erhalten. Bei einer Software stellt sich weiterhin die Frage, ob sie den neuen Grundsätzen Privacy by Design und Privay by Default (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellung) gerecht wird.
Komponenten einer Software
Je nach Komplexität der neuen Software muss der Verantwortliche prüfen, ob alle Funktionen, Schnittstellen oder Module tatsächlich notwendig sind (Art. 24 DSGVO). Andernfalls ist es empfehlenswert, die nicht benötigten Komponenten zu entfernen. Die Software muss zudem ausreichend hohe technisch-organisatorische Maßnahmen enthalten, um die sichere Verarbeitung von personenbezogenen Daten gewährleisten zu können (Art. 32 DSGVO). Die Funktionen der neuen Software müssen zudem die Informationspflicht der Verantwortlichen sowie die Auskunftsrechte der betroffenen Personen entsprechend verarbeiten können. Ebenfalls von Bedeutung sind die Ansprüche auf Löschung oder Berichtigung von personenbezogenen Daten.
Sie benötigen Unterstützung bei der Umsetzung? Wir stehen Ihnen gerne mit Rat und Tat zur Seite. Weitere Informationen und Kontaktmöglichkeiten finden Sie unter https://kajo-datenschutz.de
