kostenlos starten

Augen auf beim Software Kauf (und Miete): Diese Anforderungen muss deine Software erfüllen

Anschaffung von Software

Software ist das Rückgrat jedes modernen Unternehmens. Software bildet praktisch jeden Unternehmensprozess ab. Angefangen bei der Lohnbuchhaltung, über HR-, CRM- und ERP-Systeme. Diese meist in der IT-Infrastruktur von Dienstleistern betrieben Systeme sind unternehmenskritisch. Ausfall oder Einschränkungen in der Nutzbarkeit können dramatische Folgen haben. Neben der IT-Sicherheit sollten Unternehmen darauf achten, dass datenschutzrechtliche Anforderungen bei der Anschaffung von Software beachtet werden, um die Software dauerhaft nutzen zu können, ohne Einschreiten der Datenschutzaufsicht befürchten zu müssen. 

Art. 25 DSGVO: Datenschutz durch Technik und Standards 

Art. 25 DSGVO verpflichtet Software-Unternehmen und Entwickler, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen umzusetzen. Dies bedeutet, dass bereits bei der Konzeption und Entwicklung von Software datenschutzrechtliche Anforderungen berücksichtigt werden. Transparenz und Kontrolle sind hierbei unverzichtbar. Maßnahmen sollten nicht nur Betroffenen zugutekommen, sondern auch Verantwortliche bei der Einhaltung ihrer Rechenschaftspflichten unterstützen. Nur wenn diese Anforderungen bei der Entwicklung beachtet wurden, kann Software durch Unternehmen datenschutzkonform eingesetzt werden. Bei der Anschaffung einer Software sollte entsprechend darauf geachtet werden, dass die Software diese Anforderungen gerecht wird.  

Die Grundfrage: Was muss Software leisten, um DSGVO-konform zu sein? 

Jedoch erfüllt nicht jede Software diese Standards aus Art. 25 DSGVO und ist per se geeignet, um datenschutzrechtlich einwandfrei eingesetzt zu werden. Unternehmen müssen deshalb sicherstellen, dass grundlegende Anforderungen erfüllt sind, darunter:  

  • Datensicherheit durch Zugriffskontrolle: Etablierung strenger Authentifizierungsmechanismen, wie Zwei-Faktor-Authentifizierung, und klare Berechtigungsmodelle. 
  • Effiziente Protokollierung: Vollständige und manipulationssichere Dokumentation von Zugriffen und Änderungen. 
  • Datenlöschung im Fokus: Einhaltung gesetzlicher Aufbewahrungsfristen und automatische Löschung nach deren Ablauf. 
  • Schutz durch Verschlüsselung: Sichere Speicherung und Übertragung sensibler Daten. 
  • Minimierung der Verwendbarkeit: Funktionen zur Pseudonymisierung und Anonymisierung reduzieren die Risiken bei der Verarbeitung. 

Eine weitere wesentliche Anforderung ist, dass Software individuelle Risiken berücksichtigt. Privacy by Design führt zu einer Abkehr von starren, katalogartigen Maßnahmen hin zu einer nachhaltigen und individuellen Risikobewertung. So können Unternehmen Datenschutzmaßnahmen gezielt an spezifische Anforderungen anpassen. 

Art. 28 DSGVO: Auftragsverarbeitung richtig managen

Ein zentraler Punkt, der oft übersehen wird, ist die Verpflichtung zur Auftragsverarbeitung, sobald externe Anbieter mit Daten in Berührung kommen – sei es bei der Wartung, Pflege oder Erweiterung von Software. Unternehmen müssen hierbei Folgendes beachten: 

  • Vertragsgestaltung: Der Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO ist zwingend erforderlich. 
  • Eindeutige Regelungen: Der Vertrag muss den Zweck und Umfang der Datenverarbeitung sowie die einzuhaltenden Sicherheitsmaßnahmen klar definieren. 
  • Transparenz und Kontrolle: Unternehmen tragen weiterhin die Hauptverantwortung und müssen Dienstleister regelmäßig überprüfen, insbesondere bei Remote-Zugriffen. 

Typische Stolpersteine: Wenn Software zur Haftungsfalle wird 

Immer wieder zeigt sich, dass viele Systeme den gesetzlichen Anforderungen nicht gerecht werden. Besonders häufig anzutreffen sind Probleme wie: 

  • Fehlende Transparenz bei Remote-Zugriffen: Externe Anbieter können oft auf personenbezogene Daten zugreifen, ohne dass dies ausreichend kontrolliert wird. 
  • Nicht umgesetzte Löschkonzepte: Viele Systeme bieten keine automatisierte Datenlöschung, was zu Verstößen gegen Aufbewahrungsfristen führt. 
  • Versteckte Kosten für Datenschutz-Compliance: Funktionen zur Umsetzung der DSGVO werden als kostenpflichtige Module angeboten, obwohl sie eigentlich Teil der Grundausstattung sein müssten. 

Diese Voreinstellungen dürfen auf keinen Fall Nutzer dazu zwingen, mehr Daten preiszugeben, als es für die Erreichung des Zwecks erforderlich ist. 

Kostenfrage: Wer zahlt für Updates und Anpassungen? 

Die Verantwortung für die DSGVO-Konformität liegt nicht allein beim Nutzer. Software, die die Anforderungen der DSGVO nicht erfüllt, kann als mangelhaft im Sinne des Gewährleistungsrechts (§§ 434 ff. BGB) angesehen werden. In solchen Fällen ist der Anbieter verpflichtet, kostenfrei nachzubessern – sei es durch Updates oder Anpassungen.  

Wichtige Eckpunkte hierzu:

  • Datenschutztauglichkeit als Vertragsbestandteil: Wurde die Datenschutzkonformität der Software ausdrücklich vertraglich zugesichert, liegt ein Mangel vor, wenn die Software diesen Anforderungen nicht entspricht. 
  • Grundlegende Funktionen: Software muss von Anfang an Funktionen zur Berichtigung, Löschung und Einschränkung der Verarbeitung personenbezogener Daten bereitstellen. 
  • Privacy by Design und Privacy by Default: Anbieter müssen sicherstellen, dass die Software den Prinzipien der DSGVO gerecht wird, etwa durch datenschutzfreundliche Standardeinstellungen und Datenminimierung. 
  • Haftung des Anbieters: Stellt sich nach Vertragsabschluss heraus, dass die Software nicht DSGVO-konform ist, haftet der Anbieter.  

Unternehmen sollten daher bei der Softwarebeschaffung sicherstellen, dass die gewählte Software den datenschutzrechtlichen Anforderungen entspricht und vertraglich festlegen, dass der Anbieter für die Bereitstellung notwendiger Updates zur Gewährleistung der DSGVO-Konformität verantwortlich ist. 

Strategischer Einkauf: Datenschutz beginnt bei der Anschaffung von Software

Damit es gar nicht erst zu Problemen kommt, sollten Unternehmen bereits bei der Auswahl der Software auf folgende Punkte achten: 

  • Datenschutzfreundlichkeit als Standard: Sind Sicherheitsmechanismen wie Zugriffskontrollen, Protokollierung und Verschlüsselung umfassend vorhanden? 
  • Verpflichtungen des Anbieters: Gibt es vertragliche Garantien, die DSGVO-konforme Updates sicherstellen? 
  • Unterstützung von Betroffenenrechten: Ermöglicht die Software es, Auskunfts- und Löschanfragen effizient zu bearbeiten? Technische Dokumentation: Sind die Datenverarbeitungsprozesse nachvollziehbar dokumentiert? 

Perspektivwechsel: Den Datenschutz als Chance sehen

Die Umsetzung der DSGVO muss nicht nur als Belastung betrachtet werden. Unternehmen, die den Datenschutz aktiv in ihre Prozesse integrieren, können langfristig davon profitieren: 

  • Vertrauen schaffen: DSGVO-konforme Software signalisiert Partnern und Kunden, dass Datenschutz ernst genommen wird. 
  • Prozesse optimieren: Viele der vorgeschriebenen Maßnahmen wie Automatisierung und Datenminimierung führen auch zu effizienteren Arbeitsabläufen. 
  • Rechtssicherheit gewährleisten: Wer die gesetzlichen Anforderungen proaktiv erfüllt, minimiert das Risiko von Bußgeldern und Rechtsstreitigkeiten. 

Fazit: Datenschutz als Kernkompetenz etablieren 

Die DSGVO stellt klare Anforderungen, die Unternehmen mit Weitsicht und kluger Planung erfüllen können. Entscheidend ist bei der Anschaffung von Software nicht nur die Auswahl der richtigen, sondern auch eine sorgfältige Vertragsgestaltung und regelmäßige Kontrolle der eingesetzten Lösungen. 

 

Noch kein Datenschutz-Management-System im Einsatz? Buchen Sie jetzt ihr persönliches Beratungsgespräch!

Jetzt Termin buchen

Weitere Beiträge

KI-Verordnung der EU: Unternehmen müssen handeln!

Am 1. August 2024 ist die neue KI-Verordnung (KI-VO) in Kraft getreten und bringt
Anschaffung von Software

Augen auf beim Software Kauf (und Miete): Diese Anforderungen muss deine Software erfüllen

Software ist das Rückgrat jedes modernen Unternehmens. Software bildet praktisch jeden Unternehmensprozess ab. Angefangen

Arbeitszeiterfassung: Rechtliche Anforderungen und Empfehlungen

Die Verpflichtung zur Arbeitszeiterfassung von Arbeitnehmenden und die Umsetzung eines datenschutzkonformen Zeiterfassungssystems sind für

Process Data Subject Requests Efficiently and GDPR-Compliant

Betroffenenanfragen auf Knopfdruck beantworten

Ein wichtiger Bestandteil des Datenschutzes ist der korrekte Umgang mit Anfragen betroffener Personen. Diese

Den richtigen Datenschutzbeauftragten auswählen und bestellen – So geht’s

Ein Datenschutzbeauftragter spielt eine entscheidende Rolle in deiner Datenschutz-Organisation und begleitet dein Unternehmen oft

Umsetzung von Löschpflichten mit Muster Löschkonzept

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur

Dienstleister datenschutzkonform einbinden: so geht’s

IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im

Data Breaches richtig managen

Die Gefahr von Cyberrisiken nimmt ständig zu. Neben der Gefahr für die IT-Sicherheit haben

Auskunftsbegehren in der Unternehmenspraxis

Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024