Was gibt es bei datenschutzkonformer Softwareentwicklung zu beachten? Zuerst sind die allgemeinen Grundsätze des Datenschutzes zu berücksichtigen:
• Datensparsamkeit, soweit möglich
• Anonymisierung bzw. Pseudonymisierung, soweit möglich
• „Need to Know“ – differenziertes Berechtigungskonzept
• Zugriffsschutz der Daten bei Transport und Speicherung (Verschlüsselung)
• Löschkonzept, mit der Möglichkeit der automatisierten Löschung
• Protokollierung der Eingabe und Änderung personenbezogener Daten
• Datensicherungskonzept um Verlust der Daten auszuschließen
• Entwicklung mit Test- und Entwicklungssystem.
Dies kann mit den Forderungen des Bundesdatenschutzgesetzes (BDSG) aus der Anlage § 9 BDSG ergänzt werden:
„Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, …“ (Anlage § 9 BDSG).
• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Trennungskontrolle
Die für die Softwareentwicklung anzuwendenden Maßnahmen sind abhängig vom Niveau der personenbezogenen Daten. Werden besonders schützenswerte Daten (§ 3 Abs. 9 BDSG) verarbeitet, also „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“ so sind die technischen und organisatorischen Maßnahmen bei der Softwareentwicklung besonders sorgfältig auszuwählen.
Konkretere Hinweise geben Datenschutzaufsichtsbehörden. So hat der Düsseldorfer Kreis ein interessantes Papier zur datenschutzkonformen Entwicklung von Apps herausgegeben (Redaktionelle Bearbeitung: Bayerisches Landesamt für Datenschutzaufsicht): Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter. Dieses Papier richtet sich an Entwickler und Anbieter mobiler Applikationen (Apps), zeigt datenschutzrechtliche und technische Anforderungen auf und macht diese anhand plakativer Beispiele verständlich.
Daneben hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) im Rahmen des dort entwickelten Datenschutz-Gütesiegels. Das ULD stellt verschiedene Unterlagen zur Produktzertifizierung zur Verfügung. Unabhängig von einer geplanten Zertifizierung finden sich auf den Seiten des ULD wertvolle Hinweise für die datenschutzkonforme Softwareentwicklung.
Mit diesen Quellen ist es möglich die Prinzipien datenschutzgerechter Softwareentwicklung zu berücksichtigen. Es empfiehlt sich zudem bereits in der frühen Phase der Entwicklung mit dem Datenschutzbeauftragten in einen Dialog zu treten, um die Gefahr von Fehlern bei der Architektur von Software zu vermeiden, die im nach hinein sehr kostspielig werden können.