Eine Frage, die einem im “fortgeschrittenen Stadium” der DSMS Implementierung immer wieder begegnet, ist die Frage von Entwicklern oder Einkäufern, was eine Software denn können muss oder was bei der Entwicklung zu beachten ist, um “Datenschutzkonform” zu sein Ich wäre hier für Tipps und einen Erfahrungsaustausch dankbar. Die Ratsuchenden hätten natürlich gerne eine Checkliste, die sehr klar sagt, was zu tun ist und was nicht geht. Hat da jemand gutes Material? Mit einem abstrakten 25 oder 32 komme ich da nicht weiter.

Naben eigenen Sammlungen habe ich das hier gefunden, aber es gibt sicher noch mehr:

Sie können auch auf das Kompendium vom BSI zurückgreifen - da gibt es u. a. einen Baustein zur Software-Entwicklung ([CON.8]):

Datenschutzfragen sind auch im V-Modell XT (Bund) berücksichtigt: Link

Also ich liebe ja den Leitfaden vom CNIL…

https://lincnil.github.io/Guide-RGPD-du-developpeur/

Ich hatte mir das letztes Jahr auf Englisch heruntergezogen und lokal zusammengebaut:
https://www.privacydesign.ch/cnil-gdpr-developer-sheets/

Und für knackige One-Pager auch vom CNIL (2018) - auf Englisch

geordnet nach:

• Raising user awareness
• Authenticating users
• Access Management
• Logging access and managing incidents
• Securing workstations
• Securing mobile data processing
• Protecting the internal network
• Securing servers
• Securing websites
• Ensuring continuity
• Archiving securely
• Supervising maintenance and data destruction
• Managing data processors
• Securing exchanges with other organisations
• Physical security
• Supervising software development
• Encrypting, guaranteeing integrity and signing
• Assess the security level of the personal data in your organisation

Und für Mobile Applikationen würde ich immer über den hier gehen.
(Sehr schön formulierte Kriterien… auch zum Registrierungsflow)

BSI TR-03161 Sicherheitsanforderungen an digitale Gesundheitsanwendungen

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03161/tr03161_node.html