Tool-Freigabe-Prüfung: Wie geht Ihr vor?

Guten Morgen zusammen,

ich bin noch nicht lange “in Amt und würden” und tue mich mit der Freigabe bzw. der Prüfung von Tools/Software einfach schwer.

Mich würde interessieren, wie Ihr vorgeht.

Ich schildere mal mein Vorgehen und bin für Tipps dankbar:

1. Abklären, ob das Tool überhaupt personenbezogene Daten verarbeitet
2. Ich versuche zu verstehen, was genau die Software macht (ich habe keinen IT-Hintergrund)
3. ich frage mich, ob die Art der Verarbeitung bereits im VVT aufgeführt ist (wenn ja, Eintrag um Software ergänzen)
   wenn nicht: die entsprechenden Ansprechpartner bitten, das VVT auszufüllen und Rechtmäßigkeit der Verarbeitung prüfen.
4. wenn Verarbeitung ok, kommt ja noch die konkrete Frage, ob die Verarbeitung mit dieser konkreten Software ok ist, oder? Hier hänge ich immer. Was genau prüft der DSB hier? Was gehört zur Datensicherheit (das macht dann idR der ISB/CISO)

Gibt es ein Schema oder eine Checkliste für die datenschutzrechtliche Prüfung einer Software, die ich als DSB abfragen kann?

Besten Dank im Voraus.

Viele Grüße
dedsb

Schon ganz gut. Ich mache das ein bisschen umgekehrt:

1. Zulässigkeit der Verarbeitung an sich.
   Was soll (mit Daten) passieren. Noch unabhängig von der Software Betroffenengruppe, Datenkategorien, Zwecke und Rechtsgrundlagen bestimmen. Dann kann später die Software leichter gewechselt werden.

2. Lösung mit Software
   Macht die Software genau das? Oder mehr? (Meisten mehr oder viel mehr. Zu ganz anderen Zwecken, die extra zu klären sind.) Wenn mehr, dann, dann diese Teile abschalten, dys…äh disfunktionalisieren, nicht befüttern, o. ä. Blöd ist, wenn sie immer ncoh mitlaufen und Nutzungsdaten erheben.

3. Auslagerungsaspekte
   Wenn die Software nicht selbst betrieben wird, bzw. wenn der Anbieter bei der Einführung und Wartung an pbDaten kommt, Auftragsverabeitungsvertrag schließen. Über zulässig abgedeckte Verarbeitungszwecke problematisch. Auch eigene Zwecke des Anbieters problematisch; diese abgrenzen und ausschließen; oder Zulässigkeit für Datenübermittlung finden.

4. Drittlandaspekte
   Gibt es Übermittlungen, Verarbeitungen, Unterauftragsverarbeiter in Drittländern? Absicherung klären.

D., bei dem danach nicht mehr viel übrig bleibt.

Warum muß ich als DSB ein Tool prüfen, dass andere DSBs schon geprüft haben? Wäre nicht ein Austausch untereinander hilfreich, wer welches Tool für geeignet oder problematisch hält?

Nicht überall wird dasselbe Tool in einheitlichen Zusammenhängen und für identische Zwecke verwendet. Die Zulässigkeit oder die Konfiguration kann woanders ganz anders ausfallen.

Eine Übersicht wäre gut. Z. B. nach Datenarten, eingebundenen Drittdiensten. Die wäre bei Änderungen am der Version und an den Rahmenbedingungen anzupassen.

Wer soll die führen? Wie kommen die Angaben zustande? Wer prüft sie?

Es gibt einige Listen, z. B. https://ios.trackercontrol.org/ https://reports.exodus-privacy.eu.org/en/

D., der am wenigsten auf Angaben der Hersteller vertrauen kann.

Super, das hilft mir weiter. Vielen Dank.
Einen Punkt verstehe ich nicht:

Wenn die Software nicht selbst betrieben wird, bzw. wenn der Anbieter bei der Einführung und Wartung an pbDaten kommt, Auftragsverabeitungsvertrag schließen. Über zulässig abgedeckte Verarbeitungszwecke problematisch.

Inwiefern ist ein AVV über zulässig abgedeckte Verarbeitungszwecke problematisch?

Viele Grüße
dedsb

Ergänzung:
@martinf Tatsächlich finde ich auch, dass ein guter Austausch unter DSBs das (Arbeits-)Leben leichter machen kann. Vor allem, wenn man allein in diese Aufgabe startet, also zB ohne Einarbeitung durch einen Vorgänger. Bin happy, dieses Forum gefunden zu haben.
Gibt es sonst irgendwo Austauschmöglichkeiten?

Weil sich der Auftraggeber für sein Standardprodukt mit mehr beauftragen lassen möchte, als der Verantwortliche für sich geklärt hat.

Und weil Verträge manchmal doofe Passagen haben; z. B. Vergütungsansprüche für Selbstverständlichkeiten, die nicht verhindern dürfen, dass der Verantwortliche seinen Pflichten nachkommt; oder Daten für eigene Zwecke der Plattform abspalten; gesetzliche Prüfungsrechte (Pflichten) bei sich oder Unterauftragnehmern ausschließen.

D., der leider immer genau hinschauen und alles lesen muss. Und das sind dann erst die Behauptungen.

Womit schon die Grenze zum Kriminellen überschritten wäre. Wer macht denn auch mit solchen Leuten Verträge?

Bedauernswert. Empfiehl den Leuten doch mal, in jeden Vertrag die “Salvatorianische Klausel” aufzunehmen, und schon ist Ruhe. Beispiel:

An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der wirtschaftlichen Zielsetzung am nächsten kommen, die die Vertragsparteien mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich der Vertrag als lückenhaft erweist.

Oder einfacher:

Im Zweifelsfall tritt die Regelung in Kraft, die der am nächsten kommt, die beide Vertragsparteien gewollt hätten.

Nicht speziell Austausch zu Tools /Apps.

Wenn du allgemein Datenschutz meinst: Mitgliedschaft in Verbänden und deren Treffen, z. B. GDD, BvD, Newsletter, Blogs und Podcasts, z. B. datenschutz-notizen.de, dr-datenschutz.de, heise “Auslegungssache”, Internetauftritte aller Aufsichtsbehörden (besonders aktiv Bund, Baden-Württemberg), teilweise mit FAQ.

Alternativ zu diesem Forum hier gibt es spezialisierte Netzwerke wie die Mastodon-Instanz legal.social, oder dort einen Hashtag beobachten, z. B. Datenschutz, #TeamDatenschutz oder #TeamohneBindestrich (Das war ein Insider.).

D., der viel zu lesen hat und beim Bearbeiten von Fällen entsprechend viel schreibt.

Alternativ zu diesem Forum hier gibt es spezialisierte Netzwerke wie die Mastodon-Instanz legal.social, oder dort einen Hashtag beobachten, z. B. Datenschutz, #TeamDatenschutz oder #TeamohneBindestrich (Das war ein Insider.).

Genau, es ging mir um Austausch allgemein. So als einzelne/r DSB kommt man sich bisweilen etwas einsam vor

VG
dedsb

Ich habe einen “Fragebogen” (Checkliste) für Softwareanbieter, die nachweisen müssen, dass man ihre Software datenschutzkonform betreiben kann. Bei Interesse bitte melden… So etwas sollte bei Software-Anbietern zur Pflichtangabe in ihrer QS gehören, aber vielen muss man erst überzeugen, dass ein Produkt, dass sich NICHT datenschutzkonform betreiben lässt, einen Produktmangel aufweist zumindest für Kundschaft im Gültigkeitsbereich der DSGVO.

D., der vorschlägt, die Datenschutz- etc.-Konformität bezogen auf diese Angaben zusichern zu lassen und vertraglich zu vereinbaren, bei Schlampereien die Vergütung zurückzuzahlen. Und Vertragsstrafe.

@Domasla
Das klingt interessant - und fast zu einfach. Wie darf ich mir denn eine solche Vereinbarung vorstellen?
Die Anfragen an mich lauten in der Regel sinngemäß: Bitte mal prüfen, ob das Tool genutzt werden darf.
Wenn ich dann antworte: Ja, sofern das Tool die datenschutzrechtlichen Vorgaben einhält, ist der Anfragende auch nicht viel schlauer.
Und ist nicht der Verantwortliche verpflichtet, zu prüfen, ob Datenschutzkonformität besteht?
Oder mache ich mir als DSB da zu viel Arbeit?

Na ja, bestimmte Eigenschaften bzw. das Fehlen bestimmter Stolpersteine zusagen lassen, und eine Vertragsstrafe bei Verstößen gegen den Vertrag vereinbaren. Kann dann immer noch Streit geben, aber vielleicht war das strittige Element eindeutig festgelegt.

Der Verantwortliche muss prüfen und vertraut allzu oft auf die Aussage des Anbieters, dass er 100 %… usw. DSB beraten dabei und wissen auch nicht alles.

Wenn man genau nachschaut oder nachfragt, fehlt irgendwas. Selten, dass ein angeschlepptes Tool unbedenklich ist.

D., der nicht die Möglichkeit hat, alles forensisch zu untersuchen und der nicht immer alle vertraglichen Schwachstellen findet. Trotzdem genug.

Der DSB soll “beraten”, dazu kann natürlich auch eine Softwareprüfung gehören.

Man könnte eine allgemeine Checkliste verwenden und die einzelnen Punkte durchgehen und am Ende eine Empfehlung abgeben:

1 Allgemeine Informationen
Name Software, Ansprechpartner Verantwortlicher/verantwortliche Abteilung, Zweck der Datenverarbeitung

2 Kategorien personenbezogener Daten und Rechtmäßigkeit der Verarbeitung
Übersicht über die zu verarbeitenden personenbezogenen Daten
Angabe Rechtsgrundlage, nach der die Daten verarbeitet werden
Schwellwertanalyse: Hohes Risiko? → dann DSFA nötig!

3 Datenfluss
Woher stammen die Daten, wo werden die Daten gespeichert, wie sieht der Prozess/Ablauf der Datenverarbeitung aus, werden Daten an Andere weitergegeben, Protokollierung von Zugriffen?

4 Rechte der betroffenen Personen
Können die Betroffenenrechte erfüllt werden (z.B. Auskunftsrecht)?

5 Datenminimierung
Ist die Datenminimierung gewährleistet? Alle Komponenten und erfassten Daten für den gewünschten Zweck erforderlich? Wenn nicht, können die entsprechenden Module deaktiviert werden?

6 Sicherheit der Verarbeitung
IT-Sicherheitskonzept vorhanden? Sind im System erforderliche technische und organisatorische Schutzmaßnahmen umgesetzt?

7 Berechtigungs- und Rollenkonzept
Vorhanden? Wer entscheidet über die Rechtevergabe? Wer darf neue Benutzer anlegen?

8 Export-, Auswertungs- und Druckfunktionen
Datenausgabe konfigurierbar?

9 Auftragsverarbeitung
Werden Daten durch einen Dienstleister verarbeitet, ist ein AVV nötig!

10 Übermittlung in ein Drittland
Wenn ja, Prüfung Zulässigkeit

11 Archivierung und Löschung
Löschkonzept vorhanden und in der Software umsetzbar?

12 Schulung
Auf welche Art und Weise erfolgt eine Schulung der MA?

13 Schnittstellen zu anderer Software
Beschreibung Datenflüsse über vorhandene Schnittstellen

14 Risikobeurteilung und Empfehlung des DSB

Hallo Michael,
würdest du mir bitte deine Checkliste zukommen lassen? Das wäre prima. Vielen Dank.
Viele Grüße vom altmarkdsb

Super, vielen Dank. Ich habe meine Checkliste ergänzt

@Beabel : Vielen Dank für die ausführliche Checkliste. Ich hatte zwar auch schon eine; die war allerdings weniger umfangreich und hat einige Punkte gar nicht berücksichtigt.

Hallo Michael, hätte auch Interesse an deinem “Fragebogen”. Danke!