Wenn Unternehmen individuelle Software entwickeln lassen oder Standardsoftware einsetzen, die personenbezogene Daten verarbeitet, tragen sie als Auftraggeber erhebliche datenschutzrechtliche Verantwortung – oft mehr als ihnen bewusst ist. Die DSGVO macht den Auftraggeber (im DSGVO-Jargon: Verantwortlichen) für die Rechtmäßigkeit der Datenverarbeitung verantwortlich, nicht den Entwickler.
Dieser Beitrag richtet sich an Auftraggeber, die Softwareprojekte steuern oder beauftragen und sicherstellen wollen, dass das Endprodukt DSGVO-konform ist. Wir beschreiben die wichtigsten Anforderungen und geben eine praxisnahe Checkliste mit.
Die Verantwortung des Auftraggebers
Ein häufiges Missverständnis: "Der Entwickler ist für den Datenschutz verantwortlich." Das stimmt nicht. Der Auftraggeber ist als Verantwortlicher im Sinne der DSGVO für die gesamte Datenverarbeitung verantwortlich. Der Entwickler ist in der Regel Auftragsverarbeiter – er verarbeitet Daten im Auftrag und nach Weisung des Auftraggebers.
Das bedeutet konkret: Der Auftraggeber muss sicherstellen, dass das entwickelte System nur so gebaut wird, dass es DSGVO-konforme Verarbeitung ermöglicht. Er muss wissen, welche personenbezogenen Daten das System verarbeitet, auf welcher Rechtsgrundlage, und wie lange sie gespeichert werden. Und er muss mit dem Entwickler einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen.
Privacy by Design: Was das in der Praxis bedeutet
Art. 25 DSGVO verlangt "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" (Privacy by Design und Privacy by Default). In der Softwareentwicklung bedeutet das:
- Datensparsamkeit: Das System soll nur die personenbezogenen Daten erheben und speichern, die für den definierten Zweck tatsächlich notwendig sind. Kein "auf Vorrat speichern" von Daten, die vielleicht einmal nützlich sein könnten.
- Zweckbindung: Daten, die für Zweck A erhoben wurden, dürfen nicht für Zweck B genutzt werden, ohne erneute Rechtsgrundlage.
- Löschkonzept: Das System muss technisch in der Lage sein, personenbezogene Daten vollständig zu löschen – einschließlich Backups. Ein Löschkonzept mit definierten Aufbewahrungsfristen muss vor der Implementierung vorliegen.
- Zugriffssteuerung: Personenbezogene Daten dürfen nur von Personen eingesehen werden, die sie für ihre Aufgaben benötigen. Rollenbasierte Zugriffssteuerung ist Pflicht.
- Anonymisierung und Pseudonymisierung: Wo möglich, sollten personenbezogene Daten für Analysen und Berichte anonymisiert oder pseudonymisiert werden.
Technische Maßnahmen nach Stand der Technik
Die DSGVO verlangt "geeignete technische und organisatorische Maßnahmen" (TOMs) nach dem "Stand der Technik". Für Softwareanwendungen bedeutet das mindestens:
- Transportverschlüsselung: HTTPS/TLS 1.2 oder höher für alle Datenübertragungen – kein HTTP für Anwendungen, die personenbezogene Daten übertragen.
- Passwortspeicherung: Passwörter dürfen nicht im Klartext gespeichert werden. Sichere Hashing-Algorithmen (bcrypt, Argon2) sind Standard.
- Datenbankzugriff: Datenbankzugriffe aus der Anwendung über parametrisierte Queries (Schutz vor SQL Injection), minimale Datenbankrechte für die Anwendung.
- Logging: Zugriffe auf sensible Daten werden geloggt (wer hat wann auf welche Daten zugegriffen?). Logs selbst sind jedoch auch personenbezogene Daten und unterliegen dem Datenschutz.
- Session Management: Sichere Session-IDs, automatischer Session-Timeout, sichere Cookie-Attribute (HttpOnly, Secure, SameSite).
Vertragsgestaltung mit dem Entwickler
Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist kein optionales Anhängsel – er ist rechtlich verpflichtend, wenn personenbezogene Daten im Rahmen des Projekts verarbeitet werden. Ein vollständiger AVV enthält:
- Gegenstand, Dauer und Art der Verarbeitung
- Zweck der Verarbeitung und Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen des Auftragsverarbeiters
- Regelungen zu Unterauftragsverarbeitern (z.B. Cloud-Provider)
- Löschung oder Rückgabe der Daten nach Projektende
Wenn der Entwickler Cloud-Dienste von US-Anbietern (AWS, Google Cloud, Azure) nutzt, ist eine Drittlandsübermittlung relevant. Prüfen Sie, ob eine angemessene Schutzgrundlage vorhanden ist (EU-Standardvertragsklauseln, Binding Corporate Rules).
Checkliste für Auftraggeber
Vor Projektstart:
- Verarbeitungsverzeichnis für das neue System anlegen (Art. 30 DSGVO)
- Rechtsgrundlage für jede Datenkategorie identifizieren
- Auftragsverarbeitungsvertrag mit dem Entwickler abschließen
- Datenschutz-Folgenabschätzung (DSFA) prüfen: Ist eine erforderlich?
- Datenschutzanforderungen schriftlich in die Anforderungsspezifikation aufnehmen
Während der Entwicklung:
- Löschkonzept und Aufbewahrungsfristen definieren und in die Architektur einbauen lassen
- Zugriffsrollen und Berechtigungskonzept spezifizieren
- Verschlüsselungsanforderungen in den technischen Anforderungen festhalten
- Drittanbieter (Analytics, Payment, APIs) auf DSGVO-Konformität prüfen
Vor Go-live:
- Penetrationstest für Systeme mit sensitiven Daten
- Datenschutzerklärung aktualisieren
- Einwilligungsmanagement implementiert und getestet
- Betroffenenrechte technisch umsetzbar (Auskunft, Löschung, Berichtigung)
- Datenpanne-Meldeprozess (72-Stunden-Frist) intern bekannt und geübt
Fazit
DSGVO-Compliance in der Softwareentwicklung ist keine Aufgabe, die man an den Entwickler delegieren kann. Als Auftraggeber tragen Sie die Verantwortung – und damit auch das Risiko von Bußgeldern und Reputationsschäden. Wer DSGVO-Anforderungen von Anfang an in die Projektplanung einbezieht, spart Nacharbeitskosten und schützt sich vor unangenehmen Überraschungen im Betrieb. Privacy by Design ist kein bürokratisches Hemmnis – es ist gute Softwareentwicklung.