Die Einführung neuer Tools gehört mittlerweile zum Alltag in Unternehmen. Ob CRM-System, HR-Software oder Projektmanagement-Tool - die Frage nach der datenschutzkonformen Nutzung steht dabei stets im Mittelpunkt. Besonders Datenschutzbeauftragte werden regelmäßig mit der Frage konfrontiert: "Dürfen wir dieses Tool überhaupt einsetzen?"
Dieser Leitfaden bietet eine systematische Übersicht der Datenschutzgrundsätze, die bei der Einführung und Entwicklung von Tools berücksichtigt werden müssen. Er unterstützt Unternehmen dabei, neue Software datenschutzkonform zu implementieren und dabei keine wichtigen Aspekte zu übersehen.
Die Kernfrage: Welche Tools dürfen genutzt werden?
Die häufigste Frage, die man als Datenschutzbeauftragter gestellt bekommt, ist: Darf ich dieses oder jenes Tool im Unternehmen nutzen?
Da die Beantwortung dieser Frage auf den Datenschutzgrundsätzen basiert und somit grundsätzlich immer nach dem gleichen Schema geprüft werden kann, haben wir im Folgenden für Sie zusammengestellt, worauf geachtet werden muss, wenn personenbezogene Daten (gemäß Art. 4 Nr. DSGVO) von dem neu zu implementierenden Tool verarbeitet werden sollen.
Exkurs: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Adresse, E-Mail-Adresse, Telefonnummer, IP-Adresse oder auch spezifische Merkmale wie physische, physiologische, genetische, wirtschaftliche, kulturelle oder soziale Identitäten einer Person (u.v.m.).
Vorgehen zur Berücksichtigung der Datenschutzgrundsätze
Die folgenden Grundsätze sind kumulativ zu beachten (vgl. Art. 5 Abs. 1 DSGVO):
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
- Rechtmäßigkeit:
Stellen Sie sicher, dass die Datenverarbeitung nur erfolgt, wenn eine rechtliche Grundlage dafür existiert (z. B. Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung oder ein berechtigtes Interesse). - Treu und Glauben:
Verarbeiten Sie personenbezogene Daten nur in einer Weise, die für die betroffenen Personen angemessen, nachvollziehbar und fair ist, also im Rahmen der Erwartungshaltung der betroffenen Person. - Transparenz:
Informieren Sie die Nutzer klar und verständlich über die Verarbeitung ihrer Daten. Entwickeln Sie eine Datenschutzerklärung für das Tool oder ergänzen Sie die bestehenden Datenschutzinformationen entsprechend.
2. Zweckbindung
- Definition des Zwecks:
Klären Sie genau, welche Zwecke die Datenverarbeitung erfüllt, und dokumentieren Sie diese. - Keine Zweckänderung:
Verwenden Sie Daten nicht für andere Zwecke als die ursprünglich definierten, außer dies ist mit den Betroffenen abgestimmt und es gibt eine Rechtsgrundlage (siehe oben).
3. Datenminimierung
- Nur notwendige Daten:
Erfassen und verarbeiten Sie nur die personenbezogenen Daten, die wirklich erforderlich sind, um den definierten Zweck zu erreichen. - Reduktion der Datenverarbeitung:
Vermeiden Sie die Speicherung unnötiger Informationen. Ganz nach dem Grundsatz so wenig, wie möglich und so viel, wie nötig.
4. Richtigkeit
- Korrekte Daten:
Entwickeln Sie Mechanismen bzw. Prozesse, um sicherzustellen, dass die erfassten Daten korrekt und aktuell sind. - Berichtigung ermöglichen:
Implementieren Sie Funktionen, die es Nutzern erlauben, fehlerhafte Daten zu korrigieren.
5. Speicherbegrenzung
- Löschfristen festlegen:
Definieren Sie klare Löschfristen für personenbezogene Daten. I.d.R. muss gelöscht werden, sobald der Zweck weggefallen und es keine gesetzliche Aufbewahrungsfrist o.ä. gibt. - Automatisierte Löschung:
Integrieren Sie Funktionen, die Daten nach Ablauf der Frist automatisch löschen oder anonymisieren.
6. Integrität und Vertraulichkeit
- Datensicherheit gewährleisten:
Implementieren Sie technische und organisatorische Maßnahmen, um Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen (z. B. Verschlüsselung, Zugriffsbeschränkungen). - Zugriffsrechte verwalten:
Sorgen Sie dafür, dass nur autorisierte Personen Zugriff auf die Daten haben.
7. Rechenschaftspflicht
- Dokumentation:
Dokumentieren Sie alle Prozesse der Datenverarbeitung, einschließlich der technisch/organisatorischen Maßnahmen. - Überprüfung und Audits:
Führen Sie regelmäßige Datenschutzprüfungen durch, um sicherzustellen, dass die Vorgaben eingehalten werden.
8. Privacy by Design und Privacy by Default (sofern Sie z.B. selbst Tools entwickeln)
- Privacy by Design:
Berücksichtigen Sie Datenschutzaspekte bereits bei der Planung und Entwicklung der Software. Nutzen Sie datenschutzfreundliche Technologien und Architekturen. - Privacy by Default:
Konfigurieren Sie das Tool so, dass die datenschutzfreundlichsten Einstellungen standardmäßig aktiviert sind (z. B. Minimierung der Sichtbarkeit oder Speicherung von Daten).
9. Rechte der Betroffenen
- Auskunftsrecht:
Stellen Sie sicher, dass Nutzer einfach und schnell eine Übersicht über ihre gespeicherten Daten anfordern können. - Recht auf Löschung und Berichtigung:
Implementieren Sie Mechanismen, die es Nutzern ermöglichen, Daten zu löschen oder zu korrigieren. - Datenübertragbarkeit:
Falls möglich, sollte das Tool Nutzern erlauben, ihre Daten in einem maschinenlesbaren Format herunterzuladen.
10. Auftragsverarbeitung
- Wenn externe Dienstleister in die Verarbeitung personenbezogener Daten eingebunden sind:
Verträge schließen:
Schließen Sie Auftragsverarbeitungsverträge (AVV) ab.
Sorgfältige Auswahl:
Stellen Sie zuvor sicher, dass die Einhaltung der DSGVO durch die Dienstleister gewährleistet ist.
11. Datenschutz-Folgenabschätzung (DSFA)
- Prüfen Sie, ob eine Datenschutz-Folgenabschätzung erforderlich ist, insbesondere wenn das Tool ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt.
- Dokumentieren Sie die Ergebnisse und Maßnahmen der DSFA.
12. Schulung und Sensibilisierung
- Informieren Sie alle Beteiligten über die Datenschutzanforderungen und schulen Sie die Entwickler und Nutzer der Software im datenschutzkonformen Umgang hiermit.
Diese Datenschutzgrundsätze finden sich in der DSGVO. Bevor eine Aussage getroffen werden kann, was man mit einem neuen Tool darf oder nicht darf, sind diese Punkte vorab zu prüfen. Die Prüfung ist entsprechend zu dokumentieren.
Spezifische Datenschutzanforderungen nach Tool-Kategorie
Die Berücksichtigung von Datenschutzgrundsätzen variiert je nach Einsatzbereich des Tools. Hier sind die wichtigsten Kategorien und ihre besonderen Anforderungen:
HR-Tools
Bei der Verarbeitung von Mitarbeiterdaten gelten besonders strenge Maßstäbe:
- Schutz sensibler Personaldaten durch erweiterte Sicherheitsmaßnahmen
- Präzise Definition der Zugriffsberechtigungen für HR-Mitarbeiter
- Implementierung von Aufbewahrungsfristen gemäß arbeitsrechtlicher Vorgaben
- Berücksichtigung von Betriebsvereinbarungen und Mitbestimmungsrechten
Marketing-Tools
Im Marketing-Bereich steht das Einwilligungsmangement im Vordergrund:
- Rechtskonforme Einholung und Dokumentation von Einwilligungen
- Transparente Tracking-Mechanismen mit Opt-out-Möglichkeiten
- Datenschutzkonforme Newsletter-Systeme
- Protokollierung aller Marketing-Aktivitäten
Projektmanagement-Tools
Bei der Zusammenarbeit in Projekten müssen verschiedene Aspekte beachtet werden:
- Schutz vertraulicher Projektinformationen
- Rollenbasierte Zugriffskontrolle für Teammitglieder
- Sichere Dokumentenablage und -austausch
- Datenschutzkonforme Kommunikationswege im Team
CRM-Tools
Die Verwaltung von Kundendaten erfordert besondere Sorgfalt. CRM-Systeme müssen nicht nur die grundlegenden Datenschutzprinzipien erfüllen, sondern auch spezifische Anforderungen beachten:
- Dokumentation der Rechtsgrundlagen für jeden Datenverarbeitungsprozess
- Implementierung von Löschkonzepten für nicht mehr benötigte Kundendaten
- Granulare Zugriffsrechte für verschiedene Vertriebsrollen
- Nachvollziehbare Historie der Kundenkommunikation
Diese spezifischen Anforderungen müssen zusätzlich zu den allgemeinen Datenschutzgrundsätzen bei der Tool-Einführung berücksichtigt werden. Eine frühzeitige Analyse der jeweiligen Besonderheiten hilft, die Tool-Implementierung datenschutzkonform zu gestalten.
Häufige Fallstricke bei der Berücksichtigung von Datenschutzgrundsätzen
Bei der Einführung neuer Tools zeigt die Praxis immer wieder kritische Punkte, die besondere Aufmerksamkeit erfordern:
Drittanbieter-Integrationen
Die unzureichende Prüfung von Drittanbieter-Integrationen stellt ein erhebliches Risiko dar. Häufig werden Daten automatisch mit anderen Diensten geteilt, ohne dass dies im Vorfeld erkannt und bewertet wurde. Eine gründliche Analyse aller Schnittstellen und Datenflüsse ist daher unerlässlich. Besonders kritisch sind hierbei Cloud-Dienste und Marketing-Tools, die oft standardmäßig Daten an ihre eigenen Server übermitteln.
Systemübergreifende Schnittstellen
Die fehlende Beachtung von Schnittstellen zu anderen Systemen kann zu unkontrollierten Datenflüssen führen. Dabei werden oft automatisierte Prozesse übersehen, die Daten zwischen verschiedenen Systemen austauschen. Eine vollständige Dokumentation aller Schnittstellen und deren Datenverarbeitungszwecke ist zwingend erforderlich.
Sub-Dienstleister
Ein häufig unterschätzter Aspekt ist die mangelnde Dokumentation von Sub-Prozessoren. Viele Tools greifen auf weitere Dienstleister zurück, ohne dass dies transparent gemacht wird. Die vollständige Erfassung aller beteiligten Sub-Dienstleister und deren datenschutzkonforme Einbindung muss vor der Tool-Einführung sichergestellt werden.
Automatisierte Datenexporte
Das Übersehen von automatisierten Datenexporten kann schwerwiegende Datenschutzverletzungen zur Folge haben. Viele Tools verfügen über automatische Export- oder Backup-Funktionen, die personenbezogene Daten an unerwartete Speicherorte übertragen. Eine systematische Überprüfung aller automatisierten Prozesse und deren Dokumentation ist daher unerlässlich.
Fazit
Die Einführung eines neuen Tools erfordert eine sorgfältige Prüfung der Datenschutzgrundsätze. Dabei zeigt sich, dass eine pauschale Bewertung nicht möglich ist - zu unterschiedlich sind die spezifischen Anforderungen je nach Tool-Kategorie und Einsatzbereich. Entscheidend ist die systematische Herangehensweise: Von der initialen Prüfung der Datenschutzgrundsätze über die Beachtung typischer Fallstricke bis hin zur Berücksichtigung der speziellen Anforderungen der jeweiligen Tool-Kategorie. Der Erfolg einer datenschutzkonformen Tool-Einführung hängt maßgeblich von der frühzeitigen Einbindung aller relevanten Aspekte ab. Dabei unterstützt der Datenschutzbeauftragte nicht nur bei der Erstprüfung, sondern begleitet den gesamten Implementierungsprozess. Eine gründliche Dokumentation aller Maßnahmen bildet dabei die Basis für einen rechtssicheren Betrieb des Tools.
Katrin Dahmen