Wahl der Rechtsgrundlage
Bevor eine Software eingesetzt wird, ist es von grundlegender Bedeutung, ob personenbezogene Daten verarbeitet werden und eine Rechtsgrundlage für die Verarbeitung dieser Daten existiert. Hierbei ist insbesondere zu prüfen, ob es sich um „normale“ (Art. 6 DSGVO, § 6 KDG, § 6 DSG-EKD) oder um „besondere Kategorien personenbezogener Daten“ (Art. 9, 10 DSGVO, § 11 KDG, § 13 DSG-EKD) handelt, zum Beispiel um Gesundheitsdaten. Darüber hinaus muss definiert werden, welcher Verarbeitungszweck mit den personenbezogenen Daten verfolgt wird und auf welcher rechtlichen Grundlage dieser Zweck fußt.
Bei der Wahl der Rechtsgrundlage im Rahmen der Datenverarbeitung sollte auf die Möglichkeit, eine Einwilligung der Betroffenen einzuholen, verzichtet werden, da mit der Einholung und der Dokumentation sowie aufgrund der Möglichkeit des jederzeitigen Widerrufs von Einwilligungen ein erhöhter Verwaltungsaufwand einhergeht.
Als Rechtsgrundlagen für die Verarbeitung von beispielsweise Kunden- oder Patientendaten empfehlen wir stattdessen eine vertragliche Rechtsgrundlage (Art. 6 Abs. 1 Satz 1 lit. b DSGVO, § 6 Abs. 1 lit. c KDG, § 6 Nr. 5 DSG-EKD) bzw. ein berechtigtes Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO, § 6 Abs. 1 lit. g KDG, § 6 Abs. 1 Nr. 4 und 7 DSG-EKD) heranzuziehen; im Rahmen der Verarbeitung von Mitarbeiterdaten bieten sich Art. 88 DSGVO i. V. m. § 26 BDSG bzw. § 53 KDG oder § 49 DSG-EKD an.
Vereinbarung zur Auftragsverarbeitung oder gemeinsame Verantwortlichkeit
Die Frage nach der Einbindung von Dritten ist ein weiterer zentraler Aspekt bei der Beurteilung der datenschutzrechtlichen Konformität einer Software. Diese Situation kann in verschiedenen Szenarien auftreten:
So könnte es sein, dass ein externer Dienstleister bestimmte Aufgaben im Auftrag und nach Weisung im Zusammenhang mit der Software übernimmt oder diese zur Verfügung stellt. Dies stellt in der Regel eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO bzw. § 29 KDG/ § 30 DSG-EKD dar, worüber ein Auftragsverarbeitungsvertrag abzuschließen ist. Der Auftragsverarbeitungsvertrag legt die Pflichten und Verantwortlichkeiten der beteiligten Parteien fest und stellt sicher, dass der Datenschutz gewahrt wird.
Auch die neu geschaffene Möglichkeit der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO bzw. § 28 KDG/§ 29 DSG EKD könnte hier relevant sein. Eine gemeinsame Verantwortlichkeit liegt vor, wenn die Zwecke und Mittel der Datenverarbeitung gemeinsam mit einem Dritten festgelegt werden, und setzt unter anderem eine gemeinsam und gleichberechtigt genutzte technische Infrastruktur bzw. Datenbank voraus. Außerdem ist zu klären, welche Rolle die beteiligten Parteien einnehmen und wie die Verantwortlichkeiten im Hinblick auf den Datenschutz geregelt sind. Falls eine gemeinsame Verantwortlichkeit vorliegt, ist darüber ein Vertrag abzuschließen und eine Datenschutzinformation für die Betroffenen zu erstellen, woraus die gemeinsame Datenverarbeitung hervorgeht. Auch könnte in diesem Zusammenhang eine Einwilligung des Betroffenen zur Weitergabe erforderlich werden, wenn eine gemeinsame Verantwortlichkeit nachträglich beabsichtigt ist.
Datenschutz durch Technik
Der Grundsatz des Datenschutzes durch Technik (Art. 25 DSGVO, § 27 KDG, § 28 DSG EKD), auch bekannt als „Privacy by Design“ und „Privacy by Default“, ist von essenzieller Bedeutung für die DSGVO-Konformität einer Software. Er verlangt, dass Datenschutz von Anfang an in die Entwicklung einer Software integriert wird und etwaige Voreinstellungen datenschutzfreundlich sind.
Die Umsetzung des Grundsatzes ist nicht nur eine rechtliche Anforderung, sondern trägt auch maßgeblich zur Sicherheit und Vertrauenswürdigkeit der Software bei. Durch die Integration von Datenschutzmaßnahmen in die technische Gestaltung der Software wird sichergestellt, dass die personenbezogenen Daten der Nutzer bestmöglich geschützt sind. Dies stärkt nicht nur die Rechte der betroffenen Personen, sondern kann auch als Wettbewerbsvorteil für das Unternehmen dienen, da Datenschutz zunehmend an Bedeutung gewinnt.
Es ist wichtig, auf Entwicklerebene sicherzustellen, dass Datenschutzaspekte bei jedem Schritt des Entwicklungsprozesses berücksichtigt werden. Dies beinhaltet die Auswahl geeigneter Technologien, die Implementierung von Datenschutzfunktionen – wie zum Beispiel eine Funktion zur Löschung von Daten, geeignete Verschlüsselungstechniken, Zugriffsbeschränkungen und sichere Authentifizierungsverfahren – sowie die regelmäßige Überprüfung der Sicherheitsmaßnahmen.
Spiegelbildlich ist auf Anwenderebene entscheidend, dass im Rahmen der Nutzung nur die tatsächlich erforderlichen Daten erhoben und verarbeitet werden. Es sollten keine überflüssigen oder sensiblen Daten gesammelt werden, die nicht unmittelbar für den Verarbeitungszweck notwendig sind. Dies reduziert das Datenschutzrisiko erheblich und gewährleistet, dass nur relevante Informationen verarbeitet werden.
Einbindung von Betriebsrat oder Mitarbeitervertretung
Die Verarbeitung von Mitarbeiterdaten kann verschiedene Ausprägungen annehmen, von der Zeiterfassung bis hin zur Auswertung von Arbeitsleistung und Verhaltensweisen. Damit einher geht die Möglichkeit der Kontrolle der Mitarbeiter. Daher stellt sich neben den datenschutzrechtlichen Aspekten der potenziellen Kontrolle der Mitarbeiter auch die Frage nach betriebsverfassungsrechtlichen oder personalvertretungsrechtlichen Mitbestimmungsrechten. Denn nach den Vorgaben im Betriebsverfassungsgesetz (§ 87 Abs. 1 Nr. 6 BetrVG) und in der Mitarbeitervertretungsordnung (§ 36 Nr. 9 MAVO) löst bereits der Umstand, dass eine Software potenziell geeignet ist, eine Kontrolle der Mitarbeiter durchzuführen, die Mitbestimmungspflicht aus. Die Software muss also noch nicht einmal auf Kontrolle ausgelegt sein, sondern sie lediglich (nebenbei) erlauben, um in den Anwendungsbereich der Mitbestimmung zu fallen. Daraus ergibt sich oftmals die Notwendigkeit des Abschlusses einer Betriebsvereinbarung; andernfalls wäre zum Beispiel bereits bei jedem einzelnen Zugriff auf E-Mails eines urlaubs- oder krankheitsbedingt abwesenden Mitarbeiters eine Entscheidung des Betriebsrats einzuholen. Aus unserer Erfahrung ist deshalb in Einführungsprojekten die frühzeitige Einbeziehung des Betriebsrats in die erarbeiteten Konzepte und die Teilnahme an Projektsitzungen sinnvoll, um frühestmöglich vollständige Transparenz über die geplanten Prozesse herzustellen.
Praxis-Hinweis
Im zweiten Teil unserer Serie widmen wir uns in Ausgabe 1/2024 der Solidaris Information der Einbindung von Dienstleistern und Dritten aus dem EU-Ausland, der Durchführung einer Datenschutz-Folgenabschätzung und dem Verzeichnis der Verarbeitungstätigkeiten. Bei Beratungsbedarf sprechen Sie uns gerne an!