Liebe Leserin, lieber Leser,
man hört die Frage immer öfter: Wie passen Software-Entwicklung und Datenschutz zusammen? Was darf man? Was sollte man besser lassen? Und machen wir überhaupt alles richtig?
Das ist sicherlich ein kompliziertes Thema, über das sich die meisten Entwickler, Projektmanager, Human Resources Manager und Unternehmen nicht besonders freuen. So sind allein in Deutschland unzählige Firmen aufgrund von Datenschutz- und Compliance-Vorgaben auf der Suche nach Cloud-Lösungen, die DSGVO-kompatibel sind.
Leider unterliegen alle amerikanischen Cloud-Provider dem US Cloud Act, selbst im Ausland. Und das bedeutet: Theoretisch dürfen amerikanische Behörden auf alle weltweit gespeicherten Informationen in der Cloud zugreifen. Mit der EU-DSGVO ist so etwas natürlich nicht vereinbar. Deswegen suchen Unternehmen händeringend nach europäischen Cloud- und Rechenzentrumsanbietern, bei denen sie ihre wertvollen Daten speichern können.
Sie sehen: Das Thema Datenschutz ist eine heikle Sache, die viele betrifft. Aber wie sollten Entwickler-Teams jetzt damit umgehen?
Datenschutz in der Verarbeitung
Viele Entwickler arbeiten früher oder später mit Kundendaten – spätestens in der Produktiv- oder Staging-Umgebung. Sicherlich kann man so lange es geht Beispieldaten verwenden. Aber Max Mustermann ist eben kein richtiger Kunde und für solche Tests nur bedingt sinnvoll.
Und spätestens dann, wenn die Entwickler Zugriff auf die Datenbank mit den Kundendaten erhalten, haben wir ein Problem. Ist es ein externer Freelancer, der daran arbeitet? Ein Fremdunternehmen? Oder gehört sie oder er zu den Mitarbeitenden?
Bei externen Fachkräften ist auf jeden Fall ein Auftragsdatenverarbeitungs-Vertrag (ADV-Vertrag) notwendig, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden – das Speichern gehört übrigens ebenso dazu.
Für Mitarbeitende gilt das in der Form nicht. Dennoch müssen sie von ihrem Arbeitgeber zur Einhaltung der Datenschutzgesetze bzw. auf Vertraulichkeit verpflichtet werden. Wer neu in ein Unternehmen kommt, erhält vor seinem Antritt neben dem Arbeitsvertrag die IT-Nutzungsrichtlinie und Verpflichtungserklärung nach der DSGVO.
Bereits beschäftigte Entwickler sollten eine Neuverpflichtung entsprechend der DSGVO erhalten. Hier bietet es sich an, auch eine Schulung zum Datenschutz durchzuführen.
No-Gos: Entwickler haben viele Rechte und Zugriffsmöglichkeiten, das ist klar. Dennoch sollte man es lieber lassen, mal eben in der Kundendatenbank zu schauen, was die Nachbarn so bestellen. Früher oder später kommt es meistens heraus. 😬
Datenschutz in der Entwicklung
Software-Entwicklung und Datenschutz passen eigentlich nicht gut zusammen. Das liegt schon daran, dass es unser Ziel ist, die Zielgruppe bzw. den Kunden so gut wie nur möglich zu kennen.
Wir sprechen hier über User Experience, Customer Journeys, Warenkörbe, Suchintention und wie wir diese ständig verbessern können. Unsere Projektmanager oder Project Owner möchten jeden Schritt tracken und genau wissen, wann, wo und warum ein Kaufprozess abgebrochen wurde, um diesen optimieren zu können.
Funktionen wie „Kunden, die X gekauft haben, haben auch Y gekauft“ analysieren umfangreich die Daten der Kunden, um herauszufinden, wie man ihnen noch mehr verkaufen kann.
Viele Unternehmen kommunizieren daher erst gar nicht, wie die Kundendaten verarbeitet werden. Wenn keine Infos darüber vorliegen, kann man schließlich auch nicht belangt werden, ist der Grundgedanke.
Es gibt aber auch einfachere Wege. Viele Kundendaten lassen sich anonymisieren bzw. erst gar nicht auslesen. Das Prinzip „Privacy by Design“ folgt beispielsweise der Idee, dass Datenschutz schon während der Software-Entwicklung implementiert werden sollte und nicht im Nachhinein.
Für Entwickler bedeutet das: Gibt es Möglichkeiten, die Kundendaten gar nicht erst zu nutzen? Oder nur teilweise? Oder anonymisiert?
Wer sich rechtzeitig Gedanken darüber macht, spart später die Zeit und Arbeit, den Datenschutz im Nachhinein integrieren zu müssen.
Datenschutz als Chance
Jede Herausforderung birgt aber auch eine Chance. Wie könnte die Hürde „Datenschutz“ statt einem Nachteil sogar einen Vorteil bringen?
Mittlerweile blockieren z. B. fast alle Browser das Tracken und somit das Ausspähen der Kunden. Apple hat damit bei seinen Smartphones angefangen, viele weitere zogen nach. Irgendwann in 2024 wird auch der Chrome-Browser als letzter das Tracken unmöglich machen.
Die Nutzer finden das gut – entsprechend kommen auch die Unternehmen diesem Verlangen nach und reduzieren das Tracking. Sogenannte „Datenkraken“ werden immer unbeliebter. Wer also offen kommuniziert, dass man kaum oder keine persönlichen Daten verarbeitet, kann bei seiner Zielgruppe punkten.
Bitte keine Schatten-IT
Wie Sie vermutlich wissen, gibt es viele tolle SaaS-Angebote für Entwickler. Leider kommen diese meist aus den USA und sind aufgrund der in den USA angesiedelten Rechenzentren nicht DSGVO-konform. Grundsätzlich sollten Sie immer vor Verwendung solcher Tools mit der IT klären, ob Sie sie einsetzen dürfen. Andernfalls entsteht eine sogenannte „Schatten-IT“, von der die IT-Abteilung nichts weiß und die sie auch nicht steuern kann.
Lernen Sie doch was mit Datenschutz
Das Thema Datenschutz könnte so einfach sein …? Leider nicht. Das wissen auch wir und bieten deshalb zahlreiche Seminare an, die sich damit beschäftigen.
Mein Tipp: Schulungen zum Datenschutzmanager, den SAP® Führerschein für Datenschutzbeauftragte, die Ausbildung zum Datenschutzbeauftragten (DSGVO) und viele mehr.
Natürlich werden wir auch in unseren anderen Seminaren oder Web Based Trainings auf das Thema Datenschutz eingehen, sofern es inhaltlich passt.
Falls Sie mal nicht weiterwissen oder Inspiration suchen, schauen Sie doch mal in unser aktuelles Programm. Hier finden Sie eine Übersicht aller unserer Seminare.
Ich wünsche Ihnen viel Erfolg, und schützen Sie Ihre Daten!
Ihr
Oliver Haberger
Dipl.-Kfm. Univ.
Geschäftsführer