Suchen

DSGVO-konforme Software und Dienste Wie man daten­schutz­konforme Software­lösungen auswählt

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Häufig wird behauptet, der Datenschutz behindere die Nutzung neuer Technologien. Dabei verlangt die Datenschutz-Grundverordnung ausdrücklich den Stand der Technik bei Schutzmaßnahmen. Entsprechend haben sich Aufsichtsbehörden für den Datenschutz auch bereits mit dem Thema Quantencomputer befasst. Dies zeigt beispielhaft, wie man im Datenschutz neue Technologien bewertet.

Firmen zum Thema

Die Prüfung, ob eine Software DSGVO-konform genutzt werden kann, bedeutet einigen Aufwand. Es gibt aber durchaus Anforderungskriterien, die bei der Prüfung helfen können.
Die Prüfung, ob eine Software DSGVO-konform genutzt werden kann, bedeutet einigen Aufwand. Es gibt aber durchaus Anforderungskriterien, die bei der Prüfung helfen können.
(Bild: gemeinfrei / Pixabay )

Eigentlich besteht laufend der Bedarf, sich über den praktizierten Datenschutz einer Software zu informieren, bei jeder Lösung und jedem Online-Service, den man nutzen möchte oder den man nutzt. Immerhin kann jedes Update zu einer Änderung führen, die Relevanz für den Datenschutz hat.

Doch die Corona-Pandemie hat dazu geführt, dass sehr viele neue oder veränderte Lösungen zum Einsatz gekommen sind, gerade in den Home-Offices und beim Home-Schooling. Nicht nur die Zahl der benötigten Lösungen stellte und stellt eine Herausforderung dar, sondern auch die besondere IT-Umgebung mit ihren speziellen Risikofaktoren.

„Zur Sicherstellung des Betriebs wurde auch von der öffentlichen Verwaltung mangels erkennbarer Alternativen nur allzu häufig auf Dienste und Software zurückgegriffen, die unsicher und datenschutzrechtlich nicht akzeptabel sind“, erklärte zum Beispiel die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Doch wie findet man Software und Dienste, die datenschutzrechtlich akzeptabel sind, im Home-Office, für das Home-Schooling und ganz allgemein im Unternehmen und in der Behörde?

Alternativen für problematische Dienste und Software gesucht

„Bei der Auswahl von Video- oder Telefonkonferenzsystemen sollte aus technischer Sicht darauf geachtet werden, dass der Anbieter weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswertet oder an Dritte weitergibt“, empfahl der Landesdatenschutzbeauftragte Baden-Württemberg. „Dies können datenschutzrechtlich Verantwortliche am besten sicherstellen, wenn sie oder ihr Dienstleister eine entsprechende Softwarelösung „On Premises“ – also im eigenen Rechenzentrum – bereitstellen oder aufbauen. Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren. Dazu bieten sich zahlreiche Lösungen auf Basis von Open-Source-Software an (z.B. Nextcloud Talk, BigBlueButton oder Matrix), die prinzipiell datenschutzgerecht einsetzbar sind“, so der Landesdatenschutzbeauftragte weiter.

Auch für den Bereich Messenger nennt er technische Alternativen: „Anders als der weit verbreitete US-Messenger WhatsApp funktioniert Threema datenschutzkonform und ist dabei zuverlässig und nutzerfreundlich. Wenn man möchte, kann man den marktbeherrschenden US-Anbietern bessere europäische Lösungen entgegensetzen. Deren Vorteil besteht gerade darin, dass sie unsere Werte wie den Datenschutz aktiv unterstützen.“

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte im Juli 2020 die Ergebnisse einer Kurzprüfung von Videokonferenzdiensten verschiedener Anbieter auf ihrer Webseite veröffentlicht. Geprüft wurden die Auftragsverarbeitungsverträge, die die Verantwortlichen mit den Videokonferenz-Dienstanbietern standardmäßig schließen. Soweit die Auftragsverarbeitungsverträge rechtskonform sind, erfolgte zudem eine kursorische Untersuchung einiger technischer Aspekte der Dienste.

Die Aufsichtsbehörde wies aber darauf hin, dass sie keine umfassende Prüfung der Dienste durchgeführt hat. Insbesondere sei keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärung erfolgt.

„Die Prüfung, ob ein Dienst datenschutzkonform nutzbar ist, ist aufwendig und bringt viele Verantwortliche an ihre Grenzen“, so die Berliner Beauftragte. „Mit unserer Kurzprüfung wollen wir eine Hilfestellung bieten. Ich begrüße es, dass erste Anbieter bereits von sich aus auf uns zugekommen sind, damit wir ihren Dienst in unsere Prüfungen einbeziehen. Wenn unsere Prüfergebnisse dazu führen, dass bisher mangelhafte Dienste ihr Angebot nachbessern, wäre das natürlich besonders erfreulich. Die ersten Erfolge in dieser Hinsicht konnten wir bereits verzeichnen.“

Nun ist eine solche Kurzliste zweifellos hilfreich, doch es gibt viele Lösungsbereiche, in denen Unternehmen und Behörden neue Software einsetzen oder bestehende Software hinsichtlich Datenschutz prüfen wollen.

Mangels Datenschutzzertifizierung nach DSGVO ist es nicht leicht, die DSGVO-Konformität einer Lösung festzustellen. Doch auch wenn es keine umfassenden Lösungskataloge für datenschutzkonforme Software und Services gibt, liefern die Aufsichtsbehörden wertvolle Hinweise für die Datenschutz-Bewertung von Software.

Aufsichtsbehörden nennen wichtige Auswahlkriterien

Werden Lösungen für die Online-Kommunikation gesucht, gibt es eine Reihe von generellen Punkten, die man beachten sollte, wie der Landesdatenschutzbeauftragte Baden-Württemberg erläuterte: „Ein datenschutzkonformer und sicherer Betrieb einer Kommunikationslösung kann nur durch entsprechende technische und organisatorische Maßnahmen erreicht werden. Dazu zählen unter anderem: Alle Datenflüsse sind per Transportverschlüsselung (TLS) nach dem Stand der Technik abzusichern. Dies schützt vor dem Mitschneiden durch unbeteiligte Dritte auf dem Transportweg.

Bei sensiblen Daten oder wenn ein nicht 100 Prozent vertrauenswürdiger Dienstleister verwendet wird, sollte der Inhalt zusätzlich per Ende-zu-Ende-Verschlüsselung (E2EE) geschützt sein.“

Für die Nutzung von Messenger-Diensten in so kritischen Bereichen wie Krankenhäuser haben die Aufsichtsbehörden für den Datenschutz eine Orientierung veröffentlicht, die aufzeigt, welche Anforderungen die DSGVO an einen solchen Kommunikationsdienst stellt.

„Messenger-Dienste bieten eine willkommene Erleichterung der Kommunikation in den verschiedensten Institutionen. Doch viele gängige Dienste gehen mit datenschutzrechtlich nicht akzeptablen Risiken einher“, erklärt die Berliner Datenschutzbeauftragte. „Um diese zu vermeiden, müssen die jeweiligen Institutionen einen geeigneten Dienst sorgfältig auswählen und auf Risiken prüfen oder selbst betreiben. Nichtstun ist keine Option mehr.“

Die Landesdatenschutzbeauftragte NRW empfahl Unternehmen, Behörden und anderen Organisationen, bei der Entscheidung für einen Messenger-Dienst insbesondere zu prüfen, ob:

  • 1. der Diensteanbieter die Nutzer transparent über die mit der Nutzung verbundene Datenverarbeitung informiert. Die Informationen müssen in einem klar erkennbaren Bereich (z.B. Hinweise zum Datenschutz, Datenschutzerklärung) für den jederzeitigen Zugriff hinterlegt sein,
  • 2. der Diensteanbieter die Vorgaben der DSGVO einhält, insbesondere im Hinblick auf die (Nicht-)Weitergabe und (Nicht-)Auswertung personenbezogener Daten,
  • 3. die Applikation hinsichtlich ihrer Konfigurationseinstellungen dem Grundsatz datenschutzgerechter Voreinstellungen (Art. 25 Abs. 2 DSGVO) entspricht,
  • 4. die Applikation genutzt werden kann, ohne die im Adressbuch vorhandenen Kontaktdaten, insbesondere Telefonnummern, für Zwecke des Diensteanbieters bzw. für fremde Zwecke an den Diensteanbieter zu übermitteln,
  • 5. ausgeschlossen ist, dass eine Nutzer-ID weiterverwendet werden kann, nachdem diese dem Nutzer beim originären Dienst nicht mehr zur Verfügung steht,
  • 6. übermittelte Daten mit allgemein anerkannten und dem Stand der Technik entsprechenden Verfahren verschlüsselt werden.

Das Landesamt für Datenschutzaufsicht in Bayern nennt ebenfalls Punkte, die beim Messenger-Einsatz zu beachten sind:

  • Kommunikation der Inhalte erfolgt Transport-und Ende-zu-Ende verschlüsselt
  • Keine Verwendung oder Weitergabe der Verkehrsdaten (wer wann mit wem kommuniziert) an den Anbieter für Zwecke wie Werbung oder Profiling
  • Ende-zu-Ende-Verschlüsselung auch von Anhängen wie Bildern oder Textnachrichten
  • Einsatz einer Mobile-Device-Management Lösung zur Steuerung von Kontakt-Uploads an Messenger-Anbieter

Dabei sollte man diese Kriterien bei der Lösungssuche generell beachten bzw. übertragen, da diese Hinweise auch für viele andere Softwarebereiche und Services hilfreich sein können. Es zeigt sich: Es gibt durchaus Anforderungskriterien, die bei der Prüfung helfen können, ob eine Software DSGVO-konform genutzt werden kann. Die Prüfung jedoch bedeutet einigen Aufwand. Prüfungsergebnisse der Aufsichtsbehörden sind natürlich hilfreich, doch kann die Datenschutzaufsicht die enorm vielen Prüfungen, die erforderlich sind, nicht alleine leisten. Es wird also höchste Zeit, dass das Instrument der Datenschutzzertifizierung nach DSGVO aktiv genutzt werden kann und wird, damit die Suche nach datenschutzkonformen Lösungen wirksam unterstützt wird.

(ID:46987654)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research