Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
softwarebeschaffung [2019/06/05 10:49]
Martin Neldner [Neuere Entwicklungen]
softwarebeschaffung [2020/10/07 19:33] (aktuell)
Admin [Anforderungen]
Zeile 47: Zeile 47:
 Um die etwaigen Wechselfristen so kurz wie möglich zu halten, muss ebenfalls noch in der Beschaffungsphase die [[:datenportabilitaet|Datenportabilität]] geprüft werden. Im Verhältnis [[:betroffene_person|]] zu [[:verarbeiter|Verarbeiter]] wird das [[:recht_auf_datenuebertragbarkeit|Recht auf Datenübertragbarkeit]] bisweilen etwas belächelt, weil es in der Praxis allenfalls ein frommer Wunsch ist. Im professionellen Bereich ist dieses Ansinnen des europäischen Gesetzgebers aber geradezu essentiell geworden: Kann der Anbieter mir meine Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" gemäß [[https://dejure.org/gesetze/DSGVO/20.html|Art. 20]] DSGVO übermitteln und - was nicht in der DSGVO steht- kann ein anderer Anbieter (bzw. bei einer alternativen On-Premises-Lösung die eigene IT-Abteilung) etwas mit diesen Daten anfangen? Um die etwaigen Wechselfristen so kurz wie möglich zu halten, muss ebenfalls noch in der Beschaffungsphase die [[:datenportabilitaet|Datenportabilität]] geprüft werden. Im Verhältnis [[:betroffene_person|]] zu [[:verarbeiter|Verarbeiter]] wird das [[:recht_auf_datenuebertragbarkeit|Recht auf Datenübertragbarkeit]] bisweilen etwas belächelt, weil es in der Praxis allenfalls ein frommer Wunsch ist. Im professionellen Bereich ist dieses Ansinnen des europäischen Gesetzgebers aber geradezu essentiell geworden: Kann der Anbieter mir meine Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" gemäß [[https://dejure.org/gesetze/DSGVO/20.html|Art. 20]] DSGVO übermitteln und - was nicht in der DSGVO steht- kann ein anderer Anbieter (bzw. bei einer alternativen On-Premises-Lösung die eigene IT-Abteilung) etwas mit diesen Daten anfangen?
  
 +Für den oben angesprochenen Notfall der sofortigen Diensteinstellung (typischerweise in der Insolvenz) sollte geprüft werden, ob eine vollständige oder teilweise Speicherung der Daten, die bei dem Anbieter liegen, auf Systemen möglich und sinnvoll ist, die von dem Anbieter unabhängig sind. Um das an einem Beispiel zu verdeutlichen: Eine Datenschutzmanagement-Software (DSMS) wird die Hauptaufgabe haben, dass darüber das Verzeichnis von Verarbeitungstätigkeiten ([[VVT]]) geführt wird. Die VVT-Einträge könnten und sollten als [[https://de.wikipedia.org/wiki/PDF/A|PDF-A]] auch an das Archiv der Organisation übermittelt werden.
  
 ===== To DO ===== ===== To DO =====
Zeile 57: Zeile 58:
   * Datenschutz im Leistungsvertrag verankern.   * Datenschutz im Leistungsvertrag verankern.
   * Kündigungsfristen bei [[SaaS]] müssen lang genug für die Implementierung einer Ersatzlösung sein, um gegen Änderungswünsche des Vertragspartner, die für den Datenschutz problematisch sind, gewappnet zu sein.   * Kündigungsfristen bei [[SaaS]] müssen lang genug für die Implementierung einer Ersatzlösung sein, um gegen Änderungswünsche des Vertragspartner, die für den Datenschutz problematisch sind, gewappnet zu sein.
-  * [[Auftragsverarbeitung]] ist der [[AV-Vertrag]] möglichst mit dem Hauptvertrag abzuschließen und nicht im Nachhinein.+  * Im Falle von [[Auftragsverarbeitung]] ist der [[AV-Vertrag]] möglichst mit dem Hauptvertrag abzuschließen und nicht im Nachhinein.
   * Vorschlag für [[VVT]] und [[Datenschutzerklärung]] vom Dienstleister unterbreiten zu lassen, ist in vielen Fällen zweckmäßig.   * Vorschlag für [[VVT]] und [[Datenschutzerklärung]] vom Dienstleister unterbreiten zu lassen, ist in vielen Fällen zweckmäßig.
-  * [[Datenportabilität]] in möglichst hohem Umfang sicherstellen durch Tests und rechtliche Absicherung+  * [[Datenportabilität]] in möglichst hohem Umfang sicherstellen durch Testsrechtliche Absicherung und gegebenenfalls tatsächliche anbieterunabhängige (natürlich datenschutzgerechte!) Speicherung 
 +  * Exit-Strategie planen (über Kündigungsfristen und Datenportabilität hinaus)
  
 ===== Anforderungen ===== ===== Anforderungen =====
  
 Software sollte wenigstens folgende Anforderungen erfüllen((Vgl. noch zum BDSG [[https://www.datenschutzbeauftragter-info.de/anforderungen-an-software-besser-vorher-an-datenschutz-und-it-sicherheit-denken/|Anforderungen an Software: Besser vorher an Datenschutz und IT-Sicherheit denken!]].)): Software sollte wenigstens folgende Anforderungen erfüllen((Vgl. noch zum BDSG [[https://www.datenschutzbeauftragter-info.de/anforderungen-an-software-besser-vorher-an-datenschutz-und-it-sicherheit-denken/|Anforderungen an Software: Besser vorher an Datenschutz und IT-Sicherheit denken!]].)):
-  * Zugriffskontrolle +  * Zugriffskontrolle, 
-  * Eingabekontrolle +  * Eingabekontrolle, 
-  * Protokollauswertungen +  * Protokollauswertungen, 
-  * Archivierung und Löschung+  * Archivierung und Löschung.
  
 +Spezifisch bei [[SaaS]] oder hybriden Lösungen sollten folgende Anforderungen erfüllt sein:
 +
 +  * Dokumentation, welche Daten an den Anbieter übermittelt werden und wie die Übermittlung abgesichert ist,
 +  * Zertifizierung der IT-Sicherheit des Anbieters, hilfsweise konkrete Dokumentation der Maßnahmen zur IT-Sicherheit,
 +  * falls [[Drittstaatenübermittlung]] vorliegt,
 +    * Benennung der (aller) Drittstaaten, in die übermittelt wird,
 +    * Benennung der Rechtsgrundlagen (vgl. Art. 44 ff. DSGVO) für die Übermittlung,
 +    * Dokumentation der Erfüllung aller Anforderungen einer Drittstaatenübermittlung,
 +    * bei Übermittlung in die USA, Erklärung, ob der [[Cloud Act]] Anwendung findet(woraufhin die Zulässigkeit der Übermittlung unter diesem Aspekt intensiv zu prüfen ist) oder aufgrund welcher nachzuweisenden Umstände der Cloud Act keine Anwendung finden soll,
 +  * bei Anbietern mit Sitz in den USA oder mit relevanten Anteilseignern in den USA: Nachweis durch den Anbieter, dass eine Übermittlung in die USA technisch ausgeschlossen ist oder falls die Übermittlung nicht technisch ausgeschlossen ist, vollumfängliche Erfüllung der Anforderungen an Übermittlungen in die USA (siehe oben),
 +  * im Falle von [[Auftragsverarbeitung]]: ein Muster für einen [[AV-Vertrag]] mit Benennung der Unterauftragsverarbeiter,
 +  * bei hohem Schutzbedarf und soweit für die konkrete Anwendung sinnvoll: Ende-zu-Ende Verschlüsselung.
 +
 +Die Softwareanbieter sollten wenigstens folgende Anforderungen erfüllen:
 +  * Benennung der für den Anbieter zuständigen Aufsichtsbehörde,
 +  * Bestellung eines Datenschutzbeauftragten, (Wenn ein Datenschutzbeauftragter nach dem [[BDSG]] nicht bestellt werden muss, ist ein Nachweis erforderlich wie der Datenschutz dann sichergestellt wird. In solchen Fällen ist die freiwillige Bestellung eines DSB vorzugswürdig.)
 +  * Bonität.
 ===== Weblinks ===== ===== Weblinks =====
  
Drucken/exportieren
QR-Code
QR-Code Softwarebeschaffung (erstellt für aktuelle Seite)