Agentursoftware und DSGVO

Über die „neue“ Datenschutzgrundverordnung DSGVO ist viel und ausführlich geschrieben worden. Die stattliche Anzahl der gesetzlichen Bestimmungen wurde mehr oder weniger vollständig in den verschiedenen Produkten der Anbieter von Agentursoftware umgesetzt.

Wie aber finden Sie heraus, ob die Programmierer die gesetzlichen Vorschriften korrekt und vor allem vollständig umgesetzt haben? Wir geben Ihnen Hilfestellung. Anhand der nachfolgenden Kriterien können Sie die Agentursoftware verschiedener Anbieter auf Herz und Nieren – bzw. auf Bit und Byte – prüfen.


„Einwilligung“ (Art.6 DSGVO) und Nachweispflicht (Art.7 DSGVO)

Worum geht es?

Werden in der Agentur personenbezogene Daten gespeichert, muss dazu die Einwilligung der betroffenen Person vorliegen. Diese Einwilligung muss schriftlich dokumentiert sein und durch die Agentur auch nachgewiesen werden können. Wichtig ist also die Dokumentation der Einwilligung in die Datenverarbeitung. Dies kann über Kategorien oder sog. „Tags”, besser über Notizen am Datensatz oder durch gespeicherte Dokument der Einwilligung erfolgen.

Ebenfalls genehmigungspflichtig ist die Weitergabe von Daten an Dritte. Etwa an einen externen Dienstleister für den Versand eines Mailings oder den Export einer Teilnehmerliste.

Die Einwilligung in die Datenspeicherung impliziert das Recht auf Widerruf.

Was bedeutet das für die Software?

Hier werden gleich mehrere – vermutlich für die meisten Produkte neue – funktionale Anforderungen angesprochen. Erforderlich sind:

  • Möglichkeiten zur Bestimmung der gegebenen Einwilligung
  • Möglichkeit zum Entzug der gegebenen Einwilligung
  • Hinterlegung von Zeitpunkt und Art der gegebenen Einwilligung
  • Festhalten des aktuellen Status der Person

Letzteres ist vor allem wichtig für das Filtern von Personendatensätzen, um beispielsweise einen Mailingverteiler zu erstellen. Weshalb meines Erachtens das Festhalten entsprechender Status-Informationen in „Schlagwort-Wolken“ oder über Tags zwar für eine Übergangsphase denkbar ist, aber auf Dauer nicht ausreichend sein dürfte.

Die Umsetzung könnte beispielsweise erreicht werden über

  • Datenspeicherung erlauben
  • Checkboxen, über die gekennzeichnet wird, ob die Person ihre Zustimmung gegeben hat
  • Felder mit Datum und Art, da ggf. ein Nachweis darüber erbracht werden muss
  • Auswahlfeld für den Status
  • Fortlaufendes Feld zur Protokollierung von Änderungen

„Vertraulichkeit“ und „Integrität“ (Art.5 DSGVO)

Worum geht es?

Die in der Agentur gespeicherten Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet wird. Hier ist sowohl der Schutz vor (un-)bewusstem Zugriff als auch vor (un-)beabsichtigtem Verlust oder Zerstörung der Daten angesprochen.

Was bedeutet das für die Software?

Zunächst müssen erhobene Daten vor unbefugtem Zugriff geschützt werden. Hier werden viele unterschiedliche Funktionen angesprochen, die sich auf die Rechtesystematik der Software auswirken. Die Systeme müssen Mechanismen zur Verfügung stellen, die verhindern, dass unberechtigte Personen Daten einsehen können, die dem Datenschutz unterliegen. Das System muss dafür geeignete Berechtigungskonzepte vorweisen können, die den Zugriff, das Löschen, die Weiterverarbeitung innerhalb und den Export regulieren (privacy by design).

Im Prinzip wird hier die Notwendigkeit eines horizontalen, eines vertikalen und eines diagonalen Rechtekonzepts angesprochen. Es sollte also nicht nur möglich sein, eine Tabelle für Anwender komplett zu sperren, sondern auch einzelne Datensätze einer Tabelle. Beispielsweise alle Personen, die ein VIP-Kennzeichen haben.

Während diese beiden ersten Varianten in den meisten Systemen bereits vorhanden sind oder sein sollten, wird das zusätzlich notwendige Zugriffsrecht für manche Anbieter eine Herausforderung darstellen: die Möglichkeit, sensible von unsensiblen Daten zu trennen.

So halten viele Software-Lösungen CRM-Daten lediglich in einer Ebene/einem Fenster bereit, so dass nicht zwischen sensiblen und weniger sensiblen Daten unterschieden wird, geschweige denn mit einem spezifischen Zugriffsrecht belegt werden können.

Die oben genannten Berechtigungskonzepte sollen laut DSGVO auch als Voreinstellungen vorhanden sein. Beispielsweise in Form von Rollen-Berechtigungen. Wird dann ein neuer User in der Datenbank angelegt, sollte sichergestellt sein, dass Daten erst dann eingesehen werden können, wenn eine Rolle mit entsprechend hinterlegten Berechtigungen zugewiesen worden ist. Vorher darf es keinerlei Zugriffsmöglichkeiten auf (personenbezogene) Daten geben. (privacy/data protection by default).

Datenschutzprotokoll - Beispiel

Um den Weg der Daten auch innerhalb eines Nutzungsrechtes kontrollieren zu können, wäre das Protokollieren diesbezüglicher Änderungen zwar nicht zwingend notwendig, aber eine gute zusätzliche Funktion.

Thema Datenspeicherung: Begrenzung und Löschung (Art.5, 17, 18 DSGVO)

Worum geht es?

Wurden Daten nun mit Erlaubnis erfasst und dafür gesorgt, dass nur Berechtigte Zugriff auf sie haben, ist sicherzustellen, dass Daten nur so lange gespeichert werden, wie es für den Verarbeitungszweck notwendig ist. Sie müssen gelöscht werden, wenn dies verlangt wird oder durch Wegfall des Nutzungszwecks angezeigt ist.

An diesem Punkt wird besonders deutlich, warum die Vorordnung nur ebendies ist und kein gemeingültiges Gesetz. Denn sog. „Öffnungsklauseln“ erlauben den Bezug auf spezifische Länderrechte innerhalb der EU – z.B. fiskalische Aufbewahrungsfristen. Eine Person kann nicht komplett gelöscht werden, wenn die Daten noch für andere (z.B. steuerliche) Zwecke gesetzlich gefordert vorgehalten werden müssen.

Bedeutsam ist an dieser Stelle auch, dass in der Verordnung – anders als im deutschen Datenschutzgesetz der Begriff der „Sperrung“ auftaucht. Denn im obigen wie auch im folgenden Fall kann es begründet sein, einen Personendatensatz nicht zu löschen, sondern nur zu sperren.

Nehmen wir an, Sie haben Adressen eingekauft, um ein Mailing durchzuführen. Nun meldet sich Herr X mit der Bitte um Löschung seiner Daten, was Sie auch unverzüglich erledigen. Irgendwann kaufen Sie wieder Adressen für einen weiteren Versand – und die vermeintlich gelöschte Adresse ist wieder enthalten, was Herrn X nicht sehr freuen dürfte. An dieser Stelle wäre also eine Datensatzsperrung mit einem entsprechenden Vermerk weitaus sinnvoller.

Was bedeutet das für die Software?

Datensätze sollten also gelöscht und gesperrt werden können. Hier gilt es, einige Hürden in der Software-Entwicklung zu nehmen. Denn es geht nicht nur um die Löschung eines Personendatensatzes aus – beispielweise – einer Tabelle mit Ansprechpersonen Ihrer Kunden. E geht auch um die Beseitigung der „Spuren“, die diese Person ggf. in der Software hinterlassen hat, also z.B. Backups, Links etc.

In der Software müssen Daten, die keiner gesetzlichen Aufbewahrungsfrist unterliegen, entfernt, andere archiviert und wieder andere gesperrt werden können. Um den beschriebenen unterschiedlichen Aspekten Rechnung tragen zu können, ist die Schaffung einer Daten-Anonymisierung angezeigt.

Dies betrifft natürlich auch Mitarbeiter-Daten. Hier unterliegen z.B. ggf. An- und Abwesenheitsdaten einer Aufbewahrungsfrist, während es möglich sein muss, andere Daten unverzüglich zu löschen.

  • Grundsätzlich ist es also gut, wenn die geforderte Löschung bei der Person vermerkt werden kann (siehe oben).
  • Verwendete Daten aus dem Personendatensatz in anderen Bereichen können gelöscht oder anonymisiert werden. Beispielsweise der Verweis auf einen Ansprechpartner in einer Kontakthistorie, wie sie in CRM-Bereichen von Software gängig ist.
  • Gesperrte Personendaten dürfen nicht mehr nutzbar und einsehbar sein.Eine Protokoll-Funktion zeichnet Änderungen am Personendatensatz – also auch Sperr-Vermerke und dergl. – auf.
  • Ein denkbarer technischer Lösungsansatz für den Spagat zwischen Löschung und Aufbewahrungsfrist der Personendaten könnte sein, Vermerke über die Archivierung, Löschung oder Sperrung einer Person in einer – grundsätzlich gesperrten – gesonderten Tabelle („Blacklist”) zu speichern. Hierdurch könnte auch der Gefahr eines nicht mehr aktuellen Informationsstands durch die Notwendigkeit einer Backup-Einspielung begegnet werden.
  • Nach personenbezogenen verbundenen Datensätzen (Kontaktbericht, Memo, gespeicherte Emails…) muss gesucht werden können, um sie zu löschen.

Thema Information/Auskunft und Transparenz (Art.5, 12, 13, 15, 16 DSGVO)

Worum geht es?

Jede/r Betroffene hat ein Informationsrecht, das ihn/sie über die Risiken, Vorschriften und Rechte im Zusammenhang mit der Verarbeitung seiner/ihrer Daten aufgeklärt. Unternehmen müssen dokumentieren, wie personenbezogene Daten erhoben, verwendet und verarbeitet werden. Das berührt an dieser Stelle ggf. die Information über die Datenhaltung in Cloudsoftware. Möglicherweise ist hier ein Zertifikat oder Datenschutz-siegel des Anbieters hilfreich.

Screenshot Auskunft über gepeicherte Daten

Hinzu kommt ein Auskunftsrecht darüber, welche Daten gespeichert und (wofür) genutzt werden. Hier schließt sich das Recht auf Korrektur der Daten an., da eine Korrektur ja eine vorherige Einsichtnahme der bestehenden Daten voraussetzt. Meldet sich also ein Geschäftspartner mit der Bitte um entsprechende Auskünfte bei Ihnen, sollten Sie diese Informationen liefern können.

Was bedeutet das für die Software?

Aus der Software kann ein Dokument erstellt werden, das die personenbezogenen Daten zusammenfasst und an den oder die Betroffene gesendet werden kann.

Thema Technischer Datenschutz

Worum geht es?

Sehr viele der Anforderungen setzen entsprechende Datenverarbeitungs-Systeme voraus. IT-Systeme müssen so ausgelegt sein, dass die Einhaltung der DSGVO möglich ist. Dies betrifft die bereits angesprochenen Anforderungen an Zugriffsregelungen „Privacy by Design“ und “Privacy by Default“; angesprochen sind jedoch auch alle Konzepte, die dazu geeignet sind, für die Sicherheit der Daten allgemein zu sorgen.

Was bedeutet das für die Software resp. für den Umgang mit ihr?

Diese Anforderung hat viele unterschiedliche Aspekte:

  • „Datenschutz“ meint den Schutz vor unbefugtem Zugriff. Dazu gehören die oben angesprochenen Maßnahmen in der Software, um Daten sicher zu bewahren und zu nutzen. Allerdings gehört dazu auch der sorgsame Umgang mit deren Speicherung und Pflege. Hier sind sowohl mobile Zugriffe durch Nutzer/innen angesprochen wie auch die Wartung und Pflege durch Software-Anbieter oder –Entwickler. Natürlich ist hier auch der Anbieter gefragt, wobei die Agentur als Verantwortliche in den Verträgen auf diesbezügliche Passagen achten müssen.
  • Unter „Datensicherheit“ lassen sich allgemein Datensicherungskonzepte (Backup-Systeme etc.) subsumieren wie auch die sichere Verwahrung der Daten auf externen Serversystemen (Hosting, Cloud, externes Daten-Backup usw.). Die Konzepte haben insbesondere dafür Sorge zu tragen, dass Daten nicht in falsche Hände geraten. Auch hier sind sowohl Sie wie auch die Anbieter von Hosting-Services angesprochen. Achten Sie auf eine Datenhaltung auf deutschen oder mind. EU-Servern und auf eine ausreichende Zertifizierung des Hosting-Anbieters.

Der Artikel zeigt, dass die Anforderungen des Datenschutzes auch an Software-Systeme nicht trivial sind. Viele Anbieter werden mit deren Umsetzung in ihren Systemen und der zeitnahen Lieferung eines entsprechenden Updates zu kämpfen haben. Es liegt natürlich in Ihrem ureigenen Interesse, hier nachdrücklich auf eine datenschutzkonforme Version Ihrer Software oder mindestens auf eine klare Terminierung dafür zu dringen. Den aktuellen Stand Ihres Systems können Sie beim Anbieter erfragen.

Wichtig an dieser Stelle erscheint mir der zusätzliche Hinweis, dass „Management by Excel“ zukünftig keine Option mehr sein kann. Zu komplex sind die Anforderungen allein aus dem Bereich Datenschutz.


Eine ausführliche Artikelserie hat die Autorin zuvor auf ihrem Blog veröffentlicht:

weitere Quellen:

  • https://dsgvo-gesetz.de (das Gesetz)
  • https://eu-datenschutz-grundverordnung.net/ (einfach und gut erklärt)
  • https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/DSGVO_Kurzpapiere1-3.html (Arbeitspapiere)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.