Softwareentwickler müssen sich um die DSGVO direkt zwar nur kümmern, soweit sie als Verantwortliche oder Auftragsverarbeiter Personendaten bearbeiten (z.B. Kontaktdaten Ihres Kunden, Mitarbeiterdaten und ggf. Personendaten, die zu Testzwecken verarbeitet werden).
Allerdings sieht die DSGVO vor, dass Privacy by Design- und Privacy by Default-Pflichten (Art. 25 DSGVO) auch durch Entwickler zu beachten sind (ErwGr 78):
[…] In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen […]
Weitere Pflichten können es erforderlich machen, Entwickler frühzeitig in Data-Governance-Strukturen einzubinden, z.B. die Pflicht zur Führung eines Verfahrensverzeichnisses, die allgemeine Dokumentationspflicht, ggf. die Obliegenheit, eine dokumentierte Einwilligung einzuholen, eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung, die durch die beabsichtige Datenbearbeitung ausgelöst werden kann, und Datensicherheitsanforderungen.
Vor diesem Hintergrund hat die französische Aufsichtsbehörde, die CNIL, Leitlinien für Entwickler veröffentlicht (“Kit développeur”), mit folgenden Kapiteln:
- Choisir ses outils de travail R
- Préparer son développement
- Les bonnes pratiques pour gérer votre code source
- Bibliothèques, SDK ou outils tiers : comment les intégrer dans vos applications ?
- Renforcer la qualité du code
- Documentez votre code et votre architecture