Soft­ware­ent­wick­ler müs­sen sich um die DSGVO direkt zwar nur küm­mern, soweit sie als Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter Per­so­nen­da­ten bear­bei­ten (z.B. Kon­takt­da­ten Ihres Kun­den, Mit­ar­bei­ter­da­ten und ggf. Per­so­nen­da­ten, die zu Test­zwecken ver­ar­bei­tet wer­den).

Aller­dings sieht die DSGVO vor, dass Pri­va­cy by Design- und Pri­va­cy by Default-Pflich­ten (Art. 25 DSGVO) auch durch Ent­wick­ler zu beach­ten sind (Erw­Gr 78):

[…] In Bezug auf Ent­wick­lung, Gestal­tung, Aus­wahl und Nut­zung von Anwen­dun­gen, Dien­sten und Pro­duk­ten, die ent­we­der auf der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten beru­hen oder zur Erfül­lung ihrer Auf­ga­ben per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, soll­ten die Her­stel­ler der Pro­duk­te, Dien­ste und Anwen­dun­gen ermu­tigt wer­den, das Recht auf Daten­schutz bei der Ent­wick­lung und Gestal­tung der Pro­duk­te, Dien­ste und Anwen­dun­gen zu berück­sich­ti­gen und unter gebüh­ren­der Berück­sich­ti­gung des Stands der Tech­nik sicher­zu­stel­len, dass die Ver­ant­wort­li­chen und die Ver­ar­bei­ter in der Lage sind, ihren Daten­schutz­pflich­ten nach­zu­kom­men […]

Wei­te­re Pflich­ten kön­nen es erfor­der­lich machen, Ent­wick­ler früh­zei­tig in Data-Gover­nan­ce-Struk­tu­ren ein­zu­bin­den, z.B. die Pflicht zur Füh­rung eines Ver­fah­rens­ver­zeich­nis­ses, die all­ge­mei­ne Doku­men­ta­ti­ons­pflicht, ggf. die Oblie­gen­heit, eine doku­men­tier­te Ein­wil­li­gung ein­zu­ho­len, eine Pflicht zur Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung, die durch die beab­sich­ti­ge Daten­be­ar­bei­tung aus­ge­löst wer­den kann, und Daten­si­cher­heits­an­for­de­run­gen.

Vor die­sem Hin­ter­grund hat die fran­zö­si­sche Auf­sichts­be­hör­de, die CNIL, Leit­li­ni­en für Ent­wick­ler ver­öf­fent­licht (“Kit déve­lop­peur”), mit fol­gen­den Kapi­teln:

  • Choi­sir ses outils de tra­vail R
  • Pré­pa­rer son déve­lop­pe­ment
  • Les bon­nes pra­ti­ques pour gérer vot­re code source
  • Biblio­t­hèques, SDK ou outils tiers : com­ment les inté­grer dans vos app­li­ca­ti­ons ?
  • Ren­forcer la qua­lité du code
  • Docu­men­tez vot­re code et vot­re archi­tec­tu­re

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.