Von der Rechtsnorm zur Codezeile Datenschutz beginnt im Code

Anbieter zum Thema

Stäubli TEC-Systems GmbH Connectors

VON ZUR MÜHLEN'SCHE GmbH

Insider Research

Ganz klar eine juristische Aufgabe... Nein, das ist Datenschutz schon längst nicht mehr. Während Unternehmen weiter in Compliance, Governance und Risk Management investieren, geschieht der entscheidende Fehler oft ganz am Anfang, nämlich beim Entwickeln von Software.

Wer Datenschutz erst am Ende eines Projekts prüft, handelt nicht nur riskant, sondern auch ineffizient. Johann Sell, Software Development Team Lead bei der mip Consult GmbH, sieht darin eine neue Perspektive: „Datenschutz muss direkt in den Code, und zwar von Anfang an. Bei Compliance handelt es sich nicht um einen nachträglichen Kontrollprozess, sondern um einen integralen Bestandteil der technischen Umsetzung. Beispielsweise gibt es die gesetzliche Vorgabe von ‚Privacy by Design‘ in Artikel 25 DSGVO.“

Aber was bedeutet das in der Praxis? „Aktuell sind die wenigsten Entwicklerteams dafür strukturell oder methodisch aufgestellt“, so der Experte. Hier klafft eine Lücke zwischen juristischer Theorie und technischer Realität.

Die meisten Datenschutzverletzungen geschehen nicht durch bewusste Nachlässigkeit, sondern durch technische Komplexität und unklare Zuständigkeiten. Insbesondere in agilen Entwicklungsteams fehlt oft das Bewusstsein, wie tiefgreifend sich Designentscheidungen auf Datenschutz und Informationssicherheit auswirken.

Kein Feature, sondern ein dicker Bug

Was in der Praxis als Feature-Request beginnt, endet somit schnell in einer Architektur, die personenbezogene Daten unnötig sammelt, schlecht schützt oder unkontrolliert weiterverarbeitet. Dabei sind es häufig kleine Entscheidungen im Code, die große rechtliche Auswirkungen haben.

Sell nennt ein Beispiel: „Eine scheinbar harmlose Logging-Funktion speichert unverschlüsselt IP-Adressen und das wird übersehen. Erst ein Audit oder im ungünstigeren Fall ein Datenschutzvorfall deckt den Verstoß auf. Neben hohem Reputationsschaden kommt es zu möglichen Bußgeldern oder Schadenersatzansprüchen“, skizziert er. „Hätte das Entwicklerteam von Beginn an datenschutzkonforme Prinzipien berücksichtigt, etwa Datenminimierung, Verschlüsselung oder Pseudonymisierung, wäre dieser Fehler vermeidbar gewesen.“

Heute stehe jeder, der Software baut, auch in der Verantwortung für Datenschutz und IT-Sicherheit. Das erfordere zum einen neue Kompetenzen, zum anderen aber auch neue Rollenbilder in IT-Teams. Schulungen, Guidelines und Security-by-Design-Konzepte leisten ihren Beitrag, reichen aber oft nicht aus.

Perspektivwechsel

„Es braucht technische Partner, die sowohl rechtliche Anforderungen verstehen als auch tief in der Software-Architektur zu Hause sind. Hier bieten sich interdisziplinäre Teams aus Software-Entwicklern, IT-Security-Experten und zertifizierten Datenschutzbeauftragten an“, weist Sell auf. Gemeinsam analysieren sie bestehende Systeme, beraten bei neuen Projekten oder begleiten die Einführung datenschutzsensibler Anwendungen in verschiedenen Bereichen wie Cloud-Infrastruktur, KI, E-Commerce oder bei Medizinprodukten.

„Datenschutz ist keine lästige Pflicht, sondern Voraussetzung für digitale Wettbewerbsfähigkeit. Unternehmen, die frühzeitig in sichere und datenschutzkonforme Software investieren, reduzieren nicht nur rechtliche Risiken, sondern stärken auch Kundenvertrauen und Innovationskraft“, so Sell. Als zentrale Pfeiler der digitalen Wertschöpfung verkörperten Datenschutz und Informationssicherheit keine separaten Compliance-Themen mehr.

(ID:50506010)