Darf es etwas individuelles sein oder lieber doch nur Software von der Stange?

​Irgendwann stellt sich wohl jeder Entscheider die Frage, ob das aktuelle Projekt oder das spezifische Problem mit einer speziell auf die aktuellen Bedürfnisse abgestimmten Entwicklung oder lieber doch auf Basis bewährter Standardprodukte umgesetzt werden soll.

Ich möchte absichtlich nicht für die eine oder andere Fraktion Stellung beziehen, sondern vielmehr den Entscheidern die Grundsätze aus Paragraph 9 des Bundesdatenschutzgesetzes mit auf den Weg geben.

“…nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten” (§ 9 BDSG).

Damit gilt für die verantwortliche Stelle bereits bei der Planung:

Wichtige Fragen, die Sie sich gemäß der gesetzlichen Anforderungen bereits bei der Planung stellen sollten, sind zusätzlich zu den Anforderungen aus §§ 9 und 11 BDSG u.a.:

• Wie sichern Sie die laufende Produktpflege und Behandlung von Sicherheitslücken über die gesamte Nutzunsdauer?
• Wie stellen Sie die zeitnahe Migration der Daten aus diesem System in ein (Nachfolge-) System sicher?
• Wie gewährleisten Sie die Portierungsfähigkeit des Gesamtsystems bei einem Wechsel der Betriebssystembasis oder eines Wechsels der Speichertechnologien?

Hier gibt es sicher für jede Lösung, egal ob es sich dabei letztlich um eine angepasste Standardlösung oder eine individuelle Entwicklung handelt, eine Vielzahl an Für- und Gegenargumente.

Meine Empfehlung für den projektverantwortlichen Entscheider: “Nehmen Sie sich die notwendge Zeit, ziehen Sie ggf. in- und externen Rat hinzu und konsultieren Sie Ihren Datenschutzbeauftragten.”