Diese Qualitätsmerkmale von Softwareanwendungen fordern ein zugrundliegendes Sicherheits- und Datenschutzkonzept, das dauerhaft sicherstellt, dass die Anwendung vor unbefugtem Einwirken dritter geschützt ist. Dabei ist vom jeweils aktuellen Stand der Technik auszugehen, wodurch sich die Forderung nach einer kontinuierlichen Weiterentwicklung ergibt. Gegenstand des Sicherheits- und Datenschutzkonzeptes sind (vgl. „Grünbuch“ Deutsche IT-Sicherheitskriterien, BSI 1989):
• Vertraulichkeit (Vermeidung unbefugten Informationsgewinns von vertraulichen bzw. nicht-öffentlichen Daten)
• Integrität (Vermeidung unbefugter Modifikation von Informationen)
• Verfügbarkeit (Vermeidung unbefugter Beeinträchtigung der Funktionalität – in Abgrenzung zur Verfügbarkeit wie oben beschrieben)
Das Konzept sollte zu diesem Zweck den Schutz der Datenübertragung im Internet (SSL-Verschlüsselung), ein Rechte- und Rollenkonzept zur Authentifizierung und Autorisierung (auf Betriebssystemebene, Datenbankebene und Anwendungsebene) und den Schutz vor Angriffen aus dem Internet umfassen. Darüber hinaus muss eine detaillierte Protokollierung aller Zugriffe auf die Anwendung umgesetzt werden, so dass im Falle eines Missbrauchs die Ursachen ergründet und behoben werden können. Schließlich muss die Wirksamkeit der Maßnahmen durch geeignete Tests nachvollziehbar bestätigt werden. Im Hinblick auf Online-Verfahren muss das Datenschutzrecht und die Verpflichtung zur Datensparsamkeit erfüllt werden. Es dürfen ausschließlich Daten erhoben werden, die für das Verfahren von Belang sind.
Zur Überprüfung einer Anwendung hinsichtlich Sicherheit und Datenschutz eignen sich Penetrationstests, bei denen das System systematisch durch typische Angriffe auf Schwachstellen geprüft wird. Diese sollten durch Fachleute durchgeführt werden. Eine Zertifizierung der Sicherheitsmaßnahmen kann bspw. durch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) durchgeführt werden.
Hinweise für die Leistungsbeschreibung
• In einer Leistungsbeschreibung sollte ein angemessenes Sicherheits-Niveau und eine Dokumentation der Maßnahmen zur Informationssicherheit und zum Datenschutz gefordert werden. Zudem ist eine Dokumentation von Tests (einschließlich Zielen, Methodik und Ergebnissen) zu fordern.
Qualitätskriterien
Zur Bewertung einer Software oder eines Angebotes sollten Informationen zu den folgenden Merkmalen eingefordert werden:
• Dokumentation der Maßnahmen und Routinen zur Gewährleistung von Informationssicherheit und Datenschutz
• Testkonzepte und –dokumentation
• Sofern erforderlich Zertifikate (z.B. BSI-Zertifizierung nach gängigen Sicherheitskriterien (Common Criteria))
Quellen
• BSI-Zertifizierung nach gängigen Sicherheitskriterien (Common Criteria)
• SAGA 4.0, Kapitel 8.1
Wir begrüßen es, dass sie ausdrücklich den Aspekt der Datensparsamkeit erwähnen. In diesem Zusammenhang muss allerdings oft auch ins Bewusstsein gerufen werden, dass die sich beteiligenden Personen nicht automatisch „für alle Zukunft“ als Referenzgruppe oder Ansprechpartner herhalten wollen. Die weitere Nutzung der erhobenen Daten (also auch eMail-Adressen für Kontaktaufnahmen) muss im Vorfeld geklärt sein.
Daten sowie die Anwendung(en) selbst müssen auf Servern mit Standort Deutschland gehostet werden. Informationssicherheit Auch sind regelmäßige UserAudits und Penetrationstests durchzuführen.
Ist das in diesem Abschnitt alles, was zum Datenschutz gesagt wrd - oder habe ich andere Stellen übersehen ? - Hier geht es ausschließlich um IT-Sicherheit und etwas um den technischen Datenschutz. Die Datenschutzgesetze des Bundes und der Länder werden nicht erwähnt. Vor allem aber fehlen die unmttelbar einschlägigen Regelungen im Telemediengesetz § 11 Wikipedia schreibt dazu: In Deutschland muss ein Webseitenbetreiber gemäß https://www.gesetze-im-internet.de/tmg/__13.html Abs. 1 https://de.wikipedia.org/wiki/Telemediengesetz den Nutzer unterrichten wenn er Daten erhebt ... - „über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ - über die Verarbeitung in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums in - „in allgemein verständlicher Form“, und - „zu Beginn des Nutzungsvorgangs“. ......Der Nutzer ist schließlich über die Möglichkeit zu informieren, das Online-Angebot anonym oder unter Pseudonym nutzen zu können (https://www.gesetze-im-internet.de/tmg/__13.html Abs. 6 Satz 2 TMG). Der Link auf diese Datenschutzerklärung ist auf jeder Seite anzubringen (Ein-Klick-Lösung) Nach neuerer Rechtsprechung ist das Fehlen einer gesetzeskonformen Datenschutzerklärung abmahnfähig: https://www.ra-plutte.de/olg-hamburg-abmahnfaehigkeit-von-datenschutzerklaerungen/ Bei den meisten Szenarien st auch eine Einwilligung erforderlich, an die konkrete Anforderungen gestellt werden! Der Link auf diese Datenschutzerklärung ist auf jeder Seite anzubringen (Ein-Klick-Lösung) Nach neuerer Rechtsprechung ist das Fehlen einer gesetzeskonformen Datenschutzerklärung abmahnfähig: https://www.ra-plutte.de/olg-hamburg-abmahnfaehigkeit-von-datenschutzerklaerungen/ Bei den meisten Szenarien ist eine Einwilligung in die Datenschutzerklärung eforderlich
geändert von Institut für Informationsmanagament Bremen (ifib) am 5. Mai 2017
