Zurück zur Übersicht
01.05.2022

Agile Projektentwicklung

Große IT-Projekte im Bereich der Sicherheitsbehörden weisen immer höhere Komplexität und Dynamik auf und die Entwicklungsmethoden werden stets angepasst. Erste Projekte werden heute mit agilem Projektmanagement durchgeführt. Ziel ist es, Flexibilität, Transparenz und Sicherheit für alle Beteiligten zu erzielen. Um beim Entwicklungsprozess so früh wie möglich zu ausführbarer Software zu gelangen, wird die Entwurfsphase auf ein Mindestmaß reduziert und auf agile Projekt- und Softwareentwicklung gesetzt. Diese muss kein Widerspruch zum Datenschutz sein.

Bei der Entwicklung von IT-Systemen müssen datenschutzrechtliche Leitplanken beachtet werden. Die Ziele und Meilensteine müssen so genau festgelegt und dokumentiert sein, dass eine fundierte datenschutzrechtliche Beratung und Kontrolle möglich ist. Andernfalls besteht bei Sicherheitsbehörden die Gefahr, dass aufgrund von Beanstandungen nach § 16 BDSG oder Anordnungen nach § 69 Abs. 2 BKAG Teile des IT-Systems in einem kostenintensiven Prozess überarbeitet oder gar neu programmiert werden müssen.

Bei den Sicherheitsbehörden bewegt man sich im Bereich der grundrechtssensitiven staatlichen Eingriffsverwaltung mit entsprechenden Gesetzesvorbehalten. Datenschutzrechtliche Vorgaben müssen vor Beginn der agilen Entwicklung vollständig festgelegt und belastbar dokumentiert werden. In Bezug darauf gibt es keinen Verhandlungsspielraum wie beispielsweise bei Zeit oder Budget. So ist bereits mit dem Projektauftrag zu klären, innerhalb welcher konkreten und detaillierten rechtlichen Vorgaben sich das Projekt bewegen kann bzw. muss. Auch technische Entwicklungsziele sind innerhalb der datenschutzrechtlichen Leitplanken zu formulieren und zu dokumentieren.

Datenschutzrechtliche Anforderungen durchziehen die gesamte Projektentwicklung, von der Zielsetzung des Projekts über die Entwicklung eines geeigneten Datenmodells und die zweckgebundene Datenverarbeitung bis hin zur Datenspeicherung, Löschung und Protokollierung. Im Entwicklungsprozess ist zu dokumentieren, auf welche Weise die Entwicklungsvorgaben eingehalten und wie die fachlichen Anforderungen innerhalb der rechtlichen Leitplanken umgesetzt werden. Dazu gehört auch der Nachweis, dass die Rückverfolgbarkeit bzw. Nachvollziehbarkeit der Software gewährleistet ist.

Zeitpunkte, an denen Berichte über den Entwicklungsfortschritt erstellt werden, müssen vorab festgelegt werden. Diese können wieder Gegenstand der datenschutzrechtlichen Beratung sein.

Am Ende sollte eine technische Beschreibung und Dokumentation des betriebsfertigen Systems stehen, die es ermöglicht, das Produkt vor seinem Einsatz vollständig auf seine datenschutzrechtliche Zulässigkeit zu prüfen.

Quelle: BfDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks