Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 17 Min.

Aufsatz: Philipp M. Kühn, RA, und Neil C. Weaver, LL.B., RA


Betriebs-Berater - epaper ⋅ Ausgabe 42/2019 vom 14.10.2019

DSGVO vs. AGILE? – Prozess- und Produktgestaltung in agilen Projekten unter datenschutzrechtlichen Aspekten


Kühn/Weaver · DSGVO vs. AGILE? – Prozess- und Produktgestaltung in agilen Projekten unter datenschutzrechtlichen Aspekten

Agile Methoden nehmen nicht nur in IT-Projekten, sondern auch in der internen Arbeitsorganisation immer mehr Bedeutung ein. Neben vielen anderen rechtlichen Herausforderungen müssen dabei auch die geltenden datenschutzrechtlichen Vorschriften in Bezug auf die agile Entwicklung und die agile Arbeitsorganisation berücksichtigt werden. Auf den ersten Blick besteht ein Konflikt mit ...

Artikelbild für den Artikel "Aufsatz: Philipp M. Kühn, RA, und Neil C. Weaver, LL.B., RA" aus der Ausgabe 42/2019 von Betriebs-Berater. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Betriebs-Berater, Ausgabe 42/2019

Weiterlesen
epaper-Einzelheft 18,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Betriebs-Berater. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 42/2019 von Die Erste Seite: Referentenentwurf zur Umsetzung der elektronischen Finanzberichterstattung nach ESEF –Weitreichende Änderungen für Unternehmen, Aufsichtsrat und Prüfer. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Die Erste Seite: Referentenentwurf zur Umsetzung der elektronischen Finanzberichterstattung nach ESEF –Weitreichende Änderungen für Unternehmen, Aufsichtsrat und Prüfer
Titelbild der Ausgabe 42/2019 von Die Woche im Blick. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Die Woche im Blick
Titelbild der Ausgabe 42/2019 von Aufsatz: Dr. Felix M. Wilke, LL.M.. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Aufsatz: Dr. Felix M. Wilke, LL.M.
Titelbild der Ausgabe 42/2019 von Entscheidungen: BGH · 12.9.2019 – IX ZR 190/18. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Entscheidungen: BGH · 12.9.2019 – IX ZR 190/18
Titelbild der Ausgabe 42/2019 von Die Woche im Blick. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Die Woche im Blick
Titelbild der Ausgabe 42/2019 von Aufsätze: Dr. Bastian Liegmann, RA/StB, und Francesco Farruggia-Weber. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Aufsätze: Dr. Bastian Liegmann, RA/StB, und Francesco Farruggia-Weber
Vorheriger Artikel
Die Woche im Blick
aus dieser Ausgabe
Nächster Artikel Entscheidungen: LAG Düsseldorf · 12.4.2019 – 10…
aus dieser Ausgabe

... den vermeintlich starren Vorschriften der Datenschutzgrundverordnung (DSGVO) und den anwendbaren datenschutzrechtlichen Vorschriften. Ob und inwiefern die Verarbeitung von personenbezogenen Daten in agilen Projekten im Einzelnen eine Rolle spielt und wie im Rahmen von agiler Software-Entwicklung datenschutzrechtliche Vorgaben, wie zum Beispiel die Grundsätze „Privacy by Design“ und „Privacy by Default“, umgesetzt werden können, ist jedoch nicht ohneWeiteres herzuleiten. Daher erläutert dieser Beitrag zunächst die rechtlichen Rahmenbedingungen (I.), um dann zu untersuchen, wie diese im Rahmen eines iterativen Vorgehens umgesetzt werden können (II.) und im Anschluss daran die Frage aufzulösen, welchen Mehrwert ein datenschutzrechtlich geprägtes agiles Mindset (III.) in sich birgt.

Philipp M. Kühn , RA, ist Senior Associate in der Praxisgruppe IT/IP/Datenschutzrecht von Ebner Stolz am Standort Köln. Er berät bundesweit Konzerne, mittelständische Firmen sowie Start-ups zu allen rechtlichen Fragen des Datenschutz- und IT-Rechts. Dies umfasst insbesondere alle Fragen rund um den Einsatz agiler Methoden, IoT und Digital Health sowie Transaktionen und Sourcingprozesse. Er spricht und veröffentlicht regelmäßig zu (agilen) juristischen Themen und engagiert sich beim Scrumtisch Köln und Bonn.


Neil C. Weaver , LL.B., RA, ist Associate in der Praxisgruppe IT/IP/Datenschutzrecht von Ebner Stolz am Standort Köln. Er berät zu allen Fragen des Informationstechnologie- und Datenschutzrechts, mit einem besonderen Fokus auf die IT-Vertragsgestaltung.


1 An dieser Stelle soll betont werden, dass „Agile“ und „Scrum“ nicht gleichzusetzen sind, sondern dass Scrum lediglich eine der Ausprägungen des agilen Verfahrens darstellt, vgl. hierzu bspw.Denning , https://www.forbes.com/sites/stevedenning/2019/08/25/whythe-future-of-agile-is-bright/#2b757e8e2968 (Abruf: 16.9.2019).
2 Vgl. hierzu die Ausführungen beiKühn/Ehlenz , CR 2018, 139, 142 sowie http://agilemanifesto.org (Abruf: 16.9.2019).
3 S. hierzu mit ausführlicher Einführung und Besprechung der verschiedenen AnsätzeKühn/Ehlenz (Fn. 2), sowieKühn , ReThinkinglaw 5/2019, 67 ff.
4Schaar , Privacy by Design, https://www.bfdi.bund.de/SharedDocs/Publikationen/%22PrivacyByDesign%22.html (Abruf: 16.9.2019).
5 EDPS, Opinion 5/2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-05-31_preliminary_opinion_on_privacy_by_design_en_0.pdf (Abruf: 16.9.2019), S. 6.
6 EDPS (Fn. 5), S. 7.
7 EDPS (Fn. 5), S. 6.
8 Vgl. zur Pseudonymisierung bspw. European Union Agency For Network and Information Security (im Folgenden „ENISA“), Recommendations on shaping technology according to GDPR provisions, abrufbar unter https://www.enisa.europa.eu/publications/recommendations-on-shaping-tecnology-according-to-gdpr-provisions (Abruf: 16.9.2019), sowie
Schwartmann/Weiß , Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen, abrufbar unter https://www.gdd.de/downloads/whitepaper-zur-pseudonymisierung (Abruf: 16.9.2019).
9 Zu den Rechenschaftspflichten und Dokumentation, vgl.Schild , in: Forgó/Helfrich/
Schneider, Betrieblicher Datenschutz, 3. Aufl. 2019, II. Kap. 5 B. II., Rn. 19.
10 Vgl. https://www.iso.org/committee/6935430.html (Abruf: 16.9.2019).
11 Vgl. https://www.iso.org/news/ref2291.html (Abruf: 16.9.2019).
12 European Data Protection Supervisor (im Folgenden: „EDPS“), Preliminary Opinion on privacy by design, Opinion 5/2018, 31.5.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-05-31_preliminary_opinion_on_privacy_by_design_en_0.pdf (Abruf: 16.9.2019), S. 15.
13 VO (EU) 2016/679, Erwägungsgrund Nr. 78, S. 4.
14Hansen , in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 25 DSGVO, Rn. 21.
15Mantz , in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 25 DSGVO, Rn. 80.
16 Vgl. hierzu bereits OLG Hamm, 14.11.1994 – 31 U 105/94, BB 1995, 2, NJW-RR 1995, 941.
17 Vgl. die Ausführungen zum Kanban-Board unter Ziff. II. 2. b).
18Reiserer/Christ/Heinz , DStR 2018, 1501, 1506.
19 Nicht weiter behandelt werden die arbeitsrechtlichen Probleme in Bezug auf Scheinselbstständigkeit und Arbeitnehmerüberlassung. S. hierzu vertiefendKühn/Wulff ; CR 2018, 417–425.
20Günther/Böglmüller , NZA 2019, 417, 420 f.
21 Vgl. hierzuSchulze/Volk , ArbR 2019, 404, 405.
22 BAG, 18.3.2008 – 1 ABR 77/06, NZA 2008, 957, 959, BB-EntscheidungsreportKappenhagen , BB 2009, 1646.
23 Vgl. bspw.Hoffmann-Remy , DB 2018, 2757, 2757 f.
24 Vgl. ENISA, Privacy and Data Protection by Design – from policy to engineering, abrufbar unter https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design (Abruf: 16.9.2019), S. 18 ff.
25 Vgl.Hansen/Jensen/Rost , Protection Goals for Privacy Engineering, 2015 IEEE CS Security and Privacy Workshops, abrufbar unter https://ieeexplore.ieee.org/document/7163220 (Abruf: 16.9.2019).
26 Vgl. https://distrinet.cs.kuleuven.be/software/linddun/ (Abruf: 16.9.2019).27 PRIPARE, Handbook – Privacy and Security by Design Methodology, abrufbar unter http://pripareproject.eu/wp-content/uploads/2013/11/PRIPARE-Methodology-Handbook-Final-Feb-24-2016.pdf (Abruf: 16.9.2019).
28 EDPS, Guidelines on the protection of personal data in IT governance and IT management, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/it_governance_management_en.pdf (Abruf: 16.9.2019).
29 Vgl. hierzu bspw.Conrad/Witzel , in: Auer-Reinsdorff/Conrad, Hb. IT- und Datenschutzrecht, 2. Aufl. 2016, § 18, Rn. 132.
30 Vgl. zur Begriffsbestimmung bspw.Redeker , in: Redeker, IT-Recht, 6. Aufl. 2017, B., Rn. 302 ff.
31Koglin , in: Bussche v. d./Voigt, Konzerndatenschutz, 2. Aufl. 2019, Kap. 5., Rn. 48.
32Conrad/Witzel , in: Auer-Reinsdorff/Conrad, Hb. IT- und Datenschutzrecht, 2. Aufl. 2016, § 18, Rn. 132–138.
33 Vgl. umfassend zur Scrum MethodikSchwaber/Sutherland , The Scrum Guide, abrufbar unter https://www.scrumguides.org/scrum-guide.html (Abruf 16.9.2019).
34Viitaniemi , Privacy by design in agile software development, abrufbar unter https://dspace.cc.tut.fi/dpub/bitstream/handle/123456789/25321/Viitaniemi.pdf (Abruf: 16.9.2019), S. 13.
35 Vgl. zur Problematik der Durchführung einer Datenschutz-Folgenabschätzung in agilen Prozessen:Koglin , in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 2. Aufl. 2018, A. III. 7.
36 Zu den Begrifflichkeiten im Einzelnen vgl. bspw.Schwaber/Sutherland (Fn. 33).
37Schwaber/Sutherland (Fn. 33).
38Viitaniemi (Fn. 34), S. 14.
39Viitaniemi (Fn. 34), S. 33;Schwaber/Sutherland (Fn. 33).
40Schwaber/Sutherland (Fn. 33).
41 Vgl. bspw. https://www.atlassian.com/agile/project-management/epics-stories-themes (Abruf: 10.9.2019).
42 Vgl.Miri/Foomany/Mohammed , Complying with GDPR: An Agile Case Study, ISACA Journal Volume 2, 2018.
43Miri/Foomany/Mohammed (Fn. 42).
44Miri/Foomany/Mohammed (Fn. 42).
45Miri/Foomany/Mohammed (Fn. 42).
46Schwaber/Sutherland (Fn. 33).
47 Vgl. die hierzu gehörige LINDDUN-Methode, abrufbar unter https://distrinet.cs.kuleuven.be/software/linddun/ (Abruf: 16.9.2019).
48Viitaniemi (Fn. 34), S. 34.
49Viitaniemi (Fn. 34), S. 35.
50Viitaniemi (Fn. 34), S. 37 f.
51Sutherland/Schwaber , The Scrum Guide: The Definitive Guide to Scrum: The Rules of the Game, abrufbar unter http://www.Scrum-guides.org/docs/Scrumguide/v1/Scrum-Guide-US.pdf#zoom=100 (Abruf: 16.9.2019).
52Viitaniemi (Fn. 34), S. 41.
53Viitaniemi (Fn. 34), S. 40.
54 Hierzu vgl.Viitaniemi (Fn. 34), S. 39.
55 Vgl. https://www.atlassian.com/software/jira (Abruf: 16.9.2019).
56 Vgl. https://www.atlassian.com/de/software/confluence (Abruf: 16.9.2019).
57 Vgl. bitkom, https://www.bitkom-research.de/de/pressemitteilung/scrum-koenig-unterden-agilen-methoden (Abruf: 23.9.2019).
58Degradis/Karu , Using Kanban for IT Operations, abrufbar unter https://resources.leankit.com/guides/using-kanban-for-it-operations (Abruf: 16.9.2019).
59Degradis/Karu (Fn. 58).
60Wessing , in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 46, Rn. 30.
61Wessing , in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 46, Rn. 31; zum weiteren Anwendungsbereich des § 26 Abs. 7 BDSG verglichen zu Art. 2 Abs. 2 DSGVO vgl. bspw.Maschmann , NZA-BL 2018, 115, 115.
62 Hierzu vgl.Maschmann , NZA-BL 2018, 115, 115.
63Zöll , in: Taeger/Gabel, DSGVO BDSG, 3. Aufl. 2019, § 26 BDSG, Rn. 38.
64Koglin , in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 2. Aufl. 2018, A. III. 7.; Vgl. zum „agilen Patentanwalt“,Koch , BB 2017, 387, 389.
65Koch , BB 2017, 387, 389.
66Koch , BB 2017, 387, 389.