Jedes unter die DSGVO fallende Unternehmen ist bekanntlich zu Pflege eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dies stellt bekanntlich regelmäßig einen unangenehmen Organisationsaufwand dar. Doch der Versuch diese Verpflichtung zu umgehen kann schnell teuer werden und ist nach einer kurzen Umgewöhnungsphase in die Rolle als Verantwortliche jedem Unternehmen schnell klar.

Deutlich weniger klar ist und bleibt dabei oft der Dokumentationsumfang. Sollen nur relevante Prozesse oder doch sämtliche noch so selten verwendeten Verarbeitungstätigkeiten dokumentiert werden – muss der verstaubte Scanner mit Zwischenspeicherfunktion im Keller, der noch nicht entsorgt wurde, aber ansonsten noch angeschlossen und theoretisch gesehen funktionabel ist, wirklich aufgenommen werden?

Im Bereich von Grauzonen helfen nur Einzelfallbetrachtungen. Auch wenn sich der Bereich des Unbekannten Jahr für Jahr lichtet, hält der technologische Fortschritt mehr als nur Schritt.

So verhält es sich etwa mit den stets relevanten Plug-Ins. Diese können über überraschend gigantische Funktionsumfänge verfügen und führen dadurch zu der ein oder anderen datenschutzrechtlichen Evaluation.

Was ist das nochmal?

Unter einem Plug-in verstehen sich zusätzliche, optionale Programmteile für eine bereits bestehende Hauptanwendung. Solche Hauptanwendungen können durch zuvor definierte Programmierschnittstellen (APIs) des Herstellers die Implementation neuer, sogar entwicklungs-fremder Software ermöglichen. Diese Software kann dann den Funktionsumfang der ursprünglichen Hauptanwendung erweitern, ohne dass es dabei zu Veränderungen des zugrunde liegenden Quellcodes kommt. Dies birgt den Vorteil, dass eine Anwendung bereits mit einigen Funktionen in den Vertrieb gehen kann und, falls sie sich hier durchsetzt, nachträglich und simultan durch dritte Parteien weiterentwickeln lässt.

Häufig werden auch die Begriffe „Add-on“ und „Add-in“ synonym mit dem Begriff Plug-in verwendet.

Beliebte Software-Produkte mit flexiblen und weitreichenden Plug-in-Funktionen im Office-Bereich sind etwa SharePoint oder WordPress. SharePoint funktioniert nicht selten als ein für das gesamte Unternehmen ausgestaltetes Intranet, in dem zahlreiche Kommunikationsabläufe, Terminplanungen und Dateiablagen kollaborativ zusammenfließen. Hier lassen sich mit beliebten Plug-ins etwa Abstimmungen einfügen, Grafiken erstellen oder sogar ein Direktnachrichtenprogramm integrieren. Dies führt nicht selten dazu, dass aus dem Software-Produkt mit seinem ursprünglichen Funktionsumfang eine völlig neue Anwendung entsteht und sich der Zweck der Verwendung vollkommen ändern kann.

Risiken einer Funktionserweiterung

Dass durch eine „bloße“ Funktionserweiterung eines Software-Produkts im Arbeitsumfeld eine komplett neue Lösung entstehen kann, ist – technisch und organisatorisch gesehen – ein willkommener Segen, führt aber unweigerlich zum Entstehen neuer Probleme.

Jede neue Zeile Programmcode kann ein wachsendes Risiko durch die eventuelle Entstehung neuer Schwachstellen bergen. Denn die Entwicklung von Plug-ins ist nicht nur den ursprünglichen Entwicklern vorbehalten. Je nach Lizenzmodell der Software können dritte Parteien beliebig Software-Erweiterungen entwickeln und vertreiben. Das Risiko besteht darin, dass auf Basis einer entwicklungsfremden Anwendung oder direkt mit einer schadhaften Absicht programmiert wird. Oftmals handelt es sich hier um entsprechend kleinere, schlechter aufgestellte Entwickler. Denn eine Anwendung ist nur so stark wie ihre größte Schwachstelle. Dies zeigt sich darin, dass Angriffe in jüngster Vergangenheit gezielt Plug-ins und insbesondere Browser-Plug-ins betroffen haben. Die Begründung dafür findet sich ohne Zweifel auch darin, dass gerade beliebte Plug-ins starken Einfluss auf die Nutzung einer Anwendung haben.

Ein weiteres Risiko stellt dabei die Wahl des Hostings des Plug-ins dar. Grundsätzlich ergeben sich hier zwei Möglichkeiten: Gehostet von der Hauptanwendung oder gehostet von einer dritten Partei. Die Sicherheitsvorkehrungen der Hauptanwendung und der dahinterstehenden Infrastruktur sind dabei grundsätzlich die deutlich bessere Wahl sowie transparenter dokumentiert. Die von dritten Parteien gehosteten Plug-ins verfügen in den meisten Fällen über weitere notwendige, externe Abhängigkeiten.

In jedem Fall wird eine genaue Betrachtung des einzusetzenden Plug-ins erforderlich.

Datenschutzrechtliche Bewertung

Letztlich stellt sich die wichtige Frage, unter welchen Umständen eine datenschutzrechtliche Bewertung etwaiger Plug-ins erforderlich wird.

Hier sind mehrere Komponenten zu beachten. Eine der dringlichsten Fragen ist, ob der Funktionsumfang der Anwendung maßgeblich erweitert wird. Sollte aus der ursprünglichen Dokument-Ablagen-Anwendung tatsächlich eine ganze soziale Plattform samt Profilbildern und zugehöriger Beschreibung werden, ist dies zweifelsohne zu bejahen. Denn hier fänden erhebliche, neue Datenverarbeitungen statt.

Schwieriger sind die Grauzonen. Was ist etwa, wenn die Anwendung bereits vorher technisch dazu in der Lage war, die gewünschte Funktion zu erbringen, das Plug-in diese Funktion jedoch deutlich vereinfacht? In diesem Fall ist abzuschätzen, ob sich die Zwecke der ursprünglichen Datenverarbeitung durch diese Vereinfachung verschieben. Kann festgestellt werden, dass der gesamte Schwerpunkt der Anwendung verschoben wird, nun also auf der Funktionserweiterung statt auf dem modifizierten Programm liegt, muss die datenschutzrechtliche Bewertung voraussichtlich aktualisiert werden. Das Plugin könnte die Anwendung in einem Szenario auch derart handhabbar machen, dass der Kreis an Nutzerinnen und Nutzern eskaliert wird, die Anwendung also nicht mehr nur für einen eingeschränkten Kreis zur Verfügung gestellt wird – in diesem Fall müssten die Berechtigungen neu eingeschätzt werden, die zu den organisatorischen Maßnahmen gehören.

Sollten Funktionen des Plug-ins von den Entwicklern jedenfalls in Teilen selbst gehostet werden, müssen auch etwaige Verantwortlichkeiten überprüft und ggf. Verträge geschlossen werden. Hier müssen auch gesondert die Sitze der jeweiligen Unternehmen wiederum genau betrachtet werden. Datenübermittlungen in das EU-Ausland bleiben weiterhin problematisch.

Als Faustregel lässt sich am ehesten ableiten: wenn für die hinzugewonnene Funktion in der Vergangenheit ein anderes Programm verwendet wurde, dass nun wegfällt, sollte der Prozess neu bewertet werden.

Fazit

Bei jeder technischen Neuerung muss abgewogen werden. Während viele Plug-ins eine Win-Win-Situation auf Nutzer*innenseite und Entwickler*innenseite auslösen dürfte – etwa, weil ein Bedürfnis nach einem übersichtlichen Abstimmungstool gestillt wurde – bedeutet beinahe jegliche technische Entwicklung neue juristische Probleme, die schnell zu übersehen sind.

Bei datenschutzrechtlich relevanten Anwendungen kommt es letztendlich nicht darauf an, ob ein Plug-in überhaupt eingesetzt wird, sondern inwieweit sich der Funktionsumfang damit verändert. Die Hauptanwendung ist kein valider Ausgangspunkt, sondern allenfalls ein Indiz für die datenschutzrechtliche Relevanz des jeweiligen Plug-ins. Die Flexibilität der Plug-Ins steht damit in einem antiproportionalen Verhältnis zur Relevanz datenschutzrechtlicher Einschätzungen: je schneller Änderungen implementierbar sind, desto eher besteht Handlungsbedarf.