DSGVO
Die DSGVO (Datenschutz-Grundverordnung) ist eine Verordnung der Europaischen Union, die den Schutz personenbezogener Daten EU-weit einheitlich regelt. Seit dem 25. Mai 2018 gilt sie unmittelbar in allen EU-Mitgliedstaaten und hat grundlegende Auswirkungen auf die Arbeit in IT-Berufen. Ob du als Fachinformatiker fur Anwendungsentwicklung Software entwickelst oder als Fachinformatiker fur Systemintegration IT-Systeme betreust - die DSGVO betrifft nahezu jeden Bereich der IT.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (offiziell: Verordnung (EU) 2016/679) ist das zentrale Regelwerk zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten. Sie ersetzt die fruhere Datenschutzrichtlinie 95/46/EG und schafft einen einheitlichen Rechtsrahmen fur den gesamten Europaischen Wirtschaftsraum.
Anders als eine EU-Richtlinie gilt eine Verordnung direkt in allen Mitgliedstaaten, ohne dass nationale Gesetze zur Umsetzung erforderlich sind. Dennoch erganzt in Deutschland das Bundesdatenschutzgesetz (BDSG) die DSGVO um nationale Sonderregelungen, etwa zum Beschaftigtendatenschutz oder zur Bestellung von Datenschutzbeauftragten.
Personenbezogene Daten - was fallt darunter?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare naturliche Person beziehen. In der IT-Praxis begegnen dir solche Daten taglich - und oft in uberraschenden Kontexten.
- Direkt identifizierend: Name, Adresse, E-Mail-Adresse, Telefonnummer
- Indirekt identifizierend: IP-Adressen, Cookies, Geratekennung
- Besondere Kategorien (Art. 9 DSGVO): Gesundheitsdaten, biometrische Daten, politische Meinungen, religioese Uberzeugungen
Auch eine dynamisch vergebene IP-Adresse kann personenbezogen sein, da der Internetanbieter theoretisch eine Zuordnung zur Person herstellen kann. Das hat der Europaische Gerichtshof im Jahr 2016 klargestellt.
Die sieben Grundsatze der Datenverarbeitung
Artikel 5 der DSGVO definiert sieben fundamentale Grundsatze, die bei jeder Verarbeitung personenbezogener Daten eingehalten werden mussen. Diese Prinzipien bilden das Fundament des europaischen Datenschutzrechts und sind fur deine Arbeit in der IT essenziell.
Rechtmassigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Personenbezogene Daten durfen nur auf rechtmassige Weise verarbeitet werden. Das bedeutet: Es muss eine Rechtsgrundlage existieren - etwa eine Einwilligung, ein Vertrag oder ein berechtigtes Interesse. Gleichzeitig muss die Verarbeitung fur die betroffene Person nachvollziehbar und transparent sein.
Zweckbindung
Daten durfen nur fur festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine spatere Verarbeitung zu anderen Zwecken ist grundsatzlich unzulassig. Wenn du beispielsweise E-Mail-Adressen fur einen Newsletter sammelst, darfst du diese nicht einfach fur Werbeanrufe verwenden.
Datenminimierung
Es durfen nur so viele Daten erhoben werden, wie fur den jeweiligen Zweck tatsachlich erforderlich sind. Dieser Grundsatz hat direkte Auswirkungen auf die Softwareentwicklung: Formulare sollten nur die wirklich notwendigen Felder enthalten, und Datenbanken sollten keine "Vorratsdaten" speichern.
Richtigkeit
Personenbezogene Daten mussen sachlich richtig und auf dem neuesten Stand sein. Unrichtige Daten sind unverzuglich zu berichtigen oder zu loschen. Das erfordert Prozesse zur regelmasigen Datenpflege und Mechanismen, mit denen Betroffene ihre Daten korrigieren konnen.
Speicherbegrenzung
Daten durfen nur so lange gespeichert werden, wie es fur den Verarbeitungszweck erforderlich ist. Danach mussen sie geloscht oder anonymisiert werden. In der Praxis bedeutet das: Du brauchst ein Loschkonzept, das festlegt, wann welche Daten automatisch entfernt werden.
Integritat und Vertraulichkeit
Die Verarbeitung muss so erfolgen, dass eine angemessene Sicherheit der Daten gewahrleistet ist. Das schliesst Schutz vor unbefugter Verarbeitung, Verlust, Zerstorung und Schadigung ein. Hier kommen technische und organisatorische Massnahmen (TOMs) ins Spiel.
Rechenschaftspflicht
Der Verantwortliche muss die Einhaltung aller Grundsatze nachweisen konnen. Das bedeutet: Dokumentation ist Pflicht. Verarbeitungstatigkeiten mussen in einem Verzeichnis von Verarbeitungstatigkeiten (Art. 30 DSGVO) erfasst werden.
Rechte der betroffenen Personen
Die DSGVO starkt die Rechte der Menschen, deren Daten verarbeitet werden. Als IT-Fachkraft musst du Systeme so gestalten, dass diese Rechte technisch umgesetzt werden konnen. Kapitel 3 der Verordnung definiert die wichtigsten Betroffenenrechte.
Auskunftsrecht (Art. 15)
Jede Person hat das Recht zu erfahren, ob und welche Daten uber sie verarbeitet werden. Die Auskunft muss innerhalb eines Monats erfolgen und umfasst unter anderem die Verarbeitungszwecke, die Datenkategorien und die Empfanger der Daten. Deine Systeme mussen solche Exporte ermoglichen.
Recht auf Berichtigung (Art. 16)
Unrichtige Daten mussen auf Antrag unverzuglich korrigiert werden. Webanwendungen sollten daher Self-Service-Funktionen bieten, mit denen Nutzer ihre Stammdaten selbst aktualisieren konnen.
Recht auf Loschung - das "Recht auf Vergessenwerden" (Art. 17)
Unter bestimmten Voraussetzungen mussen personenbezogene Daten unverzuglich geloscht werden - etwa wenn der Verarbeitungszweck entfallen ist oder die Einwilligung widerrufen wurde. Technisch ist das oft eine Herausforderung, da Daten in Backups, Logs und verbundenen Systemen existieren konnen.
Recht auf Datenubertragbarkeit (Art. 20)
Betroffene konnen verlangen, ihre Daten in einem strukturierten, gangigen und maschinenlesbaren Format zu erhalten - und diese direkt an einen anderen Anbieter ubertragen zu lassen. APIs und standardisierte Exportformate wie JSON oder CSV werden hier relevant.
Technische und organisatorische Massnahmen (TOMs)
Artikel 32 der DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Massnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewahrleisten. Diese Massnahmen mussen unter Berucksichtigung des Stands der Technik, der Implementierungskosten und der Art der Verarbeitung gewahlt werden.
| Massnahmenbereich | Beispiele |
|---|---|
| Pseudonymisierung | Ersetzen identifizierender Merkmale durch Kennzeichen |
| Verschlusselung | TLS fur Datentransport, AES fur Datenspeicherung |
| Vertraulichkeit | Zugriffskontrollen, Berechtigungskonzepte |
| Integritat | Hashwerte, digitale Signaturen |
| Verfugbarkeit | Backups, Redundanz, Disaster Recovery |
| Belastbarkeit | DDoS-Schutz, Load Balancing |
Welche konkreten Massnahmen erforderlich sind, hangt vom jeweiligen Risiko ab. Eine Arztpraxis mit Gesundheitsdaten benotigt andere Schutzvorkehrungen als ein Online-Shop. Die Massnahmen mussen dokumentiert und regelmasig auf ihre Wirksamkeit uberpruft werden.
Privacy by Design und Privacy by Default
Artikel 25 der DSGVO fordert Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default). Diese Konzepte sind fur die Softwareentwicklung besonders relevant.
Privacy by Design bedeutet, dass der Datenschutz bereits bei der Entwicklung von Systemen und Anwendungen berucksichtigt wird - nicht erst nachtraglich. Du solltest bereits in der Planungsphase fragen: Welche Daten sind wirklich notwendig? Wie lange mussen sie gespeichert werden? Wie werden sie geschutzt?
Privacy by Default verlangt, dass Standardeinstellungen datenschutzfreundlich sind. Wenn ein Nutzer ein Konto anlegt, sollten optional Funktionen wie Newsletter oder Tracking standardmassig deaktiviert sein - der Nutzer muss sich aktiv dafur entscheiden.
Der Datenschutzbeauftragte
Die Artikel 37-39 der DSGVO regeln die Bestellung und Aufgaben des Datenschutzbeauftragten (DSB). In Deutschland muss ein DSB bestellt werden, wenn mindestens 20 Personen standig mit der automatisierten Verarbeitung personenbezogener Daten beschaftigt sind - oder wenn besondere Datenkategorien im grossen Umfang verarbeitet werden.
Der Datenschutzbeauftragte uberwacht die Einhaltung der Datenschutzvorschriften, berat das Unternehmen, schult Mitarbeiter und ist Ansprechpartner fur Aufsichtsbehorden und Betroffene. Er kann intern oder extern bestellt werden und geniesst besonderen Kundigungsschutz.
Datenschutz-Folgenabschatzung (DSFA)
Bei Verarbeitungsvorgangen, die ein hohes Risiko fur die Rechte und Freiheiten naturlicher Personen bergen, schreibt Artikel 35 eine Datenschutz-Folgenabschatzung vor. Sie ist eine strukturierte Risikoanalyse, die vor Beginn der Verarbeitung durchgefuhrt werden muss.
Eine DSFA ist insbesondere erforderlich bei:
- Systematischer Uberwachung: Videouberwachung offentlicher Bereiche
- Scoring und Profiling: Automatisierte Entscheidungen mit rechtlicher Wirkung
- Umfangreicher Verarbeitung sensibler Daten: Gesundheitsdaten, biometrische Daten
- Neuen Technologien: Die potenziell hohe Risiken bergen
Die DSFA beschreibt die geplante Verarbeitung, bewertet deren Notwendigkeit und Verhaltnismassigkeit, analysiert die Risiken und legt Abhilfemassnahmen fest. Bei verbleibendem hohem Risiko muss die Aufsichtsbehorde vorab konsultiert werden.
Sanktionen und Bussgelder
Die DSGVO sieht in Artikel 83 empfindliche Sanktionen bei Verstossen vor. Die Bussgelder konnen je nach Schwere des Verstosses bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen - je nachdem, welcher Betrag hoher ist.
| Verstoss-Kategorie | Maximales Bussgeld |
|---|---|
| Verstoss gegen Betroffenenrechte, Grundsatze | Bis 20 Mio. EUR oder 4 % des Jahresumsatzes |
| Verstoss gegen technische Pflichten | Bis 10 Mio. EUR oder 2 % des Jahresumsatzes |
Bei der Bemessung der Bussgelder berucksichtigen die Aufsichtsbehorden unter anderem die Art und Schwere des Verstosses, Vorsatz oder Fahrlassigkeit, ergriffene Abhilfemassnahmen und die Zusammenarbeit mit der Aufsichtsbehorde. Hohe Bussgelder wurden bereits gegen grosse Unternehmen wie Google, Amazon und Meta verhangt.
DSGVO in der IT-Praxis
In IT-Systemhausern, Softwareunternehmen und IT-Abteilungen ist die DSGVO allgegenwartig. Entwickler mussen datenschutzkonforme Software schreiben, Administratoren sichere Systeme betreiben und IT-Berater ihre Kunden zu den Anforderungen informieren.
Fur Anwendungsentwickler
Als Entwickler implementierst du Privacy by Design direkt im Code. Du baust Einwilligungsdialoge, programmierst Datenexport-Funktionen fur das Recht auf Datenubertragbarkeit und entwickelst Loschkonzepte. Formulare sammelst du so schlank wie moglich, und Logging-Mechanismen pseudonymisierst du, wo immer es geht.
Fur Systemintegratoren
Als Systemintegrator konfigurierst du Zugriffsrechte, richtest verschlusselte Verbindungen ein und implementierst Backup-Strategien. Du dokumentierst technische Massnahmen, unterstutzst bei Security-Audits und stellst sicher, dass Systeme die Anforderungen der DSGVO erfullen.
Quellen und weiterfuhrende Links
- Volltext der DSGVO (EUR-Lex) - Offizieller Verordnungstext der EU
- GDPR.eu - Englischsprachiges Informationsportal zur DSGVO
- GDPR-Info.eu - Ubersichtliche Darstellung aller 99 Artikel
- Datenschutz-Wiki - Deutschsprachiges Wiki mit Erlauterungen