DSGVO
Die DSGVO (Datenschutz-Grundverordnung) ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten EU-weit einheitlich regelt. Seit dem 25. Mai 2018 gilt sie unmittelbar in allen EU-Mitgliedstaaten und hat grundlegende Auswirkungen auf die Arbeit in IT-Berufen. Ob du als Fachinformatiker für Anwendungsentwicklung Software entwickelst oder als Fachinformatiker für Systemintegration IT-Systeme betreust - die DSGVO betrifft nahezu jeden Bereich der IT.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (offiziell: Verordnung (EU) 2016/679) ist das zentrale Regelwerk zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Sie ersetzt die frühere Datenschutzrichtlinie 95/46/EG und schafft einen einheitlichen Rechtsrahmen für den gesamten Europäischen Wirtschaftsraum.
Anders als eine EU-Richtlinie gilt eine Verordnung direkt in allen Mitgliedstaaten, ohne dass nationale Gesetze zur Umsetzung erforderlich sind. Dennoch ergänzt in Deutschland das Bundesdatenschutzgesetz (BDSG) die DSGVO um nationale Sonderregelungen, etwa zum Beschäftigtendatenschutz oder zur Bestellung von Datenschutzbeauftragten.
Personenbezogene Daten - was fällt darunter?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In der IT-Praxis begegnen dir solche Daten täglich - und oft in überraschenden Kontexten.
- Direkt identifizierend: Name, Adresse, E-Mail-Adresse, Telefonnummer
- Indirekt identifizierend: IP-Adressen, Cookies, Gerätekennung
- Besondere Kategorien (Art. 9 DSGVO): Gesundheitsdaten, biometrische Daten, politische Meinungen, religiöse Überzeugungen
Auch eine dynamisch vergebene IP-Adresse kann personenbezogen sein, da der Internetanbieter theoretisch eine Zuordnung zur Person herstellen kann. Das hat der Europäische Gerichtshof im Jahr 2016 klargestellt.
Die sieben Grundsätze der Datenverarbeitung
Artikel 5 der DSGVO definiert sieben fundamentale Grundsätze, die bei jeder Verarbeitung personenbezogener Daten eingehalten werden müssen. Diese Prinzipien bilden das Fundament des europäischen Datenschutzrechts und sind für deine Arbeit in der IT essenziell.
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Personenbezogene Daten dürfen nur auf rechtmäßige Weise verarbeitet werden. Das bedeutet: Es muss eine Rechtsgrundlage existieren - etwa eine Einwilligung, ein Vertrag oder ein berechtigtes Interesse. Gleichzeitig muss die Verarbeitung für die betroffene Person nachvollziehbar und transparent sein.
Zweckbindung
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine spätere Verarbeitung zu anderen Zwecken ist grundsätzlich unzulässig. Wenn du beispielsweise E-Mail-Adressen für einen Newsletter sammelst, darfst du diese nicht einfach für Werbeanrufe verwenden.
Datenminimierung
Es dürfen nur so viele Daten erhoben werden, wie für den jeweiligen Zweck tatsächlich erforderlich sind. Dieser Grundsatz hat direkte Auswirkungen auf die Softwareentwicklung: Formulare sollten nur die wirklich notwendigen Felder enthalten, und Datenbanken sollten keine "Vorratsdaten" speichern.
Richtigkeit
Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Unrichtige Daten sind unverzüglich zu berichtigen oder zu löschen. Das erfordert Prozesse zur regelmäßigen Datenpflege und Mechanismen, mit denen Betroffene ihre Daten korrigieren können.
Speicherbegrenzung
Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Danach müssen sie gelöscht oder anonymisiert werden. In der Praxis bedeutet das: Du brauchst ein Löschkonzept, das festlegt, wann welche Daten automatisch entfernt werden.
Integrität und Vertraulichkeit
Die Verarbeitung muss so erfolgen, dass eine angemessene Sicherheit der Daten gewährleistet ist. Das schließt Schutz vor unbefugter Verarbeitung, Verlust, Zerstörung und Schädigung ein. Hier kommen technische und organisatorische Maßnahmen (TOMs) ins Spiel.
Rechenschaftspflicht
Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können. Das bedeutet: Dokumentation ist Pflicht. Verarbeitungstätigkeiten müssen in einem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) erfasst werden.
Rechte der betroffenen Personen
Die DSGVO stärkt die Rechte der Menschen, deren Daten verarbeitet werden. Als IT-Fachkraft musst du Systeme so gestalten, dass diese Rechte technisch umgesetzt werden können. Kapitel 3 der Verordnung definiert die wichtigsten Betroffenenrechte.
Auskunftsrecht (Art. 15)
Jede Person hat das Recht zu erfahren, ob und welche Daten über sie verarbeitet werden. Die Auskunft muss innerhalb eines Monats erfolgen und umfasst unter anderem die Verarbeitungszwecke, die Datenkategorien und die Empfänger der Daten. Deine Systeme müssen solche Exporte ermöglichen.
Recht auf Berichtigung (Art. 16)
Unrichtige Daten müssen auf Antrag unverzüglich korrigiert werden. Webanwendungen sollten daher Self-Service-Funktionen bieten, mit denen Nutzer ihre Stammdaten selbst aktualisieren können.
Recht auf Löschung - das "Recht auf Vergessenwerden" (Art. 17)
Unter bestimmten Voraussetzungen müssen personenbezogene Daten unverzüglich gelöscht werden - etwa wenn der Verarbeitungszweck entfallen ist oder die Einwilligung widerrufen wurde. Technisch ist das oft eine Herausforderung, da Daten in Backups, Logs und verbundenen Systemen existieren können.
Recht auf Datenübertragbarkeit (Art. 20)
Betroffene können verlangen, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten - und diese direkt an einen anderen Anbieter übertragen zu lassen. APIs und standardisierte Exportformate wie JSON oder CSV werden hier relevant.
Technische und organisatorische Maßnahmen (TOMs)
Artikel 32 der DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art der Verarbeitung gewählt werden.
| Maßnahmenbereich | Beispiele |
|---|---|
| Pseudonymisierung | Ersetzen identifizierender Merkmale durch Kennzeichen |
| Verschlüsselung | TLS für Datentransport, AES für Datenspeicherung |
| Vertraulichkeit | Zugriffskontrollen, Berechtigungskonzepte |
| Integrität | Hashwerte, digitale Signaturen |
| Verfügbarkeit | Backups, Redundanz, Disaster Recovery |
| Belastbarkeit | DDoS-Schutz, Load Balancing |
Welche konkreten Maßnahmen erforderlich sind, hängt vom jeweiligen Risiko ab. Eine Arztpraxis mit Gesundheitsdaten benötigt andere Schutzvorkehrungen als ein Online-Shop. Die Maßnahmen müssen dokumentiert und regelmäßig auf ihre Wirksamkeit überprüft werden.
Privacy by Design und Privacy by Default
Artikel 25 der DSGVO fordert Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default). Diese Konzepte sind für die Softwareentwicklung besonders relevant.
Privacy by Design bedeutet, dass der Datenschutz bereits bei der Entwicklung von Systemen und Anwendungen berücksichtigt wird - nicht erst nachträglich. Du solltest bereits in der Planungsphase fragen: Welche Daten sind wirklich notwendig? Wie lange müssen sie gespeichert werden? Wie werden sie geschützt?
Privacy by Default verlangt, dass Standardeinstellungen datenschutzfreundlich sind. Wenn ein Nutzer ein Konto anlegt, sollten optionale Funktionen wie Newsletter oder Tracking standardmäßig deaktiviert sein - der Nutzer muss sich aktiv dafür entscheiden.
Der Datenschutzbeauftragte
Die Artikel 37-39 der DSGVO regeln die Bestellung und Aufgaben des Datenschutzbeauftragten (DSB). In Deutschland muss ein DSB bestellt werden, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind - oder wenn besondere Datenkategorien im großen Umfang verarbeitet werden.
Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften, berät das Unternehmen, schult Mitarbeiter und ist Ansprechpartner für Aufsichtsbehörden und Betroffene. Er kann intern oder extern bestellt werden und genießt besonderen Kündigungsschutz.
Datenschutz-Folgenabschätzung (DSFA)
Bei Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen, schreibt Artikel 35 eine Datenschutz-Folgenabschätzung vor. Sie ist eine strukturierte Risikoanalyse, die vor Beginn der Verarbeitung durchgeführt werden muss.
Eine DSFA ist insbesondere erforderlich bei:
- Systematischer Überwachung: Videoüberwachung öffentlicher Bereiche
- Scoring und Profiling: Automatisierte Entscheidungen mit rechtlicher Wirkung
- Umfangreicher Verarbeitung sensibler Daten: Gesundheitsdaten, biometrische Daten
- Neuen Technologien: Die potenziell hohe Risiken bergen
Die DSFA beschreibt die geplante Verarbeitung, bewertet deren Notwendigkeit und Verhältnismäßigkeit, analysiert die Risiken und legt Abhilfemaßnahmen fest. Bei verbleibendem hohem Risiko muss die Aufsichtsbehörde vorab konsultiert werden.
Sanktionen und Bußgelder
Die DSGVO sieht in Artikel 83 empfindliche Sanktionen bei Verstößen vor. Die Bußgelder können je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen - je nachdem, welcher Betrag höher ist.
| Verstoß-Kategorie | Maximales Bußgeld |
|---|---|
| Verstoß gegen Betroffenenrechte, Grundsätze | Bis 20 Mio. EUR oder 4 % des Jahresumsatzes |
| Verstoß gegen technische Pflichten | Bis 10 Mio. EUR oder 2 % des Jahresumsatzes |
Bei der Bemessung der Bußgelder berücksichtigen die Aufsichtsbehörden unter anderem die Art und Schwere des Verstoßes, Vorsatz oder Fahrlässigkeit, ergriffene Abhilfemaßnahmen und die Zusammenarbeit mit der Aufsichtsbehörde. Hohe Bußgelder wurden bereits gegen große Unternehmen wie Google, Amazon und Meta verhängt.
DSGVO in der IT-Praxis
In IT-Systemhäusern, Softwareunternehmen und IT-Abteilungen ist die DSGVO allgegenwärtig. Entwickler müssen datenschutzkonforme Software schreiben, Administratoren sichere Systeme betreiben und IT-Berater ihre Kunden zu den Anforderungen informieren.
Für Anwendungsentwickler
Als Entwickler implementierst du Privacy by Design direkt im Code. Du baust Einwilligungsdialoge, programmierst Datenexport-Funktionen für das Recht auf Datenübertragbarkeit und entwickelst Löschkonzepte. Formulare sammelst du so schlank wie möglich, und Logging-Mechanismen pseudonymisierst du, wo immer es geht.
Für Systemintegratoren
Als Systemintegrator konfigurierst du Zugriffsrechte, richtest verschlüsselte Verbindungen ein und implementierst Backup-Strategien. Du dokumentierst technische Maßnahmen, unterstützt bei Security-Audits und stellst sicher, dass Systeme die Anforderungen der DSGVO erfüllen.
Quellen und weiterführende Links
- Volltext der DSGVO (EUR-Lex) - Offizieller Verordnungstext der EU
- GDPR.eu - Englischsprachiges Informationsportal zur DSGVO
- GDPR-Info.eu - Übersichtliche Darstellung aller 99 Artikel
- Datenschutz-Wiki - Deutschsprachiges Wiki mit Erläuterungen