Skip to main content

📖 Datenschutz

Durch Datenschutz wird das Grundrecht auf die Achtung der PrivatsphĂ€re und auf informationelle Selbstbestimmung gewahrt. Zu diesem Zweck definiert das Datenschutzrecht, auf welche Weise personenbezogene Daten – d. h. Daten, durch die Personen identifiziert werden können, wie Namen oder E-Mail-Adressen – verarbeitet werden dĂŒrfen.

Datenschutz in der Softwareentwicklung

Das europĂ€ische Datenschutzrecht verpflichtet nicht diejenigen, die Software entwickeln und bereitstellen, sondern diejenigen, die personenbezogene Daten mithilfe von Software verarbeiten bzw. fĂŒr ihre Zwecke verarbeiten lassen. Bei der Entwicklung eines neuen Softwareprojekts ist Datenschutz dennoch von Anfang an wichtig. Denn Software hat nur dann eine Chance eingesetzt zu werden, wenn eine datenschutzkonforme Verarbeitung damit technisch möglich ist.

Entwicklungsprinzipien

Um datenschutzkonforme Software zu entwickeln, sollten zwei Grundprinzipien beachtet werden.

  • Privacy by Design: Datenschutz durch Technikgestaltung ist ein Designprinzip fĂŒr die Entwicklung von Software und Hardware, bei der Datenschutzaspekte berĂŒcksichtigt werden. Das Ziel ist, dass Software und Hardware von Beginn an alle technischen Voraussetzungen dafĂŒr bieten, datenschutzkonform genutzt zu werden, um spĂ€ter zeit- und kostenaufwĂ€ndige Anpassungen zu vermeiden.
  • Privacy by Default: Eine besonders wichtige Funktion, die in Software umgesetzt sein sollte, sind datenschutzfreundliche Voreinstellungen. Der Umfang, in dem personenbezogene Daten verarbeitet werden, sollte standardmĂ€ĂŸig so gering wie möglich sein und zusĂ€tzliche Verarbeitung optional und granular durch Nutzende selbst aktivierbar.

In der Praxis sind folgende GrundsĂ€tze und entsprechende Maßnahmen besonders wichtig:

  • Datenminimierung:
    Personenbezogene Daten dĂŒrfen nur fĂŒr festgelegte Zwecke und in dafĂŒr notwendigem Umfang verarbeitet werden (Art. 5 Abs. 1 lit. b) u. c) DSGVO). FĂŒr das Softwaredesign bedeutet das:
    • Software sollte soweit wie möglich ohne personenbezogene Daten funktionieren und diese ansonsten, wenn möglich, lokal speichern.
    • Im Zweifel sollte die Verarbeitung optional aktivierbar sein.
  • Speicherbegrenzung:
    Personenbezogene Daten dĂŒrfen nur gespeichert werden, so lange sie fĂŒr den Zweck ihrer Erhebung benötigt werden (Art. 5 Abs. 1 lit. e) DSGVO). FĂŒr das Softwaredesign bedeutet das:
    • Software muss ĂŒber eine Löschfunktion und ggf. eine Anonymisierungsfunktion verfĂŒgen.
  • Richtigkeit, IntegritĂ€t und Vertraulichkeit:
    Es muss sichergestellt sein, dass personenbezogene Daten sachlich richtig und auf neuestem Stand sind und dass sie vor unbefugter oder unrechtmĂ€ĂŸiger Verarbeitung sowie Verlust geschĂŒtzt sind (Art. 5 Abs. 1 lit. d) u. f) DSGVO). FĂŒr das Softwaredesign bedeutet das:
    • Software sollte ĂŒber Funktionen fĂŒr die Aktualisierung und fĂŒr Backups von personenbezogenen Daten verfĂŒgen.
    • Sie sollte eine Funktion zur Protokollierung von Änderungen und Berechtigungskonzept anbieten, durch das sich der der Zugriff auf personenbezogene Daten kontrollieren lĂ€sst.
    • Eine wirksame Maßnahme, um IntegritĂ€t und Vertraulichkeit sicherzustellen, ist außerdem die Implementierung von VerschlĂŒsselung.
  • Betroffenenrechte:
    Personen, deren Daten verarbeitet werden, haben eine Reihe von Rechten. Dazu gehört u. a. das Recht auf Auskunft ĂŒber die sie betreffende Datenverarbeitung (Art. 15 DSGVO) sowie das Recht auf DatenĂŒbertragbarkeit (Art. 20 DSGVO). FĂŒr das Softwaredesign bedeutet das:
    • Transparenz der Verarbeitung personenbezogener Daten sollte im Vordergrund stehen.
    • FĂŒr Nutzendenprofile und damit verbundene Daten sollte eine Exportfunktion eingebaut sein.

Relevante Gesetze

Menschenrechte: Ihre Grundlage haben Datenschutzgesetze in den Menschenrechten, die durch die EuropÀische Menschenrechtskonvention, die Charta der Grundrechte der EuropÀischen Union und das Grundgesetz garantiert sind.

Datenschutzgrundverordnung (DSGVO): Die DSGVO definiert GrundsĂ€tze fĂŒr die Verarbeitung personenbezogener Daten, die EU-weit unmittelbar gelten.

Bundesdatenschutzgesetz (BDSG): Das BDSG ergÀnzt die DSGVO in Deutschland und enthÀlt zusÀtzliche Bestimmungen insbesondere zum BeschÀftigtendatenschutz.

Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG): Das TDDDG setzt in Deutschland die ePrivacy-Richtlinie um und regelt unter anderem den Zugriff auf Daten, die auf GerĂ€ten von Endnutzenden gespeichert sind, z. B. ĂŒber das Setzen von Cookies.

Wichtige Organisationen

Datenschutzbehörden: FĂŒr die Durchsetzung der DSGVO und des BDSG sind in Deutschland die Datenschutzbehörden zustĂ€ndig. Die Bundesdatenschutzbeauftragte ĂŒberwacht die Einhaltung der gesetzlichen Vorgaben bei Bundesbehörden und Telekommunikationsunternehmen, die Landesdatenschutzbeauftragten sind fĂŒr öffentliche Stellen der BundeslĂ€nder und den nicht-öffentlichen Bereich, z. B. Privatunternehmen oder Vereine, zustĂ€ndig.

EuropĂ€ischer Datenschutzausschuss (EDSA): Im EDSA kommen die nationalen Datenschutzbehörden zusammen, um die einheitliche Anwendung der DSGVO sicherzustellen. Dazu gibt das Gremium regelmĂ€ĂŸig Leitlinien, Empfehlungen und Best Practices zur Umsetzung der Vorgaben durch die DSGVO.

Stiftung Datenschutz: Die unabhĂ€ngige Bundesstiftung hat die Aufgabe, Datenschutz in Politik, Wirtschaft, Wissenschaft und Gesellschaft zu fördern. Sie veranstaltet dazu Informations- und Diskussionsveranstaltungen zu Fragen der Datenpolitik und des Datenschutzrechts und stellt praktische Informationen fĂŒr Zielgruppen wie ehrenamtliche Organisationen oder Kleinunternehmen bereit.

Back to top