Wir leben in einem Zeitalter, in dem Datenschutz von Tag zu Tag wichtiger wird. Ob du nun Webseiten schreibst, Desktop-Anwendungen programmierst oder mobile Apps entwickelst, der Datenschutz spielt überall eine Rolle. Es gibt einiges, was Informatiker über Datenschutz wissen sollten. Eigentlich würde man meinen, dass so ein Thema eher etwas für Juristen ist. Schließlich geht es dabei um Gesetze.
Wir als Informatiker sind hier aber ein wichtiges Bindeglied. Wir sorgen für die technischen Voraussetzungen, sodass der Datenschutz praktisch umgesetzt werden kann. Es ist also nicht nur ein Thema, welches wir mal am Rande hören sollten, sondern ein wichtiger Teil unserer Arbeit.
Wenn du in einer Firma als Anwendungsentwickler eingestellt wirst, dann hat die Firma sicherlich eine Rechtsabteilung. Trotzdem ist es eine wichtige Fähigkeit sich selbst mit dem Schutz von Daten auszukennen. Hier kommt man auch um den einen oder anderen Blick ins Gesetz nicht herum.
Bestimmt klingt das für dich jetzt alles sehr trocken. Du willst schließlich Programme entwickeln und dich nicht mit solchen rechtlichen Themen beschäftigen.
Mit diesem Artikel starte ich ein Experiment. Ich versuche dir Datenschutz so einfach und interessant wie möglich näherzubringen.
🔓 Informatiker und Datenschutz
Zunächst ein Disclaimer: Ich bin kein Anwalt. Das bedeutet, dass alles in diesem Artikel keine Rechtsberatung oder eine Rechtsauskunft ist. Im Zweifel solltest du immer rechtlichen Beistand suchen. Das kann die Rechtsabteilung in der Firma sein, oder auch deine persönliche Rechtsberatung in Form eines Anwalts. Alles, was in diesem Beitrag geschrieben steht, ist meine eigene persönliche Meinung und Sichtweise. Solltest du Falschinformationen in diesem Artikel finden, so teile mir dies gerne in den Kommentaren mit! Ich bin immer für konstruktive Kritik offen und für jeden Hinweis dankbar.
Trotzdem können die Informationen, die ich dir hier gebe falsch sein. Zu dem Zeitpunkt wo du dies liest, sind sie vielleicht auch nicht mehr aktuell. In jedem Fall solltest du nach dem Lesen dieses Artikels aber eine gute Vorstellung davon haben, auf was du achten musst, wenn das Thema Datenschutz deinen Weg kreuzt.
Im Übrigen ist es auch als Angestellter eine wichtige Fähigkeit das geltende Recht zu verstehen. So nimmst du als Bindeglied zwischen Anwalt und deinen Kollegen eine wichtige Position ein.
Fangen wir also an. Im ersten Schritt ist es wichtig zu verstehen, auf welche Rechtswerke wir uns eigentlich beziehen.
📖 Gesetze zum Datenschutz, die du als Softwareentwickler oder Informatiker kenn solltest
Hier in Deutschland sind vor allem zwei Gesetze wichtig. Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Die DSGVO findest du auf dieser Webseite digital aufbereitet. Das Bundesdatenschutzgesetz findest du hier.
Die DSGVO ist eine Verordnung der EU von 2018. Die Mitgliedsstaaten haben die Pflicht diese Verordnung in das Landesrecht umzusetzen. In Deutschland ist dies das BDSG. Dabei haben die Länder nur wenig Spielraum. Es gibt sogenannte Öffnungsklauseln, in welchen die DSGVO die Umsetzung offen lässt.
Im Folgenden beziehe ich mich zu meist auf die DSGVO. Diese Verordnung sollten Informatiker zumindest grob verstehen.
🔒 Welche Daten werden geschützt?
Welche Daten sind denn überhaupt schützenswert? Hier hilft uns ein Blick in den Text der Datenschutzgrundverordnung. Art. 1 DSGVO Abs. 1-3 beschreibt, welche Daten betroffen sind.
Geschützt werden personenbezogene Daten. Das sind genau die Daten, welche für viele Firmen so wichtig sind. Es sind Informationen, welche sich in irgendeiner Art und Weise einer Person zuordnen lassen. Alle angesprochenen Gesetze, also die DSGVO und das BDSG, beziehen sich ausschließlich auf solche Daten.
Das sind auch die Daten, welche für den normalen Nutzer am wichtigsten sind. Denn durch das Erheben solcher Informationen setzt man die betroffene Person einer gewissen Gefahr aus. Daten, welche organisiert gespeichert werden können durch Hacks oder unzureichende Schutzmaßnahmen schnell an die Öffentlichkeit gelangen.
Neben der DSGVO gibt es auch noch Erwägungsgründe. Die Erwägungsgründe (ErwGr) sind so zusagen die offizielle Begründung der einzelnen Punkte der DSGVO. Auch diese sind wichtig, wenn man die Regelungen verstehen möchte.
🗃️ Was sind eigentlich personenbezogene Daten?
Auch hier hilft ein Blick in das Gesetz. In Art. 4 Abs. 1 DSGVO wird definiert, was unter dem Begriff personenbezogener Daten zu verstehen ist.
Demnach sind alle Informationen über eine identifizierte oder identifizierbare Person personenbezogen. ErwGr. 36 Satz 5 und 6 sagt aus, dass anonyme Daten durch die Verordnung nicht geschützt sind. ErwGr. 36 Satz 2 legt fest, dass pseudonymisierte Daten auch personenbezogen sind.
Das bedeutet, dass komplett anonyme Daten keine personenbezogene Daten sind. Damit sind sie hier nicht von Relevanz. Viel wichtiger ist aber ErwGr. 36 Satz 2 welcher bedeutet, dass Daten, welche pseudonymisiert sind, trotzdem personenbezogen sind.
Aber was sind denn eigentlich pseudonymisierte Daten?
Nach Art. 4 Abs. 5 DSGVO sind Daten pseudonymisiert, wenn sie durch das Hinzuziehen von weiteren Informationen einer Person zugeordnet werden können.
Ein Beispiel:
Du bist in einem Forum angemeldet und gibst Daten über dich an. Das kann zum Beispiel ein Geburtsdatum sein. Das Geburtsdatum selbst, ohne weitere Informationen, kann keiner Person zugeordnet werden. Gibst du aber dazu einen Nickname, also ein Pseudonym, an, dann ist das Geburtsdatum trotzdem ein personenbezogenes Datum. Denn wenn es möglich ist, dass der Nickname in irgendeiner Art und Weise zu deiner Person zuordnungsbar ist, dann sind die Daten nur pseudonymisiert und nicht anonymisiert. Diese Zuordnung kann zum Beispiel mit einer E-Mail-Adresse oder einer IP-Adresse stattfinden. Bei der E-Mail-Adresse kennt dein Anbieter sehr wahrscheinlich deinen realen Namen. Und durch die IP-Adresse ist es potenziell möglich über deinen Internetprovider einen Rückschluss auf deine Person zu bekommen.
Persönliche Daten sind also Daten, welche sich
- zu einer Person zuordnen lassen
- über Umwege, zum Beispiel über ein Pseudonym, einer Person zuordnen lassen
📡 Ist eine IP-Adresse personenbezogen?
Wie ich bereits erwähnt habe, ist eine IP-Adresse ein Pseudonym. Das ist der Fall, da durch den Internetprovider eine Zuordnung zu einer Person möglich ist.
IP-Adressen kommen überall im Internet zum Einsatz. Zum Beispiel beim HTTP-Protokoll. Zum Abrufen von Webseiten nutzt dein Browser genau dieses Protokoll. Das bedeutet, dass bei jedem Aufruf einer Webseite deine IP-Adresse zu dem Server auf dem die Webseite liegt, übertragen wird. Das ist Protokoll bedingt und lässt sich nicht verhindern.
Grundsätzlich ist dies auch kein Problem. Knifflig wird es erst dann, wenn die IP-Adresse gespeichert wird.
Das Protokoll wird nicht nur von Browsern und Servern zur Bereitstellung von Webseiten genutzt. Auch in mobilen Anwendungen werden Daten meistens über dieses Protokoll abgerufen. Es ist also auch für App-Entwickler relevant.
📡 Wann werden IP-Adressen gespeichert?
Die meisten Hoster von Servern speichern die IP-Adressen, welche auf die Server zugreifen. Dies ist wichtig, damit es möglich ist im Falle eines Hackerangriffs die Täter ausfindig zu machen.
Damit sichern sich die meisten Webhoster also ab. In der Regel speichern diese Dienste die IP-Adresse für 14 Tage.
Wenn du also eine Webseite erstellst oder eine App programmierst, welche auf einen Server zugreift, dann tauchen persönliche Daten deiner Nutzer in dem Logfile des Servers auf.
Du bist dafür verantwortlich, dass diese Daten sicher verwahrt werden. Zwar trägt der Hoster hier eine Mitverantwortung, aber zuerst liegt diese Aufgabe bei dir.
IP-Adressen werden aber nicht nur von Apps oder Browsern übertragen. Werden zum Beispiel Bilder in HTML-Emails eingebettet, so kann das Öffnen der E-Mail die IP-Adresse des Empfängers preisgeben.
Im Übrigen fällt auch eine E-Mail-Adresse unter die personenbezogenen Daten.
🗃️ Was zählt noch zu personenbezogenen Daten?
Die Beschreibung in diesem Artikel ist etwas trocken. Deswegen gibt es hier ein paar handfeste Beispiele, was denn alles als personenbezogenes Datum gilt. Denn als Softwareentwickler und Informatiker solltest du über den Datenschutz wissen, dass alle Daten, die einer Person zugeordnet werden können, persönliche Daten sind. Auch wenn dies nur über Umwege möglich ist
ErwGr. 30 DSGVO gibt uns hier eine schöne Beschreibung:
1Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. 2Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.
Quelle: https://dsgvo-gesetz.de/erwaegungsgruende/nr-30/
Was könnten solche persönlichen Daten also sein? Hier eine Liste an Beispielen. Bitte beachte, dass diese Liste nicht vollständig ist.
- Telefonnummer
- IP-Adresse
- Autokennzeichen
- E-Mail-Adresse
- Name
- Adresse
- Kontonummer
- Standort und Koordinaten
- Kreditkartennummer
- Politische Meinungen
- Das Aussehen
- Gewerkschaftszugehörigkeit
- Anschrift
- Fingerabdruck
- Religiöse Überzeugungen
- Regelmäßiger Aufenthaltsort, z. B. Arbeitsort
- Biometrische Daten
- Gesundheitsdaten
- Ethnische Herkunft
Wie du siehst, gibt es zahlreiche Daten, welche unter die Kategorie “Persönlich” fallen.
👮 Was muss ich als Entwickler beachten?
Als Entwickler musst du den Datenschutz immer im Hinterkopf haben. Was Informatiker über Datenschutz wissen sollten ist, dass egal wo Daten übertragen werden, immer persönliche Daten enthalten sein können.
Dabei gilt es, als Erstes zu prüfen, ob personenbezogene Daten übertragen werden. Ist das der Fall, dann gibt es ein paar grundsätzliche Maßnahmen, die du durchführen musst.
Zunächst ist da natürlich die Datenschutzerklärung. Bei deinem eigenen Projekt musst du diese selbst schreiben oder von einem Generator generieren lassen. In einer Firma sollte dieses Anliegen an die Rechtsabteilung gehen.
Bei der Übertragung von Daten muss immer Verschlüsselung eingesetzt werden. Das bedeutet, dass eine Webseite, welche auch nur ein Kontaktformular bietet, bereits eine Datenschutzerklärung braucht.
Das gilt auch für die Entwicklung einer App. Was oft vergessen wird ist, dass auch Userids oder Geräteids personenbezogene Daten sein können. Werden Daten zu einer Geräteid gespeichert, dann sind dies zwar pseudonyme Daten, diese sind aber dennoch als persönliche Daten klassifiziert.
Möchtest du solche Daten sammeln, dann musst du verschiedene Dinge beachten. Wie bereits erwähnt muss die Datenübertragung und Aufbewahrung sicher erfolgen. Das bedeutet, dass ein sicherer Verschlüsselungsalgorithmus genutzt wird.
Weiterhin muss der Nutzer deine Einwilligung geben. Dabei muss diese Einwilligung allerdings durch eine eindeutige Handlung erfolgen. Das bedeutet, dass es nicht reicht die Information im Kleingedruckten zu verstecken.
Es muss klar ersichtlich sein, dass der Nutzer eine informierte Entscheidung trifft. Eine eindeutige Handlung kann zum Beispiel das Aktivieren einer Checkbox sein.
Allerdings ist auch hier Vorsicht geboten. Die Checkbox darf hier nicht bereits ausgefüllt sein. Sonst fehlt die eindeutige Handlung des Nutzers.
✔️ Fazit
Als Entwickler muss man den Datenschutz immer im Hinterkopf behalten. Das ist nicht immer leicht und erfordert Einarbeitung. In einer Firma kann der rechtliche Teil an die Rechtsabteilung weitergegeben werden. Die Umsetzung bleibt jedoch beim Programmierer.
Haben dir diese Informationen weitergeholfen? Das Thema ist riesig und es ist schwierig alles in einem Artikel zu behandeln.
Verrate uns gerne, was du als nächstes wissen möchtest. Soll ich mehr auf Datenschutz für Appentwickler eingehen oder interessiert dich der Einsatz von Analytics-Software auf Webseiten mehr? Vielleicht hattest du ja auch schon mit dem Thema Datenschutz für Informatiker zu tun.
Schreibe das Thema, über welches du mehr lesen willst, in die Kommentare. Ich lese jeden Kommentar und versuche alle Themenwünsche umzusetzen.
Viele Grüße
Daniel
❓ Bonus – FAQ
Jeder der personenbezogene Daten verarbeitet
Alle Informationen, also Daten, welche sich einer identifizierten oder identifizierbaren natürlichen Person zuordnen lassen
Wenn du persönliche Daten verarbeitest, dann musst du dafür sorgen, dass diese sicher übertragen werden. Weiterhin musst du aufpassen, wer Zugriff auf die Daten hat und auf welchen Servern diese gespeichert werden. Vor der Erhebung der Daten brauchst du die eindeutige Einwilligung der betroffenen Person. Mehr Informationen findest du im Artikel
Ja, wenn du persönliche Daten erhebst oder verarbeitest, dann benötigt deine App eine Datenschutzerklärung. Dies ist so gut wie immer der Fall.
Ja, jede Webseite benötigt eine Datenschutzerklärung. Protokoll bedingt wird mindestens die IP deiner Besucher an deinen Server übertragen. Darüber müssen Nutzer aufgeklärt werden.
Die Datenschutzgrundverordnung (DSGVO) und das BDSG (Bundesdatenschutzgesetz)
Weitere interessante Artikel:
Quelle des Titelbildes:
Bild von Pete Linforth auf Pixabay
Daniel Kreiter
- Daniel