Fork me on GitHub

Web Development

Ein Lehrbuch für das Informatik oder Medien-Informatik Studium.

Seit 1978 gab es in Österreich ein Datenschutz-Gesetz. Seit 2018 wirkt die EU-weite „Datenschutz-Grundverordnung“ („DSGVO“; englisch: „General Data Protection Regulation”, „GDPR“) - eine Verordnung der Europäischen Union], mit der die Regeln zur Verarbeitung „personenbezogener Daten” durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht wurde.

Die folgende Darstellung ist im wesentlichen eine Zusammenfassung des Wikipedia Artikels zur DSGVO

Die Datenschutz-Grundverordnung gilt unmittelbar in allen EU-Mitgliedstaaten ab dem 25. Mai 2018, und muss nicht erst in nationale Gesetze umgesetzt werden.

Die Richtlinie führt zu wesentlichen Erleichterungen: eine einheitliche Regelung für alle Mitgliedsstaaten und „freier Verkehr personenbezogener Daten in der Union“. D.h. ob ich die Daten bei einem Hoster in österreich oder Irland speichere ist egal, für beide gelten die gleichen Regelungen.

Was sind „personenbezogenen Daten“?

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen;

Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …

Die Verarbeitung personenbezogener Daten ist per Default verboten, und nur auf Grund einer Erlaubnis zulässig ist. Diese sind im Artikel 6 aufgeführt:

  • Die betroffene Person hat ihre Einwilligung gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich - in diesem Fall ist eine Interessensabwägung gegenüber den Interessen der betroffenen Person erforderlich.

Grundsätze der Verarbeitung personenbezogener Daten

Die DSGVO führt im Artikel 5 explizit folgende sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:

  • Rechtmäßigkeit, Transparenz
  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das … notwendige Maß beschränkt“)
  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [personenbezogene Daten\ unverzüglich gelöscht oder berichtigt werden“)
  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es … erforderlich ist“)
  • Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten“, „einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)

Geltungsbereich

Ämter, öffentliche Stellen: ja

Die DSGVO unterscheidet nicht zwischen öffentlichen und nicht-öffentlichen Stellen – für alle Verarbeiter von Daten gilt dasselbe Recht.

Firmen: ja, auch ausserhalb der EU

Das europäische Datenschutzrecht gilt auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten.

Privatpersonen: nein

„(18) Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.“

Aber Achtung: „Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen“. Für den Betreiber einer eine Blogging-Plattform gilt die DSGVO also, auch wenn die einzelnen UserInnen die Plattform nur privat nutzen.

Anforderungen an eine Einwilligung

Es kann eine „stillschweigende Einwilligungserklärung“ geben - z.B. werde ich bei der Bestellung im Online-Shop um die Zustelladresse gefragt, dann ist klar dass diese Adresse für die Abwicklung des Auftrags gespeichert wird.

Datenminimierung

Es gilt der Grundsatz, dass nur die minimal nötigen personenbezogenen Daten gespeichert werden dürfen.

Transparenz

Der Erwägungsgrund (39) hebt den Grundsatz der Transparenz jeglicher Datenverarbeitung für die betroffenen Personen hervor. Mehrere Artikel verlangen entsprechende Maßnahmen:

  • Nach Artikel 15 hat jede Person das Recht auf “Auskunft” über alle sie betreffenden Daten.
  • Die Informationen darüber sind laut Artikel 12 in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu liefern.
  • Nach Artikel 13 und 14 muss jeder betroffenen Person bei einer Datenerhebung umfangreich Auskunft u. a. über Zweck, Empfänger und Verantwortliche der Datenverarbeitung, Dauer der Datenspeicherung, Rechte zur Berichtigung, Sperren und Löschen und Verwendung der Daten für Profiling-Zwecke gegeben werden. Wenn sich der Zweck ändert, ist die betroffene Person aktiv zu informieren.
  • Nach Artikel 16 hat die betroffene Person ein “Recht auf Berichtigung” falscher Daten sowie laut Artikel 18 ein Recht auf Einschränkung („Sperrung“) der Datenverarbeitung, wenn Richtigkeit oder Grundlage der Datenverarbeitung bestritten werden.
  • Darüber hinaus soll die DSGVO laut Erwägungsgrund (13) auch Transparenz und “Rechtssicherheit” für die verarbeitenden Unternehmen bewirken, „einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen“.

Recht auf Vergessenwerden

Das Recht auf Vergessenwerden (das in der Überschrift des Artikel 17 ausdrücklich so genannt wird), umfasst:

  • dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen.
  • dass der Verarbeiter selbst aktiv die Daten löschen muss, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt.

Recht auf Datenübertragbarkeit

Artikel 20 verlangt, dass eine betroffene Person die Daten, die sie betreffen und die sie selbst dem Verantwortlichen übergeben hat, in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“, auch und insbesondere für den Zweck, sie anderen zu übermitteln.

Damit wird das Verlassen eines Anbieters und die üÜbersiedelung zu einem anderen erleichtert.

Sanktionen

Die Höhe der Bußgelder ist in bestimmten Fällen auf bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes festgelegt.

Laut einer Umfrage von welt.deunter den Datenschutzbeauftragten der deutschen Bundesländer wurden in Deutschland ersten Jahr 75 Bußgelder mit einer Gesamtsumme von 485.000 Euro verhängt.

Im Jänner 2019 verhängt die französische Datenschutzbehörde eine Rekordstrafe von € 50 Mio gegen Google. Grund war eine Beschwerde von noyb und der französischen NGO „La Quadrature du Net”.

Im Jänner 2021 wurde Grindr in Norwegen zu € 10 Mio Strafe verurteilt, ebenfalls auf Grund einer Klage von noyb.

Privacy by Design, Privacy by Default

Im Erwägungsgrund (78) werden die Begriffe „data protection by design“ und „data protection by default“ eingeführt, üblicherweise als „Privacy by Design“ und „Privacy by Default“ bezeichnet. Diese Grundsätze bedeuten, dass die Technik der Datenverarbeitung von vorneherein darauf entworfen („design“) und ausgerichtet ist und die Voreinstellungen („defaults“) so ausgewählt sind, dass den Grundsätzen des Datenschutzes Genüge getan wird.

Österreich

Mit dem Datenschutz-Anpassungsgesetz 2018 hat Österreich das „Datenschutzgesetz“ (DSG) geändert und an die Vorgaben der DSGVO angepasst. Im April 2018 wurde im Nationalrat eine Abänderung der Novelle beschlossen. Demnach solle die Behörde den Strafkatalog der EU-DSGVO „so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird“

Mein erstes Web-Projekt und der Datenschutz

Ein paar Tipps für die erste Webseite:

1.Prinzip ist Datenminimierung: Daten die Du nicht speicherst sind kein Problem.

Falls Du personenbezogene Daten speicherst (z.B. einen Login mit Username oder E-Mail Adresse anbietest), dann bist Du dabei.

  • überlege genau welche Daten Du warum speichern willst - das ist Dein erster Schritt zu einem “Verarbeitungsverzeichnis”
  • wie lange behältst Du die Daten? Wann werden sie gelöscht - das ist dein erster Schritt zu einem “Löschplan”
  • wie können die Betroffenen Dich kontaktieren, z.B. um gelöscht zu werden? - lege z.B. eine eigene E-Mail Adresse (oder einen Alias) dafür an

Diese Informationen kannst Du auf einer Seite zusammenfassen, das ist deine “Datenschutzerklärung”.

Für Deine ersten Projekte wird das ausreichen. Aber Achtung: falls Du Daten an Dritte übermittelst, insbesondere im EU Ausland (z.B. Google Analytics einsetzt) oder besonderes sensible Daten speicherst (von Kindern, medizinische Daten), dann solltest Du Dich mit dem Thema genauer befassen!