Unsere DSGVO-Checkliste
Seit der DSGVO hat sich im Netz vieles verändert. Besonders wer mit personenbezogenen Daten zu tun hat, sollte genauesten informiert sein, wie die Daten verwendet und gespeichert werden dürfen. Unsere DSGVO-Checkliste gibt einen Überblick, was bei neuen Web- und Softwareprojekten für den Datenschutz besonders zu beachten ist.
Würde man ein paar Jahre in die Vergangenheit reisen und einige Seiten im Internet besuchen, so würde man vermutlich etwas bemerken: die vollkommene Abwesenheit von Cookie Bannern auf sämtlichen Webseiten. Der Grund für diese relativ neue Entwicklung ist ein Entschluss vom Europäischen Parlament, der am 25.05.2018 in Kraft getreten ist - die neue Datenschutzgrundverordnung oder kurz DSGVO.
Seit der Einführung der DSGVO müssen all jene, die mit personenbezogenen Daten arbeiten, viele neue Auflagen erfüllen, um den Datenschutz zu gewährleisten. Das bedeutet, dass sowohl für neue Web- und Softwareprojekte als auch für bereits bestehende Systeme mit Datenbanken wichtige Vorkehrungen getroffen werden müssen, damit sie DSGVO-konform sind.
Was sind personenbezogene Daten? #
Diese Frage sollte man sich immer dann stellen, wenn man Daten verarbeitet, da diese dann für die DSGVO relevant werden.
Um personenbezogene Daten handelt es sich immer dann, wenn diese Daten dafür genutzt werden können, eine natürliche Person damit identifizieren zu können - selbst wenn nur ein Teil der Daten vorhanden ist, die es ermöglichen würden, die Person zu identifizieren.
Somit sind Daten wie Name, Adresse, Geburtsdatum, Gesundheitsdaten, aber zum Beispiel auch Stimme, Gewicht oder Aussehen personenbezogen.
Daten bleiben auch dann personenbezogen, wenn diese verschlüsselt gespeichert werden. Dies ist erst dann nicht mehr der Fall, wenn die Verschlüsselung oder Unkenntlichmachung der Daten nicht umkehrbar ist und somit keine Möglichkeit besteht, die Daten wieder zuordnen zu können.
Die DSGVO-Checkliste #
Um sich im rechtlichen Dschungel des Datenschutzes nicht zu verlaufen, haben wir uns eine Checkliste gemacht, damit wir beim Start von Softwareprojekten keine Punkte übersehen und für den optimalen Schutz von personenbezogenen Daten sorgen können.
1. Welche Daten werden verarbeitet? #
Um alle Maßnahmen entsprechend der DSGVO ordnungsgemäß erfüllen zu können, ist es notwendig, eine Erhebung aller zu verarbeitenden Daten zu machen und festzustellen, welche davon sensible oder personenbezogene Daten sind.
2. Zu welchem Zweck werden die Daten verarbeitet? #
Benutzer:innen der Software oder Website müssen über die Verwendung ihrer Daten ausreichend informiert werden. Um dieser Regel nachzukommen, ist es nötig, den Zweck der Datenverarbeitung festzustellen. Daten dürfen auch nicht ohne Grund gespeichert und auch nicht für andere Zwecke weiter verarbeitet werden.
Je nach Art der verarbeiteten Daten besteht ein unterschiedlich großes Risiko im Falle von Datenverlust, unbeabsichtigter Löschung oder ungewollter Offenlegung der Daten. Je höher das Risiko für die betroffenen Personen, desto höher muss das Schutzniveau dieser Daten sein. Um ein ausreichendes Schutzniveau zu erreichen, müssen angemessene technische und organisatorische Maßnahmen getroffen werden.
3. Datenminimierung #
Der Grundsatz der Datenminimierung sieht vor, dass nur Daten, die dem Zweck angemessen sind, erhoben werden und auf das zur Verarbeitung notwendige Maß beschränkt werden. Im Zusammenhang mit Datenminimierung ist das Prinzip von “Privacy by Default”, sprich Privatsphäre als Standard, zu beachten. Es bedeutet, dass die Voreinstellungen in der Software so gesetzt sein müssen, dass keine nicht unbedingt notwendigen Daten verarbeitet werden. Bei Cookies bedeutet das, dass mit der Vorauswahl nur die notwendigen Cookies angenommen werden. Bei Registrierungsformularen könnte es zum Beispiel bedeuten, keine Felder für nicht relevante Daten zu inkludieren (zum Beispiel Geburtsort bei der Registrierung in einem Onlineshop).
4. Richtigkeit #
Die Richtigkeit von Daten muss laut DSGVO ebenfalls gewährleistet sein, es ist daher nötig, regelmäßig zu prüfen, ob die Daten im System korrekt sind und nach Möglichkeit bereits bei der Dateneingabe ungültige Daten (wie ungültige Adressen) zu verhindern.
5. Speicherbegrenzung #
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für ihren Zweck notwendig sind und müssen danach unwiderruflich gelöscht werden. Um dies zu gewährleisten, ist es notwendig, die Daten regelmäßig zu prüfen und eventuell Datensätze zu löschen, wenn diese nicht mehr notwendig sind.
6. Verarbeitungsverzeichnis #
Verantwortliche für die Verarbeitung von Daten müssen laut DSGVO ein Verarbeitungsverzeichnis führen, dieses muss sämtliche Verarbeitungstätigkeiten enthalten. Dieses Verzeichnis sollte gut gepflegt werden, da es im Falle einer Überprüfung der Aufsichtsbehörde vorgelegt werden muss.
7. Tracking #
Viele Betreiber:innen von Websites sind auf Informationen über ihre Besucher:innen angewiesen, um strategische Entscheidungen und deren Auswirkungen analysieren zu können. Dafür ist es notwendig, Daten über Besucher:innen und deren Verhalten zu analysieren und auszuwerten. Es gibt hierfür verschiedene Werkzeuge, wie zum Beispiel Google Analytics oder Plausible.
Man sollte sich allerdings - bevor man eines dieser Tools verwendet - Gedanken dazu machen, ob dieses den Anforderungen der DSGVO entspricht und die Tools damit zulässig sind. Außerdem kann es sein, dass durch Einbinden eines solchen Tools die Einwilligung von Besucher:innen erhoben werden muss, damit diese die Seite besuchen können. Dies passiert meistens in Form der berüchtigten “Cookie Banner”, welche den Fluss einer Website sehr ausufern lassen können.
Zudem wurde am Donnerstag, dem 13. Jänner 2022 der Entschluss der österreichischen Datenschutzbehörde gefasst, dass das Einbinden von Google Analytics gegen die DSGVO verstoße, da Daten im EU-Ausland verarbeitet werden und kein ausreichender Schutz gegen "Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste" gewährleistet wird. Das zeigt bereits, dass bei der Auswahl der Werkzeuge Vorsicht geboten ist, damit man auf der sicheren Seite ist und später nicht zahlreiche Änderungen notwendig werden. Wir empfehlen hier Plausible Analytics, mehr dazu in unserem Blogpost zu Plausible.
8. Cookies #
Kekse? Ja bitte! Aber leider handelt es sich hier um eine andere Art von Cookies, die man nicht immer akzeptieren möchte. Cookies sind ein Grundpfeiler des Internets. Sie können dafür genutzt werden, Daten, die auf Webseiten verwendet werden, am Gerät der Benutzer:innen zu speichern, um diese später wieder verwenden zu können. Ein einfaches Beispiel ist ein “Session Cookie”, welches dafür da ist, sich zu merken, dass man auf diesem Gerät auf einer Seite eingeloggt ist. Cookies sind also nicht immer schlecht. Würde man keine Cookies mehr akzeptieren, würden große Teile des Internets gar nicht mehr funktionieren.
Mit Cookies ist es Unternehmen allerdings auch möglich, Daten über Benutzer:innen zu sammeln: Zum Beispiel könnten Online-Shops das Kaufverhalten ihrer Besucher:innen anhand von Cookies analysieren.
Vermeidet man jedoch das Erheben von personenbezogenen Daten mit Cookies, so ist es auch nicht nötig, den Nutzer oder die Nutzerin um eine Einwilligung zu bitten. Sollte man sich also ein Cookie Banner auf der Website sparen wollen, ist man gut beraten, das Speichern von Cookies mit personenbezogenen Daten zu unterlassen.
9. Externe Fonts #
Für viele ist sicher überraschend, dass externe Schriftarten, auch Fonts genannt, im Datenschutz eine Rolle spielen. Werden externe Fonts, wie zum Beispiel Google Fonts nämlich in eine Seite eingebunden, wird beim Aufrufen dieser Seite eine Verbindung an die Google Server hergestellt und verschiedene Informationen an diese gesendet. Diese Informationen enthalten unter anderem, welches Gerät und welcher Browser verwendet werden, aber auch die IP Adresse des Nutzers bzw. der Nutzerin, welche auch zum Identifizieren einer Person verwendet werden kann und somit zu den personenbezogenen Daten zählt.
Eine DSGVO-konforme Lösung für dieses Problem ist zum Beispiel das Speichern und Bereitstellen der Google Fonts, anstatt diese direkt von den Google Servern abzurufen.
10. Auskunft/Berichtigung und Löschung von Daten #
Die DSGVO gibt jeder Person das Recht, über die von Verarbeiter:innen gespeicherten personenbezogenen Daten Auskunft zu bekommen. Sollten diese Datensätze falsch sein oder die Person nicht damit einverstanden sein, dass diese gespeichert werden, besteht das Recht, eine Änderung oder Löschung zu beantragen. Diesem Antrag ist mit wenigen Ausnahmen auch Folge zu leisten.
Auch Backups sind von diesem Recht betroffen. Man sollte also ein System schaffen, das es ermöglicht, Daten auch in Backups bearbeiten und entfernen zu können.
11. Wird die Informationspflicht eingehalten? #
Betroffenen Personen müssen durch die oder den Verantwortliche:n bestimmte Informationen über die Anwendung ihrer Daten bereitgestellt werden. Welche Informationen Betroffenen bereitgestellt werden müssen, hängt davon ab, ob die Daten direkt von den Betroffenen erhoben wurden oder nicht bei den Betroffenen selbst erhoben wurden.
Beim Datenschutz nichts anbrennen lassen! #
Wie bei anderen Fragen in einem Projekt ist es auch mit personenbezogenen Daten und der DSGVO: Erst wenn die Ziele klar definiert sind, können die optimalen Strategien entwickelt werden. In diesem Fall stellen sich vor allem folgende Fragen: Welche Daten sind relevant für mich und wie sollen sie gespeichert oder verwendet werden. Wenn diese Anforderungen geklärt sind, kann die passende Strategie für die Umsetzung des Projekts implementiert werden.
Sie brauchen Hilfe bei der datenschutzkonformen Umsetzung Ihres Projekts? Melden Sie sich bei uns, wir unterstützen Sie gerne.