asyoube logo asyoube
Lernfeld 4: Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen

Grundlagen der DSGVO

Lerninhalt aus der Ausbildung zum Fachinformatiker:in für Systemintegration

Grundlagen der DSGVO

Knowledge HubLernfeld 4: Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen

Grundlagen der DSGVO — Stell dir vor, du entwickelst eine neue Fitness-App. Bevor du anfängst, Nutzerdaten zu sammeln, musst du die Datenschutz-Grundverordnung (DSGVO) beachten. Sie ist das zentrale Regelwerk zum Schutz der Daten von EU-Bürger:innen. Die DSGVO basiert auf strengen Prinzipien, die du im IT-Alltag zwingend umsetzen musst: Zweckbindung : Du darfst Daten… Dieses Thema ist Teil des Lernfelds „Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen“ im Rahmenlehrplan der IHK-Ausbildung. — asyoube.de

Warum ist die DSGVO das Fundament des Datenschutzes?

Die Prinzipien der Datenverarbeitung

Stell dir vor, du entwickelst eine neue Fitness-App. Bevor du anfängst, Nutzerdaten zu sammeln, musst du die Datenschutz-Grundverordnung (DSGVO) beachten. Sie ist das zentrale Regelwerk zum Schutz der Daten von EU-Bürger:innen. Die DSGVO basiert auf strengen Prinzipien, die du im IT-Alltag zwingend umsetzen musst:

  • Zweckbindung: Du darfst Daten nur für den exakten Zweck verarbeiten, für den sie erhoben wurden. Wenn Nutzer:innen ihre E-Mail-Adresse für den Login angeben, darfst du diese nicht heimlich für Werbemails nutzen.
  • Datenminimierung: Erhebe nur die Daten, die für die Funktion der App absolut notwendig sind. Braucht eine Taschenlampen-App den GPS-Standort? Nein.
  • Transparenz: Nutzer:innen müssen jederzeit klar und verständlich nachvollziehen können, was mit ihren Daten passiert, typischerweise über eine leicht auffindbare Datenschutzerklärung.

Betroffenenrechte: Auskunft und Datenübertragbarkeit

Die DSGVO gibt den betroffenen Personen starke Kontrollrechte über ihre eigenen Daten.

Das Auskunftsrecht besagt, dass jede Person bei einem Unternehmen anfragen kann: "Welche Daten habt ihr über mich gespeichert und warum?" Für dich in der IT bedeutet das: Systeme müssen so gebaut sein, dass sich diese Daten schnell, vollständig und idealerweise über ein automatisiertes Self-Service-Portal exportieren lassen.

Zusätzlich garantiert das Recht auf Datenübertragbarkeit, dass Nutzer:innen ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (wie JSON oder CSV) anfordern können. Das Ziel ist es, dass sie ihre Daten problemlos zu einem Konkurrenzanbieter mitnehmen können, ohne von einem System abhängig zu sein (Vermeidung von Vendor-Lock-in).

Betroffenenrechte: Löschung und Berichtigung

Ein weiteres zentrales Element ist das Recht auf Löschung (auch "Recht auf Vergessenwerden" genannt). Wenn ein:e Nutzer:in das Profil in deiner App löscht, müssen alle zugehörigen Daten aus den aktiven Datenbanken und auch aus den Backups restlos entfernt werden. Eine Ausnahme besteht nur, wenn andere gesetzliche Aufbewahrungsfristen (z. B. zehn Jahre für Rechnungen im Steuerrecht) eine Löschung verbieten.

Zudem gilt das Recht auf Berichtigung: Wenn eine Person umzieht oder heiratet, muss die IT-Architektur die Möglichkeit bieten, veraltete oder falsche Daten in allen verknüpften Systemen unkompliziert zu korrigieren.

Grundlagen der DSGVO — dec-law-it-law-data-protection-law-basics-of-gdpr_page1.svg

Wer trägt die Verantwortung für personenbezogene Daten?

Was sind überhaupt personenbezogene Daten?

Bevor wir Daten schützen können, müssen wir wissen, welche Daten unter die DSGVO fallen. Die Verordnung greift ausschließlich bei personenbezogenen Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Klassische Beispiele sind der Klarname, die Wohnadresse oder das Geburtsdatum. Im IT-Alltag fallen aber auch technische Daten darunter: IP-Adressen, E-Mail-Adressen, Cookie-IDs, Standortdaten oder detaillierte Nutzerprofile (z. B. das Klickverhalten in einem Webshop). Sobald du durch die Kombination von Daten eine Person theoretisch identifizieren kannst, gilt die DSGVO. Keine personenbezogenen Daten sind hingegen völlig anonymisierte Statistiken (z. B. "Gestern waren 500 Leute auf der Website") oder reine Maschinendaten (z. B. die CPU-Auslastung eines Servers).

Technische Maßnahmen (TOMs) zum Schutz der Daten

Um personenbezogene Daten zu schützen, fordert die DSGVO die Umsetzung von Technischen und Organisatorischen Maßnahmen (TOMs).

Wie du bereits aus den Grundwerten der Informationssicherheit weißt, müssen Vertraulichkeit und Integrität gewahrt bleiben. Als technische Maßnahme setzt die IT hierfür auf Verschlüsselungsverfahren. Wenn du eine Datenbank mit Kund:innenpasswörtern oder Gesundheitsdaten betreibst, müssen diese Daten sowohl bei der Übertragung (z. B. via TLS/HTTPS) als auch im Ruhezustand auf der Festplatte (Data at Rest) stark verschlüsselt sein. Weitere technische TOMs sind strikte Zugriffskontrollen (Identity and Access Management), Firewalls und regelmäßige automatisierte Backups, um die Verfügbarkeit der Daten bei einem Ausfall zu garantieren.

Organisatorische Maßnahmen und Rollen (TOMs)

Technik allein reicht nicht aus. Zu den TOMs gehören zwingend auch organisatorische Maßnahmen, wie die klare Definition von Verantwortlichkeiten und internen Richtlinien:

  • Verantwortliche Stelle (Data Controller): Das Unternehmen, das über den Zweck der Datenverarbeitung entscheidet (z. B. dein Ausbildungsbetrieb), trägt die rechtliche Hauptverantwortung für die Einhaltung der DSGVO.
  • Auftragsverarbeitende (Data Processor): Wenn ihr externe IT-Dienstleister nutzt (z. B. einen Cloud-Anbieter wie AWS), verarbeiten diese die Daten nur in eurem Auftrag. Dies muss organisatorisch durch einen strikten Auftragsverarbeitungsvertrag (AV-Vertrag) abgesichert werden.
  • Datenschutzbeauftragte (DSB): Diese Expert:innen überwachen unabhängig die Einhaltung der TOMs im Unternehmen, schulen die Mitarbeitenden und prüfen neue IT-Projekte vorab auf ihre DSGVO-Konformität.
Grundlagen der DSGVO — dec-law-it-law-data-protection-law-basics-of-gdpr_page2.svg

Lernziele

  • den Begriff der personenbezogenen Daten zu erklären, indem anhand konkreter Beispiele aus dem IT-Alltag (z. B. IP-Adressen, E-Mail-Adressen, Nutzerprofile) unterschieden wird, welche Daten unter die DSGVO fallen und welche nicht
  • die Rechte der betroffenen Personen (Betroffenenrechte) zusammenzufassen, indem die wesentlichen Rechte wie das Recht auf Auskunft, Löschung (Recht auf Vergessenwerden) und Datenübertragbarkeit sowie deren technische Implikationen für IT-Systeme umrissen werden
  • die Notwendigkeit technischer und organisatorischer Maßnahmen (TOMs) nach der DSGVO zu interpretieren, indem die Umsetzung der Datenschutzanforderungen durch IT-Sicherheitskonzepte wie Verschlüsselung und Zugriffskontrollen analysiert und deren Beitrag zum Schutz personenbezogener Daten bewertet wird
  • die Bedeutung und Prinzipien der Datenschutz-Grundverordnung (DSGVO) zu erklären, indem die grundlegenden Ziele und Prinzipien des Datenschutzes, wie Zweckbindung, Datenminimierung und Transparenz, sowie deren Auswirkungen auf Unternehmen und Einzelpersonen beschrieben werden
← Zurück zu Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen

Teste dein Wissen

Du nutzt E-Mail-Adressen, die Kund:innen nur für die Zwei-Faktor-Authentifizierung hinterlegt haben, nun auch für Werbemails. Welches DSGVO-Prinzip verletzt du damit direkt?

Bereit für mehr?

Thema verstanden?

Teste dein Wissen interaktiv in unserer App. 7 Tage kostenlos, dann nur 5 € im Monat.

Jetzt kostenlos testen Preise ansehen