General Data Protection Regulation (GDPR) oder im deutschen Sprachraum auch DSGVO (Datenschutzgrundverordnung) ist ja derzeit in aller Munde. Eigentlich sollte die Vorschrift schon länger allen bekannt sein. Der Chaos Computer Club (CCC) hatte bereits vor einem Jahr das Thema auf dem 33. Chaos Computer Congress (33C3). Nun aber naht die Frist und Panik macht sich breit!

Im Rahmen einer Artikelserie werde ich zunächst auf rechtliche Grundlagen und später auf technische Maßnahmen zur Umsetzung und Hilfestellung eingehen.

Dazu zunächst in diesem Artikel etwas theoretischer bzw. rechtlicher Hintergrund mit dem Bezug zu möglichen technischen Folgen und Auswirkungen:

Aus deutscher Sicht hat sich eigentlich nur eines für Unternehmen geändert: Die Höhe der Geldstrafen. Ansonsten sind die Regeln in Summe für Deutschland eigentlich nahezu die gleichen, nur gelten Sie jetzt EU-weit. In Deutschland heißt das Ganze dann DSGVO mit den entsprechenden Kernthemen:

• „Privacy by Design“ heißt der Grundsatz, nach dem in Zukunft die Privatsphäre der Bürger in der EU geschützt wird. Demnach muss ein Bürger gegenüber einem Unternehmen seine explizite Einwilligung (Opt In) geben, damit dieses die personenbezogenen Daten zweckgebunden sammeln und speichern darf.
• Artikel 6,7 und 8 zur Zustimmung: Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Das bedeutet, dass eine ausdrückliche Zustimmung erforderlich ist.
• Das Recht auf Vergessen oder Löschen: Sollte ein Bürger es wünschen, muss ein Unternehmen seine personenbezogenen Daten innerhalb einer gewissen Frist löschen, und zwar komplett. Das betrifft z.B. auch Backup und Archivierung.
• Das Recht, beim Vorfall benachrichtigt zu werden: Trifft der Ernstfall ein und personenbezogene Daten geraten in falsche Hände, muss die betroffene Person fristgerecht darüber informiert werden.
• Das Recht auf Zugang und Portabilität: Jeder Bürger hat das Recht zu erfahren, welche Daten von ihm gespeichert sind und darf auch Zugang einfordern. Außerdem soll eine einfache Portierung der Daten von einem zum anderen Unternehmen möglich sein.
• Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“
• Artikel 32 „Sicherheit der Datenverarbeitung“. Hier schreibt die Verordnung vor, dass direkt und indirekt personenbezogene Daten verschlüsselt werden müssen.

Dabei sind Punkte zu berücksichtigen: beispielsweise der Stand der Technik, die Implementierungskosten, außerdem Art, Umfang, Umstände und Zwecke der Datenverarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos. Dies lässt allerdings viele Fragen offen, z.B.:

• Welche Daten sind direkt oder indirekt personenbezogen?
• Wann entsprechen einzelne Komponenten und Systeme dem ‚Stand der Technik‘?
• Welche Art der Verschlüsselung ist nötig? Muss es immer und überall eine asymmetrische Verschlüsselung mit RSA sein, oder reicht manchmal auch das AES-Verfahren, ECC oder die hybride SSL/TLS-Verschlüsselung? Und wenn ja: wann?

Die Grundidee der GDPR/DGSVO ist richtig: der sinnvolle Umgang mit persönlichen Daten, anstatt die Daten über die gesamte Systemlandschaft zu verteilen.

Die Fragen gehen dennoch noch weiter, von der Frage, wie GDPR und CRM zusammengehen sollen über Git-Versionskontrollsysteme wie Gitlab. Generell sollte man sich an die Prämisse „Privacy by Design“ halten. Im nächsten Blog-Artikel gehe ich auf konkrete technische Maßnahmen ein, die dabei helfen, GDPR-konform Software zu bauen: Vor allem der Aspekt der Architektur für solche Systeme wird dabei genauer beleuchtet.