Dieser Vortrag beleuchtet die Anforderungen der Datenschutzgrundverordnung an die Betreiber:innen von webbasierten Diensten. Menschen die eine Instanz von was auch immer für wen auch immer aufsetzen, erfahren, worauf sie achten müssen und welche Handlungsschritte noch notwendig sind, wenn das eigentliche Setup schon steht und so eigentlich produktiv gehen könnte. Entwickler:innen erfahren, wie sie ihre Software so bauen können, dass sie möglichst einfach DSGVO-konform einsetzbar wird.
Freie Software wird in aller Regel als besonders datenschutzfreundlich beschrieben. Sie ist per Definition transparent und ermöglicht ein hohes Maß an Kontrolle. Die Abwesenheit von datengetriebenen Geschäftsmodellen führt zu Implementierungen, bei denen Datensparsamkeit eher die Regel als die Ausnahme ist. Optimale Voraussetzungen also, um datenschutzkonforme Alternativen zu den proprietären Cloud-Diensten zu schaffen. Aber leider reicht der DSGVO das nicht.
Um zu verstehen was die Datenschutzgrundverordnung von uns will, müssen wir die dort verankerten Rollenkonzepte entwirren. Als Betreiber:in einer webbasierten Anwendung wird man zum „Verantwortlichen“ oder zum „Auftragsverarbeiter“ – je nachdem für wen man das Ganze betreibt. Und Datenschutz macht man nie für sich selbst, sondern die „Betroffenen“. Das können aktive User sein, aber auch die vermeintlich anonymen Besucher, die nur bis zur Login-Maske kommen. Weil Internet=IP. Und IP-Adressen sind per Definition personenbezogen. Sagt jedenfalls die DSGVO.
Daher kommt man im Fall von webbasierten Anwendungen nicht um formellen Datenschutz à la DSGVO herum und übernimmt in einer der beiden Rollen Verantwortung dafür, was die Software die man da betreibt so tut. Neben den üblichen Anforderungen aus dem Bereich der IT-Sicherheit muss man ein hohes Maß an Transparenz herstellen und sich Gedanken machen, warum man welche Daten hat. Und falls mal jemand mehr wissen will, muss man auch genauer nachschauen können und im Zweifel für die Person im eigenen System etwas aufräumen.