Kannst du dich noch an den Mai 2018 erinnern? Ein geschichtsträchtiger Monat. Prinz Harry und Meghan Markle heiraten, Israel gewinnt den Eurovision Song Contest und Schweden wird zum 11. Mal IIHF-Weltmeister. Ach ja, und die EU-DSGVO trat in Kraft. An Letzteres wirst du dich vielleicht noch am ehesten erinnern können. Auf einmal gab es ganz viele Datenschutzerklärungen zu unterschreiben, und unsere E-Mail-Eingänge wurden mit “Änderungen unserer Nutzerbedingungen” überflutet.
Ein anderer Effekt, der dir vielleicht aufgefallen ist, ist das einigen Websites aus den USA auf einmal nicht mehr erreichbar waren. „Unser Angebot können wir leider in der EU nicht mehr anbieten“, hieß es. Was so viel bedeutet wie „Wir sind nicht Datenschutz-konform“.
Als Softwareanbieter sind wir natürlich rechtlich verpflichtet eine DSGVO-konforme Software anzubieten. Aber wir verstehen diese Verpflichtung auch auf einer moralischen Ebene. Für uns ist es von Bedeutung, mit den Daten unserer Kunden sorgsam umzugehen.
Die rechtlichen Details zur DSGVO könnt ihr auf der Website Datenschutz Grundverordnung der daschug GmbH nachlesen. In diesem Artikel möchte ich euch aber die wichtigsten internen Grundsätze, die wir in Bezug auf Datenschutz haben, kurz erörtern. Weiter Infos kannst du unserer Datenschutzerklärung entnehmen.
Grundsatz 1: Speichere nur Daten, die unbedingt notwendig sind.
Überleg dir bei jedem Datum (Einzahl für „Daten“) ob du es benötigst und ob es eine bessere Alternative gibt. Oftmals merkt man dabei, dass man eigentlich eine andere, weniger empfindliche Information benötigt, als man ursprünglich angenommen hat.
Beispielsweise kann es ausreichen, die Anrede („Frau“, „Herr“) anstatt des Geschlechts abzuspeichern, wenn diese nur zur Anschrift in E-Mails und Ähnlichen verwendet wird. Das Geschlecht ist eine sehr persönliche Information, welche in diesem Fall nicht notwendig ist. Wir bieten in so einem Szenario eine neutrale Option an, damit ihr selbst entscheiden könnt, ob ihr uns diese Information geben möchtet oder nicht. Ihr habt damit auch eine Alternative, falls keine der vorgeschlagenen Anreden für euch passend ist.
Ein anderes Beispiel ist die Registrierung des Benutzerkontos oder das Anmelden zum Newsletter. Wir fragen euch in diesem Fall nicht nach eurem Namen. Wir würden euch in E-Mails gerne persönlich ansprechen, aber wir haben uns dazu entschlossen, diese Information nicht abzuspeichern, da sie nicht zwingend notwendig ist.
Grundsatz 2: Gehe mit Benutzerdaten sorgsam um.
Wenn uns ein/e Benutzer:in Daten anvertraut, müssen wir diese mit äußerster Sorgfalt behandeln. Der Einsatzzweck der Daten muss für den Benutzer bzw. die Benutzerin klar nachvollziehbar sein. D.h. wenn du uns z.B. deine E-Mail-Adresse für die Anmeldung des Newsletters gibst, werden wir diese auch nur für den Newsletter verwenden. Auf keinen Fall werden wir deine Daten ohne deine ausdrückliche Zustimmung an Dritte weitergeben!
Aber auch der interne Umgang mit den Daten ist außerordentlich wichtig. Der Zugang zu Benutzerdaten wird streng reguliert. So, dass nur die notwendigsten Daten von auserwählten Personen eingesehen werden können.
Kopien von Daten erstellen wir nur dann, wenn es unbedingt notwendig ist. Egal ob in digitaler oder physischer Form. Diese Grundsätze müssen auch mit Datenbackups vereinbar sein.
Grundsatz 3: Verschlüssele die Daten deiner Kund:innen.
Bei uns werden nicht nur personenbezogene Daten, sondern jegliche Daten immer verschlüsselt abgespeichert. Die Übertragung der Daten darf ausschließlich über einen verschlüsselten Kanal (z.B. HTTPS) geschehen. Wichtige Daten (wie z.B. personenbezogene Daten) werden doppelt verschlüsselt. Dabei wird ein benutzerbezogener Schlüssel verwendet, der das Auslesen der Daten auf Betreiberseite unmöglich macht. Dadurch können wir sicherstellen, dass im Falle eines Data Breach keine Klardaten sichtbar sind.
Unser Rechenzentrums-Partner ist nach ISO 27000, ISO 27017 und weitern internationalen Datenschutzstandards zertifiziert. Wir verwenden für die Speicherung von Daten ausschließlich Standorte in Europa.
Datenschutz betrifft auch euch Lehrer:innen!
Gerade dort, wo ihr Lehrer:innen in der Schusslinie steht, wollen wir euch die bestmöglichste Unterstützung bieten. Daten eurer Schüler:innen werden zusätzlich verschlüsselt. Wir helfen euch bei der Verwaltung von Einverständniserklärungen und geben euch alle notwendigen Informationen zum Thema Datenschutz. Somit hoffen wir euch bestens informieren und unterstützen zu können.
Ist Datenschutz lästig oder notwendig?
Datenschutz scheint oft lästig zu sein. Als Betroffene:r muss man sich mit Datenschutzerklärungen und -zustimmungen herumschlagen. Das kann zeitaufwändig, kompliziert und verwirrend sein. Datenschutz ist aber ein überaus wichtiges Thema und die EU-DSGVO ist ein Schritt in die richtige Richtung.
Als Betreiber müssen wir immer vom Worst Case-Szenario, einem Data Breach, ausgehen. Aus diesem Gedanken heraus reduzieren wir die gespeicherten Daten, um damit im schlimmsten Fall den Schaden zu minimieren. Dies begleiten wir durch technische und organisatorische Maßnahmen, damit es möglichst nicht zum Worst Case kommt.
Mit der zunehmenden Digitalisierung in fast allen Bereichen unseres Lebens werden auch die Mengen an gespeicherten Daten immer mehr. Deswegen ist es wichtig, dass jede:r einzelne von uns mit dem Thema Datenschutz sensibel umgeht.