Home

Legal & Data Privacy

Hier ist die Tabelle im Markdown-Format:

#BereichWas ist gefordert?Warum?Rechtsgrundlage
1Personenbezogene Daten identifizierenIP-Adressen, Cookies, Device-IDs, Logdaten als personenbezogen behandelnDSGVO gilt für jede Verarbeitung personenbezogener DatenDSGVO Art. 4
2Rechtsgrundlage prüfenEinwilligung für Tracking/Analytics; berechtigtes Interesse nur in engen AusnahmenJede Verarbeitung braucht eine GrundlageDSGVO Art. 6
3ImpressumspflichtVollständiges Impressum mit Anbieterkennung, Kontaktdaten und Verantwortlichem; bei gewerblichen und journalistischen Angeboten verpflichtendFehlende Angaben sind abmahnfähigTMG § 5, DDG § 5 (ab 2024), RStV § 55
4Consent-Management & CookiesKeine Tracking-Skripte oder nicht notwendigen Cookies vor Zustimmung; Widerruf ermöglichenePrivacy + TransparenzpflichtDSGVO Art. 7, ePrivacy-RL Art. 5
5Datenminimierung & LoggingNur notwendige Daten erheben; Logs pseudonymisieren, verschlüsseln, automatisch löschenGrundprinzip der DSGVODSGVO Art. 5, 32
6Technische SchutzmaßnahmenTLS 1.2+, HSTS, Datenbankverschlüsselung, Schlüssel getrennt, bcrypt/Argon2 für PasswörterSchutz vor Abhören, Datenpannen und LeaksDSGVO Art. 32
7Drittanbieter & AnalyticsKeine externen Fonts/CDN/Analytics ohne Consent; bei US-Diensten Standardvertragsklauseln oder DPF prüfenIP = personenbezogen; Drittlandtransfer-PflichtenDSGVO Art. 44–49, EuGH Schrems II
8Nutzerrechte technisch umsetzenExport, Löschung, Korrektur, Auskunft implementierenRechte der betroffenen PersonDSGVO Art. 15–20
9Datenlöschung & RetentionLöschkonzepte, automatische Fristen, „Recht auf Vergessenwerden”LöschpflichtDSGVO Art. 17
10Sichere Architektur & EntwicklungLeast Privilege, Zero-Trust, Secrets-Management, sichere Pipelines, Supply-Chain-ChecksMinimierung interner und externer AngriffsflächenDSGVO Art. 32, Stand der Technik
11Dokumentation, DPIA & VerarbeitungsverzeichnisDatenflüsse dokumentieren (Art. 30); DPIA bei hohem Risiko (Art. 35)RechenschaftspflichtDSGVO Art. 30, 35
12Incident ResponseDatenpannen innerhalb von 72h an Aufsichtsbehörde meldenMeldepflichtDSGVO Art. 33

1. Alles, was personenbezogene Daten enthält und irgendwo gespeichert oder übertragen wird, ist ein Log im Sinne der DSGVO

  • Du darfst personenbezogene Daten nicht ungefiltert loggen
  • Du musst Logs minimieren
  • Du musst Logs schützen
  • Du brauchst Löschfristen
  • Du musst Logs pseudonymisieren, wenn möglich
  • Du musst Logs im Datenschutz‑Verzeichnis dokumentieren

6. Du musst angemessene technische Maßnahmen treffen, um personenbezogene Daten zu schützen

  • Jede Übertragung personenbezogener Daten zwischen Client und Server zwingend über eine moderne, sichere HTTPS‑Verbindung erfolgen muss, und zwar mindestens TLS 1.2, besser TLS 1.3, plus HSTS, um Downgrade‑Angriffe zu verhindern
  • Passwörter müssen gehasht werden (Pflicht)
  • Besonders sensible Daten müssen verschlüsselt werden (z. B. Gesundheitsdaten)
  • Andere personenbezogene Daten sollten verschlüsselt werden, wenn das Risiko hoch ist oder die Architektur es erfordert

10a. Nicht nur die App muss sicher sein — auch deine Entwicklungsumgebung

  • Starke Passwörter, Multi‑Factor‑Authentication (MFA)
  • Wenn ein Entwickler‑Account kompromittiert wird, ist die gesamte Software kompromittiert
  • Entwickler müssen ihre Tools, Geräte, Repos, Secrets und Pipelines so absichern, dass keine Datenpanne durch die Entwicklungsumgebung entsteht

10b. Die gesamte Software muss so aufgebaut sein, dass Risiken minimiert werden — nicht nur einzelne Komponenten

  • Das ist ein Kernprinzip der DSGVO (Art. 25: Privacy by Design und Privacy by Default)
  • Least Privilege: Jede Komponente, jeder Service, jeder Nutzer bekommt nur die Rechte, die unbedingt nötig sind
  • Zero‑Trust-Prinzip: Keiner Komponente wird automatisch vertraut — auch nicht intern
  • Jeder Request wird geprüft, egal woher er kommt
  • Trennung von Komponenten (Separation of Concerns), wenn ein Teil kompromittiert wird, fällt nicht alles.
  • Sichere Auth & Sessions
  • Schutz vor Web‑Angriffen (XSS‑Schutz, CSRF‑Schutz, SQL/NoSQL‑Injection‑Schutz, Rate‑Limiting, Input‑Validierung)
  • Datenminimierung, nur speichern, was wirklich nötig ist
  • Sichere Defaults, z.B. Standard‑Rollen haben minimale Rechte
  • Monitoring & Backups

11a. SBOM = Software Bill of Materials

  • Es ist im Grunde eine vollständige, maschinenlesbare Liste aller Komponenten, aus denen deine Software besteht
  • In den USA ist ein SBOM für kritische Software bereits Pflicht
  • In der EU wird es durch den Cyber Resilience Act (CRA) ebenfalls verpflichtend
  • Tools zur Erstellung: CycloneDX (am weitesten verbreitet), SPDX

11b. Der Verantwortliche muss nachweisen können, dass er die DSGVO einhält

  • Dokumentation ist Pflicht für jedes Projekt
  • Datenflüsse, Architektur, Logging, Löschung, Sicherheit
  • Eine DPIA ist eine Art „Risiko‑Analyse für personenbezogene Daten“
  • Sie ist Pflicht, wenn die Verarbeitung ein hohes Risiko für die Rechte der Nutzer darstellt
  • Für typische Web‑Apps (Login, Shop, Blog, SaaS) ist keine DPIA nötig

12. Meldung immer an die zuständige Datenschutz‑Aufsichtsbehörde

  • Jedes Bundesland hat seine eigene Behörde
  • z.B. Berlin → Berliner Beauftragte für Datenschutz
  • Es wird an die Behörde des „Hauptsitzes“ gemeldet
  • Wenn ein externer Dienstleister (z. B. AWS, Vercel, Supabase, MongoDB Atlas) eine Panne hat: Der Dienstleister meldet an dich (als Verantwortlichen), du meldest an die Behörde