Daten­schutz & DSGVO

Sichere Dienste wählen, Datenpreisgabe verstehen und die eigenen Rechte kennen — ein interaktiver Überblick für den Informatik-GK der 12. Klasse.

Informatik Grundkurs · Klasse 12

Modul 01

Warum Datenschutz?

Datenschutz schützt nicht „Daten", sondern Menschen. Es geht um das Grundrecht auf informationelle Selbstbestimmung — das Recht, selbst darüber zu entscheiden, wer welche persönlichen Informationen über uns kennt und verwendet.

Kategorien personenbezogener Daten

Klicke auf eine Karte, um Details und Beispiele zu sehen.

Stammdaten

Name, Geburtsdatum, Adresse, Geschlecht

↓ Details

Stammdaten sind die „Basisdaten" einer Person. Sie ändern sich selten und werden bei fast jeder Registrierung erhoben. Risiko: Durch Kombination von Name + Geburtsdatum + PLZ lassen sich ca. 87 % der US-Bevölkerung eindeutig identifizieren (Sweeney, 2000). Ähnliche Studien existieren für Deutschland.

Nutzungsdaten

Clickstreams, Suchverläufe, App-Nutzung

↓ Details

Nutzungsdaten entstehen durch die Interaktion mit digitalen Diensten. Sie verraten Interessen, Gewohnheiten und Tagesrhythmen. Beispiel: Allein die Scroll-Geschwindigkeit auf einer News-Seite kann zur Vorhersage politischer Einstellungen genutzt werden.

Sensible Daten (Art. 9 DSGVO)

Gesundheit, Religion, Biometrie, Sexualität

↓ Details

Besondere Kategorien personenbezogener Daten genießen erhöhten Schutz. Ihre Verarbeitung ist grundsätzlich verboten (Art. 9 Abs. 1 DSGVO) — mit eng definierten Ausnahmen, z. B. ausdrückliche Einwilligung oder lebenswichtiges Interesse. Beispiel: Fitness-Tracker-Daten gelten als Gesundheitsdaten und unterliegen damit Art. 9.

Metadaten

Zeitstempel, IP-Adressen, Geräteinfo, Standort

↓ Details

Metadaten sagen oft mehr als Inhaltsdaten. Stewart Baker (NSA): „We kill people based on metadata." — Aus Metadaten lässt sich rekonstruieren, wer wann wo mit wem kommuniziert hat. Ein Telefonat mit einer Onkologie-Klinik + Anruf bei der Lebensversicherung erzählt eine Geschichte, ohne dass man den Inhalt kennt.

Datenlebenszyklus

Erhebung
Speicherung
Verarbeitung
Weitergabe
Löschung

Die DSGVO reguliert jeden einzelnen Schritt dieses Zyklus — von der Erhebung (Rechtsgrundlage nötig) bis zur Löschung (Recht auf Vergessenwerden, Art. 17).

Informationelle Selbstbestimmung

  • Grundrecht aus dem Volkszählungsurteil (BVerfG, 1983)
  • Kontrolle über eigene Daten
  • Transparenz: Wissen, wer was speichert
  • Einwilligung als Legitimationsbasis
  • Datenminimierung als Leitprinzip

Überwachungskapitalismus

  • Verhaltensüberschuss als Rohstoff (Zuboff)
  • Profilbildung ohne informierte Einwilligung
  • Dark Patterns: Manipulation der Zustimmung
  • Asymmetrische Informationsverhältnisse
  • Lock-in-Effekte durch Datensilos

Modul 02

Die DSGVO im Detail

Die Datenschutz-Grundverordnung (DSGVO / GDPR) gilt seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Sie ist unmittelbar geltendes Recht — kein Vorschlag, sondern eine Verordnung. Verstöße können bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes kosten.

Die 7 Grundsätze der Datenverarbeitung (Art. 5 DSGVO)

GrundsatzBedeutungPraxisbeispiel
Rechtmäßigkeit, Transparenz
Art. 5 Abs. 1 lit. a		 Jede Verarbeitung braucht eine Rechtsgrundlage (Art. 6) und muss für Betroffene nachvollziehbar sein. Cookie-Banner muss echte Wahlfreiheit bieten, nicht nur „Alle akzeptieren".
Zweckbindung
Art. 5 Abs. 1 lit. b		 Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. E-Mail für Newsletter-Versand erhoben → darf nicht für Kreditscoring genutzt werden.
Datenminimierung
Art. 5 Abs. 1 lit. c		 Nur die Daten erheben, die für den konkreten Zweck erforderlich sind. Online-Shop: Geburtsdatum für Warenlieferung nicht erforderlich → darf nicht als Pflichtfeld stehen.
Richtigkeit
Art. 5 Abs. 1 lit. d		 Personenbezogene Daten müssen sachlich richtig und aktuell sein. Falsche Schufa-Einträge müssen berichtigt werden (Art. 16).
Speicherbegrenzung
Art. 5 Abs. 1 lit. e		 Daten nur so lange speichern, wie für den Zweck nötig — danach löschen. Bewerbungsunterlagen nach Absage: max. 6 Monate, dann Löschpflicht.
Integrität & Vertraulichkeit
Art. 5 Abs. 1 lit. f		 Angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz. Verschlüsselung, Zugriffskontrollen, regelmäßige Backups, Pseudonymisierung.
Rechenschaftspflicht
Art. 5 Abs. 2		 Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können. Verarbeitungsverzeichnis (Art. 30), Datenschutz-Folgenabschätzung (Art. 35).

Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

Klicke auf eine Karte, um die Rechtsgrundlage zu vertiefen.

Einwilligung (lit. a)

Freiwillig, informiert, unmissverständlich, widerrufbar

↓ Details

Die Einwilligung muss durch eine aktive Handlung erfolgen — vorausgefüllte Checkboxen sind unzulässig (EuGH, Planet49). Der Widerruf muss genauso einfach sein wie die Erteilung. Koppelungsverbot: Die Erbringung einer Dienstleistung darf nicht von einer Einwilligung abhängig gemacht werden, die für die Leistung nicht erforderlich ist (Art. 7 Abs. 4).

Vertragserfüllung (lit. b)

Daten, die zur Erfüllung eines Vertrags nötig sind

↓ Details

Wenn jemand ein Produkt bestellt, darf der Shop Name und Adresse für die Lieferung verarbeiten — ohne gesonderte Einwilligung. Grenze: Nur das, was für die Vertragserfüllung objektiv erforderlich ist. Profiling zur Werbepersonalisierung fällt nicht darunter.

Berechtigtes Interesse (lit. f)

Interessenabwägung: Unternehmen vs. Betroffener

↓ Details

Der „Auffangtatbestand" — nutzbar, wenn das Interesse des Verantwortlichen die Rechte des Betroffenen überwiegt. Dreistufiger Test: (1) Berechtigtes Interesse identifizieren, (2) Erforderlichkeit prüfen, (3) Abwägung mit Grundrechten des Betroffenen. Beispiel: Videoüberwachung eines Firmengeländes nachts — ja. Dauerüberwachung von Mitarbeiter-Arbeitsplätzen — nein.

Gesetzliche Pflicht (lit. c)

Steuerrecht, Handelsrecht, Geldwäschegesetz

↓ Details

Manche Daten müssen verarbeitet werden — z. B. Lohndaten für die Steuer (AO), Identitätsprüfung nach GwG. Hier hat der Betroffene i. d. R. kein Widerspruchsrecht (Art. 21 Abs. 1 greift nicht). Die Speicherfrist richtet sich nach dem jeweiligen Fachgesetz (z. B. 10 Jahre für Buchungsbelege nach HGB).

Deine Betroffenenrechte

Auskunftsrecht (Art. 15): Du darfst erfahren, welche Daten über dich gespeichert sind, woher sie stammen und an wen sie weitergegeben werden.
Berichtigungsrecht (Art. 16): Fehlerhafte Daten müssen korrigiert werden — z. B. falsche Schufa-Einträge.
Recht auf Löschung (Art. 17): Das „Recht auf Vergessenwerden" — Daten müssen gelöscht werden, wenn der Zweck entfällt oder die Einwilligung widerrufen wird.
Recht auf Datenübertragbarkeit (Art. 20): Du kannst deine Daten in einem maschinenlesbaren Format erhalten und zu einem anderen Anbieter mitnehmen.
Widerspruchsrecht (Art. 21): Gegen Verarbeitung auf Basis berechtigter Interessen kannst du jederzeit Widerspruch einlegen — der Verantwortliche muss dann „zwingende" Gründe nachweisen.
Recht auf Einschränkung (Art. 18): Statt Löschung kann die Verarbeitung „eingefroren" werden — z. B. während die Richtigkeit geprüft wird.
Beschwerderecht (Art. 77): Du kannst dich bei einer Aufsichtsbehörde beschweren, wenn du glaubst, dass deine Rechte verletzt werden.

0 / 7 geprüft

Modul 03

Sichere Dienste & Datenpreisgabe

Zwischen „kostenlos" und „sicher" liegt oft ein fundamentaler Widerspruch. Wer die richtigen Dienste wählt und sein eigenes Datenverhalten reflektiert, macht informationelle Selbstbestimmung zur Praxis.

Datenschutz-Mythen — wahr oder falsch?

Klicke auf eine Karte, um das Ergebnis aufzudecken.

„Ich habe nichts zu verbergen, also ist Datenschutz mir egal."

Klicken zum Aufdecken

❌ Falsch. Das „Nothing-to-hide"-Argument verwechselt Privatsphäre mit Schuld. Auch wer nichts Illegales tut, hat ein Recht auf Privatsphäre — ebenso wie man Vorhänge hat, ohne kriminell zu sein. Zudem: Was heute akzeptabel ist, kann morgen problematisch sein (chilling effect).

„Der Inkognito-Modus macht mich anonym im Internet."

Klicken zum Aufdecken

❌ Falsch. Der Inkognito-Modus verhindert nur lokale Speicherung (Verlauf, Cookies). Dein ISP, der Arbeitgeber und besuchte Websites sehen dich weiterhin. Für echte Anonymität braucht man Tor oder ein VPN — und selbst das hat Grenzen (DNS-Leaks, Browser-Fingerprinting).

„Unternehmen müssen mir innerhalb eines Monats Auskunft erteilen."

Klicken zum Aufdecken

✅ Wahr. Art. 12 Abs. 3 DSGVO: Antwortfrist 1 Monat, verlängerbar um max. 2 Monate bei Komplexität (mit Begründung). Die Auskunft muss kostenlos, verständlich und vollständig sein.

„Wenn ein Dienst kostenlos ist, ist er auch harmlos."

Klicken zum Aufdecken

❌ Falsch. „If you're not paying for the product, you are the product." Kostenlose Dienste finanzieren sich häufig über Datenhandel, Werbeprofiling oder Verhaltensvorhersagen. Beispiel: Ein kostenloser Taschenrechner mit Zugriff auf Kontakte, Mikrofon und Standort.

„Die DSGVO gilt auch für Unternehmen außerhalb der EU."

Klicken zum Aufdecken

✅ Wahr. Das Marktortprinzip (Art. 3 Abs. 2): Die DSGVO gilt für jedes Unternehmen, das Waren oder Dienstleistungen an Personen in der EU anbietet oder deren Verhalten beobachtet — unabhängig vom Firmensitz. Deshalb wurde z. B. Meta zu Rekordstrafen verurteilt.

„Ende-zu-Ende-Verschlüsselung schützt auch die Metadaten."

Klicken zum Aufdecken

❌ Falsch. E2EE schützt den Inhalt einer Nachricht, aber nicht die Metadaten (wer kommuniziert wann mit wem, wie oft, wie lange). Signal minimiert als einer der wenigen Messenger auch die Metadaten-Erfassung — WhatsApp (trotz E2EE) teilt Metadaten mit Meta.

Sichere Alternativen kennen

Datenschutzfreundlich

  • Signal statt WhatsApp — E2EE + minimale Metadaten, Open Source
  • ProtonMail / Tutanota statt Gmail — Ende-zu-Ende-verschlüsselte E-Mail, Server in EU/Schweiz
  • Firefox / Brave statt Chrome — kein Google-Tracking, erweiterbar mit uBlock Origin
  • DuckDuckGo / Startpage statt Google — keine Suchprofile, keine Filterblasen
  • Nextcloud statt Google Drive — Self-Hosted, volle Kontrolle
  • Mastodon / Fediverse statt X/Twitter — dezentral, kein Algorithmus-Feed

Kriterien für die Auswahl

  • Open Source? (Quellcode überprüfbar)
  • Wo stehen die Server? (EU, Schweiz bevorzugt)
  • Welche Rechtsgrundlage wird genutzt?
  • Gibt es ein Verarbeitungsverzeichnis?
  • Finanzierungsmodell? (Abo > Werbung)
  • Unabhängige Audits durchgeführt?

Fallanalyse: Klassenchat

Dieser Chat enthält mehrere Datenschutzverstöße. Findest du sie? Analysiere erst selbst, dann decke auf.

📱 Stufenchat 12er

Lena

Hey, hat jemand die Handynummer von Frau Schmidt? Ich will ihr privat wegen der Nachprüfung schreiben 📱
⚠️ Weitergabe von Kontaktdaten Dritter ohne deren Einwilligung (Art. 6) — und private Kontaktaufnahme bei Lehrkräften ist grenzüberschreitend.

Tom

Klar, 0176-XXXXXXX. Die hat sie mir mal gegeben 😅
⚠️ Herausgabe personenbezogener Daten (Telefonnr.) in einem Gruppenchat ohne Einwilligung der Betroffenen. Verletzt Art. 5 (Zweckbindung) + Art. 6 (fehlende Rechtsgrundlage).

Jonas

Übrigens: Max war heute beim Psychologen, hat er mir erzählt. Hoffentlich geht's ihm besser.
⚠️ Verbreitung von Gesundheitsdaten (Art. 9 — besondere Kategorie!) in einem Gruppenchat. Auch mit guter Absicht: Max hat der Weitergabe nicht zugestimmt.

Sarah

Ich hab die Klausurergebnisse abfotografiert, hier das Bild 📸 [Foto mit Namen + Noten aller Schüler]
⚠️ Veröffentlichung schulischer Leistungsdaten (personenbezogene Daten) ohne Einwilligung aller Betroffenen. Verletzt Zweckbindung, Datenminimierung und ggf. Persönlichkeitsrechte.

Mia

Leute, seid mal vorsichtig mit sowas hier im Chat... 🙄

Schreibaufgabe: Datenschutzerklärung bewerten

Sortieraufgabe: Ablauf einer DSGVO-Beschwerde

Bringe die Schritte in die richtige Reihenfolge.

Vertiefung

Fallszenarien — Wie entscheidest du?

Datenschutz ist kein abstraktes Regelwerk, sondern wird in konkreten Situationen relevant. Klicke auf ein Szenario, um die juristische Einordnung zu sehen.

🏢 Ein Arbeitgeber liest die privaten E-Mails seiner Mitarbeiter auf dem Firmen-Laptop. Zulässig?

Klicken für Analyse

Es kommt darauf an. Wenn private Nutzung ausdrücklich erlaubt ist, wird der Arbeitgeber zum Telekommunikationsanbieter und darf nicht mitlesen (TKG / TTDSG). Ist private Nutzung verboten und dokumentiert, darf er stichprobenartig prüfen — aber nur verhältnismäßig und mit vorheriger Ankündigung. Eine Totalüberwachung ist in jedem Fall unzulässig (BAG-Rechtsprechung).

📍 Eine Fitness-App verkauft anonymisierte Standortdaten an Werbenetzwerke. Unbedenklich?

Klicken für Analyse

Problematisch. „Anonymisiert" ist oft Pseudonymisierung — wenn sich die Daten durch Kombination re-identifizieren lassen, gelten sie weiterhin als personenbezogen. Der NYT gelang es, aus „anonymisierten" Standortdaten einzelne Personen (inkl. Pentagon-Mitarbeiter) zu identifizieren. Zudem: Datenverkauf war nicht der ursprüngliche Erhebungszweck → Verstoß gegen Zweckbindung.

🎓 Eine Schule setzt Microsoft 365 für den Unterricht ein. Datenschutzkonform?

Klicken für Analyse

Hochumstritten. Mehrere Landesdatenschutzbeauftragte (BW, HH, SH) stufen M365 als nicht DSGVO-konform ein, u. a. wegen Telemetriedaten, unklarer Drittlandtransfers (US-Server, CLOUD Act) und fehlender Transparenz. Alternativen: Moodle, BigBlueButton, Nextcloud Education. Der Grundsatz: Schulen als öffentliche Stellen haben eine besondere Verantwortung.

🤖 Ein KI-Chatbot wird mit personenbezogenen Kundendaten trainiert. Welche DSGVO-Pflichten entstehen?

Klicken für Analyse

Umfangreiche Pflichten: (1) Rechtsgrundlage nötig — Einwilligung oder berechtigtes Interesse mit Folgenabschätzung (Art. 35). (2) Zweckbindung: Training ist ein neuer Zweck → Kompatibilitätsprüfung (Art. 6 Abs. 4). (3) Informationspflicht (Art. 13/14): Betroffene müssen über KI-Training informiert werden. (4) Recht auf Widerspruch (Art. 21) muss gewährleistet sein. (5) Bei automatisierten Einzelentscheidungen: Art. 22 (Recht auf menschliche Überprüfung).

Modul 04

Wissens-Quiz

Teste dein Wissen

10 Fragen zum Datenschutz, zur DSGVO und zu sicheren Diensten. Wähle die richtige Antwort.

Dein Ergebnis

0 / 10

Nachschlagewerk

Glossar — Schlüsselbegriffe

Klicke auf einen Begriff, um die Definition aufzudecken.

Personenbezogene Daten

→ Definition aufdecken

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Dazu gehören nicht nur Name oder E-Mail, sondern auch IP-Adressen, Cookie-IDs oder Standortdaten.

Auftragsverarbeitung

→ Definition aufdecken

Wenn ein Dritter im Auftrag des Verantwortlichen Daten verarbeitet (Art. 28). Beispiel: Cloud-Hoster, Newsletter-Dienstleister. Erfordert einen Auftragsverarbeitungsvertrag (AVV) mit verbindlichen Weisungen und TOMs.

Pseudonymisierung

→ Definition aufdecken

Verarbeitung so, dass Daten ohne Zusatzinformationen nicht mehr einer Person zugeordnet werden können (Art. 4 Nr. 5). Anders als Anonymisierung bleibt eine Re-Identifikation möglich → Daten bleiben personenbezogen und DSGVO-geschützt.

Privacy by Design

→ Definition aufdecken

Datenschutz muss von Anfang an in die technische Entwicklung eingebaut werden (Art. 25). Nicht „Datenschutz als Nachtrag", sondern als Architekturprinzip: Standardmäßig datensparsam, verschlüsselt, zugriffsgeschützt.

Dark Patterns

→ Definition aufdecken

Manipulative UI-Designmuster, die Nutzer zu datenschutzunfreundlichen Entscheidungen verleiten. Beispiele: „Alle akzeptieren" groß und bunt vs. „Ablehnen" klein und grau; Confirm-Shaming („Nein, ich möchte keine Vorteile"); versteckte Opt-Outs.

Drittlandtransfer

→ Definition aufdecken

Übermittlung personenbezogener Daten in Länder außerhalb des EWR (Art. 44–49). Zulässig nur mit Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework), Standardvertragsklauseln (SCCs) oder verbindlichen Unternehmensregeln (BCRs).

DSFA

→ Definition aufdecken

Datenschutz-Folgenabschätzung (Art. 35). Pflicht bei Verarbeitungen mit hohem Risiko für Betroffene (z. B. Profiling, Videoüberwachung öffentlicher Bereiche, KI-basierte Scoring-Systeme). Muss Risiken beschreiben, bewerten und Gegenmaßnahmen dokumentieren.

Marktortprinzip

→ Definition aufdecken

Die DSGVO gilt nicht nur für EU-Unternehmen, sondern für jeden, der Waren/Dienste an Personen in der EU anbietet oder deren Verhalten beobachtet (Art. 3 Abs. 2). Dadurch müssen sich auch US-Techkonzerne an die DSGVO halten.

Diskussions­impuls

„Die EU plant mit der Chatkontrolle (CSA-Verordnung) eine verpflichtende Durchleuchtung aller privaten Nachrichten zum Schutz von Kindern vor Missbrauch. Kritiker sagen, das bricht die Ende-zu-Ende-Verschlüsselung und führt zu Massenüberwachung. Befürworter argumentieren, der Kinderschutz wiege schwerer.

Wo ziehst du die Grenze zwischen Sicherheit und Privatsphäre? Kann es ein „bisschen" Überwachung geben, oder ist Verschlüsselung binär?"