Vorgewarnt ist gewappnet.
Die ganze digitale Welt steht vor großen Veränderungen. Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Alle Unternehmen, die persönliche Kundendaten gegen Produkte, Leistungen oder Handlungen bekommen, müssen neue Richtlinien für den Datenschutz einhalten. In diesem Beitrag möchten wir die neue Regelung behandeln, die sich unter anderem auf die Webentwicklung auswirken wird.
Gegenwärtige Internetnutzer sind wie nie verwundbar gegenüber einem Missbrauch von personenbezogenen Daten. Manchmal scheint es, dass Google und Facebook über uns mehr als unsere Familie oder Freunde wissen. Jedes Mal, wenn wir eine neue App auf Smart Devices installieren, werden wir gebeten, auf unseren Standort /Galerie / Kontakte usw. zugreifen zu dürfen. Möchten wir uns bei Social Media-Plattformen oder bei einer Website anmelden, geht es ohne Eingabe von persönlichen Daten nicht weiter.
Was passiert mit unseren Daten, nachdem wir uns registriert und die Allgemeinen Geschäftsbedingungen akzeptiert haben? Liest jemand überhaupt diese meistens endlos langen Texte? Man kann mit Sicherheit sagen, Ihr werdet nie erfahren, ob Eure persönlichen Daten gestohlen oder verkauft wurden. Um dem digitalen Feudalismus einen Riegel vorzuschieben und personenbezogene Daten zu schützen, verschärft die EU die Datenschutzregeln.
Die Datenschutz-Grundverordnung (DSGVO) steht für eine Reihe von Gesetzen, die von der Europäischen Union erlassen wurde. Die Verordnung bezieht sich auf digitale Daten und deren Verwaltung in der Online-Welt. Seid Ihr an der Erstellung von Webtemplates als Webentwickler oder Designer tätig? Dann solltet Ihr euch jetzt bequem machen und die Information wie folgt lesen.
Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
Artikel 1 Gegenstand und Ziele
EU-Regelungen in Sachen Datenschutz umfassen zwei Teile:
Dass die E-Privacy-Richtlinie erst mit Verzögerung umgesetzt wird, kann für Webentwickler von Vorteil sein. Dadurch bekommen sie etwas Zeit, um sich auf bevorstehende Änderungen vorzubereiten.
Zwar es sich um EU-Regelungen handelt, gilt die Verordnung auch für Unternehmen mit dem Sitz außerhalb der EU. Darum müssen international agierende Firmen neue Regeln einhalten und entsprechende Änderungen vornehmen, um damit konform zu sein.
1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
Artikel 3 - Räumlicher Anwendungsbereich
Das heißt, dass Unternehmen, die in Europa tätig sind oder Daten der europäischen Nutzer sammeln, persönliche Information in Übereinstimmung mit geltenden Richtlinien schützen müssen. Die Regelungen gelten für alle Unternehmen unabhängig von ihrer Größe, ihrem Standort und Umsatz. Wenn ein Unternehmen nicht bereit ist, die Regeln zu akzeptieren, darf es nicht mit Kunden aus der EU zusammenarbeiten.
Definition der personenbezogenen Daten unterscheidet sich von der US-amerikanischen. Nach europäischem Recht gehören zu personenbezogenen Daten alle Informationen, die die Identifizierung natürlicher Person ermöglichen. Es kann um einen oder mehrere Teile von Daten gehen, die zusammen einen Aufschluss über eine Person geben. In der EU bilden sensible Angaben innerhalb der personenbezogenen Daten eine besondere Unterkategorie - die „besonderen Arten von personenbezogenen Daten“. Sie umfassen:
Sensible Daten sollten besser geschützt werden als personenbezogene Daten. Der Verlust sensibler Daten kann zu ernsthaften Folgen führen.
Die DSGVO bietet eine erweiterte Definition des Begriffs "persönliche Daten". Demnach geht es um:
Online-Identifikatoren wie IP-Adressen, Cookies, Benutzer-IDs, Device-IDs u.a. sind für Webdesigner und Entwickler besonders wichtig.
Im Vergleich zur europäischen DSGVO bezieht sich die amerikanische Definition der personenbezogenen Daten auf eine begrenzte Anzahl von Merkmalen. Kontextuelle Informationen über die Nutzer werden dabei als jene nicht betrachtet, die das Risiko für ein Datenleck erhöhen.
Was den Umgang mit personenbezogenen Daten anbetrifft, unterscheidet die DSGVO zwei Hauptparteien - Datenverantwortliche (auch Joint Controller) und Datenverarbeiter.
Als Webdesigner oder Entwickler könnt Ihr beide Rollen ausführen. Vertragliche Vereinbarungen zwischen einem Datenverantwortlichen und Datenverarbeiter müssen in schriftlicher Form gefasst sein. Dieser Vertrag sieht vor, dass der Datenverarbeiter:
Artikel 28 - Auftragsverarbeiter
Die EU-DSGVO wird sich auf das Online-Business auswirken. Änderungen kommen sowohl auf die Planung als auch auf alle Geschäftsprozesse zu. Das betrifft insbesondere UX, Marketing, Projektmanagement und selbst die Webentwicklung.
In diesem Zusammenhang taucht die logische Frage auf: Wie sollen Webdesigner und Entwickler ab dem 25. Mai mit Kunden arbeiten?
Der Einstieg in die EU-DSGVO sieht die pflichtige Durchführung der Datenschutz-Folgenabschätzung (DSFA) vor. Im schriftlichen Dokument soll es um eine detaillierte Überprüfung von Datenschutzrisiken gehen, bevor sensible Daten verarbeitet werden.
Das Dokument soll einem Kunden und einem Webdesigner eine Übersicht über Bestimmungen, Bedingungen und Anforderungen bieten und für jede Partei Handlungen im Falle eines Datenschutzproblems vorschreiben.
DSFA muss die folgenden Punkte klarstellen:
Bei der DSGVO geht es nicht nur um den Code und das Design. Das legt auch nahe, dass jeder, der am Projekt beteiligt ist, über rechtliche Hintergründe seines Berufes sowie regionale / lokale / nationale Datenschutzgesetze im Klaren sein muss. Im Idealfall sollten Unternehmen Schulungen für ihre Webdesigner und Webentwickler bieten.
Anforderungen ans Design sind ein integraler Bestandteil der DSGVO-orientierten Projekte. Zwei zentrale Prinzipien, die dabei beachtet werden sollten, sind die Anonymisierung und Minimierung sowohl im Backend als auch im Frontend. Verknüpft keine persönlichen Daten mit anderen Informationen, die an einem Ort gespeichert sind.
Nach der DSGVO müssen die Datenspeicherungs- und Löschpläne festgelegt werden. Man braucht jedoch nicht alles löschen, wenn Projekte abgeschlossen sind: Ihr dürft für die Buchhaltung relevante Daten behalten. Wenn diese nicht mehr benötigt werden, sollten sie aus Archiven und Diensten von Drittanbietern gelöscht werden.
Außerdem müssen persönliche Daten weder im Backend noch im Frontend zugänglich sein. Die Verschlüsselung ist ein Muss sowohl bei der Übertragung als auch bei der Speicherung von Daten.
Um den Code nach DSGVO-Anforderungen zu schreiben, sollt Ihr sicherstellen, dass jeder der am Projekt Beteiligten standardisierte Codebibliotheken, Tools und Frameworks verwendet. Tools und Techniken, die dabei eingesetzt werden dürfen, sind in der DSGVO nicht angeführt. Es ist wichtig, diese Instrumente zu vereinbaren und zu dokumentieren. Es versteht sich von selbst, dass alle Instrumente sicher und von zuverlässigen Bibliotheken bereitgestellt werden müssen.
Die Datenschutz-Tests sollten die möglichen Hackerangriffe, den nicht autorisierten Datenzugriff und die allgemeine Sicherheitslücke verhindern. Ihr könnt diese Aspekte überprüfen: Sind Benutzerpasswörter genug sicher? Sind die Login-Daten in Cookies gespeichert? Ist es möglich, auf die Daten zuzugreifen, indem die Fehleraktion absichtlich ausgelöst wird? Werden externe Warnungen beim Datenschutz-Test berücksichtigt? Vergesst aber nicht, Eure Testergebnisse zu dokumentieren.
Zusammenfassend lässt sich sagen, Ihr braucht Euren Kunden mehr Transparenz in Bezug auf den Datenschutz zu bieten. Datenschutzbedingungen müssen möglichst einfach und nach dem Prinzip "weniger ist mehr" formuliert werden, damit sie vor dem Anklicken auf “Akzeptieren” bis zum Ende durchgelesen werden könnten.