Webentwickler müssen das beachten: neue EU-DSGVO gegen den digitalen Feudalismus

Vorgewarnt ist gewappnet.

Die ganze digitale Welt steht vor großen Veränderungen. Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Alle Unternehmen, die persönliche Kundendaten gegen Produkte, Leistungen oder Handlungen bekommen, müssen neue Richtlinien für den Datenschutz einhalten. In diesem Beitrag möchten wir die neue Regelung behandeln, die sich unter anderem auf die Webentwicklung auswirken wird.

Gegenwärtige Internetnutzer sind wie nie verwundbar gegenüber einem Missbrauch von personenbezogenen Daten. Manchmal scheint es, dass Google und Facebook über uns mehr als unsere Familie oder Freunde wissen. Jedes Mal, wenn wir eine neue App auf Smart Devices installieren, werden wir gebeten, auf unseren Standort /Galerie / Kontakte usw. zugreifen zu dürfen. Möchten wir uns bei Social Media-Plattformen oder bei einer Website anmelden, geht es ohne Eingabe von persönlichen Daten nicht weiter.

Was passiert mit unseren Daten, nachdem wir uns registriert und die Allgemeinen Geschäftsbedingungen  akzeptiert haben? Liest jemand überhaupt diese meistens endlos langen Texte? Man kann mit Sicherheit sagen, Ihr werdet nie erfahren, ob Eure persönlichen Daten gestohlen oder verkauft wurden. Um dem digitalen Feudalismus einen Riegel vorzuschieben und personenbezogene Daten zu schützen, verschärft die EU die Datenschutzregeln.

Die Datenschutz-Grundverordnung (DSGVO) steht für eine Reihe von Gesetzen, die von der Europäischen Union erlassen wurde. Die Verordnung bezieht sich auf digitale Daten und deren Verwaltung in der Online-Welt. Seid Ihr an der Erstellung von Webtemplates als Webentwickler oder Designer tätig? Dann solltet Ihr euch jetzt bequem machen und die Information wie folgt lesen.

Was ist die Datenschutz-Grundverordnung (DSGVO)?

Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. 

Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Artikel 1  Gegenstand und Ziele

EU-Regelungen in Sachen Datenschutz umfassen zwei Teile:

  1. Die DSGVO löst eine EU-Richtlinie zum Datenschutz aus dem Jahr 1995 ab. In der  Datenschutz-Grundverordnung sind alle Grundsätze der nachfolgenden Jahre sowie neue Anforderungen mit Rücksicht auf letzte Veränderungen in der digitalen Welt enthalten.
  2. Der zweite Teil stellt die erneuerte Datenschutzrichtlinie für elektronische Kommunikation (E-Privacy-Richtlinie) dar, die von der EU 2002 verabschiedet wurde, auch bekannt als Cookie-Richtlinie. Ursprünglich sollte die Richtlinie am 25. Mai wie die DSGVO in Kraft treten. Der Entwurf wird aber weiter diskutiert und soll voraussichtlich im Spätherbst - Anfang Winter 2018 fertiggestellt sein.

Dass die E-Privacy-Richtlinie erst mit Verzögerung umgesetzt wird, kann für Webentwickler von Vorteil sein. Dadurch bekommen sie etwas Zeit, um sich auf bevorstehende Änderungen vorzubereiten.

Räumlicher Anwendungsbereich

Zwar es sich um EU-Regelungen handelt, gilt die Verordnung auch für Unternehmen mit dem Sitz außerhalb der EU. Darum müssen international agierende Firmen neue Regeln einhalten und entsprechende Änderungen vornehmen, um damit konform zu sein.

1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. 

3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Artikel 3 - Räumlicher Anwendungsbereich

Das heißt, dass Unternehmen, die in Europa tätig sind oder Daten der europäischen Nutzer sammeln, persönliche Information in Übereinstimmung mit geltenden Richtlinien schützen müssen. Die Regelungen gelten für alle Unternehmen unabhängig von ihrer Größe, ihrem Standort und Umsatz. Wenn ein Unternehmen nicht bereit ist, die Regeln zu akzeptieren, darf es nicht mit Kunden aus der EU zusammenarbeiten.

Was sind personenbezogene Daten?

nition der personenbezogenen Daten unterscheidet sich von der US-amerikanischen. Nach europäischem Recht gehören zu personenbezogenen Daten alle Informationen, die die Identifizierung natürlicher Person ermöglichen. Es kann um einen oder mehrere Teile von Daten gehen, die zusammen einen Aufschluss über eine Person geben. In der EU bilden sensible Angaben innerhalb der personenbezogenen Daten eine besondere Unterkategorie - die „besonderen Arten von personenbezogenen Daten“. Sie umfassen:

  • rassische und ethnische Herkunft
  • politische Meinung
  • religiöse und philosophische Überzeugungen
  • Mitgliedschaft in Gewerkschaften
  • Gesundheitsdaten
  • Sexualleben oder sexuelle Orientierung.

Sensible Daten sollten besser geschützt werden als personenbezogene Daten. Der Verlust sensibler Daten kann zu ernsthaften Folgen führen.

Die DSGVO bietet eine erweiterte Definition des Begriffs "persönliche Daten". Demnach geht es um:

  • genetische Daten
  • biometrische Daten (such as facial recognition or fingerprint logins)
  • Standortdaten
  • pseudonyme Daten
  • Online-Identifikatoren

Online-Identifikatoren wie IP-Adressen, Cookies, Benutzer-IDs, Device-IDs u.a. sind für Webdesigner und Entwickler besonders wichtig.

Im Vergleich zur europäischen DSGVO bezieht sich die amerikanische Definition der personenbezogenen Daten auf eine begrenzte Anzahl von Merkmalen. Kontextuelle Informationen über die Nutzer werden dabei als jene nicht betrachtet, die das Risiko für ein Datenleck erhöhen.

Datenverantwortliche vs. Datenverarbeiter

Was den Umgang mit personenbezogenen Daten anbetrifft, unterscheidet die DSGVO zwei Hauptparteien - Datenverantwortliche (auch Joint Controller) und Datenverarbeiter.

  • Datenverantwortlicher kann eine Person oder ein Unternehmen sein, die entscheiden, welche personenbezogenen Daten und zu welchem Zweck gesammelt werden.
  • Unter einem Datenverarbeiter werden Personen oder Organisationen verstanden, die Daten im Auftrag verarbeiten.

Als Webdesigner oder Entwickler könnt Ihr beide Rollen ausführen. Vertragliche Vereinbarungen zwischen einem Datenverantwortlichen und Datenverarbeiter müssen in schriftlicher Form gefasst sein. Dieser Vertrag sieht vor, dass der Datenverarbeiter:

  • die personenbezogenen Daten nur des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist;
  • gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
  • nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Artikel 28 - Auftragsverarbeiter

Wie soll die DSGVO-konforme Entwicklung erfolgen?

Die EU-DSGVO wird sich auf das Online-Business auswirken. Änderungen kommen sowohl auf die Planung als auch auf alle Geschäftsprozesse zu. Das betrifft insbesondere UX, Marketing, Projektmanagement und selbst die Webentwicklung.

In diesem Zusammenhang taucht die logische Frage auf: Wie sollen Webdesigner und Entwickler ab dem 25. Mai mit Kunden arbeiten?

Datenschutz-Folgenabschätzung

Der Einstieg in die EU-DSGVO sieht die pflichtige Durchführung der Datenschutz-Folgenabschätzung (DSFA) vor. Im schriftlichen Dokument soll es um eine detaillierte Überprüfung von Datenschutzrisiken gehen, bevor sensible Daten verarbeitet werden.

Das Dokument  soll einem Kunden und einem Webdesigner eine Übersicht über Bestimmungen, Bedingungen und Anforderungen bieten und für jede Partei Handlungen im Falle eines Datenschutzproblems vorschreiben.

DSFA muss die folgenden Punkte klarstellen:

  • Wie und welche Art von personenbezogenen Daten werden verarbeitet und gespeichert?
  • Wo und wie werden die Daten gespeichert?
  • Wie lange werden die persönlichen Daten gespeichert?
  • Ist die Datenerhebung und Verarbeitung  spezifiziert, explizit und gesetzmäßig?
  • Wie ist die Grundlage für die Datenverarbeitung?
  • Wie sind rechtliche Grundlagen für die Datenverarbeitung?
  • Sind die Daten auf das Minimum an personenbezogenen Informationen beschränkt?
  • Sind die Daten korrekt und auf dem neuesten Stand?
  • Wie werden Benutzer über die Datenverarbeitung informiert?
  • Wie können Benutzer die Datenerfassung und -aufbewahrung kontrollieren?
  • Sind die Daten:
    • verschlüsselt?
    • anonymisiert oder pseudonymisiert?
    • kopiert?
  • Wie sind technische Bedingungen und Sicherheitsmaßnahmen am Datenstandort?
  • Wer hat Zugriff auf die Daten?
  • Welche Datenschutzschulungen haben verantwortliche Personen besucht?
  • Welche Sicherheitsmaßnahmen werden von diesen Personen ergriffen?
  • Wie werden Betroffene bei Datenschutzverletzungen benachrichtigt?
  • Wie erfolgt die Datenweitergabe an Behörden?
  • Wie können Betroffene ihr Recht auf Zugang, Datenübertragbarkeit, Löschung und das Recht auf Vergessenwerden geltend machen?
  • Sind Verpflichtungen aller Datenverarbeiter, einschließlich Subunternehmer, vertraglich geregelt?
  • Welche Schutz- und Sicherheitsmaßnahmen sind für Datentransfers außerhalb der EU vorgesehen?
  • Welche Risiken bestehen für Betroffene beim Missbrauch, Hacker-Angriff, Verlust oder bei der Datenänderung?
  • Wo liegt das Hauptrisiko?
  • Welche Schritte wurden vorgenommen, um diese Risiken zu minimieren?

Bei der DSGVO geht es nicht nur um den Code und das Design. Das legt auch nahe, dass jeder, der am Projekt beteiligt ist, über rechtliche Hintergründe seines Berufes sowie  regionale / lokale / nationale Datenschutzgesetze im Klaren sein muss. Im Idealfall sollten Unternehmen Schulungen für ihre Webdesigner und Webentwickler bieten.

Design nach der DSGVO erstellen

Anforderungen ans Design sind ein integraler Bestandteil der DSGVO-orientierten Projekte. Zwei zentrale Prinzipien, die dabei beachtet werden sollten, sind die Anonymisierung und Minimierung sowohl im Backend als auch im Frontend. Verknüpft  keine persönlichen Daten mit anderen Informationen, die an einem Ort gespeichert sind.

Nach der DSGVO müssen die Datenspeicherungs- und Löschpläne festgelegt werden. Man braucht  jedoch nicht alles löschen, wenn Projekte abgeschlossen sind: Ihr dürft für die Buchhaltung relevante Daten behalten. Wenn diese nicht mehr benötigt werden, sollten sie aus Archiven und Diensten von Drittanbietern gelöscht werden.

Außerdem müssen persönliche Daten weder im Backend noch im Frontend zugänglich sein. Die Verschlüsselung ist ein Muss sowohl bei der Übertragung als auch bei der Speicherung von Daten.

Wie soll am Code gearbeitet werden?

Um den Code nach DSGVO-Anforderungen zu schreiben, sollt Ihr sicherstellen, dass jeder der am Projekt Beteiligten standardisierte Codebibliotheken, Tools und Frameworks verwendet. Tools und Techniken, die dabei eingesetzt werden dürfen, sind in der DSGVO nicht angeführt. Es ist wichtig, diese Instrumente zu vereinbaren und zu dokumentieren. Es versteht sich von selbst, dass alle Instrumente sicher und von zuverlässigen Bibliotheken bereitgestellt werden müssen.

Datenschutz testen

Die Datenschutz-Tests sollten die möglichen Hackerangriffe, den nicht autorisierten Datenzugriff und die allgemeine Sicherheitslücke verhindern. Ihr könnt diese Aspekte überprüfen: Sind Benutzerpasswörter genug sicher? Sind die Login-Daten in Cookies gespeichert? Ist es möglich, auf die Daten zuzugreifen, indem die Fehleraktion absichtlich ausgelöst wird? Werden externe Warnungen beim Datenschutz-Test berücksichtigt? Vergesst aber nicht, Eure Testergebnisse zu dokumentieren.

Fazit

Zusammenfassend lässt sich sagen, Ihr braucht Euren Kunden mehr Transparenz in Bezug auf den Datenschutz zu bieten. Datenschutzbedingungen müssen möglichst einfach und nach dem Prinzip "weniger ist mehr" formuliert werden, damit sie vor dem Anklicken auf “Akzeptieren” bis zum Ende durchgelesen werden könnten.