Datenschutz in der Softwareentwicklung Teil II – Privacy By Default

Der Begriff „Out of the box“ ist heutzutage auch weiterhin ein oft gebrauchtes Synonym für das Ziel, praktische Softwarefeatures zu konstruieren, die direkt nach oder gar ohne Installation und ohne großen Konfigurationsaufwand einsatzbereit sind. Dass dies auch beim Thema Datenschutz gut funktioniert, zeige ich euch im Folgenden.

Datenschutz als Standardeinstellung

Aufgrund der diversen Social-Media-Plattformen und entsprechender Smartphone-Apps ist inzwischen jeder User schon einmal mit „ihnen“ in Berührung gekommen. Die Rede ist von Privatsphäre-Einstellungen. Diese sind maßgeblich dafür, welche privaten Informationen ein User welchem Personenkreis über sich preisgeben möchte. Genau an dieser Stelle setzt das Prinzip „Privacy by Default“ an. Es bedeutet Datenschutz durch datenschutzfreundliche Voreinstellungen.

Die Software sollte in der Grundeinstellung demnach nur die personenbezogenen Daten erheben, die für den Verarbeitungszweck notwendig sind und diese nur zu diesem Zweck einsetzen. Darüber hinaus sollten personenbezogene Daten, deren Verarbeitungszweck nicht mehr gegeben und deren Vorhaltefrist abgelaufen sind, ohne manuelle Interaktion gelöscht werden können. Des Weiteren sollte die Zugänglichkeit zu den Daten auf das erforderliche Minimum beschränkt werden, um Datenmissbrauch vorzubeugen.

Dies ist gerade unter anderem deshalb wichtig, weil die DSGVO ein Verbot der Verarbeitung von personenbezogenen Daten vorsieht, wenn nicht ein sogenannter Erlaubnistatbestand greift – etwa ein berechtigtes Interesse der verarbeitenden Stelle, zur Erfüllung gesetzlicher Pflichten oder eines Vertrags.

Das beschriebene Design-Prinzip ist dem Gesetzgeber deswegen wichtig, da durch datenschutzfreundliche Voreinstellungen insbesondere, aber nicht ausschließlich die weniger technikaffinen User geschützt werden. Diese Nutzerinnen und Nutzer möchten ihre personenbezogenen Daten schützen, können aber allzu oft die entsprechende Konfiguration nicht selbst vornehmen, da ihnen das technische Wissen dafür fehlt, oder sie sind schlicht zu bequem. Dieser Umstand wird übrigens als Privacy Paradox bezeichnet.

Im vorgenannten Beispiel der Social Networks gibt es grundsätzlich zwei Design-Prinzipien:

Prinzip 1: Die privaten Informationen und personenbezogenen Daten sind standardmäßig öffentlich zugänglich und müssen durch den User aktiv eingeschränkt werden – auch Opt-Out genannt.

Prinzip 2: Jegliche privaten Informationen sind von vornerein nur privat zugänglich und können bei Bedarf durch den Usern öffentlich gemacht werden – auch Opt-In genannt.

Viele Betreiber erhofften sich in der Vergangenheit ein größeres Wachstum ihrer Plattformen, wenn sie jegliche privaten Informationen der Benutzerinnen und Benutzer standardmäßig öffentlich zugänglich machten. In Wirklichkeit kann sich bis heute kein User damit anfreunden. Die Opt-Out-Verfahrensweise, die standardmäßig private Informationen des Nutzenden preisgibt, ist nach der DSGVO und dem BDSG nicht mehr zulässig. Das Gesetz schützt daher die User aktiv. Früher bedeutete dieser Modus nämlich für Nutzerinnen und Nutzer, dass sie oder er sich durch alle angebotenen Privatsphäreeinstellungen arbeiten muss, um manuell den Zugriff einzuschränken. Zusätzlich musste der User immer auf der Hut sein, da neue Einstellungen, die durch Updates der Applikation hinzukommen, wiederum auf „öffentlich“ voreingestellt sind. Der Gipfel dieser Negativpraxis war erreicht, wenn ein großes Update schließlich die zuvor schon getroffenen Einstellungen zurückgesetzt hat.

Das Design-Prinzip des Opt-In-Modus im Bereich Social Network garantiert hingegen eine private Standardeinstellung bezüglich der Daten und ist inzwischen gesetzlich vorgesehen.

Beispiel Newsletter-Abo

Das Prinzip des Opt-In kennen die meisten von euch sicher auch aus dem Bereich Newsletter- Abo. Hier ist nach der Rechtsprechung des BGH sogar ein Double-Opt-In notwendig. Da dieses Erfordernis jedoch einen wettbewerbsrechtlichen und nur bedingt einen datenschutzrechtlichen Ursprung hat, möchte ich dieses Beispiel nur aufgreifen, weil es sich so schön verbildlichen lässt. Der User – zum Beispiel eines Online-Shops – muss bewusst und ausdrücklich tätig werden, damit ein Newsletterversand an seine Mail-Adresse rechtmäßig ist. Durch den Opt-In-Modus erhält der Nutzende die freie Entscheidungsmöglichkeit, den Newsletter zu abonnieren, wenn er durch Aktivierung einer Checkbox dem Versand zustimmt oder nicht zu abonnieren, wenn er untätig bleibt. Ein vorangekreuztes Kästchen mit der Möglichkeit, das Kreuz/das Häkchen zu löschen (=Opt-Out), reicht nicht als Grundlage für eine rechtmäßige Einverständniserklärung des Users aus. Es ist immer eine Nutzerinteraktion erforderlich, um den Newsletterversand rechtmäßig zu gestalten. Das Thema Opt-In ist daher zwingend mit dem Privacy-by-Default- Prinzip verbunden und lässt sich kaum mehr davon trennen.

Beispiel CRM und Benutzerrollen

Ein Grundsatz von Privacy by Default besagt zudem, dass die Zugänglichkeit zu personenbezogenen Daten so weit wie möglich eingeschränkt werden sollte. Das bedeutet, dass lediglich Personen berechtigt werden sollten diese Daten zu sehen, die an dessen Verarbeitung tatsächlich beteiligt sind. Legt man beispielsweise in einem CRM-System neue Mitarbeitende an, deren Aufgabe es ist, Kundendaten zu bearbeiten, bietet es sich an, diesen standardmäßig ausschließlich Benutzerrollen zuzuordnen, die ihnen möglichst wenige Rechte zusprechen. Die personenbezogenen Daten des Kunden genießen dadurch den größtmöglichen Schutz, da nur Mitarbeitende darauf Zugriff haben, die aktiv dafür provisioniert wurden. Benötigt ein Mitarbeitender darüber hinaus mehr Rechte, werden ihm diese ebenfalls aktiv und bewusst zugewiesen.

Ihr seht also, dass geeignete Voreinstellungen in einer Software viel zur Sicherheit und Usability beitragen – man sagt auch „Datenschutz ab Werk“.

Durch die Umsetzung der vorgestellten Vorgehensweisen und durch die Betrachtung aus der Sicht des Users könnt ihr als Verantwortliche der Software für Sicherheit sorgen. Gleichzeitig steigert ihr den Komfort für den User, da er im Einzelfall die Einstellmöglichkeiten, die dazugehörigen technischen Details sowieso einhergehende Auswirkungen nicht mal kennen muss, um das System zu benutzen.

Fazit

Ihr seht, dass man oft mit kleinen Anpassungen in der Design-Phase oder der Entwicklung einer Software viel bewegen kann und gerade diese oft unterschätzten Details am Ende den Unterschied ausmachen. Wichtig ist, dass die personenbezogenen Daten des Benutzers eurer Software geschützt sind, sodass keine nachträglichen Maßnahmen erforderlich sind. Im dritten Teil meiner Blog-Serie erfahrt ihr mehr zum Thema Datenminimierung, denn hier ist weniger mehr.

Ihr möchtet mehr zum Thema Datenschutz in der Softwareentwicklung erfahren? Dann schaut auch in den ersten Teil meiner Blog-Reihe. Weitere spannende Themen aus der adesso-Welt findet ihr in unseren bisher erschienenen Blog-Beiträgen.

Autor Tobias Deininger

Tobias Deininger ist Senior Software Engineer in der Line of Business Microsoft am adesso-Standort Karlsruhe. Dort beschäftigt er sich aktuell mit der Entwicklung und Kundenberatung zu den Themen Domain-Driven Design und Microservices im .NET-Umfeld. Darüber hinaus interessiert er sich für Application Lifecycle Management und Datenschutz in der IT.

Kategorie:	Softwareentwicklung
Schlagwörter:	Datenschutz Softwareprojekte DSGVO

Alle Blog-Beiträge

Unsere Blog-Beiträge im Überblick

In unserem Tech-Blog nehmen wir Sie mit auf eine spannende Reise durch die adesso-Welt. Weitere interessante Themen finden Sie in unseren bisherigen Blog-Beiträgen.

adesso Blogging Update

Unser Newsletter zum adesso Blog

Sie möchten regelmäßig unser adesso Blogging Update erhalten? Dann abonnieren Sie doch einfach unseren Newsletter und Sie erhalten die aktuellsten Beiträge unseres Tech-Blogs bequem per E-Mail.