Homepage > Journal > Wissensweg > Management der Webentwicklung > Wie sammelt man die Daten der Benutzer? Website-Besitzer vs. DSGVO
Journal

Wie sammelt man die Daten der Benutzer? Website-Besitzer vs. DSGVO

Wie gefällt Ihnen das:

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurde die Verantwortung für die Daten der Benutzer den Betreibern von Websites übertragen.

Diese Verantwortung kann jedoch mithilfe von Dienstleistungen externer Unternehmen vermieden werden, die viel spezialisierter sind, eine höhere Sicherheit gewährleisten und die Anforderungen der "Allgemeinen Datenschutzverordnung" erfüllen.

Bei der Erstellung einer Website muss die Speicherung personenbezogener Daten von Anfang an berücksichtigt werden. Die Website sollte nach dem Prinzip "Secure by Design" erstellt werden. Es geht darum, eine Website so zu entwickeln, dass sie bereits in der Entwurfsphase sicher ist.

Inzwischen stoße ich oft auf einfach gestaltete Unternehmenswebsites, die den Aspekt der Datenspeicherung vergessen.

Der Anwalt des Kunden prüft die Auswirkungen der Arbeiten auf die Website nach ihrer Veröffentlichung (wenn überhaupt). Sie stellen dann möglicherweise fest, dass das Kontaktformular oder das Newsletter-Formular nicht den Anforderungen der DSGVO entspricht.

Ein Hacker, der aus einem Computer auftaucht
Bei der DSGVO geht es in erster Linie um die Verpflichtung zur Bereitstellung von Informationen, da Hackerangriffe heutzutage an der Tagesordnung sind und es immer zu Datenverlusten kommen kann.

DSGVO und die Freiheit der Wahl der Sicherheitsmaßnahmen

Ich muss hinzufügen, dass die DSGVO nicht festlegt, welche organisatorischen und technischen Bedingungen für die Datenverarbeitung erfüllt werden müssen. Außerdem wäre es unpraktisch, wenn man bedenkt, wie unterschiedlich die Unternehmen sind und wie schnell sich technologische Lösungen ändern.


Bei The Story machen wir verdammt gute Websites. Probieren Sie es aus!


Deshalb haben wir große Freiheiten. Unsere Aufgabe ist es, ein System anzubieten, in dem die Daten vorschriftsmäßig verarbeitet und vor versehentlicher Löschung oder Veränderung geschützt werden.

Außerdem müssen wir sicherstellen, dass Dritte nicht auf die Daten zugreifen können.

Hinzu kommt der Aspekt, dass der Benutzer in Kenntnis der Sachlage seine Zustimmung zur Verarbeitung personenbezogener Daten geben muss. Sie können ihre schriftliche Zustimmung erteilen oder ein entsprechendes Kästchen auf dem Formular ankreuzen.

Der Benutzer muss jedoch darüber informiert werden, welche Stellen seine Daten verarbeiten und zu welchem Zweck. Wenn sie also nicht direkt in die Verarbeitung personenbezogener Daten einwilligen, hat das Unternehmen kein Recht, diese zu verwenden.

DSGVO und technische Fragen

Das Problem ist viel komplexer, wenn man das Problem der Datenschutzgrundverordnung aus einer technischen Perspektive betrachtet. Stellen wir uns vor, der Benutzer unserer Plattform gibt eine Reihe von Daten an, z. B. Name, Vorname, E-Mail usw., und fügt eine Nachricht mit der Bitte um Hilfe hinzu. Diese Daten werden in unserer Datenbank gespeichert oder an die angegebene E-Mail-Adresse gesendet.

In der Zwischenzeit sollte es angemessen gesichert und beaufsichtigt werden.

Screenshot von MailChimp
MailChimp erleichtert u.a. den Versand von Newslettern.

Sie sind auf der Suche nach einer erfahrenen UX-Agentur?

Ist es eine gute Idee, Daten selbst zu speichern?

Mit einer internen Datenbank können wir alles bis zu einem gewissen Grad kontrollieren — wir können überprüfen, ob sich eine bestimmte Person gerade angemeldet, einen bestimmten Beitrag angesehen oder exportiert hat.

Wenn jedoch alles an die E-Mail-Adresse geschickt wird, verlieren wir diese Kontrolle. Wir wissen nicht, wann eine solche E-Mail weitergeleitet werden wird. Außerdem ist es nicht einfach, diese Art der Datenerhebung zu registrieren und dann zu verwalten.

CRM-System — ein IT-System, das die Prozesse auf der Kunden-Organisationslinie im Hinblick auf die Kundengewinnung und -pflege automatisiert und unterstützt.

Deshalb verfolgen wir in The Story einen anderen Ansatz. Im Falle typischer Websites, wenn wir ein Kontaktformular oder ein Newsletter-Abonnement haben, versuchen wir, keine personenbezogenen Daten in unserer Infrastruktur zu speichern.

API (Application Programming Interface) — ein Mechanismus, der den Datenaustausch zwischen unabhängigen IT-Systemen ermöglicht.

Dies ist dank des Einsatzes eines externen Tools möglich. Die Rede ist von CRM-Software in Form von HubSpot. Obwohl viele Unternehmen Salesforce oder Bullhorn verwenden, gibt es eine Vielzahl von CRMs in der Cloud, die öffentliche APIs bereitstellen.

Und dank dieser API können wir den Schritt der Datenspeicherung in unserem System gänzlich vermeiden. Unsere Website bietet nur ein Kontaktformular, der Rest wird von einer externen Software erledigt.

Kontaktformular

Lassen Sie mich das Problem am Beispiel eines Kontaktformulars erläutern. Der Benutzer füllt es aus und klickt auf die Schaltfläche "Senden". Bei einem herkömmlichen Ansatz würden wir sie in unserer Datenbank speichern oder die Daten aus dem Formular an eine Liste bestimmter E-Mails senden.

Im Fall von The Story speichern wir nichts in unserer Datenbank und leiten es auch nicht mit herkömmlichen E-Mails weiter, sondern speichern die Daten über eine öffentliche API direkt im CRM.

Solche Lösungen wie HubSpot oder Salesforce erfüllen alle Anforderungen in Bezug auf die Speicherung von Daten, die mit der DSGVO und anderen Vorschriften konform sind.

Wir dürfen nicht vergessen, dass die DSGVO nur innerhalb der EU gilt. Im Gegensatz dazu gibt es viele andere Vorschriften (z. B. in Russland, den USA oder China), an die sich die größten Anbieter wie HubSpot und Salesforce anpassen.

Deshalb verlagern wir die Überwachung der Sammlung personenbezogener Daten vollständig auf z. B. HubSpot. Und nur auf der Ebene eines solchen Tools verwalten wir die persönlichen Daten unserer Kunden.

Ein Computer mit einem Gesicht und Händen

Newsletter-Abonnement

Ähnlich sieht es bei den Newsletter-Abonnements aus — wir sind schon lange von dem Ansatz abgekommen, dass wir unsere eigenen Systeme für den Versand von E-Mails an Kunden schreiben. Dies würde viele Komplikationen bei der Zustellung solcher Nachrichten mit sich bringen (sie können z. B. im Spam-Ordner landen), und auch eine Überwachung der Mailing-Kampagnen, Statistiken oder Analysen des Empfängerverhaltens wären nicht möglich.

In einer solchen Situation kommt zum Beispiel MailChimp zur Hilfe. Es handelt sich um einen Global Player, der sich ernsthaft mit dem Problem von Spam und der Speicherung personenbezogener Daten auseinandersetzt.

Deshalb empfehle ich, ähnlich wie beim Kontaktformular, dass die übermittelten Daten nicht an unser internes System und unsere Datenbank gehen und auch nicht an das E-Mail-Postfach des Unternehmens geschickt werden. Dank einer öffentlichen API wird sie jedoch an ein bestimmtes System weitergeleitet, das später für die Mailings zuständig sein wird, z. B. MailChimp, Freshmail, Salesforce oder HubSpot.

Die wichtigste Verpflichtung zur Bereitstellung von Informationen

Im Falle der DSGVO ist es wichtig, sich daran zu erinnern, dass es kein streng definiertes Konzept der Verantwortung für die Datenspeicherung gibt. Wir wissen, dass IT-Systeme mehr oder weniger anfällig für Hackerangriffe sind, die zu Datendiebstahl führen können.

Das Wichtigste ist also die Verpflichtung, Informationen zu liefern und nachzuweisen, dass alle möglichen Maßnahmen ergriffen worden sind. Wir müssen die undichten Stellen so früh wie möglich aufspüren und all diejenigen informieren, die zu Opfern geworden sind.

Wenn es bei HubSpot ein Datenleck gäbe, würde wahrscheinlich jeder, der die Dienste nutzt, schnell benachrichtigt werden.

Daher können Unternehmen, die HubSpot nutzen, ihre Kunden schnell warnen. Die Wahrscheinlichkeit, dass ein Angriff entdeckt wird, ist viel geringer, wenn wir ein kleines Unternehmen führen und die Erhebung personenbezogener Daten selbst überwachen.

MailChimp-Logotyp

Wenn eine Website nicht mit speziellen Werkzeugen ausgestattet ist (oder von einem professionellen DevOps-Team überwacht wird, das die Zugriffsprotokolle und die Datenintegrität kontinuierlich kontrolliert), können wir das Leck höchstwahrscheinlich nicht entdecken.

Und das kann ernste Folgen haben. Eine unentdeckte Weitergabe von Daten, die nicht von einem Benutzer unserer Plattform an das Amt für den Schutz personenbezogener Daten gemeldet wurde, wird mit empfindlichen Strafen geahndet.

Nehmen wir jedoch an, wir verwenden externe, professionelle Systeme. In diesem Fall ist die Wahrscheinlichkeit viel größer, dass der Datenverlust entdeckt wird und unsere Benutzer von uns informiert werden.

Außerdem liegt es in der Verantwortung des CRM-Anbieters, Sicherheitslücken so schnell wie möglich zu schließen, was im Falle kleiner Unternehmen mit einer internen Datensammlung, aber ohne Entwicklungsteam, kostspielig und langsam sein kann.

Screenshot von HubSpot
HubSpot ist ein sehr effektives Werkzeug zum Speichern von Daten.

Die DSGVO ist nicht so beängstigend, wie sie dargestellt wird

SaaS (Software as a Service) — eines der Cloud-Computing-Modelle. Die Anwendung wird auf den Computern des Diensteanbieters gespeichert und ausgeführt und den Benutzern über das Internet zur Verfügung gestellt.

Die DSGVO ist nicht unser Feind. Es handelt sich um eine allgemeine Sammlung von Richtlinien und Vorschriften, dank derer die Sicherheit unserer persönlichen Daten und der Daten unserer Kunden ständig wächst. Dank der DSGVO steigt auch das Bewusstsein der Menschen für den Wert ihrer Identitäten (nicht nur im Internet).

PaaS (Platform as a service) — beinhaltet die gemeinsame Nutzung einer virtuellen Arbeitsumgebung durch den Anbieter.

Wir sollten uns immer an die Regel "Sicherheit durch Technik" erinnern und versuchen, wirklich sichere und durchdachte Lösungen anzubieten. Im Zeitalter von SaaS und PaaS sollten wir so oft wie möglich auf bewährte professionelle Tools zurückgreifen, die mit geringem Aufwand und monatlichen Kosten ein Höchstmaß an Sicherheit für persönliche Daten gewährleisten.

Hero shot: elhombredenegro / Flickr.com / Bit.ly/382zmh8 / CC BY 2.0


Vielen Dank fürs Lesen! Sie können diesen Artikel gerne weitergeben!

Wie gefällt Ihnen das:
Journal / JPG / Jarek - avatar
Autor: Yaroslav Shatkevich
A programmer with 17 years of experience. Co-founder and CTO of The Story. Fascinated with planning programming works, author of numerous IT and DevOps specifications. Honored by Awwwards, awarded iF Design Award 2018. He works in Python, PHP, React and JavaScript technologies. He created over 90 web and mobile applications and dedicated systems.

Sind Sie an einer Zusammenarbeit mit uns interessiert? Werfen Sie einen Blick auf unser Portfolio