Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurde die Verantwortung für die Daten der Benutzer den Betreibern von Websites übertragen.
Diese Verantwortung kann jedoch mithilfe von Dienstleistungen externer Unternehmen vermieden werden, die viel spezialisierter sind, eine höhere Sicherheit gewährleisten und die Anforderungen der "Allgemeinen Datenschutzverordnung" erfüllen.
Bei der Erstellung einer Website muss die Speicherung personenbezogener Daten von Anfang an berücksichtigt werden. Die Website sollte nach dem Prinzip "Secure by Design" erstellt werden. Es geht darum, eine Website so zu entwickeln, dass sie bereits in der Entwurfsphase sicher ist.
Inzwischen stoße ich oft auf einfach gestaltete Unternehmenswebsites, die den Aspekt der Datenspeicherung vergessen.
Der Anwalt des Kunden prüft die Auswirkungen der Arbeiten auf die Website nach ihrer Veröffentlichung (wenn überhaupt). Sie stellen dann möglicherweise fest, dass das Kontaktformular oder das Newsletter-Formular nicht den Anforderungen der DSGVO entspricht.
DSGVO und die Freiheit der Wahl der Sicherheitsmaßnahmen
Ich muss hinzufügen, dass die DSGVO nicht festlegt, welche organisatorischen und technischen Bedingungen für die Datenverarbeitung erfüllt werden müssen. Außerdem wäre es unpraktisch, wenn man bedenkt, wie unterschiedlich die Unternehmen sind und wie schnell sich technologische Lösungen ändern.
Bei The Story machen wir verdammt gute Websites. Probieren Sie es aus!
Deshalb haben wir große Freiheiten. Unsere Aufgabe ist es, ein System anzubieten, in dem die Daten vorschriftsmäßig verarbeitet und vor versehentlicher Löschung oder Veränderung geschützt werden.
Außerdem müssen wir sicherstellen, dass Dritte nicht auf die Daten zugreifen können.
Hinzu kommt der Aspekt, dass der Benutzer in Kenntnis der Sachlage seine Zustimmung zur Verarbeitung personenbezogener Daten geben muss. Sie können ihre schriftliche Zustimmung erteilen oder ein entsprechendes Kästchen auf dem Formular ankreuzen.
Der Benutzer muss jedoch darüber informiert werden, welche Stellen seine Daten verarbeiten und zu welchem Zweck. Wenn sie also nicht direkt in die Verarbeitung personenbezogener Daten einwilligen, hat das Unternehmen kein Recht, diese zu verwenden.
DSGVO und technische Fragen
Das Problem ist viel komplexer, wenn man das Problem der Datenschutzgrundverordnung aus einer technischen Perspektive betrachtet. Stellen wir uns vor, der Benutzer unserer Plattform gibt eine Reihe von Daten an, z. B. Name, Vorname, E-Mail usw., und fügt eine Nachricht mit der Bitte um Hilfe hinzu. Diese Daten werden in unserer Datenbank gespeichert oder an die angegebene E-Mail-Adresse gesendet.
In der Zwischenzeit sollte es angemessen gesichert und beaufsichtigt werden.
Sie sind auf der Suche nach einer erfahrenen UX-Agentur?
Ist es eine gute Idee, Daten selbst zu speichern?
Mit einer internen Datenbank können wir alles bis zu einem gewissen Grad kontrollieren — wir können überprüfen, ob sich eine bestimmte Person gerade angemeldet, einen bestimmten Beitrag angesehen oder exportiert hat.
Wenn jedoch alles an die E-Mail-Adresse geschickt wird, verlieren wir diese Kontrolle. Wir wissen nicht, wann eine solche E-Mail weitergeleitet werden wird. Außerdem ist es nicht einfach, diese Art der Datenerhebung zu registrieren und dann zu verwalten.
Deshalb verfolgen wir in The Story einen anderen Ansatz. Im Falle typischer Websites, wenn wir ein Kontaktformular oder ein Newsletter-Abonnement haben, versuchen wir, keine personenbezogenen Daten in unserer Infrastruktur zu speichern.
Dies ist dank des Einsatzes eines externen Tools möglich. Die Rede ist von CRM-Software in Form von HubSpot. Obwohl viele Unternehmen Salesforce oder Bullhorn verwenden, gibt es eine Vielzahl von CRMs in der Cloud, die öffentliche APIs bereitstellen.
Und dank dieser API können wir den Schritt der Datenspeicherung in unserem System gänzlich vermeiden. Unsere Website bietet nur ein Kontaktformular, der Rest wird von einer externen Software erledigt.
Kontaktformular
Lassen Sie mich das Problem am Beispiel eines Kontaktformulars erläutern. Der Benutzer füllt es aus und klickt auf die Schaltfläche "Senden". Bei einem herkömmlichen Ansatz würden wir sie in unserer Datenbank speichern oder die Daten aus dem Formular an eine Liste bestimmter E-Mails senden.
Im Fall von The Story speichern wir nichts in unserer Datenbank und leiten es auch nicht mit herkömmlichen E-Mails weiter, sondern speichern die Daten über eine öffentliche API direkt im CRM.
Solche Lösungen wie HubSpot oder Salesforce erfüllen alle Anforderungen in Bezug auf die Speicherung von Daten, die mit der DSGVO und anderen Vorschriften konform sind.
Wir dürfen nicht vergessen, dass die DSGVO nur innerhalb der EU gilt. Im Gegensatz dazu gibt es viele andere Vorschriften (z. B. in Russland, den USA oder China), an die sich die größten Anbieter wie HubSpot und Salesforce anpassen.
Deshalb verlagern wir die Überwachung der Sammlung personenbezogener Daten vollständig auf z. B. HubSpot. Und nur auf der Ebene eines solchen Tools verwalten wir die persönlichen Daten unserer Kunden.
Newsletter-Abonnement
Ähnlich sieht es bei den Newsletter-Abonnements aus — wir sind schon lange von dem Ansatz abgekommen, dass wir unsere eigenen Systeme für den Versand von E-Mails an Kunden schreiben. Dies würde viele Komplikationen bei der Zustellung solcher Nachrichten mit sich bringen (sie können z. B. im Spam-Ordner landen), und auch eine Überwachung der Mailing-Kampagnen, Statistiken oder Analysen des Empfängerverhaltens wären nicht möglich.
In einer solchen Situation kommt zum Beispiel MailChimp zur Hilfe. Es handelt sich um einen Global Player, der sich ernsthaft mit dem Problem von Spam und der Speicherung personenbezogener Daten auseinandersetzt.
Deshalb empfehle ich, ähnlich wie beim Kontaktformular, dass die übermittelten Daten nicht an unser internes System und unsere Datenbank gehen und auch nicht an das E-Mail-Postfach des Unternehmens geschickt werden. Dank einer öffentlichen API wird sie jedoch an ein bestimmtes System weitergeleitet, das später für die Mailings zuständig sein wird, z. B. MailChimp, Freshmail, Salesforce oder HubSpot.
Die wichtigste Verpflichtung zur Bereitstellung von Informationen
Im Falle der DSGVO ist es wichtig, sich daran zu erinnern, dass es kein streng definiertes Konzept der Verantwortung für die Datenspeicherung gibt. Wir wissen, dass IT-Systeme mehr oder weniger anfällig für Hackerangriffe sind, die zu Datendiebstahl führen können.
Das Wichtigste ist also die Verpflichtung, Informationen zu liefern und nachzuweisen, dass alle möglichen Maßnahmen ergriffen worden sind. Wir müssen die undichten Stellen so früh wie möglich aufspüren und all diejenigen informieren, die zu Opfern geworden sind.
Wenn es bei HubSpot ein Datenleck gäbe, würde wahrscheinlich jeder, der die Dienste nutzt, schnell benachrichtigt werden.
Daher können Unternehmen, die HubSpot nutzen, ihre Kunden schnell warnen. Die Wahrscheinlichkeit, dass ein Angriff entdeckt wird, ist viel geringer, wenn wir ein kleines Unternehmen führen und die Erhebung personenbezogener Daten selbst überwachen.
Wenn eine Website nicht mit speziellen Werkzeugen ausgestattet ist (oder von einem professionellen DevOps-Team überwacht wird, das die Zugriffsprotokolle und die Datenintegrität kontinuierlich kontrolliert), können wir das Leck höchstwahrscheinlich nicht entdecken.
Und das kann ernste Folgen haben. Eine unentdeckte Weitergabe von Daten, die nicht von einem Benutzer unserer Plattform an das Amt für den Schutz personenbezogener Daten gemeldet wurde, wird mit empfindlichen Strafen geahndet.
Nehmen wir jedoch an, wir verwenden externe, professionelle Systeme. In diesem Fall ist die Wahrscheinlichkeit viel größer, dass der Datenverlust entdeckt wird und unsere Benutzer von uns informiert werden.
Außerdem liegt es in der Verantwortung des CRM-Anbieters, Sicherheitslücken so schnell wie möglich zu schließen, was im Falle kleiner Unternehmen mit einer internen Datensammlung, aber ohne Entwicklungsteam, kostspielig und langsam sein kann.
Die DSGVO ist nicht so beängstigend, wie sie dargestellt wird
Die DSGVO ist nicht unser Feind. Es handelt sich um eine allgemeine Sammlung von Richtlinien und Vorschriften, dank derer die Sicherheit unserer persönlichen Daten und der Daten unserer Kunden ständig wächst. Dank der DSGVO steigt auch das Bewusstsein der Menschen für den Wert ihrer Identitäten (nicht nur im Internet).
Wir sollten uns immer an die Regel "Sicherheit durch Technik" erinnern und versuchen, wirklich sichere und durchdachte Lösungen anzubieten. Im Zeitalter von SaaS und PaaS sollten wir so oft wie möglich auf bewährte professionelle Tools zurückgreifen, die mit geringem Aufwand und monatlichen Kosten ein Höchstmaß an Sicherheit für persönliche Daten gewährleisten.
Hero shot: elhombredenegro / Flickr.com / Bit.ly/382zmh8 / CC BY 2.0
Vielen Dank fürs Lesen! Sie können diesen Artikel gerne weitergeben!
