Augsburg, 05. April 2019. Immer mehr fürchten Nutzer, dass sie nur noch mit ihren Daten für Dienste „zahlen“ müssen. Doch was genau sind personenbezogene Daten und vor allem wie kann man als Webentwickler damit kontrolliert umgehen?
Weshalb und wie Programmierer Privacy schon im Vorhinein in die Software einbauen können und wie genau die datenschutzrechtliche Lage aussieht, wurde in dem Workshop Privacy by Design Studenten der Hochschule Augsburg nahe gebracht. Veranstalter waren das Zentrum Digitalisierung.Bayern, und das HSA_innolab.

Frau Prof. Teynor startete den Tag mit einem Brainstorming: welche Daten sind privat, öffentlich oder abhängig von der Situation? An der breiten Streuung der Zettel der Studenten auf den Pinnwänden erkennt man bereits, dass eine genaue Zuordnung sehr unklar ist, da es immer darauf ankommt, mit wem man die Daten teilt. Nach dem interaktiven Einstieg, verschaffte sie allen einen Überblick über die gesellschaftliche Relevanz von Datenschutz und Privatsphäre. Dabei betont sie, dass der Schutz der eigenen Daten laut der UN-Menschenrechtdeklaration ein Menschenrecht ist. Dennoch scheint es in der Realität so zu sein, dass Unternehmen oft über eine „Übermacht“ an Informationen verfügen. Wir bemerken dies beispielsweise an personalisierter Werbung oder konkret am Cambridge Analytica Skandal.

Teilnehmer des Workshops

Teilnehmer des Workshops “Privacy by Design”.

Rechtliche Perspektiven

Um solche Skandale besser beurteilen und vor allem verhindern zu können, führt Frau Rank in die rechtliche Perspektive ein. Dabei stützt sie sich auf die Datenschutz-Grundverordnung (DSGVO) und erklärt, dass personenbezogene Daten all jene Informationen sind, die auf eine identifizierbare Person beziehbar sind (Art. 4 Nr.1 DSGVO). Die Frage, die im Raum stand war dabei eher: was sind heute nicht personenbezogene Daten? Deshalb ist es wichtig deutlich zu machen, dass eine Verarbeitung von Daten nur dann erlaubt ist, wenn sie zweckgebunden erfolgt. Bei Verstößen zahlt der Betreiber der Webseite das Bußgeld – und holt es sich dann vom vertraglich gebundenen Programmierer zurück.

Vor allem nach diesem Vortrag stellten die Teilnehmer sehr viele praktische Fragen. Die DSGVO scheint teilweise sehr vage zu sein und da fragt man sich als Informatiker, wie man sich damit rechtlich auseinandersetzen soll. In der Tat ist die DSGVO neu und schwierig und es ist umstritten wie weit z.B. die Zweckbindung erfasst werden soll. Der wichtigste Tip: Eine genaue Dokumentation der Systeme und Datenschutz-Vorkehrungen.

Prinzipien von Privacy by Design

Nach welchen Prinzipien Privacy by Design funktioniert, erläutert Herr Dr. Thiel, Koordinator der Themenplattform Verbraucherbelange, und steigt mit einem Video von Ann Cavoukian in das Thema ein. Daraufhin erklärte er datenzentrierte und prozesszentrierte Strategien mit denen man „Privacy Fehler“ vermeiden kann. Es kommt beispielsweise nicht zu intransparente Nutzungsbedingungen, wenn man als Unternehmen die Nutzer informiert, und überflüssige Daten vermeidet man, wenn man Daten minimiert.

Doch wie genau sehen diese Prinzipien angewendet in der Praxis aus? Einen Einblick gewährt uns Christof Baumgartner, der bei Xitaso tätig ist (Vortragsfolien). Er bestätigte den vorhin genannten Umgang mit Daten und sprach im Zusammenhang mit Webseiten über verschiedene Arten von Nutzer-Trackern, die technisch oft über Cookies umgesetzt werden. Kritischer sind die unbekannteren Tracker, wie beispielsweise Local storage, Zombiecookies, oder Fingerprinting, gegen die sich ein Nutzer schwer wehren kann.

Allgemein ist von Datenschutz zwar schon lange die Rede, aber der „richtige“ Umgang mit Daten im Internet befindet sich noch im Fluss. Privacy by Design ist ein unerlässliches Thema für die Zukunft des Web. Deshalb ist es wichtig und bemerkenswert, dass immer mehr Menschen Interesse für Privacy aufbringen – und die TP Verbraucherbelange am ZD.B freut sich, mit den Workshops zum Wissen über Privacy by Design beitragen zu können.

Eindrücke aus dem Workshop

  • Privacy by Design Workshop_1_Alisa Rank