Toolidee: Datenschutzerklärung via „Spezifikation der Webseite“ erzeugen

Also ich baue als Entwickler an einer Webseite und würde die Seite gerne mit Nutzern füllen um eine Leistung zu erbringen (zz wäre das Einloggen und Punkte sammeln in einem Quiz, ggf. ein Ranking... nunja...). Jedenfalls bin ich über die DSVGO gestolpert und sehe dass das ja nicht grad ein Zuckerschlecken ist.

Was ich bis jetzt gesehen habe, waren Verträge mit verwendeten Dienstleistern zu schließen um DSVGO-Konformität zu gewährleisten, Verzeichnisse zu warten, um einen Überblick aller Persondaten-verarbeitenden Prozessen vorzeigen zu können um Transparenz zu erbringen. Dann gibt es noch Datenschutzerklärungsgeneratoren, die keine Rechtsberatung ersetzen.

Viel Zeug was mich als Entwickler und meine Ideen ausbremst. Ich sehe natürlich dass diese Regelungen wertvoll sind für die Verbraucher und ich habe mich gefragt ob man das Bewusstsein über Datenschutz womöglich als Entwickler besser verinnerlichen könnte wenn man in Konzepten des Datenschutzes programmiert.

Ich kenne mich nämlich aus wie man Programmiersprachen und sogennante domänspezifische Sprachen schreibt und Editoren dazu baut. Und da ich mich gerade mit der DSVGO beschäftige, schoss mir diese Idee ins Bewusstsein.

Stellt euch vor man würde alle Daten die man erhebt und verarbeitet formal auflisten. Man könnte als Programmierer diese Daten klassifizieren als zB personenbezogen. Dem gegenüber stehen die datenverarbeitenden Prozesse. Diese Prozesse könnten Eigenschaften haben, wie den Ort an dem sie ausgeführt werden.

Angenommen man hat eine Email des Nutzers und will diese Daten erheben mit einem Prozess der in den USA steht. Dann würde man schon während der Spezifkation durch den Editor eine Fehlermeldung bekommen: "Achtung, Datenschutzrichtlinie X in Zeile 23 verletzt: die Daten müssen in der EU bleiben.". Der Entwickler wüsste dann dass was nicht stimmt und könnte das System so konfigurieren dass es in Europa verarbeitet wird.

Die Spezifikation könnte wie folgt aussehen:

DATA userdata
    email OF TEXT: PERSONENBEZOGEN
ENDDATA
PROCESS registration LOCATED AT us
   IN user OF SESSION
   OUT result OF userdata
ENDPROCESS

Ein weiterer Nutzen, den ich sehe, ist dass man die Datenschutzerklärung sowie die Verarbeitungslisten automatisch generieren könnte. Es geht sogar soweit dass man Teile der App generieren könnte. Ähnliche Ansätze gibt es für Testspezifikationen bei CucumberJS, wo Anforderungen in Sprechenden Text gelistet sind, aber die Ausführung generiert wird. Der Text ist lediglich eine Eingabemaske für die Testausführung.

Ich denke dass man somit nicht nur den Datenschutz ins Bewusstsein ruft. Entwickler könnten wenn man die Regeln des Datenschutzes in einer solchen Spezifikationssprache unterbringt, einfach wieder koden ohne einen Anwalt fragen zu müssen. Es ist ein Stück Freiheit. Nicht abhängig zu sein, nicht langsam zu sein.

Was denken die Experten hier? Ist das ein gangbarer Weg oder stell ich mir das zu einfach vor?

Ich bin gespannt auf Feedback.

Grüße

Markus Rudolph

 

 

 

Lotes

Hallo Herr Rudolph,

kurze Antwort: Das stellen Sie sich zu einfach vor

Ihren Ausführungen habe ich nicht so genau entnehmen können, ob Sie jetzt "nur" der Programmierer sind oder auch Betreiber (und somit der "Verantwortliche" gem. Art. 4 Ziffer 7. DS-GVO) der Webseite / App.

Die DSK hat für Anbieter*innen von Telemedien (wie insbesondere Webseiten und Apps) eine Orientierungshilfe herausgegeben, welche ich Ihnen hier mal beifüge.

Da Sie die DS-GVO vollumfänglich anwenden müssen, sollten Sie einen unabhängigen Datenschutzexperten mit an Bord nehmen. 

Gem. Art. 30 DS-GVO ist der Verantwotliche dazu verpflichtet ein Verzeichnis der Vearbeitungstätigkeiten zu führen. Daraus ergibt sich ja schon, was darin alles aufgelistet sein muss. www.dsgvo-gesetz.de 

Was die Verarbeitung von personenbezogenen Daten in Drittstaaten (also außerhalb der EU) betrifft, so ist diese ja grundsätzlich nicht verboten. Der Verantwortliche muss vorher prüfen und sicherstellen, dass ein gleichwertiger Datenschutz wie in der EU vorhanden ist. So existiert z.B. von der EU Kommission ein "Angemessenheitsbeschluss" in dem Drittstaaten genannt sind, welche die Voraussetzungen für ein angemessenes Datenschutzniveau haben. 

Das waren jetzt nur zwei ganz kleine Ausführungen. Wie bereits oben erwähnt, sollten Sie einen Datenschutzexperten einbinden.

 

20221205-oh-telemedien-2021-version-1-1-vorlage-104-dsk-final.pdf
Jörg

Ich bin sowohl Programmierer als auch Betreiber der Webseite. Ich werde wohl einen Datenschutzexperten konsultieren. Daran führt zunächst nichts vorbei.

Ihren Anhang werde ich mir auch durchlesen.

Ich verstehe noch nicht warum man diese Datenschutzerklärung nicht passgenau automatisch erstellen kann. Heutzutage kann man alles mögliche mit Skripten automatisieren. Dies schließt auch ein, wo welches Programm hochgeladen wird, welche Verbindungskanäle wie gesichert werden sollen und zuletzt auch vorallem welche Daten personenbezogen sind. Man könnte einfach Datenfelder als personenbezogen markieren und eine Markierung verpflichtend machen, sodass man vom Schreibprogramm des Programmierers (IDE) sinnige Fehlermeldungen und Warnungen zurückbekommt.Verarbeitungstätigkeiten könnten somit (auch) automatisch abgeleitet werden, da die Endpunkte einer Anwendung auch nur Auflistungen von API Routen sind. Im einfachsten Fall ist eine API Route mit einer Tätigkeit verknüpft.

An welcher Stelle MUSS denn ein weiterer Mensch rübergucken um meinen Datenschutz als zufriedenstellend zu bewerten? Warum schafft das eine Maschine nicht? Aus meiner Sicht muss man doch nur gucken ob Nutzerdaten irgendwo reingehen und darauf aufmerksam machen, bzw. die Generierung des Programms verhindern wenn es Probleme geben könnte. Ich gehe nicht davon aus dass das in nächster Zeit automatisiert werden kann. Aber wenn da ein Weg ist, sollten man ihn gehen.

Lotes

Hallo Herr Rudolph,

mit der Orientierungshilfe der DSK wollte ich Sie darauf aufmerksam machen, dass eben rechtlich 2 Schritte zu beachten sind. Zum einen halt die reine Betreibung der Webseite / App. Hier werden ja schon personenbezogene Daten (z.B. die IP Adresse) verarbeitet und es besteht eine Informationspflicht gem. Art. 13 / Art. 14 DS-GVO an die betroffenen Personen (Besucher der Webseite / Nutzer der App). Zum anderen die Verarbeitung von weiteren personenbezogenen Daten (z.B. durch den Eisatz von Cookies oder wenn eine betroffene Person pb Daten in ein Kontaktformular eingibt wie z.B. die E-Mail Adresse). Sie können ja einfach mal auf die Webseite des Bundesdatenschutzbearuftragten oder einer Landesdatenschutzbehörde gehen und dort mal "Datenschutz" anklicken (meistens ganz unten auf der Webseite wo Sie auch das "Impressum" finden).

Natürlich sollten Sie bei jedem Eingabefeld programmieren, ob es sich um ein personenbezogenes Datum handelt und es sich ggf. um ein besonderes personenbezogenes Datum gem. Art. 9 DS-GVO handelt. 

Mein Hinweis zu der Datenverarbeitung in Drittländern war auch nur ein Hinweis darauf, dass dort eben auch eine datenschutzkonforme Verarbeitung von pb Daten möglich ist und ihre Aussage "Daten müssen in der EU verbleiben" nicht immer richtig ist. Die Tage wurde ein neuer Angemessenheitsbeschluss zum Datentransfer in die USA verabschiedet. Dazu habe ich mal die Pressemitteilung des LfDI-BW (befindet sich auch auf der Webseite der Behörde) angehängt. Gerade in solchen Fällen wird wohl ein Mensch den Sachverhalt prüfen müssen. 

Da Sie ja einen Datenschutzexperten konsultieren wollen, wird Ihnen dieser sicherlich weitere Informationen und Erklärungen liefern, was Sie denn alles datenschutzrechtlich beachten müssen. 

lfdi-bw-pressemitteilung-neues-datenschutzabkommen-mit-den-usa.pdf
Jörg

Bitte melden Sie sich an, um auf diese Frage zu antworten.