Auf Web.dev gibt es seit kurzem ein paar Lernressourcen zum Thema Privacy. Man versucht hier nicht mit den Datenschutz-Pixi-Büchern des BfDI zu konkurrieren, sondern es geht darum, Entwicklern Tipps an die Hand zu geben, wie die Privatsphäre der Nutzer geschützt wird.
Klingt jetzt nicht nach Googles Lieblingsthema, möchte man meinen. Google wird sicherlich darauf geachtet haben, was Stuart Langridge (und die, die ihm geholfen haben) geschrieben hat. Schließlich gehört web.dev über Google Chrome Developers letztendlich zu Google. Aber den Inhalten des Kurses wird auch (soweit ich ihn bisher durchgegangen bin) Max Schrems nicht widersprechen können (auch wenn er sicherlich hier und da eindeutiger Stellung beziehen würde).
Aus meiner Sicht die wichtigsten Punkte der ersten Kapitel:
Datensparsamkeit
-
Überleg Dir vorher, welche Daten Du wie und warum erhebst (musst Du im Rahmen der DSGVO sowieso).
-
Sammle nur die Daten, die Du brauchst.
-
"Ich könnte sie ja irgendwann mal brauchen" gilt nicht.
-
-
Lösche die Daten, sobald Du sie nicht mehr brauchst.
- Aggregierte Werte, die keinen Bezug zu einzelnen Nutzern mehr haben, kannst Du aufbewahren.
-
Sei Deinen Nutzern gegenüber transparent.
-
Erkläre, wofür Du die erhobenen Daten brauchst, wie Du aggregierst und anonymisierst.
-
Verstecke die Erklärung nicht in der Datenschutzerklärung, sondern nutze zum Beispiel Infotexte in den Formularen, wo Du die Daten erhebst.
-
Ermögliche Nutzern, die Daten, die Du über sie hast, einfach zu löschen, zum Beispiel durch das Löschen von Accounts.
-
Sorg dafür, dass dann auch clientseitig gespeicherte Daten gelöscht werden.
-
Wichtiges Zitat aus diesem Abschnitt:
"If you are reluctant to write down publicly what you want to do with user data because those users won't like the explanation, this may be a sign that it is worth rethinking collecting it."
Third Parties und Cross-Site-Tracking
-
Überlege, welche externen Ressourcen Du einbindest, denn auch schon ein einfaches, von einem externen Host geladenes Bild kann dem Besitzer des externen Hosts die Nachverfolgung Deiner Nutzer ermöglichen.
-
Von extern geladene JavaScripte und Ähnliches ermöglichen naturgemäß weit mehr. -
Auditiere, welche Third Parties und Abhängigkeiten Du hast. Nicht nur technisch, was Du eingebunden hast, sondern auch, was die Third Parties selbst in ihrer Privacy Policy schreiben. -
Gleiche den Audit auch mit Deinen Business-Partnerschaften ab. Kannst Du alle Third Party Requests einem Vertrag zuordnen, der die Zusammenarbeit regelt? -
HAR-Files, die in den Entwicklertools exportiert werden können, können beim Audit helfen. -
Dazu ein Deep Dive zum Thema Referrer Policy, Content Security Policy, Permissions Policy und so weiter und wie diese zum Datenschützen gut eingesetzt werden.
Wichtigeste Zitate aus diesem Abschnitt:
"If a third party offers a service for free, one way that this can be economically viable for them to do is because they collect and then monetise this data."
"[...] from a privacy perspective, a third party is anyone who knows anything about your users who isn't you."
Soweit die ersten 2 Kapitel. Weiter habe ich noch nicht gelesen. ¯\\(ツ)\/¯
Fazit
Bisher ist der Kurs gut zu lesen, referenziert sinnvolle Quellen und enthält plastische Beispiele, die das Gesagte gut verdeutlichen (auch wenn Johan sich beim Lesen über den mitunter kreativen Einsatz von Leerzeichen aufregen würde :D).
Einige Stellen beschäftigen sich mehr mit den Problemen, Privatsphäreeingriffe den Nutzern zu kommunizieren (bzw. verkaufen), als die rechtlichen Probleme, aber das ist bei dem Flickenteppich von internationalen Datenschutzgesetzen auch ein Fass ohne Boden.
Ganz ohne Nachdenken kannst Du den Kurs also nicht einfach konsumieren, aber lehrreich ist er allemal.