von Florian Stahl
Die drei größten Datenschutzrisiken in Web-Applikationen 2021 sind Schwachstellen in den Anwendungen, Datenlecks auf Seiten der Betreiber und unzureichende Reaktionen auf Datenpannen. Daran hat sich seit 2014 nichts geändert. Neu ist allerdings das Risiko auf Rang 4 der Liste: „Einwilligung für Alles“. Damit gemeint sind Webanwendungen, die die Einwilligung zur Datenverarbeitung von ihren Nutzern nicht separat für jeden Zweck – etwa die Nutzung der Website und die Profilbildung für gezielte Werbung – einholen. Ebenfalls neu auf der Liste ist „unzureichende Datenqualität“ auf Position 7, was die Verwendung veralteter, inkorrekter oder gefälschter Nutzerdaten meint. Das Problem „intransparenter Nutzungsbedingungen“ bleibt die Nr. 5 auf der Liste der Top 10 Datenschutzrisiken, während die „unzureichende Löschung personenbezogener Daten“ von Rang 4 auf Rang 6 gefallen ist.
Erstellt und veröffentlicht wurde die Top-10-Liste vom Open Web Application Security Project (OWASP). OWASP ist eine nicht-kommerzielle Open-Source-Organisation, die Best Practices und de-facto-Standards zur Anwendungssicherheit bereitstellt. In dem „Top 10 Privacy Risks Project“ widmet sich OWASP außerdem dem Thema Datenschutz bei Webanwendungen. Mit dem Ziel, Entwickler und Anbieter von Webanwendungen dabei zu unterstützen, den Datenschutz zu verbessern, stellt es Tipps zur Verfügung, wie sich Privacy by Design in Webanwendungen umsetzen lässt. Das Projekt betrachtet technische ebenso wie organisatorische Aspekte und konzentriert sich auf die realen Risiken, weniger auf rechtliche Fragen. 2014 wurde die Top-10-Liste zum ersten Mal veröffentlicht. Aufgrund neuer Regularien wie der europäischen Datenschutz-Grundverordnung (DSGVO) oder dem California Consumer Privacy Act (CCPA) sowie eines sich schnell verändernden Umfeldes hat man die Liste jetzt aktualisiert und die Version 2.0 der 10 wichtigsten Datenschutzrisiken veröffentlicht.
Zur Einschätzung der Risiken wurden gleichermaßen die Schwere und die Häufigkeit des Auftretens von zwanzig potenziellen Risiken berücksichtigt. Die Häufigkeit des Auftretens wurde über eine Umfrage unter sechzig Experten beurteilt, und die Schwere wurde in fünf verschiedenen Kategorien wie beispielsweise Beeinträchtigung der persönlichen Freiheit, finanzieller- oder Image-Schaden bewertet.
Florian Stahl leitet das Projekt und kommentiert: „Eine solche, von einer unabhängigen Organisation erstellte Liste mit Datenschutzrisiken und passenden Gegenmaßnahmen ist wichtig für die Community. Deshalb habe ich mich zusammen mit Freiwilligen aus der ganzen Welt, die ihre unterschiedlichen Erfahrungen und Blickwinkel eingebracht haben, in diesem Projekt engagiert.“
Die detaillierten Ergebnisse sind auf der Projekt-Webseite in verschiedenen Sprachen verfügbar. Im nächsten Schritt gilt es, die jeweils geeigneten Gegenmaßnahmen ebenfalls zu aktualisieren. Denn Datenschutzrisiken sollte man nicht nur kennen, sondern vor allem auch etwas dagegen tun.