Zum Hauptinhalt springen

6.1. Datenschutzerwägungen

6.1. Datenschutzerwägungen

Datenschutz ist eine wichtige Überlegung für Anwendungen, die HTTP verwenden. Anwendungen SOLLTEN:

  • Die Menge der gesammelten und übertragenen persönlichen Informationen minimieren.

  • TLS verwenden, um persönliche Informationen während der Übertragung zu schützen.

  • Sich bewusst sein, welche Informationen von Servern, Zwischenstellen oder Clients protokolliert werden könnten.

  • Die Datenschutzauswirkungen des Cachings berücksichtigen, insbesondere für gemeinsam genutzte Caches.

  • Benutzern Kontrolle über ihre persönlichen Informationen geben.

Anwendungen müssen sich verschiedener Möglichkeiten bewusst sein, wie Benutzer verfolgt werden können:

  • Cookies: Cookies [COOKIES] können verwendet werden, um Benutzer über Sitzungen und Websites hinweg zu verfolgen. Anwendungen sollten Cookies verantwortungsbewusst verwenden und datenschutzschonende Alternativen in Betracht ziehen, wo möglich.

  • IP-Adressen: IP-Adressen können verwendet werden, um Benutzer zu identifizieren oder zu lokalisieren. Anwendungen sollten sich dessen bewusst sein, wenn sie IP-Adressen protokollieren oder verarbeiten.

  • User-Agent: Das User-Agent-Header-Feld kann Informationen über den Browser und das Betriebssystem des Benutzers offenlegen, die für Fingerprinting verwendet werden können.

  • Referer: Das Referer-Header-Feld kann Informationen darüber preisgeben, welche Seiten ein Benutzer besucht hat. Anwendungen möchten möglicherweise die Referrer-Policy [REFERRER-POLICY] verwenden, um zu kontrollieren, wann dieses Header-Feld gesendet wird.

  • Timing-Angriffe: Die Zeit, die zur Verarbeitung von Anfragen benötigt wird, kann Informationen preisgeben. Anwendungen sollten sich dessen bei sensiblen Operationen wie Authentifizierung bewusst sein.

Anwendungen, die persönliche Informationen verarbeiten, SOLLTEN:

  • Geltende Datenschutzvorschriften einhalten (z. B. DSGVO, CCPA).

  • Eine klare Datenschutzrichtlinie haben.

  • Geeignete technische Maßnahmen zum Schutz persönlicher Informationen verwenden.

  • Die Verwendung datenschutzfördernder Technologien wie differenzielle Privatsphäre oder sichere Mehrparteienberechnung in Betracht ziehen, wo es angemessen ist.

Anwendungen SOLLTEN sich bewusst sein, dass selbst scheinbar harmlose Informationen in der Gesamtheit datenschutzsensibel sein können. Zum Beispiel können Zugriffsmuster, Timing-Informationen oder Metadaten sensible Informationen über Benutzer offenbaren.

Anwendungen, die für den Einsatz in sensiblen Kontexten (z. B. Gesundheitswesen, Finanzen oder Regierung) konzipiert sind, müssen besonders vorsichtig in Bezug auf den Datenschutz sein und müssen möglicherweise zusätzliche Schutzmaßnahmen über das hinaus implementieren, was in diesem Dokument beschrieben wird.

Schließlich SOLLTEN Anwendungen die Datenschutzauswirkungen von Drittanbieter-Integrationen wie Analytics-Diensten, Werbenetzwerken oder Content Delivery Networks berücksichtigen. Jede Integration führt ein potenzielles Datenschutzrisiko ein, das sorgfältig bewertet werden muss.