Legal:Richtlinie zur Datensammlung

This page is a translated version of the page Legal:Data Collection Guidelines and the translation is 100% complete.

Das Recht auf Privatsphäre ist der Kern dessen, wie Gemeinschaften zu Wikimedia-Projekten beitragen — die Wahrung dieses Rechts ist ein zentraler Aspekt der Menschenrechtsverpflichtungen der WMF. Diese Richtlinien zur Datensammlung beschreiben die bewährten Vorgehensweisen der Wikimedia Foundation zum Umgang mit Datenschutzrisiken bei der Datensammlung. Sie ergänzen die Richtlinien zur Speicherung von Daten und Richtlinien zur Veröffentlichung von Daten der WMF und geben Hinweise zum Umgang mit potenziell sensiblen Daten während ihres gesamten Lebenszyklus bei der WMF. Zusammengenommen tragen diese Richtlinien zu unserer Verpflichtung bei, die Daten der Benutzer zu schützen, wie in unserer Datenschutzrichtlinie dargelegt.

Der Umfang dessen, was Datensammlung ausmacht, kann sehr unterschiedlich sein, da viele Teams der Foundation in irgendeiner Form Daten sammeln. Um eine Anleitung für die sinnvolle Bewertung einer potenziellen Aktivität zur Datensammlung zu geben, versuchen wir in erster Linie, Informationen zu verstehen, die sich auf fünf allgemeine Kategorien beziehen:

  • Thema der Daten (z. B. Leser, Autoren, App-Nutzer, Spender)
  • Sender der Daten (z. B. WMF-Werkzeuge wie ein Browser, eine App oder eine Erweiterung; oder Drittanbieter von Software)
  • Empfänger der Daten (z. B. WMF, WME, Partner, Drittanbieter von Software, Öffentlichkeit)
  • Art der Daten (z. B. Benutzerkontoinformationen, Seiteninformationen, Telemetriedaten, demografische Informationen, Einstellungs- oder Verhaltensinformationen, geografische Informationen, Ereignisinformationen)
  • Datennutzung und Änderungen der Datennutzung (z. B. im Rohformat veröffentlicht, anonym veröffentlicht, nicht veröffentlicht; anonymisiert, aggregiert und dauerhaft gespeichert)

In der folgenden Risikoabstufungstabelle für die Datensammlung werden diese Kategorien als Kriterien dargestellt, um den Mitarbeitern die Beurteilung der Risikostufe ihrer Aktivitäten zur Datensammlung zu erleichtern.

Risikoabstufungstabelle für die Datensammlung

Kriterien für ein niedriges Risiko
  • Das Thema der Daten unterliegt der geltenden Datenschutzrichtlinie der WMF;
  • Der Sender der Daten unterliegt der geltenden Datenschutzrichtlinie der WMF;
  • Der Empfänger der Daten ist die WMF oder ein von der WMF autorisierter Drittanbieter von Software, der keine Cookies verwendet;
    • Hinweis: Wenn der Drittanbieter von Software Cookies oder andere clientseitige Speicher verwendet, wird dies sofort zu einer Aktivität mit mittlerem oder hohem Risiko
  • Die Daten werden für einen typischen Speicherzeitraum aufbewahrt und dann gelöscht, aggregiert oder anonymisiert und bereinigt;
  • Die gesammelten Daten enthalten nicht:
    • mehrere Elemente nicht gehashter persönlicher Informationen[1]
    • persönliche Daten + Benutzername/Benutzer-ID oder App-ID
    • langfristige Daten zu Seitenaufrufen[2] + eindeutige ID[3]
    • detaillierte geographische Daten[4] + eindeutige ID[3]
    • sensible Daten[5]
Risikostufe Stufe 1: Hohes Risiko Stufe 2: Mittleres Risiko Stufe 3: Niedriges Risiko
Daten, die die Themen oder Empfänger der Daten mit Sicherheit einem Schadensrisiko aussetzen könnten. Daten, die die Themen oder Empfänger der Daten wahrscheinlich oder möglicherweise einem Schadensrisiko aussetzen könnten. Daten, die die Themen oder Empfänger der Daten wahrscheinlich nicht einem Schadensrisiko aussetzen.
Kriterien Die Datensammlung erfolgt fortlaufend[6] und erfüllt ZWEI ODER MEHR der Kriterien für ein niedriges Risiko nicht.

ODER

Die Datensammlung erfolgt einmalig[7] und erfüllt DREI ODER MEHR der Kriterien für ein niedriges Risiko nicht.

Die Datensammlung erfolgt fortlaufend[6] und erfüllt EINES der Kriterien für ein niedriges Risiko nicht.

ODER

Die Datensammlung erfolgt einmalig[7] und erfüllt ZWEI der Kriterien für ein niedriges Risiko nicht.

Die Datensammlung erfolgt fortlaufend[6] und erfüllt KEINES der Kriterien für ein niedriges Risiko nicht.

ODER

Die Datensammlung erfolgt einmalig[7] und erfüllt EINES ODER KEINES der Kriterien für ein niedriges Risiko nicht. Das einzige Kriterium, das nicht erfüllt wurde, kann nicht die Sammlung sensibler Daten sein.

Vorgesehene Antwortzeit 3 Arbeitswochen 5 Arbeitstage N/A
Erwartete % der Anfragen (interne Statistik) 15% 35% 50%
Was sollten WMF-Teams als nächstes tun?
Zu erledigende Dinge für alle Risikoabstufungen
  • Nachdem du deine Risikoabstufung mithilfe dieser Abstufungstabelle ermittelt hast, protokolliere die Aktivität zur Datensammlung im Formular zum Protokollieren der Aktivität zur Datensammlung.
  • Wenn du dich später dazu entschließt, die erhaltenen Daten für einen neuen Zweck zu verwenden, bewerte deine Risikoabstufung bitte erneut mithilfe der Abstufungstabelle und reiche ein neues Formular zum Protokollieren der Aktivität zur Datensammlung ein.
Abhängig von deiner Aktivität zur Datensammlung und Risikoabstufung sind zusätzlich folgende Dinge zu erledigen Für Umfragen: Fülle die Datenschutz-Stellungnahme für Umfragen aus, um dein Formular zum Protokollieren der Aktivität zur Datensammlung zu ergänzen.
Für alle anderen Aktivitäten zur Datensammlung: Sende Aktivitäten zur Datensammlung an das L3SC-Anfrageformular, um dein Formular zum Protokollieren der Aktivität zur Datensammlung zu ergänzen, damit es von Privacy Engineering und Privacy Legal (+ anderen Teams, falls erforderlich) geprüft werden kann. Die Prüfer werden Minderungsmaßnahmen vorschlagen, um das Risiko gering oder mittel zu halten.

Während des L3SC-Prozesses fordern die Prüfer die Genehmigung der Aktivität zur Datensammlung von einem Leiter oder einer höherrangigen Person des Teams an, das für die Aktivität zur Datensammlung verantwortlich ist, um mit Aktivitäten zur Datensammlung mit hohem Risiko fortfahren zu können.

Für alle anderen Aktivitäten zur Datensammlung: Sende Aktivitäten zur Datensammlung an das L3SC-Anfrageformular, damit sie von Privacy Engineering und Privacy Legal (+ anderen Teams, falls erforderlich) geprüft werden können. Die Prüfer werden Minderungsmaßnahmen vorschlagen, um das Risiko gering zu halten.

Während des L3SC-Prozesses fordern die Prüfer die Genehmigung der Aktivität zur Datensammlung vom technischen Leiter des Teams an, das für die Aktivität zur Datensammlung verantwortlich ist, um mit Aktivitäten zur Datensammlung mit mittlerem Risiko fortfahren zu können.

Für alle anderen Aktivitäten zur Datensammlung: Es ist keine zusätzliche Prüfung durch Privacy Engineering oder Privacy Legal erforderlich.

Wiederkehrende oder geänderte Aktivitäten zur Datensammlung

Wenn eine Aktivität zur Datensammlung wiederkehrend ist,[8] wird bei nachfolgenden Prüfungen ein bekanntes Risiko bestehen und es werden weniger strenge Prüfungsstandards gelten. Zum Beispiel:

  • Eine einmalige Umfrage mit hohem Risiko im ersten Quartal würde in späteren Quartalen als bekanntermaßen hochriskant eingestuft werden (schnellere Antwort- und Entscheidungsfrequenz), sofern die gesammelten Informationen dieselben sind.
  • Eine fortlaufende Aktivität zur Datensammlung mit mittlerem Risiko unter iOS würde als bekanntermaßen mittelriskant eingestuft werden (und erfordert lediglich einen Eintrag im Protokollformular), wenn ein identisches Schema bereits für Android geprüft wurde.

Bei vorgeschlagenen Änderungen an bestehenden, laufenden Aktivitäten zur Datensammlung sollte davon ausgegangen werden, dass sie eine Änderung der Art der erfassten Daten mit sich bringen, und sie sollten als neuer Eintrag im Formular zur Aktivitätsprotokollierung für die Datensammlung / als neue zu prüfende Datensammlung betrachtet werden.

Minderungen

Hier ist eine Liste mit Beispielmaßnahmen zur Risikominderung, die du ergreifen kannst, um das Risiko deiner Aktivität zur Datensammlung zu senken:

  • Da es für einen böswilligen Akteur trivial einfach ist, aus einer vollständigen IP-Adresse detaillierte geografische Daten abzuleiten, wird im Sinne dieser Richtlinien das Sammeln vollständiger Versionen von IP-Adressen sowohl als eindeutiger Identifikator betrachtet,[3] als auch als Preisgabe detaillierter geographischer Daten — daher ist das Sammeln von IP-Adressen eine Aktivität zur Datensammlung mit mittlerem Risiko. Relevante Maßnahmen zur Minderung sind:
    • Weglassen der letzten beiden Oktette von IP-Adressen (z. B. 192.168.xxx.xxx)
    • Hashen von IP-Adresse + User-Agent (ähnlich der Akteursignatur)
  • In Situationen, in denen detaillierte geographische Daten von entscheidender Bedeutung sind, kannst du die Erfassung subnationaler geographischer Daten und anschließend das Löschen aller eindeutigen IDs in Erwägung ziehen.
  • Um riskantere eindeutige IDs (wie IP-Adressen) zu erfassen und einen Status mit niedrigem Risiko beizubehalten, kann es erforderlich sein, sie zu hashen.

Definitionen

  1. Persönliche Daten: (aus der Datenschutzrichtlinie der Wikimedia Foundation): Informationen, die du uns zur Verfügung stellst, oder Informationen, die wir erfassen und die genutzt werden könnten, um dich persönlich zu identifizieren. Genau gesagt: Wir erfassen nicht notwendigerweise alle der folgenden Arten von Informationen, aber wir betrachten zumindest die folgenden Daten als „personenbezogene Daten“, wenn sie anderweitig nicht öffentlich sind und zu deiner Identifizierung genutzt werden können:
    1. deinen Klarnamen, deine Adresse, deine Telefonnummer, deine E-Mail-Adresse, dein Passwort, deine Identifikationsnummer aus einem amtlichen Ausweis, deine IP-Adresse, deine User-Agent-Daten, deine Zahlungskontonummer;
    2. im Zusammenhang mit Daten aus dem Unterabschnitt (1) alle sensiblen Daten wie dein Geburtsdatum, Geschlecht, sexuelle Orientierung, Ethnie oder Herkunft, Familienstand, Krankheiten oder Behinderungen, deine politische Zugehörigkeit und Religion.
  2. Langfristige Daten zu Seitenaufrufen: Daten, die Seitenaufrufe > 90 Tage für abgemeldete Benutzer oder > 1 Seitenaufruf für angemeldete Benutzer protokollieren.
  3. 3.0 3.1 3.2 Eindeutiger Identifikator (ID): Eine Erweiterung der "persönlichen Daten", wie sie in der Datenschutzrichtlinie der WMF definiert sind. Zu dieser Liste fügen wir Benutzername/Benutzer-ID und App-Installations-ID hinzu. Hash-Versionen eindeutiger Klartext-IDs werden immer noch als eindeutige IDs betrachtet, da sie einen Benutzer immer noch eindeutig identifizieren können.
  4. Detaillierte geographische Daten: Daten, die den Standort eines Benutzers in einer subnationalen Auflösung identifizieren.
  5. Sensible Daten: (aus der Datenschutzrichtlinie der Wikimedia Foundation): Geburtsdatum, Geschlecht, sexuelle Orientierung, Ethnie oder Herkunft, Familienstand, Krankheiten oder Behinderungen, politische Zugehörigkeit und Religion.
  6. 6.0 6.1 6.2 Fortlaufende Datensammlung: Daten, die fortlaufend gesammelt werden, normalerweise mit automatisierten Mitteln. Dies umfasst Telemetriedaten aus App-/Web-Interaktionen. Wichtig ist, dass es sich um Daten handelt, die durch stillschweigende Zustimmung nur durch die Nutzung von WMF-Projekten gesammelt werden. Sie können langfristig (zur Überwachung der Nutzung über einen unbestimmten Zeitraum) oder kurzfristig (zur Durchführung von Experimenten mit einem bestimmten Ende) sein.
  7. 7.0 7.1 7.2 Einmalige Datensammlung: Daten, die in einem einzigen Fall gesammelt werden, typischerweise durch eine Umfrage. Die Themen der Daten können in diesem Zusammenhang der Weitergabe von Daten ausdrücklich zustimmen, indem sie eine Datenschutz-Stellungnahme akzeptieren, eine Umfrage ausfüllen und auf die Schaltfläche "Senden" klicken.
  8. Wiederkehrende Datensammlung: Fälle von Datensammlung, die entweder:
    • nach einer bestimmten Zeitspanne wiederkehren (z. B. jeden Monat, jedes Quartal oder jedes Jahr) oder
    • über gleichwertige Datenerfassungsschemata in verschiedenen Kontexten verfügen (z. B. iOS und Android).