netidee
Netidee Blog Bild
Delete Your Data - Planung ist der Schlüssel zum Erfolg
Gute Planung und Architektur kann später viel Kopfweh vermeiden (16.03.2020)
Förderjahr 2019 / Project Call #14 / ProjektID: 4612 / Projekt: Delete Your Data

Projektübersicht

Wie schon in unserem ersten Blog-Beitrag beschrieben ist die Grundidee von Delete Your Data (DYD), Entwicklern und Betreibern von Online-Plattformen die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu erleichtern. Für die DSGVO-Konformität ist es essenziell zu wissen, wo Daten über jeden einzelnen Benutzer gespeichert sind, damit darüber Auskunft gegeben werden kann, oder diese auf Wunsch zu entfernen.

Unser Ziel ist es, den Entwicklern die Möglichkeit zu bieten, alle mit einem User verknüpften Datensätze verfolgbar zu machen. DYD soll diese eine Sache gut machen, damit die Plattformbetreiber sicher sein können, keine Lücken in ihren Anstrengungen zur DSGVO-Konformität zu haben.

Erste Schritte der Planung

Zuallererst musste geplant werden, wie die Umsetzung und Funktionsweise von DYD aussehen soll. Da Userdaten auf viele verschiedene Möglichkeiten gespeichert werden können (Mailservices, Datenbanken, diverse externe Systeme, …) müssen hierfür die verschiedenen Module einzeln und spezifisch für ihren Zweck geplant und entwickelt werden. Durch die Unterteilung in verschiedene Module hat der Entwickler dann die Möglichkeit, sich selbst zu entscheiden welche er davon in seiner Seite benötigt und einbauen will.

Eine weitere Grundentscheidung war es, DYD als eigenständigen Service zu entwickeln: mit eigener Datenbank und eigener Web-Schnittstelle zur Administration, gehostet jeweils von den Plattformbetreibern, die DYD nutzen möchten. Durch die Entkopplung von der Plattform wird DYD mit unterschiedlichen Architekturen zusammenspielen können und breiter einsetzbar sein.

Um die weitere Vorgehensweise besser Planen zu können wurden User-Stories erstellt, dazu haben wir mögliche Szenarien zur Verwendung von DYD durchgespielt und schriftlich festgehalten. Eine Erkenntnis daraus war, dass DYD keine eigenes User Interface für die Endbenutzer haben wird: wir erwarten, dass die PlattformentwicklerInnen eigens gestaltete Oberflächen für ihre Benutzer bieten wollen. Wie bereits erwähnt wird es aber ein eigenes Admin-Interface geben, auf dem dann Module hinzugefügt und wieder entfernt werden, Daten anonymisiert und gelöscht werden können.

Planung der technische Strukturen

Von der Architektur her ist DYD also grundlegend eine eigenständige Webanwendung und hat als solche vier wichtige Bereiche: das Backend (die Logik der Website), das Frontend (wie die Seite für den User dargestellt wird), eine API (wie die Informationen zwischen Frontend und Backend übertragen werden) und zu guter Letzt die Datenbank in der die Informationen dann gespeichert werden.

Hier waren entsprechende Technologien zu evaluieren und auszuwählen: was ist für DYD sinnvoll, welche Kombination passt am besten zu uns?

  • Backend Hier haben wir zwei Möglichkeiten betrachtet: PHP und Javascript. In unserem Team besteht hier die meißte Erfahrung, manche mehr bei PHP, andere bei Node.js. Das Rennen hat am Ende Node.js mit dem Express Webserver gemacht, vor allem wegen den Inkonsistenzen die bei PHP in der Standardbibliothek zu finden sind. Da beide Alternativen ansonsten gut für Web-Backends geeignet sind, gab das den Ausschlag.
  • Frontend Beim Frontend gibt es etliche verschiedene Möglichkeiten - reines JavaScript, JS-Frameworks wie React, Vue und Angular, oder andere Systeme wie Elm -  wir haben uns hierfür für Vue entschieden, da das Entwicklerteam hier bereits Erfahrungen vorweisen kann.
  • API Hier gibt es momentan zwei große Camps: das bewährte REST und das moderne GraphQL. Mit ersterem hat unser Team schon viel Erfahrung, und REST passt auch ansonsten gut zu unseren Anforderungen.
  • Datenbank Die für DYD benötigten Datensätze haben eine klare Struktur, weshalb NoSQL-Lösungen hier keinen großen Vorteil bieten. Die Frage der Datenbank ist auch für die Betreiber relevant, die ja DYD dann in Betrieb nehmen. Deshalb wollen wir hier sowohl MariaDB/MySQL als auch PostgreSQL unterstützen, und generell vom verwendeten Datenbanksystem so unabhängig wie möglich bleiben.

Los geht's!

Aus dieser ersten Phase gehen wir mit einer gut durchdachten und klar definierten Architektur hinaus. Bei einem Softwareprojekt muss man flexibel für Änderungen bleiben, deswegen evaluieren wir natürlich laufend die Richtigkeit der hier gesteckten Eckpunkte. Ran an die Tastaturen, jetzt geht's los!

Tags:

DSGVO Datenschutz Industry meets Makers PRIA

Philipp Medved

Profile picture for user Pmedved
CAPTCHA
Diese Frage dient der Überprüfung, ob Sie ein menschlicher Besucher sind und um automatisierten SPAM zu verhindern.

    Weitere Blogbeiträge

    Netidee Blog Bild

    Auf der Zielgerade

    Bevor DYD in der Industry Meets Makers-Plattform in Betrieb gehen kann und damit die Feuerprobe für die Verwendung in der "echten Welt" antritt, geht es noch um den letzten Feinschliff.
    Netidee Blog Bild

    Fortschritts-Allerlei

    Was in den letzten Monaten bei DYD weitergegangen ist: user interface, das Plugin-System, und die "Industry Meets Makers" Community Plattform
    Netidee Blog Bild

    Ein Bisschen TDD

    Delete Your Data speichert zwar nicht direkt sensitive Daten, die liegen in der Plattform an die es angebunden ist, aber es ist für das Löschen dieser Daten zuständig. Das ist eine große Verantwortung, die gründliches Testen erforderlich macht.
    Netidee Blog Bild

    Das DYD-Grundgerüst

    Jede Reise beginnt mit dem ersten Schritt. Nachdem das Ziel fixiert ist heißt das beim datenzentrischen Projekt "Delete Ýour Data", die grundlegende Datenverwaltung zu implementieren.

    Delete Your Data – Robin Hoods Antwort auf die ausufernde Datenökonomie

    Die DSGVO versucht neue Transparenzstandards und Rechte für NutzerInnen von Online-Plattformen zu schaffen und wir dabei zu helfen, diese auf technischer Seite sauber umsetzen zu können.
    Datenschutzinformation
    Impressum | Datenschutz
    Der datenschutzrechtliche Verantwortliche (Internet Privatstiftung Austria - Internet Foundation Austria, Österreich würde gerne mit folgenden Diensten Ihre personenbezogenen Daten verarbeiten. Zur Personalisierung können Technologien wie Cookies, LocalStorage usw. verwendet werden. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
    Sonstige Inhalte (1 Dienst)
    Einbindung zusätzlicher Informationen
    YouTube
    Google Ireland Limited, Irland
    Alle Detailszu YouTube
    Alle Detailszu YouTube