Logo der activeMind AG

APIs und Datenschutz

Inhalt

In einer immer stärker vernetzten Welt dienen Programmierschnittstellen (Application Programming Interfaces – APIs) dazu, Systeme und Dienste möglichst effizient miteinander zu verknüpfen. Die rechtliche Dimension von APIs ist den meisten immer noch unklar, insbesondere hinsichtlich der Datenschutz-Grundverordnung (DSGVO).

Hierzu hat die französische Datenschutzbehörde CNIL Empfehlungen veröffentlicht. Wir erklären Unternehmen und Entwicklern die darin thematisierten Pflichten hinsichtlich des Designs, der Implementierung und des Betriebs von APIs.

Application Programming Interfaces

APIs bilden das Rückgrat der modernen digitalen Landschaft. Im Kern handelt es sich dabei um Schnittstellen, die es verschiedenen Softwareanwendungen ermöglichen, miteinander zu kommunizieren und Daten auszutauschen. APIs fungieren gewissermaßen als Übersetzer zwischen unterschiedlichen Programmen, indem sie den reibungslosen Informationsaustausch ermöglichen.

Diese Schnittstellen versetzen Unternehmen also in die Lage, innovative digitale Lösungen zu schaffen. Doch mit dem Voranschreiten der API-Nutzung werden auch die Fragen und Bedenken im Zusammenhang mit dem Schutz der Daten immer drängender.

In ihren Empfehlungen beleuchtet die CNIL deshalb diverse Aspekte hinsichtlich des Datenschutzes beim Einsatz von APIs. Insbesondere die Aspekte von Privacy by Default und Privacy by Design aus Art. 25 DSGVO nennt die CNIL als wichtigen Aspekt.

API-Vielfalt: Arten und Typen im Überblick

Generell kann man APIs in Arten, aber auch in Typen unterscheiden. Die Unterscheidung zwischen Arten und Typen von APIs ermöglicht eine umfassende Betrachtung der API-Landschaft. Während die Arten den Zugriffskontext und die Zielgruppe bestimmen, fokussieren sich die Typen auf die Art der gebotenen Funktionen und die technische Umsetzung.

Gemeinsam bieten diese Kategorien einen nahezu ganzheitlichen Einblick in die Vielfalt von APIs, von der Zugriffsregulierung bis hin zur funktionalen Ausrichtung und technologischen Implementierung.

  1. Open APIs sind für die breite Öffentlichkeit zugänglich und können von Entwicklern frei genutzt werden. Sie werden oft von Unternehmen oder Organisationen bereitgestellt, um Dritten den Zugriff auf ihre Dienste oder Daten zu ermöglichen.
  2. Partner APIs sind für ausgewählte Partner oder verbundene Unternehmen bestimmt. Der Zugriff ist beschränkt und erfordert normalerweise eine Autorisierung, um sicherzustellen, dass nur berechtigte Partner darauf zugreifen können.
  3. Private APIs sind intern für den Gebrauch innerhalb eines Unternehmens oder einer Organisation bestimmt. Der Zugriff ist auf interne Entwickler oder bestimmte Anwendungen beschränkt und nicht für die externe Nutzung vorgesehen.
  1. Funktionsorientierte APIs bieten Funktionen oder Services an, die von Entwicklern aufgerufen werden können. Beispiele hierfür sind Webdienste, die zum Beispiel Zahlungsabwicklung oder Benutzerauthentifizierung bereitstellen.
  2. Dateiorientierte APIs ermöglichen den Austausch von Daten in Form von Dateien. Ein Beispiel ist eine API, die den Austausch von JSON- oder XML-Dateien ermöglicht.
  3. Protokollorientierte APIs verwenden bestimmte Kommunikationsprotokolle, um den Datenaustausch zwischen Anwendungen zu ermöglichen. Beispiele hierfür sind APIs, die auf HTTP, REST oder SOAP basieren.
  4. Objektorientierte APIs basieren auf der Interaktion mit Objekten, wobei häufig Objekte und deren Methoden bereitgestellt werden, um spezifische Aufgaben auszuführen. Objektorientierte APIs sind in der Regel in Programmiersprachen wie Java oder Python relevant.

Akteure bei der API-Nutzung

Die CNIL identifiziert drei Hauptakteure bei der Nutzung von APIs: den Dateninhaber, den API-Manager und den Daten-Wiederverwender. Diese Differenzierung ist insbesondere zur Bestimmung der Verantwortlichkeiten im Rahmen des Datenschutzes maßgebend.

  1. Dateninhaber ist dabei die Person bzw. Organisation, welche die technische und / oder organisatorische Kontrolle über die Daten hat. Dies kann sowohl der API-Manager sein, der die Daten bereitstellt, als auch der API-Verwender, der Daten über die API sendet oder andere Aktionen über sie ausführt.
  2. API-Manager ist die Person, die die technischen Komponenten verwaltet, auf denen die Datenfreigabe basiert. In den meisten Fällen ist der API-Manager auch der API-Anbieter, jedoch kann es vorkommen, dass er lediglich eine technische Rolle bei der Implementierung der Datenfreigabe innehat, ohne selbst als Anbieter oder Verwender aufzutreten.
  3. Daten-Wiederverwender ist jede Person, die Daten über eine API zugreifen oder empfangen möchte, um sie für eigene Zwecke zu nutzen. Auch hier kann der Daten-Wiederverwender sowohl als API-Verwender agieren, der Daten über die API abruft, als auch als API-Anbieter, der Daten von Inhabern über Anfragen erhält.

In rechtlicher Hinsicht trägt der Dateninhaber in der Regel die Hauptverantwortung für die Datenverarbeitung. Wenn jedoch die Zwecke und Mittel der Verarbeitung gemeinsam festgelegt werden, kann der Dateninhaber auch gemeinsam mit anderen Akteuren für die Datenverarbeitung verantwortlich sein, insbesondere mit dem Daten-Wiederverwender.

Der API-Manager hingegen agiert in der Regel als Auftragsverarbeiter (Art. 28 DSGVO) und agiert nach den Anweisungen des Dateninhabers und/oder des Daten-Wiederverwenders.

Welche Risiken bestehen bei der Nutzung von APIs?

Dem klaren Nutzen von APIs stehen Risiken in verschiedenen Aspekten gegenüber, insbesondere auch im Hinblick auf den Datenschutz. Die CNIL nennt hier unter anderem die Aspekte der Datenminimierung, Richtigkeit der Daten, Nachvollziehbarkeit, Governance und Betroffenenrechte sowie die Informationssicherheit als Ziele, die im Zuge der zu treffenden Maßnahmen berücksichtigt werden sollten, um Risiken zu minimieren.

Verdeutlicht werden diese Ziele durch eine Liste von Faktoren, die die CNIL im Hinblick auf den Einsatz von APIs in den Fokus rückt:

  • Art des Datenbankzugriffs: Nur Lese- oder Schreibzugriff
  • Erteilung von Genehmigungen und Bedingungen für den Zugang zu den Daten: Wenn der Zugang genehmigungspflichtig ist, welche Kontrollen werden durchgeführt, um diese Anträge zu validieren? Sicherheitsniveau der verwendeten Authentifizierungstechniken.
  • Art der an der gemeinsamen Nutzung beteiligten Organisationen: technischer Reifegrad, europäische oder außereuropäische Governance, operative Fähigkeiten usw.
  • Andere technische und organisatorische Maßnahmen, die zur Verbesserung des Sicherheitsniveaus des Systems geplant sind.
  • Stand der Kenntnisse über die verwendeten Techniken und die damit verbundenen Risiken.
  • Datenkategorien, die über die API zugänglich sind: Bestimmte sensible Daten im Sinne von 9 DSGVO oder sehr persönliche Daten (wie Bankdaten oder Geolokalisierungsdaten) sind eher Gegenstand von Angriffen; etwaige Datenschutzverletzungen könnten schwerwiegendere Folgen haben.
  • Präzisionsgrad der Daten/Abfragen: Möglichkeit, nur auf bestimmte Bereiche bzw. Informationen zuzugreifen.

Datenschutzrechtliche Anforderungen an APIs

Bei der Verwendung von APIs müssen die Datenschutzrechte der betroffenen Personen stets gewährleistet werden. In der Empfehlung hebt die CNIL wichtige Aspekte hervor, die bei der Nutzung von APIs im Hinblick auf Datenschutzrichtlinien zu berücksichtigen sind:

Die CNIL betont, dass beteiligten Organisationen, die Daten teilen, klare und vollständige Informationen (Art. 12 ff. DSGVO) über die Verarbeitung personenbezogener Daten bereitstellen müssen. Empfohlen wird, die Rückverfolgbarkeitsmaßnahmen von APIs, wie das Protokollieren von Zugriffen (Logging), zu nutzen, um Informationen zu sammeln.

Bei APIs mit hohem Risiko sollten Betroffene eine vollständige Liste der Datenzugriffe, inklusive Zeit- und Datumsstempel, erhalten. Dies ermöglicht es, illegitime Zugriffe zu identifizieren. Zudem empfiehlt die CNIL, die Liste der Datenwiederverwender den Betroffenen zugänglich zu machen. Es wird empfohlen, verständliche Informationen zu den geteilten Daten, der Häufigkeit der Zugriffe und den durchgeführten Operationen bereitzustellen.

Diese Informationen sollten automatisch aktualisiert werden. Betroffene sind über wesentliche Änderungen, insbesondere bei neuen Verwendungszwecken oder geänderten Zugriffsrestriktionen, individuell zu informieren. Die CNIL empfiehlt, diese Informationen direkt zu kommunizieren oder mindestens auf einer Website zugänglich zu machen.

Um die aktuellen gesetzlichen Anforderungen an die Datenweitergabe bzw. -freigabe zu erfüllen und den Grundsatz der Datenminimierung anzuwenden, empfiehlt die CNIL, dass Dateninhaber mit Daten-Wiederverwendern die für die jeweilige Wiederverwendung unerlässlichen Daten besprechen. Dies ermöglicht es, die Freigabe auf diese spezifischen Daten zu beschränken, wobei sämtliche gesetzlichen Bestimmungen zur Datenfreigabe eingehalten werden müssen. In diesem Zusammenhang werden folgende Punkte betont:

  • Die Auswahl der Datenkategorien, ihres Formats, ihrer historischen Tiefe, ihrer Genauigkeit, ihrer Abfragehäufigkeit, der Aktualisierungsfrequenz sowie angewendeter Pseudonymisierungs- oder Anonymisierungsmaßnahmen sollten den Anforderungen der beabsichtigten Wiederverwendungen entsprechen.
  • Nach der Gewährung des Zugriffs sollte der Dialog zwischen dem Dateninhaber und den Wiederverwendern fortgesetzt werden, um Feedback einzuholen.
  • Es ist ratsam, die freizugebenden Daten regelmäßig zu überprüfen, um nicht mehr relevante Daten zu identifizieren und ihre Freigabe zu beenden. Das gewählte Datenformat sollte klar dokumentiert sein, um Risiken durch menschliche oder Software-Fehlinterpretationen zu minimieren.
  • Es ist empfohlen ein Datenvalidierungstool zu nutzen, mit dem geprüft wird, ob die über die API ausgetauschten Daten dem erwarteten Format entsprechen (z. B. Übereinstimmung mit der API-Beschreibung, Übereinstimmung mit dem erwarteten Datentyp, Zugehörigkeit zu einer Gruppe zulässiger Werte usw.). Dies soll die Richtigkeit, Vollständigkeit und Konformität zu den festgelegten Standards gewährleisten.
  • Die technische Infrastruktur, Datenformate und die API-Abfrageverfahren sollten eng mit den obigen Empfehlungen abgestimmt sein, um sicherzustellen, dass nur relevante Daten mit dem jeweiligen Wiederverwender geteilt werden. Dies ist insbesondere wichtig, wenn unterschiedliche Zugriffsebenen innerhalb eines Wiederverwendungsorgans existieren, abhängig von der Sicherheitsfreigabe der beteiligten Personen.

Abschließend wird empfohlen, in Fällen, in denen die relevanten Datenkategorien vor der Verarbeitung nicht präzise identifiziert werden können, eine Experimentierphase einzuleiten. Diese experimentelle Phase sollte unter realen Bedingungen in einer sogenannten Sandbox-Version der geplanten technischen Infrastruktur durchgeführt werden und sich so weit wie möglich auf fiktive oder veränderte Daten beschränken.

Die Empfehlung der CNIL betont, dass Betroffenenrechte (Art. 15 ff. DSGVO), wie das Recht auf Zugang, Berichtigung, Löschung und Datenübertragbarkeit auch im Kontext der Nutzung von APIs, wenn Daten übertragen werden, uneingeschränkt gelten. Die CNIL empfiehlt, den Prozess der Ausübung dieser Rechte weitgehend zu automatisieren, um sicherzustellen, dass sie effektiv umgesetzt werden können. Insbesondere sollte z.B. bei einem Widerruf der Einwilligung oder der Ausübung des Widerspruchsrechts durch eine betroffene Person das technische System der API die betreffenden Daten automatisch aus dem Sharing-Prozess ausschließen.

Für APIs, die einem eingeschränkten Zugriff unterliegen, empfiehlt die CNIL Mechanismen, die sicherstellen, dass nur autorisierte Benutzer auf die Daten zugreifen können. Dies beinhaltet die Implementierung von Verfahren zur Authentifizierung und Autorisierung sowie die Gewährleistung einer klaren Zuordnung von Zugriffsrechten. Eine wichtige Rolle spielt dabei die Begrenzung der Zugriffsrechte auf das notwendige Minimum, um die Sicherheit sensibler Daten zu gewährleisten.

Die Sicherheit der Authentifizierungsmechanismen sollte durch robuste kryptografische Protokolle gewährleistet werden. Gleichzeitig ist es wichtig, Benutzerfreundlichkeit zu gewährleisten, indem beispielsweise Mechanismen zur rechtzeitigen Benachrichtigung über den Ablauf von Zugriffsberechtigungen und zur einfachen Erneuerung dieser Berechtigungen bereitgestellt werden.

Die Empfehlung der CNIL legt nahe, dass für jeden der beteiligten Akteure, die Daten über APIs austauschen, eine dedizierte Governance eingeführt werden sollte. Dieser Ansatz ist zu dokumentieren und regelmäßig zu überwachen, um seine Wirksamkeit sicherzustellen. Die Dokumentation, die für alle relevanten Parteien leicht zugänglich sein sollte, sollte die Verfahren formalisieren, insbesondere die Notfallprotokolle, die im Falle eines Ereignisses zur Datensicherheit umgesetzt werden sollen.

Generell sollte die Verwaltung von APIs Teil der Informationssystem-Sicherheitsrichtlinie jedes Akteurs sein. Ihre Integration ist in bestehende Sicherheitsverfahren einzubeziehen, die angepasst werden sollten, um die spezifischen Risiken von APIs zu berücksichtigen.

Auch weist die CNIL nochmal auf die Notwendigkeit einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO hin, wenn der Prozess des Datenaustausches voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Betroffenen hat.

Fazit

APIs werden bereits in zahlreichen Anwendungsfällen genutzt. Vielen Verantwortlichen ist jedoch die Tragweite der datenschutzrechtlichen Aspekte nicht klar. Oftmals werden APIs als (technologisch) grundlegend sicher eingestuft und bei der Prüfung gar nicht erst berücksichtigt.

Wie die Veröffentlichung der CNIL zeigt, sind auch beim Einsatz von APIs zahlreiche Punkte hinsichtlich des Datenschutzes zu beachten. Um die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten, sollte stets auch der Datenschutzbeauftragte in den Prüfprozess mit einbezogen werden.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.