Einführung in den Benutzerzustimmungsbildschirm
Was ist der Benutzerzustimmungsbildschirm und wie funktioniert er? Dieser Artikel erklärt die grundlegenden Ideen hinter dem Benutzerzustimmungsbildschirm und wie er verwendet werden sollte.
Developer
Was ist der Benutzerzustimmungsbildschirm?
Stellen Sie sich vor, Sie melden sich bei einer neuen sozialen App über dein Google-Konto an. Du klickst auf die Schaltfläche "Mit Google anmelden" und wirst zu Google weitergeleitet, um den Anmeldevorgang abzuschließen. Nach erfolgreicher Authentifizierung bei Google wirst du auf eine Seite weitergeleitet, die dich bittet, dieser App Zugriff auf dein Google-Kontoprofil zu gewähren. So etwas wie das:
Diese Seite nennen wir Zustimmungsseite oder Zustimmungsbildschirm. Es ist ein Benutzeroberflächenelement, das von Anwendungen oder Websites während des Onboardings-Prozesses angezeigt wird. Sein Hauptzweck besteht darin, die Benutzer über die Erfassung, Verarbeitung und Nutzung ihrer persönlichen Daten zu informieren und ihre ausdrückliche Zustimmung zu diesen Aktivitäten einzuholen.
Auf einer Zustimmungsseite werden den Nutzern in der Regel Informationen darüber präsentiert, welche Arten von Daten erfasst werden, wie sie verwendet werden und ob sie mit Dritten geteilt werden. Diese Informationen sind entscheidend für die Transparenz, da sie den Benutzern ermöglichen, fundierte Entscheidungen über ihre Privatsphäre und Datensicherheit zu treffen.
Zustimmungsseiten sind besonders wichtig im Kontext von Datenschutzvorschriften wie der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union oder dem California Consumer Privacy Act (CCPA) in den Vereinigten Staaten, die von Organisationen verlangen, klare und affirmative Zustimmung von Benutzern einzuholen, bevor sie deren persönliche Informationen verarbeiten.
Wann benötigen wir einen Zustimmungsbildschirm?
Bevor wir diese Frage beantworten können, müssen wir einige grundlegende Konzepte zur Benutzerauthentifizierung verstehen.
Identity Provider (IdP) und Service Provider (SP)
Wie oben erwähnt, besteht der Hauptzweck des Zustimmungsbildschirms darin, die Nutzer über die Erfassung, Verarbeitung und Nutzung ihrer persönlichen Daten zu informieren und deren ausdrückliche Zustimmung für diese Aktivitäten einzuholen. Daher benötigen wir einen Zustimmungsbildschirm, wenn wir persönliche Daten erfassen, verarbeiten oder verwenden, die einem anderen Anbieter gehören, wie zum Beispiel Google.
Im Kontext der Benutzerauthentifizierung nennen wir die Partei, die die Benutzerdaten besitzt, den Identity Provider (IdP). Die Anwendung, die Zugriff auf die Benutzerdaten anfordert, nennen wir den Service Provider (SP). In dem obigen Beispiel ist Google der IdP und die soziale App ist der SP.
Der IdP ist verantwortlich für die Authentifizierung des Benutzers und die Bereitstellung der Benutzerprofilinformationen an den SP. Der SP ist die Partei, die die Benutzerprofilinformationen benötigt, um seine Dienste bereitzustellen.
Single Sign-On (SSO)
In dem obigen Beispiel verwendet die soziale App Google als ihren IdP. Dies ist ein gängiges Szenario in der Branche. Viele Anwendungen verwenden Google, Facebook oder andere Drittanbieterdienste als ihren IdP. Dies wird als Single Sign-On (SSO) bezeichnet. SSO ist eine Eigenschaft der Zugriffskontrolle mehrerer zusammenhängender, aber unabhängiger Softwaresysteme. Mit dieser Eigenschaft meldet sich ein Benutzer mit einer einzigen ID und einem Passwort an, um auf mehrere verwandte Anwendungen zuzugreifen. Weitere Details findest du unter CIAM 101: Authentication, Identity, SSO.
Erstanbieter- vs Drittanbieter-IdP
Ein Erstanbieter-IdP ist ein IdP, der derselben Organisation gehört wie der SP. Der SP kann sogar denselben Domainnamen wie der IdP teilen. In diesem Fall fordert der SP Zugriff auf Benutzerdaten an, die derselben Organisation gehören. Zum Beispiel, wenn du Google Workspace nutzt, dann ist Google dein Erstanbieter-IdP.
Ein Drittanbieter-IdP hingegen ist ein IdP, der einer anderen Organisation gehört als der SP. Der SP fordert Zugriff auf Benutzerdaten an, die ihm nicht gehören. Zum Beispiel, wenn du Google als deinen IdP verwendest und dich bei einer sozialen App wie im obigen Beispiel anmeldest, dann ist Google ein Drittanbieter-IdP für die soziale App.
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'%3e%3cg data-look='classic' id='subGraph1' class='cluster'%3e%3crect height='178' width='210.47265625' y='8' x='8' style=''/%3e%3cg transform='translate(60.314453125%2c 8)' class='cluster-label'%3e%3cforeignObject height='24' width='105.84375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eOrganization B%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg data-look='classic' id='subGraph0' class='cluster'%3e%3crect height='178' width='209.59765625' y='8' x='238.47265625' style=''/%3e%3cg transform='translate(290.794921875%2c 8)' class='cluster-label'%3e%3cforeignObject height='24' width='104.953125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eOrganization A%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdPA_SPA_0' d='M343.487%2c72.5L344.34%2c76.583C345.193%2c80.667%2c346.899%2c88.833%2c347.823%2c96.5C348.746%2c104.167%2c348.887%2c111.334%2c348.957%2c114.917L349.027%2c118.501'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdPB_SPB_1' d='M114.02%2c72.5L113.001%2c76.583C111.981%2c80.667%2c109.942%2c88.833%2c108.992%2c96.5C108.043%2c104.167%2c108.183%2c111.334%2c108.254%2c114.917L108.324%2c118.501'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-dotted edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdPA_SPB_2' d='M321.548%2c72.5L317.713%2c76.583C313.879%2c80.667%2c306.209%2c88.833%2c280.92%2c98.024C255.631%2c107.216%2c212.723%2c117.431%2c191.269%2c122.539L169.814%2c127.647'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-dotted edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdPB_SPA_3' d='M136.055%2c72.5L139.744%2c76.583C143.433%2c80.667%2c150.81%2c88.833%2c176.149%2c98.038C201.489%2c107.243%2c244.79%2c117.487%2c266.44%2c122.608L288.091%2c127.73'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(338.60546875%2c 52.5)' id='flowchart-IdPA-0' class='node default'%3e%3cpolygon transform='translate(-65.1328125%2c19.5)' class='label-container' points='9.75%2c0 120.515625%2c0 130.265625%2c-19.5 120.515625%2c-39 9.75%2c-39 0%2c-19.5'/%3e%3cg transform='translate(-47.8828125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='95.765625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eIdP Service A%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(348.60546875%2c 141.5)' id='flowchart-SPA-1' class='node default'%3e%3cpolygon transform='translate(-63.796875%2c19.5)' class='label-container' points='9.75%2c0 117.84375%2c0 127.59375%2c-19.5 117.84375%2c-39 9.75%2c-39 0%2c-19.5'/%3e%3cg transform='translate(-46.546875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='93.09375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eSP Service A%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(117.90234375%2c 52.5)' id='flowchart-IdPB-4' class='node default'%3e%3cpolygon transform='translate(-65.5703125%2c19.5)' class='label-container' points='9.75%2c0 121.390625%2c0 131.140625%2c-19.5 121.390625%2c-39 9.75%2c-39 0%2c-19.5'/%3e%3cg transform='translate(-48.3203125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='96.640625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eIdP Service B%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(107.90234375%2c 141.5)' id='flowchart-SPB-5' class='node default'%3e%3cpolygon transform='translate(-64.234375%2c19.5)' class='label-container' points='9.75%2c0 118.71875%2c0 128.46875%2c-19.5 118.71875%2c-39 9.75%2c-39 0%2c-19.5'/%3e%3cg transform='translate(-46.984375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='93.96875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eSP Service B%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Benutzerzustimmung
Immer wenn sich ein Benutzer bei einer Anwendung anmeldet, ist es entscheidend, dass dem Benutzer bewusst ist, welche Daten erfasst werden und wie sie verwendet werden.
Für Erstanbieter-IdP sind solche Informationen normalerweise in der Datenschutzrichtlinie und den Nutzungsbedingungen der Organisation abgedeckt. Der Benutzer muss in der Regel den Datenschutzrichtlinien und den Nutzungsbedingungen zustimmen, bevor er sich für den Dienst anmeldet. Daher ist der Benutzer bereits darüber informiert, welche Daten erfasst werden und wie sie verwendet werden. In diesem Fall ist die Benutzerzustimmung implizit.
Es ist jedoch wichtig, dass der IdP strenge Kontrolle über die Daten, die er besitzt, ausübt. Der IdP sollte keinem Drittanbieter-SP erlauben, ohne die ausdrückliche Zustimmung des Benutzers auf die Benutzerdaten zuzugreifen. Jeder Datenzugriff durch einen Drittanbieter-SP wird als Datenaustauschaktivität betrachtet. Der Benutzer muss über die Datenaustauschaktivität informiert werden und muss ausdrücklich zustimmen.
Daher ist für Drittanbieter-IdP die Benutzerzustimmung immer erforderlich. Aus diesem Grund verlangen alle großen IdPs, wie Google, Facebook und Microsoft, dass der SP einen Zustimmungsbildschirm dem Benutzer anzeigt, bevor sich der Benutzer beim SP anmelden kann.
Zum Beispiel im Fall von Google, wenn du versuchst, einen Google OAuth-Client zu erstellen, wirst du aufgefordert, eine detaillierte Zustimmungsbildschirmkonfiguration bereitzustellen.
Dies stellt sicher, dass dem Benutzer die Datenaustauschaktivität bewusst ist und er ausdrücklich zugestimmt hat.
Welche Informationen sollten im Zustimmungsbildschirm enthalten sein?
Es ist wichtig, dass der Zustimmungsbildschirm dem Benutzer genügend Informationen liefert, um eine fundierte Entscheidung zu treffen. Einschließlich, aber nicht beschränkt auf:
- Welche Partei (SP) fordert Zugriff auf die Benutzerdaten an?
- Was ist die aktuelle Benutzeridentität?
- Welche Benutzerdaten werden erfasst?
- Wie werden die Benutzerdaten verwendet?
- Welche zusätzlichen vom IdP bereitgestellten Dienste oder APIs werden verwendet?
- Welche zusätzlichen Berechtigungen werden dem SP gewährt?
- Was ist die Datenschutzrichtlinie des SP?
Alle oben genannten Informationen sollten im Zustimmungsbildschirm präzise und klar enthalten sein. Der Benutzer sollte in der Lage sein, die Informationen ohne Mehrdeutigkeit zu verstehen. Dies ist besonders wichtig für die Benutzerdaten, die erfasst werden und wie sie verwendet werden.
Es liegt in der Verantwortung des IdP sicherzustellen, dass die Benutzerdaten nur für den Zweck verwendet werden, für den der Benutzer zugestimmt hat. Der IdP sollte dem SP nicht erlauben, die Benutzerdaten für andere Zwecke zu verwenden, ohne die ausdrückliche Zustimmung des Benutzers.
Fazit
Zusammenfassend dient eine Zustimmungsseite als Mechanismus, um die ausdrückliche Erlaubnis von Benutzern bezüglich der Verarbeitung ihrer Daten einzuholen, Transparenz zu fördern und die Einhaltung der Datenschutzgesetze zu gewährleisten. Sie wird derzeit von allen großen IdPs für Drittanbieter-SPs gefordert und spielt eine wichtige Rolle beim Schutz der Privatsphäre der Benutzer und der Datensicherheit. Besonders, wenn du einen Drittanbieter-IdP-Dienst bereitstellst.