DSGVO: Daten prüfen – aber richtig!

Die Datenschutz-Grundverordnung DSGVO behandelt die Verarbeitung von personenbezogenen Daten. Die dafür anzuwendenden Grundsätze sind in Artikel 5 der DSGVO aufgelistet. Einer dieser Grundsätze ist die „Richtigkeit“:

Personenbezogene Daten müssen […] sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

Daraus ergibt sich die Notwendigkeit, Daten idealerweise bereits bei der Eingabe zu überprüfen. Relativ oft sieht man das in Web-Formularen bei der Überprüfung von Mail-Adressen. Viele Web-Entwickler machen es sich hier jedoch recht einfach und verwenden dafür sogenannte „reguläre Ausdrücke“. Mit diesen wird einfach gesagt geprüft, ob die Eingabe „wie eine Mail-Adresse aussieht“. Dabei wird aber oft übersehen, dass E-Mail-Adressen heute anders aussehen können als das noch vor einigen Jahren der Fall war.

Viele Prüfungen von Mail-Adressen gehen davon aus, dass es nur Top-Level-Domains mit zwei oder drei Zeichen gibt, da das lange Zeit tatsächlich der Fall war, bspw. .at, .de, .com, .net, etc.

Vor einigen Jahren wurde dieses System jedoch erweitert und daher gibt es mittlerweile (bzw. seit 2013) mehrere Hundert neue Top-Level-Domains wie .shop, .blog, .solutions, etc. und damit natürlich auch E-Mail-Adressen, die diese Domains verwenden. Mehr Details dazu finden Sie hier.

Wenn eine solche E-Mail-Adresse dann in einem Web-Formular eingegeben wird und die Prüfung diese neuen Domains nicht kennt, so wird die Mail-Adresse als ungültig abgelehnt. Eine effiziente Kundenvertreibungsmaßnahme!

Korrekt und vorallem viel sinnvoller wäre eine tiefergehende Prüfung der Mail-Adresse, nämlich eine Abfrage, ob die Domain wirklich existiert oder sogar, ob Mails an die angegebene Adresse tatsächlich zugestellt werden können.

Eine solche Prüfung ist natürlich auf den ersten Blick schwieriger umzusetzen. Man muss das Rad aber nicht neu erfinden und kann stattdessen auch bestehende API (Application Programming Interface = Schnittstellen, die Programme verwenden können) verwenden, die diese Funktionen zur Verfügung stellen, bspw. die data.mill API von https://datamill.solutions

Aber „schlechte“ Prüfungen sind nicht auf Mail-Adressen beschränkt. Vielleicht haben Sie selbst schon eine der folgenden Situationen erlebt:

• Die Postleitzahl muss aus genau 5 (oder genau 4) Ziffern bestehen
• Telefonvorwahlen müssen aus genau drei Ziffern bestehen (in USA üblich)

Diese Prüfungen entstehen mit der guten Absicht, die Qualität der eingegebenen Daten zu steigern. Allerdings wurde bei der Umsetzung nicht jede Eventualität (wie bspw. ausländische Adressen oder Telefonnummern) bedacht.

Bevor also Eingabeformulare mit einfachen Prüf-Mechanismen ausgestattet werden, die in weiterer Folge mehr Probleme als Nutzen bringen, sollte diskutiert werden, ob es nicht bessere, tiefer gehende Prüfmöglichkeiten gibt, die ebenso mit überschaubarem Aufwand eingebaut werden können und neben der Prüfung auch noch interessante Zusatzinformationen liefern, z. B. Geo-Koordination bei postalischen Adressen oder die Art der Telefonnummer (Festnetz, Mobilnetz, …). Die APIs entwickeln sich permanent weiter und sie können in immer mehr Systeme eingebaut werden.