Die Benutzeroberfläche einer Software ist i. d. R. die einzige Stelle, mit der der Anwender in Berührung kommt. In das „Innere“ einer Applikation kann man im laufenden Betrieb nicht schauen, lediglich die Schnittstelle zur Interaktion ist offengelegt und für den Anwender zugänglich. Eine Vielzahl von Aspekten ist bei der Gestaltung zu berücksichtigen. Beispielsweise ist zu klären, auf welche Art und Weise die Interaktion erfolgt. Als Entwickler mag man dabei sofort an die grafischen Interfaces denken, die heute der Standard für Businessanwendungen sind. Jedoch gibt es eine Reihe weiterer Möglichkeiten zur Gestaltung der Kommunikationsschnittstelle. Beginnend bei der Eingabe von Befehlen bis hin zu KI-gestützter Spracheingabe oder der Interaktion mittels Gesten reicht das Spektrum. Als Entwickler von Applikationen mit der Programmiersprache Java liegt unser Fokus im Moment sehr häufig auf Unternehmensanwendungen. Hier erfolgt die Bedienung meist traditionell mit Tastatur und Maus, aber auch neuere Ansätze bahnen sich nach und nach den Weg in die Geschäftswelt.

Eines steht definitiv fest: Die Entwicklung der Benutzerschnittstelle nimmt einen immer größer werdenden Stellenwert im gesamten Softwareentwicklungszyklus ein. Statt „nebenbei“ im laufenden Entwicklungsprozess und durch den Softwareentwickler erledigt, wird diesem Teilschritt immer mehr Bedeutung zugemessen. Historisch hätte man die mit der Gestaltung der Benutzerschnittstelle einhergehenden Aufgaben irgendwo zwischen Anforderungsanalyse und Entwurf eingeordnet. Dazu ist das Thema jedoch viel zu wichtig. Folgerichtig sollte dem Konzept, dem Entwurf, der Erprobung durch den Nutzer und letztlich der technischen Umsetzung ein eigener umfassender Bearbeitungsschritt zugedacht werden (Abb. 1).

Abb. 1: Einordnung des Designs in den Softwareentwicklungszyklus

Fachleute für Design müssen über ein vielfältiges Portfolio an Kenntnissen verfügen, u. a. aus den Bereichen Ästhetik und Psychologie. Statt bloßem Bauchgefühl und Trial-and-Error-Verfahren kommen heute Ansätze aus der User-Experience-(UX-)Design-Research zum Einsatz. Diese beziehen wiederum ihr Potenzial und die notwendigen Erkenntnisse u. a. aus den Methoden der modernen Marktforschung. Die Technik will selbstverständlich auch beherrscht werden, ist jedoch zunächst nur zweitrangig.

In den folgenden Textabschnitten wollen wir die Entwicklung der Benutzerschnittstelle im historischen Zeitablauf nachzeichnen. Was zunächst wie eine Geschichtsstunde aussieht, führt schnell zur Erkenntnis, dass auch der heutige Stand – also primär die aktuell eingesetzte grafische Form des User Interface – nur ein Meilenstein auf dieser stetig fortschreitenden Entwicklung ist. Künftig werden wir wahrscheinlich vollständig anders mit der Technik in Interaktion treten, als wir es heute bereits täglich tun. Grundsätzlich kann die Entwicklung des User Interface anhand von folgenden Meilensteinen nachgezeichnet werden:

• Command Line Interface (CLI)

• Graphical User Interface (GUI)

• Natural User Interface (NUI)

• Voice User Interface (VUI)

• Organic User Interface (OUI)

Abb. 2: Meilensteine der User-Interface-Entwicklung

Auf die genannten Meilensteine (Abb. 2) werden wir gleich umfassender eingehen. Wir erkennen unmittelbar, dass die Entwicklung kontinuierlich vorangeht. Unverändert bleiben jedoch die Grundsätze, die das Fundament einer guten Benutzerschnittstelle ausmachen. Im Fokus steht nach wie vor das Ziel einer maximalen Benutzerfreundlichkeit. Unter Benutzerfreundlichkeit versteht man eine einfache Handhabbarkeit der Programme. Die Bedienung muss nicht oder kann sehr einfach erlernt werden. Sie richtet sich nach den Denk- und Arbeitsweisen der Anwender. Die Usability ist ein wichtiger Punkt für die Akzeptanz und damit den Erfolg einer Software. Das User Interface soll möglichst klar strukturiert und beschrieben sein. Das betrifft sowohl die Inhalte als auch die Elemente zur Navigation und Bedienung. Die „goldenen Regeln“ wurden von Ben Shneiderman bereits im Jahr 1986 niedergeschrieben. Sie sind universell und haben ihre Gültigkeit bis heute nicht verloren. Es lohnt sich, einen Blick auf diese Regeln zu werfen (Kasten: „Die Goldenen Regeln des User-Interface-Designs“).

Die Benutzerschnittstelle dient der Kommunikation zwischen dem menschlichen Anwender und der Technik. Diese Kommunikation ist oft bidirektional, d. h., dass nicht nur Informationen angezeigt, sondern auch Reaktionen der Nutzer zur Steuerung erwartet werden.

NOCH MEHR ZU WEB DESIGN?

Der Web Design & Development Track

Mehr erfahren

Ebenen eines User Interface

In diesem Abschnitt sehen wir uns ein wenig die Theorie zur Gestaltung des User Interface an. In der Praxis sind die theoretischen Modelle oft nur schwer vollständig umsetzbar, jedoch liefern sie wichtige Hinweise, welche Aspekte zu berücksichtigen sind. Man unterscheidet verschiedene Ebenen eines User Interface (Tabelle 1). Diese bestehen aus konzeptuellen, kommunikativen und physischen Komponenten [2].

Tabelle 1: Komponenten und Ebnen des UI [2]

Command Line Interface

Beim Command Line Interface basiert die Interaktion zwischen Mensch und Computer ausschließlich auf der Eingabe von Befehlen (Kommandos) per Tastatur. Ursprünglich hatten die Zeichenfolgen teilweise kryptischen Charakter und ihre Bedeutung war selten selbsterklärend. Um keine langen Zeichenketten erfassen zu müssen, wurde umfassend mit Abkürzungen gearbeitet. Zusatzinformationen wurden per Parameter an die Kommandos angehängt. Anwendungsprogramme im betrieblichen und privaten Umfeld wurden ebenso auf diese Weise bedient. Der sogenannte Command Line Interpreter spielte dabei eine zentrale Rolle. Eine einzelne Befehlszeile wurde eingelesen und interpretiert. Anschließend erfolgte die Ausführung des Kommandos und danach wurde das Ergebnis dem Benutzer direkt angezeigt. Die Funktionalität hat Vorrang vor der optischen Gestaltung. Heutzutage spielt das CLI auch noch eine Rolle. Für die Systemadministration existiert in nahezu allen Betriebssystemen (Windows: Power Shell, Linux: Shell) eine Kommandoebene. So können die notwendigen Administrations- und Wartungsarbeiten effektiv ausgeführt werden. Im unmittelbaren Anwenderbereich ist das CLI nahezu vollständig verschwunden. Eine derartige Bedienung kann den Anwendern kaum noch zugemutet werden.

Im Bereich der Softwareentwicklung finden wir heute in vielen Bereichen eine „Wiederbelebung“ des CLI. Unzählige Frameworks bieten ein CLI, um die anstehenden Aufgaben, zum Beispiel ein Projekt-Set-up, den Build einer Software usw. anzustoßen. Grafisch „verwöhnte“ Nutzer tun sich häufig schwer damit, der Experte schätzt die Effizienz einer solchen Nutzerführung.

In vielen Fällen wird auch der Weg gegangen, dass man ein CLI einbaut und damit eine gewisse Flexibilität für die endgültige Ausgestaltung des User Interface schafft. Als Unterbau kann es somit für nutzerfreundliche Benutzeroberflächen – sei es grafisch oder als Sprachsteuerung – stehen.

Graphical User Interface

Mit der grafischen Benutzeroberfläche (GUI) bekam das Erscheinungsbild einer Applikation eine genauso wichtige Rolle wie die Funktionalität. Die Ignoranz gegenüber dem Aussehen und die Bedienung einer Anwendung über CLIs war mit der Etablierung von grafischen Benutzeroberflächen vorbei. Das GUI-Konzept stammt aus den 1970er Jahren und wurde im Jahr 1973 am Xerox PARC etabliert. Einen größeren Anwenderkreis fand es jedoch erst im Jahr 1983 mit dem populären Computer Apple Lisa, der jedoch sehr preisintensiv war. Die Zukunft gehörte dem Apple Macintosh aus dem Jahr 1984, der unter der Leitung von Steve Jobs entwickelt wurde. Dieser galt als erster bezahlbarer Rechner mit einer grafischen Benutzeroberfläche. Es folgten Atari ST (1985) und Commodore Amiga (1986). Als Reaktion auf Apple Lisa kam im Jahr 1985 Microsoft mit Windows (1.03) hinzu.

Buttons, Symbol-, Auswahl- und Werkzeugleisten sowie gestaltete Dialogfelder gehören zu den Elementen eines GUI. Der Zugang zu den Programmen erfolgt durch Icons auf der Desktopoberfläche. Die Programmfenster können in variabler Größe und Position geöffnet werden. Für die damalige Hardware war die Umsetzung eines GUI-Konzeptes eine große Herausforderung, denn die Verarbeitungsgeschwindigkeit war oft noch gering. Die weitere Entwicklung ist durch eine erhöhte grafische Detaillierung, eine zunehmend intuitive Bedienung und auch durch die Integration von Multimediaelementen gekennzeichnet. Mit der gesteigerten Leistungsfähigkeit der Hardware verbesserte sich die Auflösung der Bildschirme und die Verarbeitungsgeschwindigkeit nahm enorm zu. Die Einführung von Windows 95 war ein wichtiger Meilenstein, denn mit einer Startleiste und einem veränderten Fensterkonzept wurde weiter von der Technik abstrahiert und bei der Bedienung auf den Endkunden zugegangen. Aus heutiger Sicht wirken die damals gängigen GUI oft überladen. Nicht immer waren die Bedienelemente sinnvoll angeordnet. Für die weitere „Reifephase“ des GUI, am Übergang zu den NUI, sind eine Reduktion auf wesentliche Kernfunktionen, ein schlichtes Farbkonzept, eine Fokussierung auf die Inhalte und adaptive Elemente kennzeichnend, die sich automatisch an die jeweilige Arbeitssituation anpassen.

Als Entwickler von Businessapplikationen spielen der Entwurf und die technische Umsetzung eines ansprechenden grafischen User Interface heute eine zentrale Rolle. Im dritten Teil der Serie werden wir uns mit den heute aktuellen technischen Ansätzen zur Gestaltung des UI beschäftigen. Die konkrete Gestaltung, d. h. die Ausgestaltung des Designs ist stets auch eine Frage des aktuellen Zeitgeists. Wie in der Mode sind auch grafische Oberflächen einem stetigen Wandel des Geschmacks unterworfen. Im Fokus der heutigen Gestaltung stehen moderne Designsprachen wie Material Design oder Fluent Design. Statt bunter und verspielter Oberflächen haben wir es heute mit geraden Linien, einer Reduktion auf funktionale Aspekte und einem weitgehenden Minimalismus zu tun. Jährlich erscheinen neue Designtrends für die Gestaltung von Softwareinterfaces. Schlagwörter aus dem Jahr 2020 sind beispielsweise animierte Illustrationen, Mikrointeraktionen, 3D-Grafiken in Web- und Mobile-Anwendungen, Virtual Reality (VR), Augmented Reality (AR) usw. [3]. Nicht alle Trends werden sich in allen Bereichen durchsetzen. VR und AR haben (heute) keinen Platz bei einer Datenbankanwendung; dagegen können Mikrointeraktionen oder 3D-Effekte bei Buttons usw. durchaus auch im Businessumfeld eingesetzt werden.

Wie wichtig es ist, aktuelle Designtrends auch in klassischen Applikationen aufzugreifen und umzusetzen, wird einem sofort klar, wenn man eine Applikation aus dem Jahr 2000 startet. Funktional mag diese noch arbeiten und ggf. immer wieder auf den neusten Stand gebracht worden sein. In den Fragen der Bedienung und des Designs wird man jedoch deutlich die Spuren der Zeit sehen. Wir befinden uns heute in der Reifephase des GUI und machen seit einiger Zeit bereits große Schritte zur nächsten Ebene der Benutzerschnittstellen.

Natural User Interface

Das Natural User Interface (NUI) wird künftig das GUI ersetzen, in einigen Aspekten (Touch) ist auch ein Nebeneinander bzw. eine Ergänzung möglich. Eine neue Ära kam mit der Verbreitung von Multi-Touchscreens in Smartphones und Tablets auf. Neben dem „Look“ kommt jetzt auch das „Feel“ zum Einsatz (Abb. 3).

Abb. 3: Wird ein GUI um das „Feel“ ergänzt, gelangt man zum NUI

Mit „Look“ ist das Interface-, Brand- und Corporate Design, also das Aussehen der Oberfläche gemeint. „Feel“ steht für Interaktion, Verhalten, Multimedia usw. Man setzt darauf, dass jegliche Produkte ohne Anleitung zu bedienen sind, d. h. intuitiv. Das Prinzip der Gestaltung orientiert sich am sogennannten OSIT-Konzept. Dieses Akronym steht für Orientieren, Selektieren, Informieren und Transagieren. Als Erstes will man wissen, an welcher Stelle man sich befindet. Dazu ist eine Orientierung – im Sinne eines Überblicks – notwendig. Im nächsten Schritt trifft man eine Auswahl, d. h. Selektion von Dingen aus dem Umfeld. Es folgt das Informieren über Details. Abschließend findet eine Transaktion statt, d. h., dass wir das Objekt nutzen oder es in einen anderen Zustand überführen. Die Oberfläche wird somit bei einem NUI nicht mehr hierarchisch organisiert, sondern die gewünschten Inhalte kommen gewissermaßen auf den Nutzer zu. Je nach Gewichtung und Relevanz können die Bildschirmobjekte vergrößert, verkleinert oder entsprechend platziert werden. Der Nutzer kann die Inhalte nach seinen Bedürfnissen zusammenstellen, umgruppieren und anpassen. Suchen, sortieren, filtern oder zoomen wird bei einem NUI oft verwendet. Statische Fenster werden immer öfter durch dynamische ersetzt. Für die Umsetzung eines NUI müssen sich die Designer mit den Handlungsmustern und dem Verhalten der Nutzer auseinandersetzen und sich bestmöglich in sie hineinversetzen.

Einfache Formen erlauben statt der Bedienung mit der Maus nun das Berühren der entsprechenden Elemente auf dem Bildschirm mit dem Finger. Hier sind kaum technische Änderungen an der Software notwendig. Ein Touch-Ereignis reagiert in dieser Art und Weise nahezu identisch wie ein Klick mit der Maus. Ggf. müssen die Bedienelemente (Buttons, Listenauswahl usw.) in der Größe angepasst werden, da die Genauigkeit der „Fingerbedienung“ geringer ist als die erreichbare Präzision mit einem Mauszeiger. Hier gilt es, als Entwickler und Designer Erkenntnisse über die verfügbare bzw. geplante Hardware beim Kunden einzuholen. Ist ein Touch-Bildschirm geplant oder bleibt es bei der reinen Bildanzeige? Einige moderne Notebooks sind mit Touch-Bildschirmen ausgestattet. Sie erlauben also ein Nebeneinander von Touch- und Maus-/Tastaturbedienung.

Im Bereich der Software von industriellen Anwendungen oder in Umgebungen, wo externe Bedienelemente nur stören würden, zum Beispiel die Steuerung eines Smart-Home-Systems, haben die Touch-Oberflächen die Interaktion mit Maus und Tastatur komplett ersetzt. Hier muss man beispielsweise bedenken, dass zwar eine Eingabe von Text über eine Bildschirmtastatur möglich ist, jedoch möchte niemand einen wirklich langen Text darüber eingeben. Mit anderen Worten: Ein Passwort oder einen kurzen Text können wir dem Nutzer durchaus zumuten, alles andere kann zur Qual werden. Um dennoch längere Texte zu erfassen, braucht es andere Formen der Eingabe, beispielsweise die Spracheingabe (siehe nächster Abschnitt) oder eine umfassende Unterstützung durch eine KI, die dabei hilft, das gewünschte nächste Wort zu „erraten“.

Vollständig andere Möglichkeiten der Bedienung ergeben sich beim Vorhandensein eines Multi-Touch-Displays. Hier ist nicht nur der einfache Tap (als ersetzendes Element für den Einfachklick) möglich, sondern wir haben eine Vielzahl von weiteren Touch-Gesten, zum Beispiel Tippen, Verschieben, Zoom, Drehen, Wischen usw. Eine sehr umfassende Zusammenstellung der Gesten und die Unterstützung unterschiedlicher Geräte findet sich unter [4].

Moderne Frameworks zur Umsetzung grafischer Oberflächen bieten die Unterstützung dieser Gestensteuerung an, d. h., es stehen entsprechende Events zur Verfügung. Um eine Applikation mit einem klassischen GUI in das Zeitalter NUI zu holen, ist jedoch i. d. R. eine umfassende Überarbeitung des Interface notwendig: Mit welchen Gesten kann ich die beschriebene Aktion erreichen? Wie ersetze ich das Anwendungsmenü durch interaktiv und situativ einblendende Inhalte? Denn Befehle wie Datei | Bearbeiten | Kopieren usw. sind nicht intuitiv über eine Touch-Bedienung machbar. Welche Größe haben die Elemente? Sie sehen selbst, das sind primär keine Fragen der Technik.

Voice User Interface

Wie der Name bereits verrät, bezieht sich VUI auf die Stimme, d.h., dass die Ein- und Ausgabe über gesprochene Sprache erfolgt. Für die Interaktion werden weder die Hände benötigt, noch ist die Betrachtung eines Displays notwendig. Assistenzsysteme wie Siri, Alexa, Cortana usw. sind die besten Beispiele dafür. Die Nutzer können nicht nur die Geräte mit Hilfe der Sprache steuern, sondern auch die Maschinen sind in der Lage, dem Nutzer verbale Antworten zu geben. VUI ist immer dann sinnvoll, wenn Nutzer „alle Hände voll zu tun haben“ bzw. wenn Sinne wie Sehen und Tasten bereits belegt sind und der Nutzer trotzdem einen Wunsch hat oder eine Aufgabe erledigen möchte.

Technisch sind wir heute dank der Nutzung von KI-Services aus der Cloud in der Lage, beliebige Applikationen mit einer Sprachsteuerung auszustatten. Es ist also nicht mehr notwendig, die dafür notwendigen Algorithmen selbst zu programmieren, eine Verbindung zum Service über das Internet genügt. Auch hier beginnt die Arbeit auf konzeptioneller Ebene. Beginnend mit der Definition der Sprachbefehle ist die KI zu konfigurieren und über eine Schnittstelle in die eigene Applikation einzubauen. Ein erster Ansatzpunkt zur Integration einer Spracherkennung in die eigene Applikation besteht in der Auswahl eines geeigneten Cloud Service, zum Beispiel Azure Cognitive Service von Microsoft [5]. Dieser ist i. d. R. online über ein Dashboard zu konfigurieren, ggf. auch zu trainieren (lernende KI). Für die Interaktion aus der eigenen App stehen dann definierte Schnittstellen oder besser spezifische SDKs, zum Beispiel für Java, zur Verfügung.

Hier kann man auf jeden Fall festhalten: Die Fähigkeit der Erkennung von Sprache hat sich in der letzten Zeit deutlich verbessert. Die Komplexität, diese Services in die eigene App einzubauen, zum Glück nicht. Es genügt i. d. R. die Funktionsweise grundsätzlich verstanden zu haben und den Service für seine Zwecke zu konfigurieren. Danach ist die Spracherkennung – hier verwendet als Sprachsteuerung – wie eine Blackbox nutzbar.

Organic User Interface

Die Entwicklung wird weitergehen. Nach NUI kommt OUI. Die Abkürzung steht für Organic User Interface. Der Begriff „organisch“ in OUI wurde von der zugrunde liegenden organischen Architektur abgeleitet und bezieht sich auf die Übernahme der natürlichen Form mit dem Ziel, eine bessere Anpassung an die menschliche Ökologie zu erreichen. Unter OUI versteht man eine Benutzeroberfläche mit einer nicht flachen bzw. mit einer biegbaren Anzeige. Eine organische Benutzeroberfläche setzt darauf, dass wir die tatsächliche physische Form oder Position eines Geräts ändern, um dieses zu steuern. Damit eröffnen sich viele unglaubliche Möglichkeiten, mit Geräten zu interagieren und zu navigieren. In einer OUI ist die Anzeigeoberfläche immer der Ort der Interaktion und kann bei Eingaben aktiv oder passiv ihre Form ändern. Diese Eingaben werden durch direkte physische Gesten und nicht durch eine indirekte Point-and-Click-Steuerung bereitgestellt. Es wird zwischen mehreren Arten von organischen Benutzeroberflächen unterschieden [6], beispielsweise Schnittstellen mit einer flexiblen bzw. verformbaren Oberfläche, Displays, die an die Form exakt angepasst werden, z. B. eine Kugel oder ein Zylinder, oder Schnittstellen, die dynamisch zur Laufzeit erstellt und gesteuert werden, beispielsweise die berührungsempfindliche und situativ eingeblendete Tastatur.

Wir können schon heute sagen: OUI bringt viele interessante Möglichkeiten mit sich, die Technologie steckt jedoch noch in den Kinderschuhen und die Entwicklung lässt sich hier noch kaum abschätzen. Erste Geräte mit biegsamen Displays kommen gerade auf den Markt.

Produktion vs. Betrieb

Die Bedienung der Software in der Produktion, also während der Entwicklung, unterscheidet sich zunehmend maßgeblich vom Umfeld des späteren Einsatzes. Ganz konservativ betrachtet hatten sowohl Entwickler als auch Anwender einen PC mit Bildschirm und Maus. Dieses Prinzip ist im Bereich der Entwicklung für mobile Systeme schon lange durchbrochen. Man behilft sich mit Testgeräten, Simulatoren, Emulatoren bzw. Cloud-Services, die die Option für eine Vielzahl von physischen Devices zum Probieren über das Internet bereitstellen.

Mit der Weiterentwicklung der Benutzerschnittstellen wird diese Lücke zwischen Entwicklung und Anwendung auch für andere Applikationsarten größer. Um hier zu guten Ergebnissen zu kommen, müssen wir auf mehreren Ebenen aufrüsten. Beispielsweise müssen wir uns mit den künftig gewünschten Bedienkonzepten unserer Nutzer noch mehr auseinandersetzen und die Erkenntnisse in die Gestaltung der Benutzeroberflächen einfließen lassen.

Zusammenfassung

Die Bedienoberfläche der Software von morgen wird sich radikal ändern. Das Prinzip „Weg von der Technik, hin zum Kontext“ wird eine immer größere Rolle spielen. Anwender wollen keine Software bedienen, sie möchten eine Aufgabe erledigen. Im Moment stecken wir irgendwo zwischen GUI und NUI und erahnen nur vage die künftige Entwicklung. Zugegebenermaßen fällt es immer schwerer, diese gestiegenen Anforderungen an die Nutzeroberflächen fachgerecht zu realisieren. Das wird zur Arbeit von Spezialisten, d. h. von UI-Designern.

Weitere Informationen zu diesen und anderen Themen der IT finden Sie unter http://larinet.com.

Links & Literatur

[1] https://www.embedded-software-engineering.de/grundlegende-richtlinien-fuer-gute-user-interfaces-a-554405/

[2] Moran, Thomas P.: „The Command Language Grammar: a representation for the user interface of interactive computer systems“; in: International Journal of Man-Machine Studies 15 (1981)

[3] https://uxdesign.cc/8-ui-ux-design-trends-for-2020-68e37b0278f6

[4] https://static.lukew.com/TouchGestureCards.pdf

[5] https://docs.microsoft.com/de-de/azure/cognitive-services/speech-service/custom-commands

[6] https://de.qwe.wiki/wiki/Organic_user_interface

The post Das User Interface im Wandel appeared first on webinale 2026.

Ein E-Commerce-Projekt ins Leben rufen – nie war das einfacher als heute. Eine Fülle freier wie kommerzieller Software und vielfältige Hosted-SaaS-Lösungen, Onlinemarktplätze und Zahlungsdienstleister machen es möglich. Hinzu kommt das breite Angebot an freien Entwicklern, E-Commerce-Dienstleistern und Dokumentationsressourcen für die Umsetzung in Eigenregie. Segen auf der einen und Fluch auf der anderen Seite, denn: Mit diesem Boom sind die Webportale vermehrt auch in den Fokus von Cyberkriminellen geraten. Fast täglich gibt es Meldungen über gehackte Onlineshops, und sowohl das Bundeskriminalamt (BKA) als auch private Studien stellen fest: Cybercrime nimmt drastisch zu. Was viele nicht bedenken, ist, dass nicht nur klassische Onlineshops von diesen Risiken betroffen sind. Bei solchen Angriffen geht es vor allem um den Diebstahl von persönlichen Daten. Daher sind auch immer komplexer werdende Webapplikationen mit umfangreichen geschlossenen Bereichen für Kunden, Mitglieder oder Partner beliebtes Ziel von Angriffen. Denn auch solche Lösungen müssen, um ihre Zwecke zu erfüllen, einen entsprechenden Umfang an persönlichen Daten speichern.

Laut einer Forsa-Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft e. V. (GDV) im April 2020 bei kleinen und mittleren Unternehmen sind zwar knapp 70 Prozent der befragten Unternehmen der Meinung, dass das Risiko, Opfer einer solchen Attacke zu werden, in Deutschland hoch ist. Erstaunlicherweise sind jedoch ebenso über 70 Prozent der Befragten der Meinung, dass es sie nicht treffen wird, weil sie zu klein oder zu uninteressant sind. Gerade diese Sorglosigkeit ist leichtsinnig. Betreiber von Webplattformen aller Art sollten sich der Auswirkungen bewusst sein, die sowohl erfolgreiche als auch nicht erfolgreich abgeschlossene Angriffe auf das eigene Geschäft haben können. Mit diesem Wissen können sie die richtigen Maßnahmen ergreifen, um sich und ihre Kunden zu schützen, ohne dabei tiefergehendes Technologie-Know-how zu benötigen.

Mögliche Folgen eines Cyberangriffs

Hohe Kosten: Die aktuelle Rechtslage verpflichtet Unternehmen in vielen Fällen, Cybersecurityvorfälle zu melden. Eine IT-forensische Untersuchung des Vorfalls durch entsprechende Sachverständige ist häufig nicht abzuwenden und mit Kosten für das Unternehmen verbunden. Kam es beispielsweise zu Datenverlust personenbezogener Daten, müssen alle Betroffenen informiert werden. Je nach Größe des Unternehmens und Auswirkungen des Sicherheitsvorfalls können so weitere Kosten für Marketingmaßnahmen oder Krisenkommunikation entstehen.

Umsatzverlust: Ein Hack wirkt sich oft direkt auf den Umsatz aus. Das beginnt schon damit, dass ein Onlineshop durch einen Angriff gegebenenfalls nicht mehr erreichbar oder voll funktional ist. Auch kann es sein, dass er wegen forensischer Untersuchungen abgeschaltet werden muss. Doch das ist noch nicht alles: Durch Zugriffsmöglichkeiten auf die Interna könnten Angreifer beispielsweise Bestellungen, Preise oder den Zahlungsstatus manipulieren. Das verursacht Verzögerungen im Betriebsablauf durch notwendige Kontroll- und Korrekturarbeiten nach Inkonsistenzen der Daten, zum Beispiel zwischen Onlineplattform und Lager oder Enterprise-Resource-Planning-(ERP-)System . Im Ergebnis kommt es zu Lieferschwierigkeiten bei „echten Kunden“ – und das führt am Ende zu Unzufriedenheit und Vertrauensverlust beim Kunden sowie weiterem Umsatzverlust.

Imageschaden: Vielleicht noch bedeutender als direkt messbare Umsatzverluste ist die langfristige Schädigung der Kundenbeziehung. Selbst wenn der Angriff keine direkten finanziellen oder persönlichen Auswirkungen auf die Kunden hatte, erschüttert er das Vertrauen in den Betreiber und seine Plattform – und beeinflusst somit die Kundenbindung. Besonders gravierend ist die Lage, wenn sensible Daten gestohlen wurden – seien sie persönlicher Natur oder Kreditkartendaten. Bei der großen Auswahl an Shops und Dienstleistern im Internet und dem damit verbundenen Tiefpreisgefüge ist die Wahl am Ende häufig eine Sympathieentscheidung – eine negative Sicherheitshistorie ist also massiv geschäftsschädigend. Einige Hackerangriffe zielen sogar genau darauf ab. Beim sogenannten Defacing werden Websiteinhalte mit Fehlinformationen manipuliert, um Anbieter zu diffamieren oder sie in juristische Schwierigkeiten zu bringen.

Zivilrechtliche Konsequenzen

Schadenersatzansprüche: Ein Schadenersatzanspruch (vgl. § 823 BGB [2]) in Deutschland ergibt sich aus der Vorsätzlichkeit oder der Fahrlässigkeit einer Handlung, die mittelbar zum Schaden eines Dritten führt. Gemäß IT-Sicherheitsgesetz aus Juli 2015 [3] sind Betreiber von Onlinepräsenzen dazu verpflichtet, alle technisch möglichen und wirtschaftlich zumutbaren Anstrengungen technischer wie organisatorischer Art zu unternehmen, um ihre Plattformen gegenüber Angriffen zu sichern (vgl. § 13 TMG Abs. 7 [4]). Gemäß Rechtsprechung handelt grob fahrlässig, wer seinen Sorgfaltspflichten in besonderem Maße nicht nachkommt. Die IT-Security-Studie 2019 von eco – Verband der Internetwirtschaft e. V. [5] hat aufgezeigt, dass 72 Prozent der Webdienste kleiner und mittlerer Unternehmen nicht sicher konfiguriert sind. Eine ordentliche und sichere Konfiguration ist aber im Rahmen der technischen Möglichkeiten und auch wirtschaftlich zumutbar.

Dies impliziert in den meisten Fällen eine Schadenshaftungspflicht für den Plattformbetreiber, was auch im Versicherungskontext relevant ist, denn viele Versicherungen schließen grobe Fahrlässigkeit von ihrer Leistungspflicht aus. Üblicherweise sind Schadenersatzforderungen von Kreditkartenunternehmen bzw. Zahlungsanbietern zu erwarten, wenn Daten abhandengekommen sind, die Zahlungsmittelmissbrauch erlauben, sowie von vertraglichen Partnerunternehmen wie Lieferanten, Versanddienstleistern, Hostingpartnern oder Markeninhabern, wenn diesen durch den Angriff Schäden entstanden sind.

Unterlassungsansprüche und Abmahnungen: Wenn ein Betreiber mit seiner Webpräsenz gegen rechtliche Bestimmungen verstößt oder Schutzrechte Dritter verletzt, haben Betroffene das Recht, ihn darauf aufmerksam zu machen und Unterlassung zu fordern – allgemein als Abmahnung bekannt. Das Gesetz gegen unlauteren Wettbewerb [6] definiert Verstöße gegen Rechtsvorschriften als unlauter, was Marktteilnehmern regelmäßig das Recht zur Abmahnung einräumt.

Ein Unterlassungsanspruch dürfte sich also unter den gleichen Maßgaben ergeben wie im Bereich Schadenersatz. Hinzu kommen die möglichen Verletzungen weiterer Ansprüche, beispielsweise durch das Gesetz gegen unlauteren Wettbewerb (UWG), Telemediengesetz (TMG) [7], die Datenschutz-Grundverordnung (DSGVO) [8], Preisangabenverordnung (PAngV) [9], das Urheberrechtsgesetz (UrhG) [10] und weitere, wenn die Angreifer die Inhalte der Webseite dahingehend bewusst verändert haben.

Vertragsstrafen: Lieferanten, Versanddienstleister, IT-Dienstleister, Hostingprovider, Markeninhaber oder Zahlungsdienstanbieter – Partner und Dienstleister sind in den meisten Fällen essenziell für das Geschäftsmodell hinter der Onlineplattform. Sind diese durch einen Angriff auf ein Portal ebenso beeinflusst worden, kann dies neben den Schadenersatzansprüchen auch zu Vertragsstrafen führen – oder zur Auflösung der Zusammenarbeit.

Bußgelder und Ordnungsgelder: Die beiden wohl bekanntesten Gesetze/Verordnungen im Bereich Web sind die DSVGO und das TMG.

• DSGVO – Datenschutz-Grundverordnung: Seit 2018 gilt europaweit die Datenschutz-Grundverordnung der Europäischen Union, die die besondere Schutzbedürftigkeit im Umgang von personenbezogenen Daten regelt. Als Shopbetreiber ist es unausweichlich, während des Bestellprozesses personenbezogene Daten zu erfassen. Werden diese aber missbräuchlich verwendet, etwa weil ein unzureichender Schutz besteht, ist ein Bußgeld in Höhe von bis zu 4 Prozent des Jahresumsatzes zu erwarten.

• TMG – Telemediengesetz: Im Telemediengesetz sind beispielsweise die Impressumspflicht oder Bestimmungen gegen Spam geregelt, aber eben auch die Pflicht, zumutbare Anstrengungen zu unternehmen, sein Angebot sicher zu betreiben. Eine Zuwiderhandlung ist als Ordnungswidrigkeit eingestuft, die mit einem Ordnungsgeld in Höhe von bis zu 50 000 Euro geahndet werden kann (vgl. § 16 TMG).

Nachgelagerte Angriffe: Die Dunkelziffer der nicht erkannten Hacks wird auf schwindelerregende Höhen geschätzt. In vielen Fällen ist ein Webportal gar nicht das primäre Ziel des Angriffs und der Angriff nur die erste Stufe eines mehrphasigen Plans. Mit den gewonnenen Daten wie zum Beispiel Benutzernamen/Passwörtern (Mitarbeiter verwenden häufig dieselben Log-in-Daten bei verschiedenen Systemen), internen Dokumenten, Anbindungen an interne Systeme wie ERP, Warenwirtschaft o. ä. werden Angriffe auf weitere Bereiche interner Netzwerke überhaupt erst ermöglicht oder bieten die Grundlage für Spear-Phishing-Attacken mittels Social Engineering.

Wie lässt sich ein E-Commerce-Projekt sicher umsetzen?

Wenngleich die möglichen Risiken abschreckend klingen mögen, so ist es mit entsprechender Sorgfalt kein Problem, sich in diesem Bereich geschäftlich, juristisch wie technisch sicher zu betätigen. Millionen von erfolgreichen und sicheren Webdiensten zeigen dies ganz klar: Mit Vorbereitung, Weitblick und verantwortungsvollem Umgang mit der Thematik lässt sich das Risiko drastisch minimieren und die juristischen Folgen lassen sich reduzieren.

Schritt 1: Überblick über Risiken, Gefahren und Status quo schaffen: Über welche Daten verfügt ein Shop oder Webportal, wo sind Schwachstellen, wen könnte ein Angriff betreffen und welche Pflichten hat der Betreiber? Eine Übersicht bezogen auf das konkrete Projekt hilft, Schwachstellen, Risiken und Handlungsbedarf zu erkennen und Maßnahmen einzuleiten. Eine Dokumentation der Systemlandschaft unter Sicherheitsaspekten und eine Schulung des Teams kann oft einen großen Teil der Risiken kontrollierbar machen. Viele Angriffsvektoren werden dabei auch ohne identifizierbaren Handlungsbedarf erfasst, dafür wird allen Beteiligten vor Augen geführt, was für den zukünftigen Betrieb, aber auch die Weiterentwicklung hilfreich ist.

Folgende Fragestellungen helfen E-Commerce-Betreibern dabei, einzuordnen, wie sie hinsichtlich Security aktuell aufgestellt sind und wo Handlungsbedarf besteht:

• Werden bei unserem Dienst regelmäßige Updates durchgeführt? Wer führt diese in welchen Intervallen durch? Bestehen Wartungsverträge und Service Level Agreements (SLAs)?

• Wie ist die Lösung gehostet? Welche SLAs liegen dort vor und welche Vereinbarungen existieren dort für Sicherheitsupdates, Back-ups und Ähnliches?

• Teilt sich unsere Plattform einen Server mit anderen Projekten (intern im Haus oder auch extern im Sinne von Shared Hosting)?

• Ist unser Portal mit automatischen Schnittstellen an andere Dienste angebunden, egal ob eingehend oder ausgehend, und wurde diese Verbindung unter IT-Sicherheitsaspekten geplant und umgesetzt? Sind die Datenquellen vertrauenswürdig oder können sie manipuliert werden?

• Habe ich das Gefühl, dass meine Mitarbeiter/Kollegen wie auch beauftragte Dienstleister sich der Sicherheitsrisiken, Abwehrmaßnahmen und Folgen bewusst sind (Security Awareness) und sich regelmäßig weiterbilden?

• Ist aus einem Provisorium eine Dauerlösung geworden oder eine längst abgekündigte Lösung nicht ersetzt worden?

• Wurden Änderungen oder Erweiterungen kurzfristig bis überstürzt umgesetzt, um zum Beispiel einen Produktlaunch zu unterstützen oder dem unerwarteten Ansturm aufgrund einer Marketingmaßnahme gerecht zu werden?

Darüber hinaus können sowohl E-Commerce- als auch Cybersecurityexperten ein Projekt technologisch analysieren und schnell einschätzen, wo es steht – und dann entsprechende Handlungsempfehlungen aussprechen oder selbst handeln. Hier seien exemplarisch die beiden großen Verfahren des Penetrationstests (als Black-Box-Test), aber auch das Begutachten der eingesetzten Komponenten, von Architekturkonzepten und Implementierungen (White-Box-Test) genannt.

Schritt 2: Juristische Beratung: Es empfiehlt sich generell eine juristische Beratung, die branchen- und dienstleistungsspezifisch aufzeigt, welche Gesetze, Verordnungen und berufsrechtliche Regularien im konkreten Tätigkeitsbereich anzuwenden sind und welche konkreten Anforderungen sich daraus für ein Onlineangebot ergeben. Diese Anforderungen kann ein Technologiedienstleister dann in der Entwicklung berücksichtigen. Es ist wichtig zu verstehen, dass der Betreiber selbst dafür verantwortlich ist, dass sein Onlineangebot rechtskonform umgesetzt wird – und selbstverständlich auch über die ganze Lebensspanne des Angebots konform bleibt. Dies muss auch sich verändernde Inhalte oder Rechtslagen berücksichtigen. Der Technologiedienstleister ist (meist) allein für die Umsetzung zuständig und kann weder eine juristische Beratung durchführen noch für die Rechtssicherheit eines Onlineangebots haften.

Schritt 3: Wahl der passenden Dienstleister: Im Optimalfall kennen Technologiepartner und Dienstleister die Risiken und Aspekte der IT-Sicherheit und beziehen diese bereits von der Planung an in Projekte ein. Nicht immer liegt dieses Themenfeld jedoch in der Expertise der Dienstleister. E-Commerce- und Cybersecurityspezialisten können in diesem Fall potenzielle Schwachstellen oder Handlungsbedarf an bestehenden Projekten identifizieren oder in Form von Beratung den Dienstleister wie Anbieter unterstützen.

Zu Beginn eines E-Commerce-Projekts oder eines Relaunchs bietet es sich an, Security by Design einzuführen und in der Ausschreibung zu berücksichtigen – sowohl als Leistungsgegenstand als auch als Auswahlkriterium für den Dienstleister.

Schritt 4: Plan für den Ernstfall: Absolute Sicherheit gibt es nicht. Ein Unternehmen kann sich auf einen Hackerangriff vorbereiten, um im Ernstfall zum einen schnell reagieren zu können und zum anderen möglichst gut abgesichert zu sein. Ein solcher Plan wird am besten von Juristen, IT-Security-Spezialisten, dem technologischen Shopdienstleister und den Betriebsverantwortlichen in der Organisation gemeinsam entwickelt. Zusätzlich bietet beispielsweise die deutsche Versicherungswirtschaft sogenannte Cybersecurityversicherungen an, mit denen ein Anbieter das verbleibende Risiko und somit die geschäftliche Existenz absichern kann.

Cybersecurity: Jetzt angehen und in Zukunft profitieren

Die Augen vor den Gefahren verschließen und hoffen, dass alles gutgeht, scheint gemäß der Forsa-Umfrage en vogue zu sein. Wer allerdings online langfristig erfolgreich sein will, sollte Verantwortung übernehmen und seine Risiken abschätzen. Damit schützt ein Betreiber ebenso sich wie auch die eigenen Kunden und Partner. Die drastische Zunahme von Cybercrime und die inzwischen einfache Verfügbarkeit von Angriffshilfsmitteln verstärkt die Dringlichkeit des Handlungsbedarfs auf Seiten der Betreiber. Die eco-Studie zeigt auf, dass dieses Bewusstsein im Mittelstand ankommt – aber erst langsam. Den Herausforderungen müssen sich Betreiber von Webplattformen nicht alleine stellen: Mit Partnern, die die Problemstellungen und Risiken kennen und wissen, welche Cybersecurityfragen relevant sind, lässt sich jedes E-Commerce-Projekt sicher planen, umsetzen oder optimieren – am besten, bevor ein Schaden eingetreten ist.

Links & Literatur

[1] https://www.gdv.de/resource/blob/61466/0456901217b39a5893bc6829b8d7d156/report-cyberrisiken-im-mittelstand-2020-data.pdf

[2] § 823 BGB: https://www.gesetze-im-internet.de/bgb/__823.html

[3] IT-Sicherheitsgesetz 2015: https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl115s1324.pdf

[4] § 13 TMG Abs. 7: https://www.gesetze-im-internet.de/tmg/__13.html

[5] eco-Studie: https://www.eco.de/presse/immer-mehr-unternehmen-planen-fuer-den-it-notfall

[6] Gesetz gegen den unlauteren Wettbewerb: https://www.gesetze-im-internet.de/uwg_2004/index.html

[7] Telemediengesetz: https://www.gesetze-im-internet.de/tmg/index.html

[8] DSVGO im Original: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679

[9] Preisangabenverordnung: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679

[10] Gesetz über Urheberrecht und verwandte Schutzrechte: https://www.gesetze-im-internet.de/urhg/index.html

The post E-Commerce-Security appeared first on webinale 2026.

Für manche solcher Drittstaaten existieren von Seiten der EU-Kommission sogenannte Angemessenheitsbeschlüsse. Darin wird den betreffenden Ländern sozusagen amtlich attestiert, dass das dortige Datenschutzniveau geprüft und für angemessen befunden wurde. Solche Beschlüsse liegen aktuell (Stand: Oktober 2020) für folgende Staaten vor: Andorra, Argentinien, Kanada, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Uruguay, Japan.

Bis Mitte Juli 2020 fanden sich auch die USA auf dieser Liste. Allerdings wurde die dortige Rechtslage seit den Anschlägen vom 11. September 2001 in datenschutzrechtlicher Hinsicht immer weiter verschärft. Beispielsweise wegen des Cloud Acts oder auch durch den Foreign Intelligence Surveillance Act (FISA) können essenzielle Grundrechte u. a. von EU-Bürgern in den USA nicht gewährleistet werden. Unter bestimmten Voraussetzungen können US-Behörden auch im Ausland auf Daten von solchen Unternehmen zugreifen, die jedenfalls ihren Hauptsitz in den USA haben. Folglich sind auch Daten auf Servern betroffen, die verschiedene US-Unternehmen beispielsweise in Irland betreiben.

Um gleichwohl in den USA ein angemessenes Datenschutzniveau zu installieren, wurde dort vor einigen Jahren mit der sogenannten Safe-Harbor-Regelung (dt.: sicherer Hafen) ein Verfahren geschaffen, in dessen Rahmen sich US-Unternehmen beim US-Handelsministerium registrieren und dadurch bescheinigen lassen konnten, dass sie sich an bestimmte datenschutzrechtliche Vorgaben halten. Dass eine solche Selbstzertifizierung nur eine vergleichsweise geringe Aussagekraft besitzt, dürfte klar sein. Folgerichtig wurde sie auch auf Bestreben von Max Schrems, einem Datenschutzaktivisten aus Österreich, vom Europäischen Gerichtshof (EuGH) für ungültig erklärt (Urteil vom 6. Oktober 2015, Aktenzeichen: C-362/14). Da aber natürlich zahlreiche europäische und amerikanische Unternehmen, Behörden und auch Vereine ein starkes Interesse an einer rechtskonformen Datenübermittlung haben, wurde als Nachfolgeregelung der sogenannte EU-US Privacy Shield (dt. sinngemäß: Privatsphärenschutzschild) ins Leben gerufen; ein vergleichbares Instrumentarium gab es parallel auch für die Schweiz. Allerdings schimpften Datenschutzexperten hierbei schon sehr früh über „alten Wein in neuen Schläuchen“, da es im Wesentlichen weiterhin um die Abgabe von Selbstauskünften ging. Insofern war es nicht allzu überraschend, dass der EuGH in seiner Schrems-II-Entscheidung auch die Privacy-Shield-Regelung kippte (Urteil vom 16.07.2020, Aktenzeichen: C-311/18). Seit diesem Zeitpunkt war eine Übermittlung von personenbezogenen Daten aus der EU in die USA folglich nicht mehr möglich. Es gab dabei auch keinerlei Übergangs- oder Schonfrist. Davon nicht betroffen sind Daten ohne jeglichen Personenbezug, also reine Statistik- oder Maschinendaten. Da der Begriff der personenbezogenen Daten nach Maßgabe der DSGVO jedoch sehr weitgehend zu verstehen ist, dürfte es sich bei der überwiegenden Mehrzahl der Daten, die im geschäftlichen Alltag verarbeitet werden, um solche mit Personenbezug handeln.

EU-Dienste?

Die Nachricht über das Schrems-II-Urteil verbreitete sich in den einschlägigen Medien wie ein Lauffeuer. Schon bald gab es erste Stimmen aus einigen deutschen Datenschutzaufsichtsbehörden, man solle sich nun zeitnah um alternative Anbieter bzw. Dienste mit Sitz in der Europäischen Union bemühen. Gegenstimmen gaben zu bedenken, dass es für einige US-Dienste keine oder zumindest keine gleichwertigen EU-Alternativen gäbe. Tools aus den USA können lediglich dann weiter genutzt werden, wenn sie auf eigenen Servern in der EU installiert und betrieben werden. Sofern dabei ausgeschlossen werden kann, dass eine Übermittlung der Daten in die USA erfolgt, ist ein On-Premise-Betrieb zulässig. Das erfordert allerdings das nötige Know-how sowie die Bewältigung des zeitlichen und finanziellen Aufwands. Bei Lichte betrachtet kann das EuGH-Urteil als Anlass gesehen werden, im eigenen Unternehmen, in der Behörde oder im Verein eine Bestandsaufnahme der eingesetzten Dienstleister anzufertigen. Bei US-Anbietern sollte man sich dann die Frage stellen, ob man diesen Dienst tatsächlich benötigt oder was es bedeuten würde, ihn nicht mehr einzusetzen. Ist er nicht „lebenswichtig“, sollte er aufgrund der bestehenden Rechtsunsicherheit im Zweifel eher deaktiviert bzw. beendet werden. Falls man die betreffenden Funktionalitäten doch benötigt, lohnt eine Suche nach EU- bzw. solchen Alternativen, die in Eigenregie betrieben werden können. Im Bereich Videokonferenz kommen hier etwa Edudip, Jitsi Meet oder BigBlueButton in Betracht, bei Webanalysetools z. B. Matomo oder Etracker, für Cloud-Speicher beispielsweise NextCloud oder Strato HiDrive und für das Webhosting u. a. Strato, Mittwald, 1&1 oder die Deutsche Telekom (Kasten: „Praxistipp“).

Alternativen?

Einige US-Unternehmen, insbesondere die großen Anbieter, wie etwa Microsoft, Facebook oder Google, haben nach dem Schrems-II-Urteil zügig reagiert. So haben sie beispielsweise die sogenannten EU-Standardvertragsklauseln als neue Rechtsgrundlage für die Datenübermittlung präsentiert. Dabei handelt es sich um einen standardisierten Vertrag für die Übermittlung personenbezogener Daten in Drittstaaten (nicht nur in die USA), der von der EU-Kommission sozusagen als amtliche Mustervorlage bereitgestellt wird. Die Standardvertragsklauseln sind prinzipiell auch weiterhin gültig, jedoch nur unter der Voraussetzung, dass die darin enthaltenen Klauseln faktisch auch eingehalten bzw. durchgesetzt werden können. In Anbetracht der aktuellen Rechtslage in den USA muss das jedoch bezweifelt werden, es sei denn, es ist im Einzelfall möglich, z. B. durch zusätzliche technische oder organisatorische Maßnahmen den Zugriff von US-Behörden auf die Daten zu verhindern. Das wäre etwa bei verschlüsselten oder auch anonymisierten Daten der Fall. Allerdings müssen die Daten in vielen Fällen gerade im Klartext vorliegen, um vom Dienstleister sinnvoll verarbeitet werden zu können. Alternativ können diejenigen US-Dienstleister, die weiterhin zum Einsatz kommen sollen, angeschrieben und um Auskunft gebeten werden, ob sie überhaupt unter FISA fallen, ob sie sich bei Herausgabeverlangen seitens der US-Regierung wehren und es im Zweifel auch gerichtlich klären lassen usw. Weitere Informationen dazu sowie Vorlagen für derartige Schreiben stellt Max Schrems auf seiner Website (www.noyb.eu) bereit.

Nachdem der Privacy Shield und im Grunde auch die Standardvertragsklauseln für die Datenübermittlung in die USA praktisch ausscheiden, müssen Alternativen her. In Art. 49 DSGVO gibt es potenzielle Kandidaten. Darin werden insbesondere folgende Möglichkeiten zur rechtskonformen Datenübermittlung in Drittländer angeführt:

• Einwilligung der betroffenen Personen

• Erforderlichkeit zur Erfüllung eines Vertrages

• zwecks Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

• wichtige Gründe des öffentlichen Interesses

• Schutz lebenswichtiger Interessen

Die Einholung einer Einwilligung klingt im Grunde nach einer praxistauglichen Methode. Allerdings hat die DSGVO die Hürde für die Einholung einer wirksamen Einwilligung im Vergleich zur alten Rechtslage sehr hoch angelegt. Eine rechtskonforme Einwilligung muss u. a. informierter Weise erteilt werden. Dazu ist es notwendig, dass die für die Datenverarbeitung verantwortliche Stelle dem Betroffenen, der seine Einwilligung erteilen soll, ausreichende Informationen über die Umstände und die Rechtsfolgen seiner Erklärung bereitstellt. Insbesondere muss im Falle eines geplanten Drittstaat-Datentransfers über diesen und die spezifischen Rechtsfolgen aufgeklärt werden. Das beinhaltet u. a. auch den Umstand, dass in den USA kein angemessenes Datenschutzniveau und auch keine Rechtsschutzmöglichkeit für EU-Bürger bestehen. Zudem hat die Einwilligung noch einen weiteren Pferdefuß, denn sie ist jederzeit ohne Angabe von Gründen widerrufbar.

Aber auch die anderen Punkte, die in Art. 49 DSGVO aufgeführt werden, kommen regelmäßig für die typischen Online- bzw. Cloud-Anwendungen nicht in Betracht. Denn diese Vorschrift ist primär für Einzelfälle und Ausnahmesituationen gedacht und somit restriktiv anzuwenden. Diese Norm ist eher für Fälle gedacht, in denen personenbezogene Daten von Reisenden aufgrund der US-Einreisebestimmungen übermittelt und verarbeitet werden müssen. Allerdings soll Art. 49 DSGVO nicht als Rechtsgrundlage für dauerhafte Datenübermittlungen dienen.

Für international agierende Konzerne sind verbindliche Unternehmensregeln zum Datenschutz, die sogenannten Binding Corporate Rules (BCR), ein gangbarer Weg. Diese müssen jedoch nicht nur intern beschlossen und umgesetzt, sondern auch vorab von der zuständigen Aufsichtsbehörde genehmigt werden. Gerade für kleinere oder mittelständische Unternehmen sind BCR aber natürlich keine Alternative.

Insgesamt muss immer auch noch das konkrete Risiko für die Rechte und Freiheiten der von der Datenübermittlung betroffenen Personen eingestuft und berücksichtigt werden. So sollte etwa bei der Verarbeitung von sensiblen Daten, also z. B. Personal-, Gesundheits- oder Sozialdaten, von der Übermittlung in die USA eher Abstand genommen werden. Die Nutzung eines US-Videokonferenzsystems dürfte hingegen mit weitaus weniger Risiko verbunden sein. Pauschal kann hier aber leider keine finale Aussage getroffen werden, es führt leider kein Weg an einer individuellen Abwägung im konkreten Einzelfall vorbei.

The post Häfen, Schilde, große Probleme appeared first on webinale 2026.

Es ist ein allzu vertrautes Szenario an der Supermarktkasse… Man hat gerade bezahlt, bar oder mit Karte, und die nette Person an der Kasse fragt uns “Möchten Sie die Quittung?”. Häufig verneinen wir das Angebot, weil wir dem Vorgang einfach vertrauen bzw. es uns zu zeitaufwendig ist, den ganzen Kassenzettel noch einmal nach Ungereimtheiten zu durchforsten – es wird schon stimmen. Wir vertrauen gerne, auch aus Bequemlichkeit. Vertrauen ist ein lebensnotwendiger Mechanismus. Es wäre unmöglich zu existieren, ohne zu vertrauen. Denn wir schließen viele Möglichkeiten, die es in unserer Umwelt geben könnte, über diesen Mechanismus aus. Potentiell könnte ja jederzeit die Decke des Büros oder des Arbeitszimmers über uns einstürzen. Davon gehen wir aber nicht aus, sondern wir vertrauen auf die Stabilität der Immobilie. Würden wir das nicht tun, wären wir völlig handlungsunfähig.

Vertrauen ist sowohl emotional als auch logisch. Emotional bedeutet Vertrauen, dass wir anderen unsere Schwächen offenlegen, im Glauben, dass diese unsere Offenheit nicht gegen uns verwenden werden. Im logischen Sinne ist Vertrauen eine kalkulierte Bewertung unter Berücksichtigung von Gewinn- und Verlustwahrscheinlichkeiten. Daraus ermittelt sich der erwartete Nutzen, der wiederum anhand von harten Leistungsdaten berechnet werden kann. Unser “Vertrauen” ist eine Mischung aus diesen beiden Ausprägungen.

Aber warum reden wir eigentlich von Vertrauen im UX-Umfeld? Am 25. Mai 2018 stand gefühlt für viele Medienschaffende das Armageddon bevor. Die Datenschutzgrundverordnung trat in Kraft. Bei der Frage, warum die DSGVO so viele Menschen in Aufregung und Aktionismus versetzt hat, sind wir uns mittlerweile einig. Es lag an den möglichen drakonischen Strafen für etwaige Datenschutzverstöße. Konnten in Deutschland jahrelang nur Bußgelder bis zu 300.000 Euro verhängt werden, waren ab diesem Zeitpunkt die Datenschutzbehörden befähigt auch Millionen- und potenziell sogar Milliardenstrafen zu verhängen. Das Prinzip “Datenschutz mit der Holzhammer-Methode“ hat also Wirkung gezeigt – zumindest in der Form, dass sich so manches Unternehmen zum ersten Mal ernsthaft und mit dem notwendigen Budget dem Thema Datenschutz angenommen hat. Aber mal ehrlich, unter uns, so im Vertrauen… die meisten von uns halten die DSGVO mittlerweile doch für eine gute Sache! Also doch kein Weltuntergang.

Ein wichtiger Grundpfeiler der Datenschutzgrundverordnung ist die Etablierung von Privacy by Design, einem Paradigma, das aus den 90er Jahren des vorigen Jahrhunderts stammt. Schon damals war klar, dass sich aus den sozialen und technischen Rahmenbedingungen der Gegenwart und Zukunft die Notwendigkeit für die konsequente Einführung eines Modells zum Schutze der Privatsphäre ergibt. Privacy by Design beinhaltet den Schutz und die Sicherung der Privatsphäre während des gesamten Lebenszyklus der erhobenen Daten. Bis zu seiner Einführung hat es ja nur dreiundzwanzig Jahre gedauert.

Privacy by Design is a framework based on proactively embedding privacy into the design and operation of IT systems, networked infrastructure, and business practices.
– Dr. Ann Cavoukian, Ph.D.

Dr. Ann Cavoukian, selbst Datenschützerin, lieferte mit Privacy by Design einen konkreten Ansatz den Schutz der Privatsphäre greifbar zu machen. Sie war auch eine der ersten Visionärinnen, die Datenschutz als ein Feature und damit auch als einen Wettbewerbsvorteil beschrieben.

Die Säulen von Privacy Design:

1. Datenschutz muss proaktiv sein, nicht reaktiv
2. Datenschutz muss Standardeinstellung sein
3. Datenschutz muss als Kernfunktion in das Design eingebettet sein
4. Volle Funktionalität bei voller Datensicherheit
5. Datenschutz muss einen durchgängigen Schutz bieten
6. Datenschutz muss sichtbar, transparent, offen, dokumentiert und unabhängig nachweisbar sein
7. Datenschutz muss benutzerorientiert sein

Wer meine Vorträge kennt, weiß, dass für die Zusammenarbeit mit Benutzern ein Konglomerat aus Vertrauen, Respekt, Unterstützung und Kontrolle notwendig ist, um letztendlich eine positive Benutzererfahrung zu generieren.

Ich entwickle Vertrauen, wenn du mich und meine Privatsphäre respektierst, mich unterstützt und mir die Kontrolle über meine Daten überlässt.

Genügte dieser Spruch noch bis Mai 2018, so ist es jetzt notwendig geworden, dieses Mini-Manifest einem Update zu unterziehen…

Ich entwickle Vertrauen, wenn du mich und meine Privatsphäre respektierst, mich unterstützt und mir die Kontrolle über meine Daten überlässt und transparent mit ihnen umgehst.

Die Forderung nach transparentem Umgang mit Benutzerdaten ist gesetzlich verbrieft und ein wichtiger Aspekt, um Vertrauen zu generieren und nachhaltig zu bewahren. Man kann sich dieses Mini-Manifest eigentlich recht einfach merken:

Abb. 1: VERÜCKT – ja, ich weiß, zwei „R“ und so

Vertrauen, Respekt, Unterstützung, Kontrolle und Transparenz. Die Transparenz ergänzt das Vertrauens-Mini-Manifest… genauer gesagt die Datentransparenz. Um in der digitalen Welt Vertrauen zu erlangen und zu erhalten, sind Datentransparenz und Datenvertrauen notwendig. Schauen wir uns zuerst die Datentransparenz an:

Datentransparenz ist die präzise Kommunikation darüber, welche Daten man benutzen, wann, wie, wo, warum und mit wem man sie verwenden möchte, so dass Menschen informiert und in der Lage sind, eine qualifizierte Entscheidung zu treffen!
– Greater Than Experience [1]

Eine sperrige Definition mit einfacher Aussage. Datentransparenz bedeutet absolute, uneingeschränkte Offenheit über die Art und Anzahl der Daten, den Zeitraum der Nutzung, den Ort der Nutzung, die Intention der Nutzung und die Parteien, die im Rahmen der Nutzung involviert sind und all das zu einem Ziel: damit Menschen in der digitalen Welt eine informierte und qualifizierte Entscheidung treffen können.

Nun aber zum Datenvertrauen. Einfach ausgedrückt ist Datenvertrauen oder Data Trust das Vertrauen, das eine Person in die Datenpraxis eines Unternehmens setzt.

Datenvertrauen ist die Summe aus Datentransparenz, Werterfüllung und Konsequenzakzeptanz. Ein Unternehmen muss daher genau sagen, was es tun wird und genau das tun, was im Vorfeld gesagt wurde, während es die positiven und negativen Folgen seines Handelns akzeptiert und klar kommuniziert!
– Greater Than Experience [1]

Ein Mensch hat also Datenvertrauen, wenn eine hohe Bereitschaft vorliegt, Daten bereitwillig zu teilen. Hier schwächelt allerdings das System. Denn wie wir alle wissen, ist die Bereitschaft zum Teilen von Daten gesunken. Daten sind ein entscheidender Wirtschaftsfaktor und auch essentieller Bestandteil zukünftiger gesellschaftlicher Entwicklungen. Um die Preisgabe von persönlichen Daten werden wir nicht herumkommen, jedoch soll der Mensch – das Daten-Subjekt – wieder im Mittelpunkt der Entwicklung stehen. Es braucht ein balanciertes und vertrauensbasiertes Ökosystem zum Datenaustausch und es ist an uns genau das zu designen…

Ich möchte in diesem Artikel exemplarisch zwei UX-Pattern herausgreifen, die ich zum Aufbau von Vertrauen durch Kontext innerhalb einer digitalen Beziehung als essentiell erachte. Zur Einleitung des ersten Pattern greifen wir uns zuerst einmal selbst an die Nase. Wir müssen die Schuld zu einem Teil auch bei uns selbst suchen. Im Laufe unserer digitalen Evolution wurden wir über die Jahre hinweg zu Klick-Zombies erzogen und haben dieses Schicksal – aus Bequemlichkeitsgründen – auch gerne angenommen. Oftmals ist das Gefühl echter Kontrolle im Netz nur eine Illusion. Es werden uns Entscheidungen diktiert bzw. werden uns nur wenige Optionen zur Auswahl präsentiert. Folgenreiche Entscheidungen werden uns beiläufig abverlangt. Wir navigieren und interagieren mit Plattformen im Autopilot. Unser Klick-Zombietum lässt sich durch ein beliebtes Dark-Pattern ausnutzen, das es dem Plattformbetreiber ermöglicht, irgendwann an unsere Daten zu gelangen: Frequenz in Kombination mit dem falschem Kontext. Wir werden so oft gefragt, dass wir einfach nur überwältigt sind. Die Situation erinnert an ein Kind, das um Süßigkeiten bettelt. Irgendwann ist es zuviel und wir geben nach. Auf diese Weise können Plattformen den Kontext, in dem wir Entscheidungen treffen, manipulieren, um zu einem „Ja“ zu gelangen. Daher gilt: Der Kontext ist entscheidend!

Context rules!

Wir, die Benutzer, Designer und auch die Aufsichtsbehörden, müssen für den Kontext sensibilisiert werden, in dem uns Entscheidungen abverlangt werden. Es genügt nicht nur unser Einverständnis zu erfragen, sondern die Zustimmung muss im passenden Kontext erfolgen, einem Kontext in dem wir nicht manipuliert, nicht überwältigt werden und in dem wir wirklich ein Gefühl für die Tragweite unserer Entscheidung haben. Nur ein Button, um den schnellen Klick abzugreifen und damit an die Einverständniserklärung zu gelangen, dass meine Daten vom Plattformbetreiber verwurstet werden dürfen, darf nicht mehr genügen. Vertrauen braucht Kontext. Natürlich würde die Forderung nach kontextueller Zustimmung und somit gestärkte Privatheit das klassische und oftmals schwerfällige Geschäftsmodell großer Konzerne und Plattformbetreiber erschweren. Auf der anderen Seite stellt sich die Wahrung des Kontext als ein Wettbewerbsvorteil für flexible kleinere Unternehmen und Plattformen heraus, der nicht zu unterschätzen ist. Leider ist momentan von Gesetzeswegen mit der „traditionellen“ Einverständniserklärung immer noch sehr viel machbar. Daher stellen sich die großen Konzerne auch vehement gegen die Kontextualisierung. Hier gibt es noch viel Handlungsbedarf!

Kontext stärkt das Vertrauen, aber wie lässt sich ein Kontext zur Bewahrung der Privatheit implementieren bzw. auch wieder reaktivieren? Die Wahrung der Privatsphäre muss in die klassischen UI-States integriert werden und schon bereits in der Konzeptionsphase berücksichtigt werden.

Abb. 2: UI-Stack – State of (Love and) Trust

Wie schon bereits erwähnt, lässt sich noch sehr viel mit der Zustimmung durch einen einfachen Button-Klick machen. Allerdings nur solange, wie die Aufsichtsbehörden und Datenschützer nicht genauer bzw. verstärkt den Zustimmungskontext betrachten. Art. 4 der DSGVO definiert eine Einwilligung wie folgt:

Im Sinne dieser Verordnung bezeichnet der Ausdruck: „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
– Art. 4 DSGVO Begriffsbestimmungen

Hier sticht die Formulierung “…für den bestimmten Fall, in INFORMIERTER Weise“ ins Auge. Um transparent mit Menschen umzugehen, müssen wir den Kontext respektieren. Die Zauberformel heißt kontextuelle Zustimmung oder Just-in-Time Konsens.

Fragen, die auf unsere Einwilligung abzielen, können uns in den verschiedensten Formen begegnen und uns ggf. auch einen begrenzten zeitlichen Rahmen auferlegen in dem wir reagieren können. Es kann sich z.B. um eine Textnachricht handeln, die durch die Nähe zu einem bestimmten Ort getriggert wurde. Diese Art der Einwilligung wird durch einen bestimmten situativen Kontext eingeleitet. Im Wesentlichen ist der Just-in-Time Konsens also ereignisgesteuert. Diese Form der Konsensabfrage berücksichtigt nicht nur den Kontext, sondern basiert darauf.

Abb. 3: Beispiel UI Flow für einen Just-in-Time-Konsens [2]

Der Just-in-Time Kontext ist auf Geschwindigkeit optimiert, ohne den informierten Kontext zu vernachlässigen. Einwilligung müssen sich dem situativen Kontext der Benutzer anpassen. Jemand könnte in der Mitte einer Aktion sein und etwas schnell erledigen müssen. Ein paar Minuten für die Zustimmung können dann schon um ein Vielfaches zu lang sein, damit die Person eine Entscheidung zu ihrem Vorteil treffen kann. Der Nutzungskontext wird beachtet und respektiert.

Greifen wir noch einmal das Beispiel vom Beginn des Textes zurück – den Kassenbon. Finanztransaktionen werden quittiert. Man bekommt einen Beleg über die abgewickelte Transaktion, der die einzelnen Positionen und z.B. deren Preis aufführt und dokumentiert. Werden wir allerdings nach unserem Einverständnis zur Freigabe von Daten im digitalen Umfeld gefragt, so verschwinden die Informationen darüber gerne mal “einseitig” in einer Datenbank, schlecht protokolliert – oft nur ein Boolean, ein knappes true or false. Aber dieses Gebaren ist gegen die Regeln (DSGVO).

Wurde eine Einwilligung gegeben, ist es absolut notwendig diese Einwilligung auch wieder rekonstruieren zu können. Dabei helfen uns die sog. Datenquittungen oder Data Receipts – Dieses Pattern ist eigentlich nicht neu, doch habe ich es leider noch nicht allzu oft in der digitalen Welt gesehen. Es wird sogar ein Datenquittungs-Standard entwickelt, der bereits von einigen Services (Digi.me / Consentua) implementiert wurde. Die Idee ist nahe an unserem Kassenzettel… Die Person, die etwas zustimmt, erhält eine detaillierte Zusammenfassung der freigegebenen Daten, wann die Daten freigegeben wurden, für wie lange, für wen etc. Im Gegensatz zum Kassenbon wird diese Quittung für uns aufgehoben und wir haben immer Zugang. Aus der Datenquittung heraus soll der Benutzer auch wieder mit der getroffenen Entscheidung interagieren können – also z.B. weitere Daten freigeben oder die Freigabe gänzlich widerrufen können. Auch sollte der Export der Quittungen für den Benutzer möglich sein. Datenquittungen sind gelebte Transparenz. Datenquittungen lassen uns einen Kontext wiederherstellen, in dem wir eine Entscheidung getroffen haben. Dieses Pattern kann beliebig detailliert sein. Dem Benutzer sollen damit sowohl der Kontext, der Inhalt der Zustimmung, wie auch die Gründe der Zustimmung jeder Zeit präsent sein.

Abb. 4: Beispiel UI Flow für eine Datenquittung [3]

Vertrauen braucht Kontext! Wer sich zu diesem Thema weiter informieren möchte um noch tiefer in die Materie einzutauchen, dem empfehle ich das Designing for Trust Playbook von Greater than X. Hier werden einige der vorgestellten Patterns beschrieben und es wird auch näher auf mögliche Workflows eingegangen, um ein Paradigma wie Datatrust by Design zu implementieren.

Also rufen wir uns zum Schluss noch einmal mein Vertrauens-Mini-Manifest in Erinnerung…

Ich entwickle Vertrauen, wenn du mich und meine Privatsphäre respektierst, mich unterstützt und mir die Kontrolle über meine Daten überlässt und transparent mit ihnen umgehst.

The post Auf den Kontext kommt es an: Vertrauen mit UX Design appeared first on webinale 2026.